本公开涉及一种恶意PDF文档检测方法、装置及电子设备,应用于网络安全技术领域,解决现有技术用于检测的信息完整而导致恶意PDF文档的检测结果不准确的问题,该方法包括:获取便携式文档格式PDF文档中明文对象的A个特征关键字;获取PDF文档的根节点信息;确定根节点信息所指示的流对象中包括的B个特征关键字;针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字;将多个恶意特征关键字,确定为恶意PDF文档识别模型的训练样本。本。本。
【技术实现步骤摘要】
一种恶意PDF文档检测方法、装置及电子设备
[0001]本公开涉及网络安全
,尤其涉及一种恶意PDF文档检测方法、装置及电子设备。
技术介绍
[0002]随着互联网的高速发展和办公自动化的日益普及,便携式文档格式(Portbale Document Format,PDF)己经成为全球电子文档分发的开放式标准,由于PDF文档的高实用性和普遍适应性,如果恶意代码将PDF文档作为载体,那么将加速恶意代码的快速传播,因此检测出含有恶意代码的文档并进行防御己成为计算机安全领域的重要目标。现有技术通过使用扫描工具提取PDF文档中的元数据进行检测,但这种方法针对元数据的检测是直接对象层面的检测,并未考虑检测PDF文档中包含的间接对象,导致用于检测的信息并不完整,从而造成恶意PDF文档的检测结果不准确。
技术实现思路
[0003]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种恶意PDF文档检测方法、装置及电子设备。
[0004]第一方面,本公开提供了恶意PDF文档检测方法,该方法包括:
[0005]获取便携式文档格式PDF文档中明文对象的A个特征关键字;
[0006]获取PDF文档的根节点信息;
[0007]确定根节点信息所指示的流对象中包括的B个特征关键字;
[0008]针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字,M个特征关键字包括:A个特征关键字和B个特征关键字;
[0009]将多个恶意特征关键字,确定为恶意PDF文档识别模型的训练样本。
[0010]可选的,针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字,包括:
[0011]针对M个特征关键字,计算每个特征关键字在PDF文档中的第一出现次数;
[0012]从M个特征关键字中,确定出现次数大于或等于预设次数的多个第一特征关键字;
[0013]针对多个第一特征关键字循环进行恶意特征关键字的识别,直到得到多个恶意特征关键字。
[0014]可选的,针对多个第一特征关键字循环进行恶意特征关键字的识别,直到得到多个恶意特征关键字,包括:针对多个第一特征关键字循环执行以下步骤,以进行恶意特征关键字的识别,直到得到的剩余特征关键字为多个恶意特征关键字:
[0015]根据多个第一特征关键字中任意多个特征关键字的关联值,确定出至少一个特征组,每个特征组中包括一个特征关键字,或者,多个关联的特征关键字;
[0016]将检测结果作为因变量,目标特征组中的T个特征关键字作为自变量,并根据目标特征组与检测结果的关系,建立一个T元函数,目标特征组为至少一个特征组中特征关键字
数量最多的特征组;
[0017]对目标自变量求导,计算T个特征关键字中目标特征关键字对应的目标出现次数,目标特征关键字为T个特征关键字中的任一个;
[0018]将恶意PDF文档中目标特征关键字的出现次数修改为第二出现次数,第二出现次数与目标出现次数不同;
[0019]检测目标特征关键字是否为恶意特征关键字;
[0020]若目标特征关键字不是恶意特征关键字,则从至少一个特征组中删除目标特征关键字,将剩余的特征关键字作为多个第一关键字。
[0021]可选的,流对象的字典中包括解码方式;
[0022]确定根节点信息所指示的流对象中包括的B个特征关键字,包括:
[0023]根据解码方式对流对象进行解密或解压缩处理;
[0024]提取流对象中包括的间接引用对象;
[0025]从间接引用对象中确定B个特征关键字。
[0026]可选的,流对象的字典中包括间接引用对象的原始个数;
[0027]确定根节点信息所指示的流对象中包括的B个特征关键字,包括:
[0028]确定根节点信息所指示的流对象中包含的间接引用对象的当前个数;
[0029]若当前个数等于原始个数,则获取间接引用对象中包括的B个特征关键字。
[0030]可选的,获取PDF文档的根节点信息,包括:
[0031]从PDF文档中获取文件尾标签;
[0032]根据文件尾标签从PDF文档中定位文件尾的位置;
[0033]基于文件尾的位置,获取文件尾信息;
[0034]从文件尾信息中确定根节点信息。
[0035]可选的,获取PDF文档的根节点信息,包括:
