专利名称:一种基于统计检测和结构检测的隐写分析系统的制作方法
技术领域:
本发明涉及信息隐藏检测领域,具体的说,本发明提出了一种基于统计检测和结构检测的隐写分析系统。常见的隐写技术主要包括空间域LSB隐写、频域隐写、BPCS隐写和结构隐写。本发明是针对空间域LSB隐写、BPCS隐写和结构隐写的检测。
背景技术:
自从2002年,以camera shy(半遮面)为代表的流行隐写术软件的发展如雨后春笋,不断更新扩大,其它各类基于信息隐藏技术而设计的类似产品也迅速出现。隐写术和密码学在信息安全领域具有同等重要的地位,隐写术就如同一把双刃剑,如果不及时从正反两个方面去进行深入研究,这项技术的非法使用将危害国家的信息安全。为加强国家和公共安全,尽快研制出针对流行隐写术软件的高效检测工具,是我国在隐蔽通信线路发现和监控方面一项非常有意义的工作,是挑战更是机遇。
充分了解隐写软件的使用情况,才能分析它们存在的弱点,达到快速检测、阻断和发现的目的。目前的隐写软件载体绝大多数是图像和音频,与之相对应的检测算法的研究也应以这两种载体为主。这两种载体的隐藏算法非常相似,例如都采用空域、频域算法等,因此在检测技术上也很类似。
基于图像的隐藏算法主要分为五大类基于LSB的隐藏算法、基于DCT域隐藏算法、基于调色板的隐藏算法、基于视觉特性的隐藏算法和一些特殊的隐藏算法,图像格式有JPEG、GIF、BMP等。实际应用中,LSB的隐藏方法与DCT域的隐藏方法应用最为广泛。
基于音频的隐藏算法主要分为时域隐藏算法和频域隐藏算法。目前网络上流行的音频格式主要有WAV,MP3,MIDI格式。上面提到的时域隐藏算法和频域隐藏算法都是适用于WAV格式的,而MP3和MIDI由于其文件格式的特殊性,需要采用特殊的隐藏算法。目前网络上广泛使用的音频隐藏算法主要是时域LSB算法。
此外,基于文件格式的结构隐藏也是目前应用较多的隐藏方法,可根据图像或音频的文件格式特征,在文件头中的某些保留字段中或者文件结束之后插入额外的秘密信息。存在于文件格式中的秘密信息不会影响载体文件的正常使用,同时也使基于载体文件统计特征的检测方法无效。
目前,虽然已经有相当多的科研机构和安全公司对隐写术工具进行检测研究,但是结果都不理想。分析其原因有三点1)隐写术只有少数重要敏感用户使用。
2)互联网上中的多媒体格式多样化,而现在大多数国际国内所研究的检测算法主要是通用统计攻击,这些算法虽然适用性强但检测准确性却达不到实用。
3)隐写术工具检测研究目前主要停留在分析开源隐写软件或一些教学机构和个人爱好者所发布的软件,然而实际使用这些软件传输秘密信息的用户几乎没有,而对于许多流行隐写软件的分析,由于分析难度太大因而很少有人能提出准确检测办法,但它们恰恰可能是用户频繁使用的秘密通信工具。
发明内容
本发明所要解决的技术问题在于提供一种基于统计检测和结构检测的隐写分析系统,能够对以常见图像音频为载体,使用主流隐写技术进行隐藏的载密文件,实现高质量检测,其正确检出率高,具有广泛的适用性,检测效率高,能适应网络高速传输的需求。
为了实现上述目的,本发明提供了一种基于统计检测和结构检测的隐写分析系统,其系统核心思想是通过集成六个不同的统计检测模块和两个不同的结构检测模块,在检测时使用融合技术,对图像或音频文件进行多个模块的检测,从而判断是否有隐藏信息存在。其具体操作方式有两种第一种是针对少量可疑文件的检测,仅显示检测结果,不生成检测结果报告。其具体操作步骤如下1)浏览选择一批待检测文件,可选择的待检测文件类型包括BMP图像、JPEG图像和WAVE音频。
2)选择一个或多个统计检测模块,包括RS检测模块、SPA检测模块、DIH检测模块、BPCS检测模块、卡方检测模块和LSM检测模块,并设定阈值,阈值为0~1之间的数字,缺省设置值为0.05。
