shentoumengxin/MirrorShield_Experiment_Malware_Analysis_dataset

# MirrorShield：基于轻量级模拟和 LLM 的跨架构 Linux 恶意软件分析 ## 摘要 本代码仓库包含了 **MirrorShield** 的实现、数据集和实验结果，这是一个跨架构的 Linux 恶意软件分析系统，利用轻量级模拟和大型语言模型 (LLM) 进行全面的行为分析。该系统通过轻量级检测分析多种架构（x86-64、ARM、MIPS、RISCV 等）的 ELF 恶意软件，并使用 LLE 提取具有语义意义的行为。主要贡献包括： - **跨架构恶意软件分析**：支持通过轻量级模拟分析针对各种 CPU 架构编译的二进制文件 - **基于 LLM 的行为提取**：使用 LLM 自动解析执行轨迹，以推断高级的恶意软件行为（持久化、C2 通信、权限提升等） - **全面的行为本体**：涵盖主要恶意软件攻击向量的 8 类行为分类体系 - **模型比较与消融实验**：对多种 LLM 模型（Gemini、DeepSeek、Qwen）在恶意软件分析准确性和成本效益方面进行系统评估 - **可扩展性评估**：对来自 10 个家族的 863 个恶意软件样本进行性能基准测试和资源消耗分析 ## 引用 如果您在研究中使用了本代码仓库，请引用： ``` @inproceedings{zhang2026mirrorshield, title={MirrorShield: Cross-Architecture Linux Malware Analysis via Lightweight Emulation and LLM}, author={Zhang, Zihan and Lin, Wenqi and Sun, Lingna and Wang, Hongyi and Wang, Jingyi and Mei, Yanshu and Zhang, Fengwei}, booktitle={Proceedings of the 23rd Conference on Detection of Intrusions and Malware \& Vulnerability Assessment (DIMVA '26)}, year={2026} } ``` ## 仓库结构 本代码仓库包含用于 ELF 恶意软件行为分析、模型比较和消融实验的代码、实验产物以及结果摘要。 ## 🔐 开源安全注意事项（请先阅读） - **切勿**提交真实的 API 密钥。请将 `.env.example` 作为模板，仅在您自己的机器上创建本地 `.env` 文件。 - 本地编辑器/运行时的产物将被忽略（`.venv/`、`.history/`、各种缓存）。 - 如果您计划发布**仅包含代码**的版本，请考虑排除原始二进制文件和完整的报告语料库（参见 `.gitignore` 中的注释）。 - 如果过去的提交历史中曾包含过机密信息，请在发布前轮换密钥并重写提交历史。 ## 快速开始 1. 创建环境并安装所需的 Python 包（根据脚本需要）。 2. 将 `.env.example` 复制到 `.env` 并填入您自己的提供商密钥。 3. 运行 `Samples and reports/` 或 `QWEN&Ablation/` 中的分析脚本。 ## 主要目录 ### QWEN&Ablation/ 模型比较和消融实验工作流。 - `run_ablation.py`：消融实验运行器。 - `run_batch_qwen.py`：批量 Qwen 分析。 - `deepseek_analyzer.py`、`llm_analyzers.py`：分析器实现。 - `config.py`：提供商配置（从环境变量中读取密钥）。 - `ablation_detection_rates.csv`、`ablation_detection_rates_by_family.csv`：主要的消融实验输出结果。 ### 样本和报告/ 主要分析脚本和输出。 - `compute_report_metrics.py`、`compute_arch_metrics.py`：指标计算。 - `evidence_summary.py`：证据级别的支持摘要。 - `extract_behavior_profile.py`：行为本体提取和可视化。 - `analysis_outputs/`：汇总的输出结果。 ### 评估/ 评估流程以及可扩展性/资源消耗相关的输出。 ### malware_experiment/ 恶意软件获取/性能相关的实验笔记本和图表。 ### noise_test/ 噪声鲁棒性实验和输出。 ## 📊 最终可直接用于论文的结果 推荐的最终结果包位于： - `Samples and reports/analysis_outputs/behavior_profiles/` 关键文件： - `behavior_family_heatmap.png` - `behavior_global_prevalence.png` - `behavior_family_profile.csv` - `behavior_global_profile.csv` - `behavior_cooccurrence_edges.csv` - `phase_transitions.csv` - `results_summary.md` 其他核心指标/图表： - `Samples and reports/metrics_table.csv` - `Samples and reports/metrics_per_family.png` - `Samples and reports/confusion_overall.png` - `QWEN&Ablation/ablation_detection_rates.csv` - `QWEN&Ablation/ablation_detection_rates_by_family.csv` ## 可复现性说明 - 脚本中的路径大多是相对于代码仓库根目录的。 - 对于基于提供商的实验，结果可能会因模型版本/API 行为的不同而有所差异。 - 对于恶意软件运行时分析，环境和执行参数可能会影响观察到的行为。 ## 许可证与数据集警告 在公开发布之前，请确认您所在机构/相关法律政策中关于重新分发恶意软件二进制文件和第三方报告的规定。

标签：ARM架构, C2通信提取, DIMVA, DLL 劫持, ELF恶意软件, IP 地址批量处理, Linux恶意软件分析, LLM, MIPS架构, RISC-V, Unmanaged PE, x86-64, 二进制分析, 云安全运维, 人工智能, 协议分析, 大语言模型, 威胁情报, 子域名变形, 子域名枚举, 学术研究, 开发者工具, 恶意软件样本, 持久化分析, 权限提升, 模型评估, 用户模式Hook绕过, 系统安全, 网络信息收集, 网络安全, 行为本体, 跨架构分析, 身份验证强制, 轻量级模拟执行, 逆向工具, 隐私保护