实践:SSDEEP相似度比较

最新推荐文章于 2023-03-08 00:37:05 发布
最新推荐文章于 2023-03-08 00:37:05 发布
阅读量1.3k 收藏
点赞数
分类专栏: 安全研究 - 恶意软件 文章标签: python java 人工智能 深度学习 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011698800/article/details/107607223
版权

2020/06/03 -

其实一开始的时候,我是想看看,他们都是使用什么特征来进行比较。。。

今天下午就想找一些相关的相似度比较的文章,看看有没有相关的实践,然后发现谷歌出来的大量结果都是论文,我是想找一些实际的代码。
不过,通过调整关键词到medium上,发现了有人使用了ssdeep来进行比较。

首先是工具的安装,然后通过自己编写的几个c源码,编译之后进行比较。
他的结果说明,能够有相似度出来;然后又对比了这个图像的相似度,发现这个工具并不支持。我估计是因为他是使用线性滑动窗口来进行比较的吧。
ssdeep的使用过程,
ssdeep -s * > sample.ssd这个是生成每个文件的哈希数值
ssdeep -m sig_file -s * 这个是将要比对的文件匹配之前的指纹。
-s是屏蔽错误。

下面来说一下,我的实践结果。
主要测试是当时在github上找到的ioc列表。
然后有一个样本.i,数量比较多,就拿他做例子。
通过上面的命令,的却能发现有很大的相似程度,也说明了这种方法的有效性。

但是我再测试其他的内容的时候,发现了一个问题,很多样本他们都不匹配。大部分都不能匹配上。
这个结果可能,真的是因为这些样本不相似吧,当然也能找到一些相似的。但是比较少。
而且,他的结果输出过程是这样的,如果他们不相似,就不输出结果。

