Стегоанализ или Стеганоанализ — раздел стеганографии; наука о выявлении факта передачи скрытой информации в анализируемом сообщении. В некоторых случаях под стегоанализом понимают также извлечение скрытой информации из содержащего её сообщения и (если это необходимо) дальнейшую её дешифровку. Последнее определение следует употреблять с соответствующей оговоркой.
Нарушитель (аналитик) стремится взломать стеганографическую систему, то есть обнаружить факт передачи сообщения, извлечь сообщение и либо модифицировать сообщение, либо запретить пересылку сообщения[1]. Обычно аналитики проводят несколько этапов взлома системы[1]:
При этом система считается взломанной, если аналитику удалось доказать хотя бы наличие скрытого сообщения.[1]
В ходе первых двух этапов аналитики обычно могут проводить такие мероприятия[2]:
Выделяют несколько видов нарушителей[2]:
Некоторые атаки на стеганосистемы аналогичны криптографическим атакам[1]:
Но существуют и атаки, не имеющие прямых аналогов в криптографии[3]:
Существуют и специфичные атаки на системы цифровых водяных знаков[2]:
Атака на основании известного заполненного контейнера против древней системы передачи сообщений на коже головы раба. На голову раба наносили татуировку-сообщение и ждали, пока волосы снова отрастут. Затем отправляли раба получателю сообщению. Атака системы примитивна — побрить раба снова и прочитать сообщение[4].
Атака на основании известного заполненного контейнера против системы передачи сообщения письмом, написанным симпатическими чернилами. Во время Второй мировой войны аналитики водили смоченными проявителями щётками по письму и читали проявленные сообщения. Также использовалось просвечивание ультрафиолетовым или инфракрасным излучением[4].
Атака на основании известного заполненного контейнера. Алгоритм прост: аналитик исследует контейнер без помощи специальных средств, пытаясь «на глаз» определить, содержит ли тот стего. То есть, если контейнер является изображением, то смотрит на него, если аудиозапись, то слушает. Несмотря на то, что подобная атака эффективна только против почти не защищённых стеганографических систем, атака широко распространена на начальном этапе вскрытия системы[2].
Атака на основании известного заполненного методом LSB контейнера. Андреас Фитцман и Андреас Вестфелд заметили[5], что если встраиваемое сообщение имеет равномерное распределение и частоты появления цвета до встраивания были связаны соотношением , то частоты после встраивания связаны с частотами до встраивания таким соотношением:
То есть внедрение равномерно сообщения уменьшает разницу между частотами распределения соседних цветов, имеющих различие в наименьшем бите. Также замечено, что в процессе внедрения методом LSB сумма распределения частот соседних пар остается неизменной. На этих фактах строится метод анализа с помощью критерия Хи-квадрат:
Обычно проводят серию измерений вероятности для фрагментов изображения, чтобы по скачку вероятности также измерить и длину предполагаемого сообщения.
В случае, когда контейнер не является изображением с индексацией цветов, а является JPEG-изображением, вместо индексов цвета для анализа используют коэффициенты дискретного косинусного преобразования)[5].
Атака на основании известного заполненного контейнера на систему встраивания стего в изображение методом LSB. Regular-Singular анализ предложен в 2001 году коллективом исследователей из Бингемтонского университета[5].
Метод основывается на разделении изображения на связанные группы по пикселей. Для каждой группы определяется значение функции регулярности или гладкости . Чаще всего функция регулярности — сумма перепадов соседних пикселей в группе[5].
Вводится функция флиппинга — функция такая, что . При данном анализе используют три функции флиппинга[5]:
Внутри группы можно применять различные функции флиппинга для разных пикселей, поэтому записывают маску — -мерный вектор в пространстве , указывающий, какому пикселю в группе соответствует какой флиппинг: [5]
Все полученные группы делят на три вида[5]:
Далее подсчитывают количество регулярных групп, количество сингулярных групп для маски M и аналогичные величины , для инвертированной маски {-M}. Статистическая гипотеза исследователей, подтверждённая исследованием выборки из реальных фотографий, состоит в том, что инвертирование маски почти не меняет количества регулярных и сингулярных групп для пустого контейнера[5]:
В то же время исследователи заметили, что внесение случайных искажений в данное соотношение нарушает данное соотношение так, что случайные искажения уменьшают разницу между и с увеличением длины внедряемого сообщения. На этом факте строится метод RS-анализа[5]:
Метод придуман Сьюви Лью и Хани Фаридом в 2002 году в ответ на усовершенствование алгоритмов встраивания сообщений. Они предложили использовать известный в машинном обучении метод опорных векторов. В качестве вектора признаков в методе используется вектор, вычисляемый на основе статистических закономерностей распределения групп пикселей изображения: математическое ожидание, дисперсия, среднеквадратичное отклонение и т. д.[5]
Замечено[6], что файлы, содержащие скрытые сообщения, могут быть сжаты с помощью алгоритмов сжатия хуже, чем не содержащие сообщений. На этом замечании основана группа атак с помощью методов сжатия. Одной из этих атак является метод анализа аудиофайлов формата WAVE.
Алгоритм[6] анализа в предположении, что известны файл (пустой контейнер), алгоритм внедрения стегосообщения и алгоритм сжатия данных:
Пороговые значения в зависимости от содержания аудиофайла и используемого архиватора определены экспериментально и лежат в интервале от 0,05 % до 0,2 %[6].
Атака основана на том же факте, что и атака на аудиофайлы с помощью алгоритмов сжатия. Пусть есть три текста: , и , причём и содержат скрытые сообщения. Если записать в конец каждого из текстов и , сжать получившиеся тексты архиватором и измерить размеры, которые в полученных архивах занимает текст , то окажется, что в архиве, полученном из текстов и занимает меньше места. Это можно интерпретировать как признак наличия стегосообщения в контейнере [7]
Алгоритм:
Атака основана на тех же фактах, что и прочие атаки на основе алгоритмов сжатия, но использует особенности формата исполняемых файлов PE и конкретного алгоритма внедрения[8] сообщения, для обнаружения которого применяется анализ.[9]
Алгоритм:
В качестве одного из примеров анализа видеофайлов можно привести статистический анализ, подобный гистограммному анализу изображений. Стегоаналитик в данном случае проверяет статистические свойства сигнала и сравнивает их с ожидаемыми: например, для младших бит сигналов распределение похоже на шумовое. Для сравнения хорошо подходит критерий Хи-квадрат.[10]
Для уничтожения сообщения можно использовать различные преобразования[10]:
Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".
Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.
Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .