CC BY
82
Р.А. Солодуха,
кандидат технических наук, доцент
КОНЦЕПЦИЯ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ СТЕГАНОАНАЛИТИЧЕСКОЙ СИСТЕМЫ
THE CONCEPT OF STEGANALYSIS SYSTEM INFORMATION
PROVISION
Статья посвящена концептуальному проектированию информационной подсистемы стеганоаналитической системы. Приводится обобщенная схема стеганоана-литической системы, логическая структура с учетом автоматизации трасологиче-ских данных. Описана классификация в контексте построения реляционной модели данных.
The article is devoted to the conceptual design of an information subsystem of ste-ganalysis system. The generalized scheme of steganalysis system and the logical structure of trace evidence data automation are presented. The classification from point of view a relational data model is described.
Введение. Развитие средств компьютерной стеганографии в цифровых контейнерах и появление программных продуктов, реализующих стеганографические методы сокрытия информации, не могло не привести к возрастанию интереса к методам и средствам обнаружения скрытой информации, при этом проблема обеспечения экспертных подразделений стеганоаналитической системой не решена. Несмотря на существование значительного количества стеганоаналитических методов, область их работоспособности существенно ограничена, результаты противоречивы, отсутствует унифицированный подход к оценке достоверности методов [1]. Таким образом, существует задача систематизации наработок в области стеганоанализа с конечным результатом в виде стеганоаналитической системы (САС) обеспечения экспертной деятельности.
Постановка задачи. Аналитические возможности информационных систем, относящихся к классу систем поддержки принятия решений, ориентированы на выполнение таких задач, как ведение отчетности, анализ данных в режиме реального времени и интеллектуальный анализ данных. Условно весь класс систем поддержки принятия решений можно подразделить на два основных вида: исполнительные информационные системы (Execution Information System, EIS) и системы поддержки принятия решений
(Decision Support System, DSS). Исполнительные информационные системы, создающие управленческие отчеты, ориентированы главным образом на обработку данных (поиск, сортировку, агрегирование, фильтрацию). Эти системы рассчитаны на решение типовых задач некреативными пользователями, имеют упрощенный интерфейс, располагают базовым набором возможностей и фиксированными формами представления информации. Применительно к САС EIS позволяют провести сигнатурный анализ, выделить потенциальные контейнеры, осуществить поиск артефактов, применить стандартный набор статистических алгоритмов и т.п.
DSS ориентированы на квалифицированного эксперта, понимающего сущность технологии стеганоанализа и способного анализировать множество альтернативных решений, самостоятельно подготавливать исходные данные, оценивать работу алгоритмов сте-ганоанализа и классификаторов, подбирать оптимальный вектор признаков.
Такое деление систем на EIS и DSS не обязательно означает реализацию САС одного из типов. Они могут существовать параллельно, когда каждая из систем предоставляет свои функции определенной категории пользователей [2].
При рассмотрении стеганоаналитической системы необходимо предварительно обозначить цель и задачи функционирования системы. САС предназначена для поддержки принятия решения при проведении стеганоаналитической экспертизы, т.е. сопоставления объекта исследования (контейнера) определенному классу/классам (например, содержит/не содержит вложение, вложение сделано такой-то программой, размер вложения в диапазоне 500—550 кБ и т.п.).
Для достижения поставленной цели необходимо решить следующие задачи:
1. Разработать концепцию (технологию) сбора, хранения, обработки данных, обеспечения обновления баз знаний (стеганографических программ и алгоритмов, методов стеганоанализа, показателей эффективности).
2. Разработать систему классификации, включающую в себя подсистемы классификации: контейнеров, стегановложений, стеганографических программ (СГП) и алгоритмов (СГА), стеганоаналитических алгоритмов (САА).
3. Разработать подсистему формирования трасологических данных, т.е. статистически значимых характеристик, полученных путем применения СГА к контейнерам разных классов. Учитывая характер задачи, она должна быть автоматизирована.
4. Разработать алгоритмы оценки достоверности работы и критерии сравнения эффективности стеганоаналитических методов.
5. Подобрать адекватную математическую схему решения задачи классификации в пространстве эффективных для данного класса контейнеров методов.
6. Интегрировать программные модули в единую консоль управления.
7. Разработать механизм интерпретации результатов экспертизы.
8. Разработать методическое обеспечение процессов формирования трасологи-ческих данных, выбора САА, классификации, интерпретации.
9. Осуществить подбор аппаратно-программных комплексов системы управления базами данных (СУБД) и системы хранения данных (СХД).
Информационная подсистема стеганоаналитической системы. Структуру любой информационной системы составляет совокупность отдельных ее частей, называемых подсистемами. Общую структуру информационной системы можно рассматривать как совокупность подсистем независимо от сферы применения. В этом случае говорят о структурном признаке классификации, а подсистемы называют обеспечивающими. Таким образом, структура любой информационной системы может быть пред-
ставлена совокупностью обеспечивающих подсистем. Среди обеспечивающих подсистем обычно выделяют информационное, техническое, математическое, программное, организационное и правовое обеспечение.
