A combined Artificial Intelligence Model for Detecting Cryptojacking Attacks

يُعدّ الاستغلال الخفي للموارد الحاسوبية لتعدين العملات الرقمية (Cryptojacking) من التهديدات المتنامية في الأمن السيبراني، إذ يتسم بالاستمرارية وسرعة التطور. ومع اعتماد المهاجمين على أساليب مراوغة متقدمة مثل التبدّل الشكلي، والإخفاء، والتشغيل المتدرّج لتقليل الأثر على الأداء وتفادي الرصد، أصبحت آليات الكشف المعتمدة على التواقيع أقل فاعلية من الناحية العملية. انطلاقًا من هذه الفجوة، تقدّم هذه الدراسة إطارًا ذكيًا هجينيًا للكشف ينتقل من الاعتماد على التواقيع إلى الكشف القائم على السلوك والقياسات التليمترية، مع تصميم يدعم العمل بزمن حقيقي وقابلية النقل بين البيئات المختلفة. ويرتكز الإطار على إشارات عامة مشتركة بين المنصات تشمل ضغط المعالجة CPU وGPU، واستهلاك الذاكرة، وخصائص تنفيذ التعليمات على مستوى opcode، وسلوك الشبكة، بما يسمح بالتقاط البصمة السلوكية المميزة لتعدين العملات عبر منصات غير متجانسة كإنترنت الأشياء، والمتصفح، والحواسيب الشخصية، والخوادم. يعتمد الحل المقترح على دمج مكوّنات تعلم متكاملة بهدف تعزيز المتانة وقابلية التعميم. إذ يُستخدم نموذج CNN?LSTM لاستخلاص الأنماط الزمنية المعقدة من سلاسل القياسات التليمترية، بينما يُسهم نموذج التجميع المكدّس (Stacking Ensemble) في تحقيق استقرار أعلى عند التصنيف اعتمادًا على السمات السلوكية المُهندسة. وللتعامل مع انجراف المفهوم وتغيّر أنماط الهجوم بمرور الوقت، يتضمن الإطار آلية تعلم تكيفي عبر الإنترنت تُمكّن النموذج من تحديث حدوده القرارّية بصورة مستمرة، بما يحافظ على الأداء أمام هجمات اليوم الصفري. وتُحسم النتيجة النهائية من خلال دمج وزني هجيني يوازن بين قوة الالتقاط الزمني العميق وثبات التجميع ومرونة التعلم التكيفي في قرار واحد عالي الاعتمادية. أظهرت التجارب الموسعة على خمس مجموعات بيانات عامة لظاهرة Cryptojacking تفوق الإطار بصورة متسقة في البيئات ذات الإشارة الواضحة وكذلك في السيناريوهات الأكثر صعوبة. فقد حقق نموذج الدمج الهجيني أداءً شبه مثالي على بيانات Attack Timeseries وOpcodes مع وصول الدقة وقيمة F1 إلى نحو 0.9999، كما سجل على بيانات CJ-Sniffer الخاصة بحركة الشبكة دقة 0.9999 ودقة إيجابية 0.9999 واستدعاء 0.9997 وF1 تساوي 0.9999، بينما حققت بيانات Hardware Traces المستندة إلى المضيف دقة 0.9932 وF1 تساوي 0.9932 مع AUROC يساوي 0.9999. وفي مجال بيانات GPU الأكثر ضبابية وتعقيدًا، حافظ النموذج على متانة مرتفعة بدقة 0.9714 وF1 تساوي 0.9664 مدعومة بـ AUROC يساوي 0.9974. وعلى مستوى التحسينات المقارنة، ارتفعت قيمة F1 في Hardware Traces من 99.00% إلى 99.60% بزيادة قدرها 0.60 نقطة مئوية، وفي CJ-Sniffer من 98.97% إلى 99.50% بزيادة 0.53 نقطة، وفي Opcodes من 97.00% إلى 99.50% بزيادة 2.50 نقطة، مع تحقيق سقف الدقة المبلغ عنه في Timeseries عند 99.99% وتقديم حزمة مقاييس أكثر اكتمالًا. أما ضمن بيانات GPU فقد ارتفعت الدقة بمقدار 2.98 نقطة مقارنة بأقوى نموذج فردي (CatBoost) وبمقدار 1.43 نقطة مقارنة بنموذج التجميع المكدّس، بما يؤكد أن التصميم المقترح يوفر دفاعًا عمليًا عالي الثقة وقابلًا للنشر والنقل ويسهم بوضوح في دفع مستوى الأداء في كشف Cryptojacking إلى الأمام