[发明专利]文本对象安全性检测方法和设备

说明书

文本对象安全性检测方法和设备。该文本对象安全性检测方法，包括：提取文本对象的第一特征和第二特征，其中，所述第一特征为JavaScript语义特征，所述第二特征为不安全文本对象中常用的JavaScript关键词和使用方式特征；将所述第一特征与所述第二特征相组合形成组合特征；如果所述组合特征使用已训练的安全性检测模型计算后得到的结果低于阈值，则判定所述文本对象为安全文本对象。

技术领域

本发明涉及网络安全领域，尤其是涉及一种文本对象安全性检测方法和设备。

背景技术

PDF文档(Portable Document Format，可携带文档格式)，是以PostScript语言(计算机编程语言)图像模型为基础的一种编程形式的电子文档格式。PDF文档已经从静态页面发展到具有脚本、多媒体内容、交互式表单以及其他功能的复合式文档。当前，PDF文档格式非常流行，几乎人人都会使用到，也正因此，许多攻击者都将恶意PDF文档作为感染用户的一种重要方式。更具有威胁性的是，当前PDF阅读器还存在许多可以被利用的漏洞，攻击者如果借助这些漏洞，那么恶意软件将以一种隐蔽的方式感染到用户主机上。

上述恶意PDF文档，是指嵌入恶意代码的PDF文档。嵌入在恶意PDF文档的恶意代码可以实现多种类型的攻击，但90％以上通过JavaScript(缩写为JS，是一种高级的、多范式、解释型的编程语言，支持面向对象编程、命令式编程以及函数式编程)代码实现恶意行为，这些攻击可以窃取数据甚至实现任意代码执行，对网络空间安全造成严重威胁。因此，PDF文档安全性检测显得尤为重要。

发明内容

本发明的目的在于提供一种文本对象安全性检测方法和设备，至少能够检测文本对象(如PDF文档)的安全性，提升对未知的不安全文本对象(如恶意PDF文档)的检测能力，克服对未知不安全文本对象检测率低的问题。

根据本发明的一方面，至少一个实施例提供了一种文本对象安全性检测方法，包括：提取文本对象的第一特征和第二特征，其中，所述第一特征为JavaScript语义特征，所述第二特征为不安全文本对象中常用的JavaScript关键词和使用方式特征；将所述第一特征与所述第二特征相组合形成组合特征；如果所述组合特征使用已训练的安全性检测模型计算后得到的结果低于阈值，则判定所述文本对象为安全文本对象。

根据本发明的另一方面，至少一个实施例还提供了一种文本对象安全性检测模型的训练方法，包括：提取多个安全文本对象的多个第三特征和多个第四特征，其中，所述第三特征为JavaScript语义特征，所述第四特征为不安全文本对象中常用的JavaScript关键词和使用方式特征；将所述多个第三特征与所述多个第四特征相组合形成多个第五特征；利用单分类支持向量机对所述多个第五特征构建检测模型。

根据本发明的另一方面，至少一个实施例还提供了一种文本对象安全性检测设备，包括：处理器，适于实现各指令；以及存储器，适于存储多条指令，所述指令适于由处理器加载并执行：本发明上述文本对象安全性检测方法、和/或本发明上述文本对象安全性检测模型的训练方法。

根据本发明的另一方面，至少一个实施例还提供了一种文本对象安全性检测系统，包括：本发明上述文本检测设备。

根据本发明的另一方面，至少一个实施例还提供了一种计算机可读的非易失性存储介质，存储计算机程序指令，当所述计算机执行所述程序指令时，执行本发明上述文本对象安全性检测方法、和/或本发明上述文本对象安全性检测模型的训练方法。

通过本发明上述实施例，文本对象安全性检测模型在训练过程中，仅使用安全文本对象作为训练样本，不安全文本对象常用的关键词和使用方式来协助构造恶意关联特征，较好的提升了对未知不安全文本对象的检测能力，克服了对未知不安全文本对象检测率低的问题，较好的缓解了不安全文本对象对网络空间安全造成的严重威胁。

附图说明