惡意PDF文檔的靜態(tài)檢測技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的高速發(fā)展和辦公自動(dòng)化的日益普及,全球電子文檔分發(fā)的開放式標(biāo)準(zhǔn)已經(jīng)變?yōu)镻DF(portable document format)文件,PDF文件是基于PostScript文件格式之后的一種新的輸出文件格式。但是PDF文檔在為人們的工作和生活帶來許多便利的同時(shí),同樣也產(chǎn)生了很多問題。其中,尤其以惡意PDF文檔所造成的危害最大最廣,給企業(yè)和用戶造成了巨大的不可挽回的損失,給互聯(lián)網(wǎng)應(yīng)用帶來了嚴(yán)峻的威脅和挑戰(zhàn)。因?yàn)閻阂釶DF文件對計(jì)算

2、機(jī)的嚴(yán)重破壞性,對惡意PDF文檔的檢測已經(jīng)成為了計(jì)算機(jī)安全領(lǐng)域研究的熱點(diǎn)。
　　在本文中,首先介紹了PDF文檔的物理結(jié)構(gòu)和邏輯結(jié)構(gòu),并對PDF文檔就攻擊方式和檢測技術(shù)進(jìn)行了研究,在此基礎(chǔ)上,給出了一種基于分類器級聯(lián)的惡意PDF文檔靜態(tài)檢測模型。該模型主要分為三個(gè)模塊:數(shù)據(jù)預(yù)處理模塊、基于N-gram算法的特征提取模塊和基于分類器級聯(lián)技術(shù)的PDF文件識別模塊。在數(shù)據(jù)預(yù)處理模塊中,本文給出了一套完整的針對PDF文件中JavaScrip

3、t代碼的處理方法以得到原始的JavaScript代碼。在基于N-gram算法的特征提取模塊中,本文針對兩種不同的PDF文件攻擊方式,采用兩種不同的N-gram特征提取方法。在基于分類器級聯(lián)技術(shù)的PDF文件識別模塊中,本文針對兩種不同的PDF文件攻擊方式,采用兩種不同的分類算法建立分類模型,并對兩個(gè)不同分類模型的結(jié)果進(jìn)行處理,得到最終的識別結(jié)果,有效地避免了使用單一分類算法的不足。
　　經(jīng)過性能對比,本文提出的惡意PDF文檔靜態(tài)檢測