close

Вход

Забыли?

вход по аккаунту

?

Использование дополнительного заполнения графических контейнеров для уточнения результатов rs-vgs-стеганоанализа.

код для вставкиСкачать
Р.А. Солодуха,
кандидат технических наук, доцент
ИСПОЛЬЗОВАНИЕ ДОПОЛНИТЕЛЬНОГО ЗАПОЛНЕНИЯ
ГРАФИЧЕСКИХ КОНТЕЙНЕРОВ ДЛЯ УТОЧНЕНИЯ
РЕЗУЛЬТАТОВ RS-VGS-СТЕГАНОАНАЛИЗА
ADDITIONAL EMBEDDING IN GRAPHIC STEGO-CONTAINER
FOR RS-VGS – STEGANALYSIS RESULTS REFINEMENT
Предлагается усовершенствование метода стеганоанализа графических стеганоконтейнеров RS-VGS, за счет использования дополнительных вложений в предполагаемый стеганоконтейнер. Разработанная модификация метода дает более точные
результаты определения размера стегановложения, особенно при атаке на базе известного стеганографического алгоритма.
The enhancement of the RS-VGS-steganalysis method for graphic cover messages is
offered. It is based on additional embedding in the suspicious file. The modification gives
more accurate results for determining the steganographic content size, especially in case of
the attack on the basis of known steganographic algorithm.
Введение
Одним из оригинальных методов статистического стеганоанализа является метод RS [1—3], впервые опубликованный в 2001 г. коллективом ученых под руководством J. Friedrich. Сокращение в названии расшифровывается как Regular-Singular, то
есть «регулярно-сингулярный».
Суть метода состоит в следующем. Все изображение разбивается на группы по n
пикселей G(x1 ,x 2 ,…,xn ), где n четно, например по 2 пикселя, находящихся рядом по горизонтали. Для группы пикселей определяется функция регулярности или «гладкости»
f(G), в качестве такой функции можно выбрать, например, дисперсию значений внутри
группы, либо просто сумму перепадов значений смежных пикселей. Под значением
пикселя понимаем целое число от 0 до 255.
Функция F(x) называется флиппингом и имеет свойство F(F(x)) = x. Определяют
две функции флиппинга — F1 , соответствует инверсии младшего бита пикселя, и F–1 ,
представляющая собой инверсию с переносом в старший бит (прибавление единицы).
При применении флиппинга к группе получают преобразованную группу пикселей. Далее делят все группы пикселей на классы следующим образом:
- регулярные группы: G ∈ R f(F(G)) > f(G);
- сингулярные группы: G ∈ S f(F(G)) < f(G);
- неиспользуемые группы: G ∈ U f(F(G)) = f(G).
В дальнейшем исследуется соотношение между группами в изображении. Определяется количество групп попавших в тот или иной класс как RM, SM, UM и R-M, S–M,
U–M, где индексы M и –М означают соответственно применение F1 и F–1 для получения
распределения. Метод основывается на статистическом предположении, что для естественного изображения, другими словами, незаполненного контейнера, характерно
следующее: RM ≅ R−M и SM ≅ S−M .
Предположение основано на том, что применение F–1 даст то же распределение,
что и F1 на изображении, значения пикселей которого сдвинуты на единицу. Для пусто-
го контейнера соотношение между группами не должно существенно меняться. Значительное расхождение между значениями свидетельствует о применении LSBстеганографии. RS-стеганоанализ реагирует на естественный шум в изображениях, ограничивающий теоретически возможную точность определения длины сообщения.
В [7] предлагается модификация метода RS-стеганоанализа, в основе которой
лежит идея распространения данного метода на группы различного размера, под названием RS-VGS (Variable Group Size). Анализируемым параметром является последовательность отношений регулярных групп после прямого и обратного флиппинга. С учетом того, что количество неиспользуемых групп для файлов 600х800 не превышает десяти, при общем числе групп 240 тысяч, а также соотношения R+S+U=const, можно отказаться от рассмотрения S-групп, ограничившись анализом R-групп.
