вторник, 22 мая 2012 г.

Стегоанализ: Автоматическогое выявление метода изменения регистра символов


Метод изменения регистра символов предполагает сокрытие нулевого бита сообщения путем установки строчного регистра символа файла-контейнера, а единичного – путем установки прописного регистра. Для сокрытия сообщения могут использоваться только буквенные символы файла-контейнера.
Для эффективного обнаружения предлагается следующий алгоритм:
пока (в файле есть слова){
емкость+=емкость(текущего слова)
если (слово не «нормальное»){
емкость скрытого+=емкость(текущего слова)
}


если(емкость>ЗАДАННАЯ_ЕМКОСТЬ){
если((ЕМКОСТЬ_СКРЫТОГО)/ЕМКОСТЬ>ЗАДАННОЕ_ОТНОШЕНИЕ){
сделать вывод, что имеется скрытое сообщение
завершение работы
}иначе {
обнулить емкость и емкость_скрытого
}
}
сделать вывод что в файле нет скрытого сообщения
завершение работы
Поясним данный алгоритм:
Под емкостью слова понимается количество букв в слове, деленное на 8, т.е. это число байт которые можно сокрыть в данном слове методом изменения регистра символов.
Слово считается «нормальным», если оно состоит только из строчных букв, или если оно состоит из строчных букв за исключением первой буквы, если оно состоит исключительно из ПРОПИСНЫХ букв.
Таким образом, как только отношение «подозрительных» слов превышает некоторый порог, считаем, что применялся метод изменения регистра символов.
Достоинством алгоритма выявления сстеганографии является то, что он обнаруживает факт применения стегоалгоритма, даже если сокрытие производится не с первых позиций в файле. Таким образом можно считать алгоритм  «потоковым», т.е. он может сигнализировать об «аномальности» данных, поступающих на его вход. Что в свою очередь означает, что алгоритм может быть использован для отсеивания подозрительных «данных».

Параметрами алгоритма являются ЗАДАННАЯ_ЕМКОСТЬ – т.е. какие (какого размера) порции данных проверяются на наличие сокрытой информации; и ЗАДАННОЕ_ОТНОШЕНИЕ – т.е. порог срабатывания детектора. Не смотря на то, что файл со скрытым сообщением выглядит крайне подозрительно для человеческого взгляда, это не гарантия того,что данный метод сокрытия не будет применен на практике. Тем более, что при интенсивных потоках данных проверка силами одного или нескольких человек не является эффективной.
Параметры алгоритма должны зависеть в первую очередь от класса к которому принадлежит контейнер. Для файлов содержащих обычный текст эти параметры можно выбрать следующим образом: ЗАДАННАЯ_ЕМКОСТЬ = 10, ЗАДАННОЕ_ОТНОШЕНИЕ = 3/10. Такие параметры ограничивают пропускную способность канала не более 7 байтами на файл. Обоснование выбора параметров сделано далее.
Заметим , что данный выбор параметров не является универсальным для всех видов контейнеров, например, при указанных выше параметрах, файл с исходным текстом программы на языке C# будет содержать скрытое сообщение с точки зрения алгоритма детектирования.

Комментариев нет:

Отправить комментарий