基于混合特征的惡意PDF文檔檢測(cè)

杜學(xué)繪，林楊東，孫奕

（解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué)河南省信息安全重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001）

1 引言

PDF是由Systems[1]在1993年提出的，用于文件交換的一種文件格式，其優(yōu)點(diǎn)在于跨平臺(tái)、能保留文件原有格式、開放標(biāo)準(zhǔn)等。PDF文件格式自被提出以來(lái)，就以其高效性、穩(wěn)定性和交互性而被廣泛應(yīng)用于政府、組織、企業(yè)等重要機(jī)構(gòu)的日常辦公。

自2008年第一個(gè)基于惡意代碼的PDF漏洞[2]被提出后，針對(duì)PDF文件格式漏洞的利用技術(shù)迅速發(fā)展。近幾年來(lái)，隨著社會(huì)工程學(xué)和APT（advanced persistent treat）等攻擊手段的興起和發(fā)展，PDF格式的漏洞也不斷被挖掘出來(lái)，利用嵌入惡意PDF文檔的釣魚郵件，結(jié)合社會(huì)工程學(xué)對(duì)政府、組織、企業(yè)等進(jìn)行攻擊的案例也屢見不鮮。

2016年9月，PaloAlto研究中心的安全研究人員首先發(fā)現(xiàn)了針對(duì)蘋果系統(tǒng)的新型釣魚郵件攻擊，其技術(shù)核心在于釣魚郵件中攜帶有木馬病毒的惡意PDF文檔。2017年5月12日，WannaCry勒索病毒軟件借助高危漏洞“永恒之藍(lán)”在全球范圍內(nèi)爆發(fā)，攻擊范圍覆蓋醫(yī)療、教育、公安等多個(gè)行業(yè)，影響極其惡劣。相關(guān)人士表示，WannaCry勒索病毒主要通過(guò)釣魚郵件結(jié)合惡意附件進(jìn)行傳播，然后嵌入文檔、感染文檔并對(duì)文檔進(jìn)行加密。

種種案例表明，釣魚郵件是當(dāng)前惡意文檔的主要傳播途徑，攻擊者通常將惡意文檔作為郵件附件，結(jié)合社會(huì)工程學(xué)等，誘使用戶打開惡意文檔，從而執(zhí)行進(jìn)一步的惡意操作?，F(xiàn)有的針對(duì)惡意PDF文檔的反病毒系統(tǒng)大多是基于簽名的方法和基于啟發(fā)式規(guī)則的方法[3]，其在應(yīng)對(duì)多態(tài)攻擊方面存在一定的缺陷，且無(wú)法應(yīng)對(duì)新型安全威脅。為了解決這些問(wèn)題，近年來(lái)，研究工作主要分為以下2個(gè)方面：1）著重關(guān)注惡意 PDF文檔中的靜態(tài)特征，如結(jié)構(gòu)特征、內(nèi)容元數(shù)據(jù)特征等，來(lái)判別惡意PDF，而不關(guān)注其惡意內(nèi)容及具體的行為操作；2）利用靜態(tài)分析和動(dòng)態(tài)分析的方法，針對(duì)惡意PDF文檔中的JavaScript特征進(jìn)行檢測(cè)。前一種方法的檢測(cè)效果和檢測(cè)效率均比后者更優(yōu)，且可以檢測(cè)不包含JavaScript的惡意文檔，然而，這種方法由于選取特征的頑健性較弱，已被證明極易被攻擊者通過(guò)簡(jiǎn)單的操作而繞過(guò)，因此，研究人員又重新關(guān)注惡意文檔中JavaScript特征的相關(guān)研究。

為了解決現(xiàn)有檢測(cè)方案特征頑健性較差、易被逃避檢測(cè)的問(wèn)題，本文提出了一種基于混合特征的惡意PDF文檔檢測(cè)方案。該方案采用靜態(tài)分析技術(shù)從文檔中提取出其常規(guī)信息（版本號(hào)、大小等）以及其結(jié)構(gòu)信息，采用動(dòng)態(tài)分析技術(shù)從文檔中提取出文檔執(zhí)行時(shí)的API（application programming interface）調(diào)用信息。對(duì)于常規(guī)信息，本文根據(jù)對(duì)文檔的分析結(jié)果進(jìn)行過(guò)濾篩選；對(duì)于結(jié)構(gòu)信息及API調(diào)用信息，本文采用K-means聚類算法對(duì)其進(jìn)行聚類，從中聚合出最能表征文檔惡意性的關(guān)鍵結(jié)構(gòu)特征及API調(diào)用特征，以此3種特征構(gòu)成特征向量，利用隨機(jī)森林算法構(gòu)建分類器并最終設(shè)計(jì)實(shí)驗(yàn)進(jìn)行驗(yàn)證。結(jié)果表明，本文方法與現(xiàn)有已公開的3種最新檢測(cè)工具相比，檢測(cè)率和誤報(bào)率均有一定提高，且在應(yīng)對(duì)基于特征加法的模擬攻擊上效果較好。

2 相關(guān)工作

2.1 PDF文檔結(jié)構(gòu)簡(jiǎn)介

由于 PDF使用起來(lái)方便快捷并且支持各類功能，其在我國(guó)信息化進(jìn)程中逐漸成為主流的文檔信息交換的主要格式，但與此同時(shí)也成為惡意代碼傳播的主要載體[4]。

一個(gè)典型的PDF文檔通常包含豐富的文本、圖像等信息，此外，在PDF中，往往還存在超鏈接、數(shù)據(jù)交換以及允許其他應(yīng)用調(diào)用的接口等來(lái)為PDF文檔的各類功能提供支持。因此，PDF擁有十分復(fù)雜的結(jié)構(gòu)特征。

