基于SVM的惡意PDF檢測研究

李濤

（四川大學計算機學院，成都610065）

0 引言

近年來，PDF文檔格式作為一種電子文件的格式，由于它的方便性、高效性、穩定性，已經在市場上廣泛的應用。PDF文檔的格式是標準化的，并且是公開的，這就有不同的廠商實現自己的PDF閱讀器。但是它的廣泛流行，在安全性上受到了極大的挑戰。

PDF文檔的攻擊方法主要通過3種形式達到目標。第一種是通過PDF閱讀器的API漏洞，通過API漏洞實現攻擊，第二種是編寫有害的JavaScript植入PDF文檔中，達到攻擊目的，第三種是通過PDF標準提供的間接引用、加密等形式來隱藏攻擊向量。攻擊者可以通過3種攻擊形式的有效結合，更大程度的實現攻擊成功率。目前研究PDF檢測方面，重點是研究惡意文檔中JavaScript的檢測，其中大部分嵌入的Ja?vaScript代碼在一定程度上進行了混淆編碼，不但增加了分析的復雜度，同時殺毒軟件很難檢測出來。

本文通過N-gram算法提取PFD中JavaScript的特征，組成特征向量，通過機器學習算法的學習，最后得到PDF的靜態檢測模型。在其中引入反混淆的處理機制，從而能夠建立更為完善的機器學習模型。

1 PDF文檔檢測模型

本文PDF文檔檢測模型是基于機器學習的模型靜態檢測模型，模型主要解決的問題是，PDF文檔中Ja?vaScript的準確的提取，再利用N-gram算法提取惡意特征，最后使用機器學習算法建立模型。

故此，模型劃分為3個模塊，其一，提取PDF中Ja?vaScript代碼；其二，分析JavaScript特征向量；其三，通過機器學習建立模型。

圖1 PDF文檔檢測模型流程圖

1.1 PDF 文檔結構

一個基本的PDF文檔都是由以下4部分組成：文件頭（header），文件內容（body），交叉引用表（cross-ref?erence table）和文件尾（trailer）。文件內容是由一些對象（Objects）組成的，這些對象可以直接和間接引用，對象有8種不同的類型，如表1。

1.2 PDF文檔中JavaScript代碼及其提取

JavaScript一種直譯式腳本語言，是一種動態類型、弱類型、基于原型的語言，內置支持類型。在PDF中也廣泛應用。在JavaScript的幫助下，PDF提供了一些除展示圖片和文字以外的其他功能。對PDF的文檔批處理，還用出來PDF中的表格，以及控制多媒體事件等。

表1 PDF中的8種不同類型

在PDF文檔中，JavaScript的代碼數據可以通過直接引用，和間接引用兩種方式去處理，一般在惡意PDF中，JavaScript都是通過間接引用，來簡單的繞過檢測工具的檢測。通過使用開源的JavaScript提取工具，可以提取是直接顯式的嵌入/JS中的，也可找出通過查詢/JS關鍵字，找出應用的JavaScript代碼。

1.3 PDF中JavaScript的特征分析

從PDF文檔中提取JavaScript代碼后，通過N-gram方法來處理，N-gram是基于馬爾科夫鏈的文本處理方法，提取出惡意的JavaScript特征作為多維向量的數據，建立模型。為了增加提取特征的有效性，反混淆，提出如下措施：

（1）惡意PDF為了躲避殺毒軟件對它的查殺，它會隱藏JavaScript代碼，它不會直接使用/JavaScript和/JS這種對象，這些對象會暴露它們的JavaScript代碼。取而代之的是如下對象名：

在特征對象中添加這類特征，可直接判斷它為惡意代碼。

（2）在惡意的JavaScript中會出現較多的特殊函數。eval（）函數可計算某個字符串，并執行其中的JavaScript代碼；escape（）對字符串加密和 unescape（）函數對字符串解密。

（3）在惡意 PDF 中出現 for，while，if，else等關鍵字的個數一般都是有一定規律的，把它們的個數加入到惡意PDF的特征向量中；在利用漏洞，使用堆噴射技術會需要大量的填充無意義的NOP語句，其中含有%u9090特征字符出現。

