أورثروس: معمارية تعلم ثنائية القطبية لتصنيف البرمجيات الخبيثة

كشف البرمجيات الخبيثة وتصنيفها يُعد مشكلةً صعبةً وتمثّل مجالًا بحثيًا نشطًا. تعتمد الطرق التقليدية لتعلم الآلة بشكل شبه كامل على قدرة استخلاص مجموعة من السمات التمييزية التي تُوصَف بها البرمجيات الخبيثة. ومع ذلك، فإن عملية هندسة السمات هذه تستهلك وقتًا كبيرًا. في المقابل، تُحلّ الطرق العميقة للتعلم محل هندسة السمات اليدوية من خلال نظام يقوم بعملية استخلاص السمات والتصنيف معًا من البيانات الخام دفعة واحدة. رغم ذلك، فإن العيب الرئيسي في هذه الطرق هو عدم قدرتها على أخذ مصادر معلومات متعددة ومتباينة بعين الاعتبار أثناء التصنيف، ما يؤدي إلى أداء ضعيف مقارنةً بالأساليب متعددة الوسائط. في هذه الدراسة، نقدّم "أورثروس" (Orthrus)، وهي طريقة جديدة ثنائية الوسائط لتصنيف البرمجيات الخبيثة إلى عائلات باستخدام التعلم العميق. يجمع أورثروس بين نوعين من البيانات: (1) التسلسل البايتية الذي يمثل المحتوى الثنائي للبرمجيات الخبيثة، و(2) تعليمات لغة التجميع المستخرجة من كود مصدر لغة التجميع الخاص بالبرمجيات الخبيثة، ويُنفّذ التعلّم التلقائي للسمات والتصنيف باستخدام شبكة عصبية متعددة الطبقات ذات تصفية (CNN). وتتمحور الفكرة على الاستفادة من أنواع متعددة من السمات لتعكس الخصائص المميزة للبرمجيات الخبيثة. وقد أظهرت التجارب التي أُجريت على مجموعة بيانات مسابقة تصنيف البرمجيات الخبيثة من مايكروسوفت أن الحل المقترح يحقق أداءً أفضل في التصنيف مقارنةً بالأساليب العميقة للتعلم المنشورة في الأدبيات، وكذلك طرق الاستناد إلى n-gram.