[发明专利]恶意PDF检测方法、系统、数据存储设备和检测程序在审
| 申请号: | 201810832905.3 | 申请日: | 2018-07-26 |
| 公开(公告)号: | CN108959930A | 公开(公告)日: | 2018-12-07 |
| 发明(设计)人: | 李国;黄永健;王静;徐俊洁;王鹏 | 申请(专利权)人: | 中国民航大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 天津市鼎和专利商标代理有限公司 12101 | 代理人: | 蒙建军 |
| 地址: | 300300 天*** | 国省代码: | 天津;12 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种恶意PDF检测方法、系统、数据存储设备和检测程序,属于信息安全技术领域;恶意PDF检测方法为:将待检PDF文件转换成字节序列,计算每个PDF件的信息熵;根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α,将每个PDF文件的信息熵与阈值α比较,把信息熵高于α的PDF文件作为正常文件,把信息熵低于α的PDF文件作为可疑文件;利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征;利用C5.0决策树算法进行分类。本发明能够解决检测范围小,模型检测时间消耗较高等问题。 | ||
| 搜索关键词: | 信息熵 检测 数据存储设备 可疑文件 信息安全技术 决策树算法 恶意攻击 模型检测 时间消耗 正常文件 字节序列 分类 分析 统计 | ||
【主权项】:
1.一种恶意PDF检测方法,其特征在于:至少包括如下步骤:步骤一、将待检PDF文件转换成字节序列,计算每个PDF件的信息熵;步骤二、根据统计的恶意PDF文件和良性PDF文件的信息熵值的最大值、最小值和平均值以及经验值设置阈值α,将每个PDF文件的信息熵与阈值α比较,把信息熵高于α的PDF文件作为正常文件,把信息熵低于α的PDF文件作为可疑文件;步骤三、利用Origami分析提取可疑文件中常用于恶意攻击的JavaScript和结构特征;步骤四、利用C5.0决策树算法进行分类。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国民航大学,未经中国民航大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810832905.3/,转载请声明来源钻瓜专利网。
- 上一篇:程序文件处理方法及装置
- 下一篇:漏洞检测方法及装置、信息交互方法及设备
