本發明提出了一種惡意PDF文檔的檢測方法及電子設備，檢測方法包括：提取PDF文檔的樹形結構，并基于樹形結構生成結構矩陣；對樹形結構的節點的對象內容進行特征提取，得到特征數據；將特征數據輸入預先構建的檢測模型處理以得到分類結果；將分類結果和結構矩陣合并成擴展矩陣并輸入卷積神經網絡；卷積神經網絡輸出PDF文檔的檢測結果。根據本發明實施例的惡意PDF文檔的檢測方法，基于PDF文檔結構和內容進行了兩階段的檢測，有效提高了惡意PDF檢測的準確性和可靠性。

技術領域

本發明涉及計算機技術領域，尤其涉及一種惡意PDF文檔的檢測方法及電子設備。

背景技術

由于便攜式文檔格式(PDF)因其效率高和穩定性好而被廣泛用于文檔交換，PDF文件已成為網絡攻擊的重要載體。典型的情況是使用針對政府和大型企業的電子郵件進行網絡釣魚攻擊。由于大多數郵件服務器會出于安全原因阻止附加到電子郵件的可執行文件，因此PDF文件在最近的網絡攻擊中扮演著越來越重要的角色。普通用戶認為非可執行文件比可執行文件更安全，從而減少了對電子郵件接收文件的懷疑。但是，PDF文件與可執行文件一樣危險，攻擊者可以利用文檔格式的漏洞獲取對主機的非法訪問權限。

PDF文件不安全的一個重要原因來自Adobe?Reader(使用最廣泛的PDF閱讀器)所允許的豐富功能，尤其是它對JavaScript的支持。此功能增強了PDF文檔的功能，使PDF能夠執行復雜的任務，如表單驗證和計算。但是，它還通過利用Adobe?JavaScript引擎中的漏洞為攻擊者提供了運行任意代碼的能力。

傳統的惡意PDF檢測算法在特征提取上相對主觀，所選取的特征與分類結果雖然具有較強的相關性，在測試集上分類的準確率也較高，但該結果成立的前提是測試樣本在所選取的特征上與訓練集上有相同的概率密度分布。在攻擊者對分類器所使用的特征有所了解的情況下，攻擊者嘗試對樣本進行修改并偽造特征值，因而假設被打破，分類的準確率會迅速下降。

在對PDF分類準確率較高的前提下，提高分類器的魯棒性。即使攻擊者能夠了解到分類器的部分設計細節，也能大大增加攻擊者制造逃逸樣本的難度，降低分類器受到敵對攻擊的影響。

相關技術中，大多數檢測技術都基于簽名和剛性啟發式。因此，他們無法檢測出對現有惡意文件進行微小修改的文件。機器學習方法在檢測垃圾郵件、惡意軟件和網絡入侵方面很受歡迎，它們也可用于對PDF文件進行分類。現有的機器學習算法采用靜態和動態特征來訓練PDF分類模型。不同之處在于靜態特征向量可以通過處理文檔直接獲得，而動態特征向量是通過監視在構建的虛擬環境中運行的樣本的行為而獲得的。一般來說，靜態特征的缺點是很難檢測出混淆和加密以及隱藏較深惡意代碼，而動態特征的獲取需要構建大量異構操作環境，這些操作環境需要大量的資源開銷并且易于通過時間延遲、互動操作和其他技術來規避。這些模型非常出色，因為它們在測試數據集上實現了高精度。使用路徑結構特征的模型在PDF惡意軟件分類任務中實現了超過99％的準確性。但是，AutoEvader表明，在不損壞惡意功能的前提下，對惡意PDF文件進行微小結構修改，可以100％逃脫檢測系統。針對基于機器學習的分類器的模仿攻擊和反向模仿攻擊是非常有效的。

發明內容

本發明要解決的技術問題是如何提高惡意PDF文檔檢測的準確性，本發明提出了一種惡意PDF文檔的檢測方法及電子設備。

根據本發明實施例的惡意PDF文檔的檢測方法，包括：

提取PDF文檔的樹形結構，并基于所述樹形結構生成結構矩陣；

對所述樹形結構的節點的對象內容進行特征提取，得到特征數據；

將所述特征數據輸入預先構建的檢測模型處理以得到分類結果；

將所述分類結果和所述結構矩陣合并成擴展矩陣并輸入卷積神經網絡；

所述卷積神經網絡輸出所述PDF文檔的檢測結果。