10.16652/j.issn.1004-373x.2020.02.012
一种基于复合特征的恶意PDF检测方法
为了提高特征有效性和扩大检测范围,提出在提取PDF文件的恶意结构特征的基础上再提取JavaScript的恶意特征;为了减少检测时间,提出在特征提取前,增加基于信息熵差异的预检测过程.先利用恶意PDF和良性PDF的信息熵差异筛选出可疑PDF文件和良性PDF文件;然后在检测过程中,提取可疑PDF文件的结构和JavaScript特征;再利用C5.0决策树算法进行分类;最后,通过实验检测,验证了提出的方法对恶意PDF文件检测有效.实验结果表明,与PJScan,PDFMS等模型做对比,该方法检测率比PJScan高27.79%,时间消耗低390 s,误检率比PDFMS低0.7%,时间消耗低473 s,综合性能更优.
恶意PDF文档、文档检测、文件筛选、文件特征提取、信息熵预检、实验验证
43
TN911.23-34;TP393
机载网络安全防护适航审定技术研究项目AADSA0018
2020-03-15(万方平台首次上网日期,不代表论文的发表时间)
共5页
45-48,52
