Основные этапы практического стеганоанализа
Фактически, любое стеганографическое преобразование базируется на двух определяющих принципах [3]:
• в качестве носителя скрытой информации (контейнера) избирается объект, структура которого допускает возможность определенного искажения его собственной информации, сохраняя при этом функциональность объекта;
• уровень внесенных в структуру контейнера искажений должен быть ниже уровня чувствительности средств распознания (в том числе и распознавания органа ми ощущения человека).
В качестве стеганоконтейнеров, как уже отмечалось выше, могут использоваться практически все известные носители информации, применяемые в современных сетях передачи данных. При этом методы скрытия информации ориентируются, в основном, на внутреннюю структуру контейнера, которая может представлять собой символьные или битовые данные, коэффициенты преобразования Фурье, широкополосное кодирование, коэффициенты уплотнения и т.д. [3].
Скрытие данных в медиасреде требует соблюдения определенных условий при внесении изменений, что необходимо для устранения следов применения .операций стеганопреобразования. Например, в случае изображений указанные изменения мо гут при определенных действиях со стороны нарушителя (как преднамеренных, так и случайного характера) становиться видимыми для человеческого глаза, и, таким образом, явно указывать на использование стеганографических средств. Очевидно, что следы, оставленные последними. Могут существенно помочь обнаружить существование скрытого сообщения, таким образом, компрометируя стеганосистему в целом.
Одной из главных задач стеганоанализа является исследование возможных следов применения стеганографических средств и разработка методов, которые позволяли бы обнаруживать факты их использования [3]. Применение конкретного стеганографического преобразования требует от стеганоаналитика индивидуального подхода к его исследованию.
Исследование сообщений, скрытых одним из множества существующих стеганографических методов, или, более точно, подозреваемых в этом отношении, — процесс довольно трудоемкий.
Для успешного проведения стеганоанализа необходимо (но ни в коем случае не достаточно):
• иметь для анализа стеганосредство, с помощью которого осуществляется скрытие сообщения;
• иметь возможность восстанавливать используемые в системе стеганографический и, возможно, криптографический алгоритмы; выполнять их экспертный анализ и разрабатывать алгоритм определения ключей;
• иметь возможность использовать для проведения стеганоанализа вычислитель ные ресурсы необходимой мощности;
• поддерживать на должном уровне теоретические и практические знания в области компьютерной стеганографии.
Можно выделить следующие несколько направлений практического развития стеганографического анализа [3].
• Разработка вероятностно-статистических методов распознавания, применение элементов искусственного интеллекта для получения оценок надежности стеганографических преобразований, а также при создании детекторов (фильтров) — для анализа информационных потоков с целью обнаружения и перекрытия, скрытых каналов связи. В таком случае проверка наличия скрытой информации сводится к определенной оценке с использованием статистических критериев (последовательной корреляции, энтропии изображения, дисперсии младшего бита и т.д.). Разрабатываемые с этой целью средства должны не только обеспечивать низкий уровень погрешности во время распознавания скрытых сообщений (особенно в тех случаях, когда используется предварительное шифрование), но и быть универсальными, то есть должна существовать возможность детектирования сообщений встроенных разными стеганографическими методами.
• Анализ конкретных программных стеганографических средств с целью восстановления алгоритмов и разработки оптимальных методов их исследования. Основная сложность в данном случае заключается в большой трудоемкости, обусловленной необходимостью индивидуального подхода к каждому конкретному алгоритму, реализующему тот или иной метод скрытия информации, а также значительным объемом вычислений, необходимых для восстановления стеганоключей.
Разработка технологий активных и злонамеренных атак для внесения невосстанавливаемых искажений в предполагаемую стеганограмму с целью спровоцировать ее повторную передачу в другом контейнере, что подтвердило бы факт использования стеганосредств.