基于SVM模型的恶意PDF文档检测方法.docVIP

下载本文档

23
0
约5.91千字
约 8页
2017-03-01 发布于北京
举报
版权申诉

基于SVM模型的恶意PDF文档检测方法.doc

1、本文档共8页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

基于SVM模型的恶意PDF文档检测方法.doc

基于SVM模型的恶意PDF文档检测方法　　摘要：该文针对现有的PDF文档检测方案存在准确度低、易混淆等问题提出一种基于SVM模型的智能检测方法，同时结合PDF文档格式分析技术，实现对恶意PDF文档的检测。论文先对PDF文档中JavaScript代码进行定位、提取、解码、去混淆化等处理，得到原始的JavaScript代码。然后对得到的原始JavaScript代码提取相应的特征向量，再利用SVM分类器进行静态检测。最后对检测出来的恶意PDF文档的JavaScript代码中恶意代码部分shellcode部分，利用libemu仿真工具实现行为模拟运行，得到详细的恶意行为报告。实验表明该方法能有效检测出恶意的PDF文档，检测率有所提高，漏报率明显降低。　　关键词：PDF文档；JavaScript代码；SVM 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）24-0090-03 　　Abstract：In order to solve the problem of low accuracy and easy to confound in view of the existing PDF document detection scheme. In this paper， an intelligent detection method based on SVM model is proposed， which is combined with the PDF document format analysis technology to realize the detection of malicious PDF documents. First， the paper on the PDF document JavaScript code for positioning， extracting， decoding， to be confused， and other processing， get the original JavaScript code. Then extract the corresponding feature vector from the original JavaScript code， and use the SVM classifier for static detection. Finally， the malicious code in the JavaScript code of the detected malicious PDF code part of the shellcode， using libemu simulation tool to achieve the behavior of the simulation run， get a detailed report on the malicious behavior. Experimental results show that the method can effectively detect the malicious PDF document， the detection rate has increased， the false negative rate decreased significantly. 　　Key words：PDF document； JavaScript code； SVM 　　1 背景　　2008年以前恶意代码对PDF[1]文档的利用技术还不是很成熟，相应的PDF文档漏洞还比较少，其主要的检测方式都还处在特征码扫描的阶段。随着PDF市场占有率的迅速提高，PDF漏洞也开始增多，因为Office漏洞越来越少，而利用难度也越来越大，同时对恶意Office文档的检测技术已经非常成熟，于是PDF代替Office成为热门的恶意代码的有效载体。由于恶意代码对计算机的严重破坏性，检测和防止含有恶意代码的PDF文档已成为计算机安全领域的重要目标。　　目前，针对PDF攻击方式大多数都与JavaScript相关，其检测模型主要有三类：基于特征码的静态检测模型、基于跟踪JavaScript行为的动态检测模型以及动静结合检测模型。2012年，Laskov和NedimSrndic提出了针对PDF文档第一个静态检测模型――PJScan模型[2]。PJScan模型开创性地实现了从 PDF文档中提取JavaScript代码，并且真正实现了对恶意 JavaScript代码的静态检测。但是该模型也有不足之处。首先，在提取JavaScript代码时没有对JavaScript代码进行