[发明专利]恶意PDF文档的检测方法及电子设备

权利要求书

1.一种恶意PDF文档的检测方法，其特征在于，包括：

提取PDF文档的树形结构，并基于所述树形结构生成结构矩阵；

对所述树形结构的节点的对象内容进行特征提取，得到特征数据；

将所述特征数据输入预先构建的检测模型处理以得到分类结果；

将所述分类结果和所述结构矩阵合并成扩展矩阵并输入卷积神经网络；

所述卷积神经网络输出所述PDF文档的检测结果；

所述提取PDF文档的树形结构，并基于所述树形结构生成结构矩阵，包括：

提取所述PDF文档的树形结构，基于所述树形结构生成邻接矩阵；

根据所述节点的对象类型对所述节点进行分类，基于分类结果将所述邻接矩阵转化为所述结构矩阵；

所述预先构建的检测模型的生成方法，包括：

基于所述节点的对象类型对所述节点进行分类；

基于多中心聚类方法对每种类型的所述节点进行训练得到所述检测模型。

2.根据权利要求1所述的恶意PDF文档的检测方法，其特征在于，所述对所述树形结构的节点的对象内容进行特征提取，得到特征数据，包括：

对所述节点的对象内容按照预设的规则进行替换以得到替换数据；

采用语言模型对所述替换数据进行特征提取；

基于所述特征的出现频率对所述特征进行选取以生成特征数据。

3.根据权利要求2所述的恶意PDF文档的检测方法，其特征在于，所述对所述节点的对象内容按照预设的规则进行替换以得到替换数据，包括：

对所述节点的内容的字符集进行分类；

建立与每类字符集对应的映射字符，并采用所述映射字符替换每类所述字符集内的字符。

4.根据权利要求3所述的恶意PDF文档的检测方法，其特征在于，所述映射字符的个数小于30个。

5.根据权利要求2所述的恶意PDF文档的检测方法，其特征在于，所述语言模型为n-gram模型。

6.根据权利要求1所述的恶意PDF文档的检测方法，其特征在于，所述特征数据输入预先构建的检测模型处理以得到分类结果，包括：

采用聚类方法确定聚类数目和聚类中心；

计算所述特征数据与对应类别的聚类中心的距离；

根据所述距离得到所述分类结果。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如权利要求1至6中任一项所述的恶意PDF文档的检测方法的步骤。

8.一种电子设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至6中任一项所述的恶意PDF文档的检测方法的步骤。