网络信息安全PPT(完整版)

网络信息安全网络信息安全PPT(完整版)全文共40页，当前为第1页。9.1隐写与隐写分析的定义

1．隐写技术“Steganography”一词来源于约翰尼斯·特里特米乌斯的密码学与隐写术的《Steganographia》(书名来源于希腊语，意为隐秘书写)。从几千年前的远古时期到近代出现了许多信息隐写技术及应用，如咒语、离合诗、隐写墨水、纸币中的水印、缩微图像等等。但由于缺乏必要的理论基础和系统研究，对于信息的保密往往更多是单纯地借助于密码技术，因此信息隐藏始终没有成为一门独立的学科，发展一直比较缓慢。今天，信息技术和计算机技术的空前发展，为古老的隐写术注入了全新的活力。现代的信息隐藏是集多学科理论与技术于一身的新兴技术领域，涉及信号处理、图像处理、模式识别、数字通信、计算机网络、多媒体技术、密码学、语音处理和人工智能等理论与技术。

网络信息安全PPT(完整版)全文共40页，当前为第2页。与信息隐写技术相关的密码技术可以加密信息数据，保证其传输的安全，但只是隐藏了信息本身而不能隐藏信息存在的事实。信息隐藏是利用人类的感觉系统(视觉系统和听觉系统)对数字信号敏感性的不匀称性或不完善性以及数字信号本身存在冗余性的特点，将信息(隐信息)隐藏在另一个数字信号载体(显信息)中。由于在隐藏处理后外部表现的只是显信息的外部特征，因此并不会改变显信息的基本特征和使用价值。信息隐藏的最大优点是：除了通信双方以外的任何第三方都感觉不到隐信息存在这个事实。一般隐藏的是加密过的信息，所以这就较之单纯的加密方法更多了一层保护。信息隐写技术通过正常载体来传递秘密信息，以达到隐匿的目的，从而使它在传递过程中不会被感知。

网络信息安全PPT(完整版)全文共40页，当前为第3页。如果载体引起了怀疑，那么隐藏的目的就失败了。与信息隐藏关系极为密切的另一个方面就是数字水印技术。信息隐藏是将数据隐藏到宿主数据中并将其发送出去。它有一个基本的假设，就是第三方不知道被隐藏的数据的存在。因此一般它没有鲁棒性的要求，甚至要求满足易脆性。或者说一旦传递的数据被改变，被嵌入的信息将无法恢复。而数字水印一般有鲁棒性的要求，即它可以抵抗第三方的攻击或正常的、标准的数据操作和变换。换句话说，即使攻击者知道传递的数据中包含隐藏的重要信息，但也无法将其提取出来，或在不严重损坏宿主数据的情况下无法将水印破坏掉。水印技术与信息隐藏另一个不同点是水印对于嵌入的信息是否可见是可选的，而隐匿性是信息隐藏的最根本的目的。因此数字水印和信息隐藏是一种技术互补的两个方面。水印技术的主要目的是提供数字媒体的版权保护技术；而这里的信息隐藏的主要目的是隐匿通信。

网络信息安全PPT(完整版)全文共40页，当前为第4页。

2．隐写分析技术隐信息是在隐写过程中有意在显信息中隐藏的信息。隐信息一般不被用来表现任何的显信息外部特征。隐写分析技术是检测和判别载体中是否隐藏秘密信息的一种技术。隐写分析技术包括可疑隐信息载体的自动发现、隐信息检测判别、隐信息攻击、隐信息追踪定位和取证处理技术。隐信息检测是信息隐藏中最核心的技术之一，是对计算机主机和网络资源上的隐信息和隐通道进行发现、检测识别和响应处理的过程。隐信息检测不仅能发现识别存在于数字信号中的隐信息，而且能对检测出的隐信息进行各种攻击和采取相应合理的响应。隐信息检测系统(HIDS，HiddenInformationDetectionSystem)作为一种基于内容的网络安全防护技术，为网络信息应用安全提供实时的信息内容安全的防护手段。HIDS所提供的信息不仅有可能用来发现处理隐信息，还可以提供涉及隐信息犯罪人员法律责任的数字证据。

