Stegoanalyysi

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 18. lokakuuta 2019 tarkistetusta versiosta . vahvistus vaatii 1 muokkauksen .

Stegoanalyysi tai Steganoanalyysi on osa steganografiaa ; tiede , joka paljastaa analysoidun viestin piilotetun tiedon välityksen tosiasian . Joissain tapauksissa stegaanalyysi ymmärretään myös piilotiedon poimimiseksi sen sisältävästä viestistä ja (tarvittaessa) sen edelleen purkamiseksi. Viimeistä määritelmää tulee käyttää asianmukaisin varoin.

Stegoanalyysimenetelmä

Tunkeilija (analyytikko) pyrkii katkaisemaan steganografisen järjestelmän, eli havaitsemaan viestin lähetyksen tosiasian, poimimaan viestin ja joko muokkaamaan sanomaa tai kieltämään viestin lähettämisen [1] . Tyypillisesti analyytikot suorittavat useita järjestelmän hakkerointivaiheita [1] :

Piilotetun viestin havaitseminen, vaikein vaihe [2]
Viestin hakeminen
Viestin muokkaus
Estä viestin edelleenlähetys

Tässä tapauksessa järjestelmä katsotaan hakkeroituneeksi , jos analyytikko onnistui todistamaan ainakin piilotetun viestin olemassaolon. [yksi]

Kahden ensimmäisen vaiheen aikana analyytikot voivat yleensä suorittaa tällaisia toimintoja [2] :

subjektiivinen hyökkäys
Lajittele stego ulkonäön mukaan
Käytettyjen viestien upotusalgoritmien määrittäminen
Viestien korostaminen tunnetulla upotusalgoritmilla
Aineiston määrän riittävyyden tarkistaminen analyysiin
Analysointimahdollisuuksien tarkistaminen yksittäistapauksissa
Materiaalien analyysi ja menetelmien kehittäminen järjestelmän avaamiseen

Rikkojat

Rikollisia on useita [2] :

Passiivinen tunkeilija, joka pystyy vain havaitsemaan viestin edelleenlähetyksen ja mahdollisesti purkamaan viestin.
Aktiivinen tunkeilija, joka pystyy tuhoamaan ja poistamaan viestin havaitsemisen ja poimimisen lisäksi.
Haitallinen tunkeilija, joka pystyy havaitsemisen, erottamisen, tuhoamisen ja poistamisen lisäksi luomaan vääriä stegoja.

Stegosysteemien hyökkäysten luokittelu

Jotkut steganosysteemien hyökkäykset ovat samanlaisia kuin kryptografiset hyökkäykset [1] :

Hyökkäys perustuu tunnettuun täytettyyn säiliöön ;
Hyökkäys perustuu tunnettuun upotettuun viestiin ;
Hyökkäys valitun upotetun viestin perusteella . Käytetään, kun analyytikko voi valita viestin ja analysoida lähetettyjä täytettyjä säiliöitä.
Mukautuva hyökkäys valitun upotetun viestin perusteella . Erikoistapaus valittuun piiloviestiin perustuvasta hyökkäyksestä, kun analyytikko pystyy valitsemaan viestejä aikaisempien säiliöiden analyysin tulosten perusteella.
Hyökkäys valitun täytetyn astian perusteella ;

Mutta on myös hyökkäyksiä, joilla ei ole suoria analogeja kryptografiassa [3] :

Hyökkäys perustuu tunnettuun tyhjään säiliöön . Tässä tapauksessa analyytikko voi verrata tyhjiä ja täytettyjä säiliöitä.
Hyökkäys valitun tyhjän kontin perusteella ;
Hyökkäys kontin tai sen osan tunnettuun matemaattiseen malliin ;

Digitaalisiin vesileimajärjestelmiin kohdistuvien hyökkäysten luokittelu

Digitaalisiin vesileimajärjestelmiin kohdistuu myös erityisiä hyökkäyksiä [2] :

Hyökkäys upotettua viestiä vastaan, jonka tarkoituksena on poistaa vesileima tai tehdä siitä käyttökelvoton. Tällaiset hyökkäysmenetelmät eivät yritä eristää vesileimaa.
Hyökkäykset stegodetektoria vastaan , jotka vaikeuttavat tai tekevät mahdottomaksi ilmaisimen asianmukaisen toiminnan. Tällaiset hyökkäykset jättävät CEH:n ennalleen.
Hyökkäys digitaalista vesileimaprotokollaa vastaan - luo vääriä digitaalisia vesileimoja tai stego-viestejä, käännä olemassa olevaa vesileimaa ja lisää useita vesileimoja.
Hyökkäys vesileimaa vastaan , jonka tarkoituksena on poistaa vesileima viestistä. Näitä hyökkäyksiä varten on toivottavaa jättää säiliö vääristymättömäksi.

