LAMD: Context-driven Android Malware Detection and Classification with LLMs

要約

モバイルアプリケーションの急速な成長により、Androidマルウェアの脅威がエスカレートしています。
多数の検出方法がありますが、多くの場合、進化する攻撃、データセットバイアス、および限られた説明可能性に苦労しています。
大規模な言語モデル（LLMS）は、ゼロショットの推論と推論機能を備えた有望な代替手段を提供します。
ただし、LLMSをAndroidマルウェア検出に適用すると、2つの重要な課題があります。（1）多くの場合、数千のクラスにまたがるAndroidアプリケーションの広範なサポートコードは、LLMのコンテキスト制限を超えて、良性機能内の悪意のある動作を曖昧にします。
（2）Androidアプリケーションの構造的複雑さと相互依存性は、LLMSのシーケンスベースの推論、コード分析の断片化、悪意のある意図の推論を妨げます。
これらの課題に対処するために、LLMベースのAndroidマルウェア検出を可能にする実用的なコンテキスト主導型フレームワークであるLamdを提案します。
LAMDは、主要なコンテキスト抽出を統合して、セキュリティクリティカルなコード領域を分離し、プログラム構造を構築し、低レベルの命令から高レベルのセマンティクスまで、アプリケーションの動作を徐々に分析し、最終的な予測と説明を提供します。
適切に設計された事実の一貫性検証メカニズムは、最初の層からのLLM幻覚を軽減するために装備されています。
現実世界の設定での評価は、従来の検出器に対するラムの有効性を示しており、動的な脅威の状況におけるLLM駆動型マルウェア分析の実行可能な基盤を確立します。

要約(オリジナル)

The rapid growth of mobile applications has escalated Android malware threats. Although there are numerous detection methods, they often struggle with evolving attacks, dataset biases, and limited explainability. Large Language Models (LLMs) offer a promising alternative with their zero-shot inference and reasoning capabilities. However, applying LLMs to Android malware detection presents two key challenges: (1)the extensive support code in Android applications, often spanning thousands of classes, exceeds LLMs’ context limits and obscures malicious behavior within benign functionality; (2)the structural complexity and interdependencies of Android applications surpass LLMs’ sequence-based reasoning, fragmenting code analysis and hindering malicious intent inference. To address these challenges, we propose LAMD, a practical context-driven framework to enable LLM-based Android malware detection. LAMD integrates key context extraction to isolate security-critical code regions and construct program structures, then applies tier-wise code reasoning to analyze application behavior progressively, from low-level instructions to high-level semantics, providing final prediction and explanation. A well-designed factual consistency verification mechanism is equipped to mitigate LLM hallucinations from the first tier. Evaluation in real-world settings demonstrates LAMD’s effectiveness over conventional detectors, establishing a feasible basis for LLM-driven malware analysis in dynamic threat landscapes.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google