[发明专利]恶意PDF检测方法、系统、数据存储设备和检测程序

说明书

本发明公开了一种恶意PDF检测方法、系统、数据存储设备和检测程序，属于信息安全技术领域；恶意PDF检测方法为：将待检PDF文件转换成字节序列，计算每个PDF件的信息熵；根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α，将每个PDF文件的信息熵与阈值α比较，把信息熵高于α的PDF文件作为正常文件，把信息熵低于α的PDF文件作为可疑文件；利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征；利用C5.0决策树算法进行分类。本发明能够解决检测范围小，模型检测时间消耗较高等问题。

技术领域

本发明应用于信息安全中的恶意PDF文件的检测领域。特别是涉及一种恶意PDF检测方法、系统、数据存储设备和检测程序。

背景技术

便携式文件格式(PDF)是一种电子文档格式，由Adobe系统公司于1993年发布。由于PDF受欢迎程度高、结构灵活、功能多样，越来越多的网络犯罪分子通过PDF文件进行信息窃取、恶意敲诈等网络犯罪行为。并且近年来，对商业组织和政府机构的高级持续性威胁(APT)攻击时有发生，而恶意PDF文件是APT攻击的重要载体，通过执行嵌入在文件内部的恶意代码完成攻击过程。尽管软件供应商努力进行预防、解决，但PDF软件仍经常容易遭受零日攻击，特别是这种攻击利用PDF文件格式与第三方技术(如JavaScript或Flash)，从而造成创建临时补丁变得越来越困难。另外，由于PDF文件的体系结构复杂，攻击者使用各种代码混淆技术，使防病毒软件很难提供针对新型恶意PDF文件检测。

通过对恶意PDF文件的分析，针对现有的PDF漏洞，主要攻击方式是基于JavaScript的攻击和基于非JavaScript的攻击。基于JavaScript的攻击方式利用PDF阅读器的漏洞，将执行流程转移到嵌入的恶意JavaScript代码上。基于非JavaScript攻击主要利用许多PDF功能：如“/Launch”、“/Go To”和“/URl”等，自动打开远程资源，增加互联网对客户端的威胁。

目前大部分杀毒软件采用基于启发式或字符串匹配的方法进行查杀病毒，但这些方式无法有效地处理多态攻击的问题。为了解决该问题，最近的研究主要集中在两个方面：

(1)利用PDF文件中嵌入的JavaScript，经过静态、动态分析提取其JavaScript特征，再经过机器学习进行分类。这类方法可应对基于恶意JavaScript的攻击，但易受到代码混淆的影响。

(2)利用PDF文件的结构信息来检测恶意PDF文件，其特点是不分析其携带的攻击代码或漏洞，并且这种方法相对于JavaScript分析的优点在于它们能够检测到非JavaScript攻击，并且不会受代码混淆的影响。但是如何增强模型的健壮性是基于结构信息的恶意文件检测方法所面临的大挑战。

基于以上方法进行恶意PDF文件检测，通常只能检测到基于单一方式的恶意攻击，并且模型时间消耗较高。

发明内容

为了解决上述问题，本发明的目的在于提供一种恶意PDF检测方法、系统、数据存储设备和检测程序。

为了达到上述目的，本发明的技术方案为：

一种恶意PDF检测方法，至少包括如下步骤：

步骤一、将待检PDF文件转换成字节序列，计算每个PDF件的信息熵；

步骤二、根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α，将每个PDF文件的信息熵与阈值α比较，把信息熵高于α的PDF文件作为正常文件，把信息熵低于α的PDF文件作为可疑文件；

步骤三、利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征；

步骤四、利用C5.0决策树算法进行分类。