ابتكر مجموعة من العلماء في معهد قطر لبحوث الحوسبة (QCRI) بجامعة حمد بن خليفة، أداةً جديدةً؛ لتحديد المجالات الخبيثة غير المعروفة باستخدام مبدأ "الذنب بالارتباط" الواقعيّ.
وترتبط المجالات الخبيثة بعدد من هجمات الأمن الإلكتروني، بما في ذلك هجماتُ حَجْبِ خدمةِ الموزِّع (DDoS)، التي تتمّ فيها مهاجمة خوادم الويب وتُصبح غير صالحة للاستعمال. كما أنّها تُشكل مصدرًا للتصيُّد، حيث يَخدع المجرمون مستخدمي البريد الإلكتروني؛ للكشف عن المعلومات من خلال انتحال صفة هيئات جيدة السّمعة، واستخدامها للسيطرة والإقناع، عندما تقوم أعداد كبيرة من الأجهزة المصابة دون علم أصحابها بنشر البرمجيّات الخبيثة وإرسال رسائل مزعجة.
وقد قام الباحثون بقيادة عيسى خليل وتينغ يو، بتطوير نموذج قادر على اكتشاف المجالات الخبيثة عن طريق تحليل الحركات والارتباطات السابقة في ضمن عنوان المجال.
وقال خليل بأن هذه الأداة، التي يُطلق عليها اسم "أداة استدلال الذنب بالارتباط للمجالات الخبيثة" (GAIMD)، قد استخدمت بيانات عامّة من سجلّات خدمة اسم المجال (DNS)، وأطراف معنيّة أخرى؛ لتوفير معلومات استخباراتيّة عاليّة الجودة من المجالات الخبيثة المحتمَلَة.
وأضاف خليل: "نشتبه عادةً بالأشخاص المجهولين إذا كانوا يُرافقون مجرمين معروفين في أغلب الأوقات، بينما نعتبرهم موثوقين إذا كانوا يرافقون أناسًا طيّبين معروفين. وبمثل ذلك، في سياق المجالات الخبيثة، يُمكن تفسير الرِّفقة بطُرُق مختلفة، بما في ذلك الانتقال من مزوّد على شبكة الانترنت إلى آخر بشكل جماعيّ، والاستضافة على بروتوكولات الانترنت المُماثلة التي يُمكن الوصول إليها من قِبَل مجموعة مُماثلة من العملاء، أو وجود بيانات تسجيل مُماثلة، إضافة إلى أشكال أخرى للسلوك".
ومن الأمثلة التي استخدمها الباحثون في تطوير الأداة، ميل أصحاب المجالات الخبيئة إلى "الهرب"، تغيير استضافة مجالاتهم من مزوّد خدمةٍ لآخر لتجنب كشفهم، ثمّ حظرهم.
وسيتمّ الكشف عن نتائج البحث في مؤتمر "ACM AsiaCCS" المقرّر إقامته في شهر يونيو. ويُمكن الاطلاع على مزيد من المعلومات من خلال الرابط: https://www.researchgate.net/publication/296678352_Discovering_Malicious_Domains_through_Passive_DNS_Data_Graph_Analysis