网络信息安全PPT(完整版)全文共40页，当前为第5页。9.2隐

写

技

术

1．隐写模型图9-1是信息隐藏的一个通用模型。Alice和Bob欲利用隐信息的隐写技术进行隐匿通信，待隐藏的信息为隐信息(Hiddenmessage)，它可以是版权信息或秘密数据，也可以是一个序列号等。显信息为载体信息(covermessage)，如数字图像、音频和视频片段等。信息隐藏过程一般由密钥(Key)来控制，通过隐藏算法(EmbeddingAlgorithm)将秘密信息隐藏于公开信息中。网络信息安全PPT(完整版)全文共40页，当前为第6页。隐蔽载体(隐藏了秘密信息的公开信息)通过信道(PublicCommunicationChannel)传递，提取(Extraction)从安全通道得来的密钥，再从隐蔽载体中恢复/检测秘密信息。由于是在公共信道上通信，因此可能会有第三方Eve进行窃听和侦测载体中是否有隐信息存在。Alice可以通过开关选择是否进行隐写操作，以迷惑第三方Eve。现代信息隐写技术一般都会利用人的视觉系统(VIS)或听觉系统(HIS)对数字信号敏感性的不匀称性或不完善性，使得载体在隐写操作后的显信息不发生明显的变化。

网络信息安全PPT(完整版)全文共40页，当前为第7页。图9-1信息隐藏的一个通用模型

网络信息安全PPT(完整版)全文共40页，当前为第8页。

2．隐写技术分类隐写技术是一种新兴的知识领域，尽管还处在发展阶段，但是已经具有了自己的意义和内涵。现在可以将其作如下分类:

(1)按密钥分类：若嵌入和提取采用相同密钥，则称其为对称隐写算法，否则称为公钥隐写算法。

(2)按载体类型分类：基于文本、图像、视频和声音等数字媒体的隐写技术。

(3)按隐藏域分类：主要可分为空域(或时域)方法和变换域(或频域)方法。

网络信息安全PPT(完整版)全文共40页，当前为第9页。

(4)按提取要求分类：若在提取隐藏信息时不需要利用原始载体，则称为盲隐写，否则称为非盲隐写。显然使用原始的载体数据更便于检测和提取信息。但是，在数据监控和跟踪等场合，我们并不能获得原始的载体。对于其他的一些应用，如视频水印，即使可获得原始载体，但由于数据量大，要使用原始载体也是不现实的。目前主要采用的是盲隐写技术。

(5)按目的分类：主要可分为隐写术和水印技术。隐写术主要用于隐匿通信，它所要保护的是隐信息；水印技术主要用于版权保护及真伪鉴别等目的，它最终所要保护的是载体本身。

网络信息安全PPT(完整版)全文共40页，当前为第10页。

3．LSB隐写技术

LSB(LeastSignificantBit)算法通过调整宿主数据的最低有效位来隐藏信息，致使所隐藏的信息在视觉和听觉上很难被发现。这种方法有较大的信息隐藏量，但从基本原理上看，该算法所隐藏的信息是极为脆弱的，因为它无法承受某些无意或有意的信号处理。例如，要在下面的8个字节载体里用LSB隐藏字符“G”，最低位用下划线标出。1001010100001101110010011001011000001111110010111001111100010000字符“G”的ASCII码为01000111，隐写操作后8字节的载体变为：1001010000001101110010001001011000001110110010111001111100010001网络信息安全PPT(完整版)全文共40页，当前为第11页。在上面的例子中只有一半的最低位发生了变化，用斜体标出。LSB算法可以用来替换图像中的RGB编码、BMP和GIF格式的调色板、JPEG中的系数和音频的脉冲调制编码等。由于理论上只有一半的最低位发生变化，因此用LSB算法替换后很难用人的视觉系统和听觉系统发现替换前后的不同。为了使LSB算法隐写后更难被侦测到，还可以用非连续替换的方式，也就是按规则随机挑选最低位来替换。LSB是最经典、有效的隐写算法。

网络信息安全PPT(完整版)全文共40页，当前为第12页。在上面的例子中只有一半的最低位发生了变化，用斜体标出。LSB算法可以用来替换图像中的RGB编码、BMP和GIF格式的调色板、JPEG中的系数和音频的脉冲调制编码等。由于理论上只有一半的最低位发生变化，因此用LSB算法替换后很难用人的视觉系统和听觉系统发现替换前后的不同。为了使LSB算法隐写后更难被侦测到，还可以用非连续替换的方式，也就是按规则随机挑选最低位来替换。LSB是最经典、有效的隐写算法。

网络信息安全PPT(完整版)全文共40页，当前为第13页。9.3隐写分析技术

1．隐写分析的分类狱警Eve可以用主动和被动方式来检查Alice和Bob之间的通信信息。所谓被动方式就是指Eve根据自己的能力判别当前通信信息是否可能隐藏有隐信息来决定是否允许他们通信；而主动方式是指Eve在检测判别过程中可以对通信信息进行所有他期望的修改。一个保守或激进的狱警可能会通过采用修改所有通信信息来破坏可能存在的隐匿通道。

