arXiv:2502.13055v2 宣告类型: replace-cross 摘要：移动应用的迅猛增长已经加剧了Android恶意软件的威胁。尽管存在众多检测方法，但它们常常难以应对不断演变的攻击、数据集偏差以及有限的解释性。大规模语言模型（LLMs）由于其零样本推理和推理能力，提供了一种富有前景的替代方案。然而，将LLMs应用于Android恶意软件检测面临两大关键挑战：（1）Android应用中的大量支持代码，通常跨越数千个类，超过了LLMs的上下文限制，掩盖了良性功能中的恶意行为；（2）Android应用的结构复杂性和相互依赖性超出了LLMs的基于序列的推理能力，导致代码分析碎片化，妨碍了恶意意图的推理。为解决这些挑战，我们提出了LAMD，这是一种实用的上下文驱动框架，以使基于LLM的Android恶意软件检测成为可能。LAMD整合了关键上下文提取，以隔离安全关键代码区域并构建程序结构，然后采用分层代码推理，逐步分析应用行为，从低级指令到高级语义，最终提供预测和解释。设计了一个完善的事实一致性验证机制，以减轻第一层级中的LLM幻觉现象。在实际环境中的评估表明，LAMD优于传统的检测器，并为基于LLM的恶意软件分析在动态威胁环境中提供了可行的基础。