基于改进的N-gram恶意PDF文档静态检测技术研究

来源 :东华理工大学 | 被引量 : 0次 | 上传用户:gbbzwklk
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着信息技术的发展和办公自动化的普及,PDF文档逐渐成为人们工作和学习上必不可少的首选应用文本软件。尽管PDF文档带来诸多便利,使用过程中渐渐出现很多安全问题。攻击者利用PDF文档格式漏洞嵌入恶意JavaScript代码进行攻击,获取特定目标的私密信息,给特定目标造成无法估计的损失。因此检测和防范嵌入恶意JavaScript代码的PDF文档逐渐成为信息安全领域国内外研究学者研究的重要目标。本文对PDF文档进行分析,主要介绍PDF文档的物理结构与逻辑结构、PDF文档的攻击技术及恶意PDF文档的传播途径。深入分析现有基于N-gram的恶意PDF文档静态检测模型,存在两点不足:第一,忽略了PDF文档中隐藏信息对提取的JavaScript代码完整程度的影响以及对提取出来的JavaScript代码预处理不足;第二,N-gram特征提取方法只能提取到固定长度的N-gram特征,导致有效特征被分隔开。论文针对上述问题提出了一种改进的N-gram恶意PDF文档静态检测模型,设计一个PDF文档预处理流程,包括解密处理、解码处理、JavaScript定位与提取和JavaScript去混淆处理,确保提取的JavaScript代码完整及有效;在现有N-gram特征提取方法基础上进行改进,确保提取到更有效的N-gram特征向量。为了验证改进的N-gram特征提取方法的有效性,使用改进前后的N-gram特征提取方法进行特征提取,将提取到的特征向量作为数据输入部分,使用多种检测算法进行训练与测试得到检测结果,同时将检测算法结合Boosting算法进行训练与测试得到检测结果。通过检测结果,验证了本文提出的改进的N-gram特征提取方法对恶意PDF文档检测有效,并且比对改进前的N-gram特征提取方法,取得更优的检测效果,同时结合Boosting算法可以提升检测模型的检测性能,与DPScan模型、PJScan模型相比较检测性能更好。
其他文献
现代软件规模越来越大、复杂程度越来越高,通常都是由许多开发者合作开发完成。由于软件开发工作的特殊性,如何对软件开发者进行准确的评价一直是个难题。目前对各开发者的评价
数据流是一种以高速连续形式到来的有序项集,它不同于传统的数据库中的数据。数据流具有连续、实时、无限等特点,并且是快速到来的数据。由于流数据明显区别于静态数据,现有的对
秘密共享改变了密钥管理的方式,能够分散密钥管理权限,提高了系统的安全性、可靠性以及实用性,对于保障信息的存储和传输安全具有重要的意义,成为网络安全和密码学领域中重要的
问题分类是自动问答系统中对自然语言问题进行问题理解的关键步骤。寻找与问题类别密切相关的特征,对提高问答系统整体的处理性能和效率非常重要。中心词是问题中最能表达“问
随着信息技术的不断发展,移动互联网和社交网络广泛兴起,以数字化为基础的多媒体技术逐渐在人类社会的各个领域得到越来越广泛的应用。图像/视频等视觉信号是数字多媒体内容
养老保险与社会民生息息相关,广大参保群众在参保过程中常常会遇到各式各样的问题。研究问答系统关键技术,并将其应用到养老保险领域中,用自然语言快速准确地回答用户的问题,具有
煤炭是我国丰富的资源,随着煤炭经济的快速发展,将信息技术应用于煤矿监测与通信是当务之急。通过无线信号的传输来取代有线传输,通过在井下节点的部署,对井下施工设备和交通工具
随着合成孔径雷达(SAR)技术的迅速崛起,SAR成像具有全天候、多波段、多极化、穿透性强等特点,在海冰检测、城市规划、军事侦查以及农作物病虫害防治中扮演着重要的角色。图像分割
风力发电是近几年大力发展的新可再生能源。是一种有效的降低发电成本,减少环境污染的新能源,能够很好的并入国网使用。保证风电机组的安全、稳定、高效运行最为重要。其中风力
大数据在广泛的领域形成并且快速的扩张,同时引入了大量劣质数据(错误的、不一致的数据)。因此数据质量在大数据时代日益显得重要,但是数据质量系统的定义和方法还不成熟,远远满足