Abdulkalam191221/AegisScan-Malware-Detection-Platform.

# AegisScan：融合对话式威胁推理的混合型AI多格式恶意软件检测平台 ## 🏆 研究发表信息 * **期刊：** 《国际应用科学与工程技术研究期刊》（IJRASET） * **出版日期：** 第14卷，第IV期，2026年4月 * **论文ID：** IJRASET81400 * **影响因子：** 7.429 ## 📌 项目概述 AegisScan是一款从零构建的混合型、浏览器可访问的网络安全平台，旨在弥合单一格式实验室恶意软件分类与实际可部署终端防御之间的差距。传统基于指纹匹配的杀毒软件无法应对多态变种、零日漏洞和非可执行恶意载体。 AegisScan通过执行多层分析解决此问题——统一静态解析、隔离行为沙盒以及堆叠式深度学习/集成机器学习架构。它通过单一无缝的Web界面处理**7种不同输入格式**，并为每个判定提供通俗易懂的对话式威胁推理说明。 ### 📊 性能与核心基准 在包含1,250个混合样本的平衡语料库和预留的严格零日分区上进行评估： * **分类准确率：** **94.2%**（优于独立的机器学习和经典签名基准）。 * **宏F1分数：** **93.2%**。 * **零日捕获率：** 对先前未见的变体捕获率达 **84.0%**（而传统签名杀毒软件仅能捕获32%）。 * **ROC曲线下面积（AUC）：** **0.962**，具有与阈值无关的类别可分离性。 * **操作优化：** 热缓存查询或清洁静态判定延迟低于2秒；隔离沙盒突发处理在严格的30秒窗口内完成。 ## ⚙️ 系统架构与流水线 AegisScan将其关注点分离为五个不同的结构层： 1. **接入层（React.js）：** 拖放式单页应用，实时计算客户端SHA-256哈希值以确保即时重复检测并查询热缓存。 2. **API网关层（Flask）：** 使用Gunicorn工作者协调异步处理，并通过Redis消息代理排队任务，以保持用户层的高响应性。 3. **静态特征提取层：** 使用格式特定的二进制和布局解析器（`pefile`、`pdfminer.six`、`oletools`、`Pillow`）将结构各异的文件转换为统一的数值特征向量。 4. **加固动态沙盒（Docker）：** 当静态解析导致模型不确定性较高时自适应调用。在网络隔离、权限受限的容器内执行不可信代码30秒，同时通过标准`strace`过滤器映射底层内核系统调用。 5. **堆叠学习混合集成：** 将静态向量传递至自定义的1维卷积神经网络（CNN），将动态系统调用跟踪传递至随机森林（RF）模型。基础分支概率直接馈送至调优的**逻辑元学习器**以进行最终分类阈值判定。 ## 🛠️ 完整技术栈 * **前端：** React.js、Vite、Tailwind CSS、shadcn/ui * **后端与API框架：** Python Flask、Gunicorn * **数据库与缓存存储：** PostgreSQL（不可变扫描哈希）、Redis（任务队列/快速缓存） * **机器学习架构：** TensorFlow（用于空间二进制表示的1维CNN）、scikit-learn（随机森林和堆叠框架） * **沙盒环境：** 加固的Docker容器、标准GNU Linux `strace`流水线 * **可解释AI框架：** SHAP特征重要性、带防护栏的对话式LLM网关，用于交互式威胁诊断 ## 🧪 核心研究与方法论 * **广泛格式处理：** 成功规范化Windows二进制文件（`.exe`/`.dll`）、PDF文本模型、Microsoft Office宏（`DOCX`/`XLSX`/`PPTX`）、栅格图像、多通道音频容器、视频包装器和Web URL。 * **轻量级特征提取：** 动态提取特定信号，如结构段熵（$H(s)=-\Sigma p_{i}\log_{2}p_{i}$）、导入地址表映射（例如跟踪`CreateRemoteThread`、`VirtualAllocEx`）、嵌入式脚本和网络行为日志。 * **可解释网络安全界面（XAI）：** AegisScan不输出令人困惑的密码字符串（例如`Trojan.Win32.Generic`），而是将其数学分类与集成的、受系统提示词约束的聊天机器人相匹配，以向普通用户解释特定文件被标记的原因以及如何安全应对。 ## 👥 合著者与研究团队 * Perada Vamshi * Gunta Koushik * D. Sreenivas * Shaik Abdul Kalam * **项目指导：** Ms. M. Amulya， M.Tech * **院系：** 计算机科学与工程系，工程与技术大学学院，阿查里亚·纳加尔朱纳大学。

标签：AegisScan, AI驱动安全, Apex, C2, Docker, React.js, 云安全监控, 人工智能, 卷积神经网络, 可解释人工智能, 多格式分析, 大型语言模型, 威胁情报, 安全防御评估, 对话式推理, 开发者工具, 搜索引擎查询, 机器学习, 沙箱, 测试用例, 深度学习, 混合检测平台, 用户模式Hook绕过, 端点安全, 网络安全, 补丁管理, 请求拦截, 逆向工具, 随机森林, 隐私保护, 零日攻击检测, 静态分析, 高性能计算