面向恶意PDF文档分类的对抗样本生成方法研究

通过恶意文档来传播恶意软件在现代互联网中是非常普遍的,这也是众多机构面临的最高风险之一。PDF文档是全世界应用最广泛的文档类型,因此由其引发的攻击数不胜数。使用机器学习方法对恶意文档进行检测是流行且有效的途径,在面对攻击者精心设计的样本时,机器学习分类器的鲁棒性有可能暴露一定的问题。在计算机视觉领域中,对抗性学习已经在许多场景下被证明是一种有效的提升分类器鲁棒性的方法。对于恶意文档检测而言,我们仍然缺少一种用于针对各种攻击场景生成对抗样本的综合性方法。在本文中,我们介绍了PDF文件格式的基础知识,以及有效的恶意PDF文档检测器和对抗样本生成技术。我们提出了一种恶意文档检测领域的对抗性学习模型来生成对抗样本,并使用生成的对抗样本研究了多检测器假设场景的检测效果(及逃避有效性)。该模型的关键操作为关联特征提取和特征修改,其中关联特征提取用于找到不同特征空间之间的关联,特征修改用于维持样本的稳定性。最后攻击算法利用基于动量迭代梯度的思想来提高生成对抗样本的成功率和效率。我们结合一些具有信服力的数据集,严格设置了实验环境和指标,之后进行了对抗样本攻击和鲁棒性提升测试。实验结果证明,该模型可以保持较高的对抗样本生成率和攻击成功率。此外,该模型可以应用于其他恶意软件检测器,并有助于检测器鲁棒性的优化。

基于混合特征的恶意PDF文档检测

针对现有恶意PDF文档在检测方案存在特征顽健性差、易被逃避检测等问题,提出了一种基于混合特征的恶意PDF文档检测方法,采用动静态混合分析技术从文档中提取出其常规信息、结构信息以及API调用信息,并基于K-means算法设计了特征提取方法,聚合出表征文档安全性的核心混合特征,从而提高了特征的顽健性。在此基础上,利用随机森林算法构建分类器并设计实验,对所提方案的检测性能以及抵抗模拟攻击的能力进行了探讨。

一种改进的恶意PDF文档静态检测方案

随着PDF文件的使用日益广泛,恶意的PDF文档不断涌现。现有的恶意PDF文档的检测方案有一定的缺陷,静态检测的准确度较低并且易混淆。提出一种基于改进的N-gram文本提取机制和增强的单一类别支持向量机的机器学习模型的静态检测方案。实验结果表明,该方案提高了静态检测方案的准确率,增加了一定的功能性和扩展性。

针对JavaScript攻击的恶意PDF文档检测技术研究

当今社会,便携式文档(PDF)已经成为恶意代码传播的主要载体,而90%的恶意PDF样本都是基于Java Script攻击的。因此针对Java Script攻击的恶意样本检测是非常有必要的。介绍PDF的结构,以及常见的嵌入Java Script的恶意PDF文档攻击手段,在此基础上,提出一种基于Java Script攻击的恶意PDF文档检测方法,并实现基于该方法的检测系统,主要包括PDF文档格式深入解析模块、Java Script代码定位与提取模块、恶意特征提取模块。实验表明该系统能有效检测PDF恶意文档。

基于特征集聚和卷积神经网络的恶意PDF文档检测方法

针对现有恶意PDF文档检测方法存在特征维度高、数据集样本少导致模型欠拟合等问题,提出了一种基于特征集聚和卷积神经网络的恶意PDF文档检测方法。该方法以词袋模型为基础,从PDF文档中提取常规特征和结构特征。然后以合并后特征簇最小方差为目标,使用Ward最小方差聚类方法实现特征集聚。最后,将聚合特征送入卷积神经网络分类模型进行训练。根据不同聚合特征数下模型性能的好坏,确定最优的聚合特征数。实验结果表明,该方法降低了特征维度,提升了模型的召回率,缓解了模型的欠拟合问题。纵向比较来看,在不同的良性样本和恶意样本比例下,遍历得到最优的聚合特征数,召回率平均提升了53%,F-score平均提升了0.44,运行时间平均缩短了27%;与PJScan、PDFrate、Luxor 3种检测工具横向相比,检测的综合性能平均提升了5%。

基于文档图结构的恶意PDF文档检测方法

目前基于机器学习的恶意PDF文档检测方法依赖于专家经验来遴选特征,无法全面反映文档属性。而且在面对对抗样本时,检测器性能下降明显。针对上述问题,提出了一种基于文档图结构和卷积神经网络的恶意PDF文档检测方法。该方法解析文档结构,根据文档中各对象之间的引用关系构建出有向图。然后,通过TF-IDF算法计算各节点对分类的贡献度来进行图结构精简。最后,计算精简后图的邻接矩阵和度矩阵,并得到图的拉普拉斯矩阵,以此作为特征送入CNN分类模型进行训练。同时还加入了对抗样本,对模型进行对抗训练。实验评估表明,在给定训练和测试样本比例9:1条件下,不断调整神经网络结构和参数,该方法的准确率达到了99.71%,性能优于KNN和SVM分类模型。在针对对抗样本的检测上,与知名在线检测网站VirusTotal上的67款杀毒引擎相比,该方法取得了更高的检测性能。

一种基于复合特征的恶意PDF检测方法

为了提高特征有效性和扩大检测范围,提出在提取PDF文件的恶意结构特征的基础上再提取JavaScript的恶意特征;为了减少检测时间,提出在特征提取前,增加基于信息熵差异的预检测过程。先利用恶意PDF和良性PDF的信息熵差异筛选出可疑PDF文件和良性PDF文件;然后在检测过程中,提取可疑PDF文件的结构和JavaScript特征;再利用C5.0决策树算法进行分类;最后,通过实验检测,验证了提出的方法对恶意PDF文件检测有效。实验结果表明,与PJScan,PDFMS等模型做对比,该方法检测率比PJScan高27.79%,时间消耗低390 s,误检率比PDFMS低0.7%,时间消耗低473 s,综合性能更优。

基于SVM的恶意PDF检测研究

近年来,随着PDF的广泛应用,它的安全性也受到很大的威胁,它出现在APT攻击、钓鱼攻击中越来越频繁。通过提取恶意PDF中的Java Script代码特征向量,提出一种基于支持向量机的机器学习静态检测模型。从实验结果显示达到预期效果。