基于语义复原和大模型的无文件混淆攻击识别

信息安全研究 ›› 2025, Vol. 11 ›› Issue (12): 1125-.

基于语义复原和大模型的无文件混淆攻击识别

魏政1何树果2程度2,3仇晶4庞博文1邢亚君1郭媛1

1(北京智网数科技术有限公司北京100013)
2(北京升鑫网络科技有限公司北京100085)
3(清华大学网络科学与网络空间研究院北京100084)
4(广州大学网络空间安全学院广州510006)

出版日期:2025-12-12 发布日期:2025-12-04
通讯作者: 程度博士研究生，副研究员.主要研究方向为网络攻防、云计算安全、主机安全、ATT&CK攻击框架. chengdu1113@163.com
作者简介:魏政硕士，高级工程师.主要研究方向为网络安全. weizheng@pipechina.com.cn 何树果硕士，工程师.主要研究方向为网络安全. shuguo.he@qingteng.cn 程度博士研究生，副研究员.主要研究方向为网络攻防、云计算安全、主机安全、ATT&CK攻击框架. chengdu1113@163.com 仇晶博士，教授.主要研究方向为信息网络安全与威胁检测. qiujing@gzhu.edu.cn 庞博文硕士.主要研究方向为网络安全. poindon@163.com 邢亚君硕士.主要研究方向为网络安全. xingyj02@pipechina.com.cn 郭媛硕士，工程师.主要研究方向为网络安全. trfancy@163.com

基金资助:

国家自然科学基金项目(U24A20336,62272114)；国家科技重大专项基金项目(2022ZD0119602)；鹏程实验室重大攻关项目(PCL2024A05)；北京市科技计划项目(Z231100005923012)；广州市科技计划项目(2024A03J0399)

Fileless Obfuscation Attack Recognition Based on Semantic Recovery and Large Language Model

Wei Zheng1, He Shuguo2, Cheng Du2,3, Qiu Jing4, Pang Bowen1, Xing Yajun1, and Guo Yuan1

1(Beijing Pipe China Digital Co., Ltd., Beijing 100013)
2(Beijing Shengxin Network Technology Co., Ltd., Beijing 100085)
3(Institute of Network Science and Cyberspace, Tsinghua University, Beijing 100084)
4(School of Cyberspace Security, Guangzhou University, Guangzhou 510006)

Online:2025-12-12 Published:2025-12-04

摘要/Abstract

摘要： 近年来，随着无文件攻击方法和策略的进一步提升，无文件恶意攻击识别的相关研究也备受关注.其中，无文件混淆攻击作为一种新型的隐蔽式、动态式和复杂化攻击，能快速绕开现有的攻击引擎和规则式框架.为此，提出了一种基于动态局部执行和语义分析树指导的攻击脚本复原方法，以实现对混淆代码的复原.其次，基于大模型在攻击理解和语义识别上的高效性，结合大模型实现高效的无文件代码识别与分类.为进一步缓解大模型在大文件代码和长篇章识别上的不足，还提供了一种语义代码压缩策略以实现对关键攻击语义的保留.实验结果表明，提出的语义复原和大模型识别方法比现有方法提高10%左右的精确率和准确率，并同时提高了攻击识别效率.

关键词: 无文件攻击, 混淆攻击, 大模型, 语义树分析, 语义压缩

Abstract: With the continuous advancement of fileless attack techniques and strategies, research on identifying fileless malicious attack has garnered significant attention. Among these, fileless obfuscation attack, as a new type of covert, dynamic, and complex attack, can rapidly bypass existing attack engines and rulebased frameworks. To address this problem, this paper proposes an attack script restoration method guided by dynamic partial execution and semantic analysis tree guidance, enabling the restoration of obfuscated code. Furthermore, leveraging the efficiency of large models in attack understanding and semantic recognition, we integrate large models to achieve efficient identification and classification of fileless code. To further alleviate the limitations of large models in handling large code files and long passages, we also provide a semantic code compression strategy to retain critical attack semantics. Experimental results demonstrate that our proposed semantic restoration and large model identification methods can enhance effectiveness by around 10% compared to existing models and methods, while maintaining efficient attack identification efficiency.

Key words: fileless attack, confusion attack, large language model, semantic tree analysis, semantic compression

中图分类号:

TP309.2

魏政, 何树果, 程度, 仇晶, 庞博文, 邢亚君, 郭媛, . 基于语义复原和大模型的无文件混淆攻击识别[J]. 信息安全研究, 2025, 11(12): 1125-.

