Правило выбора решения экспертизы и критерии оценки его качества

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 02:13, 20 апреля 2017.

Для решения экспертизы об обнаружении скрытого сообщения в подозрительном файле или сигнале возможны две стратегии поиска:

  • случайный перебор алгоритмов обнаружения;
  • направленный поиск скрытого сообщения.

Во втором случае теория обнаружения ориентирует экспертизу на выбор оптимального правила решения. В первом случае речь идет о применении мощных вычислительных средств с высокой производительностью и о возможных значительных временных затратах.

При направленном поиске для прогноза затрат экспертизы руководствуются величинами Р(обн), Р(лт) или в качестве критериев, определяющих направление поиска. Во втором случае требуется опережающая разработка методов, алгоритмов и специальных аппаратных средств с привлечением экспертов высокой квалификации.

Наиболее распространенной в теории обнаружения стратегией поиска является стратегия, основанная на показателе максимума апостериорной вероятности. Поиск основан на выборе одного из двух решений «ДА» или «НЕТ», и которому соответствует максимум апостериорной вероятности .

В случае решения задачи дешифровки показатель соответствует максимуму апостериорной информации . Таким образом, если , то подозрительная реализация содержит скрытое сообщение.

Следовательно, действия экспертизы, основанные на показателе максимума апостериорной информации, должны извлекать из подозрительной реализации величину и сравнивать с пороговым значением . Если , принимается решение о наличии скрытого сообщения и наоборот.

Вышеописанная стратегия, как и остальные, не является оптимальной. Основной недостаток – она не позволяет оценить временные и аппаратные затраты при решении задач дешифровки. С одной стороны – это полезный фактор, так как заранее предопределяет затруднения экспертизы. С другой стороны это затрудняет и направленный выбор методов и средств защиты КПС.

Критерий Неймана-Пирсона

Наиболее приемлемым представляется критерий Неймана-Пирсона, который применительно к рассматриваемой задаче можно рассматривать в следующем виде. В рассмотрение вводится величина (количество) ложных тревог в единицу времени, либо длительность анализа между ложными тревогами, так что Т(лт)=1/N(лт). Это позволяет экспериментально оценивать условную вероятность обнаружения при прогнозируемых значениях Т(лт) и N(лт).

Алгоритм работы средств сокрытия (маскирования) сообщений, реализующих методы стеганографии

Анализ показывает, что система маскирования и распознавания может быть рассмотрена как система связи, в которой передается скрытое сообщение. Алгоритм сокрытия состоит из трех основных этапов:

  • генерации программы кодирования;
  • встраивания скрытого сообщения в кодере;
  • обнаружения скрытого сообщения в детекторе.

Последний этап рассматривается в двух аспектах:

  • аспект санкционированного доступа;
  • аспект несанкционированного доступа, т.е. экспертизы.

Пусть ,,, есть множества возможных скрытых сообщений, ключей, идентифицирующих алгоритм кодирования, файлов, содержащих скрываемые изображения, соответственно. Тогда генерация программы кодирования может быть представлена в виде

где ,,, - представители соответствующих множеств.

Вообще говоря, функция может быть произвольной, но на практике требования робастности накладывают на нее определенные ограничения. Так, в большинстве случаев, , то есть незначительно измененный файл или сообщение не приводит к изменению скрытого сообщения. Функция обычно является составной

где
и

то есть скрытое сообщение зависит от свойств модифицированного носителя. Функция реализуется при помощи генератора псевдослучайной последовательности с в качестве начального значения. Для повышения робастности могут применяться помехоустойчивые коды, например коды БЧХ, сверхточные коды. В ряде публикаций отмечены хорошие результаты, достигаемые при встраивании ЦВЗ в области вейвлет-преобразования с использованием турбо-кодов. Отсчеты ЦВЗ принимают обычно значения из множества , при этом для отображения может применяться двоичная относительная фазовая модуляция (BPSK).

Оператор модифицирует признаки маскированного файла , в результате чего получается скрытое сообщение . На эту функцию можно не накладывать ограничения необратимости, так как соответствующий выбор уже гарантирует необратимость . Функция должна быть выбрана так, чтобы незаполненный файл , заполненный файл и незначительно модифицированный заполненный файл Невозможно разобрать выражение (Ошибка преобразования. Сервер («http://mathoid.bmstu.cloud:10042/») сообщил: «Error:["TeX parse error: Missing open brace for superscript"]»): I^'_W\!

