融合图神经网络与大语言模型的PDF恶意软件检测框架

本文介绍GitHub上的GNN-LLM-PDF-Malware项目，该框架创新性融合图神经网络（GNN）与大语言模型（LLM），实现PDF恶意软件的家族分类、子家族识别及行为分析，突破传统二元检测局限，为网络安全领域提供多层次威胁检测方案。

PDF因复杂结构（含JS代码、嵌入式文件、动作脚本等）成为恶意传播重要载体。传统检测方法（特征码、静态签名）难应对演变攻击，简单机器学习无法捕捉文档内部结构化信息；且仅判断恶意/良性不够，安全分析师需家族、行为、漏洞等深层情报制定防御策略。

GNN的应用

PDF内部结构适合图表示（对象引用、JS调用链等建模为节点/边），GNN擅长处理非欧几里得数据，可捕捉局部结构特征、传播信息、识别异常子图，对应代码文件为Feature_Extraction_GNN.py。

LLM的增强

LLM擅长理解文本内容（JS代码、元数据等），可分析代码语义、上下文推理、生成行为描述，对应代码有Finetune_LLM目录及LLM_evaluate.py。

框架采用分阶段策略：

1. 阶段1&2：GNN特征提取：通过Feature_Extraction_GNN (Stage1 & 2).py将PDF解析为图结构，GNN学习节点表示（含结构与上下文信息）。
2. 阶段3：LLM评估与分析：通过LLM_evaluate (Stage 3).py输出分类结果，并生成恶意软件行为的自然语言描述，辅助分析师理解威胁。

项目含Dataset目录，提供训练所需标注数据（高质量数据是模型鲁棒性关键）。技术细节包括：

• PDF解析与图构建：需深入PDF格式知识，解析对象结构、引用关系及活动内容。
• GNN模型设计：可选GCN、GAT、GraphSAGE等架构，需处理变长图结构并学习判别性表示。
• LLM微调策略：需选择基础模型、设计任务提示模板、处理长文本输入等。

该框架在多场景有价值：

• 企业SOC：自动化检测并提供上下文，帮助分析师快速理解威胁严重性。
• 威胁情报分析：通过家族分类追踪攻击组织活动，了解恶意软件演进趋势。
• 沙箱增强：静态分析补充动态沙箱结果，形成全面威胁画像。

框架存在挑战：

• 对抗样本攻击：恶意作者可能修改PDF结构逃避检测，需增强模型鲁棒性。
• 计算效率：GNN与LLM计算密集，需优化推理速度以处理大规模扫描。 未来方向：探索多模态融合（加入PDF渲染图像等视觉信息），提升检测能力。

GNN-LLM-PDF-Malware项目代表恶意软件检测重要发展方向，结合GNN结构建模与LLM语义理解能力，实现从简单分类到深度分析的跃升。对安全从业者与研究者而言，既是实用工具，也是AI在安全领域应用的重要参考，将成为下一代安全防御系统的关键组成部分。