本發明公開了一種防御哈希碰撞躲避反病毒檢測的方法及系統，其中，所述方法包括：選定修改白名單文件和待檢測樣本的預處理策略；基于選定的預處理策略修改白名單文件并計算哈希值生成白名單庫；基于選定的預處理策略修改待檢測樣本并計算哈希值；將待檢測樣本的哈希值與白名單庫匹配，若匹配成功，則待檢測樣本為白名單文件，否則進行后續檢測。本發明通過破壞哈希碰撞樣本的原本結構，進而有效防御利用哈希碰撞躲避反病毒檢測的情況出現。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種防御哈希碰撞躲避反病毒檢測的方法及系統。

背景技術

隨著互聯網技術的飛速發展，CPU的計算能力也突飛猛進，原本需要幾十年才能構造的哈希碰撞，通過GPU加速等技術大大縮短了時間，而目前的反病毒軟件普遍采用哈希算法來檢測已知威脅和排除信任文件，目前已經出現了MD5、SHA1算法的碰撞樣本，近幾年也發現了利用白名單文件進行哈希碰撞的惡意樣本，攻擊者通過構造與白名單文件相同哈希值的文件以躲避反病毒軟件的檢測。隨著計算能力和碰撞算法的發展，將會有越來越多的樣本利用哈希碰撞白名單躲避檢測，會給反病毒檢測軟件帶來很多漏報。

目前對于哈希碰撞樣本有一些防御手段，如：雙哈希校驗，或者換強度高的哈希算法如sha512等，但這些方法都面臨一些問題，雙哈希校驗增加了計算量從而降低效率，高強度哈希算法雖然強壯尚未出現碰撞案例，但無論采用哪種算法，隨著技術的進步都將會被逐步攻破。

發明內容

針對上述技術問題，本發明通過破壞哈希碰撞樣本的結構，進而有效防御通過哈希碰撞來躲避反病毒檢測的情況。

本發明采用如下方法來實現：一種防御哈希碰撞躲避反病毒檢測的方法，包括：

選定修改白名單文件和待檢測樣本的預處理策略；

基于選定的預處理策略修改白名單文件并計算哈希值生成白名單庫；

基于選定的預處理策略修改待檢測樣本并計算哈希值；

將待檢測樣本的哈希值與白名單庫匹配，若匹配成功，則待檢測樣本為白名單文件，否則進行后續檢測。

進一步地，所述預處理策略，包括：

以待修改文件自身的全部數據為單位，按預定倍數增添在頭部或尾部；

刪除待修改文件預定位置的預定大小的數據塊；

在待修改文件的除頭部和尾部以外的預定位置插入預定大小的數據塊；

將待修改文件的預定位置的預定大小的數據塊替換成預定的數據塊；或者，將待修改文件的兩個不同位置、不同內容的數據塊交換；

其中，所述待修改文件包括白名單文件和待檢測樣本。

更進一步地，所述預定倍數和數據塊的內容任意選取；所述預定位置為待修改文件的小于等于10%的位置處；所述預定大小根據待修改文件自身大小選取。

本發明可以采用如下系統來實現：一種防御哈希碰撞躲避反病毒檢測的系統，包括：

預處理策略選定模塊，用于選定修改白名單文件和待檢測樣本的預處理策略；

白名單文件修改模塊，用于基于選定的預處理策略修改白名單文件并計算哈希值生成白名單庫；

待檢測樣本修改模塊，用于基于選定的預處理策略修改待檢測樣本并計算哈希值；

白名單匹配模塊，用于將待檢測樣本的哈希值與白名單庫匹配，若匹配成功，則待檢測樣本為白名單文件，否則進行后續檢測。

進一步地，所述預處理策略，包括：

以待修改文件自身的全部數據為單位，按預定倍數增添在頭部或尾部；