порождали бы одно и то же скрытое сообщение
Невозможно разобрать выражение (Ошибка преобразования. Сервер («http://mathoid.bmstu.cloud:10042/») сообщил: «Error:["TeX parse error: Missing open brace for superscript"]»): T(C,I_0)=T(C,I_W)=T(C,I^_W)\!

то есть она должна быть устойчивой к малым изменениям атрибутов файла.

Процесс регистрации скрытого сообщения в модифицированный файл может быть описан как суперпозиция двух сигналов

,
где маска занесения скрытого сообщения;
проектирующая функция, зависящая от ключа, определяемого номером алгоритма, использованного при продуцировании специальных носителей;
знаком обозначен оператор суперпозиции и квантования.

Проектирующая функция осуществляет «распределение» скрытого сообщения в файле. Ее использование может рассматриваться, как реализация разнесения информации по параллельным каналам. Кроме того, эта функция имеет определенную пространственную структуру и корреляционные свойства.

Также как в радиосвязи, наиболее важным устройством является приемник, в системе маскирования главным является детектор. В зависимости от типа он может выдавать двоичные либо -ичные решения о наличии/отсутствии скрытого сообщения (в случае детектора с мягкими решениями). Рассмотрим случай «жесткого» детектора, моделирующий экспертизу. Обозначим операцию детектирования через . Тогда

,

Как отмечалось выше, при несанкционированном доступе в качестве декодера зачастую используют корреляционный приемник, изображенный на рисунке 1.

Рис. 1. Корреляционный приемник.

Далее в рассмотрении учитывается, что в «незаполненных» носителях информации всегда присутствует какой-либо код. В вырожденном случае – это последовательность логических нулей или единиц.

Пусть у половины пикселей изображения значение яркости увеличено на 1, а у остальных — осталось неизменным, либо уменьшено на 1. Тогда , где . Коррелятор детектора вычисляет величину

Так как может принимать значения ±1 , то будет весьма мало, a будет всегда положительно. Поэтому будет очень близко к . Тогда можно воспользоваться результатами теории связи и записать вероятность неверного обнаружения скрытого сообщения как дополнительную (комплементарную) функцию ошибок от корня квадратного из отношения («энергии сигнала») к дисперсии значений пикселей яркости («энергия шума»). Для случая «мягкого» детектора и закрытой системы маскирования имеем две основные меры подобия

где нормированный коэффициент взаимной корреляции
и
где расстояние по Хэммингу.

В детекторе возможно возникновение двух типов ошибок. Существует вероятность того, что детектор не обнаружит скрытое сообщение, когда оно есть («ошибка необнаружения») и вероятность ложного нахождения скрытого сообщения в пустом файле («ошибка ложной тревоги»). Снижение одной вероятности приводит к увеличению другой. Надежность работы детектора характеризуют вероятностью ложного обнаружения. Система маскирования должна быть построена таким образом, чтобы максимизировать вероятности возникновения обеих ошибок, так как каждая из них может привести к ошибке экспертизы, то есть затруднит перехват скрытого сообщения и последующее его распознавание.

Корреляционный метод обнаружения скрытого (маскированного) сообщения

Подавляющее большинство атак на средства защиты сообщений, защищенных от несанкционированного доступа, основаны на корреляционном методе обнаружения. Это позволяет прогнозировать действия экспертизы при решении задачи обнаружения маскированного изображения, зарегистрированного на специалдьных носителях, либо передаваемого в КПС.

Ниже рассматривается математическая модель основных наиболее вероятных действий экспертизы, основанная на теории обнаружения. Принятие решения экспертизы о наличии маскированного изображения в исследуемом файле, или в КПС производится не по одному значению какой-то величины, характеризующей содержимое носителя, а по всему объему скрытых, либо маскированных файлов, т.е. по выборке, состоящей из значений реализации, что позволяет экспертизе более полно использовать априорную информацию и получить наибольший положительный эффект, чем значительней объем выборки . Далее полагаем, что сигнал, кодирующий содержимое носителя, можно рассматривать как реализацию стационарного эргодического случайного процесса. Такая гипотеза обоснована следующим:

  • занесение маскирующих программ на спецноситель или устройства формирования сообщения происходит случайным образом;
  • собственно программы, как правило, строятся с использованием стохастических и генетических алгоритмов.