Jotkut hyökkäykset

Klassisista stegosysteemistä

Parranajo pään

Hyökkäys, joka perustuu tunnettuun täytettyyn säiliöön orjan päänahan vanhaa viestintäjärjestelmää vastaan. Orjan päähän tatuoitiin viesti ja odotettiin, että hiukset kasvavat takaisin. Sitten orja lähetettiin viestin vastaanottajalle. Järjestelmän hyökkäys on primitiivinen - ajele orja uudelleen ja lue viesti [4] .

Manifestaatio

Tunnettuun täytettyyn säiliöön perustuva hyökkäys sympaattista musteviestien lähetysjärjestelmää vastaan. Toisen maailmansodan aikana analyytikot pyyhkäisivät kehittäjien kostutetuilla siveltimillä kirjoittamista ja lukivat kehitettyjä viestejä. Myös ultravioletti- tai infrapunasäteilyä käytettiin [4] .

Digitaalisiin stegojärjestelmiin

Subjektiivinen hyökkäys

Hyökkäys perustuu tunnettuun täytettyyn säiliöön. Algoritmi on yksinkertainen: analyytikko tutkii säiliön ilman erikoistyökaluja ja yrittää "silmällä" määrittää, sisältääkö se stegoa. Eli jos säilö on kuva, se katsoo sitä, jos se on äänitallenne, niin se kuuntelee. Huolimatta siitä, että tällainen hyökkäys on tehokas vain lähes suojaamattomia steganografisia järjestelmiä vastaan, hyökkäys on laajalle levinnyt järjestelmän avaamisen alkuvaiheessa [2] .

Kuvien histogrammianalyysi

Hyökkäys, joka perustuu tunnettuun LSB :llä täytettyyn säiliöön. Andreas Fitzman ja Andreas Westfeld huomasivat [5] , että jos upotetulla viestillä on tasainen jakautuminen ja värien esiintymistiheydet ennen upottamista olivat yhteydessä suhteeseen , niin taajuudet upotuksen jälkeen liittyvät taajuuksiin ennen upottamista tällä suhteella: $n_{i}$ $i$ $n_{2i}>n_{2i+1}$ $n_{i}^{*}$

\left|n_{2i}-n_{2i+1}\right|>\left|n_{2i}^{*}-n_{2i+1}^{*}\right|

Toisin sanoen viestin upottaminen vähentää tasaisesti eroa naapurivärien, joilla on ero pienimmässä bitissä, jakelutaajuuksien välillä. On myös huomattava, että LSB-toteutuksen aikana naapuriparien taajuusjakauman summa pysyy muuttumattomana. Näihin seikkoihin perustuen analyysimenetelmä perustuu Chi-neliön kriteeriin :

Odotettu jakauma saadaan kaavalla: $n_{i}={\frac {n_{2i}^{*}-n_{2i+1}^{*}}{2}}$
Chi-neliön arvo, jolla verrataan odotettua jakaumaa ja tutkitun sekvenssin jakautumista: , jossa on histogrammin sarakkeiden lukumäärä miinus 1 $\chi ^{2}=\sum _{i=1}^{\nu }{\frac {y_{i}-y_{i}^{*}}{y_{i}^{2} }}$ $\nu$
Todennäköisyys , että nämä kaksi jakaumaa ovat samat ja että säilössä on piilotettu viesti, on , missä on gammafunktio . $s$ $\int \limits _{0}^{\chi ^{2}}{\frac {t^{\nu -2}e^{-t/2}}{2^{\nu /2} \Gamma (\nu /2)}}\,dt$ $\Gamma$

Tyypillisesti kuvafragmenteille tehdään sarja todennäköisyysmittauksia, jotta voidaan mitata myös aiotun viestin pituus todennäköisyyshypystä.

Siinä tapauksessa, että säiliö ei ole väriindeksillä varustettu kuva, vaan se on JPEG-kuva , väriindeksien sijaan käytetään analyysiin diskreettejä kosinimuunnoskertoimia ) [5] .

RS-kuvaanalyysi

Hyökkäys, joka perustuu tunnettuun täytettyyn säiliöön järjestelmään stegon upottamiseksi kuvaan LSB-menetelmällä. Binghamtonin yliopiston tutkijaryhmä ehdotti säännöllistä yksikköanalyysiä vuonna 2001 [5] .

