Вероятностные характеристики обнаружения маскированных сообщений

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 18:56, 5 декабря 2016.

Априорная и апостериорная вероятности

Априорная вероятность – это вероятность, присвоенная событию при отсутствии знания, поддерживающего его наступление.

Апостериорная вероятность – это условная вероятность события при некотором условии, рассматриваемая в противоположность его априорной вероятности.


Общие положения

Введем следующие определения:

  • подлежащий экспертизе сигнал представляет собой реализацию случайного процесса , поскольку случай возникновения подозрения непредсказуем;
  • вероятность присутствия шифрованной информации в реализации равна, где – скрытый сигнал;
  • вероятность отсутствия шифрованной информации в реализации равна .

Перечисленные вероятности являются условными и апостериорными, поскольку их можно определить только после экспертизы, и, кроме того, они соответствуют условию получения реализации. Таким образом, для определения и необходимо определить вероятность совместного появления двух событий.


Для этого воспользуемся известным выражением для вероятности совместного появления двух событий и :

где и – вероятности появления события или события ;
и – условные вероятности появления события или при условии, что второе событие ( или ) уже имело место.

Априорная и апостериорная вероятности наличия сигнала

Если в нашем случае считать, что событие заключается в получении реализации , а событие – в наличии полезного сигнала , то

откуда

Аналогично при (если считать, что событие заключается в отсутствии сигнала ) имеем

так что

Величины и определяют полные априорные вероятности наличия и отсутствия полезного сигнала, т. е. априорные вероятности наличия или отсутствия объекта в поле зрения системы, а величина – полную априорную вероятность получения реализации .

В настоящем разделе вероятности и определяют априорные вероятности наличия и отсутствия скрытого сообщения в сигнале, предъявленном на экспертизу.

В задаче кодирования и расшифровки скрытых сообщений оба из перечисленных выше случаев содержат полную группу событий, поэтому

а также

Отношение правдоподобия

Отношение правдоподобия – величина, характеризующая вероятность наличия сигнала в реализации.



Критерий абсолютного отношения правдоподобия

На основании материала, изложенного в разделе «Априорная и апостериорная вероятности», введем в рассмотрение критерий абсолютного отношения правдоподобия:

где – вероятность присутствия шифрованной информации в реализации Y;
– вероятность отсутствия шифрованной информации в реализации.

На основании этого можно записать


Таким образом, можно считать, что определяет вероятность наличия шифрованной информации в реализации, предъявленной на экспертизу.

Если в результате экспертизы подозрительного сигнала было установлено, что , то это означало бы

и, следовательно,

Отсюда следует, что , то есть вероятность наличия скрытого сообщения в подозрительной реализации выше вероятности его отсутствия.

Отношение правдоподобия

Для определения необходимо не только определить величину

но узнать заранее значения и . Поскольку перечисленные вероятности являются априорными, для эксперта (экспертов) необходимо точно узнать обстоятельства, дающие основания для возникновения подозрений о наличии шифрованной информации.

В теории обнаружения величину W называют отношением правдоподобия. Для его вычисления необходимо, как отмечалось выше, чтобы априори были известны обстоятельства происхождения подозрительного сигнала.

Таким образом, можно считать, что решения экспертизы всегда сопровождаются ошибками. Программно-аппаратные средства, которыми располагает экспертиза, могут также вырабатывать ошибочные посылки, связанные с естественным несовершенством названных средств, т. е. наличием методических ошибок, носящих случайный характер. Кроме того, анализируемый экспертизой подозрительный сигнал теоретически может содержать вирусы, которые оказывают непредсказуемое воздействие на работу программно-аппаратных средств экспертизы.


Статистический риск

Статистический риск – математическое ожидание функции потерь.


Основные понятия

Рассмотрим понятия:

  • «ошибка ложной тревоги»;
  • «ошибка необнаружения» скрытого сообщения в подозрительном файле.

Будем обозначать далее событие принятия решения об обнаружении скрытого сообщения в подозрительном сигнале (решение «ДА») как , а событие, связанное с необнаружением скрытого сообщения (решение «НЕТ») – как .

Введем далее следующие обозначения:

  • – вероятность ложной тревоги (решение «Да» при условии отсутствия объекта обнаружения в поле зрения);
  • – вероятность пропуска объекта (решение «Нет» при условии присутствия объекта в поле зрения);
  • – вероятность необнаружения (решение «Нет» при условии отсутствия объекта в поле зрения);
  • – вероятность обнаружения (решение «Да» при условии присутствия объекта в поле зрения).

События, связанные с принятием решения о наличии, либо отсутствии скрытого сообщения в подозрительном файле образуют полную группу, так что


Отсюда вытекают зависимости:



Таким образом, можно считать, что чем меньше значения (или чем больше ), тем выше качество средств сокрытия сообщений. С учетом вышеперечисленного, можно записать выражения для безусловных вероятностей:




Вышеперечисленные вероятности в среднем могут быть вычислены опытным путем через частоты принятия экспертизой правильных и ошибочных решений в процессе анализа множества подозрительных реализаций, содержащих (либо нет) сообщение, шифрованное одним и тем же методом.

Средний и условный риск

Воспользуемся вероятностной характеристикой, принятой в теории обнаружения, которая является более универсальной, чем отношения правдоподобия.

Такой характеристикой является «средний риск» , сопутствующий ему «условный риск», сопутствующий отсутствию скрытого сообщения


Рассмотрим введенные обозначения. При отсутствии скрытого сообщения в подозрительной реализации затраты средств (т. е. времени, оборудования и задействованного персонала) можно считать – коэффициент, оценивающий потери ресурсов экспертизы при попытке расшифровать файл, в котором нет скрытого сообщения. Соответственно, – это отрицательный коэффициент, оценивающий экономию ресурсов экспертизы при попытке расшифровать файл, в котором нет скрытого сообщения, т. е. «выигрыш» при правильном необнаружении.


Аналогично можно представить условный риск, соответствующий присутствию скрытого сообщения в подозрительной реализации. Итак,

где коэффициент, оценивающий потери экспертизы при необнаружении, пропуске;
отрицательный коэффициент, оценивающий положительные действия экспертизы, затрачиваемые на обнаружение скрытого сообщения.


В соответствии с теорией обнаружения, средний риск определяется следующим образом:


Окончательно средний риск можно рассчитать по формуле


Из последнего следует, что наилучший способ шифрования должен оцениваться наибольшим средним риском вероятных действий экспертизы.


Оценка способа шифрования скрытого сообщения по критерию среднего риска экспертизы связана со следующими ограничениями:

  • необходимо заранее задаваться величинами и , которые разработчики способа маскирования должны задавать исходя из возможной тактики применения аппаратно-программных средств при решении той или иной оперативной задачи;
  • необходимо заранее предполагать какой степенью компетентности и какими материально-временными ресурсами обладает экспертиза.

См. также