CC BY
88
Р.А. Солодуха,
кандидат технических наук, доцент
ИСПОЛЬЗОВАНИЕ ДОПОЛНИТЕЛЬНОГО ЗАПОЛНЕНИЯ ГРАФИЧЕСКИХ КОНТЕЙНЕРОВ ДЛЯ УТОЧНЕНИЯ РЕЗУЛЬТАТОВ RS-VGS-СТЕГАНОАНАЛИЗА
ADDITIONAL EMBEDDING IN GRAPHIC STEGO-CONTAINER FOR RS-VGS - STEGANALYSIS RESULTS REFINEMENT
Предлагается усовершенствование метода стеганоанализа графических стега-ноконтейнеров RS-VGS, за счет использования дополнительных вложений в предполагаемый стеганоконтейнер. Разработанная модификация метода дает более точные результаты определения размера стегановложения, особенно при атаке на базе известного стеганографического алгоритма.
The enhancement of the RS-VGS-steganalysis method for graphic cover messages is offered. It is based on additional embedding in the suspicious file. The modification gives more accurate results for determining the steganographic content size, especially in case of the attack on the basis of known steganographic algorithm.
Введение
Одним из оригинальных методов статистического стеганоанализа является метод RS [1—3], впервые опубликованный в 2001 г. коллективом ученых под руководством J. Friedrich. Сокращение в названии расшифровывается как Regular-Singular, то есть «регулярно-сингулярный».
Суть метода состоит в следующем. Все изображение разбивается на группы по n пикселей G(xj,x2,...,x„), где n четно, например по 2 пикселя, находящихся рядом по горизонтали. Для группы пикселей определяется функция регулярности или «гладкости» f(G), в качестве такой функции можно выбрать, например, дисперсию значений внутри группы, либо просто сумму перепадов значений смежных пикселей. Под значением пикселя понимаем целое число от 0 до 255.
Функция F(x) называется флиппингом и имеет свойство F(F(x)) = x. Определяют две функции флиппинга — F1, соответствует инверсии младшего бита пикселя, и F-1, представляющая собой инверсию с переносом в старший бит (прибавление единицы).
При применении флиппинга к группе получают преобразованную группу пикселей. Далее делят все группы пикселей на классы следующим образом:
- регулярные группы: G е R □ f(F(G)) >f(G);
- сингулярные группы: G е S □ f(F(G)) <f(G);
- неиспользуемые группы: G е U □ f(F(G)) = f(G).
В дальнейшем исследуется соотношение между группами в изображении. Определяется количество групп попавших в тот или иной класс как RM, SM, UM и R_M, S-M, U-м, где индексы M и -М означают соответственно применение F1 и F-1 для получения распределения. Метод основывается на статистическом предположении, что для естественного изображения, другими словами, незаполненного контейнера, характерно
следующее: Rm = R-m и Sm = S-m .
Предположение основано на том, что применение F-1 даст то же распределение, что и F1 на изображении, значения пикселей которого сдвинуты на единицу. Для пусто-
го контейнера соотношение между группами не должно существенно меняться. Значительное расхождение между значениями свидетельствует о применении LSB-стеганографии. RS-стеганоанализ реагирует на естественный шум в изображениях, ограничивающий теоретически возможную точность определения длины сообщения.
В [7] предлагается модификация метода RS-стеганоанализа, в основе которой лежит идея распространения данного метода на группы различного размера, под названием RS-VGS (Variable Group Size). Анализируемым параметром является последовательность отношений регулярных групп после прямого и обратного флиппинга. С учетом того, что количество неиспользуемых групп для файлов 600х800 не превышает десяти, при общем числе групп 240 тысяч, а также соотношения R+S+U=const, можно отказаться от рассмотрения S-групп, ограничившись анализом R-групп.
Обозначается: s — размер вложения в процентном соотношении к размеру контейнера, тогда Rgs — это Rg для файла с вложением размера s % от максимально возможного, g — размер группы; Rgs — среднее значениеRgs для трех цветовых каналов.
Для совокупности изображений определяется среднее по выборке M[Rgs] и среднеквадратичное отклонение o[R]. При количестве файлов и дисперсии, обеспечивающих репрезентативность выборки [5] значения M[Rgs] представляют собой статистику работы стеганографического алгоритма. В контексте криминалистической терминологии это называется трасологической статистикой стеганографического алгоритма (программы). Атака на стеганографический контейнер с известным алгоритмом [1], сводится к получению массива значений Rg для анализируемого файла и сравнения с трасологической статистистикой.
Трасологическая статистика дополнительно заполненных контейнеров
Дополнительно заполненные контейнеры — это контейнеры, в которых производилось внедрение вложений несколько раз. Статистические характеристики контейнеров неаддитивны, поэтому уточнить наличие и размер вложения можно, анализируя динамику изменения какого-либо параметра, например отношения количества регулярных, сингулярных и неиспользуемых групп после прямого и обратного флиппинга. К тому же вместо анализа одной экспериментальной кривой мы получаем семейство кривых, что приводит к уточнению результата.
