基于改進(jìn)的N-gram惡意PDF文檔靜態(tài)檢測(cè)技術(shù)研究.pdf

1、隨著信息技術(shù)的發(fā)展和辦公自動(dòng)化的普及，PDF文檔逐漸成為人們工作和學(xué)習(xí)上必不可少的首選應(yīng)用文本軟件。盡管 PDF文檔帶來(lái)諸多便利，使用過(guò)程中漸漸出現(xiàn)很多安全問(wèn)題。攻擊者利用PDF文檔格式漏洞嵌入惡意JavaScript代碼進(jìn)行攻擊，獲取特定目標(biāo)的私密信息，給特定目標(biāo)造成無(wú)法估計(jì)的損失。因此檢測(cè)和防范嵌入惡意JavaScript代碼的PDF文檔逐漸成為信息安全領(lǐng)域國(guó)內(nèi)外研究學(xué)者研究的重要目標(biāo)。
　　本文對(duì)PDF文檔進(jìn)行分析，主要介紹

2、PDF文檔的物理結(jié)構(gòu)與邏輯結(jié)構(gòu)、PDF文檔的攻擊技術(shù)及惡意 PDF文檔的傳播途徑。深入分析現(xiàn)有基于 N-gram的惡意 PDF文檔靜態(tài)檢測(cè)模型，存在兩點(diǎn)不足：第一，忽略了 PDF文檔中隱藏信息對(duì)提取的JavaScript代碼完整程度的影響以及對(duì)提取出來(lái)的JavaScript代碼預(yù)處理不足；第二，N-gram特征提取方法只能提取到固定長(zhǎng)度的N-gram特征，導(dǎo)致有效特征被分隔開(kāi)。論文針對(duì)上述問(wèn)題提出了一種改進(jìn)的N-gram惡意PDF文檔靜

3、態(tài)檢測(cè)模型，設(shè)計(jì)一個(gè)PDF文檔預(yù)處理流程，包括解密處理、解碼處理、JavaScript定位與提取和JavaScript去混淆處理，確保提取的JavaScript代碼完整及有效；在現(xiàn)有N-gram特征提取方法基礎(chǔ)上進(jìn)行改進(jìn)，確保提取到更有效的 N-gram特征向量。為了驗(yàn)證改進(jìn)的 N-gram特征提取方法的有效性，使用改進(jìn)前后的N-gram特征提取方法進(jìn)行特征提取，將提取到的特征向量作為數(shù)據(jù)輸入部分，使用多種檢測(cè)算法進(jìn)行訓(xùn)練與測(cè)試得到檢測(cè)