четверг, 31 мая 2012 г.

IT безопасность: выявление метода изменения порядка следования маркеров конца строки


Метод изменения порядка следования маркеров конца строки CR/LF использует индифферентность подавляющего большинства средств отображения текстовой информации к порядку следования символов перевода строки (CR) и возврата каретки (LF), ограничивающих строку текста. При сокрытии нулевого бита сообщения традиционный порядок следования CR/LF не изменяется. При сокрытии 1 изменяется на LF/CR.
         В целях обеспечения it безопасности и отсутствия утечек информацими с использованием этого метода стеганографии можно предложить алгоритм, основанный на оценке частоты встречаемости аномальных блоков CR/LF. Для эффективного обнаружения скрытого канала передачи данных в текстовом формате предлагается следующий алгоритм: 

         пока (в файле есть строки){
                   считать очередную строку
                   если(CR перед LF)
         число_нулей+=1
иначе если (CR после LF)
число_единиц+=1
                   если(min(число_нулей,число_единиц)>ЗАДАННАЯ_ВЕЛИЧИНА){
                            сделать вывод, что имеется скрытое сообщение
} иначе {
                            сделать вывод что в файле нет скрытого сообщения
                   }
         }
         завершение работы
        
Поясним алгоритм для выявления данного метода цифровой стеганографии:
Так как при сокрытии порядок следования маркеров конца строки кодирует бит скрываемого сообщения, то при детектировании подсчитывается число бит, равных 1 и 0. Идея алгоритма состоит в том, что для передачи существенного обьема информации невозможно пользоваться только единичным или нулевым битом, т.е. как только предполагаемое число сокрытых  битов превысит ЗАДАННУЮ_ВЕЛИЧИНУ , происходит срабатывание детектора.
Параметром алгоритма является  ЗАДАННАЯ_ВЕЛИЧИНА – ее значения выбирается исходя из требований, предьявляемых к детектору.  
Для файлов содержащих обычный текст значение параметра выберем следующим образом: ЗАДАННАЯ_ВЕЛИЧИНА =3. Выбор параметра ограничивает пропускную способность канала не более 3 байтами на файл. 

2 комментария:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
    Ответы
    1. да, захотелось чего то свеженького) Шаблон оформления вот поменял для разнообразия

      Удалить