CompareFuzzyHash
描述:
将包含模糊哈希的属性与包含模糊哈希列表的文件内容进行比较, 在成功匹配的情况下将属性附加到流文件中。
标签:
hashing, fuzzy-hashing, cyber-security
参数:
如下列表中,必填参数则标识为加粗. 其他未加粗参数,则表示为可选参数。表中同时提到参数默认值设置.
| 名字 | 默认值 | 允许值列表 | 描述 |
|---|---|---|---|
| 哈希列表的源文件 | 包含要验证的哈希的文件的路径 | ||
| 哈希算法 | - ssdeep  - tlsh | 指定使用的哈希算法(ssdeep/tlsh) | |
| 哈希的属性名 | fuzzyhash.value | 指定流文件属性名称,该流文件属性的值保存或存放了用于比较的模糊哈希值。 | |
| 匹配度的阀值 | 匹配度的阀值,匹配度必须在其相应的阀值内,才为命中结果。比如相似性分数必须超过或等于, 以便被认为是命中的,差异度则需要小于或等于该阀值。有关TLSH 和 SSDEEP 分数之间的差异以及它们与此属性的关系, 请参阅其他属性描述的信息。 | ||
| 匹配方式 | single | - single - multi-match | 指定是否在命中第一个有效值就立马停止(单个命中),还是进行贪婪模式的最大限度的匹配(匹配多条)。 |
连线:
| 名字 | 描述 |
|---|---|
| failure | '失败'关联,任何无法匹配的流文件, 例如 (缺少哈希属性) 都将发送到此关联。 |
| not-found | '未命中'关联,任何无法与现有哈希值匹配的流文件都将发送到该关联。 |
| found | '命中'关联,任何与现有哈希值匹配的流文件都将发送到该关联。 |
读取属性:
未提供。
写入属性:
| 名字 | 描述 |
|---|---|
| XXXX.N.match | 与<哈希属性名称>属性指定的属性相匹配的命中结果。注意: 'XXX' 会被当前指定的(前置的)哈希属性名称替换。 |
| XXXX.N.similarity | 第N次Match的SSDEEP相似度或TLSH差异值。 注意: 'XXX' 会被当前指定的(前置的)哈希属性名称替换。 |
状态管理:
该组件不保存状态。
限制:
该组件没有限制
输入流要求:
组件必须提供输入流。
系统资源考量:
未提供。