一种防御哈希碰撞躲避反病毒检测的方法及系统技术方案

本发明专利技术公开了一种防御哈希碰撞躲避反病毒检测的方法及系统，其中，所述方法包括：选定修改白名单文件和待检测样本的预处理策略；基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；基于选定的预处理策略修改待检测样本并计算哈希值；将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。本发明专利技术通过破坏哈希碰撞样本的原本结构，进而有效防御利用哈希碰撞躲避反病毒检测的情况出现。

【技术实现步骤摘要】
一种防御哈希碰撞躲避反病毒检测的方法及系统
本专利技术涉及网络安全
，尤其涉及一种防御哈希碰撞躲避反病毒检测的方法及系统。
技术介绍
随着互联网技术的飞速发展，CPU的计算能力也突飞猛进，原本需要几十年才能构造的哈希碰撞，通过GPU加速等技术大大缩短了时间，而目前的反病毒软件普遍采用哈希算法来检测已知威胁和排除信任文件，目前已经出现了MD5、SHA1算法的碰撞样本，近几年也发现了利用白名单文件进行哈希碰撞的恶意样本，攻击者通过构造与白名单文件相同哈希值的文件以躲避反病毒软件的检测。随着计算能力和碰撞算法的发展，将会有越来越多的样本利用哈希碰撞白名单躲避检测，会给反病毒检测软件带来很多漏报。目前对于哈希碰撞样本有一些防御手段，如：双哈希校验，或者换强度高的哈希算法如sha512等，但这些方法都面临一些问题，双哈希校验增加了计算量从而降低效率，高强度哈希算法虽然强壮尚未出现碰撞案例，但无论采用哪种算法，随着技术的进步都将会被逐步攻破。
技术实现思路
针对上述技术问题，本专利技术通过破坏哈希碰撞样本的结构，进而有效防御通过哈希碰撞来躲避反病毒检测的情况。本专利技术采用如下方法来实现：一种防御哈希碰撞躲避反病毒检测的方法，包括：选定修改白名单文件和待检测样本的预处理策略；基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；基于选定的预处理策略修改待检测样本并计算哈希值；将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。进一步地，所述预处理策略，包括：以待修改文件自身的全部数据为单位，按预定倍数增添在头部或尾部；删除待修改文件预定位置的预定大小的数据块；在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块；将待修改文件的预定位置的预定大小的数据块替换成预定的数据块；或者，将待修改文件的两个不同位置、不同内容的数据块交换；其中，所述待修改文件包括白名单文件和待检测样本。更进一步地，所述预定倍数和数据块的内容任意选取；所述预定位置为待修改文件的小于等于10%的位置处；所述预定大小根据待修改文件自身大小选取。本专利技术可以采用如下系统来实现：一种防御哈希碰撞躲避反病毒检测的系统，包括：预处理策略选定模块，用于选定修改白名单文件和待检测样本的预处理策略；白名单文件修改模块，用于基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；待检测样本修改模块，用于基于选定的预处理策略修改待检测样本并计算哈希值；白名单匹配模块，用于将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。进一步地，所述预处理策略，包括：以待修改文件自身的全部数据为单位，按预定倍数增添在头部或尾部；删除待修改文件预定位置的预定大小的数据块；在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块；将待修改文件的预定位置的预定大小的数据块替换成预定的数据块；或者，将待修改文件的两个不同位置、不同内容的数据块交换；其中，所述待修改文件包括白名单文件和待检测样本。更进一步地，所述预定倍数和数据块的内容任意选取；所述预定位置为待修改文件的小于等于10%的位置处；所述预定大小根据待修改文件自身大小选取。本专利技术同时提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上任一所述的一种防御哈希碰撞躲避反病毒检测的方法。综上，本专利技术给出一种防御哈希碰撞躲避反病毒检测的方法及系统，通过对哈希碰撞原理的分析，通过在对白名单样本和待检测样本进行匹配前，依据预处理策略同步修改白名单样本和待检测样本，进而改变样本二进制数据从而破坏构造的碰撞结构，使得白名单样本和待检测样本的哈希值都发生改变，最终使得攻击者无法利用哈希碰撞原理使恶意样本的哈希值命中白名单库进而躲避反病毒检测。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种防御哈希碰撞躲避反病毒检测的方法实施例流程图；图2为本专利技术提供的一种防御哈希碰撞躲避反病毒检测的系统实施例结构图。具体实施方式本专利技术给出了一种防御哈希碰撞躲避反病毒检测的方法及系统实施例，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明：本专利技术首先提供了一种防御哈希碰撞躲避反病毒检测的方法实施例，如图1所示，包括：S101：选定修改白名单文件和待检测样本的预处理策略。其中，所述预处理策略，包括但不限于：以待修改文件自身的全部数据为单位，按预定倍数增添在头部或尾部；删除待修改文件预定位置的预定大小的数据块；在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块；将待修改文件的预定位置的预定大小的数据块替换成预定的数据块；或者，将待修改文件的两个不同位置、不同内容的数据块交换；其中，所述待修改文件包括白名单文件和待检测样本。上述的预处理策略可以根据需要任意选择或者组合使用，一旦选定则使用同一预处理策略修改白名单文件和待检测样本。由于预处理策略每更新一次，需要重新生成白名单库，因此无特殊需要无需更新，或者根据实际需要选择更新周期。其中，所述预定倍数和数据块的内容任意选取；例如：所述预定倍数选择为待修改文件自身的全部数据的2倍或者3倍，并添加到待修改文件的头部或者尾部；所述预定位置为待修改文件的小于等于10%的位置处；例如：在待修改文件的每10%的位置处作为预定位置进行修改，即在待修改文件中选取10处或者更多的位置进行修改。所述预定大小根据待修改文件自身大小选取；例如：20字节-100字节之间，可以根据待修改文件自身大小酌情选取。S102：基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库。S103：基于选定的预处理策略修改待检测样本并计算哈希值。S104：将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。本专利技术其次提供了一种防御哈希碰撞躲避反病毒检测的系统实施例，如图2所示，包括：预处理策略选定模块201，用于选定修改白名单文件和待检测样本的预处理策略；白名单文件修改模块202，用于基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；待检测样本修改模块203，用于基于选定的预处理策略修改待检测样本并计算哈希值；白名单匹配模块204，用于将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。优选地，所述预处理策略，包括：以待修改文件自身的全部数据为单位，按预定倍数增添在头部或尾部；删除待修改文件预定位置的预定大小的数据块；在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块；将待修改文件的预定位置的预定大小的数据块替换成预定的数据块；或者，将待修改文件的两个不同位置、不同内容的数据块交换；其中，所述待修改文件包括白名单文件和待检测样本。更优选地，所述预定倍数和数据块的内容任意选取；所述预定位置为待修改文件的小于等于本文档来自技高网...