Menetelmä perustuu kuvan jakamiseen toisiinsa liittyviin pikseliryhmiin . Jokaiselle ryhmälle määritetään säännöllisyys- tai sileysfunktion arvo . Useimmiten säännöllisyysfunktio on ryhmän vierekkäisten pikselien välisten erojen summa [5] . $G$ $n$ $f(G)$

Kääntöfunktio otetaan käyttöön - sellainen toiminto , että . Tässä analyysissä käytetään kolmea kääntöfunktiota [5] : $F$ $F(F(x))=x$

$F_{1}$ - käännä kuvan värin vähiten merkitsevä bitti
$F_{0}$ - ennallaan
$F_{-1}$ - kuvan värin vähiten merkitsevän bitin inversio siirtämällä eniten merkitsevään bittiin (eli , jne.). $255\longleftrightarrow 0$ $1\longleftrightarrow 2$

Ryhmän sisällä voit käyttää erilaisia kääntöfunktioita eri pikseleille, joten kirjoitetaan maski - -ulotteinen vektori avaruudessa , joka osoittaa, mikä ryhmän pikselistä vastaa mitäkin kääntöä: [5] $M$ $n$ ${\näyttötyyli \{-1,0,1\}}$ $F(G)=\left(F_{M(1)}(x_{1}),...,F_{M(n)}(x_{n})\right)$

Kaikki vastaanotetut ryhmät on jaettu kolmeen tyyppiin [5] : $G$

Säännöllinen , mikä lisää sileyden arvoa $F(G)$
Yksikkö , jonka sileyden arvo pienenee $F(G)$
Käyttämätön , jonka sileysarvo ei muutu $F(G)$

Laske seuraavaksi tavallisten ryhmien määrä, maskin M singulaariryhmien lukumäärä ja vastaavat arvot käänteiselle maskille {-M}. Tutkijoiden tilastollinen hypoteesi, joka vahvistettiin oikeista valokuvista tehdyllä tutkimuksella, on, että maskin inversio ei juuri muuta säännöllisten ja yksittäisten ryhmien määrää tyhjälle astialle [5] : $R_{M}$ ${\displaystyle S_{M))$ $R_{-M}$ $S_{-M}$

{\displaystyle R_{M}\cong R_{-M))

{\displaystyle S_{M}\cong S_{-M))

Samaan aikaan tutkijat huomasivat, että satunnaisten vääristymien lisääminen tähän suhteeseen rikkoo tätä suhdetta, joten satunnaiset vääristymät vähentävät eroa upotetun viestin välillä ja sen pituuden kasvaessa. Tämä tosiasia on RS-analyysimenetelmän perusta [5] : ${\displaystyle R_{M))$ ${\displaystyle S_{M))$

He rakentavat kaavion: käänteisten bittien osuus piirretään abskissa-akselia pitkin, yksittäisten ja säännöllisten ryhmien suhteet kaikista
Kaavioon saadaan useita rivejä olettaen, että viestin pituus ja vähiten merkitsevien bittien muutoksen osuus viestiä kirjoitettaessa on 50 %: $s$
1. Suorat viivat ja rakenna kahdelle pisteelle: muuttumattomalla kuvalla (eli pisteessä, jossa on abskissa ) ja kuvalla, jossa on käänteiset vähiten merkitsevät bitit (eli pisteessä, jossa on abskissa ) $R_{-M}$ $S_{-M}$ $p/2$ $1-p/2$
2. Paraabelit ja on rakennettu kolmeen pisteeseen: pisteeseen, jossa on abskissa , pisteessä, jossa on abskissa ja pisteessä, jonka abskissa on 50% (kirjoittamalla satunnaisia arvoja alemmille biteille) ${\displaystyle R_{M))$ ${\displaystyle S_{M))$ $p/2$ $1-p/2$
Ottaen abskissaksi 0 ja abskissaksi 1, määritä käyrien leikkauspisteen abskissa ja laske viestin arvioitu pituus: $p/2$ $1-p/2$ $x$ ${\displaystyle R_{M))$ ${\displaystyle S_{M))$ $p={\frac {x}{x-1/2))$

Koneoppimismenetelmä kuva-analyysiin

Suvi Lew ja Honey Farid keksivät menetelmän vuonna 2002 vastauksena viestin upotusalgoritmien parannuksiin. He ehdottivat koneoppimisessa tunnetun tukivektorikonemenetelmän käyttöä . Ominaisuusvektorina menetelmä käyttää vektoria, joka on laskettu kuvan pikseliryhmien tilastollisten jakautumismallien perusteella: matemaattinen odotus , varianssi, keskihajonta jne. [5]

Hyökkää äänitiedostojen jäsentämiseen pakkausalgoritmeilla

On havaittu [6] , että piiloviestejä sisältävät tiedostot voidaan pakata käyttämällä pakkausalgoritmeja huonommin kuin ilman viestejä. Ryhmä hyökkäyksiä, joissa käytetään pakkausmenetelmiä, perustuu tähän huomautukseen. Yksi näistä hyökkäyksistä on menetelmä WAVE-äänitiedostojen jäsentämiseksi.

