KishoreX06/Multi-feature-fusion-of-APT-Attribution-Classification

# APT 恶意软件归因 - 多特征融合 本仓库包含一个用于 APT 恶意软件归因的多特征融合管道。它结合了静态操作码/图像特征与动态沙箱行为图，遵循了 *《基于多特征融合的 APT 恶意软件归因分类方法》* 中的思路。 ## 仓库结构 ``` . ├── src/multifeaturefusion/ │ ├── static_analysis/ # PE disassembly and opcode image generation │ └── dynamic_analysis/ # Sandbox report collection helpers ├── notebooks/ # Training and fusion notebooks ├── data/ # Local/generated datasets, ignored by Git ├── reports/figures/ # Result plots and architecture diagrams └── docs/ # Extra documentation, reports, and notes ``` ## 管道流程 1. 静态分析使用 Capstone 对 PE 样本进行反汇编，并将选定的操作码频率转换为 64x64 共现图像。 2. 动态分析从 VirusTotal 和 Hybrid Analysis 等服务获取或提交沙箱报告，然后将报告标准化为通用的 JSON 格式。 3. 模型笔记本在生成的工件上训练静态、动态和融合归因模型。 ## 环境设置 创建虚拟环境并安装依赖项： ``` python -m venv .venv pip install -r requirements.txt ``` 对于 PyTorch Geometric，如果 `pip install -r requirements.txt` 无法自动解析，请按照官方 PyG 说明安装与您本地 PyTorch/CUDA 设置匹配的 wheel 文件。 ## 使用方法 反汇编按 APT 组分组的恶意软件样本： ``` python src/multifeaturefusion/static_analysis/disassemble_capstone.py \ --samples-dir data/raw/samples \ --output-dir data/static/disassembly ``` 生成操作码频率 CSV 和图像特征： ``` python src/multifeaturefusion/static_analysis/generate_images.py \ --disassembly-dir data/static/disassembly \ --csv-dir data/static/opcode_csv \ --output-dir data/static/images ``` 使用运行时提供的 API 密钥获取动态报告： ``` python src/multifeaturefusion/dynamic_analysis/vt_fetch.py \ --samples_dir data/raw/samples \ --output_dir data/dynamic/reports \ --vt_key1 YOUR_VT_KEY ``` ## 数据处理 恶意软件样本、沙箱 JSON 报告、生成的操作码图像和中间 CSV 文件均被 Git 忽略。请在本地 `data/` 目录下保留这些工件，或通过批准的数据集存储机制单独发布。 请勿提交 API 密钥、原始恶意软件样本、虚拟环境或包含私人信息的服务响应日志。

标签：Apex, APT攻击, Capstone反汇编, DAST, opcode图像, Python, PyTorch, 云安全监控, 图像特征, 图形神经网络, 多特征融合, 恶意软件分析, 恶意软件归因, 数据融合, 无后门, 机器学习, 沙盒分析, 网络安全, 行为图, 逆向工具, 隐私保护, 静态分析