טכנולוגיה ודיגיטל

חוקרי סייבר באוניברסיטת בן גוריון פיתחו שיטה לאיתור דוא"ל זדוני

חוקרי מעבדת הפוגענים (Malware-Lab) באוניברסיטת בן גוריון פיתחו שיטה חדשה לאיתור הודעות דואר אלקטרוני זדוניות ולא מזוהות. השיטה החדשה הציגה ביצועים מדוייקים יותר מאשר תוכנות אנטי וירוס הפופולאריות ביותר בעולם.

החוקרים סבורים כי השיטה החדשה רלוונטית יותר מתמיד מכיוון שהאקרים עושים שימוש נרחב בהודעות אימייל כדי לשלוח תוכן פוגעני לקורבנות כדוגמת קבצים פגיעים או קישורים לאתרים זדוניים.

השיטה החדשה נקראית Email Sec 360° והיא פותחה על ידי הדוקטורנט אביעד כהן וזאת בהנחייה אקדמית של ד"ר ניר ניסים וכן פרופסור יובל אלוביץ'. מחקרם, שפורסם לאחרונה, מבוסס על טכנולוגיית למידת מכונה וניתוח של מאה מאפיינים כלליים שונים שבוססים מהמידע של המייל עצמו, כגון הכותרת של המייל, גוף המייל וקבצים נוספים.

השיטה החדשה מבוססת על ידי למידת מכונה והשימוש בה לא מחייב גישה לאינטרנט ולכן יחידים וארגונים יכולים להשתמש בה בקלות על מנת לשפר את זיהוי האיומים בזמן אמת.

לטובת הניסויים, החוקרים השתמשו באוסף של 33,142 מיילים שונים (12,835 מיילים זדוניים ו- 20,307 מיילים תמימים) אשר נאספו בין השנים 2013-2016. החוקרים השוו את מודל הזיהוי שלהם לביצועים של 60 תוכנות אנטי וירוס המובילות כיום בשוק. בין המערכות שנבדקו הם MacAfee, Avast, Kaspersky, Cyren, AVG ועוד. החוקרים מצאו כי המערכת שלהם עלתה בביצועים על יתר המערכות ב-10% זיהוי.

מחקר אוניברסיטת בן גוריון - True Positive Rate
מחקר אוניברסיטת בן גוריון – True Positive Rate

חוקרי מעבדת הפוגענים בוחנים גם להתחיל פיתוח של מערכת שתעריך באופן מקוון את הסיכון הנשקף מהודעת מייל כלשהי. המערכת תתבסס על שיטות מתקדמות של למידת מכונה ותאפשר למשתמשים בעולם להזין הודעות דוא"ל חשודות ולקבל באופן מיידי מדד זדוניות והמלצה לטיפול בהודעה.

המערכת גם תסייע ליצירת מאגר הכולל מיילים זדוניים ותמימים כאחד למטרות מחקר. כיום, בשל מגבלות פרטיות, יצירת מאגר כזה היא משימה מאתגרת עבור חוקרי התחום.

"הפתרונות הקיימים כיום, מנתחים רכיבים מסוימים של הודעת המייל תוך שימוש בשיטות מבוססות כללים, אך מפספסים רכיבים חשובים אחרים, ויותר מכל גם את הקשרים ביניהם", אמר ד"ר ניר ניסים, ראש מעבדת הפוגענים ב-Cyber@BGU ומרצה במחלקה להנדסת תעשייה וניהול. "בנוסף, תוכנות האנטי-וירוס הקיימות משתמשות בעיקר בשיטות זיהוי מבוססות חתימה, ולכן אינן מספיקות על מנת לזהות אימיילים זדוניים חדשים ולא ידועים".

ד"ר ניסים הוסיף: "במחקר המשך אנחנו מעוניינים להרחיב את השיטה ולעשות אינטגרציה בין שיטות מתקדמות לניתוח וזיהוי של מסמכים עוינים כגון קבצי PDF ומסמכי MS office יחד עם Email-Sec-360°. משום שמסמכים אלו מהווים את וקטורי התקיפה הנפוצים בהם תוקפים עושים כיום שימוש כדי לגרום למשתמשים לפתוח אותם ולהפיץ וירוסים ותוכנות זדוניות (מה שנקרא Social Engineering)."

מעל 1,400 עוקבים בערוץ טלגרם: בואו להיות חברים שלנו. חפשו 'פרוטוקול' או היכנסו t.me/protocolil


תגיות

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

Back to top button
שינוי גודל גופנים
ניגודיות
Close