3)选择一个或多个结构检测模块,包括挂接检测模块和格式检测模块。
4)在界面右侧显示检测结果,即隐秘文件列表,包括检测出的可疑文件名和选定的检测模块估计的隐藏信息量。在扫描状态中显示检测进程状态,包括当前扫描路径、当前扫描文件名、已扫描文件数、检测到的隐写文件数和检测扫描速率等信息。
第二种是针对含有一批可疑文件的文件夹进行扫描,既显示检测结果,也会在指定路径处生成检测结果报告。其具体操作步骤如下1)浏览选择扫描路径,即待检测文件所在的文件夹路径,该路径下所有的指定格式文件都将被检测。
2)浏览选择保存路径,即将要生成的扫描检测结果文档的保存路径。
3)选择待检测文件类型,可选择的文件类型包括BMP图像、JPEG图像和WAVE音频。
4)选择采用的统计检测模块,包括RS检测模块、SPA检测模块、DIH检测模块、BPCS检测模块、卡方检测模块和LSM检测模块,并设定阈值,阈值取值范围为(0,1),缺省设置值为0.05。
5)选择采用的结构检测模块,包括挂接检测模块和格式检测模块。
6)扫描选项设置完毕则开始扫描,对待检测目录中的指定类型文件使用指定检测模块进行扫描,扫描过程中可控制扫描进程的暂停或停止。
7)扫描结束后,在界面右侧显示检测结果,即隐秘文件列表,包括检测出的可疑文件名和选定检测模块估计的隐藏信息量。在扫描状态中显示检测进程状态,包括当前扫描路径、当前扫描文件名、已扫描文件数、检测到的可疑文件数和检测扫描速率等信息。同时生成相应的检测结果报告,包括扫描时间、路径、检测文件类型、扫描检测文件和可疑文件的隐写检测结果等信息。
上述的统计和结构检测模块,其特征在于上述第一种和第二种操作方式使用相同的检测模块和架构,系统的核心是实现了六个相互独立,具有不同检测原理的统计检测模块和两个具有不同针对性的结构检测模块,从而能够对以常见媒体格式为载体,使用主流隐写工具进行隐藏的文件进行可靠检测。使用多个同类检测模块,依据融合技术能够有效提高检测性能,并能满足多种媒体类型同时处理的网络实时性需求。
核心检测模块具体包括如下模块RS检测模块、SPA检测模块、DIH检测模块、BPCS检测模块、卡方检测模块和LSM检测模块等六个统计检测模块,以及挂接检测和格式检测两个结构检测模块。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域LSB隐写的隐写检测模块有五个,第一个RS检测模块具体描述如下该检测模块的基本思想是构造了一个关于图像的高阶统计量——多个像素之间的灰度差值和,利用LSB替换造成的灰度差值和的变化,分析这种变化与嵌入消息大小之间的关系,并将这个关系建立为一个二次方程,通过计算方程的根来估计嵌入消息的大小。
首先对图像像素进行分组(x1,x2,…,xn),对于像素组G=(x1,x2,…,xn),定义一个鉴别函数f(x1,x2,…,xn)∈R来描述像素组内的相关性f(x1,x2,···,xn)=Σi=1n-1|xi+1-xi|]]>鉴别函数取值的大小描述了像素间相关性的强弱,鉴别函数取值越大,则说明像素间的相关性越弱,反之相关性越强,而LSB替换会使像素值LSB平面的随机性增大,可见LSB替换会使鉴别函数取值增大。对像素组中的像素值定义三种映射规则F101,23,…,254255;F-1-10,12,…,255256;F000,11,…,255255。
