ホーム>プログラミング関連>その他のソースコード
ダウンロード
TLSH

TLSH - トレンドマイクロの地域性を重視したハッシュ

TLSH はあいまい一致ライブラリです。最小長が 50 バイトのバイト ストリームを指定すると、TLSH は類似性の比較に使用できるハッシュ値を生成します。類似したオブジェクトには類似したハッシュ値があり、ハッシュ値を比較することで類似したオブジェクトを検出できます。バイト ストリームには十分な複雑さが必要であることに注意してください。たとえば、同一バイトのバイト ストリームはハッシュ値を生成しません。

TLSH 4.12.x の (比較的) 新機能

2024 年 8 月 10 日

リリース バージョン 4.10.x - Python クラスタリング ツール。

  • ディレクトリ tlshCluster を参照してください。

4.12.0 をリリース バージョンにして、4.12.0 から py-tlsh Python ライブラリを構築しようとします。 4.12.0 には以下が含まれます: マージ プル リクエスト #137 - これにより、py-tlsh のメモリ リークが修正されました マージ プル リクエスト #134 - これにより、ifdef WINDOWS が移植可能になりました。 4.12.1 には以下が含まれます: プル リクエスト #146 のマージ - 警告を回避するために sprintf() への呼び出しを削除 プル リクエスト #141 のマージ - py_ext: PyObject_HEAD_INIT の代わりに PyVarObject_HEAD を使用 プル リクエスト #138 のマージ - ビルド: 「デフォルト」マージ プル リクエスト #136 でのみデフォルト オプションを定義 - バグ修正+移植性: 整数除算により移植性を向上

2020年

  • Virus Total社に採用されました
  • Malware Bazaar に採用されました

ダイジェストの先頭にバージョン識別子 (「T1」) を追加しました。 T1 ヘッダーを持つバージョンの TLSH を使用してください。コードには下位互換性があり、70 の 16 進文字列を TLSH ダイジェストとして読み取って解釈できます。また、データ セットには古いダイジェストと新しいダイジェストが混在する場合があります。古い形式の TLSH ダイジェストを出力する必要がある場合は、コマンド ライン オプション '-old' を使用します。

献身

謙虚で才能のあるエンジニアだった Chun Cheng に感謝します。

最小バイトストリーム長

デフォルト モードのプログラムでは、最小長が 50 バイトの入力バイト ストリームが必要です (および最小量のランダム性 - 以下の Python 拡張機能の注意を参照してください)。

古いバージョンとの一貫性を保つために、256 バイト制限を強制する -conservative オプションがあります。 TLSH バージョン 3.17.0 のメモを参照してください。

計算されたハッシュ

計算されたハッシュは 35 バイトのデータです (「T1」に 70 個の 16 進文字が続いて出力されます。合計の長さは 72 文字です)。 「T1」はハッシュのバージョン番号として追加されているため、アルゴリズムを適応させながら下位互換性を維持できます。古いスタイルの 70 16 進ハッシュを取得するには、-old コマンド ライン オプションを使用します。

バイト 3、4、5 はファイル全体に関する情報 (長さなど) を取得するために使用され、最後の 32 バイトはファイルの増分部分に関する情報を取得するために使用されます。 (ハッシュの長さは、CMakeLists.txt で後述するビルド パラメーターを変更することで増やすことができます。これにより、ハッシュに保存される情報が増加します。一部のアプリケーションでは、これによりファイル間の類似性の予測精度が向上する可能性があります。)

実行可能ファイルとライブラリ

TLSH をビルドすると (以下を参照)、静的ライブラリがlibディレクトリに作成され、 tlsh実行可能ファイル ( tlsh_unittestへのシンボリック リンク) が作成されます。 「tlsh」は、 binディレクトリ内の静的ライブラリにリンクします。このライブラリには、指定されたファイルからハッシュ値を生成し、2 つのハッシュ値間の類似性を計算する機能があります。

tlsh TLSH ハッシュ値を生成し、TLSH ハッシュ値を比較して類似性を判断するためのユーティリティです。詳細な使用方法については、パラメーターを指定せずに実行してください。

