Stegoanaliza

Versiunea actuală a paginii nu a fost încă revizuită de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 18 octombrie 2019; verificarea necesită 1 editare .

Stegoanalysis sau Steganoanalysis este o secțiune a steganografiei ; ştiinţa dezvăluirii faptului transmiterii informaţiilor ascunse în mesajul analizat . În unele cazuri, steganaliza este înțeleasă și ca extragerea informațiilor ascunse din mesajul care o conține și (dacă este necesar) decriptarea ulterioară a acesteia. Ultima definiție ar trebui utilizată cu o avertizare adecvată.

Metoda stegoanaliza

Intrusul (analistul) urmărește să spargă sistemul steganografic, adică să detecteze faptul transmiterii mesajului, să extragă mesajul și fie să modifice mesajul, fie să interzică transmiterea mesajului [1] . De obicei, analiștii efectuează mai multe etape de piratare a unui sistem [1] :

Detectarea prezenței unui mesaj ascuns, etapa cea mai dificilă [2]
Preluarea unui mesaj
Modificarea mesajului
Interziceți redirecționarea unui mesaj

În acest caz, sistemul este considerat piratat dacă analistul a reușit să demonstreze măcar prezența unui mesaj ascuns. [unu]

În primele două etape, analiștii pot de obicei desfășura astfel de activități [2] :

atac subiectiv
Sortarea stego-ului după aspect
Determinarea algoritmilor de încorporare a mesajelor utilizați
Evidențierea mesajelor cu un algoritm de încorporare cunoscut
Verificarea suficienței volumului de material pentru analiză
Verificarea posibilității de analiză pe cazuri particulare
Analiza materialelor și dezvoltarea metodelor de deschidere a sistemului

Violatorii

Există mai multe tipuri de infractori [2] :

Un intrus pasiv , capabil doar să detecteze că mesajul a fost redirecționat și, eventual, să extragă mesajul.
Un intrus activ capabil să distrugă și să șteargă un mesaj pe lângă detectarea și extragerea.
Un intrus rău intenționat capabil, pe lângă detectarea, extragerea, distrugerea și îndepărtarea, să creeze stegouri false.

Clasificarea atacurilor asupra stegosistemelor

Unele atacuri asupra steganosistemelor sunt similare cu atacurile criptografice [1] :

Atacul bazat pe recipientul umplut cunoscut ;
Atacul bazat pe un mesaj încorporat cunoscut ;
Atacul bazat pe mesajul încorporat selectat . Folosit atunci când un analist poate selecta un mesaj și poate analiza containerele umplute trimise.
Atacul adaptiv bazat pe mesajul încorporat selectat . Un caz special de atac bazat pe mesajul ascuns selectat, când analistul are capacitatea de a selecta mesaje pe baza rezultatelor analizei containerelor anterioare.
Atacul bazat pe recipientul umplut selectat ;

Dar există și atacuri care nu au analogi direcți în criptografie [3] :

Atacul bazat pe un container gol cunoscut . În acest caz, analistul are posibilitatea de a compara recipientele goale și umplute.
Atacul bazat pe containerul gol selectat ;
Atacul bazat pe un model matematic cunoscut al unui container sau al unei părți a acestuia ;

Clasificarea atacurilor asupra sistemelor digitale de filigranare

Există, de asemenea, atacuri specifice asupra sistemelor digitale de filigranare [2] :

Atacurile împotriva unui mesaj încorporat care vizează eliminarea sau transformarea filigranului inutilizabil. Astfel de metode de atac nu încearcă să izoleze filigranul.
Atacurile împotriva stegodetectorului care fac dificilă sau imposibilă funcționarea corectă a detectorului. Astfel de atacuri lasă CEH-ul neschimbat.
Atacuri împotriva protocolului de filigran digital - crearea de filigrane digitale false sau mesaje stego, inversarea unui filigran existent, adăugarea mai multor filigrane.
Atacurile împotriva filigranului au ca scop extragerea filigranului din mesaj. Pentru aceste atacuri, este de dorit să lăsați recipientul nedistorsionat.