PDF文檔由一組邏輯上相互連接的對(duì)象組成，其結(jié)構(gòu)[5]主要包括文件頭（header）、文件主體（body）、交叉引用表（cross-reference table）、文件尾（trailer）和其他可選部分。文件頭主要記錄了該文件使用的PDF結(jié)構(gòu)標(biāo)準(zhǔn)規(guī)范，文件主體包括了所有的對(duì)象內(nèi)容，交叉引用表記錄了間接對(duì)象的地址索引表，文件尾主要記錄了交叉引用表的物理位置。

文件頭位于PDF文檔的最前端，指定了文件使用的PDF規(guī)范的版本，如“%PDF-1.7”表示該P(yáng)DF文檔使用PDF 1.7版本的規(guī)范。需要注意的是，文件頭可以被放置在PDF文件的前1 024 B中的任意位置。

文體主體由文件頭和交叉引用表之間的所有對(duì)象組成，這些對(duì)象共同構(gòu)成了PDF文件的具體內(nèi)容，如頁(yè)面、文本、鏈接、圖像等。

交叉引用表為間接對(duì)象的隨機(jī)存取提供了索引地址表，它的一個(gè)重要作用是保證了在整個(gè)PDF文件被完整加載之前，可以將部分文檔先進(jìn)行顯示。對(duì)于一個(gè)PDF文檔而言，其交叉引用表會(huì)隨著PDF文件的更新而更新，不斷添加新的內(nèi)容。

文件尾位于文件的結(jié)尾，以“trailer”為起始標(biāo)志，指定了交叉引用表以及一些特殊對(duì)象的物理地址，并以“%%EOF”為結(jié)束標(biāo)志。

2.2 惡意PDF文檔檢測(cè)相關(guān)方法

惡意 PDF文檔檢測(cè)技術(shù)已有一定的基礎(chǔ)。目前，對(duì)惡意PDF文檔檢測(cè)的分析方法主要有2種類型，即靜態(tài)分析和動(dòng)態(tài)分析。靜態(tài)分析主要針對(duì)PDF文檔中的靜態(tài)特征，利用反編譯的手段從文檔中解析出結(jié)構(gòu)、內(nèi)容、JavaScript代碼等特征，并以此建立惡意PDF文檔檢測(cè)模型；動(dòng)態(tài)分析則是利用虛擬機(jī)、硬件模擬等技術(shù)，通過(guò)API掛鉤等手段對(duì)惡意PDF文檔及其內(nèi)嵌代碼的動(dòng)態(tài)執(zhí)行進(jìn)行監(jiān)控，并以此建立PDF文檔行為檢測(cè)模型。

早期的惡意文檔檢測(cè)，普遍使用靜態(tài)分析的方法。2007年，Li等[6]首次提出了利用機(jī)器學(xué)習(xí)結(jié)合n-gram分析對(duì)原始文檔進(jìn)行字節(jié)級(jí)分析，然而這些方法主要針對(duì)word文檔、可執(zhí)行文件（exe）等，并未在PDF文檔檢測(cè)方面進(jìn)行嘗試，其主要原因在于受編碼、過(guò)濾和加密等技術(shù)的影響，無(wú)法定位到PDF文檔中的主要特征。隨著惡意PDF文檔的危害性不斷增強(qiáng)，后續(xù)的研究工作著重分析PDF文檔中的JavaScript代碼特征。

PDF文檔中的JavaScript代碼特征主要有2類，即動(dòng)態(tài)行為特征和詞匯特征。針對(duì)JavaScript代碼的動(dòng)態(tài)行為特征分析已經(jīng)提出了許多解決方案，并設(shè)計(jì)出了 CWSandbox[7]、JSand[8]、Cujo[9]、Zozzle[10]、Prophiler[11]等多種 JavaScript代碼分析工具，被廣泛用于不同格式的文檔中嵌入式JavaScript代碼的檢測(cè)，在此基礎(chǔ)上形成了MalOffice[12]、ShellOS[13]、MDscan[14]等檢測(cè)系統(tǒng)。然而，利用虛擬環(huán)境對(duì)JavaScript進(jìn)行分析的時(shí)間開銷和計(jì)算開銷都較高，且攻擊者可以利用不同的JavaScript引擎或不同的閱讀器版本等來(lái)繞過(guò)檢測(cè)。為了降低開銷，研究人員逐漸關(guān)注于對(duì)JavaScript代碼的靜態(tài)詞匯分析，通過(guò)解析器，對(duì)PDF文檔中的JavaScript進(jìn)行定位和提取，隨后利用分類器進(jìn)行學(xué)習(xí)，形成檢測(cè)模型，典型的代表有PJScan[15]等。

然而，在針對(duì)PDF文件中JavaScript代碼特征的分析過(guò)程中，由于存在壓縮、加密、混淆等技術(shù)手段，JavaScript代碼的定位、抽取及解析始終具有較大難度，因此，針對(duì)元數(shù)據(jù)[16-17]的分析方法應(yīng)運(yùn)而生?；谠獢?shù)據(jù)特征檢測(cè)的特征抽取過(guò)程一般較為簡(jiǎn)單，且不需要對(duì)JavaScript進(jìn)行解析和執(zhí)行，其關(guān)注的特征主要有內(nèi)容特征和結(jié)構(gòu)特征2類。內(nèi)容特征主要關(guān)注PDF文檔中的重要關(guān)鍵字，如/JS、/JavaScrip以及字體對(duì)象、流對(duì)象長(zhǎng)度等一系列特征，其主要不足在于無(wú)法抽取出流對(duì)象中的數(shù)據(jù)，而流對(duì)象數(shù)據(jù)又容易被攻擊者用來(lái)隱藏惡意內(nèi)容，從而繞過(guò)此類檢測(cè)。另一類利用PDF文檔結(jié)構(gòu)特征的檢測(cè)方法[18]在檢測(cè)率和應(yīng)對(duì)新型威脅上均有進(jìn)一步的提高，然而已被證明易被攻擊者通過(guò)在正常文檔中嵌入惡意內(nèi)容來(lái)繞過(guò)[19]。