Обозначается: s — размер вложения в процентном соотношении к размеру контейнера, тогда Rg,s — это R g для файла с вложением размера s % от максимально возможного, g — размер группы; R g,s — среднее значение Rg,s для трех цветовых каналов.
Для совокупности изображений определяется среднее по выборке M[Rg,s ] и
среднеквадратичное отклонение σ[Rg,s ] . При количестве файлов и дисперсии, обеспечивающих репрезентативность выборки [5] значения M[Rg,s ] представляют собой статистику работы стеганографического алгоритма. В контексте криминалистической
терминологии это называется трасологической статистикой стеганографического алгоритма (программы). Атака на стеганографический контейнер с известным алгоритмом
[1], сводится к получению массива значений Rg для анализируемого файла и сравнения с трасологической статистистикой.
Трасологическая статистика дополнительно заполненных контейнеров
Дополнительно заполненные контейнеры — это контейнеры, в которых производилось внедрение вложений несколько раз. Статистические характеристики контейнеров неаддитивны, поэтому уточнить наличие и размер вложения можно, анализируя
динамику изменения какого-либо параметра, например отношения количества регулярных, сингулярных и неиспользуемых групп после прямого и обратного флиппинга. К
тому же вместо анализа одной экспериментальной кривой мы получаем семейство кривых, что приводит к уточнению результата.
В данной статье предлагается модификация RS-VGS-метода, в основе которой,
помимо идеи распространения RS-метода на группы различного размера, лежит идея
использования дополнительного заполнения графических контейнеров, в дальнейшем
предложенную модификацию будем обозначать как RS-VGS&AE (Variable Group Size
& Additional Embedding).
Математическая модель данного метода аналогична приведённой выше модели
RS-VGS-метода, но вместо параметра Rg,s мы используем параметр Rgd,s — это Rg,s для
файла с предварительным заполнением на d% от максимально возможного.
Для совокупности изображений имеем
1 N
∀ g, s, d
M sd [ Rgd, s ] = ∑ Rgd,s ( filei ) ,
N i=1
∀ g, s, d
σ sd [ Rgd,s ] =
∑ (R
N
i =1
d
g ,s
( filei ) − M sd [ Rgd, s ])
где N — количество файлов изображений,
2
,
— идентификатор файла.
Варьируя значения s и d, получаем трасологическую статистику любой стеганографической программы в виде семейства кривых (для сравнения, RS-анализ дает точку, RS-VGS — кривую).
Теперь атака на стеганографический контейнер с известным алгоритмом [1], сводитd
ся к получению массива значений Rg для анализируемого файла и сравнению с трасолоd
d
гической статистистикой M s [ Rg ,s ] с выбором размера вложения по минимуму отклонения.
Трасологический анализ стеганографической программы StegoMagic
Стеганографический пакет StegoMagic представляет собой небольшую программу, предназначенную для скрытия информации в контейнерах формата BMP (24 и 8
бит), WAV и ТХТ. Текущая версия 1.0 разработана в 2004 году группой индийских
программистов (К. Вивек и др.).
Программа имеет графический интерфейс и предназначена для выполнения под
управлением ОС Windows. В одном контейнере может быть скрыто текстовое сообщение или выбранный файл с данными. Секретная информация перед помещением в контейнер шифруется при помощи алгоритма DES, ключ шифрования определяется из
вводимого пользователем пароля.
Данные заносятся в контейнер последовательно. При добавлении информации в
изображения формата 24-бит BMP используется только последний младший бит контейнера, таким образом емкость контейнера составляет около 12,5% от размера файлаконтейнера. Оставшееся после включения секретной информации свободное пространство не заполняется случайными данными.
StegoMagic использует только стандартные библиотеки WinAPI: ntdll.dll,
kernel32.dll, KernelBase.dll, winmm.dll, msvcrt.dll, user32.dll, gdi32.dll, lpk.dll, usp10.dll и
другие, среди подключаемых библиотек нет библиотек для шифрования, т.е. программа
использует свою реализацию алгоритма для шифрования вложения алгоритмом DES.