Analyysialgoritmi [6] olettaen, että tiedosto (tyhjä säiliö), stego-sanoman lisäysalgoritmi ja tiedonpakkausalgoritmi tunnetaan:

Analyytikko soveltaa tiedostoon viestin upotusalgoritmia jollakin ennalta valitulla täyttökertoimella, mikä johtaa täyteen säiliöön.
Analyytikko pakkaa sitten molemmat tiedostot ja saa tyhjän säiliön ja täyden säiliön pakkaussuhteet . $\gamma$ ${\tilde {\gamma ))$
Lopuksi stegoanalyytikko laskee puristussuhteiden eron moduulin ja vertaa sitä ennalta valittuun kynnysarvoon . Jos , voimme päätellä, että tiedosto sisältää stego-viestin. $\Delta =\left|\gamma -{\tilde {\gamma }}\oikea|$ $\delta$ $\Delta </delta$

Kynnysarvot, riippuen äänitiedoston sisällöstä ja käytetystä arkistaattorista, määritetään kokeellisesti ja ne ovat välillä 0,05 % - 0,2 % [6] .

Hyökkäys käyttämällä pakkausalgoritmeja tekstitiedostojen jäsentämiseen

Hyökkäys perustuu samaan tosiasiaan kuin hyökkäys äänitiedostoihin pakkausalgoritmeilla. Olkoon kolme tekstiä: , ja lisäksi, ja sisältävät piiloviestejä. Jos kirjoitamme ja kunkin tekstin lopussa pakkaamme tuloksena olevat tekstit arkistaattorilla ja mittaamme tekstin koon tuloksena olevissa arkistoissa , käy ilmi, että arkistossa, joka on saatu teksteistä ja se vie vähemmän tilaa. Tämä voidaan tulkita merkiksi stego-viestin läsnäolosta säiliössä [7] $A$ $B$ $C$ $B$ $C$ $C$ $A$ $B$ $C$ $B$ $C$ $C$ $C$

Algoritmi:

Stegoanalyytikko valmistelee tutkittavan tiedoston: kaikki merkit, jotka eivät ole numeroita, kirjaimia, välimerkkejä, välilyöntejä ja rivinvaihtoja, poistetaan, olemassa olevat kahden tai useamman välilyönnin tai rivinvaihdon merkkijonot pelkistetään yksittäisiksi merkeiksi ja tuloksena oleva tiedosto katkaistaan. jotain kiinteää kokoa.
Analyytikko kirjoittaa vastaanotetun tekstin kahden erityisesti valitun tiedoston loppuun ja vastaanottavat tiedostot ja . $N$ $T$ $N_{X}$ $T_{X}$
Stegoanalyytikko mittaa molempien alkuperäisten tiedostojen pakkaussuhteet. Myös molempien vastaanotettujen tiedostojen pakkaussuhteet mitataan . $\gamma _{N}$ ${\näyttötyyli \gamma _{T}}$ $\gamma _{N_{X}}$ $\gamma _{T_{X}}$
Analyytikko laskee kaksi määrää: ja . Kokeellisesti on todettu, että pelkkä teksti täyttää ehdon tai . Jos mitatut arvot eivät täytä tätä ehtoa, stegotekstin olemassaoloa voidaan pitää todettuna. $\alpha =\gamma _{N}-\gamma _{N_{X}}$ $\beta =\gamma _{T}-\gamma _{T_{X}}$ $\alpha >0.9$ $\beta <1$

Hyökkäys, joka käyttää pakkausalgoritmia suoritettavien tiedostojen jäsentämiseen

Hyökkäys perustuu samoihin tosiasioihin kuin muut pakkausalgoritmeihin perustuvat hyökkäykset, mutta se käyttää PE -suoritettavan tiedostomuodon ominaisuuksia ja erityistä viestin lisäysalgoritmia [8] , jonka havaitsemiseen käytetään analyysiä. [9]

