في عالم الأمن السيبراني، يعد الكشف المبكر عن أنشطة التهديدات المتقدمة المستمرة (Advanced Persistent Threats - APT) أمرًا بالغ الأهمية. يمكن لهذه الأنشطة أن تكون مصدر قلق كبير للمنظمات، حيث تسعى لتقليل تأثير أي اقتحام. تقدم البرمجيات الضارة دليلاً قيمًا يمكن الاعتماد عليه في تتبع مصدر التهديد، ولكن يظل تحديد البرمجيات الضارة APT آليًا تحديًا كبيرًا.

تقليديًا، يتم تدريب وتقييم الطرق الحالية كنماذج مغلقة على مجموعات محدودة من المجموعات المعروفة. لكن في البيئات التشغيلية، قد تواجه هذه النماذج عينات من مجموعات غير ممثلة أثناء التدريب، مما يشكل تحدياً كبيرًا. هنا تأتي أهمية النهج الجديد: تحديد البرمجيات الضارة APT بدقة عالية باستخدام مصنفات ثنائية مرتبة مع قدرة على الامتناع.

بدلًا من تدريب مصنف متعدد الفئات، يتم تدريب كل مجموعة APT من خلال مصنفين ثنائيين محددين، حيث يتم تقييم أدائهم باستخدام بيانات التحقق. تُطبق هذه المصنفات بشكل متسلسل، مما يعني أنه يتم تعيين العينة فقط عندما يوفر أحد المصنفين أدلة كافية؛ وإلا، يمتنع عن التصنيف.

لقد تم تقييم هذه الطريقة باستخدام مجموعة بيانات البرمجيات الضارة APT، وأظهرت نتائجها دقة أعلى من النتائج المنشورة سابقًا. في ظروف الاختبار الأكثر تحديًا، حيث جاءت 87% من عينات الاختبار من 60 مجموعة APT تم استبعادها من التدريب، امتنع النظام عن التصنيف على 94% من العينات غير المعروفة، وفي نفس الوقت، احتفظ بدقة 92% و95% في دقة التصنيف العينة المعروفة.

تمثل هذه النتائج وثبة نوعية في مجال الأمن السيبراني، مما يوفر طرقًا جديدة للتعامل مع التهديدات المتقدمة. كيف تثير هذه التطورات اهتمامكم في مجال الأمن السيبراني؟ شاركونا آراءكم!