tlsh()

tlsh() 함수는 바이너리 데이터의 TLSH(TrendMicro Locality Sensitive Hash) 퍼지 해시 값을 문자열로 반환합니다.

문법

매개변수

DATA

TLSH 해시를 계산할 바이너리 데이터입니다. 50바이트 이상이어야 합니다.

설명

tlsh() 함수는 입력 바이너리 데이터의 TLSH 퍼지 해시를 계산하여 16진수 문자열로 반환합니다. TLSH는 TrendMicro에서 개발한 퍼지 해싱 알고리즘으로, 서로 유사한 데이터는 유사한 해시값을 갖습니다. 이를 통해 악성코드 변종 탐지 등 유사도 기반 분석에 활용할 수 있습니다.

입력값이 null이거나 바이너리 타입이 아니면 null을 반환합니다. 입력 데이터가 50바이트 미만이면 데이터가 너무 짧아 TLSH를 계산할 수 없으므로 null을 반환합니다. 해시 계산 중 오류가 발생하면 null을 반환합니다.

반환된 해시 문자열은 tlshdiff()에 전달하여 두 해시 간의 유사도를 계산할 수 있습니다.

오류 코드

해당 사항 없음

사용 예

1. 바이너리 데이터의 TLSH 해시 계산

   json "{}"
   | eval data = randbytes(256),
          h = tlsh(data)
   | # h: (TLSH 해시 문자열, 입력에 따라 결정)
   

2. 파일 내용의 TLSH 해시 계산

   logdb://files
   | eval h = tlsh(file_content)
   

3. 입력 데이터가 50바이트 미만인 경우

   json "{}" | eval h = tlsh(randbytes(10))
   | # h: null
   

4. null 입력

   json "{'data': null}" | eval h = tlsh(data)
   | # h: null
   

호환성

tlsh() 함수는 소나 4.0.2308.0-u3043부터 사용 가능합니다.