盡管通過(guò)對(duì)元數(shù)據(jù)的分析建立起來(lái)的檢測(cè)模型的檢測(cè)率及效率均較高，但其頑健性方面存在明顯的不足，因而研究又逐漸轉(zhuǎn)向PDF文檔中的惡意代碼。最新的進(jìn)展主要有：通過(guò)在PDF文檔中嵌入環(huán)境監(jiān)控代碼對(duì)PDF文檔的動(dòng)態(tài)行為進(jìn)行監(jiān)控[20]；根據(jù)PDF文檔運(yùn)行過(guò)程中的API調(diào)用信息作為特征對(duì)PDF文檔進(jìn)行分類檢測(cè)[21]；利用沙箱來(lái)增強(qiáng)打開PDF文檔從而保護(hù)系統(tǒng)的安全性等[22]。此后，Maiorca等[23]提出了結(jié)合PDF文檔的結(jié)構(gòu)和內(nèi)容特征來(lái)對(duì)惡意 PDF文檔進(jìn)行檢測(cè)，在一定程度上增強(qiáng)了純靜態(tài)的結(jié)構(gòu)特征分析所帶來(lái)的頑健性弱的問(wèn)題，但由于采用的仍是靜態(tài)分析，因此在對(duì)抗模擬攻擊方面依然存在頑健性不足的問(wèn)題。

3 基于混合特征的惡意PDF文檔檢測(cè)方法

通過(guò)對(duì)現(xiàn)有技術(shù)的分析，本文發(fā)現(xiàn)近幾年對(duì)于PDF文檔檢測(cè)的研究大部分集中于檢測(cè)其中的JavaScript代碼以及相應(yīng)的結(jié)構(gòu)和內(nèi)容元數(shù)據(jù)。

針對(duì)JavaScript代碼的檢測(cè)頑健性較強(qiáng)，但存在定位和解析JavaScript困難、分析代價(jià)較高、難以應(yīng)對(duì)其他類型的安全威脅等問(wèn)題；針對(duì)結(jié)構(gòu)和內(nèi)容元數(shù)據(jù)的分析檢測(cè)效率和檢測(cè)率較高，然而容易被攻擊者設(shè)計(jì)特定文檔而繞過(guò)，頑健性較差。

為了克服這些缺點(diǎn)，本文提出了一種基于混合特征的惡意PDF文檔檢測(cè)方法，在現(xiàn)有研究的基礎(chǔ)上，著重關(guān)注惡意PDF文檔的常規(guī)特征、結(jié)構(gòu)特征及其API調(diào)用特征。方案框架如圖1所示。

圖1 基于混合特征的惡意PDF文檔檢測(cè)方案框架

本文以PDFiD和PhoneyPDF這2款工具為基礎(chǔ)構(gòu)建了文檔解析器，采用動(dòng)靜態(tài)分析相結(jié)合的方法，從文檔中提取內(nèi)容信息和結(jié)構(gòu)信息，并將JavaScript特征轉(zhuǎn)化為對(duì)應(yīng)的 API調(diào)用特征從而解決JavaScript代碼定位難、代碼混淆等問(wèn)題，并通過(guò)聚類獲得最能表征惡意 PDF文檔的結(jié)構(gòu)特征及API調(diào)用特征，去除了大量冗余信息，并將此特征集合與常規(guī)特征相結(jié)合作為混合特征向量用于分類器的訓(xùn)練學(xué)習(xí)，最終得到檢測(cè)模型。

3.1 混合特征設(shè)計(jì)

由于單一特征存在頑健性差等問(wèn)題，因此本文設(shè)計(jì)了一種混合特征，用以表征 PDF文檔的惡意性，具體可分為常規(guī)特征、結(jié)構(gòu)特征、API調(diào)用特征3類，下面進(jìn)行詳細(xì)介紹。

3.1.1 常規(guī)特征

通過(guò)對(duì) PDF文檔的分析，結(jié)合已有的在惡意PDF文檔檢測(cè)領(lǐng)域的相關(guān)經(jīng)驗(yàn)結(jié)果，本文選取了以下7個(gè)重要特征作為常規(guī)特征，包括文件大小、文件版本號(hào)、包含JavaScript代碼的對(duì)象數(shù)量、嵌入的文件數(shù)量、不完整對(duì)象的數(shù)量、交叉引用表的數(shù)量、特殊操作函數(shù)（如OpenAction、Launch等）數(shù)量。這些常規(guī)特征與PDF文檔的安全相關(guān)性如表1所示。

表1 常規(guī)特征與PDF文檔的安全相關(guān)性

這些單一特征并不足以用來(lái)標(biāo)識(shí) PDF文檔的惡意性，但它們結(jié)合起來(lái)可以作為PDF文檔的一個(gè)整體概述。例如，根據(jù)對(duì)大量文檔的分析，惡意PDF文檔的大小通常小于正常PDF文檔的大小，因?yàn)橐话銗阂?PDF文檔并不包含有用的文本、圖片等內(nèi)容，且文件越小，其感染效率就越高；同樣，對(duì)象、交叉引用表通常用于隱藏文檔中的惡意內(nèi)容，與文檔的惡意性存在一定的相關(guān)性；此外，JavaScript代碼及特殊操作函數(shù)等是絕大部分惡意 PDF文檔完成其惡意目的的必備內(nèi)容，也能在一定程度上反映文檔的惡意性。因此，這些特征構(gòu)成了PDF文檔的常規(guī)特征，其可以在一定程度上表征文檔的惡意性，但并非充分條件。