В качестве материала для накопления трасологической статистики были выбраны фотографии с трёх различных фотоаппаратов Canon PowerShot A510, Canon
DIGITAL IXUS 950 IS и Canon PowerShot S3 IS формата JPEG c разрешениями
2048×1536, 3264×2448, 2816×2112 пикселей, соответственно. При этом с каждого фотоаппарата были выбраны 3 группы фотографий: пейзаж, группа людей, человек.
Для подготовки стегоконтейнеров все файлы были преобразованы в формат
BMР (24-bit) с разрешением 800×600 пикселей. Проверка результатов rs-анализа пустых контейнеров с помощью критерия Манна-Уитни-Вилкоксона [6] показала однородность выборок из каждой группы, поэтому далее все группы были объединены.
Вложения было решено представить в виде архивов WinRar с максимальным
сжатием, и при этом каждый файл вложения составил 0—100% от ёмкости контейнера
с шагом 10%. В целях ускорения процесса стегановложения использовалcя AutoIt —
среда и язык автоматизации выполнения задач в Microsoft Windows. Для расчета значений Rgd,s была использована программа BMP UnStego [8].
В результате эксперимента получены зависимости математического ожидания
отношения количества регулярных групп после прямого флиппинга к количеству регулярных групп после обратного флиппинга при различных уровнях предварительного
вложения s= {0, 10, 20, …,100}.
На рис. 1—4 по оси абсцисс отложено количество пикселей в группе (шкала log2
x), по оси ординат – M sd [ Rgd,s ] , легенда показывает размер дополнительных вложений d
в процентах от максимально возможного.
Рис. 1. Трасологическая статистика StegoMagic при s = 0
Рис. 2. Трасологическая статистика при s = 20
Рис. 3. Трасологическая статистика StegoMagic при s = 50
Рис. 4. Трасологическая статистика StegoMagic при s = 80
Анализируя приведённые выше семейства характеристик, делаем вывод о том,
что суммарное значение предварительных и дополнительных вложений заполненного
контейнера рознятся в зависимости от размеров первоначального и последующего заполнения. К примеру, кривые 90 на рис.1, 70 на рис.2, 40 на рис.3, 10 на рис. 4. сущест-
венно различаются, хотя соответствуют одному и тому же суммарному размеру вложения 90% от максимально возможного. При нулевом размере предварительного вложения графики аналогичны RS-VGS, при 100% все кривые совпадают.
Заключение
d
Определение размера производилось сличением семейства кривых Rg ,s для разных s с трасологической статистикой путем выбора кривой с минимальным значением
среднеквадратичного отклонения от Rgd исследуемого файла:
F0 = arg min
S
∑∑ (R
d
d
g
( file) − M sd [ Rgd,s ]) .
2
g
Поскольку значения трасологической статистики следуют с шагом 10%, то в
случае значительного отклонения экспериментальной кривой от статистической необходимо выбрать еще одну:
F1 = arg min
S ∈S / {F0 }
∑∑ (R
d
d
g
( file) − M sd [ Rgd,s ]) ,
2
g
тогда результат будет находиться в интервале (F0 , F1 ).
Для эксперимента по определению размера вложения, сделанного программой
Stegomagic, было использовано 50 файлов формата BMP размером 800x600 пикселей,
содержащих фотореалистические изображения. В большинство файлов случайным образом были встроены вложения размером от 10% до 100% от максимально возможного
размера заполнения, несколько файлов остались без изменений. Относительная погрешность составила: RS – 0.0442, RS-VGS – 0.0176, RS-VGS&AE – 0.0163, что подтверждает уточнение результатов RS-VGS с помощью дополнительных вложений. Таким образом, RS-VG&AE является адаптацией метода RS-стеганоанализа к задаче стеганоанализа изображений на основании известного стеганоалгоритма и расширяет возможности стеганоаналитической экспертизы [4].