[0036]从PDF文档中获取开始标志;
[0037]确定开始标志对应的字段;
[0038]从开始标志对应的字段中确定根节点信息。
[0039]第二方面,本公开提供了一种恶意PDF文档检测装置,该装置包括:
[0040]获取模块,用于获取便携式文档格式PDF文档中明文对象的A个特征关键字;获取PDF文档的根节点信息;确定根节点信息所指示的流对象中包括的B个特征关键字;
[0041]识别模块,用于针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字,M个特征关键字包括:A个特征关键字和B个特征关键字;
[0042]训练模块,用于将多个恶意特征关键字,确定为恶意PDF文档识别模型的训练样本。
[0043]可选的,识别模块,具体用于针对M个特征关键字,计算每个特征关键字在PDF文档中的第一出现次数;
[0044]从M个特征关键字中,确定出现次数大于或等于预设次数的多个第一特征关键字;
[0045]针对多个第一特征关键字循环进行恶意特征关键字的识别,直到得到多个恶意特征关键字。
[0046]可选的,识别模块,具体用于针对多个第一特征关键字循环执行以下步骤,以进行
恶意特征关键字的识别,直到得到的剩余特征关键字为多个恶意特征关键字:
[0047]根据多个第一特征关键字中任意多个特征关键字的关联值,确定出至少一个特征组,每个特征组中包括一个特征关键字,或者,多个关联的特征关键字;
[0048]将检测结果作为因变量,目标特征组中的T个特征关键字作为自变量,并根据目标特征组与检测结果的关系,建立一个T元函数,目标特征组为至少一个特征组中特征关键字数量最多的特征组;
[0049]对目标自变量求导,计算T个特征关键字中目标特征关键字对应的目标出现次数,目标特征关键字为T个特征关键字中的任一个;
[0050]将恶意PDF文档中目标特征关键字的出现次数修改为第二出现次数,第二出现次数与目标出现次数不同;
[0051]检测目标特征关键字是否为恶意特征关键字;
[0052]若目标特征关键字不是恶意特征关键字,则从至少一个特征组中删除目标特征关键字,将剩余的特征关键字作为多个第一关键字。
[0053]可选的,流对象的字典中包括解码方式;
[0054]获取模块,具体用于根据解码方式对流对象进行解密或解压缩处理;
[0055]提取流对象中包括的间接引用对象;
[0056]从间接引本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意PDF文档检测方法,其特征在于,包括:获取便携式文档格式PDF文档中明文对象的A个特征关键字;获取PDF文档的根节点信息;确定所述根节点信息所指示的流对象中包括的B个特征关键字;针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字,所述M个特征关键字包括:所述A个特征关键字和所述B个特征关键字;将所述多个恶意特征关键字,确定为恶意PDF文档识别模型的训练样本。2.根据权利要求1所述的方法,其特征在于,所述针对M个特征关键字,进行恶意特征关键字的识别,得到多个恶意特征关键字,包括:针对M个特征关键字,计算每个特征关键字在所述PDF文档中的第一出现次数;从M个特征关键字中,确定所述出现次数大于或等于预设次数的多个第一特征关键字;针对所述多个第一特征关键字循环进行恶意特征关键字的识别,直到得到所述多个恶意特征关键字。3.根据权利要求2所述的方法,其特征在于,所述针对所述多个第一特征关键字循环进行恶意特征关键字的识别,直到得到所述多个恶意特征关键字,包括:针对所述多个第一特征关键字循环执行以下步骤,以进行恶意特征关键字的识别,直到得到的剩余特征关键字为所述多个恶意特征关键字:根据所述多个第一特征关键字中任意多个特征关键字的关联值,确定出至少一个特征组,每个特征组中包括一个特征关键字,或者,多个关联的特征关键字;将检测结果作为因变量,目标特征组中的T个特征关键字作为自变量,并根据目标特征组与检测结果的关系,建立一个T元函数,所述目标特征组为所述至少一个特征组中特征关键字数量最多的特征组;对目标自变量求导,计算T个特征关键字中目标特征关键字对应的目标出现次数,所述目标特征关键字为所述T个特征关键字中的任一个;将恶意PDF文档中所述目标特征关键字的出现次数修改为第二出现次数,所述第二出现次数与所述目标出现次数不同;检测所述目标特征关键字是否为恶意特征关键字;若所述目标特征关键字不是恶意特征关键字,则从所述至少一个特征组中删除所述目标特征关键字,将剩余的特征关键字作为所述多个第一关键字。4.根据权利要求1所述的方法,其特征在于,所述...
【专利技术属性】
技术研发人员:徐晓,薛智慧,余小军,黄娜,李建国,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。