网络信息安全PPT(完整版)全文共40页，当前为第14页。隐写分析技术可以根据事先知道信息的多少分为下面几类：

(1)非纯载体分析：包含隐信息的非纯载体是惟一的分析信息源。

(2)知道纯载体的分析：不含隐信息的载体和非纯载体都可以用来分析。

(3)知道隐信息分析：分析时隐信息是知道的。

(4)选择隐写分析：已包含隐信息的非纯载体和隐写算法都知道的分析。

(5)选择信息分析：隐信息和隐写算法都知道的分析。

(6)知道隐写分析：纯载体、非纯载体和隐写算法都知道的分析。

网络信息安全PPT(完整版)全文共40页，当前为第15页。

2．常用的隐写分析技术隐写技术的分析与破解(Steganalysis)观念在1998年由Johnson与Jajodia首度提出。

2001年9·11恐怖攻击事件发生后，则开始受到一般大众的普遍关注，新闻媒体报导专家怀疑恐怖分子可能使用隐写技术掩护秘密通信，但至今尚未获得证实。传统的隐写技术，均是针对像素的色彩值或是各种频率域的系数值去做改变，以期达到不影响影像品质的情况下，将机密信息嵌入。因此，许多隐写技术破解分析法也都是针对这些色彩值或系数值去做统计与分析，期望能找到那些媒体隐藏有机密信息的证据。

网络信息安全PPT(完整版)全文共40页，当前为第16页。

1)隐写特征分析早先提出的许多隐写技术，都会在载体中留下不寻常的特征，例如S-Tools这个软件最致命的缺点就是GIF格式的原始影像调色盘被修改的非常不自然。通过对调色盘色彩做简单的排序分析，被嵌入机密信息的影像中调色盘的色彩会形成32个群集，这是一般自然影像所没有的特征。图9-2即为一个S-Tools隐写特征的实例，嵌入机密的调色盘依亮度排序后，所呈现的不寻常分组特征，这个特征也等于是暴露了机密信息的存在性。

网络信息安全PPT(完整版)全文共40页，当前为第17页。图9-2一个S-Tools隐写特征的实例(a)排序前调色盘；(b)排序后调色盘

网络信息安全PPT(完整版)全文共40页，当前为第18页。

2)感觉系统分析在载体比较敏感的区域嵌入隐信息可能会导致某种微小程度的变形痕迹，利用此变形痕迹来检测隐信息的存在与否。例如所谓的视觉攻击法乃是将机密信息可能隐藏的二元值抽取出来，依其相关位置组成一个位平面，然后利用人类视觉来判断是否有机密信息隐藏其中。位平面分析法，就是属于视觉攻击法的一种。但现在先进的隐写算法往往也会考虑人的感觉系统，尽可能使隐写过程对感觉系统的影响减少到最小程度，导致基于感觉系统的攻击方法对此类隐写算法无效。

网络信息安全PPT(完整版)全文共40页，当前为第19页。

3)统计分析利用数学统计方法来检测隐信息的存在与否。信息隐藏改变了载体数据流的冗余部分，这样做虽然没有改变感觉系统的效果，但是却改变了原始载体数据的统计性质。根据判定给定载体的统计性质是否属于非正常情况，可以判断是否含有隐藏信息。统计分析的关键问题是如何得到原始载体数据的理论期望频率分布，在大多数情况下，我们无法得到原始信号的频率分布。例如针对LSB算法的卡方分布和RS检测都属于统计分析方法。

网络信息安全PPT(完整版)全文共40页，当前为第20页。

3．针对LSB分析技术由LSB算法可知，LSB信息隐藏就是通过修改最低有效位来进行隐藏信息。就图像而言，由于人眼的不敏锐性，去掉图像像素的最低2～3比特，一般不会引起视觉上的效果。并且图像LSB数据量越大，进行信息隐藏时可以采用的技巧的自由度越多，从而使LSB成为最流行的信息隐藏方式。分析LSB信息隐藏的各种可能性，我们发现针对LSB信息隐藏检测存在以下几个难题：低比特位置确定问题(隐藏信息者究竟利用了哪几个低比特进行信息隐藏)、数据加载的顺序问题(隐藏信息者能够以自己设定的任意位置顺序来隐藏秘密数据)、检测如何提取这些秘密数据、隐藏数据的可读性，隐藏信息者是怎样对隐藏的数据进行预处理(加密)的，然后又是怎样将隐藏LSB数据到图像中去的。

