Russian Language English Language

13. Методы и средства информационной безопасности ВС

13.1 КЛАССИФИКАЦИЯ И СРАВНЕНИЕ СТЕГАНОГРАФИЧЕСКИХ МЕТОДОВ.

13.2 СТЕГАНОГРАФИЧЕСКИЙ АНАЛИЗ ТЕКСТОВЫХ ФАЙЛОВ-КОНТЕЙНЕРОВ ПРИ РАБОТЕ В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ.

13.3 НОВЫЙ СКАНЕР БЕЗОПАСНОСТИ СИСТЕМНОГО УРОВНЯ ДЛЯ КОМПЬЮТЕРНЫХ СИСТЕМ НА ОСНОВЕ ЗАЩИЩЕННЫХ ВЕРСИЙ ОС WINDOWS.

13.4 ИСПОЛЬЗОВАНИЕ СЕРТИФИКАТОВ ОТКРЫТЫХ КЛЮЧЕЙ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ .

Экспресс информация

Редколлегия журнала

Подписка на новости

Гостевая книга

Предоставление материалов

Письмо в редакцию

На начало

2006, Номер 2 ( 9)


Place for sale
BC/NW 2006, №2, (9) :13

BC/NW 2006, №2, (9) :13.2

 

СТЕГАНОГРАФИЧЕСКИЙ АНАЛИЗ ТЕКСТОВЫХ ФАЙЛОВ-КОНТЕЙНЕРОВ ПРИ РАБОТЕ В ВЫЧИСЛИТЕЛЬНЫХ СЕТЯХ

 

Колошеин Ю. А.

 

(Москва, Московский Энергетический Институт (Технический Университет), Россия)

 

На протяжении всей своей истории человечество защищало свои секреты, однако применяемые комплексы административно-технических мер, направленных на обеспечение требуемого уровня, не всегда могли противостоять новым видам атак, например, стеганографическим атакам, использующим в качестве контейнера текстовый файл. Стеганография – новейшая область [1] computer science, занимающаяся вопросами защиты информации. Настоящий доклад посвящен вопросам стеганографического анализа текстовых файлов-контейнеров, а именно – обнаружения факта наличия в контейнере встроенной информации.

 

Анализируя текстовые файлы-контейнеры, заполненные с помощью программных продуктов, приведенных в [2, 3], заметим наличие во многих контейнерах так называемых маркеров наличия в контейнере секретного сообщения; обычно такой маркер занимает 1 байт (в качестве примера можно привести FFENCODE, Secure Engine 4.0). Заметим, что часть этих маркеров может «выбиваться» из общего текста-контейнера, например, не алфавитно-цифровые символы кодировки ANSI/ASCII.

В этом случае анализ сильно упрощается, так как наличие такого маркера позволяет однозначно установить факт передачи информации (вернее то, что в анализируемый контейнер встроена информация – в данном контексте это одно и тоже).

Гораздо сложнее дело обстоит в случае, если стеганографический алгоритм, с помощью которого в текстовый контейнер была встроена информация, относится к классу вычислительно стойких стегоалгоритмов [4]. Как обнаружить факт наличия встроенной информации именно в таком контейнере?

В рамках проведенных исследований было выделено два класса текстов-контейнеров: техническая литература, художественная литература.

В основу исследований была положена идея построения образа идеального пустого контейнера, сравнивая с которым любой отдельно взятый контейнер можно судить о наличии либо отсутствии информации в последнем с определенной вероятностью. Необходимо выбрать параметры, наиболее информативные для данного конкретного случая.

В ходе анализа пустого и заполненного контейнеров были выявлены следующие особенности (вытекают из алгоритма встраивания [4]):

1.     размеры пустого и заполненного контейнеров совпадают;

2.     длина строки (текст моноширинный!) пустого и заполненного контейнеров совпадают;

3.     количество пробелов (именно с их помощью в текст-контейнер встраивается информация) пустого и заполненного контейнеров совпадают.

В результате сравнительного анализа статистических характеристик пустого и заполненного контейнеров был выявлен наиболее удобный с точки зрения стеганографического анализа текста-контейнера параметр – средняя длина интервала.

Пусть  – количество средних длин интервалов для контейнера Т.

 = max(Ij), где Ij – количество интервалов в j-ой строке контейнера Т, jÎ[1, n], n – число строк в Т.

Пусть - длина i-й средней длины интервала.

, где li – длина i-го интервала, iÎ[1, NСДИ]

Примечание. Исследования показали, что средняя длина интервала при встраивании информации в контейнер меняется более сильно, чем другие параметры, следовательно, средняя длина интервала более информативна.

На основе средних длин интервалов был построен образ пустого контейнера. В связи с тем, что для построения идеального или близкого к идеальному образа пустого контейнера необходим анализ очень большого количества достаточно больших по объему текстов, были введены верхняя и нижняя граница образа пустого контейнера, в качестве которых были взяты минимальные и максимальные значения параметров.

Заметим, что для каждого класса текстов-контейнеров образ пустого контейнера будет свой, то есть в общем случае образы пустых контейнеров для разных классов тестов могут сильно отличаться. Это утверждение подтверждается экспериментом.

В таблице 1 приведены образы, в которые с помощью авторского программного обеспечения была встроена информация. Совокупность средних длин интервалов и образ контейнера в данном контексте одно и тоже.

 

Таблица 1. Образ заполненного контейнера (научно-технический текст)

 

Контей-нер

Всего
интервалов

Удельная длина интервала

1

2

3

4

5

6

7

8

9

1

File1.txt

518

2,25

2,27

2

1,75

1,75

1,5

1,5

1,2

1

2

File2.txt

782

2,25

2,27

2,1

1,72

1,76

1,5

1,5

1,2

1,1

3

File3.txt

644

2,23

2,29

2,2

1,73

1,78

1,3

1,7

1,1

1,1

4

File4.txt

1123

2,27

2,25

1,9

1,76

1,74

1,6

1,4

1,1

0,9

5

File5.txt

347

2,24

2,28

2,1

1,74

1,74

1,6

1,4

1,2

1,0

6

File6.txt

654

2,27

2,25

2

1,75

1,77

1,5

1,5

1,1

0,8

7

File7.txt

519

2,28

2,24

2

1,76

1,74

1,4

1,3

1,1

0,9

 

Обнаружение встроенной в контейнер информации основано на сравнении образа пустого и заполненного контейнеров. Если образы сильно отличаются, то с определенной вероятностью считаем, что данный контейнер содержит в себе встроенную информацию. Если образы отличаются незначительно, считаем контейнер (также с определенной вероятностью). Для наглядности построим гистограмму образа пустого контейнера, и на этой же гистограмме отобразим образ заполненного контейнера (file1.txt). Гистограммы приведены на рис. 1 (красным цветом изображен образ пустого «идеального» контейнера, а зеленым – образ анализируемого заполненного контейнера).

Заметим, что если контейнер заполнен не полностью, обнаружить встроенную в контейнер информацию сложнее, так как образы в общем случае будут отличаться слабее, чем в случае полного заполнения контейнера.

 

Рисунок 1 – гистограммы образов пустого идеального и заполненного контейнеров

 

В результате проведенной работы были выявлены характеристики контейнера, анализируя которые, можно качественно ответить на вопрос: содержит анализируемый контейнер встроенную информацию или нет? В ходе дальнейшей работы, возможно, удастся получить количественные оценки вероятностей обнаружения информации в контейнере (вероятность обнаружения информации при условии, что она там действительно есть, при условии, что ее там нет; вероятность необнаружения информации при условии, что ее там нет, а также при условии, что она там есть). Возможно, удастся выявить порог обнаружения, т.е. количество информации, которое нельзя обнаружить для стеганографического метода [4].

ЛИТЕРАТУРА

1.     Грибунин В.Г., Оков И.Н., Туринцев И.В. Цифровая стеганография. – М.: СОЛОН-Пресс, 2002. – 272 с.

2.     Мельников Ю.Н., Колошеин Ю.А. Возможности сокрытия банковской информации в текстовых файлах. // Банковские технологии. – 2003. – №11. – С. 35-37.

3.     Мельников Ю.Н., Колошеин Ю.А. Возможности сокрытия банковской информации в текстовых файлах. // Банковские технологии. – 2003. – №12. – С. 40-44.

4.     Колошеин Ю.А. Разработка алгоритма стеганографического сокрытия защищаемой информации в текстовом файле. Труды IX Международной научно-практической конференции "Стратегия развития пищевой промышленности". Выпуск 8 (т. II), Москва,
13-14 мая 2003 г.