映射规则F1即对应LSB替换时像素值对的转换,F-1视为F1的对偶,F0视为像素到自身的映射,根据三种映射规则把像素组分为三种类型 其中F(G)表示将G中的像素在映像关系F下进行映射,同时定义一个n元数组的掩模M(M1,M2,…,Mn),其中Mi∈{0,±1}(0<i≤n),进一步定义F(G)=(FM1(G),FM2(G),···,FMn(G))]]>分别以RM、SM表示掩模M下规则组数与不规则组数所占所有像素组数的比例,一般来说,对像素值进行了映射转换后一般都会使鉴别函数值增大,即有RM>>SM,从而有RM+SM≤1和R-M+S-M≤1,RS分析中进行了一个经验假设RM≅R-M,SM≅S-M]]>通过实验发现,R-M和S-M关于p的曲线可以用直线来拟合,RM和SM关于p的曲线可用二次曲线来拟合,对于SM和RM有SM(12)=RM(12).]]>从而可以建立关于p的二次方程2(d1+d0)z2+(d-0+d-1-d1-3d0)z+(d0-d-0)=0其中,d0=RM(p2)-SM(p2),d1=RM(1-p2)-SM(1-p2),d-0=R-M(p2)-S-M(p2),]]>d-1=R-M(1-p2)-S-M(1-p2),]]>最后通过求解方程的根得到消息长度p作出估计p=zz-0.5.]]>上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域LSB隐写的隐写检测模块有五个,第二个SPA检测模块具体描述如下该检测模块把图像全体像素视为集合P,将P分为互不相交的基本集X、Y和ZX={(u,v)|(u,v)∈P,u<v且v为偶数或者u>v且v为奇数);Y={(u,v)|(u,v)∈P,u>v且v为偶数或者u<v且v为奇数);Z={(u,V)|(u,V)∈P,u=v)。
对于基本集Y进一步分为两个子集W和VW={(u,v)|(u,v)∈P,u=2k+1,v=2k或者u=2k,v=2k+1);V=Y-W。
对于LSB替换对像素值的改动定义为四种修改模式1)u、v保持不变,对应模式00;2)只有u改变,对应模式10;3)只有v改变,对应模式014)u、v都改变,对应模式11。
根据基本集的定义,可得出基本集的构成形式如下
对于P中任一子集A,将A中像素值因LSB替换而被修改的概率定义为ρ(π,A),其中π∈{00,01,10,11},以p表示嵌入消息比例,由此可计算出像素值被修改的概率ρ(00,P)=(1-p/2)2;ρ(01,P)=ρ(10,P)=p/2(1-p/2)ρ(11,P)=(p/2)2]]>根据以上的定义作出两个假设1)基本集X与Y的势相同,即|X|=|Y|;2)对于任一像素集合A∈{X,V,W,Z),π∈{00,01,10,11)有ρ(π,A)=ρ(π,P)。
假设1对于自然图像来说是成立的,因为自然图像的像素值在不同方向上的梯度为正或为负的概率是相同的,假设2即指嵌入的消息随机的散布在整幅图像中,消息的分布与图像灰度的分布是相互独立的。LSB替换将会使像素值在四个基本集之间相互转换,从而使基本集的势产生改变。与RS检测模块类似,该模块依据像素值被改变的概率描述基本集的势在嵌入消息前后的改变,以X'、V'、W'、Z'表示嵌入消息后的载密图像的基本集,可建立方程|X′|=(1-p2)|X|+p2|V|;|V′|=(1-p2)|V|+p2|X|;|W′|=(1-p+p22)|W|+p(1-p2)|Z|.]]>其中X'+V'+W'+Z'=P,根据两个基本假设可化简得0.5γp2+(2|X'|-|P|)p+|Y'|-|X'|=0,其中γ=|W'|+|Z'|=|W|+|Z|,上式中的参数均可由载密图像得到,通过解方程得到的绝对值较小的那个根就是对p的估计。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域LSB隐写的隐写检测模块有五个,第三个DIH检测模块具体描述如下该检测模块利用载体图像和载密图像的差分直方图在嵌入消息前后的变化的差异找出隐蔽信息的痕迹,进而对隐蔽信息的大小作出估计。
