公开(公告)号：CN105868630A

公开(公告)日：2016-08-17

申请号：CN201610173705.2

申请日：2016-03-24

Applicant: 中国科学院信息工程研究所

Inventor： 刘超 ,  李敏 ,  姜建国 ,  喻民 ,  周颖

IPC: G06F21/56

CPC classification number: G06F21/562 ,  G06F21/566

Abstract: 本发明涉及一种恶意PDF文档检测方法，该方法包括：提取待检测PDF文档中的攻击载荷代码；对所述攻击载荷代码进行反混淆处理，得到原始攻击载荷代码；提取所述原始攻击载荷代码的特征码，并判断在预先建立的恶意特征库中是否存在与所述原始攻击载荷代码的特征码相匹配的特征码，若是，则判定所述待检测PDF文档为恶意PDF文档，其中，所述恶意特征库中包括若干用于表征PDF文档为恶意PDF文档的特征码。本发明提供的恶意PDF文档检测方法中，在判断之前首先对攻击载荷代码进行反混淆处理，得到原始攻击载荷代码，然后进行后续的判断，从而可以解决攻击者对恶意代码进行混淆处理导致检测效果不佳的问题，以提高检测的准确性和可靠性。