ד"ר ניר ניסים והדוקטורנט אביעד כהן
ד"ר ניר ניסים והדוקטורנט אביעד כהןצילום: דני מכליס, אוניברסיטת בן-גוריון בנגב

חוקרי מעבדת הפוגענים (Malware-Lab) באוניברסיטת בן-גוריון בנגב פיתחו שיטה חדשה לאיתור הודעות אימייל זדוניות ולא מזוהות.

ביצועיה של השיטה החדשה נמצאו מדויקים יותר מתוכנות האנטי-וירוס הפופולאריות ביותר.

שיטה זו רלוונטית כיום יותר מתמיד לאור העובדה שהאקרים עושים שימוש נרחב בהודעות דוא"ל כדי לשלוח תוכן מסוכן לקורבנות, כמו קבצים או קישורים לאתרים זדוניים.

"הפתרונות הקיימים כיום, מנתחים רכיבים מסוימים של הודעת המייל תוך שימוש בשיטות מבוססות כללים, אך מפספסים רכיבים חשובים אחרים, ויותר מכל גם את הקשרים ביניהם", אומר ד"ר ניר ניסים, ראש מעבדת הפוגענים ע"ש דוד וג'נט פולק ב-Cyber@BGU ומרצה במחלקה להנדסת תעשייה וניהול. "בנוסף, תוכנות האנטי-וירוס הקיימות משתמשות בעיקר בשיטות זיהוי מבוססות חתימה, ולכן אינן מספיקות על מנת לזהות אימיילים זדוניים חדשים ולא ידועים".

השיטה החדשה שנקראת Email-Sec-360° פותחה על ידי הדוקטורנט אביעד כהן, בהנחייה אקדמית של ד"ר ניר ניסים ופרופ' יובל אלוביץ'. מחקרם, שפורסם לאחרונה בכתב העת Expert Systems with Applications מבוסס על טכנולוגית למידת מכונה וניתוח של מאה מאפיינים כלליים שונים שחולצו מכל דוא"ל, כמו כותרת, גוף המייל וקבצים מצורפים.

השימוש בשיטה אינו מחייב גישה לאינטרנט, כך שיחידים וארגונים יכולים להשתמש בה בקלות על מנת לשפר את זיהוי האיומים בזמן אמת.

לטובת הניסויים השתמשו החוקרים באוסף של 33,142 מיילים (12,835 מיילים זדוניים ו- 20,307 מיילים תמימים) שנאספו בין השנים 2013-2016.

הם השוו את מודל הזיהוי שלהם לביצועים של 60 תוכנות האנטי-וירוס המובילות כיום בשוק, כמו גם למחקרים קודמים, ומצאו שהמערכת שלהם עלתה בביצועיה על היתר ב-10% זיהוי. בין התוכנות שנבדקו: Kaspersky, MacAfee ו- Avast.

"במחקר המשך אנחנו מעוניינים להרחיב את השיטה ולעשות אינטגרציה בין שיטות מתקדמות לניתוח וזיהוי של מסמכים עוינים כגון קבצי PDF ומסמכי MS office יחד עם Email-Sec-360° ", אומר ד"ר ניסים "משום שמסמכים אלו מהווים את וקטורי התקיפה הנפוצים בהם תוקפים עושים כיום שימוש כדי לגרום למשתמשים לפתוח אותם ולהפיץ וירוסים ותוכנות זדוניות (מה שנקרא Social Engineering). שיטות הניתוח האלו כבר מפותחות במעבדת הפוגענים באוניברסיטת בן-גוריון".

חוקרי מעבדת הפוגענים שוקלים בנוסף להתחיל פיתוח של מערכת שתעריך באופן מקוון את הסיכון הנשקף מהודעת מייל נתונה. היא תהיה מבוססת על שיטות מתקדמות של למידת מכונה ותאפשר למשתמשים ברחבי העולם להזין הודעות דוא"ל חשודות ולקבל באופן מיידי מדד זדוניות והמלצה כיצד לטפל בהודעה. כך גם תסייע המערכת ליצירת מאגר הכולל מיילים זדוניים ותמימים כאחד למטרות מחקר. כיום, בשל מגבלות פרטיות, יצירת מאגר כזה היא משימה מאתגרת עבור חוקרי התחום.

כאמור צוות המחקר כלל את המנחים האקדמים של אביעד כהן, ד"ר ניר ניסים, ראש מעבדת הפוגענים ופרופ' יובל אלוביץ, מנהל Cyber@BGU ומעבדות החדשנות של דויטשה טלקום וחבר במחלקה להנדסת מערכות תוכנה ומידע.