ポート

  • js_extディレクトリで利用可能な JavaScript ポート。
  • Java ポートはjavaディレクトリで使用できます。

サードパーティのポート

参考のためにこれらのポートをリストします。これらのリポジトリ内のコードはチェックしておらず、結果がここでの TLSH と同一であるかどうかもチェックしていません。また、すべてのポートに、このリポジトリに表示されるファイル LICENSE および NOTICE.txt を正確に含めるように要求します。

  • 別の Java ポートはここで利用できます。
  • 別の Java ポートはここで利用できます。
  • Golang ポートはここから入手できます。
  • Ruby ポートはここから入手できます

TLSHをダウンロードしています

次のように TLSH をダウンロードします。 

 wget https://github.com/trendmicro/tlsh/archive/master.zip -O master.zip
unzip master.zip
cd tlsh-master

または

 git clone git://github.com/trendmicro/tlsh.git
cd tlsh
git checkout master

TLSHの構築

CMakeLists.txt を編集して、さまざまなオプションを使用して TLSH を構築します。

  • TLSH_BUCKETS: 128 または 256 バケットを使用するかどうかを決定します。専門家で 256 バケットが必要であることがわかっている場合を除き、デフォルトの 128 バケットを使用します。
  • TLSH_CHECKSUM_1B: チェックサムの長さを決定します。長いほど衝突が少なくなります。専門家で、より大きなチェックサムが必要であることが分かっている場合を除き、デフォルトの 1 バイトを使用します。

Linux

実行する: 

 make.sh

注: Linux での TLSH のビルドは、 cmakeに依存してMakefile作成し、プロジェクトmakeため、 cmakeがインストールされていない場合、ビルドは失敗します。 CentOs または Amazon Linux に cmake/gcc コンパイラーをインストールするには: $ sudo yum install cmake $ sudo yum install gcc-c++

Windows (MinGW)

2020 年 3 月に追加。README.mingw の手順を参照してください。

Windows (Visual Studio)

Windows ディレクトリにあるバージョン固有の tlsh ソリューション ファイル (tlsh.VC2005.sln、tlsh.VC2008.sln など) を使用します。

tlsh ライブラリ インターフェイスについては tlsh.h を、サンプル コードについてはtestディレクトリの下の tlsh_unittest.cpp および simple_unittest.cpp を参照してください。

Python での TLSH の使用

Pythonパッケージ

最近、PyPi 上に Python パッケージを作成しました: https://pypi.org/project/py-tlsh/
py-tlsh は python-tlsh パッケージを置き換えます。詳細は94号をご覧ください
このパッケージをインストールするには

	$  pip install py-tlsh

Python 拡張機能

独自の Python パッケージを構築する必要がある場合は、Python のバージョンに関するメモが記載された README.python があります。 

 (1) compile the C++ code
	$./make.sh
(2) build the python version
	$ cd py_ext/
	$ python ./setup.py build
(3) install - possibly - sudo, run as root or administrator
	$ python ./setup.py install
(4) test it
	$ cd ../Testing
	$ ./python_test.sh

Pythonの使用法

 import tlsh

tlsh . hash ( data )

データは文字列ではなくバイトである必要があることに注意してください。これは、TLSH がバイナリ データ用であり、バイナリ データには NULL (ゼロ) バイトを含めることができるためです。

デフォルト モードでは、ハッシュ値を生成するにはデータに少なくとも 50 バイトが含まれている必要があり、ある程度のランダム性が必要です。ファイルのハッシュ値を取得するには、次のようにしてください

 tlsh . hash ( open ( file , 'rb' ). read ())

注: open ステートメントはファイルをバイナリ モードで開きました。

Python の例

 import tlsh

h1 = tlsh . hash ( data )
h2 = tlsh . hash ( similar_data )
score = tlsh . diff ( h1 , h2 )

h3 = tlsh . Tlsh ()
with open ( 'file' , 'rb' ) as f :
    for buf in iter ( lambda : f . read ( 512 ), b'' ):
        h3 . update ( buf )
    h3 . final ()
# this assertion is stating that the distance between a TLSH and itself must be zero
assert h3 . diff ( h3 ) == 0
score = h3 . diff ( h1 )

