【技术实现步骤摘要】
一种PDF文件信任过滤及分析方法、装置、设备及介质
[0001]本专利技术涉及文件检测
,特别涉及一种PDF文件信任过滤及分析方法、装置、设备及介质。
技术介绍
[0002]当前,为维护网络安全常常需要对网络中的恶意文件进行检测,网络中存在各种类型文件,其中PDF文件类型占较大一部分,因此,针对PDF恶意文件的检测十分重要。现有技术中,企业的安全检测分析系统都有配带沙箱检测功能,将网络流量或邮件附件中获取的文件提交沙箱进行动态分析,但由于实际应用中绝大部分PDF文件为安全文件,不包含任何恶意代码或附件,通过沙箱或沙盒对获取的每个文件进行动态分析,会占用大量沙箱运行时间,降低恶意文件检测效率。
[0003]现有技术中,还通过对PDF文档进行特征和内容提取,然后利用规则库或特征库进行静态分析来判断是否为恶意PDF文档。例如,查询已知文件数据库并确认待检测PDF文档是否有检测记录,提取待检测PDF文档中的恶意攻击载荷代码并作为静态检测和动态检测的输入,但通常情况下PDF文档带有脚本等载荷,通过检测其恶意特征来判断是否...
【技术保护点】
【技术特征摘要】
1.一种PDF文件信任过滤及分析方法,其特征在于,包括:获取待分析PDF文件;根据键名前缀符从所述待分析PDF文件中提取出所有通用键名;判断所述通用键名中是否存在预设特殊键名,并根据判断结果确定所述待分析PDF文件的文件类型;其中,所述文件类型包括可信文件和不可信文件,所述不可信文件包括恶意文件和非恶意文件;将文件类型为所述不可信文件的所述待分析PDF文件送入沙箱进行动态分析,以生成文件分析结果。2.根据权利要求1所述的PDF文件信任过滤及分析方法,其特征在于,所述获取待分析PDF文件,包括:获取网络流量文件;将PDF格式文件对应的头部字段和尾部字段作为筛选条件,并利用所述筛选条件从所述网络流量文件中筛选出PDF文件作为所述待分析PDF文件。3.根据权利要求1所述的PDF文件信任过滤及分析方法,其特征在于,所述根据键名前缀符从所述待分析PDF文件中提取出所有通用键名,包括:对所述待分析PDF文件进行文件结构解析得到解析后文件,通过字典标识符从所述解析后文件中定位出目标内容字段;根据所述键名前缀符提取所述目标内容字段中包含的所有通用键名。4.根据权利要求1所述的PDF文件信任过滤及分析方法,其特征在于,所述根据键名前缀符从所述待分析PDF文件中提取出所有通用键名之后,还包括:对所述通用键名进行汇总并统计所述通用键名中相同键名的出现次数,以便在判断出所述待分析PDF文件为所述不可信文件后,根据所述待分析PDF文件中所述预设特殊键名的出现次数对所述待分析PDF文件进行不可信评分。5.根据权利要求1所述的PDF文件信任过滤及分析方法,其特征在于,所述将文件类型为所述不可信文件的所述待分析PDF文件送入沙箱进行动态分析,以生成文件分析结果,包括:将文件类型为所述不可信文件的所述待分析PDF文件送入沙箱进行动态分析,以便根据所述待分析PDF文件在所述沙箱中的...
【专利技术属性】
技术研发人员:刘华,范渊,刘博,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。