В данной статье предлагается модификация RS-VGS-метода, в основе которой, помимо идеи распространения RS-метода на группы различного размера, лежит идея использования дополнительного заполнения графических контейнеров, в дальнейшем предложенную модификацию будем обозначать как RS-VGS&AE (Variable Group Size & Additional Embedding).
Математическая модель данного метода аналогична приведённой выше модели RS-VGS-метода, но вместо параметра Rgs мы используем параметр Rdgs — это Rgs для файла с предварительным заполнением на d% от максимально возможного.
Для совокупности изображений имеем
где N — количество файлов изображений, file* — идентификатор файла.
Варьируя значения s и d, получаем трасологическую статистику любой стеганографической программы в виде семейства кривых (для сравнения, RS-анализ дает точку, RS-VGS — кривую).
Теперь атака на стеганографический контейнер с известным алгоритмом [1], сводится к получению массива значений Rgd для анализируемого файла и сравнению с трасологической статистистикой Mds [Rgfs] с выбором размера вложения по минимуму отклонения.
Трасологический анализ стеганографической программы StegoMagic
Стеганографический пакет StegoMagic представляет собой небольшую программу, предназначенную для скрытия информации в контейнерах формата BMP (24 и В бит), WAV и TXT. Текущая версия 1.G разработана в 2GG4 году группой индийских программистов (К. Вивек и др.).
Программа имеет графический интерфейс и предназначена для выполнения под управлением ОС Windows. В одном контейнере может быть скрыто текстовое сообщение или выбранный файл с данными. Секретная информация перед помещением в контейнер шифруется при помощи алгоритма DES, ключ шифрования определяется из вводимого пользователем пароля.
Данные заносятся в контейнер последовательно. При добавлении информации в изображения формата 24-бит BMP используется только последний младший бит контейнера, таким образом емкость контейнера составляет около 12,5% от размера файла-контейнера. Оставшееся после включения секретной информации свободное пространство не заполняется случайными данными.
StegoMagic использует только стандартные библиотеки WinA?!! ntdll.dll, kernel32.dll, KernelBase.dll, winmm.dll, msvcrt.dll, user32.dll, gdi32.dll, lpk.dll, usp1G.dll и другие, среди подключаемых библиотек нет библиотек для шифрования, т.е. программа использует свою реализацию алгоритма для шифрования вложения алгоритмом DES.
В качестве материала для накопления трасологической статистики были выбраны фотографии с трёх различных фотоаппаратов Canon PowerShot A51G, Canon DIGITAL IXUS 95G IS и Canon PowerShot S3 IS формата JPEG c разрешениями 2G48x1536, 3264x2448, 2816x2112 пикселей, соответственно. При этом с каждого фотоаппарата были выбраны 3 группы фотографий і пейзаж, группа людей, человек.
Для подготовки стегоконтейнеров все файлы были преобразованы в формат BMР (24-bit) с разрешением 8GGx6GG пикселей. Проверка результатов rs-анализа пустых контейнеров с помощью критерия Манна-Уитни-Вилкоксона [б] показала однородность выборок из каждой группы, поэтому далее все группы были объединены.
Вложения было решено представить в виде архивов WinRar с максимальным сжатием, и при этом каждый файл вложения составил G—1GG% от ёмкости контейнера с шагом 1G%. В целях ускорения процесса стегановложения использовалcя AutoIt — среда и язык автоматизации выполнения задач в Microsoft Windows. Для расчета значений Rdgs была использована программа BMP UnStego [В].
В результате эксперимента получены зависимости математического ожидания отношения количества регулярных групп после прямого флиппинга к количеству регулярных групп после обратного флиппинга при различных уровнях предварительного вложения s= {G, 1G, 2G, ...,1GG}.
На рис. 1—4 по оси абсцисс отложено количество пикселей в группе (шкала log2
x), по оси ординат -Mds [Rgfs], легенда показывает размер дополнительных вложений d в процентах от максимально возможного.
Рис. 1. Трасологическая статистика StegoMagic при 8 = 0
105
45 -I-.-.-.-.-.-,-,-,-,-,-
123456789 10 11
Рис. 2. Трасологическая статистика при б = 20
45 Н-1-1-1-1-1-1-1-1-1-1-
1 23456789 10 11
Рис. 3. Трасологическая статистика StegoMagic при в = 50
Анализируя приведённые выше семейства характеристик, делаем вывод о том, что суммарное значение предварительных и дополнительных вложений заполненного контейнера рознятся в зависимости от размеров первоначального и последующего заполнения. К примеру, кривые 90 на рис.1, 70 на рис.2, 40 на рис.3, 10 на рис. 4. сущест-
венно различаются, хотя соответствуют одному и тому же суммарному размеру вложения 9G% от максимально возможного. При нулевом размере предварительного вложения графики аналогичны RS-VGS, при 1GG% все кривые совпадают.
Заключение
Определение размера производилось сличением семейства кривых Rgds для разных s с трасологической статистикой путем выбора кривой с минимальным значением среднеквадратичного отклонения от Rgd исследуемого файла і
F = argmin ІХЕ (R (f'le) - Md [R‘SJ, ])2 .
