在信息安全領域,哈希演算法是一個重要的工具。一種新型的哈希演算法ssdeep,能夠對內容進行模糊匹配,被廣泛應用於惡意代碼、文件比較、文本比對等方面。
一、ssdeep演算法
ssdeep全稱是”Sampled String Similariy Detection”,即樣本字元串相似性檢測。通俗來講,就是為數據塊生成固定長度的哈希值,通過哈希值比較來檢測相似性。與傳統哈希演算法本質上不同的是,ssdeep根據字元串塊中的子串生成哈希值,因此可以進行模糊匹配。
ssdeep演算法不僅考慮了字元串塊的內容,而且考慮了字元串塊的長度。ssdeep演算法具有以下特徵:
- ssdeep通常用來進行相似性計算,而不是相等性計算。
- ssdeep的哈希值表示相似性而不是差異性,因此,ssdeep的哈希值之間不能進行比較。
- ssdeep生成的哈希值並不是絕對唯一的,可以通過選項進行改變哈希值的唯一性。
- ssdeep對大文件的哈希值不是通過直接計算字元串塊的哈希值得出的,而是通過對文件分塊計算每一塊的哈希值得出整個文件的哈希值。
二、ssdeep文件怎麼下載
ssdeep在ssdeep官網上進行下載:http://ssdeep.sourceforge.net/
可以選擇不同的版本,如Windows版、UNIX/Linux版等。安裝非常簡單,在官網上進行下載安裝即可。
三、ssdeep原理
ssdeep生成的哈希值基於兩種方法,第一種方法是生成文本塊中所有子塊的集合,通過集合中的每個子塊各生成一個哈希值得到整體哈希值;第二種方法是通過滑動窗口來截取內容,然後生成哈希值。ssdeep根據這兩種方法生成的哈希值進行拼接,得到最終的哈希值。
ssdeep演算法的主要步驟如下:
- 分塊: ssdeep將文件按照固定的大小分成多個塊。
- 塊哈希: 對每個塊,使用哈希演算法生成哈希值。
- 序列建立: 每個塊哈希值排列成一個序列。
- 匹配: 使用字元n-grams比較桶(塊集合)之間的相似度,並且修正這個相似度以考慮不同文檔的大小差異。可以通過一范化達到歸一化。
- 輸出: 輸出信息匹配,以及可選的比對百分比。
四、ssdeep模糊哈希演算法
ssdeep的模糊哈希演算法廣泛用於計算機取證、虛擬機檢測和Web應用程序的文件自動分類等領域。模糊哈希在確定文件相似度先前是一種重要技術,但是ssdeep的模糊哈希提供了更快、更準確的方式來識別相似的文檔。
下面是Python中ssdeep模塊的示常式序:
import ssdeep str1 = "Python is a powerful programming language." str2 = "PHP is a server-side scripting language." str3 = "JavaScript is widely used in web development." # 計算字元串的哈希值 hash1 = ssdeep.hash(str1) hash2 = ssdeep.hash(str2) hash3 = ssdeep.hash(str3) # 計算相似性 score1 = ssdeep.compare(hash1, hash2) score2 = ssdeep.compare(hash1, hash3) print(score1) # 輸出字元串str1和str2之間的相似性 print(score2) # 輸出字元串str1和str3之間的相似性
五、ssdeep是什麼意思
ssdeep的”ss”是”Sampled String”的縮寫,”deep”代表”Hashing”。因此,ssdeep是”Sampled String Similariy Detection Hashing algorithm”的縮寫。ssdeep的哈希值使用隨機化已達到更好的哈希演算法的性能。ssdeep的哈希值具有以下特徵:
- 哈希值越長表示字元串塊的長度和數量越多。
- ssdeep的哈希值具有高度抗碰撞性。
- ssdeep的哈希值能夠處理其中部分內容被修改或替換的情況。ssdeep演算法允許在塊集合中添加、刪除或替換子塊,因此也被稱為”有操作的哈希演算法”。
總之,ssdeep是一種快速、高效、可靠的哈希演算法,被廣泛應用於文件比較、惡意代碼檢測、文本比對等方面。
原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/271698.html
微信掃一掃 
支付寶掃一掃 