Unele atacuri

Despre stegosistemele clasice

Raderea capului

Un atac bazat pe un container umplut cunoscut împotriva unui sistem antic de mesagerie pe scalpul sclavului. Un mesaj a fost tatuat pe capul sclavului și a așteptat ca părul să crească din nou. Apoi sclavul a fost trimis destinatarului mesajului. Atacul sistemului este primitiv - rade din nou sclavul și citește mesajul [4] .

Manifestare

Un atac bazat pe un container umplut cunoscut împotriva unui sistem de transmitere a mesajelor cu cerneală simpatică. În timpul celui de-al Doilea Război Mondial, analiștii au trecut cu perii umezite de dezvoltatori peste scris și au citit mesajele dezvoltate. S-a folosit și transmisia cu radiații ultraviolete sau infraroșii [4] .

La stegosisteme digitale

Atacul subiectiv

Atacul bazat pe un container umplut cunoscut. Algoritmul este simplu: analistul examinează containerul fără ajutorul unor instrumente speciale, încercând să determine „cu ochi” dacă acesta conține un stego. Adică, dacă containerul este o imagine, atunci se uită la el, dacă este o înregistrare audio, atunci ascultă. În ciuda faptului că un astfel de atac este eficient doar împotriva sistemelor steganografice aproape neprotejate, atacul este larg răspândit în stadiul inițial de deschidere a sistemului [2] .

Analiza histogramei imaginilor

Un atac bazat pe un container umplut cu LSB cunoscut . Andreas Fitzman și Andreas Westfeld au observat [5] că, dacă mesajul încorporat are o distribuție uniformă și frecvențele de apariție a culorii înainte de încorporare au fost legate de raportul , atunci frecvențele de după încorporare sunt legate de frecvențele înainte de încorporare printr-un astfel de raport: $n_{i}$ $i$ $n_{2i}>n_{2i+1}$ $n_{i}^{*}$

\left|n_{2i}-n_{2i+1}\right|>\left|n_{2i}^{*}-n_{2i+1}^{*}\right|

Adică, încorporarea mesajului reduce uniform diferența dintre frecvențele de distribuție a culorilor vecine având o diferență în cel mai mic bit. De asemenea, se remarcă faptul că în timpul implementării LSB, suma distribuției de frecvență a perechilor vecine rămâne neschimbată. Pe baza acestor fapte, metoda de analiză se bazează pe criteriul Chi-pătrat :

Distribuția așteptată se obține prin formula: $n_{i}={\frac {n_{2i}^{*}-n_{2i+1}^{*}}{2}}$
Valoarea chi-pătrat pentru compararea distribuției așteptate și a distribuției secvenței studiate: , unde este numărul de coloane de histogramă minus 1 $\chi ^{2}=\sum _{i=1}^{\nu }{\frac {y_{i}-y_{i}^{*}}{y_{i}^{2} }}$ $\nu$
Probabilitatea ca cele două distribuții să fie aceleași și să existe un mesaj ascuns în container este , unde este funcția gamma a . $p$ $\int \limits _{0}^{\chi ^{2}}{\frac {t^{\nu -2}e^{-t/2}}{2^{\nu /2} \Gamma (\nu /2)}}\,dt$ $\Gamma$

De obicei, se fac o serie de măsurători de probabilitate pe fragmente de imagine pentru a măsura, de asemenea, lungimea mesajului dorit de la saltul de probabilitate.

În cazul în care containerul nu este o imagine cu indexare a culorilor, ci este o imagine JPEG , în loc de indici de culoare, pentru analiză se folosesc coeficienți de transformare cosinus discreti ) [5] .

Analiza imaginii RS

Un atac bazat pe un container umplut cunoscut asupra sistemului pentru încorporarea unui stego într-o imagine folosind metoda LSB. Analiza Regular-Singular a fost propusă în 2001 de o echipă de cercetători de la Universitatea Binghamton [5] .

