abithavklija-ux/malware

GitHub: abithavklija-ux/malware

用于检测 Android 平台 Hooking 恶意软件的双流水线检测框架,结合语义分析和行为分析提升对 APK 抢注攻击的识别能力。

Stars: 0 | Forks: 0

# 用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架 ## 作者 - **Abitha V. K. Lija** - **D. Hemanand** # 描述 本代码库包含为以下研究论文开发的数据集和 Python 源代码: **“用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架。”** 提出的 **Rootkit Hooking 恶意软件检测 (RHMD)** 框架是一个双流水线恶意软件检测系统,它结合了语义代码分析和行为分析,以识别复杂的 Android Hooking 攻击,包括 Accessibility Service Hooking、Overlay User Interface (UI) Hooking 和 Application Programming Interface (API) Hooking。 该框架集成了 Large Language Models (LLMs)、Quantum-Inspired Neural Networks (QINNs)、Deep Enhanced Chaotic Multi-Objective Optimization (DECMO) 和 DenseNet,以提高恶意软件检测的准确性和可解释性。 # 代码库结构 ``` malware/ │ ├── README.md ├── LICENSE │ ├── llm1.py ├── llm2.py ├── decmo1.py │ ├── requirements_llm1.txt ├── requirements_llm2.txt ├── requirements_decmo.txt │ ├── cleanAPK.xlsx ├── MalwareHook.xlsx ├── CICMalDroid.xlsx │ └── supplementary file for androidmalware.docx ``` # 数据集信息 本研究使用了三个数据集。 ## 1. CleanAPK 数据集 **文件:** `cleanAPK.xlsx` 该数据集包含从受信任的 Android 应用程序代码库收集的良性 Android 应用程序。它代表了在训练和测试期间用作良性类别的合法应用程序。 ## 2. MalwareHook 数据集 **文件:** `MalwareHook.xlsx` 该数据集由作者使用从 **MalwareBazaar** (https://bazaar.abuse.ch/) 获取的 Android 恶意软件 APK 样本生成。 恶意软件样本在受控的分析环境中执行,以模拟 Hooking 攻击,包括: - Accessibility Service Hooking - Overlay User Interface (UI) Hooking - Application Programming Interface (API) Hooking 从 APK 中提取的语义特征包括: - Android 权限 - 组件 - URL - 域名 - 可疑关键字 ## 这些语义特征用于静态恶意软件分析和 Hooking 类型分类。 ## 3. CICMalDroid2020 数据集 **文件:** `CICMalDroid.xlsx` 行为恶意软件特征从由 **University of New Brunswick 的 Canadian Institute for Cybersecurity (CIC)** 开发的 **CICMalDroid2020** 数据集中获得。 行为向量特征包括: - ptrace - clone/fork - mmap2 - FS_ACCESS - NETWORK_ACCESS 这些行为特征用于评估恶意软件的执行模式。 # 数据集来源 本研究中使用的数据集从以下来源获取或生成。 | 数据集 | 原始来源 | 描述 | |----------|-----------------|-------------| | **CleanAPK** | 作者从受信任的应用程序代码库收集的良性 Android 应用程序| 在训练和测试期间用作正常类别的良性 Android 应用程序数据集。 | | **MalwareHook** | 从 **MalwareBazaar** (https://bazaar.abuse.ch/) 获取的恶意软件 APK 样本。语义数据集由作者通过受控的恶意软件执行和特征提取生成。 | 包含从基于 Hooking 的 Android 恶意软件中提取的权限、组件、URL、域名和可疑关键字的语义数据集。 | | **CICMalDroid2020** | University of New Brunswick 的 Canadian Institute for Cybersecurity (CIC)。官方数据集:https://www.unb.ca/cic/datasets/maldroid-2020.html | 用于基于向量的分析和评估的 Android 行为恶意软件数据集。 | # 代码信息 该代码库包含三个实现了完整 RHMD 框架的 Python 程序。 ## llm1.py 执行从 Android 应用程序中提取语义特征。 功能包括: - 文本预处理 - 特征提取 - TF-IDF 表示 ## llm2.py 实现了 Enhanced Quantum-Inspired Neural Network (QINN)。 功能包括: - 语义嵌入学习 - Quantum-inspired 特征转换 - 五折分层交叉验证 - 恶意软件分类 - ROC 和 Precision–Recall 分析 ## decmo1.py 使用 DECMO 优化和 DenseNet 实现行为恶意软件检测。 功能包括: - 行为特征优化 - DenseNet 分类 - 性能评估 # 使用说明 ## 第一步:克隆代码库 ``` git clone https://github.com/abithavklija-ux/malware.git ``` ## 第二步:安装必需的库 用于语义特征提取: ``` pip install -r requirements_llm1.txt ``` 用于 Enhanced QINN: ``` pip install -r requirements_llm2.txt ``` 用于 DECMO-DenseNet: ``` pip install -r requirements_decmo.txt ``` ## 第三步:确保数据集可用 将以下文件放在代码库文件夹中: - cleanAPK.xlsx - MalwareHook.xlsx - CICMalDroid.xlsx ## 第四步:运行语义特征提取 ``` python llm1.py ``` ## 第五步:运行 Enhanced QINN ``` python llm2.py ``` ## 第六步:运行 DECMO-DenseNet ``` python decmo1.py ``` # 环境要求 - Python 3.10 或更高版本 - Google Colab 或 Jupyter Notebook 依赖文件: - requirements_llm1.txt - requirements_llm2.txt - requirements_decmo.txt # 方法论 提出的 RHMD 框架由两个互补的检测流水线组成。 ## 语义检测流水线 Android APK ↓ 语义特征提取 ↓ TF-IDF 表示 ↓ Large Language Model (LLM) ↓ Quantum-Inspired Neural Network (QINN) ↓ 语义恶意软件分类 ## 行为检测流水线 Android 恶意软件 ↓ 行为特征提取 ↓ DECMO 优化 ↓ DenseNet ↓ 行为恶意软件分类 ## 最终决策 两条流水线的输出被整合,以识别基于 Hooking 的 Android 恶意软件和 APK 抢注攻击。 # 输出 该框架产生: - Accuracy - Precision - Recall - F1-score - ROC-AUC - Precision–Recall 曲线 - ROC 曲线 - 混淆矩阵 - 热力图 - SHAP 特征重要性 - 恶意软件预测 # 实验环境 - Python 3.10+ - Google Colab - PyTorch - NumPy - Pandas - Scikit-learn - Matplotlib - Seaborn - OpenPyXL - Sentence Transformers # 引用 如果您的研究中使用了本代码库,请引用: **Abitha V. K. Lija 和 D. Hemanand.** *用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架。* (发表后添加期刊引用。) # 联系方式 **通讯作者** **Abitha V. K. Lija** 电子邮件:**abithavklija@gmail.com** # 致谢 本代码库伴随为发表而提交的研究工作。它旨在支持 Android 恶意软件检测、Hooking 攻击和 APK 抢注检测方面的可重复性、透明度以及未来研究。
标签:Apex, APK静态分析, DLL 劫持, Hooking检测, 凭据扫描, 大语言模型, 安卓恶意软件检测, 机器学习, 深度学习, 逆向工具