-
题名基于符号执行优化的PDF恶意指标提取技术
- 1
-
-
作者
宋恩舟
胡涛
伊鹏
王文博
-
机构
国家数字交换系统工程技术研究中心
-
出处
《计算机科学》
CSCD
北大核心
2024年第7期389-396,共8页
-
基金
国家自然科学基金面上项目(62176264)。
-
文摘
恶意PDF文档是APT组织常用的攻击方法,提取分析其内嵌JavaScript代码指标是判定文档恶意性的重要手段,然而攻击者可以采取高度混淆、虚拟机与沙箱检测等逃逸方法。因此,文中创新性地将符号执行方法用于PDF指标提取,提出了一种基于符号执行优化的PDF恶意指标提取技术,并实现了由代码解析、符号执行和指标提取3个模块组成的指标提取系统SYMBPDF。在代码解析模块中实现内嵌JavaScript代码提取与重组。在符号执行模块中设计代码改写方法,通过强制分支转移提高符号执行的代码覆盖率;设计并发策略和两种约束求解优化方法,以提高系统执行效率。在指标提取模块中实现恶意指标整合与记录。对1 271个恶意样本进行了指标提取与评估,指标提取成功率为92.2%,有效性为91.7%,代码覆盖率较优化前提升8.5%,系统性能较优化前提升32.3%。
-
关键词
恶意文档
JAVASCRIPT代码
指标提取
符号执行
代码改写
约束求解优化
-
Keywords
malicious documents
JavaScript code
Indicator extraction
Symbolic execution
Code rewriting
Constraint solving optimization
-
分类号
TP311
[自动化与计算机技术—计算机软件与理论]
-
-
题名面向公式对象的恶意文档智能检测技术
- 2
-
-
作者
陈祥
宋恩舟
韩伟涛
-
机构
信息工程大学
-
出处
《信息工程大学学报》
2024年第4期453-458,共6页
-
基金
国家自然科学基金(62176214)。
-
文摘
公式编辑器作为Office办公软件的重要组件,已成为漏洞利用的重灾区。针对此问题,提出一种面向公式对象的恶意文档智能检测方法,通过提取办公文档中的公式对象并转换成图像,将恶意公式对象检测问题转变成图像分类问题,利用深度学习技术实现检测特征的自提取。检测模型在4078个良性样本和1173个恶意样本构成的训练集上进行训练,在1323个良性样本和312个恶意样本上进行测试,恶意样本检测率为99.36%,良性样本零误报,样本平均检测时间约0.5 ms。为检验模型的抗规避能力,在恶意测试样本的基础上采用“加正常”和“去异常”的方式构建相应的对抗样本测试集,实验表明,提出的检测方法具有较强的鲁棒性。
-
关键词
办公软件
恶意文档
公式编辑器
公式对象
深度学习
漏洞利用
-
Keywords
office software
malicious documents
formula editor
formula object
deep learning
vulnerability exploitation
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名一种改进的恶意PDF文档静态检测方案
被引量:6
- 3
-
-
作者
孙本阳
王轶骏
薛质
-
机构
上海交通大学电子信息与电气工程学院
-
出处
《计算机应用与软件》
CSCD
2016年第3期308-313,共6页
-
基金
中国信息安全测评中心科研项目(CNITSEC-KY-2013-009/2)
-
文摘
随着PDF文件的使用日益广泛,恶意的PDF文档不断涌现。现有的恶意PDF文档的检测方案有一定的缺陷,静态检测的准确度较低并且易混淆。提出一种基于改进的N-gram文本提取机制和增强的单一类别支持向量机的机器学习模型的静态检测方案。实验结果表明,该方案提高了静态检测方案的准确率,增加了一定的功能性和扩展性。
-
关键词
恶意PDF文档
静态检测
单一类别支持向量机
-
Keywords
malicious PDF documents
Static detection
OCSVM
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于SVM的恶意PDF检测研究
被引量:2
- 4
-
-
作者
李涛
-
机构
四川大学计算机学院
-
出处
《现代计算机(中旬刊)》
2018年第3期117-120,共4页
-
文摘
近年来,随着PDF的广泛应用,它的安全性也受到很大的威胁,它出现在APT攻击、钓鱼攻击中越来越频繁。通过提取恶意PDF中的Java Script代码特征向量,提出一种基于支持向量机的机器学习静态检测模型。从实验结果显示达到预期效果。
-
关键词
机器学习
恶意PDF文档
单一类别支持向量机
恶意软件检测
-
Keywords
Machine Learning
malicious PDF documents
OCSVM
Malware Detection
-
分类号
TP181
[自动化与计算机技术—控制理论与控制工程]
TP309
[自动化与计算机技术—控制科学与工程]
-
-
题名基于混合特征的恶意PDF文档检测
被引量:5
- 5
-
-
作者
杜学绘
林杨东
孙奕
-
机构
解放军战略支援部队信息工程大学河南省信息安全重点实验室
-
出处
《通信学报》
EI
CSCD
北大核心
2019年第2期118-128,共11页
-
基金
国家高技术研究发展计划("863"计划)基金资助项目(No.2015AA016006)
国家自然科学基金资助项目(No.61702550)~~
-
文摘
针对现有恶意PDF文档在检测方案存在特征顽健性差、易被逃避检测等问题,提出了一种基于混合特征的恶意PDF文档检测方法,采用动静态混合分析技术从文档中提取出其常规信息、结构信息以及API调用信息,并基于K-means算法设计了特征提取方法,聚合出表征文档安全性的核心混合特征,从而提高了特征的顽健性。在此基础上,利用随机森林算法构建分类器并设计实验,对所提方案的检测性能以及抵抗模拟攻击的能力进行了探讨。
-
关键词
恶意PDF文档
混合特征
机器学习
检测
-
Keywords
malicious PDF document
mixed feature
machine learning
detection
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于文档图结构的恶意PDF文档检测方法
被引量:1
- 6
-
-
作者
俞远哲
王金双
邹霞
-
机构
陆军工程大学指挥控制工程学院
-
出处
《信息技术与网络安全》
2021年第11期16-23,共8页
-
文摘
目前基于机器学习的恶意PDF文档检测方法依赖于专家经验来遴选特征,无法全面反映文档属性。而且在面对对抗样本时,检测器性能下降明显。针对上述问题,提出了一种基于文档图结构和卷积神经网络的恶意PDF文档检测方法。该方法解析文档结构,根据文档中各对象之间的引用关系构建出有向图。然后,通过TF-IDF算法计算各节点对分类的贡献度来进行图结构精简。最后,计算精简后图的邻接矩阵和度矩阵,并得到图的拉普拉斯矩阵,以此作为特征送入CNN分类模型进行训练。同时还加入了对抗样本,对模型进行对抗训练。实验评估表明,在给定训练和测试样本比例9:1条件下,不断调整神经网络结构和参数,该方法的准确率达到了99.71%,性能优于KNN和SVM分类模型。在针对对抗样本的检测上,与知名在线检测网站VirusTotal上的67款杀毒引擎相比,该方法取得了更高的检测性能。
-
关键词
恶意PDF文档
文档图结构
卷积神经网络
对抗样本
-
Keywords
malicious PDF document
document graph structure
CNN
adversarial sample
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