网络信息安全PPT(完整版)全文共40页，当前为第21页。

1)像素值对卡方检测像素值对卡方检测是一种针对最低位LSB算法的隐写技术。色彩值(或灰阶值，或各种频率域之系数)中只有最低位不同的两种值称为一组PoV。例如，68(01000100)与69(01000101)就是一组PoV。最低位LSB隐写算法会破坏原有图像的统计直方图的分布，如图9-3所示。如果用于隐写最不重要位的二进制位呈均匀分布，那么每个PoV中两种值出现的概率相等。这种现象在一般的图像中很难出现，因此只要能分析出这种特性，即可断定有机密信息隐藏于其中。关键问题是如何得到原图像的理论期望直方图分布(即隐写前的期望值)。因为在多数情况下我们没有原始图像信号。在像素值对卡方检测中，原始图像的理论期望直方图分布用PoV中两个频率的算术平均值来表示。

网络信息安全PPT(完整版)全文共40页，当前为第22页。图9-3中的虚线用来连接PoV对的算术平均值。由于LSB改变的是最不重要位，因此它不会改变这些PoV对两个直方图的和。同一PoV中的奇值数被转移到对应的偶值中去了，反之亦然。由于和保持不变，因此原图像载体和隐写后图像载体中PoV对的算术平均值相同。这就允许原始图像的理论期望直方图分布用PoV中两个频率的算术平均值来表示，隐写分析就不需要原载体图像。

网络信息安全PPT(完整版)全文共40页，当前为第23页。图9-3嵌入信息前后的颜色分布直方图的变化(a)隐写前；(b)隐写后

网络信息安全PPT(完整版)全文共40页，当前为第24页。(1)非纯载体分析：包含隐信息的非纯载体是惟一的分析信息源。最低位LSB隐写算法会破坏原有图像的统计直方图的分布，如图9-3所示。但现在先进的隐写算法往往也会考虑人的感觉系统，尽可能使隐写过程对感觉系统的影响减少到最小程度，导致基于感觉系统的攻击方法对此类隐写算法无效。信息隐藏是利用人类的感觉系统(视觉系统和听觉系统)对数字信号敏感性的不匀称性或不完善性以及数字信号本身存在冗余性的特点，将信息(隐信息)隐藏在另一个数字信号载体(显信息)中。LSB会增加图像的噪音信息，所以期望图像在用LSB隐写秘密信息后f的值会变大。信息隐藏过程一般由密钥(Key)来控制，通过隐藏算法(EmbeddingAlgorithm)将秘密信息隐藏于公开信息中。因此数字水印和信息隐藏是一种技术互补的两个方面。关键问题是如何得到原图像的理论期望直方图分布(即隐写前的期望值)。这里d0＝Rm(p/2)－Sm(p/2)，d1＝Rm(1－p/2)－Sm(1－p/2)，(b)排序后调色盘由于是在公共信道上通信，因此可能会有第三方Eve进行窃听和侦测载体中是否有隐信息存在。LSB算法可以用来替换图像中的RGB编码、BMP和GIF格式的调色板、JPEG中的系数和音频的脉冲调制编码等。隐写术主要用于隐匿通信，它所要保护的是隐信息；因此数字水印和信息隐藏是一种技术互补的两个方面。例如，要在下面的8个字节载体里用LSB隐藏字符“G”，最低位用下划线标出。样本分布与理论期望频率分布的相似程度，是某种嵌入事件发生的概率度量。该相似程度用卡方块测试来决定。理论期望频率分布为在隐写后图像测得的发生频率为ni＝|{color | color＝2i}|网络信息安全PPT(完整版)全文共40页，当前为第25页。卡方统计

自由度是k－1。

n和分布相同的概率p由下式计算得到，p值的大小可以看作隐藏信息的概率。

p＝

网络信息安全PPT(完整版)全文共40页，当前为第26页。图9-4地砖图像中用EzStego进行嵌入的概率

网络信息安全PPT(完整版)全文共40页，当前为第27页。其中右图中的曲线表示了隐藏秘密信息后图像的p值的测试，p值相当于嵌入概率。采样从上面边缘开始，包含1%的像素，对于这种采样，也就意味着可能嵌入的p＝。下一次采样包含另外1%的像素，相当于整个图像的2%，p值增加到。只要样本包含上半部分像素，且已被嵌入信息，p值不会低于。下半部分图像的像素是不会改变的，因为要嵌入的信息没那么长。包含52%像素点的样本中有太多未改变的像素致使p值几乎降至0。要避免被这种检验出来的应对做法是减少嵌入的机密信息量，只要将嵌入容量控制在原来的一半以内，被检验出的风险就可以大大降低。