5 V d g
Поскольку значения трасологической статистики следуют с шагом 1G%, то в случае значительного отклонения экспериментальной кривой от статистической необходимо выбрать еще одну і
F = argmin IXZ(Rg(fi'e)-MdR,]f ,
/{fg^ d g
тогда результат будет находиться в интервале (FG, F1).
Для эксперимента по определению размера вложения, сделанного программой Stegomagic, было использовано 5G файлов формата BMP размером 800x600 пикселей, содержащих фотореалистические изображения. В большинство файлов случайным образом были встроены вложения размером от 10% до 100% от максимально возможного размера заполнения, несколько файлов остались без изменений. Относительная погрешность составила і RS - G.G442, RS-VGS - 0.0176, RS-VGS&AE - 0.0163, что подтверждает уточнение результатов RS-VGS с помощью дополнительных вложений. Таким образом, RS-VG&AE является адаптацией метода RS-стеганоанализа к задаче сте-ганоанализа изображений на основании известного стеганоалгоритма и расширяет возможности стеганоаналитической экспертизы [4].
ЛИТЕРАТУРА
1. Стеганография, цифровые водяные знаки и стеганоанализ /А.В. Аграновский [и др.]. — М. і Вузовская книга, 2GG9. — 22G с.
2. J. Fridrich, R. Du, and L. мєп^ "Steganalysis of LSB Encoding in Color Images", ICME 2GGG, New York City, July 31, August 2, New York.
3. J. Friedrich, G. Miroslav, R. Du. Reliable Detection of LSB Steganography in Color and Grayscale Images. Binghampton, New York SUNY, 2GG1.
4. Солодуха Р.А. Стеганоанализ как подвид информационно-компьютерной экспертизы // Обеспечение общественной безопасности в ЦФО РФ; материалы Международной научно-практической конференции. — Воронежі Воронежский институт МВД России, 2GG7. — Ч.4. — С.221—223.
5. Копылов А.Н., Солодуха Р.А., Перминов Г.В. Определение объема репрезентативной выборки в целях получения трасологической статистики стеганографических программ // Охрана, безопасность, связь — 2G111 материалы Всероссийской научнопрактической конференции. — Воронеж і Воронежский институт МВД России, 2G12. — Ч.2. — С.13В—14G.
6. Кобзарь А. И. Прикладная математическая статистика. Для инженеров и научных работников. — М. ФИЗМАТЛИТ, 2GG6. — 816 с.
7. Солодуха Р.А., Атласов И. В. Усовершенствование метода RS-стеганоанализа применением его к группам пикселей различного размера // Вестник Воронежского института МВД России. — 2G12. —№2. — C.53—59.
В. Меренков А.С., Солодуха Р.А. BMP UnStego — стегоанализатор формата BMP // Программное средство, ФГНУ «Центр информационных технологий и систем органов исполнительной власти, №50201150862 от 22.06.2011 г.
REFERENCES
1. A.V. Agranovskiy i dr. Steganografiya, tsifrovyie vodyanyie znaki i steganoanaliz. -м. і Vuzovskaya kniga, 2GG9. - 22G s.
2. J. Fridrich, R. Du, and L. Meng, "Steganalysis of LSB Encoding in Color Images", ICME 2GGG, New York City, July 31-August 2, New York.
3. J. Friedrich, G. Miroslav, R. Du. Reliable Detection of LSB Steganography in Color and Grayscale Images. Binghampton, New York SUNY, 2GG1.
4. Soloduha R.A. Steganoanaliz kak podvid informatsionno-kompyuternoy ekspertizyi / Obespechenie obschestvennoy bezopasnosti v TsFO RF: materialyi Mezhdunarodnoy nauch-no-prakticheskoy konferentsii. Voronezh: Voronezhskiy institut MVD Rossii, 2GG7. - Ch.4. -S.221-223.
5. Kopyilov A.N., Soloduha R.A., Perminov G.V. Opredelenie ob'ema reprezentativnoy vyiborki v tselyah polucheniya trasologicheskoy statistiki steganograficheskih programm / Ohrana, bezopasnost, svyaz - 2G11: materialyi Vserossiyskoy nauchno-prakticheskoy konferentsii. - Voronezh: Voronezhskiy institut MVD Rossii, 2G12. - Ch.2. - S.13B-14G.
6. Kobzar A.I. Prikladnaya matematicheskaya statistika. Dlya inzhenerov i nauchnyih rabotnikov. - м. :FIZMATLIT, 2GG6. - В16 s.
7. Soloduha R.A., Atlasov I.V. Usovershenstvovanie metoda RS-steganoanaliza prime-neniem ego k gruppam pikseley razlichnogo razmera // Vestnik Voronezhskogo instituta MVD Rossii. Voronezh. - 2G12. - № 2. - C.53-59.
В. Merenkov A.S., Soloduha R.A. BMP UnStego - stegoanalizator formata BMP // Pro-grammnoe sredstvo, FGNU «Tsentr informatsionnyih tehnologiy i sistem organov ispolnitel-noy vlasti, № 5G2G115GB62 ot 22.G6.2G 11 g.
