In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Schnelle Ähnlichkeitssuche auf Fuzzy Hashes

Werbung 
F2S2
Schnelle Ähnlichkeitssuche von Fuzzy Hashes
Christian Winter
Fraunhofer-Institut für
Sichere Informationstechnologie
(SIT)
Center for Advanced
Security Research Darmstadt
(CASED)
Anwendertag IT-Forensik 2012
Inhalt
1. Black- und Whitelisting
2. Piecewise Hashing
3. Ähnlichkeitssuche
4. F2S2 Software
5. Zusammenfassung und Ausblick
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 1
Black- und Whitelisting
Automatisierung in der IT-Forensik
I
Bekannte Inhalte in Ermittlungsfällen
automatisiert wiedererkennen
I
Blacklisting: Verdächtige/verbotene Inhalte
finden
I
Whitelisting: Irrelevante Inhalte ausblenden
Vorherrschende Praxis
I
Liste von Hashwerten als Black-/Whitelist
I
Identifizierung von Dateien durch Vergleich
von Hashwerten
I
Kryptographische Hashfunktionen (MD5,
SHA-1, etc.)
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 2
Black- und Whitelisting
Eigenschaften kryptographischer Hashes
Vorteile kryptographischer Hashfunktionen
I
Einfache Umsetzung
I
Schnelle Berechnung/Suche
I
Klare Antwort (Treffer oder kein Treffer)
I
Kollisionserzeugung schwierig
⇒ Sprung auf die Whitelist schwierig
Nachteile kryptographischer Hashfunktionen
I
Kleine Änderung einer Datei
; Große Änderung am Hash
⇒ Sprung von der Blacklist sehr einfach
I
Nicht erfasste Versionen bekannter Dateien werden nicht
erkannt
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 3
Black- und Whitelisting
Fuzzy Hashing
Fuzzy Hashing
I
Ziel: Ähnliche Dateien haben ähnliche Hashwerte.
I
Frage: Was heißt ähnlich?
Inhaltsbasierte Hashfunktionen
I
Auf einen Medientyp zugeschnitten
I
Medienformate müssen interpretiert werden
Datenbasierte Hashfunktionen
; Medien-/formatunabhängig
I
Verfahren auf Roh-/Binärdaten
I
Unterkategorien: Piecewise Hashing; Bloomfilter-basierte
Verfahren
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 4
Piecewise Hashing
Verfahren
I
Ein Teilhash pro Abschnitt der Datei
I
Gesamthash ist Aneinanderreihung der Teilhashes
I
Ähnlichkeitsmaß basiert auf Edit-Distanz
Context Triggered Piecewise Hashing
I
Abschnittsgrenzen sind datenabhängig
I
Beispiel: ssdeep von Jesse Kornblum
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 5
Piecewise Hashing
Anwendung
Geeignete Dateitypen
I
Plaintext (.txt, .eml, etc.)
I
Binärcode (.exe, .dll, etc.)
I
Office-Dateien (.doc, .xls, etc.)
Anwendungsgebiete
I
Software-Whitelisting
I
Beziehungen zwischen Dokumenten (z. B. bei
Wirtschaftskriminalität)
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 6
Ähnlichkeitssuche
Aufgabe
I
Vergleiche Datei aus Ermittlungsfall mit Referenzliste (z. B.
Black-/Whitelist)
I
Finde ähnlichste Datei in Referenzliste oder
I
Finde alle Dateien ähnlicher als vorgegebener Schwellwert etc.