这里呢,产生了一些疑问。

  1. 这种相似度的可解释性有多少高,在我这里就是说,这东西是哪里相似呢?
  2. 对于系统代码的部分,是不是也会被认定为相似,这种应该会有干扰吧。

对于这个聚类的结果,我不是清楚怎么聚类这个过程。。这里github上有几个相关的。、https://github.com/bwall/ssdc

文章

[1]fuzzy-hashing-ssdeep

V丶Chao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-基于libmagic和ssdeep检测文件类型和模糊哈希
08-14
基于libmagic和ssdeep检测文件类型和模糊哈希
模糊哈希平均哈希,差异哈希,小波哈希,基于ssdeep工具的图像模糊哈希相似度比较诊断分析系统
m0_68894275的博客
04-26 332
基于pyqt5建立系统,然后调用ssdeep工具,实现图像之间的模糊哈希数值计算,并实现相似度的计算 其中相似度的计算是比较的哈希数值,ssdeep.compare(hash1, hash2) 可以利用ssdeep的软件实现哈希数值的比较工作 同时 经过平均哈希,差异哈希,小波哈希等算法求解得到两个图像的差异 Ssdeep模块的安装可以直接下载一个模块,或者通过相关指令进行安装 可以参考ssdeep - 模糊哈希程序 (ssdeep-project.github.io)的步骤进行操作实现 其主要
Python利用模糊哈希实现对比文件相似度详解
Linuxprobe18的博客
03-08 626
对比两个文件相似度python中可通过difflib.SequenceMatcher/ssdeep/python_mmdt/tlsh实现,在大量需要对比,且文件较大时,需要更高的效率,可以考虑模糊哈希(fuzzy hash),如ssdeep/python_mmdt。ssdeep/mmdt/tlsh方法可以实现实现提前模糊哈希值,验证时,只读取一次,完成对比,从而优化对比时间,及内存/cpu消耗。tlsh测试时,值越小,相似度越高,在对比小文件时,很不理想。
Fuzzy Hashing 算法工具ssdeep 使用
编程小栈
02-03 7171
引言ssdeep 是一个用来计算context triggered piecewise hashes(CTPH) 基于文本的分片哈希算法 ,同样也可以叫做模糊哈希 Fuzzy hashes。CTPH可以匹配同源文档(相似文档),这样的文档可能有一些顺序相同的字节,尽管这些字节可能在一个序列中长度和内容都不尽相同。你可以在这里下载到这个算法的详细解释: Identifying almost ident
SSDEEP分析二进制文件相似性
shutdown -s -t
05-04 1247
本文讨论内容涉及如何使用SSDEEPpython调用SSDEEPSSDEEP的计算块最大的大小。 背景 安全分析里经常会遇到一个场景,当一个文件被人为有意或无意地操作变化变成了一个新的文件,例如,有意的情况有作者改动文本内容、恶意代码自动填充垃圾字节等变化;无意的情况有传输出错、磁盘存储出错等。如何衡量这些文件的是否发生变化,如何有效比较两个文件是否有差异是否相似,成了取证分析和病毒分析里经常要面对的问题。 针对上面的场景,业内比较程序办法是采用模糊哈希进行比较,模糊哈希算法又叫基于内容分割的分片哈希算
ssdeep命令行参数说明
超然于物外 烟火于一瞬
10-16 3779
ssdeep 下载地址:http://ssdeep.sourceforge.net/ ssdeep 中文介绍:http://blog.claudxiao.net/2012/02/fuzzy_hashing/#comment-489 参数分为三种: 一 生成fuzzy hash值的。 二 比较hash值的。 三 其他方面的控制。 一 生成fuzzy hash
audio:声音相似度
02-13
声音的 声音相似度wavTopng是声音转图片的工具
千言数据集:文本相似度
02-25
上传防止原文丢失
图像相似度比较
02-05
在vc中用c++实现图片相似度比较_方法及源码
vectorization:向量相似度数据库
05-10
向量化 向量相似度数据库
dssim:模拟相似度的图像相似度比较(Rust中的多尺度SSIM)
02-04
dssim:模拟相似度的图像相似度比较(Rust中的多尺度SSIM)
数据集:恶意软件
围城
07-10 4248
https://github.com/ocatak/malware_api_class https://github.com/shramos/Awesome-Cybersecurity-Datasets#malware https://github.com/traceflight/Android-Malware-Datasets https://github.com/endgameinc/embe...
DGA - 研究内容整理
围城
08-09 1794
20200809 - 引言 DGA算法是一种生成域名的算法:以时间或者一些特定字符串作为种子,然后利用一定的算法(例如加密算法),来生成随机域名的方式。 恶意软件的制作者通过这种方式来迷惑安全工作者,传统的恶意软件利用硬编码的方式将CC域名保存在程序中,安全工作者可以对这部分域名进行封堵实现截断通信的过程。在DGA算法的帮助下,恶意程序会发出大量DNS请求(包含DGA生成的域名),而制作者利用同样的算法和同样的种子生成同样的列表,从中挑选任意个在DNS厂商进行注册,以此躲避封堵。 而针对DGA的研究,可以有
总结:二进制安全阅读论文总结
围城
06-09 1325
2020/06/09 - 引言 关于本部分二进制安全相关的东西,一开始我没有准备看论文,主要是想找一些相关的工具来实现自己的目的。起初,我是希望寻找一个工具能够对比二进制文件相似度,通过搜索之后,定位到了ssdeep这个工具,对这个工具进行了实践,能够得到一些相应的结果。但在这个过程中发现了一个博客复现了大致是17/18年左右一篇顶会(代码相似度)的论文(后面具体介绍),在阅读了这篇论文之后,萌...
文章阅读:卡巴斯基病毒检测白皮书
围城
07-10 993
2020/06/02 - 引言 在Bing搜索关键词"malware"和"machine learning",发现了这本白皮书《Machine Learning Methods for Malware Detection》。 个人阅读完之后,感觉干货十足,满满的诚意。从整体的内容上,加上具体的核心技术,都非常值得深入阅读。 这里记录一下这部分内容,从他提出的观点,使用的技术,进行简要的记录。 个人...
思考:恶意软件的特征
围城
07-10 924
2020/06/16 - 今天在阅读《海量数据挖掘》的过程中,看到了这个TF.IDF的内容。书中提到,一般来说,当我们看到例如“奔跑”,“某球”的单词(出现次数很多),就会觉得这篇文章属于一种球类的文章。。。 我感觉我没弄懂他到底想说什么。其实TF.IDF就是说,有些时候有些单词可能出现次数低,但他就是决定某个文章是某类的因素。 这让我想到了这个问题:那恶意软件中怎么来推广。好像推广不过来(从指...
思考:恶意软件的相似度比较
围城
07-10 899
2020/05/19 - 之前在那本《数据科学:恶意软件分析》中看到过。就是说,利用里面的字段什么的,来进行相似度比较,使用了杰西卡系数来判断。不过,我反过来想了想,这些二进制文件真的可以在编译后保持吗? 同样,这些相似度比较的方式还有别的吗? 这个其实就是跟系统调用序列一样。 我刚才冒出来一个想法,就是说那种按照块来对恶意软件进行对比相似的方式。 不知道这种是不是有人做过。感觉其实更像是图的方...
python中KeyError: '相似度'怎么解决
最新发布
06-09
KeyError: '相似度' 是指在字典中查找一个不存在的键时出现的错误。你需要检查一下代码,看看你的字典中是否存在键为 '相似度'。如果不存在,你可以通过在执行代码之前先初始化字典并添加相应的键值对来解决该问题。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值