参考文献

［1］Moore D, Paxson V, Savage S, et al. Inside the slammer worm［J］. Security & Privacy Institute of Electrical and Electronics Engineers, 2003, 1(4): 3339［2］Justin Moore, Wojciech L, Luis R, et al. Live off the land? How about bringing your own island? An overview of UNC1945［ROL］.［20250101］. https:www.mandiant.comresourcesbloglive off the land an overview of unc1945［3］Carvalho L, Ado T, Morais R, et al. Conventional and zero trust security measures for precision agriculture devices: The mySense’s vine inspector casestudy［J］. Procedia Computer Science, 2025, 256(C): 246254［4］Leng T, Zhao L, Pan Y, et al. Early detection of fileless attacks based on multifeature fusion of complex attack vectors［C］ Proc of the 2024 IEEE Symp on Computers and Communications (ISCC). Piscataway, NJ: IEEE, 2024: 17［5］Borana P, Sihag V, Choudhary G, et al. An assistive tool for fileless malware detection［C］ Proc of the 2021 World Automation Congress (WAC). Piscataway, NJ: IEEE, 2021: 2125［6］Kara I. Fileless malware threats: Recent advances, analysis approach through memory forensics and research challenges［J］. Expert Systems with Applications, 2023, 214(C): 957974 ［7］Wu M H, Hsu F H, Huang J H, et al. Enhancing linux system security: A kernelbased approach to fileless malware detection and Mitigation［J］. Electronics, 2024, 13(17): 356369［8］Ezeonwu I J, Musa S M. Comparative analysis of machine learning classifiers for fileless malware detection［C］ Proc of the 2024 Int Conf on Green Energy, Computing and Sustainable Technology (GECOST). Piscataway, NJ: IEEE, 2024: 16［9］Liu S, Peng G, Zeng H, et al. A survey on the evolution of fileless attacks and detection techniques［J］. Computers & Security, 2023, 137: 10361053［10］Alvarez V M. Yara: The pattern matching Swiss knife［EBOL］. ［20250914］. https:github.comVirusTotalyara. ［11］ Kara I. Fileless malware threats: Recent advances, analysis approach through memory forensics and research challenges［J］. Expert Systems with Applications, 2023, 214: 119133［12］Lee G M, Shim S W, Cho B M, et al. Fileless cyberattacks: Analysis and classification［J］. ETRI Journal, 2021, 43(2): 332343［13］王铃铜, 王慧玲, 徐苗, 等. 跨站脚本攻击检测与防御技术综述［J］. 计算机应用研究, 2024, 41(3): 652662［14］Stiawan D, Idris M Y B, Bamhdi A M, et al. CICIDS2017 dataset feature analysis with information gain for anomaly detection［J］. IEEE Access, 2020, 8: 132911132921［15］Tokyoneon. Chimera［EBOL］. ［20240325］. https:github.comtokyoneonChimera［16］Hannon D. InvokeObfuscation［EBOL］. ［20230427］. https:github.comdanielbohannonInvokeObfuscation

[1]	李守伟, 张嘉政, 何海波, 陈明辉, . 基于区块链的大模型数据监管体系设计[J]. 信息安全研究, 2025, 11(8): 682-.
[2]	韦韬, 仲震宇, 刘焱, 陈达, 薛见新, 胡钺琳, 余超凡, 周云浩, . 大模型驱动的高阶程序[J]. 信息安全研究, 2025, 11(11): 1008-.
[3]	苏艳芳, 袁静, 薛俊民, . 大模型安全评估体系框架研究[J]. 信息安全研究, 2024, 10(E2): 105-.
[4]	谢梦珊, 陈平, 顾欣, 刘茂珍, 李颖琪, . 数字经济背景下开源大模型的安全与发展路径探索[J]. 信息安全研究, 2024, 10(E2): 263-.
[5]	毕超, . 金融业AI大模型的安全风险及应对[J]. 信息安全研究, 2024, 10(E1): 277-.
[6]	竹高山, 孙梦琪, 高阳, . 药企平台大模型安全威胁建模与评估#br#[J]. 信息安全研究, 2024, 10(E1): 182-.
[7]	金辉, . 大模型赋能涉网新型犯罪的打击和治理[J]. 信息安全研究, 2024, 10(E1): 33-.
[8]	曾辉, 熊诗雨, 狄永正, 史红周, . 基于差分隐私的联邦大模型微调技术[J]. 信息安全研究, 2024, 10(7): 616-.
[9]	韦韬, 刘焱, 翁海琴, 仲震宇, 朱泽韬, 王宇, 王美琴, . 大模型应用可信框架研究[J]. 信息安全研究, 2024, 10(12): 1153-.
[10]	王翔, 周辉, 李志鹏, 邢云, . 数据稀缺性与大模型数据价值的非对称性[J]. 信息安全研究, 2023, 9(7): 637-.
[11]	高亚楠, . 大模型技术的网络安全治理和应对研究[J]. 信息安全研究, 2023, 9(6): 551-.
[12]	朱燕涛, 姚纪卫, 杨芳. 以内存为靶心的高级威胁防护方案[J]. 信息安全研究, 2021, 7(E1): 46-.