[发明专利]恶意PDF检测方法、系统、数据存储设备和检测程序

权利要求书

1.一种恶意PDF检测方法，其特征在于：至少包括如下步骤：

步骤一、将待检PDF文件转换成字节序列，计算每个PDF件的信息熵；

步骤二、根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α，将每个PDF文件的信息熵与阈值α比较，把信息熵高于α的PDF文件作为正常文件，把信息熵低于α的PDF文件作为可疑文件；

步骤三、利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征；

步骤四、利用C5.0决策树算法进行分类。

2.根据权利要求1所述的恶意PDF检测方法，其特征在于：上述步骤一具体为：首先用PDFParser将待检PDF文件转换成二进制字节文件，然后计算每个PDF文件的信息熵。

3.根据权利要求1所述的恶意PDF检测方法，其特征在于：上述步骤三具体为：首先利用Origami分析可疑文件的结构并搜索恶意特征和结构的一般特征,然后再分析可疑文件的JavaScript代码并搜索恶意特征。

4.根据权利要求1所述的恶意PDF检测方法，其特征在于：上述步骤四具体为：首先把每个PDF文件用一个向量表示，该向量由结构的一般特征、结构的动态特征和JavaScript特征组成；然后将向量、类别输入到C5.0决策树进行分类。

5.一种恶意PDF检测系统，其特征在于：包括：

信息熵计算模块，将待检PDF文件转换成字节序列，计算每个PDF件的信息熵；

甄别模块、根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α，将每个PDF文件的信息熵与阈值α比较，把信息熵高于α的PDF文件作为正常文件，把信息熵低于α的PDF文件作为可疑文件；

分析模块、利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征；

分类模块、利用C5.0决策树算法进行分类。

6.一种数据存储设备，其特征在于：包括指令，当其在计算机上运行时，使得计算机执行权利要求1-4任一项的恶意PDF检测方法。

7.一种实现权利要求1-4任一项的恶意PDF检测方法的检测程序。