ArwaInfosecurity28/LSTM-Based-Sequential-Behavioral-Analysis-for-Detecting-Evasive-Malware-in-Sandbox-Environments
GitHub: ArwaInfosecurity28/LSTM-Based-Sequential-Behavioral-Analysis-for-Detecting-Evasive-Malware-in-Sandbox-Environments
基于LSTM的序列行为分析系统,用于在沙箱环境中检测规避型恶意软件并将其分类为多种规避类别。
Stars: 0 | Forks: 0
# 基于LSTM的序列行为分析用于检测沙箱环境中的规避型恶意软件
## 概述
本项目专注于使用API调用序列分析和行为分类技术来检测规避型恶意软件行为。
该系统通过识别与反分析策略相关的行为指标,识别试图规避沙箱和分析环境的恶意软件样本。
本项目比较了深度学习和传统机器学习方法在多类别规避型恶意软件分类中的表现。
## 目标
- 从API调用序列中检测规避型恶意软件行为
- 将恶意软件分类为多种规避类别
- 比较LSTM与传统机器学习模型的性能
- 分析与沙箱逃逸相关的行为模式
## 规避类别
- 反调试
- 环境感知
- 虚拟机感知
- 延时执行
- 多手段规避型恶意软件
- 非规避型恶意软件
- 良性
## 使用的模型
### 深度学习
- LSTM
### 传统机器学习
- XGBoost
- Random Forest
- LightGBM
## 最终结果
| 模型 | 准确率 | 精确率 | 召回率(检测率) | 加权F1分数 |
|--------|----------|-----------|--------------------------|-------------------|
| LSTM | 0.9564 | 0.9564 | 0.9564 | 0.9563 |
| XGBoost | 0.8915 | 0.8979 | 0.8915 | 0.8876 |
| Random Forest | 0.8611 | 0.8821 | 0.8611 | 0.8546 |
| LightGBM | 0.9013 | 0.9020 | 0.9013 | 0.8992 |
LSTM取得了最佳的整体性能,在从API调用序列中检测规避行为模式方面表现出强大的能力。
评估包含了多项性能指标:
- 准确率
- 精确率
- 召回率(检测率)
- 加权F1分数
- 混淆矩阵
- ROC曲线分析
结果表明,使用LSTM的深度学习序列建模方法在多类别规避型恶意软件分类中比传统机器学习方法更为有效。
## 项目结构
```
models/
results/
notebooks/
data/
README.md
Evaluation Metrics
Accuracy
Weighted F1-score
Classification Report
Confusion Matrix
ROC Curve
Technologies Used
Python
TensorFlow / Keras
Scikit-learn
XGBoost
LightGBM
Pandas
Matplotlib
Future Work
Add engineered statistical behavioral features
Explore transformer-based architectures
Implement two-stage classification:
Benign vs Malware
Evasion tactic classification
Improve detection of rare evasive behaviors
Trained Models
Some trained model files were excluded from the repository due to GitHub file size limitations.
Google Drive Link for Full Models:
[https://drive.google.com/file/d/1YeEupPyEgtpWIT2lTuASjMW5JB6LUd74/view?usp=drive_link]
```
标签:AMSI绕过, Apex, API调用序列, DNS 反向解析, DOM解析, LightGBM, LSTM, Random Forest, XGBoost, 人工智能, 反调试, 多类分类, 威胁检测, 无线安全, 时间延迟, 机器学习, 沙箱环境, 深度学习, 环境感知, 用户模式Hook绕过, 网络安全, 虚拟机感知, 逃避检测, 逃避行为, 逆向工具, 隐私保护