3.1.2 結(jié)構(gòu)特征

利用結(jié)構(gòu)特征來(lái)表征PDF文檔的惡意性，最早由?rndic等[18]提出，其方案以惡意PDF文檔在結(jié)構(gòu)上與正常PDF文檔存在的差異性為基礎(chǔ)，設(shè)計(jì)了一種結(jié)構(gòu)路徑用于表征PDF文檔的結(jié)構(gòu)特征，其主要問(wèn)題在于特征復(fù)雜，且不利于進(jìn)一步分析。因此本文設(shè)計(jì)了一種更為簡(jiǎn)便的且更具有可解釋性的結(jié)構(gòu)特征。不同類別的文檔，其文檔結(jié)構(gòu)上的關(guān)鍵字存在一定的差異，當(dāng)一個(gè)關(guān)鍵字在正常樣本或惡意樣本中出現(xiàn)的頻率較大時(shí)，其可在一定程度上反映文檔的實(shí)際類別。因此，本文在對(duì)PDF文檔進(jìn)行解析并獲取其結(jié)構(gòu)關(guān)鍵字及其頻率的基礎(chǔ)上，設(shè)計(jì)了一種結(jié)構(gòu)特征提取算法對(duì)所提取出的關(guān)鍵字進(jìn)行聚類，從中篩選得到出現(xiàn)頻率較高的關(guān)鍵字作為結(jié)構(gòu)特征，從而以盡可能小的特征數(shù)量來(lái)最大程度地表征PDF文檔。算法具體描述如下。

本文利用上述算法，分別對(duì)正常PDF集合和惡意PDF集合的特征關(guān)鍵字集合進(jìn)行提取，最終得到正常樣本關(guān)鍵字子集合Kb和惡意樣本關(guān)鍵字子集合Km及其對(duì)應(yīng)的出現(xiàn)頻次，分別用以表示正常樣本的結(jié)構(gòu)特征和惡意樣本的結(jié)構(gòu)特征。本算法主要包括 3個(gè)步驟，對(duì)應(yīng)的復(fù)雜度分別為O（|K||D|）、O（2T|K|）、O（|K|），其中，T為K-means算法中的迭代次數(shù)，由于迭代次數(shù)遠(yuǎn)小于樣本數(shù)量，因此算法復(fù)雜度為O（|K||D|）。

結(jié)構(gòu)特征集合中的關(guān)鍵字?jǐn)?shù)量主要取決于樣本集合和聚類結(jié)果。文檔的結(jié)構(gòu)特征通常與文件執(zhí)行的特征操作相關(guān)聯(lián)，并且主要通過(guò)關(guān)鍵字來(lái)執(zhí)行對(duì)應(yīng)操作，因此選擇特征關(guān)鍵字來(lái)表示文檔的結(jié)構(gòu)特征是可行的。例如，/Font是正常樣本中的特征關(guān)鍵字，主要是因?yàn)榇岁P(guān)鍵字與文檔中的字體相關(guān)聯(lián)，出現(xiàn)此關(guān)鍵字說(shuō)明樣本內(nèi)容中會(huì)顯示不同字體，對(duì)于正常樣本來(lái)說(shuō)這是合理的，但惡意文檔一般不包含具體內(nèi)容，以輕便簡(jiǎn)單為主，因此一般不出現(xiàn)此關(guān)鍵字；又如，/OpenAction是惡意樣本中的特征關(guān)鍵字，其主要功能是執(zhí)行對(duì)象中的打開操作，常用來(lái)執(zhí)行JavaScript代碼，這與惡意樣本中有90%以上的樣本包含JavaScript相吻合[24]。

通過(guò)聚類，利用文檔結(jié)構(gòu)中的關(guān)鍵字特征來(lái)表征其結(jié)構(gòu)特征，極大地降低了特征向量的復(fù)雜度，并且由于排除了大量冗余關(guān)鍵字，從而加大了攻擊者在正常文檔結(jié)構(gòu)基礎(chǔ)上構(gòu)建惡意文檔從而繞過(guò)檢測(cè)的難度。

3.1.3 API調(diào)用特征

惡意 PDF文檔中所包含的惡意代碼往往都會(huì)經(jīng)過(guò)復(fù)雜的混淆和隱藏，直接進(jìn)行靜態(tài)分析難以解決代碼定位難與代碼混淆等問(wèn)題，為此，本文基于API調(diào)用與惡意代碼執(zhí)行過(guò)程的相關(guān)性，利用API調(diào)用特征來(lái)間接地表征 JavaScript代碼的執(zhí)行特征?，F(xiàn)有的針對(duì)惡意PDF文檔中JavaScript代碼的分析中，最常見的是采用SpiderMonkey等工具進(jìn)行分析，這些工具最大的不足在于其識(shí)別的標(biāo)準(zhǔn)為JavaScript 通用標(biāo)準(zhǔn)，對(duì)于PDF文檔中特定JavaScript代碼（如 app.doc.getAnnots、app. plugIns.length等）無(wú)法有效識(shí)別。本文采用了PhoneyPDF這一分析框架對(duì)PDF的內(nèi)嵌JavaScript執(zhí)行過(guò)程進(jìn)行分析，它是一種基于Adobe DOM仿真的分析框架，可以執(zhí)行并分析PDF中所使用的各類JavaScript代碼。通過(guò)對(duì)其執(zhí)行過(guò)程中的API調(diào)用進(jìn)行抽取，設(shè)計(jì)了一種特征API調(diào)用提取算法對(duì)關(guān)鍵API調(diào)用進(jìn)行了選擇。

記R為Acrobat PDF標(biāo)準(zhǔn)中所有可調(diào)用的API函數(shù)集合，N為其元素個(gè)數(shù)。本文的任務(wù)即從全集R中篩選出對(duì) PDF文檔標(biāo)簽具有表征價(jià)值的 API函數(shù)子集合。

