Цифровая стеганография
Шрифт:
Чем больше значение p, тем выше вероятность встраивания скрываемой информации в исследуемую последовательность.
Рассмотрим использование критерия Хи-квадрат для отыскания следов стегоканала, образованного с использованием программы EzStego. Пусть в контейнерное изображение «Мельница», показанное в левой части рис. 4.3, в НЗБ спектральных коэффициентов изображения, начиная с его верхнего края до его середины, последовательно внедрено 3600 байт скрываемого сообщения. На рис. 4.6 показана вероятность встраивания скрываемой информации в зависимости от размера исследуемой последовательности. Начало графика получено при анализе первого фрагмента стего, составляющего одну сотую часть всего стего. Значение p составило 0,8826. Затем к анализируемому фрагменту была добавлена еще одна сотая часть стего, и так далее. На
Рис. 4.6. Вероятность встраивания по критерию Хи-квадрат при анализе EzStego
В программе Steganos встраиваемое двоичное сообщение любой длины дополняется до длины контейнера (до числа пикселов изображения). Поэтому критерий Хи-квадрат при встраивании сколь угодно малого сообщения с использованием Steganos дает вероятность существования стегоканала, практически не отличающуюся от единицы.
В программе S-Tools встраиваемое сообщение равномерно распределяется по всему контейнеру. При полностью заполненном контейнере по критерию Хи-квадрат уверенно выявляются следы вложения посторонней информации с пренебрежимо малой вероятностью ошибки (менее 10– 16), но при заполненном контейнере на треть и менее следы стегоканала не выявляются.
Как и в EzStego, в программе Jsteg скрываемое сообщение последовательно встраивается в коэффициенты преобразования контейнера. На рис. 4.7 показана вероятность встраивания по критерию Хи-квадрат при анализе стего, сформированной с использованием Jsteg. Видно, что статистическая атака успешно обнаруживает следы скрываемой информации в первой части исследуемой последовательности, содержащей скрываемое сообщение, и не дает ложной тревоги во второй ее части, являющейся пустым контейнером.
Рис. 4.7. Вероятность встраивания по критерию Хи-квадрат при анализе Jsteg
Для сжатия изображений очень часто используется алгоритм JPEG. На рис. 4.8 показано, что вероятность ложного срабатывания по критерию Хи-квадрат при анализе пустых контейнеров, сжатых алгоритмом JPEG, не превышает пренебрежимо малой величины 0,407 %.
Рис. 4.8. Вероятность ложного срабатывания по критерию Хи-квадрат при сжатии по JPEG пустого контейнера
4.4.4. Статистические атаки на стегосистемы с аудиоконтейнерами
Рассмотрим статистические атаки, разработанные с целью обнаружения скрытых каналов передачи информации в аудиофайлах. В работе [16] показано, что следы скрытия проявляются при анализе таких статистических характеристик речи и музыки, как распределение НЗБ отсчетов, условные распределения младших и остальных разрядов отсчетов, величины коэффициента корреляции между соседними отсчетами и т. п.
Было исследовано более 1200 аудиофайлов, записанных на CD-дисках и представляющих собой различные музыкальные и вокальные произведения разных авторов. Показано, что для пустых аудиоконтейнеров НЗБ и остальные биты статистически взаимно зависимы, причем на характер этой зависимости влияет уровень записи (усредненная амплитуда отсчетов аудиосигнала). На рис. 4.9 показана полученная для аудиофайлов зависимость статистики Хи-квадрат. По критерию Хи-квадрат вычислялась степень различия между распределением пустых и заполненных контейнеров от характерного для стего бернуллиевского распределения.
Рис. 4.9. Зависимость величины Хи-квадрат от амплитуды отсчетов аудиосигнала:
Рис. 4.10. Статистические различия стего и пустых аудиоконтейнеров: а, б — по критерию Хи-квадрат, в — по модулю коэффициента корреляции
К настоящему времени известны различные программные средства скрытия информации в аудиофайлах. Используя статистику Хи-квадрат и коэффициент корреляции, в работе [16] проведен стегоанализ программ Steganos (version 1.0а) и S-Tools (Steganography Tools for Windows, version 4.0), которые скрывают информацию в наименее значимых битах звуковых отсчетов. В качестве исходных контейнеров исследовались считанные с CD-дисков 100 музыкальных фрагментов различных исполнителей длительностью звучания 15 секунд каждый (как со стандартных музыкальных компакт-дисков, так и с дисков в формате МРЗ). В качестве скрываемого сообщения использовалась псевдослучайная последовательность объемом 83 Кбайт и побитно внедрялась в каждый НЗБ контейнера. По критерию Хи-квадрат определялась степень отличия распределения НЗБ отсчетов исследуемой последовательности от от бернуллиевского распределения.
Результаты статистических вычислений для музыкальных контейнеров и сформированных из них полностью заполненных стего представлены в виде гистограмм на рис. 4.10, а-в. При этом область значений статистики (ось абсцисс) разбита на непересекающиеся и различные по размерам интервалы. Высота столбца (ось ординат) показывает число значений статистики, попавших в заданный интервал. На рисунке приведена частота встречаемости значений статистики Хи-квадрат (а — для S-Tools, б — для Steganos) и коэффициента корреляции (в — для S-Tools). Правые столбцы соответствуют пустым контейнерам, а левые — заполненным стего. Для стего величина Хи-квадрат была равна единицам, а для пустых контейнеров — десяткам и сотням. После встраивания среднее значение коэффициента корреляции соседних отсчетов уменьшилось в десятки раз.
Заметим, что диапазоны значений статистики Хи-квадрат, полученные до и после образования стегоканала, равно как диапазоны значений коэффициентов корреляции, не пересекаются. Эти признаки позволяют при использовании статистических атак с большой вероятностью отделить пустые аудиоконтейнеры от заполненных стего.
4.4.5. Направления повышения защищенности стегосистем от статистических атак
Таким образом, различные стегосистемы, использующие принцип замены младших битов элементов контейнеров на биты встраиваемого сообщения, оказались нестойкими против статистических атак. Повысить их стойкость можно различными способами, например, переходом к операциям встраивания вида взвешенное сложения элементов контейнера с элементами встраиваемого сообщения. Подобные операции не сохраняют баланс вероятностей появления соответствующих элементов контейнера и стего и поэтому обладают более высокой устойчивостью к анализу их статистик.
Очевидным способом является уменьшение степени заполнения контейнера битами скрываемого сообщения, то есть уменьшение пропускной способности стегоканала в обмен на повышение его защищенности. Предложенные в работе [14] статистические атаки на основе критерия Хи-квадрат в большинстве случаев не способны обнаружить стегоканал при заполнении контейнера на 50 % и менее, особенно если внедренное сообщение рассредоточено по контейнеру. Эти атаки всегда стартуют от начала исследуемой последовательности и используют равномерно увеличивающееся окно анализа. Они обнаруживают существование стегоканала, если статистические характеристики искажается непрерывно от начала контейнера. Промежуточные области в контейнере, которые не имеют искажения, могут вызывать неправильный результат теста. Поэтому в работе [15] предложена усовершенствованная статистическая атака, названная автором расширенный тест Хи-квадрат. Тест использует фиксированный размер окна анализа, перемещаемого вдоль исследуемой последовательности. Такая атака осуществляет локальный поиск и позволяет указать на место вложения скрываемого сообщения. В этой же работе предлагается способ повышения защищенности от статистических атак стегосистем с вложением скрываемого сообщения в НЗБ контейнера. Процесс встраивания скрытой информации в контейнер разделен на 3 этапа: