恶意PDF文档的静态检测技术研究-计算机系统结构专业论文.docxVIP

西安电子科技大学 学位论文独创性（或创新性）声明 秉承学校严谨的学风和优良的科学道德，本人声明所呈交的论文是我个人在 导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标 注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成 果；也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中做了明确的说 明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切的法律责任。 本人签名： 日期: 西安电子科技大学 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。学校有权保 留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全部或部分内 容，可以允许采用影印、缩印或其它复制手段保存论文。同时本人保证，毕业后 结合学位论文研究课题再撰写的文章一律署名单位为西安电子科技大学。 （保密的论文在解密后遵守此规定） 本学位论文属于保密，在 年解密后适用本授权书。 本人签名： 日期: 导师签名： 日期: 摘要 随着互联网的高速发展和办公自动化的日益普及，全球电子文档分发的开放 式标准已经变为 PDF(portable document format)文件，PDF 文件是基于 PostScript 文件格式之后的一种新的输出文件格式。但是 PDF 文档在为人们的工作和生活带 来许多便利的同时，同样也产生了很多问题。其中，尤其以恶意 PDF 文档所造成 的危害最大最广，给企业和用户造成了巨大的不可挽回的损失，给互联网应用带 来了严峻的威胁和挑战。因为恶意 PDF 文件对计算机的严重破坏性，对恶意 PDF 文档的检测已经成为了计算机安全领域研究的热点。 在本文中，首先介绍了 PDF 文档的物理结构和逻辑结构，并对 PDF 文档就 攻击方式和检测技术进行了研究，在此基础上，给出了一种基于分类器级联的恶 意 PDF 文档静态检测模型。该模型主要分为三个模块：数据预处理模块、基于 N-gram 算法的特征提取模块和基于分类器级联技术的 PDF 文件识别模块。在数 据预处理模块中，本文给出了一套完整的针对 PDF 文件中 JavaScript 代码的处理 方法以得到原始的 JavaScript 代码。在基于 N-gram 算法的特征提取模块中，本文 针对两种不同的 PDF 文件攻击方式，采用两种不同的 N-gram 特征提取方法。在 基于分类器级联技术的 PDF 文件识别模块中，本文针对两种不同的 PDF 文件攻 击方式，采用两种不同的分类算法建立分类模型，并对两个不同分类模型的结果 进行处理，得到最终的识别结果，有效地避免了使用单一分类算法的不足。 经过性能对比，本文提出的恶意 PDF 文档静态检测模型，在恶意 PDF 文件 检测时，检测率优于现有的静态检测模型，检测时间低于现有的动态检模型统。 关键词： 恶意 PDF 文档 静态检测 N-gram 特征提取 分类器级联技术 Abstract With the development of Internet and automatic office, PDF(portable document format), one of the new file formats after the absence of PostScript, has become the open standard of distribution of electronic documents worldwide. It facilities people‘s life and work and brings troubles as well. Malicious PDF document causes huge loss to users and enterprises thus becoming the biggest threat and showing the challenges for the Internet applications. For the problems discussed above, malicious PDF document has been the hotspot in the field of computer security. In this thesis, physical and logical structures of the PDF document are discussed and the attack and detection techn