對(duì)于任意的r∈R，定義θ=∑φi為其有效性權(quán)值，則有

有效性權(quán)值θ表示對(duì)應(yīng)的API函數(shù)在惡意樣本和正常樣本中出現(xiàn)的比率，θ越大，說(shuō)明其在惡意文檔中出現(xiàn)的可能性越大，可作為表征惡意文檔的特征；反之，θ越小，則可將其作為正常文檔的特征。

本文利用K-means算法，根據(jù)有效性權(quán)值θ，計(jì)算對(duì)應(yīng)的歐氏距離，對(duì)訓(xùn)練樣本的API調(diào)用進(jìn)行聚類，找到閾值t2并將其分為2個(gè)簇（k=2），對(duì)應(yīng)的子集Rt={rj||θj|＞ t2}則為對(duì)應(yīng)的特征 API集合。算法具體描述如下。

在特征API調(diào)用提取算法中，K-means算法的迭代輪數(shù)遠(yuǎn)小于本文的樣本集合大小，因此本文算法復(fù)雜度為O（|R||D|）。為了提升算法的效率，本文使用樣本中出現(xiàn)的所有 API調(diào)用集合來(lái)代替AcrobatPDF標(biāo)準(zhǔn)中可調(diào)用API集合R，從而在一定程度上降低了算法的復(fù)雜度。

3.2 分類檢測(cè)算法

為了對(duì)訓(xùn)練集中的良性和惡意樣本進(jìn)行學(xué)習(xí)，建立模型并利用測(cè)試集進(jìn)一步優(yōu)化和調(diào)整模型，本文采用半監(jiān)督學(xué)習(xí)來(lái)建立檢測(cè)模型。由于本文所設(shè)計(jì)的混合特征在數(shù)據(jù)結(jié)構(gòu)上存在差異，因此需要選擇一種能適應(yīng)多種不同數(shù)據(jù)結(jié)構(gòu)的分類算法。決策樹算法可以較好地解決此問(wèn)題，然而決策樹存在容易導(dǎo)致過(guò)擬合、泛化效果較差等問(wèn)題，因此，本文采用隨機(jī)森林算法。隨機(jī)森林算法是對(duì)決策樹算法的一個(gè)集成和改進(jìn)，它在以決策樹為基學(xué)習(xí)器構(gòu)建Bagging集成的基礎(chǔ)上，進(jìn)一步在決策樹的訓(xùn)練過(guò)程中引入了隨機(jī)屬性選擇，能較好地應(yīng)對(duì)本文所設(shè)計(jì)混合特征存在的異構(gòu)性，且計(jì)算開銷小、集成的泛化性較好。最終，選擇了10棵樹的隨機(jī)森林算法進(jìn)行分類器的構(gòu)建，并采用十折交叉驗(yàn)證過(guò)程。

3.3 方法評(píng)價(jià)指標(biāo)

評(píng)價(jià)本文方法的功能指標(biāo)主要是對(duì)惡意 PDF文檔的檢測(cè)效果進(jìn)行評(píng)價(jià)，惡意文檔分類結(jié)果混淆矩陣定義如表2所示。

表2 惡意文檔分類結(jié)果混淆矩陣

表2中，DMM'表示惡意PDF文檔被正確檢測(cè)為惡意的樣本數(shù)量；DMB'表示惡意PDF文檔被錯(cuò)誤檢測(cè)為良性的樣本數(shù)量；DBM'表示良性PDF文檔被錯(cuò)誤檢測(cè)為惡意的樣本數(shù)量，DBB'表示良性PDF文檔被正確檢測(cè)為良性的樣本數(shù)量。對(duì)應(yīng)的幾項(xiàng)評(píng)價(jià)指標(biāo)如下。

1）真正類率（TPR, true positive rate），又稱為檢測(cè)率，表示被正確檢測(cè)為惡意的惡意PDF文檔數(shù)占惡意PDF文檔總數(shù)的比率，計(jì)算式為

2）假正類率（FPR, false positive rate），又叫誤報(bào)率，表示被錯(cuò)誤檢測(cè)為良性的惡意PDF文檔數(shù)占惡意PDF文檔總數(shù)的比率，計(jì)算式為

3）準(zhǔn)確率（accuracy），表示檢測(cè)結(jié)果是正確的樣本數(shù)占樣本總數(shù)的比率，計(jì)算式為

4 實(shí)驗(yàn)設(shè)計(jì)與結(jié)果分析

4.1 實(shí)驗(yàn)樣本集合與環(huán)境配置

在測(cè)試實(shí)驗(yàn)中，本文構(gòu)建了5 928個(gè)惡意PDF文檔以及5 881個(gè)良性PDF文檔的實(shí)驗(yàn)樣本集合。其中，惡意樣本主要在VirusTotal上收集而來(lái)，類別如表 3所示，包括近幾年來(lái) Adobe Reader及Acrobat的高危漏洞以及2004—2011年用戶提交到VirusTotal的未經(jīng)過(guò)鑒別分類的惡意PDF文檔樣本。這部分未鑒別的樣本涵蓋了常見的利用惡意 PDF文檔進(jìn)行攻擊的多種類型，如內(nèi)嵌代碼、內(nèi)嵌其他惡意文件等。

表3 惡意PDF文檔樣本類別

正常樣本主要通過(guò)在Google、Yahoo上下載得到，包括論文、銷售廣告、報(bào)告等PDF文檔，并通過(guò)卡巴斯基殺毒軟件檢測(cè)為正常樣本。在此需要強(qiáng)調(diào)的是，本文對(duì)正常樣本集合進(jìn)行了控制，著重增加了包含3D圖像、flash、視頻、JavaScript等內(nèi)容的正常PDF樣本，保證了正常樣本集合的全面性，降低了由于樣本不平衡性所導(dǎo)致的結(jié)果誤差。正常PDF樣本類別如表4所示。