Python の追加オプション

diffxlen関数は、比較から tlsh ヘッダーのファイル長コンポーネントを削除します。 

 tlsh . diffxlen ( h1 , h2 )

繰り返しパターンを持つファイルと、そのパターンのインスタンスが 1 つだけあるファイルを比較する場合、ファイルの長さも含めると、その差は大きくなります。ただし、 diffxlen関数を使用すると、ファイルの長さは考慮されなくなります。

Python の下位互換性オプション

「保守的」オプションを使用する場合、データには少なくとも 256 文字が含まれている必要があります。例えば、 

 import os
tlsh . conservativehash ( os . urandom ( 256 ))

ハッシュを生成する必要がありますが、 

 tlsh . conservativehash ( os . urandom ( 100 ))

256 バイト未満であるため、TNULL が生成されます。

古い形式のハッシュ (「T1」プレフィックスなし) を生成する必要がある場合は、次を使用します。 

 tlsh . oldhash ( os . urandom ( 100 ))

古いオプションと保守的なオプションを組み合わせることができます。 

 tlsh . oldconservativehash ( os . urandom ( 500 ))

デザインの選択

  • 比較の精度を向上させるために、TLSH はバケットの高さの分布を四分位数で追跡します。四分位差が大きいほど、差スコアも高くなります。
  • 特別に 6 つのトライグラムを使用して、5 バイトのスライディング ウィンドウ内のバイトを同等に表現し、結果を改善します。
  • ピアソン ハッシュは、トリグラム カウントをカウント バケットに分配するために使用されます。
  • グローバル類似性スコアは、サイズが大きく異なるオブジェクトを遠ざけます。グローバル類似性は無効にすることができます。また、異なる四分位分布を持つオブジェクトの距離も測定します。
  • TLSH をコンパイルして、70 文字または 134 文字のハッシュ文字列を生成できます。 70 文字のハッシュ文字列を使用するために作成された長いバージョンは、アプリケーションでは機能しません。

TLSH の類似性は差分スコアとして表されます。

  • スコア 0 は、オブジェクトがほぼ同一であることを意味します。
  • 72 文字のハッシュについては、しきい値に基づいた実験的な検出率と誤検知率の詳細な表があります。 5 ページの表 II を参照

クラスタリング

  • tlshCluster の Python コードと Jupyter ノートブックを参照してください。
  • HAC-T メソッドの Python コードを提供します。ユーザーが DBSCAN を使用できるようにするコードも提供します。
  • ファイルとグループ間の関係を示す便利な図である、ファイルの系統図を作成する方法をユーザーに示します。
  • 当社は、数十万のサンプルを含む Malware Bazaar データセットをクラスタリングするためのツールを提供しています。
  • HAC-T 手法については、「HAC-T とセキュリティの類似性の高速検索」で説明されています。

出版物

  • Jonathan Oliver、Chun Cheng、Yanggui Chen、TLSH - 地域性を重視したハッシュ。第 4 回サイバー犯罪と信頼できるコンピューティング ワークショップ、シドニー、2013 年 11 月
  • Jonathan Oliver、Scott Forman、Chun Cheng、ランダム化を使用して類似性ダイジェストを攻撃。 ATIS 2014、2014 年 11 月、199 ~ 210 ページ
  • ジョナサン・オリバー、ムキート・アリ、ジョサイア・ハーゲン。 HAC-T とセキュリティの類似性の高速検索 2020 International Conference on Omni-layer Intelligent Systems (COINS)。 IEEE、2020年。

現在のバージョン

4.12.1

 2024 年 8 月 10 日
	プル リクエスト #146 をマージ - 警告を回避するために sprintf() への呼び出しを削除
	マージ プル リクエスト #141 - py_ext: PyObject_HEAD_INIT の代わりに PyVarObject_HEAD を使用する
	マージ プル リクエスト #138 - ビルド: 「デフォルト」でのみデフォルト オプションを定義します
	マージ プル リクエスト #136 - バグ修正 + 移植性: 整数除算による移植性の向上

変更履歴

Change_History.md を参照してください。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて
ユーザーコメント