惡意PDF文檔依然是網(wǎng)絡(luò)安全中的威脅,甚至造成了許多重大的安全事故�，F(xiàn)有檢測方法主要分析惡意代碼提取及仿真執(zhí)行兩個方面,檢測效率不高,缺乏對PDF文檔的針對性。在分析PDF文檔結(jié)構(gòu)特性的基礎(chǔ)上,定義文檔結(jié)構(gòu)路徑,提出了一種基于惡意和正常文檔之間潛在的結(jié)構(gòu)差異特性的檢測方法。大量實驗數(shù)據(jù)結(jié)果表明,本方法在檢測準確率和檢測速率方面都有不錯的表現(xiàn)。

【文章頁數(shù)】：5 頁

【部分圖文】：

圖1PDF文檔物理結(jié)構(gòu)

程序試圖提取文檔中的所有ＪａｖａＳｃｒｉｐｔ信息，包括從交叉引用表中漏掉的目標以及潛在的變形目標，作為其動態(tài)執(zhí)行的先決條件。提取的Ｓｃｒｉｐｔｓ將在仿真的Ａｃｒｏｂａｔ�。遥澹幔洌澹蛞嬷袌�(zhí)行，在受控的執(zhí)行過程中，所有的內(nèi)存緩沖區(qū)都將被基于二進制仿真的ＳｈｅｌｌＣｏｄｅ檢測工具檢....

圖2PDF文檔邏輯結(jié)構(gòu)

ＰＤＦＪａｖａＳ－ｃｒｉｐｔ內(nèi)容的定位。ＪａｖａＳｃｒｉｐｔ代碼可能隱藏在ＰＤＦ文檔的邏輯結(jié)構(gòu)中，甚至位于ＰＤＦ標準所規(guī)定之外的其他位置。通過利用ｅｖａｌ（）函數(shù)，ＰＤＦ文檔中的任何文本內(nèi)容都能夠解釋成ＪａｖａＳｃｒｉｐｔ語言，因此并不能阻止攻擊者將大塊的惡意ＪａｖａＳ－ｃｒｉｐ....

圖3系統(tǒng)檢那流程

３　基于結(jié)構(gòu)路徑的惡意ＰＤＦ文檔檢測方法基于結(jié)構(gòu)路徑差異的惡意ＰＤＦ文檔檢測方法主要包括兩大步驟：１．結(jié)構(gòu)路徑的抽�。悍治觯校模莆臋n物理和邏輯結(jié)構(gòu)，并從中抽取出具有代表性意義的結(jié)構(gòu)路徑，是檢測是否為惡意文檔的基礎(chǔ)。２．學(xué)習(xí)檢測過程：通過對訓(xùn)練數(shù)據(jù)的學(xué)習(xí)，構(gòu)建檢測惡意ＰＤＦ文檔的模....

圖5決籠樹算法示例

３　基于結(jié)構(gòu)路徑的惡意ＰＤＦ文檔檢測方法基于結(jié)構(gòu)路徑差異的惡意ＰＤＦ文檔檢測方法主要包括兩大步驟：１．結(jié)構(gòu)路徑的抽�。悍治觯校模莆臋n物理和邏輯結(jié)構(gòu)，并從中抽取出具有代表性意義的結(jié)構(gòu)路徑，是檢測是否為惡意文檔的基礎(chǔ)。２．學(xué)習(xí)檢測過程：通過對訓(xùn)練數(shù)據(jù)的學(xué)習(xí)，構(gòu)建檢測惡意ＰＤＦ文檔的模....

本文編號：4046664