Metoda se bazează pe împărțirea imaginii în grupuri aferente de pixeli . Pentru fiecare grup, se determină valoarea funcției de regularitate sau netezime . Cel mai adesea, funcția de regularitate este suma diferențelor dintre pixelii adiacenți dintr-un grup [5] . $G$ $n$ $f(G)$

Este introdusă o funcție de răsturnare - o funcție astfel încât . În această analiză, sunt utilizate trei funcții de inversare [5] : $F$ $F(F(x))=x$

$F_{1}$ - inversează partea mai puțin semnificativă a culorii din imagine
$F_{0}$ - lăsând neschimbat
$F_{-1}$ - inversarea bitului cel mai puțin semnificativ al culorii din imagine cu transferul la bitul cel mai semnificativ (adică , etc.). $255\longleftrightarrow 0$ $1\longleftrightarrow 2$

În cadrul unui grup, puteți aplica diferite funcții de răsturnare pentru diferiți pixeli, astfel încât se scrie o mască - un vector -dimensional în spațiu , indicând ce pixel din grup corespunde cărei răsturnare: [5] $M$ $n$ $\{-1,0,1\}$ $F(G)=\left(F_{M(1)}(x_{1}),...,F_{M(n)}(x_{n})\right)$

Toate grupurile primite sunt împărțite în trei tipuri [5] : $G$

Regular , pentru care crește valoarea netezirii $F(G)$
Singular , pentru care valoarea netezirii scade $F(G)$
Neutilizat , pentru care valoarea netezirii nu se modifică $F(G)$

Apoi, numărați numărul de grupuri regulate, numărul de grupuri singulare pentru masca M și valori similare pentru masca inversată {-M}. Ipoteza statistică a cercetătorilor, confirmată de un studiu al unui eșantion de fotografii reale, este că inversarea măștii aproape că nu schimbă numărul de grupuri regulate și singulare pentru un container gol [5] : $R_{M}$ $S_{M)$ $R_{-M)$ $S_{-M}$

R_{M}\cong R_{-M)

S_{M}\cong S_{-M}

În același timp, cercetătorii au observat că introducerea distorsiunilor aleatoare în acest raport încalcă această relație, astfel încât distorsiunile aleatoare reduc diferența dintre și odată cu creșterea lungimii mesajului încorporat. Acest fapt stă la baza metodei de analiză RS [5] : $R_{M)$ $S_{M)$

Ei construiesc o diagramă: proporția de biți inversați este reprezentată de-a lungul axei absciselor, proporțiile grupurilor singulare și regulate din toate
Pe diagramă se obțin mai multe linii, presupunând că lungimea mesajului și proporția de modificare în biții mai puțin semnificativi la scrierea mesajului este de 50%: $p$
1. Linii drepte și construiți pe două puncte: cu o imagine neschimbată (adică într-un punct cu abscisă ) și cu o imagine cu biți cei mai puțin semnificativi inversați (adică într-un punct cu abscisă ) $R_{-M)$ $S_{-M}$ $p/2$ $1-p/2$
2. Parabole și sunt construite pe trei puncte: într-un punct cu o abscisă , într-un punct cu o abscisă și într-un punct cu o abscisă de 50% (prin scrierea valorilor aleatorii în biții inferiori) $R_{M)$ $S_{M)$ $p/2$ $1-p/2$
Luând abscisa ca 0 și abscisa ca 1, determinați abscisa punctului de intersecție al curbelor și calculați lungimea estimată a mesajului: $p/2$ $1-p/2$ $X$ $R_{M)$ $S_{M)$ $p={\frac {x}{x-1/2)}$

Metoda de învățare automată pentru analiza imaginilor

Metoda a fost inventată de Suvi Lew și Honey Farid în 2002, ca răspuns la îmbunătățirea algoritmilor de încorporare a mesajelor. Ei au sugerat folosirea metodei mașinii vector de suport cunoscută în învățarea automată . Ca vector caracteristic, metoda folosește un vector calculat pe baza modelelor statistice de distribuție a grupurilor de pixeli ai imaginii: așteptare matematică , varianță, abatere standard etc. [5]

Atacă folosind algoritmi de compresie pentru a analiza fișiere audio

S-a remarcat [6] că fișierele care conțin mesaje ascunse pot fi comprimate folosind algoritmi de compresie mai răi decât cei fără mesaje. Pe această remarcă se bazează un grup de atacuri care utilizează metode de compresie. Unul dintre aceste atacuri este o metodă de analizare a fișierelor audio WAVE.