网络信息安全PPT(完整版)全文共40页，当前为第28页。

2)RS检测

RS检测是针对以彩色影像作为载体的最低位隐藏法的。该方法由、和提出，主要针对图像的LSB隐藏算法。多数图像的LSB平面本身具有一定的随机性，使用LSB平面典型统计量来获得随机化尺度并不可靠。即使LSB平面显示随机，仍然与其他的位平面存在某种关联。这种关联是非线性的，定义适当的函数来度量这种关系。这里对由n个元素组G＝(x1,x2,…,xn)定义了一个判别函数

网络信息安全PPT(完整版)全文共40页，当前为第29页。信息隐写技术通过正常载体来传递秘密信息，以达到隐匿的目的，从而使它在传递过程中不会被感知。2)感觉系统分析10010101000011011100100110010110图9-2即为一个S-Tools隐写特征的实例，嵌入机密的调色盘依亮度排序后，所呈现的不寻常分组特征，这个特征也等于是暴露了机密信息的存在性。同一PoV中的奇值数被转移到对应的偶值中去了，反之亦然。现代的信息隐藏是集多学科理论与技术于一身的新兴技术领域，涉及信号处理、图像处理、模式识别、数字通信、计算机网络、多媒体技术、密码学、语音处理和人工智能等理论与技术。信息隐藏的最大优点是：除了通信双方以外的任何第三方都感觉不到隐信息存在这个事实。RS检测是针对以彩色影像作为载体的最低位隐藏法的。隐写技术的分析与破解(Steganalysis)观念在1998年由Johnson与Jajodia首度提出。信息隐藏过程一般由密钥(Key)来控制，通过隐藏算法(EmbeddingAlgorithm)将秘密信息隐藏于公开信息中。隐写技术的分析与破解(Steganalysis)观念在1998年由Johnson与Jajodia首度提出。只要样本包含上半部分像素，且已被嵌入信息，p值不会低于。LSB是最经典、有效的隐写算法。图9-3嵌入信息前后的颜色分布直方图的变化这种关联是非线性的，定义适当的函数来度量这种关系。在上面的例子中只有一半的最低位发生了变化，用斜体标出。该相似程度用卡方块测试来决定。目前它能在JPEG图片中检测到用Jsteg、Jphide和等工具隐藏的隐信息。判别函数f可以用来度量图像的光滑程度，图像中的噪音越多，函数f的值就越大。LSB会增加图像的噪音信息，所以期望图像在用LSB隐写秘密信息后f的值会变大。以一幅8bit的灰度图像为例，像素值分布在P＝{0，…，255}区间内，将图像每n个相邻像素点作为一组分成若干组，其中定义一个在P上的操作F称为“flipping操作”。flipping操作满足F(F(x))＝x，其中∈p。定义F1：01，23，…，254255和F－1：－10，12，…，255256或定义为F－1(x)＝F1(x＋1)－1。网络信息安全PPT(完整版)全文共40页，当前为第30页。再定义三个集合：(1) Regulargroups:G∈R

f(F(G))＞f(G)(2) Singulargroups:G∈S

f(F(G))＜f(G)(3)Unusablegroups:G∈U

f(F(G))＝f(G)

网络信息安全PPT(完整版)全文共40页，当前为第31页。其中F(G)＝(F(x1)，F(x2)，…，F(xn))。一般来说，G∈R组的数目大于G∈S组的数目。对于n个像素可以采用不同的F，此时可以掩码M对F标记，记为FM。G∈R组的数目与总体组的记为Rm，而G∈S组的数目与总体组的记为Sm。有Rm＋Sm≤1，R－m＋S－m≤1。在随机的图像中Rm和Sm的大小大致相等，当嵌入秘密信息而改变图像最不重要位时，Rm和Sm的关系发生了变化。

网络信息安全PPT(完整版)全文共40页，当前为第32页。对典型的图像，无论图像格式是否失真，RM≌R－M，SM≌S－M。但是，对LSB平面随机化处理后，等式不再成立。根据在最不重要位数据的改变程度，可以形成Rm、R－m、Sm、S－m的直观图，在Rm与Sm的交点处求解。例如假定n＝4，选择一个掩码M＝{0,1,1,0}，当嵌入信息而改变LSBs时，Rm和Sm的关系发生了变化，得到了Rm(p/2)、Sm(p/2)、R－m(p/2)和S－m(p/2)四个点