Имманентной подсистемой любой информационной системы является подсистема информационного обеспечения. Назначение подсистемы информационного обеспечения состоит в своевременной выдаче достоверной информации для принятия управленческих решений.
Информационное обеспечение — совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в информационной системе при ее функционировании [3].
Схемы информационных потоков отражают маршруты движения информации и ее объемы, места возникновения первичной информации и использования результатной информации.
Необходимость решения информационно-аналитических задач на каждом уровне движения данных в САС приводит к образованию нескольких информационных слоев (рис. 1). Первым слоем является подсистема формирования трасологических данных (ПФТД). Данный слой целесообразно организовать на базе OLTP-систем (OLTP, On-Line Transactional Processing — системы оперативной обработки данных). Они выступают источником данных, на которых строится второй слой (подсистема хранения трасологических данных — ПХТД) — хранилище данных (Data Warehouse). Хранилище данных представляет единую среду для хранения данных, в которой данные преобразованы и структурированы в виде, удобном для выполнения анализа.
Третий слой образуют средства аналитической обработки данных, в которые входят составными частями OLAP-система и система интеллектуального анализа данных (Data Mining) [2].
Контейнеры, новые методы САА, СГА
Рис.1. Схема информационных потоков в САС
OLAP-системы (On-Line Analytical Processing) представляют инструмент для анализа больших объемов данных в режиме реального времени. Data Mining позволяет проводить более глубокие исследования данных, основываясь на таких методах, как
158
классификация, регрессия, поиск ассоциативных правил и кластеризация. В контексте рассматриваемой задачи, например, OLAP может использоваться для предварительной обработки данных, редукции множества стеганоаналитических алгоритмов [5], а Data Mining для решения задачи классификации на финальном этапе стеганоанализа.
Система классификации в контексте реляционной структуры. Согласно [2] описание информационного обеспечения системы содержит следующие разделы: состав информационного обеспечения; организация информационного обеспечения; организация сбора и передачи информации; построение системы классификации и кодирования; организация внутримашинной информационной базы; организация внема-шинной информационной базы.
В контексте организации реляционной базы данных классификацию следует понимать как выбор конкретного значения атрибута. Для САС предполагается наличие следующих сущностей: стеганоконтейнер, стеганоалгоритм, стеганопрограмма, стега-ноаналитический алгоритм, стегановложение, классификатор.
Классифицировать стеганоконтейнер необходимо по типу/формату файла, размеру файла, размерам изображения, источнику получения, по морфологическим признакам, признакам освещенности, яркости, контрастности, количеству цветов, форме гистограмм цветовых каналов, зашумленности и т.п.
Стеганоалгоритм классифицируем по применимости к контейнерам по типу/формату файла, возможности сигнатурного стеганоанализа, пропускной способности, степени искажения контейнера, вычислительной сложности.
Стеганопрограмму классифицируем по применимости к контейнерам по типу/формату файла, операционной системе, интерфейсу, скорости работы, портабельно-сти, применяемым криптоалгоритмам, алгоритмам архивации.
Стеганоаналитический алгоритм классифицируем по применимости к контейнерам по типу/формату файла, по анализируемой области контейнера, достоверности определения вложения при различных объемах вложения на классах изображений, вычислительной сложности.
Стегановложение классифицируем по размеру, типу/формату файла, сжимаемости стеганопрограммами.
Классификатор разделим по вычислительной сложности, достоверности определения вложения при различных объемах вложения на классах изображений при различных комбинациях стеганопрограмм и стеганоаналитических алгоритмов.
Поскольку определяющим фактором для стеганоанализа является формат исходного файла, в зависимости от которого привлекаются конкретные СГА и формируется вектор признаков, целесообразно разбиение базы данных на сегменты по количеству принимаемых к анализу форматов файлов.
Модель оценки эффективности САА предполагает нахождение исходных данных в кортеже Source=(DS, DP, V), где DS — 4-мерная матрица трасологических данных по определению размера вложения DS= \lsks'cpj, DP — 4-мерная матрица трасологических данных определения стеганографического алгоритма (программы)
трастностьхколичество цветовхразмерхисточник), se[0, 100] — процент стегано-вложения от максимально возможного, pe[1, P], P — количество стеганопрограмм (алгоритмов), с е[1, Ck], Ck — количество контейнеров для ^класса.
Автоматизация получения трасологических данных. В рамках функционирования САС неотъемлемой задачей является автоматизация процессов получения трасологических данных (ТД). Концептуальная схема решения этой задачи приведена на рис. 2. Программно-аппаратный комплекс состоит из трех модулей, СУБД и СХД.
ke[1, K], K — количество классов изображений (К=яркостьхкон-
Модуль поиска потенциальных контейнеров (МППК) представляет собой поис-ково-анализирующий скрипт, позволяющий производить загрузку файлов-изображений, удовлетворяющих требуемым параметрам из интернет-ресурсов на СХД.
