abithavklija-ux/malware
GitHub: abithavklija-ux/malware
用于检测 Android 平台 Hooking 恶意软件的双流水线检测框架,结合语义分析和行为分析提升对 APK 抢注攻击的识别能力。
Stars: 0 | Forks: 0
# 用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架
## 作者
- **Abitha V. K. Lija**
- **D. Hemanand**
# 描述
本代码库包含为以下研究论文开发的数据集和 Python 源代码:
**“用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架。”**
提出的 **Rootkit Hooking 恶意软件检测 (RHMD)** 框架是一个双流水线恶意软件检测系统,它结合了语义代码分析和行为分析,以识别复杂的 Android Hooking 攻击,包括 Accessibility Service Hooking、Overlay User Interface (UI) Hooking 和 Application Programming Interface (API) Hooking。
该框架集成了 Large Language Models (LLMs)、Quantum-Inspired Neural Networks (QINNs)、Deep Enhanced Chaotic Multi-Objective Optimization (DECMO) 和 DenseNet,以提高恶意软件检测的准确性和可解释性。
# 代码库结构
```
malware/
│
├── README.md
├── LICENSE
│
├── llm1.py
├── llm2.py
├── decmo1.py
│
├── requirements_llm1.txt
├── requirements_llm2.txt
├── requirements_decmo.txt
│
├── cleanAPK.xlsx
├── MalwareHook.xlsx
├── CICMalDroid.xlsx
│
└── supplementary file for androidmalware.docx
```
# 数据集信息
本研究使用了三个数据集。
## 1. CleanAPK 数据集
**文件:** `cleanAPK.xlsx`
该数据集包含从受信任的 Android 应用程序代码库收集的良性 Android 应用程序。它代表了在训练和测试期间用作良性类别的合法应用程序。
## 2. MalwareHook 数据集
**文件:** `MalwareHook.xlsx`
该数据集由作者使用从 **MalwareBazaar** (https://bazaar.abuse.ch/) 获取的 Android 恶意软件 APK 样本生成。
恶意软件样本在受控的分析环境中执行,以模拟 Hooking 攻击,包括:
- Accessibility Service Hooking
- Overlay User Interface (UI) Hooking
- Application Programming Interface (API) Hooking
从 APK 中提取的语义特征包括:
- Android 权限
- 组件
- URL
- 域名
- 可疑关键字
## 这些语义特征用于静态恶意软件分析和 Hooking 类型分类。
## 3. CICMalDroid2020 数据集
**文件:** `CICMalDroid.xlsx`
行为恶意软件特征从由 **University of New Brunswick 的 Canadian Institute for Cybersecurity (CIC)** 开发的 **CICMalDroid2020** 数据集中获得。
行为向量特征包括:
- ptrace
- clone/fork
- mmap2
- FS_ACCESS
- NETWORK_ACCESS
这些行为特征用于评估恶意软件的执行模式。
# 数据集来源
本研究中使用的数据集从以下来源获取或生成。
| 数据集 | 原始来源 | 描述 |
|----------|-----------------|-------------|
| **CleanAPK** | 作者从受信任的应用程序代码库收集的良性 Android 应用程序| 在训练和测试期间用作正常类别的良性 Android 应用程序数据集。 |
| **MalwareHook** | 从 **MalwareBazaar** (https://bazaar.abuse.ch/) 获取的恶意软件 APK 样本。语义数据集由作者通过受控的恶意软件执行和特征提取生成。 | 包含从基于 Hooking 的 Android 恶意软件中提取的权限、组件、URL、域名和可疑关键字的语义数据集。 |
| **CICMalDroid2020** | University of New Brunswick 的 Canadian Institute for Cybersecurity (CIC)。官方数据集:https://www.unb.ca/cic/datasets/maldroid-2020.html | 用于基于向量的分析和评估的 Android 行为恶意软件数据集。 |
# 代码信息
该代码库包含三个实现了完整 RHMD 框架的 Python 程序。
## llm1.py
执行从 Android 应用程序中提取语义特征。
功能包括:
- 文本预处理
- 特征提取
- TF-IDF 表示
## llm2.py
实现了 Enhanced Quantum-Inspired Neural Network (QINN)。
功能包括:
- 语义嵌入学习
- Quantum-inspired 特征转换
- 五折分层交叉验证
- 恶意软件分类
- ROC 和 Precision–Recall 分析
## decmo1.py
使用 DECMO 优化和 DenseNet 实现行为恶意软件检测。
功能包括:
- 行为特征优化
- DenseNet 分类
- 性能评估
# 使用说明
## 第一步:克隆代码库
```
git clone https://github.com/abithavklija-ux/malware.git
```
## 第二步:安装必需的库
用于语义特征提取:
```
pip install -r requirements_llm1.txt
```
用于 Enhanced QINN:
```
pip install -r requirements_llm2.txt
```
用于 DECMO-DenseNet:
```
pip install -r requirements_decmo.txt
```
## 第三步:确保数据集可用
将以下文件放在代码库文件夹中:
- cleanAPK.xlsx
- MalwareHook.xlsx
- CICMalDroid.xlsx
## 第四步:运行语义特征提取
```
python llm1.py
```
## 第五步:运行 Enhanced QINN
```
python llm2.py
```
## 第六步:运行 DECMO-DenseNet
```
python decmo1.py
```
# 环境要求
- Python 3.10 或更高版本
- Google Colab 或 Jupyter Notebook
依赖文件:
- requirements_llm1.txt
- requirements_llm2.txt
- requirements_decmo.txt
# 方法论
提出的 RHMD 框架由两个互补的检测流水线组成。
## 语义检测流水线
Android APK
↓
语义特征提取
↓
TF-IDF 表示
↓
Large Language Model (LLM)
↓
Quantum-Inspired Neural Network (QINN)
↓
语义恶意软件分类
## 行为检测流水线
Android 恶意软件
↓
行为特征提取
↓
DECMO 优化
↓
DenseNet
↓
行为恶意软件分类
## 最终决策
两条流水线的输出被整合,以识别基于 Hooking 的 Android 恶意软件和 APK 抢注攻击。
# 输出
该框架产生:
- Accuracy
- Precision
- Recall
- F1-score
- ROC-AUC
- Precision–Recall 曲线
- ROC 曲线
- 混淆矩阵
- 热力图
- SHAP 特征重要性
- 恶意软件预测
# 实验环境
- Python 3.10+
- Google Colab
- PyTorch
- NumPy
- Pandas
- Scikit-learn
- Matplotlib
- Seaborn
- OpenPyXL
- Sentence Transformers
# 引用
如果您的研究中使用了本代码库,请引用:
**Abitha V. K. Lija 和 D. Hemanand.**
*用于检测 APK 抢注攻击中基于 Hooking 的 Android 恶意软件的双流水线 TF-IDF 语义 LLM–QINN 与 DECMO-DenseNet 框架。*
(发表后添加期刊引用。)
# 联系方式
**通讯作者**
**Abitha V. K. Lija**
电子邮件:**abithavklija@gmail.com**
# 致谢
本代码库伴随为发表而提交的研究工作。它旨在支持 Android 恶意软件检测、Hooking 攻击和 APK 抢注检测方面的可重复性、透明度以及未来研究。
标签:Apex, APK静态分析, DLL 劫持, Hooking检测, 凭据扫描, 大语言模型, 安卓恶意软件检测, 机器学习, 深度学习, 逆向工具