原始载体图像和载密图像的差分直方图外形轮廓并没有太大的差异,都可以用广义高斯模型很好地拟合,差别在于广义高斯模型中的形状因子有随着嵌入的秘密消息长度增加而增大的趋势。如果对图像的LSB平面进行置零或置反的操作就将发现,载体图像的差分直方图在操作前后将发生明显的变化,其外形轮廓没有很好的保持近似广义高斯曲线的形状,而载密图像的差分直方图却几乎没有任何改变,这样的统计差异成为DIH检测模块的基础。
记被测试图像的差分直方图为hi,图像LSB平面置零和置反后差分直方图分别为gi和fi。分析可知,对hi,gi和fi存在如下关系h2i=f2i=a2i,2ig2i,h2i+1=a2i,2i+1g2i+a2i+2,2i+1g2i+2,f2i+1=a2i,2i-1g2i+a2i+2,2i+3g2i+2。
结合对称性假设a0,1≈a0,-1,可得递推公式a0,1=g0-h02g0,a2i,2i=h2ig2i,a2i,2i-1=h2i-1-a2i-2,2i-1g2i-2g2i,a2i,2i+1=1-a2i,2i-a2i,2i-1.]]>构造统计量αi=a2i+2,2i+1a2i,2i+1,βi=a2i+2,2i+3a2i,2i-1,γi=g2ig2i+2]]>对于自然图像有a2i,2i+1g2i≈a2i+2,2i+1g2i+2,随着嵌入消息长度的增加,αi的值将会减小,当图像的LSB平面100%嵌入消息时,即p=1时,αi减小到1,这是分析的基础。统计试验表明,αi与p之间的变化关系可以用二次多项式来进行拟合,即y=ax2+bx+c。利用四个关键点P1=(0,γi),P2=(p,αi),P3=(1,1)和P4=(2-p,βi),可得关系式c=γiap2+bp+c=αia(2-p)2+b(2-p)+c=βia+b+c=1]]>记d1=1-γi,d2=αi-γi,d3=βi-γi,依据上式的约束关系经化简得2d1p2+(d3-4d1-d2)p+2d2=0。上述方程的两个根中绝对值小的那个就是我们要估计的嵌入比例p。若方程中判别式小于零,此时应判断是否满足αi≈βi≈1,如果满足,表明嵌入比例p≈1。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域LSB隐写的隐写检测模块有五个,第四个LSM检测模块具体描述如下该检测模块在SPA检测模块的有限状态机的基础上,加入了最小方差估计,提高了检测的精度,分析了SPA检测模块关键假设所带来的误差εm=|Y2m+1|-|X2m+1|,沿用SPA检测模块对像素对集合|Cm|、|Dm|、|Y2m+1|、|X2m+1|的定义,即|Cm|像素对的值右移一位后像素值差值为m的像素对;|Dm|像素对的差值得绝对值为m的像素对|X2m+1|像素对的值差的绝对值为2m+1,且偶数较大的像素对数;|Y2m+1|像素对的值差的绝对值为2m+1,且奇数较大的像素对数。
根据SPA检测模块的推导可得如下两个方程(|Cm|-|Cm+1|)p2/4-(|D2m′|-|D2m+2′|+2|Y2m+1′|-2|X2m+1′|)p/2+|Y2m+1′|-|X2m+1′|=ϵm(1-p2)(m>1);]]>
(2|C0|-|C1|)p2/4-(2|D0′|-|D2′|+2|Y1′|-2|X1′|)p/2+|Y1′|-|X1′|=ϵm(1-p)2)(m=0).]]>每个像素为b比特编码,则m有2b-1-1个不同的取值,因此可构造不同的2b-1-1个方程,对于不同的2b-1-1个方程,利用最小二乘法和极小化的参数估计方法,求出使方程右边的平方和有极小值的p值,以p值作为嵌入率的估计。