表4 正常PDF文檔樣本類別

本文隨機(jī)地將這些數(shù)據(jù)分為訓(xùn)練樣本以及測(cè)試樣本，其中，訓(xùn)練樣本共包括3 949個(gè)惡意PDF文檔和3 916個(gè)良性PDF文檔；測(cè)試樣本包括1 979個(gè)惡意樣本和1 965個(gè)良性樣本。實(shí)驗(yàn)的軟硬件環(huán)境配置如表5所示。

表5 實(shí)驗(yàn)環(huán)境配置

4.2 檢測(cè)性能測(cè)試

為對(duì)本文所設(shè)計(jì)方案的檢測(cè)性能進(jìn)行驗(yàn)證，在訓(xùn)練集（3 949個(gè)惡意PDF文檔和3 916個(gè)良性PDF文檔）的基礎(chǔ)上，對(duì)本文的模型進(jìn)行了訓(xùn)練，從而建立檢測(cè)模型，并對(duì)測(cè)試集（1 979個(gè)惡意樣本和1 965個(gè)良性樣本）進(jìn)行測(cè)試。最終將測(cè)試結(jié)果與現(xiàn)有的 3種最新公開的惡意 PDF檢測(cè)工具（PJScan、PDFRate、Wepawet）相比較。由于 PJScan使用的是單分類SVM算法，其訓(xùn)練數(shù)據(jù)不包括正常樣本，因此本文僅使用訓(xùn)練集以及測(cè)試集中的惡意樣本作為PJScan的訓(xùn)練集和測(cè)試集，從而進(jìn)行對(duì)比實(shí)驗(yàn)。而另外2款公開的工具均為在線服務(wù)，其中，PDFRate使用了5 000個(gè)惡意PDF樣本（收集于 Contagio）和 5 000個(gè)正常樣本進(jìn)行訓(xùn)練，而Wepawet的訓(xùn)練數(shù)據(jù)集及大小均未知，因此，想要設(shè)計(jì)實(shí)驗(yàn)對(duì)這2款系統(tǒng)進(jìn)行相同的準(zhǔn)確訓(xùn)練并不可行。但通過(guò)比較這3類系統(tǒng)與本文方法對(duì)測(cè)試樣本的檢測(cè)結(jié)果，可以在一定程度上反映本系統(tǒng)的檢測(cè)性能。

4種方法對(duì)測(cè)試集最終的檢測(cè)結(jié)果如表6所示。本文主要從檢測(cè)率（真正類率）、誤報(bào)率（假正類率）和準(zhǔn)確率這3個(gè)方面對(duì)模型的檢測(cè)性能進(jìn)行比較，表6中括號(hào)內(nèi)為標(biāo)準(zhǔn)差。

表6 4種方法檢測(cè)效果對(duì)比

在實(shí)驗(yàn)過(guò)程中發(fā)現(xiàn)，所有不包含JavaScript代碼的文檔均會(huì)被PJScan系統(tǒng)分類為正常文檔，這是由于PJScan系統(tǒng)僅針對(duì)文檔中的惡意JavaScript代碼進(jìn)行檢測(cè)，但這顯然是不合理的。此外，Wepawet系統(tǒng)在解析結(jié)構(gòu)不完整的PDF樣本時(shí)，會(huì)出現(xiàn)分析出錯(cuò)的情況，這是由于其沒(méi)有實(shí)現(xiàn)全部Adobe的規(guī)范，而僅是模擬嵌入式JavaScript代碼和可執(zhí)行文件的運(yùn)行結(jié)果。

實(shí)驗(yàn)結(jié)果表明，本文方法在檢測(cè)性能上明顯優(yōu)于 PJScan和 Wepawet，PJScan的誤報(bào)率最低，但其檢測(cè)率相較于本文方法而言差距較大；Wepawet的檢測(cè)率及誤報(bào)率均弱于本文方法；PDFRate在檢測(cè)率方面與本文方法較為接近，而在誤報(bào)率方面則存在一定的弱勢(shì)?？偟貋?lái)說(shuō)，本文方法在檢測(cè)性能上要優(yōu)于其他3類工具。

為對(duì)本文檢測(cè)模型的檢測(cè)效率進(jìn)行進(jìn)一步的分析，將本文方法的單個(gè)文件的平均檢測(cè)時(shí)間與其他已公開該項(xiàng)數(shù)據(jù)的方案進(jìn)行對(duì)比，結(jié)果如表7所示，其中，本文方法以及PJScan的數(shù)據(jù)為實(shí)驗(yàn)得出，其他方案的數(shù)值均為從文獻(xiàn)[13-14,22]中獲得。此外，由于Wepawet以及PDFRate為在線服務(wù)，本文無(wú)法得到其準(zhǔn)確檢測(cè)時(shí)間，并且在公開文獻(xiàn)中也無(wú)法找到相關(guān)描述，因此本文并未對(duì)其進(jìn)行分析。

表7 幾種不同方法檢測(cè)效率對(duì)比

本文方法針對(duì)正常文檔的平均檢測(cè)耗時(shí)為650 ms，針對(duì)惡意文檔的平均檢測(cè)耗時(shí)為1 200 ms，可以滿足終端機(jī)器上的實(shí)時(shí)檢測(cè)需求。在實(shí)驗(yàn)過(guò)程中發(fā)現(xiàn)，正常文檔的檢測(cè)耗時(shí)主要取決于文檔的解析過(guò)程，這是由于正常文檔往往包含豐富的內(nèi)容（文本、圖片、表格），而僅小部分文檔包含JavaScript代碼，其文檔解析過(guò)程耗時(shí)較長(zhǎng)；惡意文檔一般只包含執(zhí)行漏洞或惡意代碼的對(duì)象，其具體頁(yè)面內(nèi)容較少，因此文檔解析過(guò)程較快，其檢測(cè)耗時(shí)主要取決于執(zhí)行JavaScript的時(shí)間。

