arXiv:2502.13055v1 安装类型：交叉 摘要：移动应用程序的快速增长加剧了Android恶意软件的风险。虽然存在众多检测方法，但在应对不断演变的攻击、数据集偏差和有限的可解释性方面依然面临挑战。大规模语言模型（LLMs）凭借其零样本推理和推理能力提供了替代方案。然而，将LLMs应用于Android恶意软件检测面临两个关键挑战：（1）Android应用程序中的大量支持代码，通常跨越数千个类，超出LLMs的上下文限制，使恶意行为埋藏在良性功能中；（2）Android应用程序的结构复杂性和相互依赖关系超过了LLMs基于序列的推理能力，导致代码分析片段化，妨碍恶意意图推理。为应对这些挑战，我们提出了一种名为LAMD的实用上下文驱动框架，以促进基于LLMs的Android恶意软件检测。LAMD结合了关键上下文提取，以隔离安全关键的代码区域并构造程序结构，然后分层进行代码推理，逐步分析应用程序行为，从低级指令到高级语义，提供最终的预测和解释。配备了精心设计的事实一致性验证机制，以减轻第一层LLMs的幻觉。实境评估表明，LAMD在传统检测器之上具有有效性，为动态威胁环境中的基于LLMs的恶意软件分析奠定了可行的基础。