【技术保护点】
一种防御哈希碰撞躲避反病毒检测的方法，其特征在于，包括：选定修改白名单文件和待检测样本的预处理策略；基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；基于选定的预处理策略修改待检测样本并计算哈希值；将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。

【技术特征摘要】
1.一种防御哈希碰撞躲避反病毒检测的方法，其特征在于，包括：选定修改白名单文件和待检测样本的预处理策略；基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库；基于选定的预处理策略修改待检测样本并计算哈希值；将待检测样本的哈希值与白名单库匹配，若匹配成功，则待检测样本为白名单文件，否则进行后续检测。2.如权利要求1所述的方法，其特征在于，所述预处理策略，包括：以待修改文件自身的全部数据为单位，按预定倍数增添在头部或尾部；删除待修改文件预定位置的预定大小的数据块；在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块；将待修改文件的预定位置的预定大小的数据块替换成预定的数据块；或者，将待修改文件的两个不同位置、不同内容的数据块交换；其中，所述待修改文件包括白名单文件和待检测样本。3.如权利要求2所述的方法，其特征在于，所述预定倍数和数据块的内容任意选取；所述预定位置为待修改文件的小于等于10%的位置处；所述预定大小根据待修改文件自身大小选取。4.一种防御哈希碰撞躲避反病毒检测的系统，其特征在于，包括：预处理策略选定模块，用于选定修改白名单文件和待检测样本的预处理策略...

【专利技术属性】
技术研发人员：白淳升，李柏松，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江,23