可以看到，檢測(cè)效率主要與采用的分析類型有關(guān)，總體趨勢(shì)為純靜態(tài)分析＜動(dòng)靜態(tài)混合分析＜純動(dòng)態(tài)分析。PJScan和基于結(jié)構(gòu)路徑的方法在檢測(cè)耗時(shí)上比本文方法更優(yōu)，但本文方法使用了模擬Adobe DOM，可以對(duì)PDF文檔進(jìn)行更全面的分析。此外，與同類型的MDScan相比，本文方法的檢測(cè)耗時(shí)更少，主要原因在于本文方法間接地使用特征API調(diào)用來(lái)表征JavaScript代碼特征，而MDScan則是對(duì)Shellcode進(jìn)行進(jìn)一步的執(zhí)行與分析。

4.3 抗攻擊測(cè)試

通過(guò)對(duì)本文設(shè)計(jì)的方案進(jìn)行分析不難發(fā)現(xiàn)，攻擊者要想攻擊本文提出的檢測(cè)系統(tǒng)，主要可從3個(gè)方面進(jìn)行：1）徹底研究本文系統(tǒng)的檢測(cè)框架，設(shè)計(jì)出本文系統(tǒng)無(wú)法提取到的惡意特征；2）使用惡意樣本破壞本文的數(shù)據(jù)集，干擾模型的建立過(guò)程；3）分析本文選取的檢測(cè)特征，進(jìn)而操控樣本對(duì)應(yīng)的特征，最終找到可繞過(guò)檢測(cè)的惡意樣本。這3種方法均可實(shí)現(xiàn)對(duì)本文系統(tǒng)進(jìn)行攻擊，但很明顯，前兩種方法十分復(fù)雜，且需要操控本文系統(tǒng)的數(shù)據(jù)集，因而不易實(shí)現(xiàn)；而第三種方法則僅需要攻擊者不斷修改并提交自制惡意樣本到本系統(tǒng)進(jìn)行檢測(cè)，直至被誤報(bào)為正常樣本，即攻擊成功。

為測(cè)試本文系統(tǒng)對(duì)上述第三種攻擊手段的防御能力，本文選擇了基于特征加法的模擬攻擊作為對(duì)抗模型。模擬攻擊是指通過(guò)微弱地改變文件的整體結(jié)構(gòu)，從而將惡意內(nèi)容嵌入正常PDF文檔中，形成相應(yīng)的惡意PDF文檔，這種攻擊模型已經(jīng)被證明能十分簡(jiǎn)便有效地逃避基于結(jié)構(gòu)路徑檢測(cè)系統(tǒng)。為簡(jiǎn)化實(shí)驗(yàn)過(guò)程，本文在其思想的基礎(chǔ)上，通過(guò)直接對(duì)已抽取出的惡意PDF文檔特征向量進(jìn)行調(diào)整，在其特征向量中加入正常PDF文檔的相關(guān)特征，從而模擬攻擊過(guò)程。此過(guò)程可以簡(jiǎn)單地理解為，通過(guò)不斷增加惡意文檔的正常性，來(lái)引起檢測(cè)模型的誤報(bào)，從而達(dá)到逃避檢測(cè)的目的。

嵌入的良性特征主要從正常樣本特征集合Kb和Rb中選取。Kb和Rb為利用本文的特征提取算法對(duì)樣本集合進(jìn)行特征提取得到的集合。由于一般情況下，正常樣本不包含JavaScript代碼，嵌入對(duì)應(yīng)的API調(diào)用特征，可能導(dǎo)致文檔惡意性的增加，因此，本文僅選擇正常樣本的關(guān)鍵字特征進(jìn)行嵌入。定義特征關(guān)鍵字在樣本集合中出現(xiàn)的概率p，平均每個(gè)樣本中出現(xiàn)的次數(shù)為c，則特征關(guān)鍵字在樣本集合中出現(xiàn)的期望值e可表示為

特征關(guān)鍵字的良性表征度γ為

其中，eb、em分別表示特征關(guān)鍵字在正常樣本和惡意樣本中出現(xiàn)的期望值。

為最大限度地考量模型應(yīng)對(duì)模擬攻擊的能力，本文根據(jù)特征關(guān)鍵字的良性表征度，選取了最能表征良性PDF文檔的20個(gè)特征，具體描述如表8所示。

表8 嵌入的良性特征關(guān)鍵字

從表8可以看到，根據(jù)本文的選取原則，得到的特征關(guān)鍵字大部分與 PDF文檔中具體內(nèi)容的展示、存儲(chǔ)相關(guān)，如提綱、顏色、字體、過(guò)濾器等，這與正常PDF文檔往往比惡意PDF文檔包含更多的實(shí)質(zhì)性內(nèi)容（如文字、圖片、表格等）是一致的。

本文以嵌入的特征數(shù)量為變量，在已被本文系統(tǒng)正確檢測(cè)為惡意的PDF文檔中，根據(jù)嵌入良性特征的數(shù)量，將惡意PDF文檔特征向量中對(duì)應(yīng)值修改為正常樣本中出現(xiàn)的取整期望值。例如，在惡意PDF文檔原特征向量中，上述20項(xiàng)特征的值所組成的向量為（0,0,0,0,1,1,0,1,0,1,0,0,0,0,2,0,0,1,3,0），則本文的操作為當(dāng)嵌入正常樣本數(shù)量為 20時(shí)，惡意 PDF文檔特征中上述 20項(xiàng)特征值將被修改為（3,4,5,1,15,15,2,14,1,15,6,27,4,4,32,5,22,24,41,12）。

