Hfinger - HTTPリクエストのフィンガープリント

Hfingerは、Python3で動作するツールで、HTTPリクエストからマルウェアを特定するための、人間が読みやすい一意のフィンガープリントを生成します。Tsharkをベースに、HfingerはHTTPリクエストからメソッド、プロトコルバージョン、ヘッダーの順序、ペイロードの特性、特定のヘッダーの値などの特徴を抽出し、これらの特徴をエンコードして連結してフィンガープリントを形成します。異なるレポートモードでは、詳細度と衝突抵抗性のバランスが異なります。Hfingerの強みは、リクエストがわずかに異なっていてもマルウェアファミリーを特定できることです。これにより、手動分析、サンドボックスシステム、SIEMシステムで有用です。インストールにはPython 3.3以上とTshark 2.2.0以上が必要です。Hfingerは、コマンドラインユーティリティとしてもPythonモジュールとしても使用できます。フィンガープリントは、リクエストURI、ヘッダーの構造、ペイロードを分析して生成され、各特徴は事前に定義されたスキームに従ってエンコードされます。5つのレポートモードにより、ユーザーはフィンガープリントの特徴表現を調整できます。デフォルトモード（2）は、情報の豊富さと一意性のバランスが取れていますが、他のモードは衝突の最小化やエントロピーの最大化を優先します。Hfingerは、非標準のリクエスト要素を特定するための詳細なログ出力を提供し、より深い分析と異常検知を支援します。