最新資訊

基于文檔圖結(jié)構(gòu)的惡意PDF文檔檢測(cè)方法

目前基于機(jī)器學(xué)習(xí)的惡意PDF文檔檢測(cè)方法依賴于專家經(jīng)驗(yàn)來(lái)遴選特征,無(wú)法全面反映文檔屬性。而且在面對(duì)對(duì)抗樣本時(shí),檢測(cè)器性能下降明顯。針對(duì)上述問(wèn)題,提出了一種基于文檔圖結(jié)構(gòu)和卷積神經(jīng)網(wǎng)絡(luò)的惡意PDF文檔檢測(cè)方法。該方法解析文檔結(jié)構(gòu),根據(jù)文檔中各對(duì)象之間的引用關(guān)系構(gòu)建出有向圖。然后,通過(guò)TF-IDF算法計(jì)算各節(jié)點(diǎn)對(duì)分類的貢獻(xiàn)度來(lái)進(jìn)行圖結(jié)構(gòu)精簡(jiǎn)。最后,計(jì)算精簡(jiǎn)后圖的鄰接矩陣和度矩陣,并得到圖的拉普拉斯矩陣,以此作為特征送入CNN分類模型進(jìn)行訓(xùn)練。同時(shí)還加入了對(duì)抗樣本,對(duì)模型進(jìn)行對(duì)抗訓(xùn)練。實(shí)驗(yàn)評(píng)估表明,在給定訓(xùn)練和測(cè)試樣本比例9:1條件下,不斷調(diào)整神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和參數(shù),該方法的準(zhǔn)確率達(dá)到了99.71%,性能優(yōu)于KNN和SVM分類模型。在針對(duì)對(duì)抗樣本的檢測(cè)上,與知名在線檢測(cè)網(wǎng)站VirusTotal上的67款殺毒引擎相比,該方法取得了更高的檢測(cè)性能。

發(fā)表于:11/17/2021