Все сведения о форме скрытого сигнала будут использованы в том случае, когда выборочные значения реализации будут браться через предельно малые интервалы времени.

Рассмотрим процесс принятия экспертизой решения по конечному числу выборочных значений, взятых через одинаковые интервалы. Для определения отношения правдоподобия выборки объекта может быть использована формула, где в числителе и знаменателе будут уже не одномерные плотности вероятности, а -мерные, т. е.

где реализация;
искомый сигнал.

Наиболее вероятной гипотезой о законе распределения плотности вероятности сигнала, перехваченного экспертизой, является гипотеза о равномерном распределении («белый шум»).

При сигнале типа «белого шума» интервал ее корреляции равен нулю, а поэтому при любом значении -мерная плотность вероятности помехи равна произведению одинаковых одномерных плотностей распределения. Поэтому

Поскольку «белый шум» является нормальным, нулевым и средним процессом, имеем

или

Раскрывая круглые скобки под знаком суммы, получим

Формула показывает, что для нахождения логарифма отношения правдоподобия для системы независимых случайных отсчетов реализации необходимо подвергнуть эту реализацию следующей обработке. В моменты времени взять дискретных отсчетов реализации. Каждое значение перемножить на мгновенное значение полезного сигнала, соответствующее тому же моменту времени , т. е. получить произведения . Просуммировать полученные произведения, вычесть из суммы величину половинной суммы квадратов мгновенных значений полезного сигнала и полученный результат разделить на .

Определив таким образом величину , сравнить ее с порогом обнаружения, т. е. с величиной λпор, найденной с использованием выбранного критерия качества. При Λ > λпор выдать решение «Да», а при Λ < λпор — решение «Нет».

Можно поступить и иначе, что практически более удобно. Запишем результирующее выражение в виде

Процедуру принятия решения в соответствии с полученным выражением можно представить следующим образом. Необходимо найти величину суммы и сравнить ее о порогом обнаружения Λпор, который определяется при Λ=Λпор

При (ay)N>(ay)Nпор выдается решение (ДА),при (ay)N<(ay)Nпор — решение (НЕТ).

На рисунке 2 представлена функциональная схема модели действий экспертизы. На рисунке приняты обозначения:

  • - – блоки (программы) умножения;
  • - - блоки (программы) сложения;
  • – блоки - анализаторы (программы) поиска максимума;
  • ПУ – пороговое устройство, которое может реализовываться программно;
  • ГА – генератор атак, разрабатываемых экспертизой параллельно или параллельно-последовательно.
Рис. 2. Функциональная схема корреляционной системы обнаружения маскированного сигнала.

Отметим два обстоятельства, осложняющие практическую реализацию корреляционного метода обнаружения, т.е. действия экспертизы. Первое из них связано с неопределенностью времени выявления маскированного сигнала, а второе - неопределенностью положения в файле или в каком-либо файле, подвергнутого экспертизе.

Это означает, что в обоих случаях факт обнаружения маскированного сигнала является случайным явлением, а время обнаружения - случайной величиной.

Многоканальная система обработки входной реализации, функциональная схема которой приведена на рисунке 2, содержит перемножающих устройств и сумматоров. На второй вход первого перемножающего устройства подается от генератора атак реализация маскированного сигнала, а на остальные — сигналы, продуцируемые программами-атаками. А именно отсчеты предполагаемых значений

В блоке анализатора все рассчитанные значения сравниваются между собой. Наибольшее из них, соответствующее каналу, в котором значение коэффициента является наибольшим, передается на вход ПУ. Сравнение значения этого коэффициента с пороговым обеспечивает выдачу решения «Да» или «Нет».

Если применить приведенную выше систему для выходного контроля средств маскирования, то отношение числа положительных исходов контроля (т.е. фактов обнаружения маскированного изображения) к числу предпринятых попыток можно воспринимать, как величину, пропорциональную вероятности обнаружения. Отношение числа положительных исходов контроля при отсутствии маскированного изображения к числу предпринятых попыток можно воспринимать, как величину, пропорциональную вероятности ложных тревог.