Algoritmul de analiză [6] în ipoteza că fișierul (container gol), algoritmul de injectare a mesajelor stego și algoritmul de comprimare a datelor sunt cunoscute:

Analistul aplică un algoritm de încorporare a mesajelor fișierului cu un factor de umplere preselectat, rezultând un container umplut.
Apoi, analistul comprimă ambele fișiere și obține rapoartele de compresie ale containerului gol și containerului plin . $\gamma$ ${\tilde {\gamma ))$
În cele din urmă, stegoanalistul calculează modulul diferenței rapoartelor de compresie și compară cu o valoare de prag preselectată . Dacă , atunci putem concluziona că fișierul conține un mesaj stego. $\Delta =\left|\gamma -{\tilde {\gamma }}\right|$ $\delta$ $\Delta </delta$

Valorile de prag, în funcție de conținutul fișierului audio și de arhivatorul utilizat, sunt determinate experimental și se situează în intervalul de la 0,05% la 0,2% [6] .

Atacă folosind algoritmi de compresie pentru a analiza fișiere text

Atacul se bazează pe același fapt ca și atacul asupra fișierelor audio folosind algoritmi de compresie. Să fie trei texte: , și , în plus, și să conțină mesaje ascunse. Dacă scriem și la finalul fiecăruia dintre texte comprimăm textele rezultate cu arhivatorul și măsurăm dimensiunea pe care textul o ocupă în arhivele rezultate , rezultă că în arhiva obținută din texte și ocupă mai puțin spațiu. Acest lucru poate fi interpretat ca un semn al prezenței unui mesaj stego în container [7] $A$ $B$ $C$ $B$ $C$ $C$ $A$ $B$ $C$ $B$ $C$ $C$ $C$

Algoritm:

Stegoanalistul pregătește fișierul investigat: toate caracterele care nu sunt numere, litere, semne de punctuație, spații și linii noi sunt eliminate, secvențele existente de două sau mai multe caractere de spațiu sau linie nouă sunt reduse la caractere simple, iar fișierul rezultat este trunchiat la unele dimensiuni fixe.
Analistul scrie textul primit la sfârșitul a două fișiere special selectate și , fișierele de primire și . $N$ $T$ $N_{X}$ $T_{X}$
Stegoanalistul măsoară rapoartele de compresie ale ambelor fișiere inițiale. Sunt de asemenea măsurate rapoartele de compresie ale ambelor fișiere primite . $\gamma _{N}$ $\gamma _{T}$ $\gamma _{N_{X}}$ $\gamma _{T_{X}}$
Analistul calculează două mărimi: și . S-a stabilit experimental că textul simplu îndeplinește condiția sau . Dacă valorile măsurate nu îndeplinesc această condiție, prezența stegotextului poate fi considerată stabilită. $\alpha =\gamma _{N}-\gamma _{N_{X}}$ $\beta =\gamma _{T}-\gamma _{T_{X}}$ $\alpha >0,9$ $\beta <1$

Un atac care folosește un algoritm de compresie pentru a analiza fișiere executabile

Atacul se bazează pe aceleași fapte ca și alte atacuri bazate pe algoritmi de compresie, dar utilizează caracteristicile formatului de fișier executabil PE și algoritmul specific de injectare a mesajelor [8] pentru care este utilizată analiza pentru a detecta. [9]

Algoritm:

Analistul extrage secțiunea de cod din containerul executabilului și îndepărtează octeții de aliniere de la sfârșitul secțiunii, dacă există. Secțiunea de cod este aleasă deoarece algoritmul de încorporare funcționează cu ea.
Stegoanalistul comprimă ultimii octeți ai secțiunii. ales experimental. $W$ $W=80$
Dacă lungimea codului primit este mai mare decât o anumită valoare de prag , atunci analistul poate concluziona că mesajul stego este prezent în fișier. determinată de asemenea experimental. $\delta$ $\delta ={\frac {56}{80}}$

Atacurile asupra fișierelor video

Un exemplu de analiză a fișierelor video este analiza statistică similară analizei histogramei imaginilor . Stegoanalistul în acest caz verifică proprietățile statistice ale semnalului și le compară cu cele așteptate: de exemplu, pentru biții mai puțin semnificativi ai semnalelor, distribuția este similară cu zgomotul . Pentru comparație, testul Chi-pătrat este bine potrivit . [zece]

Diverse transformări pot fi folosite pentru a distruge un mesaj [10] :

Transcodare video folosind algoritmi de compresie cu pierderi;
Reordonarea sau ștergerea cadrelor unei secvențe video;
Transformări geometrice;

Note

↑ 1 2 3 4 Konakhovici, Puzyrenko, 2006 , p. 34.
↑ 1 2 3 4 5 Gribunin, Okov, Turintsev, 2002 .
↑ Konakhovici, Puzyrenko, 2006 , p. 35.
↑ 1 2 Kolobova, 2015 .
↑ 1 2 3 4 5 6 7 8 9 10 Valishin, 2015 .
↑ 1 2 3 Zabelin, 2010 .
↑ Ceva, o metodă eficientă de steganaliza bazată pe compresia datelor .
↑ Shin D., Data Hiding in Windows Executable Files, 2008 .
↑ Something, Metodă eficientă de steganaliza fișierelor executabile bazată pe codul Huffman, 2010 .
↑ 1 2 Modenova, 2010 .

Literatură

Gribunin V. G., Okov I. N., Turintsev I. V. Atacuri asupra stegosistemelor și contracarări la acestea // Steganografia digitală. - Moscova: Solon-Press, 2002. - 272 p. — ISBN 5-98003-011-5 .
Konakhovich G. F., Puzyrenko A. Yu. Principiile analizei steganografice // Steganografia computerizată. Teorie și practică .. - Moscova: MK-Press, 2006. - 288 p. - ISBN 966-8806-06-9 .
Bykov S. F., Motuz O. V. Fundamentele steganalizei // Protecția informațiilor. confident.. - Sankt Petersburg. , 2000. - Problemă. 3 . - S. 38-41 .
Valishin MF Creșterea eficienței metodelor de contracarare a încorporarii informațiilor ascunse în fișierele grafice . - Ulyanovsk, 2015. Copie de arhivă din 18 noiembrie 2017 la Wayback Machine
Kolobova A.K., Kolobov D.G., Gerasimov A.S. Steganografia din antichitate până în zilele noastre // Securitatea tehnologiilor informaţionale. - Moscova: Echipamente cool, 2015. - Nr. 4 . - S. 71-74 . — ISSN 2074-7136 .
Zabelin M.A. Stegoanaliza datelor audio pe baza metodelor de compresie // Vestnik SibGUTI. - 2010. - Nr. 1 . - S. 41-49 .
Modenova O.V. Steganografie și stegoanaliza în fișiere video // Matematică discretă aplicată. Aplicație. - 2010. - S. 37-39 .
Ceva I.V. Metodă eficientă de steganaliza bazată pe compresia datelor // Buletinul SibGUTI.
Ceva I.V. O metodă eficientă de steganaliza fișierelor executabile bazată pe codul Huffman Vestnik SibGUTI. - 2010. - Nr. 4 . - S. 47-54 .
Shin D., Kim Y., Byun K., Lee S. Ascunderea datelor în fișierele executabile Windows // Australian Digital Forensics Conference. - 2008. - S. 51 .