本申請(qǐng)公開了一種PDF文件信任過濾及分析方法、裝置、設(shè)備及介質(zhì)。該方法包括：獲取待分析PDF文件；根據(jù)鍵名前綴符從所述待分析PDF文件中提取出所有通用鍵名；判斷所述通用鍵名中是否存在預(yù)設(shè)特殊鍵名，并根據(jù)判斷結(jié)果確定所述待分析PDF文件的文件類型；其中，所述文件類型包括可信文件和不可信文件，所述不可信文件包括惡意文件和非惡意文件；將文件類型為所述不可信文件的所述待分析PDF文件送入沙箱進(jìn)行動(dòng)態(tài)分析，以生成文件分析結(jié)果。可見，通過基于鍵名的初次靜態(tài)分析進(jìn)行篩選，可以節(jié)省沙箱動(dòng)態(tài)分析時(shí)間和資源上的開銷，從而提高對(duì)PDF文檔的分析性能和效率。

技術(shù)領(lǐng)域

本發(fā)明涉及文件檢測(cè)技術(shù)領(lǐng)域，特別涉及一種PDF文件信任過濾及分析方法、裝置、設(shè)備及介質(zhì)。

背景技術(shù)

當(dāng)前，為維護(hù)網(wǎng)絡(luò)安全常常需要對(duì)網(wǎng)絡(luò)中的惡意文件進(jìn)行檢測(cè)，網(wǎng)絡(luò)中存在各種類型文件，其中PDF文件類型占較大一部分，因此，針對(duì)PDF惡意文件的檢測(cè)十分重要。現(xiàn)有技術(shù)中，企業(yè)的安全檢測(cè)分析系統(tǒng)都有配帶沙箱檢測(cè)功能，將網(wǎng)絡(luò)流量或郵件附件中獲取的文件提交沙箱進(jìn)行動(dòng)態(tài)分析，但由于實(shí)際應(yīng)用中絕大部分PDF文件為安全文件，不包含任何惡意代碼或附件，通過沙箱或沙盒對(duì)獲取的每個(gè)文件進(jìn)行動(dòng)態(tài)分析，會(huì)占用大量沙箱運(yùn)行時(shí)間，降低惡意文件檢測(cè)效率。

現(xiàn)有技術(shù)中，還通過對(duì)PDF文檔進(jìn)行特征和內(nèi)容提取，然后利用規(guī)則庫(kù)或特征庫(kù)進(jìn)行靜態(tài)分析來判斷是否為惡意PDF文檔。例如，查詢已知文件數(shù)據(jù)庫(kù)并確認(rèn)待檢測(cè)PDF文檔是否有檢測(cè)記錄，提取待檢測(cè)PDF文檔中的惡意攻擊載荷代碼并作為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)的輸入，但通常情況下PDF文檔帶有腳本等載荷，通過檢測(cè)其惡意特征來判斷是否惡意并不能完全確定是惡意；再比如，通過提取PDF文檔的樹形結(jié)構(gòu)，并基于樹形結(jié)構(gòu)生成結(jié)構(gòu)矩陣，然后對(duì)樹形結(jié)構(gòu)的節(jié)點(diǎn)的對(duì)象內(nèi)容進(jìn)行特征提取得到特征數(shù)據(jù)，再將特征數(shù)據(jù)輸入預(yù)先構(gòu)建的檢測(cè)模型處理以得到分類結(jié)果，最后將分類結(jié)果和結(jié)構(gòu)矩陣合并成擴(kuò)展矩陣并輸入卷積神經(jīng)網(wǎng)絡(luò)，由卷積神經(jīng)網(wǎng)絡(luò)輸出PDF文檔的檢測(cè)結(jié)果，但通過對(duì)象內(nèi)容數(shù)據(jù)特征判斷是否惡意，對(duì)內(nèi)容混淆若加密內(nèi)容依然不能準(zhǔn)確判斷是否惡意。靜態(tài)分析雖然不需要對(duì)文件進(jìn)行實(shí)際運(yùn)行，但通過靜態(tài)分析對(duì)規(guī)則庫(kù)的質(zhì)量要求高，通過靜態(tài)分析直接判斷是否為惡意文件的準(zhǔn)確率較低，會(huì)存在大量漏報(bào)和誤報(bào)行為。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明的目的在于提供一種PDF文件信任過濾及分析方法、裝置、設(shè)備及介質(zhì)，能夠提高對(duì)PDF文檔的分析性能和效率。其具體方案如下：

第一方面，本申請(qǐng)公開了一種PDF文件信任過濾及分析方法，包括：

獲取待分析PDF文件；

根據(jù)鍵名前綴符從所述待分析PDF文件中提取出所有通用鍵名；

判斷所述通用鍵名中是否存在預(yù)設(shè)特殊鍵名，并根據(jù)判斷結(jié)果確定所述待分析PDF文件的文件類型；其中，所述文件類型包括可信文件和不可信文件，所述不可信文件包括惡意文件和非惡意文件；

將文件類型為所述不可信文件的所述待分析PDF文件送入沙箱進(jìn)行動(dòng)態(tài)分析，以生成文件分析結(jié)果。

可選的，所述獲取待分析PDF文件，包括：

獲取網(wǎng)絡(luò)流量文件；

將PDF格式文件對(duì)應(yīng)的頭部字段和尾部字段作為篩選條件，并利用所述篩選條件從所述網(wǎng)絡(luò)流量文件中篩選出PDF文件作為所述待分析PDF文件。

可選的，所述根據(jù)鍵名前綴符從所述待分析PDF文件中提取出所有通用鍵名，包括：

對(duì)所述待分析PDF文件進(jìn)行文件結(jié)構(gòu)解析得到解析后文件，通過字典標(biāo)識(shí)符從所述解析后文件中定位出目標(biāo)內(nèi)容字段；

根據(jù)所述鍵名前綴符提取所述目標(biāo)內(nèi)容字段中包含的所有通用鍵名。

可選的，所述根據(jù)鍵名前綴符從所述待分析PDF文件中提取出所有通用鍵名之后，還包括：