期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到5篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
恶意文档检测研究综述 被引量:7
1
作者 喻民 姜建国 +3 位作者 李罡 刘超 黄伟庆 宋楠 《信息安全学报》 CSCD 2021年第3期54-76,共23页
近年来,以窃取敏感数据、破坏国家重要基础设施为主要目标的高级持续威胁(Advanced Persistent Threat,APT)已经给国家安全带来了严重的威胁。与可执行文件相比,恶意文档具有涉及领域广、影响范围大、用户防范意识不足、攻击手段灵活多... 近年来,以窃取敏感数据、破坏国家重要基础设施为主要目标的高级持续威胁(Advanced Persistent Threat,APT)已经给国家安全带来了严重的威胁。与可执行文件相比,恶意文档具有涉及领域广、影响范围大、用户防范意识不足、攻击手段灵活多样、难以检测等诸多特点,已经成为实施APT攻击的重要载体。因此有必要关注恶意文档检测已有的研究成果与发展趋势。本文首先对文档类型及其结构进行了解析,然后阐述了文档的安全隐患、攻击技术以及传播途径等。将当前恶意文档检测方法归纳为静态检测法、动态检测法、动静态结合检测法以及其他相关研究等四类,分别对各类检测方法的研究状况、进展进行了分析和总结。最后,提出了当前恶意文档检测研究的性能评价方法,综述了代表性的数据、检测工具和平台,并展望了未来的研究方向。 展开更多
关键词 恶意文档 恶意代码 检测方法 性能评价 特征分析
下载PDF
基于全局行为特征的未知恶意文档检测
2
作者 陈祥 伊鹏 +1 位作者 白冰 韩伟涛 《信息安全学报》 CSCD 2023年第5期96-108,共13页
相比于基于宏的恶意办公文档,基于漏洞利用的恶意办公文档在攻击过程中往往不需要目标交互,能在目标无感的情况下完成攻击,已经成为APT攻击的重要手段,因此检测基于漏洞利用特别是未知漏洞利用的恶意文档对于发现APT攻击具有重要作用。... 相比于基于宏的恶意办公文档,基于漏洞利用的恶意办公文档在攻击过程中往往不需要目标交互,能在目标无感的情况下完成攻击,已经成为APT攻击的重要手段,因此检测基于漏洞利用特别是未知漏洞利用的恶意文档对于发现APT攻击具有重要作用。当前的恶意文档检测方法主要围绕PDF文档展开,分为静态检测和动态检测两类,静态检测方法容易被攻击者规避,且无法发现基于远程载荷触发的漏洞利用,动态检测方法仅考虑PDF中JavaScript脚本或文档阅读器进程的行为特征,忽视了针对系统其他进程程序的间接攻击,存在检测盲区。针对上述问题,本文分析了恶意办公文档的攻击面,提出恶意文档威胁模型,并进一步实现一种基于全局行为特征的未知恶意文档检测方法,在文档处理过程中提取全系统行为特征,仅训练良性文档样本形成行为特征库用于恶意文档检测,并引入敏感行为特征用于降低检测误报率。本文在包含DOCX、RTF、DOC三种类型共计522个良性文档上进行训练获取行为特征库,然后在2088个良性文档样本和211个恶意文档样本上进行了测试,其中10个恶意样本为手动构造用于模拟几种典型的攻击场景。实验结果表明该方法在极低误报率(0.14%)的情况下能够检测出所有的恶意样本,具备检测利用未知漏洞的恶意文档的能力,进一步实验表明该方法也能够用于检测针对WPS Office软件进行漏洞利用的恶意文档。 展开更多
关键词 恶意文档检测 行为特征 威胁模型 漏洞利用 未知威胁
下载PDF
基于熵时间序列的恶意Office文档检测技术 被引量:2
3
作者 周安民 户磊 +2 位作者 刘露平 贾鹏 刘亮 《山东大学学报(理学版)》 CAS CSCD 北大核心 2019年第5期1-7,共7页
为了更加准确地检测恶意Office(*.docx、*.rtf)文档,提出了一种基于文档熵时间序列对恶意Office文档进行检测的方法。该方法将恶意与非恶意文档二进制之间的差异转换为文件熵时间序列功率谱之间的差异性,然后采用IBK、random committe(... 为了更加准确地检测恶意Office(*.docx、*.rtf)文档,提出了一种基于文档熵时间序列对恶意Office文档进行检测的方法。该方法将恶意与非恶意文档二进制之间的差异转换为文件熵时间序列功率谱之间的差异性,然后采用IBK、random committe(RC)和random forest(RF)3种机器学习方法分别对数据进行学习和检测。实验结果显示,针对基于XML压缩技术的docx格式文档的准确率可以达到92.14%,而针对富文本格式(rtf)文件的准确率可以达到98.20%。 展开更多
关键词 熵时间序列 功率谱 机器学习 恶意文档检测
原文传递
基于混合特征的恶意PDF文档检测 被引量:5
4
作者 杜学绘 林杨东 孙奕 《通信学报》 EI CSCD 北大核心 2019年第2期118-128,共11页
针对现有恶意PDF文档在检测方案存在特征顽健性差、易被逃避检测等问题,提出了一种基于混合特征的恶意PDF文档检测方法,采用动静态混合分析技术从文档中提取出其常规信息、结构信息以及API调用信息,并基于K-means算法设计了特征提取方法... 针对现有恶意PDF文档在检测方案存在特征顽健性差、易被逃避检测等问题,提出了一种基于混合特征的恶意PDF文档检测方法,采用动静态混合分析技术从文档中提取出其常规信息、结构信息以及API调用信息,并基于K-means算法设计了特征提取方法,聚合出表征文档安全性的核心混合特征,从而提高了特征的顽健性。在此基础上,利用随机森林算法构建分类器并设计实验,对所提方案的检测性能以及抵抗模拟攻击的能力进行了探讨。 展开更多
关键词 恶意PDF文档 混合特征 机器学习 检测
下载PDF
基于特征集聚和卷积神经网络的恶意PDF文档检测方法 被引量:3
5
作者 俞远哲 王金双 邹霞 《信息技术与网络安全》 2021年第8期35-41,共7页
针对现有恶意PDF文档检测方法存在特征维度高、数据集样本少导致模型欠拟合等问题,提出了一种基于特征集聚和卷积神经网络的恶意PDF文档检测方法。该方法以词袋模型为基础,从PDF文档中提取常规特征和结构特征。然后以合并后特征簇最小... 针对现有恶意PDF文档检测方法存在特征维度高、数据集样本少导致模型欠拟合等问题,提出了一种基于特征集聚和卷积神经网络的恶意PDF文档检测方法。该方法以词袋模型为基础,从PDF文档中提取常规特征和结构特征。然后以合并后特征簇最小方差为目标,使用Ward最小方差聚类方法实现特征集聚。最后,将聚合特征送入卷积神经网络分类模型进行训练。根据不同聚合特征数下模型性能的好坏,确定最优的聚合特征数。实验结果表明,该方法降低了特征维度,提升了模型的召回率,缓解了模型的欠拟合问题。纵向比较来看,在不同的良性样本和恶意样本比例下,遍历得到最优的聚合特征数,召回率平均提升了53%,F-score平均提升了0.44,运行时间平均缩短了27%;与PJScan、PDFrate、Luxor 3种检测工具横向相比,检测的综合性能平均提升了5%。 展开更多
关键词 恶意PDF文档 特征集聚 静态检测 卷积神经网络
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
使用帮助 返回顶部