恶意PDF文档的静态检测技术研究

作     者：丁晓煌 

作者单位：西安电子科技大学 

学位级别：硕士

导师姓名：权义宁

授予年度：2014年

学科分类：08[工学] 0839[工学-网络空间安全] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：恶意PDF文档 静态检测 N-gram特征提取 分类器级联技术 

摘      要：随着互联网的高速发展和办公自动化的日益普及，全球电子文档分发的开放式标准已经变为PDF(portable document format)文件，PDF文件是基于PostScript文件格式之后的一种新的输出文件格式。但是PDF文档在为人们的工作和生活带来许多便利的同时，同样也产生了很多问题。其中，尤其以恶意PDF文档所造成的危害最大最广，给企业和用户造成了巨大的不可挽回的损失，给互联网应用带来了严峻的威胁和挑战。因为恶意PDF文件对计算机的严重破坏性，对恶意PDF文档的检测已经成为了计算机安全领域研究的热点。 在本文中，首先介绍了PDF文档的物理结构和逻辑结构，并对PDF文档就攻击方式和检测技术进行了研究，在此基础上，给出了一种基于分类器级联的恶意PDF文档静态检测模型。该模型主要分为三个模块：数据预处理模块、基于N-gram算法的特征提取模块和基于分类器级联技术的PDF文件识别模块。在数据预处理模块中，本文给出了一套完整的针对PDF文件中JavaScript代码的处理方法以得到原始的JavaScript代码。在基于N-gram算法的特征提取模块中，本文针对两种不同的PDF文件攻击方式，采用两种不同的N-gram特征提取方法。在基于分类器级联技术的PDF文件识别模块中，本文针对两种不同的PDF文件攻击方式，采用两种不同的分类算法建立分类模型，并对两个不同分类模型的结果进行处理，得到最终的识别结果，有效地避免了使用单一分类算法的不足。 经过性能对比，本文提出的恶意PDF文档静态检测模型，在恶意PDF文件检测时，检测率优于现有的静态检测模型，检测时间低于现有的动态检模型统。