Модуль автоматизации заполнения контейнеров (МАЗК) представляет собой консоль управления работой набора скриптов (например, на АШюЙ), создающих эффект присутствия пользователя при работе со стеганографической программой [5, 6]. На входе модуля множество пустых контейнеров, на выходе — множество заполненных с определенными уровнями вложения.
Модуль вычисления трасологических характеристик (МВТХ) реализует применение стеганоаналитических алгоритмов к наборам контейнеров, записывая результат в базу данных.
Каждый модуль является клиентом СУБД и размещает в базе данных свою информацию. МППК — имя файла, размер, тип, необходимые метаданные файла, МАЗК — имя файла, размеры вложений, имя стеганопрограммы, МВТХ — рассчитанные тра-сологические характеристики и характеристики изображения.
Таким образом, вышеописанное представляет концептуальную модель информационной подсистемы САС: схему информацио нных потоков, сущности реляционной модели данных, классификацию объектов, подходы к выбору аппаратных и программных средств.
ЛИТЕРАТУРА
1. Солодуха Р. А. Концепция оптимизации состава стеганоаналитического программного комплекса / Международная научно-практическая конференция «Охрана, безопасность, связь — 2013» : сборник материалов. — Воронеж : Воронежский институт МВД России, 2014. — С. 236—240.
2. Анализ данных и процессов / А.А. Барсегян [и др.]. — СПб. : БХВ— Петербург, 2009. — 512 с.
3. РД 50-34.698-90. Автоматизированные системы. Требования к содержанию документов.
4. Солодуха Р. А. Об эффективности использования некоторых классификаторов на заключительном этапе стеганоанализа // Вестник Воронежского института МВД России. — 2015. — № 3. — С. 95—103.
5. Атласов И. В., Солодуха Р. А. Математическая модель оценки коррелирован-ности работы стеганоаналитических алгоритмов с учетом вычислительной сложности // Системы управления и информационные технологии. — 2016. — Т. 63. — № 1. — С. 4—8.
6. Атласов И. В., Солодуха Р. А. Проверка коррелированности работы стегано-аналитических алгоритмов с помощью критерия хи-квадрат // Вестник Воронежского института МВД России. — 2014. — № 2. — С. 139—145.
REFERENCES
1. Soloduha R. A. Kontseptsiya optimizatsii sostava steganoanaliticheskogo pro-grammnogo kompleksa / Mejdunarodnaya nauchno-prakticheskaya konferentsiya «Ohrana, bezopasnost, svyaz — 2013» : sbornik materialov. — Voronej : Voronezhskiy institut MVD Rossii, 2014. — S. 236—240.
2. Analiz dannyih i protsessov / A.A. Barsegyan [i dr.]. — SPb. : BHV—Peterburg, 2009. — 512 s.
3. RD 50-34.698-90. Avtomatizirovannyie sistemyi. Trebovaniya k soderjaniyu doku-mentov.
4. Soloduha R. A. Ob effektivnosti ispolzovaniya nekotoryih klassifikatorov na zaklyuchitelnom etape steganoanaliza // Vestnik Voronezhskogo instituta MVD Rossii. — 2015. — № 3. — S. 95—103.
5. Atlasov I. V., Soloduha R. A. Matematicheskaya model otsenki korrelirovannosti rabotyi steganoanaliticheskih algoritmov s uchetom vyichislitelnoy slojnosti // Sistemyi up-ravleniya i informatsionnyie tehnologii. — 2016. — T. 63. — № 1. — S. 4—8.
6. Atlasov I. V., Soloduha R. A. Proverka korrelirovannosti rabotyi steganoanaliticheskih algoritmov s pomoschyu kriteriya hi-kvadrat // Vestnik Voronejskogo instituta MVD Rossii. — 2014. — № 2. — S. 139—145.
СВЕДЕНИЯ ОБ АВТОРАХ
Солодуха Роман Александрович. Доцент кафедры автоматизированных информационных систем ОВД. Кандидат технических наук, доцент.
Воронежский институт МВД России.
E-mail: solodukhara@vimvd.ru
Россия, 394065, г. Воронеж, проспект Патриотов, 53. Тел. (473) 2623-278.
Solodukha Roman Alexandrovich. Assistant Professor of the chair of Automated Information Systems of Interior Units. Candidate of Technical Sciences, Assistant Professor.
Voronezh Institute of the Ministry of Interior of Russia.
Work address: Russia, 394065, Voronezh, Prospect Patriotov, 53. Tel. (473) 200-51-84.
Ключевые слова: стеганография; стеганоанализ; автоматизация вложения; информационное обеспечение; классификация.
Key words: steganography; steganalysis; embedding automation; information provision; classification.
УДК 519.68