通過(guò)這種方式，近似地模擬攻擊者修改后的惡意PDF文檔的特征向量，并對(duì)所構(gòu)建的惡意特征向量進(jìn)行檢測(cè)。實(shí)驗(yàn)重復(fù)此過(guò)程5次，統(tǒng)計(jì)其每次攻擊成功的樣本數(shù)量并計(jì)算其繞過(guò)本文檢測(cè)系統(tǒng)的平均成功率，實(shí)驗(yàn)結(jié)果如圖2所示。

圖2 基于特征加法模擬攻擊的成功率曲線

從圖2可以看到，隨著添加良性特征數(shù)量的增多，攻擊成功的樣本數(shù)量呈上升趨勢(shì)，并最后趨于平穩(wěn)，其中，成功率峰值為1.29%，并在添加的良性特征數(shù)量超過(guò) 16個(gè)后趨于平緩。一般地，特征向量中增加良性特征的數(shù)量越多，基于特征加法的模擬攻擊成功率就會(huì)越高；所添加的良性特征越有代表性，則其攻擊成功率越高。而即便選擇了 20個(gè)最具有代表性的良性特征進(jìn)行嵌入時(shí)，本文系統(tǒng)在應(yīng)對(duì)基于特征加法的模擬攻擊的檢測(cè)率仍能高達(dá)98.71%，這充分證明了所提取的混合特征的頑健性。

事實(shí)上，在現(xiàn)實(shí)攻擊中，攻擊者并不清楚本文的訓(xùn)練數(shù)據(jù)集以及所選取的特征，因此，其攻擊過(guò)程遠(yuǎn)比上述模擬攻擊復(fù)雜。攻擊者需要對(duì)系統(tǒng)內(nèi)部參數(shù)進(jìn)行逆向工程，例如，通過(guò)設(shè)計(jì)梯度下降攻擊來(lái)計(jì)算逃避模式，構(gòu)建系統(tǒng)的代理副本等。為此，攻擊者需要收集數(shù)據(jù)集，并且復(fù)制本文的提取特征過(guò)程，最終構(gòu)建一個(gè)模擬的代理分類器。這種攻擊雖然可行，但其攻擊過(guò)程較復(fù)雜，且攻擊代價(jià)較高。

4.4 實(shí)驗(yàn)局限性

實(shí)驗(yàn)證明，本文方法與近幾年提出的3類公開的檢測(cè)系統(tǒng)相比，檢測(cè)率、誤報(bào)率均有一定的提升，且在檢測(cè)效率上能滿足終端用戶實(shí)時(shí)檢測(cè)的需求。此外，通過(guò)設(shè)計(jì)基于特征加法的模擬攻擊實(shí)驗(yàn)，證明了本方案所提取混合特征的頑健性。但是本文的實(shí)驗(yàn)仍然存在一定的不足，主要是在驗(yàn)證和研究良性特征數(shù)量與混合特征的頑健性、系統(tǒng)的檢測(cè)率之間的聯(lián)系缺乏實(shí)驗(yàn)證明。理論上，增加混合特征向量中良性特征的數(shù)量，可以有效提高檢測(cè)準(zhǔn)確率；但另一方面，良性特征的增多會(huì)導(dǎo)致逃避攻擊的成功率增高，原因在于攻擊者通過(guò)在惡意文檔中添加良性特征可能會(huì)提高分類器錯(cuò)誤分類的概率。此外，由于本文采用了聚類算法對(duì)特征進(jìn)行篩選，進(jìn)而構(gòu)建了特征向量，特征數(shù)量取決于聚類過(guò)程，因此未設(shè)計(jì)實(shí)驗(yàn)對(duì)特征數(shù)量與檢測(cè)準(zhǔn)確率和頑健性之間的關(guān)系進(jìn)行分析，而只是進(jìn)行了定性分析，但特征數(shù)量是否最優(yōu)、是否會(huì)導(dǎo)致過(guò)擬合，仍需要進(jìn)一步的研究與討論。

5 結(jié)束語(yǔ)

本文提出了一種基于混合特征的惡意 PDF文檔檢測(cè)方法，通過(guò)對(duì)文檔進(jìn)行動(dòng)靜態(tài)分析，對(duì)文檔基本信息、結(jié)構(gòu)信息和API調(diào)用信息進(jìn)行聚合，抽取出表征文檔安全性的混合特征，并利用隨機(jī)森林算法構(gòu)建檢測(cè)模型，在一定程度上解決了現(xiàn)有檢測(cè)模型易被逃避檢測(cè)的缺陷，提高了模型的頑健性。但本文方法還存在一些有待改進(jìn)的地方：1）所選取的3類特征相互之間無(wú)權(quán)重關(guān)系，而實(shí)際上API調(diào)用特征往往更能反映文檔的安全性，其權(quán)重還需通過(guò)實(shí)驗(yàn)進(jìn)一步研究與討論；2）抗攻擊實(shí)驗(yàn)中未對(duì)特征數(shù)量與檢測(cè)模型的準(zhǔn)確性、頑健性之間的相互關(guān)系進(jìn)行分析，無(wú)法確定模型選取的特征數(shù)量是否最優(yōu)、是否會(huì)導(dǎo)致過(guò)擬合；3）模型的檢測(cè)效果對(duì)訓(xùn)練數(shù)據(jù)的質(zhì)量較為敏感，且存在部分無(wú)法解析的文檔，需設(shè)計(jì)額外的操作進(jìn)行篩選和剔除，還需進(jìn)一步對(duì)解析器進(jìn)行改進(jìn)和優(yōu)化。