一种改进的恶意PDF文档静态检测方案.PDF

第３３卷第３期　　　 计算机应用与软件 Ｖｏｌ３３Ｎｏ．３ ２０１６年３月　　 ＣｏｍｐｕｔｅｒＡｐｐｌｉｃａｔｉｏｎｓａｎｄＳｏｆｔｗａｒｅ Ｍａｒ．２０１６ 一种改进的恶意ＰＤＦ文档静态检测方案 孙本阳　王轶骏　薛　质 （上海交通大学电子信息与电气工程学院　上海２００２４０） 摘　要　　随着ＰＤＦ文件的使用日益广泛，恶意的ＰＤＦ文档不断涌现。现有的恶意ＰＤＦ文档的检测方案有一定的缺陷，静态检测 的准确度较低并且易混淆。提出一种基于改进的Ｎｇｒａｍ文本提取机制和增强的单一类别支持向量机的机器学习模型的静态检测 方案。实验结果表明，该方案提高了静态检测方案的准确率，增加了一定的功能性和扩展性。 关键词　　恶意ＰＤＦ文档　静态检测　单一类别支持向量机 中图分类号　ＴＰ３９３　　　　文献标识码　Ａ　　　　ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１０００３８６ｘ．２０１６．０３．０７３ ＡＮＩＭＰＲＯＶＥＤＳＴＡＴＩＣＤＥＴＥＣＴＩＯＮＳＣＨＥＭＥＦＯＲＭＡＬＩＣＩＯＵＳＰＤＦＤＯＣＵＭＥＮＴＳ ＳｕｎＢｅｎｙａｎｇ　ＷａｎｇＹｉｊｕｎ　ＸｕｅＺｈｉ （ＳｃｈｏｏｌｏｆＥｌｅｃｔｒｏｎｉｃＩｎｆｏｒｍａｔｉｏｎａｎｄＥｌｅｃｔｒｉｃａｌＥｎｇｉｎｅｅｒｉｎｇ，ＳｈａｎｇｈａｉＪｉａｏＴｏｎｇＵｎｉｖｅｒｓｉｔｙ，Ｓｈａｎｇｈａｉ２００２４０，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ　　ＷｉｔｈｔｈｅｉｎｃｒｅａｓｉｎｇｌｙｗｉｄｅｓｐｒｅａｄｕｓｅｏｆＰＤＦ，ｍａｌｉｃｉｏｕｓＰＤＦｄｏｃｕｍｅｎｔｓａｒｅｃｏｎｓｔａｎｔｌｙｅｍｅｒｇｉｎｇ．Ｅｘｉｓｔｉｎｇｄｅｔｅｃｔｉｎｇｓｃｈｅｍｅｓｏｆ ｍａｌｉｃｉｏｕｓＰＤＦｄｏｃｕｍｅｎｔｓａｌｌｈａｖｅｃｅｒｔａｉｎｄｅｆｅｃｔｓ．Ｔｈｅｓｔａｔｉｃｄｅｔｅｃｔｉｏｎｉｓｉｎｌｏｗａｃｃｕｒａｃｙａｎｄｉｓｅａｓｉｌｙｇａｒｂｌｅｄａｓｗｅｌｌ．Ｔｈｉｓｐａｐｅｒｐｒｅｓｅｎｔｓａ ｓｔａｔｉｃｄｅｔｅｃｔｉｏｎｓｃｈｅｍｅ，ｉｔｉｓｂａｓｅｄｏｎｉｍｐｒｏｖｅｄＮｇｒａｍｔｅｘｔｅｘｔｒａｃｔｉｏｎｍｅｃｈａｎｉｓｍａｎｄｅｎｈａｎｃｅｄＯＣＳＶＭ（ｏｎｅｃｌａｓｓｓｕｐｐｏｒｔｖｅｃｔｏｒｍａｃｈｉｎｅ） ｍａｃｈｉｎｅｌｅａｒｎｉｎｇｍｏｄｅｌｓ．Ｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅｓｃｈｅｍｅｉｍｐｒｏｖｅｓｔｈｅａｃｃｕｒａｃｙｏｆｓｔａｔｉｃｄｅｔｅｃｔｉｏｎｓｃｈｅｍｅ，ａｎｄａｄｄｓｓｏｍｅ ｆｕｎｃｔｉｏｎａｌｉｔｙａｎｄｓｃａｌａｂｉｌｉｔｙ． Ｋｅｙｗｏｒｄｓ　　ＭａｌｉｃｉｏｕｓＰＤＦｄｏｃｕｍｅｎｔｓ　Ｓｔａｔｉｃｄｅｔｅｃｔｉｏｎ　ＯＣＳＶＭ 用动态检测的方法来确定文档的类别。这种方法是要建立在静 ０　引　言 态检测和动态检测的基础上的，一个良好的静态检测的方法会 大大提高初步筛选的效率，能够快速准确地对文档进行恶意、正 自２００８年ＡｄｏｂｅＲｅａｄｅｒ被发现出第一例关键漏洞以来， 常或可疑的分类，一个良好的动态检测的方法会使得对可疑文 ＰＤＦ已经成为了攻击者的主要目标。针对ＰＤＦ的攻击方法可 档的检测更为可靠。所以，从研究角度上讲，仍需要从静态检测 以分为三类。第一类是针对ＡｄｏｂｅＪａｖａＳｃｒｉｐｔＡＰＩ的攻击，这种 和动态检测具体的方面来出发。本文主要从静态方面入手，提 方法也是发现最早并使用最广的一种。第二类是利用 Ａｄｏｂｅ 出一种改进的静态检测方案，提高了恶意ＰＤＦ文档的检测准确 Ｒｅａｄｅｒ的非ＪａｖａＳｃｒｉｐｔ的漏洞，但是需要使用ＪａｖａＳｃｒｉｐｔ来触发， 率，并能提供更详尽的攻击模式信息。 例如使用堆喷射技术等。第三类是使用嵌入ＰＤＦ文档中的一 些ＴｒｕｅＴｙｐｅ的漏洞，这一类的攻击方式和ＪａｖａＳｃｒｉｐｔ无关，也很 １　ＰＤＦ文档检测的相关