Стегоанализ

Стегоанализ — это исследование обнаружения сообщений, скрытых с помощью стеганографии ; это аналогично криптоанализу в применении к криптографии .

Целью стеганализа является выявление подозрительных пакетов, определение наличия в них закодированной полезной нагрузки и, если возможно, восстановление этой полезной нагрузки.

В отличие от криптоанализа, в котором перехваченные данные содержат сообщение (хотя это сообщение зашифровано ), стегаанализ обычно начинается с кучи подозрительных файлов данных, но мало информации о том, какие из файлов, если таковые имеются, содержат полезную нагрузку. Стегоаналитик обычно является чем-то вроде судебного статистика и должен начать с сокращения этого набора файлов данных (который часто бывает довольно большим; во многих случаях это может быть весь набор файлов на компьютере) до подмножества, которое, скорее всего, будет иметь были изменены.

Обычно проблема решается с помощью статистического анализа. Набор немодифицированных файлов одного типа и, в идеале, из одного и того же источника (например, одна и та же модель цифровой камеры или, если возможно, одна и та же цифровая камера; цифровой звук с компакт-диска «скопирован» с файлов MP3); и т. д.) в качестве проверяемого множества анализируются для получения различной статистики. Некоторые из них столь же просты, как спектральный анализ, но поскольку большинство изображений и аудиофайлов в наши дни сжимаются с помощью алгоритмов сжатия с потерями , таких как JPEG и MP3 , они также пытаются найти несоответствия в способе сжатия этих данных. Например, распространенным артефактом при сжатии JPEG является «звон по краям», когда высокочастотные компоненты (такие как высококонтрастные края черного текста на белом фоне) искажают соседние пиксели. Это искажение предсказуемо, и простые алгоритмы стеганографического кодирования будут создавать маловероятные артефакты.

Одним из случаев, когда обнаружение подозрительных файлов является простым, является случай, когда для сравнения доступен исходный немодифицированный носитель. Сравнение пакета с исходным файлом выявляет различия, вызванные кодированием полезных данных, и, таким образом, полезные данные можно извлечь.

В некоторых случаях, например, когда доступно только одно изображение, могут потребоваться более сложные методы анализа. В общем, стеганография пытается сделать искажение несущей неотличимым от минимального уровня шума несущей . На практике, однако, это часто ошибочно упрощается до решения сделать модификации несущей как можно ближе к белому шуму , вместо того, чтобы анализировать, моделировать, а затем последовательно имитировать фактические шумовые характеристики несущей. В частности, многие простые стеганографические системы просто изменяют младший бит (LSB) выборки; это приводит к тому, что модифицированные выборки имеют не только другие профили шума, чем немодифицированные выборки, но и их младшие значащие разряды имеют другие профили шума, чем можно было бы ожидать от анализа их старших битов, которые все равно будут показывать некоторое количество шума. Такую модификацию только LSB можно обнаружить с помощью соответствующих алгоритмов, в некоторых случаях с разумной надежностью обнаруживая плотность кодирования всего 1%. ^[1]

Обнаружение вероятной стеганографической полезной нагрузки часто является лишь частью проблемы, поскольку полезная нагрузка может быть сначала зашифрована. Шифрование полезных данных не всегда выполняется исключительно для того, чтобы затруднить восстановление полезных данных. Большинство надежных шифров обладают желательным свойством, заключающимся в том, что полезная нагрузка выглядит неотличимой от равномерно распределенного шума, что может затруднить усилия по обнаружению и избавить метод стеганографического кодирования от необходимости равномерно распределять энергию сигнала (но см. выше информацию об ошибках, имитирующих собственный шум несущей).

Если проверка устройства хранения считается весьма вероятной, стеганограф может попытаться завалить потенциального аналитика дезинформацией . Это может быть большой набор файлов, закодированных чем угодно: от случайных данных до белого шума, бессмысленной чепухи и намеренно вводящей в заблуждение информации. Плотность кодирования этих файлов может быть немного выше «реальных»; аналогичным образом следует рассмотреть возможность использования нескольких алгоритмов с различной обнаруживаемостью. Стегоаналитик может быть вынужден сначала проверить эти приманки, что потенциально может привести к потере значительного времени и вычислительных ресурсов. Недостатком этого метода является то, что он делает более очевидным, что стеганографическое программное обеспечение было доступно и использовалось.

Получение ордера или принятие других мер, основанных исключительно на стеганалитических доказательствах, является очень рискованным предложением, если полезная нагрузка не была полностью восстановлена ​​и расшифрована , поскольку в противном случае все, что есть у аналитика, — это статистика, указывающая на то, что файл мог быть изменен, и это изменение может иметь был результатом стеганографического кодирования. Поскольку такое случается часто, стеганалитические подозрения часто приходится подкреплять другими методами расследования.

• Гита, С; Шива С. Шивата Синдху (октябрь 2009 г.). «Слепой стеганализ изображений, основанный на независимых по содержанию статистических показателях, максимизирующих специфичность и чувствительность системы». Компьютеры и безопасность . Эльзевир, Science Direct. 28 (7): 683–697. дои : 10.1016/j.cose.2009.03.006 .
• Гита, С; Доктор Н. Камарадж (июль 2010 г.). «Развивающаяся система на основе правил дерева решений для обнаружения аудиостегоаномалий на основе статистики расстояний Хаусдорфа». Информационные науки . Эльзевир, Science Direct. 180 (13): 2540–2559. дои : 10.1016/j.ins.2010.02.024 .

• в области стеганализа, Исследования и статьи Нила Ф. Джонсона посвященные атакам на стеганографию и водяные знаки , а также мерам противодействия этим атакам.
• Исследовательская группа. Архивировано 16 августа 2016 г. в Wayback Machine . Продолжающиеся исследования в области стегоанализа.
• Стеганография. Реализация и обнаружение. Краткое введение в стеганографию с обсуждением нескольких источников информации, в которых может храниться информация.