计算机科学 > 密码学与安全
[提交于 2025年7月30日
]
标题: 破解混淆:用于恶意JavaScript检测的集群感知图与大语言模型辅助恢复
标题: Breaking Obfuscation: Cluster-Aware Graph with LLM-Aided Recovery for Malicious JavaScript Detection
摘要: 随着基于网络的应用程序和云服务的迅速扩展,恶意JavaScript代码持续对用户隐私、系统完整性和企业安全构成重大威胁。然而,由于复杂的代码混淆技术以及JavaScript固有的语言特性,特别是其嵌套闭包结构和语法灵活性,检测此类威胁仍然具有挑战性。在本工作中,我们提出了DeCoda,一种结合大型语言模型(LLM)去混淆和代码图学习的混合防御框架:(1) 我们首先构建一个复杂的提示学习管道,经过多阶段优化,其中LLM逐步从混淆输入中重建原始代码结构,然后生成规范化的抽象语法树(AST)表示;(2) 在JavaScript AST中,动态类型分散了语义相似的节点,而深度嵌套的函数则破坏了作用域捕获,引入了结构噪声和语义歧义。为了解决这些挑战,我们随后提出通过Cluster-wise Graph学习分层代码图表示,该方法协同整合图变压器网络、节点聚类和节点到聚类注意力机制,从而同时捕捉来自AST图的局部节点级语义和全局聚类引起的结构关系。实验结果表明,我们的方法在两个基准数据集上分别达到了94.64%和97.71%的F1分数,相对于最先进的基线方法分别提升了10.74%和13.85%。在固定FPR水平(0.0001、0.001、0.01)的假阳性控制评估中,我们的方法分别比表现最好的基线方法提高了4.82、5.91和2.53的TPR。这些结果突显了基于LLM的去混淆的有效性,并强调了在检测恶意代码时建模聚类级关系的重要性。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.