1.4 機器學習算法

本文使用的PDF文檔靜態檢測模型是單一類別支持向量機（OCSVM），其優點是當分類問題中最典型的的二分類問題，遇到樣本中有一種分類中的樣本數量非常稀少，不能形成二分類的模型，就要考慮單一類別支持向量機。在惡意PDF文檔的檢測中，含有JavaS?cript的PDF文檔要遠遠大于含有JavaScript的正常文檔。所以只需要獲取惡意PDF文檔特征，建立單一類別支持向量機模型，進行PDF檢測。

這種單一類別支持向量機模型對數據的分類方法過程為：通過學習大量的惡意PDF樣本，建立模型M，對于需要檢測的PDF樣本，計算它提取出的特征向量和模型M中原點兩者之間的歐氏距離，設置合適的R值，當此距離在R之內時，認為此PDF屬于類別M中的，歸類為惡意PDF文檔，否則文檔是非惡意的。

2 實驗

對檢測系統的評估使用的數據時來自惡意數據收集網站contagio，提供的數據其中包括10982個惡意PDF文檔，和9000個正常的PDF文檔。下載的文檔通過抽樣檢測，通過virustotal網站的檢測，得到數據的正確性，可對本文提出的檢測系統進行檢測。為了測試需要，把惡意樣本分成訓練集樣本，和測試集樣本兩部分，其中訓練集樣本個數為10509個，測試集樣本為473個，因為使用的模型是單一向量機，所以正常PDF文檔就全部為測試集。

表2 本檢測系統對473個惡意文檔的檢測結果

表3 本檢測系統對9000個正常文檔的檢測結果

經過查看未檢出的惡意PDF文檔，可以看出大部分是不含JavaScript的文檔，即便是包含JavaScript的文檔，腳本本身也沒有攻擊性，這給我們以啟示，在以后的工作，我們還要收集除JavaScript外的其他的特征。對于正常的PDF文檔而言，由于收集到的文檔中絕大多數都不含有JavaScript代碼，含有JavaScript代碼的正常PDF樣本也多為表格，對PDF文檔集合進行批處理，控制多媒體事件等，例如使用的是判斷表格中填寫的是否為日期是否為合適的數字等簡單的Java-Script代碼，所以被誤報的可能就非常小。

在表4，使用了ClamAV與NOD32與本系統進行比較，ClamAV是用于檢測木馬，病毒，惡意軟件和其他惡意威脅的一個開源殺毒引擎，NOD32是ESET公司旗下的一款防病毒軟件。從對惡意PDF的檢出率情況，可以看出本文系統檢出率高于ClamAV和NOD32，說明了實驗的有效性，實驗結果達到了預期效果。

表4 和近年其他檢測工具比較

3 結語

本文介紹了PDF中包含JavaScript的基本知識，通過提取PDF中JavaScript特征，形成特征向量，再通過基于的支持向量機的機器學習算法學習訓練，提出了一種PDF的靜態檢測模型。在處理JavaScript時候，增加了反混淆的簡單機制，使特征分析更為精確，并建立更為完善的機器學習模型。在接下來的研究中，重點放在靜態與動態模型相結合的思路上，增加惡意PDF的檢出率。

參考文獻：

[1]孫本陽，王軼駿，薛質.一種改進的惡意PDF文檔靜態檢測方案[J].計算機應用與軟件,2016,33（3）:308-313.

[2]周可政，施勇，薛質.基于惡意PDF文檔的APT檢測[J].信息安全與通信保密,2016（1）:131-136.

[3]李玲曉，伍淳華.基于結構特征的惡意PDF文檔檢測[C].中國通信學會學術年會，2014.

[4]林楊東，杜學繪，孫奕.惡意PDF文檔檢測技術研究進展[J/OL].計算機應用研究,2018（08）:1-7[2018-01-17].

[5]文偉平，王永劍，孟正.PDF文件漏洞檢測[J].清華大學學報（自然科學版）,2017（1）:33-38.

[6]胡江，周安民.針對JavaScript攻擊的惡意PDF文檔檢測技術研究[J].現代計算機,2016（1）:36-40.

[7]Laskov P.Static Detection of Malicious JavaScript-bearing PDF Documents[C]Twenty-Seventh Computer Security Applications Conference,ACSAC 2011,Orlando,Fl,USA,5-9 December.DBLP,2011:373-382.