Naiver Ansatz (Brute-Force)
I
Vergleiche den Hash mit kompletter Referenzliste
Probleme
I
Naiver Ansatz ist extrem langsam
I
Klassische Indexstrukuren unterstützen keine Ähnlichkeitssuche
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 7
Ähnlichkeitssuche
Anforderungen an Indexstruktur
Ziel
I
Indexstruktur dient zur Filterung der
Referenzliste
I
Ähnlichkeitsvergleich muss nur für
kleine Kandidatenliste durchgeführt
werden
Notwendige Bedingung
I
Indexstruktur muss für
Ähnlichkeitsmaß geeignet sein
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 8
Ähnlichkeitssuche
Indexstruktur
Kernidee
I
Ähnliche Hashes haben gemeinsame n-Gramme
I
n-Gramme bilden die Grundelemente (Schlüssel) des Index
I
Beispiel: Hash: ABCDE; 3-Gramme: ABC, BCD, CDE
Struktur des Index
I
n-Gramme werden mit Verweis auf zugehörige Hashes
gespeichert
I
n-Gramme müssen effizient im Index lokalisiert werden können
I
Index organisiert n-Gramme mittels Hash-Tabelle und sortierten
Buckets
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 9
F2S2 Software
Fast Forensic Similarity Search
Funktionalität
I
Erfassung der Referenzliste in Datenbank mit geeigneter
Indexstruktur
I
Erzeugung, Modifikation und Speicherung von Datenbanken
I
Verschiedene Modi zur Ähnlichkeitssuche:
z. B. alle „Nachbarn“, nächster „Nachbar“, erster „Nachbar“
Technische Eigenschaften
I
Implementiert in C++
I
Generische Bibliothek für beliebige Piecewise Hashes
I
Spezialisierte Bibliothek für ssdeep-Hashes
I
Kommandozeilen-Programm für ssdeep-Hashes
I
F2S2 GUI für ssdeep-Hashes
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 10
F2S2 Software
Evaluierung
Testfall
I
Referenzliste vom NIST mit 8.334.077 Hashes
I
„Ermittlungsfall“: 195.186 Hashes der Dateien eines
Festplattenimages
I
Analysecomputer mit Intel i7-930 Prozessor und 6 GiB RAM
ssdeep
I
I
F2S2
1477 MiB RAM
I
6811 bzw. 4747 MiB RAM
364 Stunden
Laufzeit
I
7 min zum Datenbank Erstellen
(1 min zum Laden)
I
13 Minuten für Suche aller
„Nachbarn“
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 11
Zusammenfassung und Ausblick
Fazit
I
Ähnlichkeitssuche erweitert Möglichkeiten der IT-Forensik
I
Geeignete Indexstruktur
Beschleunigung um Faktor 1700
⇒ Praktikable Geschwindigkeit
;
Ausblick
I
Evaluierung verschiedener Piecewise-Hashing-Verfahren und
verschiedener Ähnlichkeitsmaße
I
Client-Server-Modus
I
Low-RAM-Modus
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 12
Kontakt
Fraunhofer-Institut für
Sichere Informationstechnologie SIT
Rheinstraße 75
64295 Darmstadt
www.sit.fraunhofer.de
Christian Winter
06151 869-259
[email protected]
F2S2 | Christian Winter | Anwendertag IT-Forensik 2012 | 13
Zugehörige Unterlagen
Stellenangebot (HiWi) Java-Entwickler(in) IT
Stellenangebot (HiWi) Java-Entwickler(in) IT
Die Bundeswettbewerbsbehörde wurde am 1. Juli 2002 auf
Die Bundeswettbewerbsbehörde wurde am 1. Juli 2002 auf
IT-Forensik Referent
IT-Forensik Referent
DATENDIEBSTAHL, SPIONAGE, BETRUG - FAST
DATENDIEBSTAHL, SPIONAGE, BETRUG - FAST
Worin liegt der Unterschied zwischen pseudonymisierten und
Worin liegt der Unterschied zwischen pseudonymisierten und
Lösungsvorschlag 7
Lösungsvorschlag 7
Übungsblatt 5 - Institut für Informatik - Hu
Übungsblatt 5 - Institut für Informatik - Hu
Einfaches uniformes Hashing
Einfaches uniformes Hashing
II Extendible Hashing
II Extendible Hashing
Hashing
Hashing
Hashing
Hashing
R-Baum eine dynamische Index-Strukur für räumliche Daten
R-Baum eine dynamische Index-Strukur für räumliche Daten
6. Eindimensionale Indexstrukturen
6. Eindimensionale Indexstrukturen
5.4 Wiederholungsfragen
5.4 Wiederholungsfragen
Prof. Schlageter
Prof. Schlageter
Übungen zu MAPLE (W. Büttner)
Übungen zu MAPLE (W. Büttner)
Microsoft PowerPoint Presentation: 16
Microsoft PowerPoint Presentation: 16
Grundlagen der Algorithmen und Datenstrukturen Kapitel 3.3-3.5
Grundlagen der Algorithmen und Datenstrukturen Kapitel 3.3-3.5
Wörterbücher und Hashing
Wörterbücher und Hashing
Hashing
Hashing
Übung 10
Übung 10
Streuen
Streuen
Herunterladen
Werbung