ЛИТЕРАТУРА
1. Стеганография, цифровые водяные знаки и стеганоанализ /А.В. Аграновский
[и др.]. — М.: Вузовская книга, 2009. — 220 с.
2. J. Fridrich, R. Du, and L. Meng, "Steganalysis of LSB Encoding in Color Images",
ICME 2000, New York City, July 31, August 2, New York.
3. J. Friedrich, G. Miroslav, R. Du. Reliable Detection of LSB Steganography in Color
and Grayscale Images. Binghampton, New York: SUNY, 2001.
4. Солодуха Р.А. Стеганоанализ как подвид информационно-компьютерной экспертизы // Обеспечение общественной безопасности в ЦФО РФ: материалы Международной научно-практической конференции. — Воронеж: Воронежский институт МВД
России, 2007. — Ч.4. — С.221—223.
5. Копылов А.Н., Солодуха Р.А., Перминов Г.В. Определение объема репрезентативной выборки в целях получения трасологической статистики стеганографических
программ // Охрана, безопасность, связь — 2011: материалы Всероссийской научнопрактической конференции. — Воронеж: Воронежский институт МВД России, 2012. —
Ч.2. — С.138—140.
6. Кобзарь А.И. Прикладная математическая статистика. Для инженеров и научных работников. — М.:ФИЗМАТЛИТ, 2006. — 816 с.
7. Солодуха Р.А., Атласов И.В. Усовершенствование метода RS-стеганоанализа
применением его к группам пикселей различного размера // Вестник Воронежского института МВД России. — 2012. —№2. — C.53—59.
8. Меренков А.С., Солодуха Р.А. BMP UnStego — стегоанализатор формата
BMP // Программное средство, ФГНУ «Центр информационных технологий и систем
органов исполнительной власти, №50201150862 от 22.06.2011 г.
REFERENCES
1. A.V. Agranovskiy i dr. Steganografiya, tsifrovyie vodyanyie znaki i steganoanaliz. –
M.: Vuzovskaya kniga, 2009. – 220 s.
2. J. Fridrich, R. Du, and L. Meng, "Steganalysis of LSB Encoding in Color Images",
ICME 2000, New York City, July 31–August 2, New York.
3. J. Friedrich, G. Miroslav, R. Du. Reliable Detection of LSB Steganography in Color
and Grayscale Images. Binghampton, New York: SUNY, 2001.
4. Soloduha R.A. Steganoanaliz kak podvid informatsionno-kompyuternoy ekspertizyi /
Obespechenie obschestvennoy bezopasnosti v TsFO RF: materialyi Mezhdunarodnoy nauchno-prakticheskoy konferentsii. Voronezh: Voronezhskiy institut MVD Rossii, 2007. – Ch.4. –
S.221-223.
5. Kopyilov A.N., Soloduha R.A., Perminov G.V. Opredelenie ob'ema reprezentativnoy
vyiborki v tselyah polucheniya trasologicheskoy statistiki steganograficheskih programm /
Ohrana, bezopasnost, svyaz - 2011: materialyi Vserossiyskoy nauchno-prakticheskoy konferentsii. – Voronezh: Voronezhskiy institut MVD Rossii, 2012. – Ch.2. – S.138-140.
6. Kobzar A.I. Prikladnaya matematicheskaya statistika. Dlya inzhenerov i nauchnyih
rabotnikov. – M.:FIZMATLIT, 2006. – 816 s.
7. Soloduha R.A., Atlasov I.V. Usovershenstvovanie metoda RS-steganoanaliza primeneniem ego k gruppam pikseley razlichnogo razmera // Vestnik Voronezhskogo instituta
MVD Rossii. Voronezh. - 2012. - № 2. – C.53-59.
8. Merenkov A.S., Soloduha R.A. BMP UnStego - stegoanalizator formata BMP // Programmnoe sredstvo, FGNU «Tsentr informatsionnyih tehnologiy i sistem organov ispolnitelnoy vlasti, № 50201150862 ot 22.06.2011 g.
1/--страниц
Пожаловаться на содержимое документа