Информационная безопасность – не только востребованная отрасль в мире информационных технологий, но и быстроразвивающаяся. Борьба с вредоносным программным обеспечением, скрытой передачей данных, шифрованием, криптографией и многими другими средствами её нарушения. Данная работа посвящена поиску и уничтожению скрытой информации, передаваемой путём внедрения данных в цифровые изображения. Передача данных путём внедрения передаваемых данных в «Подставные данные» называется стеганографией [1] и широко и почти незаметно применяется во всём мире. Исследованию RS-метода стегоанализа [2] для многопоточной проверки изображений, посвящена данная статья.
Несмотря на существование антивирусного программного обеспечения стеганография по нескольким, но значительным причинам, таким как трудоемкость, медленная скорость распознавания данных, погрешность результатов, неэффективность методов стегоанализа при анализе всех стеганографических алгоритмов и требование значительного количества вычислительных ресурсов, остаётся вне поля его деятельности, конечно стоит отметить, что вредоносное ПО и стеганография, также бывают неразрывно связаны, однако для распознавания конкретно вредоносного ПО, скрытого в файлах антивирусы используют другие методы, не связанные со стегоанализом. Вредоносное программное обеспечение, которое содержит в себе стеганографию, антивирусами маркируется, как «стеговредоносное ПО» и чаще встречается, как «stegomalware». Стегоанализ используется в первую очередь для обнаружения стеганографии, во-вторых, для распознавания скрытой информации и, в-третьих, для её ликвидации.
RS-метод один из давних методов стегоанализа, разработанный ещё в 2001 году. Однако всё ещё актуальный при анализе метода «Наименее значащих бит» [3], применяемого в стеганографии. Данный метод способен эффективно обнаруживать скрытые данным методом данные, а также работает для нескольких его вариаций: последовательного встраивания данных, случайного распределения данных, применяют данный метод, как для цветных, так и для монохромных изображений. Обычно анализ данным методом происходит поэтапно и для одного изображения, анализ включает в себя следующие этапы:
- Разделение изображения на группы пикселей G, группы связанные по n пикселей, при том n – четное число.
- Для групп рассчитывается функция «гладкости». Чаще всего функция – означает сумму перепадов яркости соседних пикселей в группе.
- Вводится функция «флиппинга». В данном анализе используют три функции «флиппинга». F0, такая что бит 0 = биту 0, бит 1 = биту 1 и т.д. до 255 бит = 255 биту. F1, такая что бит 1 = биту 2, бит 2 = биту 3 и т.д. до 255 бита = 0 биту. F-1, такая что 0 = 255, 255 =254 и т.д. до 1 = 0. Также вводится «функция» инверсного «флиппинга», действия которого противоположны описанному выше.
- Вычисляется три группы на основе функции «флиппинга». Регулярные – значение гладкости, которых больше, чем до флиппинга. Сингулярные – значение гладкости, которых меньше, чем до флиппинга. Неиспользуемые – значения гладкости, которых не изменилось.
- Подсчитывают количество групп: регулярных, сингулярных и инверсных регулярных и инверсных сингулярных.
- Затем строят диаграмму, находят несколько линий по которым и производят расчёт предполагаемой длины сообщения.
Такой подход является наиболее точным, с точки зрения результата, но непростительно медлительным с точки зрения информационной безопасности. Конечно, анализировать изображения небольшого размера, данным методом не составит труда, однако изображения разрешением в 10 и более мегапикселей потребуют от устройства, времени на обработку данных и вычислительных мощностей.
Поэтому для повышения скорости анализа данных, работу метода можно реализовать в многопоточном режиме. Данный подход позволит производить обработку сразу нескольких изображений – параллельно друг другу. Такой подход по сравнению с последовательным позволяет выиграть большое количество времени, которое было бы затрачено на последовательный анализ данных, этим методом, особенно для изображений высокого разрешения.
Конечно, у такого подхода так же есть недостатки, при его реализации, необходимо настраивать ограничение на использование вычислительных ресурсов устройства потому, что анализ изображений большого размера очень требователен к данным ресурсам, а это повлияет на быстродействие системы и других решаемых пользователем задач. Также пострадает точность результатов проверки, поскольку преимуществом последовательного анализа данных является возможность отслеживать все процессы, происходящие со сканируемым файлом. Решить вопрос точности результатов можно лишь частично, путем настройки выводимой информации о процессе анализа в отчёт об анализе. Одним из преимуществ данного метода помимо скорости, является возможность параллельной обработки файлов. Так если в файлах содержится стеганография в параллельном режиме также можно обнулить НЗБ (наименее значащие биты), что сотрёт скрытую информацию.
Модификация метода, значительно увеличивает скорость анализа, что также повышает безопасность устройства, путем сокращения времени реагирования на поступающие угрозы. Возможность обнуления наименее значащих бит, частично решает проблему возможной утечки информации, однако в дополнение к процедуре отчистки, следует записать информацию о том, какой пользователь и когда эту информацию загрузил, с целью выявления возможного участника корпоративного шпионажа.
Метод также может быть улучшен, различными параметрами, таким как ограничение размера файла, чтобы не перегружать устройство, анализам файлов огромных размеров, это делается для того, чтобы избежать лишней траты ресурсов, поскольку файлы большого размера, особенно изображения часто сжимаются, для экономии места на серверах почты или социальной сети. Ещё одним полезным дополнением, может стать приоритезация сканируемых файлов, например по дате, так логично сканировать новые файлы, поскольку старые файлы не задействованы и менее вероятно содержат скрытые данные, чем только что загруженные. Ещё одним дополнением может стать приоритет по расширению файла, так популярными форматами считаются «.jpg» и «.png», нежели «.gif» «.bmp».
Список литературы
- Цифровая стеганография [Электронный ресурс]: статья // [сайт]. — Режим доступа — URL: https://cyberleninka.ru/article/n/tsifrovaya-steganografiya-sostoyanie-i-perspektivy (Дата обращения 20.05.2024)
- Стегоанализ метода сокрытия информации в изображении замены наименьшего значащего бита (LSB): [Электронный ресурс]: статья // [сайт]. – URL: https://cyberleninka.ru/article/n/stegoanaliz-metoda-sokrytiya-informatsii-v-izobrazhenii-zameny-naimenshego-znachaschego-bita-lsb/viewer (дата обращения 22.05.2024)
- Сравнение методов стеганографии в изображениях: [Электронный ресурс]: статья // [сайт]. – URL: https://inf.grid.by/jour/article/view/37/39 (дата обращения 24.05.2024)
- Detecting LSB Steganography in Color and GrayScale Images : [Электронный ресурс]: статья // [сайт]. – URL: https://staff.emu.edu.tr/alexanderchefranov/Documents/CMSE492/Fridrich%20Steganalysis%202001.pdf (дата обращения 24.05.2024)
- Usage statistics of image file formats for websites: [Электронный ресурс]: // [сайт]. https://w3techs.com/technologies/overview/image_format (дата обращения 24.05.2024)