Algoritmi:

Analyytikko poimii koodiosan suoritettavan tiedoston säilöstä ja poistaa tasaustavut osan lopusta, jos sellaisia on. Koodiosio valitaan, koska upotusalgoritmi toimii sen kanssa.
Stegoanalyytikko pakkaa osan viimeiset tavut. valittu kokeellisesti. $W$ $W=80$
Jos vastaanotetun koodin pituus on suurempi kuin jokin kynnysarvo , analyytikko voi päätellä, että stego-sanoma on tiedostossa. määritetty myös kokeellisesti. $\delta$ $\delta ={\frac {56}{80}}$

Hyökkäykset videotiedostoihin

Yksi esimerkki videotiedostojen analysoinnista on tilastollinen analyysi, joka on samanlainen kuin kuvan histogrammianalyysi . Stegoanalyytikko tarkistaa tässä tapauksessa signaalin tilastolliset ominaisuudet ja vertaa niitä odotettuihin: esimerkiksi signaalien vähiten merkitsevillä biteillä jakauma on samanlainen kuin kohina . Vertailun vuoksi Chi-neliötesti sopii hyvin . [kymmenen]

Viestin tuhoamiseen voidaan käyttää erilaisia muunnoksia [10] :

Videon transkoodaus käyttämällä häviöllisiä pakkausalgoritmeja;
Videojakson kehysten uudelleenjärjestäminen tai poistaminen;
Geometriset muunnokset;

Muistiinpanot

↑ 1 2 3 4 Konakhovich, Puzyrenko, 2006 , s. 34.
↑ 1 2 3 4 5 Gribunin, Okov, Turintsev, 2002 .
↑ Konakhovich, Puzyrenko, 2006 , s. 35.
↑ 1 2 Kolobova, 2015 .
↑ 1 2 3 4 5 6 7 8 9 10 Valishin, 2015 .
↑ 1 2 3 Zabelin, 2010 .
↑ Jotain, Tehokas stegaanalyysimenetelmä, joka perustuu tietojen pakkaamiseen .
↑ Shin D., Data Hiding in Windows Executable Files, 2008 .
↑ Jotain, Tehokas menetelmä suoritettavien tiedostojen stegaanalyysiin Huffman-koodin perusteella, 2010 .
↑ 1 2 Modenova, 2010 .

Kirjallisuus

Gribunin V. G., Okov I. N., Turintsev I. V. Hyökkäykset stegosysteemiin ja vastatoimet niitä vastaan // Digitaalinen steganografia. - Moskova: Solon-Press, 2002. - 272 s. — ISBN 5-98003-011-5 .
Konakhovich G. F., Puzyrenko A. Yu. Steganografisen analyysin periaatteet // Tietokonesteganografia. Teoria ja käytäntö .. - Moskova: MK-Press, 2006. - 288 s. - ISBN 966-8806-06-9 .
Bykov S. F., Motuz O. V. Stegaanalyysin perusteet // Tietojen suojaaminen. Luottamusmies.. - Pietari. , 2000. - Numero. 3 . - S. 38-41 .
Valishin MF Menetelmien tehokkuuden lisääminen piilotettujen tietojen upottamista graafisiin tiedostoihin estämiseksi . - Uljanovsk, 2015. Arkistokopio päivätty 18. marraskuuta 2017 Wayback Machinessa
Kolobova A.K., Kolobov D.G., Gerasimov A.S. Steganografia antiikista nykypäivään // Tietotekniikan turvallisuus. - Moskova: Hienot laitteet, 2015. - Nro 4 . - S. 71-74 . — ISSN 2074-7136 .
Zabelin M.A. Äänidatan stegoanalyysi pakkausmenetelmien perusteella // Vestnik SibGUTI. - 2010. - Nro 1 . - S. 41-49 .
Modenova O.V. Steganografia ja stegoanalyysi videotiedostoissa // Applied Discrete Mathematics. Sovellus. - 2010. - S. 37-39 .
Jotain I.V. Tehokas tietojen pakkaamiseen perustuva stegaanalyysimenetelmä // Bulletin of SibGUTI.
Jotain I.V. Tehokas menetelmä suoritettavien tiedostojen stegaanalyysiin Huffman-koodin perusteella Vestnik SibGUTI. - 2010. - Nro 4 . - S. 47-54 .
Shin D., Kim Y., Byun K., Lee S. Datan piilottaminen Windowsin suoritettavissa tiedostoissa // Australian Digital Forensics Conference. - 2008. - S. 51 .