基于结构路径的恶意PDF文档检测

发布时间：2025-05-20 01:55

　　 恶意PDF文档依然是网络安全中的威胁,甚至造成了许多重大的安全事故。现有检测方法主要分析恶意代码提取及仿真执行两个方面,检测效率不高,缺乏对PDF文档的针对性。在分析PDF文档结构特性的基础上,定义文档结构路径,提出了一种基于恶意和正常文档之间潜在的结构差异特性的检测方法。大量实验数据结果表明,本方法在检测准确率和检测速率方面都有不错的表现。

【文章页数】：5 页

【部分图文】：

图1PDF文档物理结构

程序试图提取文档中的所有ＪａｖａＳｃｒｉｐｔ信息，包括从交叉引用表中漏掉的目标以及潜在的变形目标，作为其动态执行的先决条件。提取的Ｓｃｒｉｐｔｓ将在仿真的Ａｃｒｏｂａｔ　Ｒｅａｄｅｒ引擎中执行，在受控的执行过程中，所有的内存缓冲区都将被基于二进制仿真的ＳｈｅｌｌＣｏｄｅ检测工具检....

图2PDF文档逻辑结构

ＰＤＦＪａｖａＳ－ｃｒｉｐｔ内容的定位。ＪａｖａＳｃｒｉｐｔ代码可能隐藏在ＰＤＦ文档的逻辑结构中，甚至位于ＰＤＦ标准所规定之外的其他位置。通过利用ｅｖａｌ（）函数，ＰＤＦ文档中的任何文本内容都能够解释成ＪａｖａＳｃｒｉｐｔ语言，因此并不能阻止攻击者将大块的恶意ＪａｖａＳ－ｃｒｉｐ....

图3系统检那流程

３　基于结构路径的恶意ＰＤＦ文档检测方法基于结构路径差异的恶意ＰＤＦ文档检测方法主要包括两大步骤：１．结构路径的抽取：分析ＰＤＦ文档物理和逻辑结构，并从中抽取出具有代表性意义的结构路径，是检测是否为恶意文档的基础。２．学习检测过程：通过对训练数据的学习，构建检测恶意ＰＤＦ文档的模....

图5决笼树算法示例

３　基于结构路径的恶意ＰＤＦ文档检测方法基于结构路径差异的恶意ＰＤＦ文档检测方法主要包括两大步骤：１．结构路径的抽取：分析ＰＤＦ文档物理和逻辑结构，并从中抽取出具有代表性意义的结构路径，是检测是否为恶意文档的基础。２．学习检测过程：通过对训练数据的学习，构建检测恶意ＰＤＦ文档的模....

本文编号：4046664