令|Am|=(|Cm|-|Cm+1|)/4、|Bm|=-(|D2m|-|D2m+2|+2|Y2m+1|-2|X2m+1|)/2、|Em|=|Y2m+1|-|X2m+1|,则以上第一个方程左边化为Amp2+Bmp+Em,平方后为Am2p4+(2AmEm+Bm2)p2+2BmEmp+Em2,]]>类似可得所有方程左边的平方和S(p)为S(p)=Σm=0jAm2p4+2Σm=0jAmBmp3+Σm=0j(2AmEm+Bm2)p2+2Σm=0jBmEmp+Σm=0jEm2]]>对S(p)求导得4Σm=05Am2p3+6Σm=05AmBmp2+2Σm=05(2AmEm+Bm2)p+2Σm=05BmEm]]>使S′(p)=0的p值,即使S(p)有极小值的p值就是对嵌入率的估计。但方程S′(p)=0可能存在三个互异实根,因此需要考虑S″(p),即可使S″(p)>0的p值就是最终确定的嵌入率估计。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域LSB隐写的隐写检测模块有五个,第五个卡方检测模块具体描述如下基于像素值对(Pair of Values,PoVs)的统计分析方法是出现最早的针对空间域LSB类算法的隐写分析方法,像素值对是在替换像素的LSB时相互转换的两个灰度值,对于8比特的灰度图像来说,像素值对就由以下值对构成01,23,…,254255。在嵌入消息以后构成值对的灰度值数目将趋于一致,利用这一统计特征,定义一个卡方统计量χk-12来测试检测图像是否存在这种统计特性,其中χk-12=Σi=1k(ni-ni′)2ni′]]>以c2i表示灰度值为2i的象素数,定义上式中的ni=c2i,ni′=c2i+c2i+12,]]>ni=ni′]]>的概率为p=1-12k-12Γ(k-12)∫0χk-12e-x2xk-12-1dx]]>通过计算测试图像的p值来判断图像中是否含有秘密消息,同时对图像进行连续的卡方检验,通过观察p的变化可以估计出秘密消息的大小。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对空间域BPCS隐写的隐写检测模块有一个,具体描述如下通过对秘密信息的小块的复杂度直方图分析我们得知,秘密信息小块的复杂度主要集中在50~70附近,在低复杂度和高复杂度范围内多为0,而图像的复杂度直方图在这个范围内变化比较平缓,当嵌入秘密信息后必然在直方图引起波动。
利用这一特性对得到的图像数据进行BPCS隐写,然后比较隐写前后的复杂度直方图连续性,当原图像不包含秘密信息时,进行BPCS隐写必然使其连续性发生明显变化,表现在数据上即相临点差的最大值变大,相反,如果原图像包含秘密信息则变化不会太明显。但是这种分析需要一定的数据量,因此对于较大的图像(通常512×512)有比较好的效果。根据这样的特征设计了针对空间域BPCS隐写的检测模块,并取得了良好的检测效果。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对结构隐藏的隐写检测模块有两个,第一个基于BMP图像的结构检测模块具体描述如下该检测模块以基于BMP图像的采用格式或挂接式隐藏的隐写软件为检测对象。BMP图像格式中存在着诸多可用于隐藏信息的冗余位,如文件头中的保留位,信息头中调色板的保留位,在信息头与图像数据之间的偏移数据段,以及图像数据中对每行像素数据长度补足为4的倍数的补足位。
其次,可在图像文件结束之后挂接秘密信息,在这些冗余位中插入秘密信息不会对图像的正常使用产生影响,通过对BMP图像文件格式进行全面分析可发现隐藏于冗余位与图像文件之后的秘密信息,并可将秘密信息以较高的准确率提取出来,对于没有加密功能的软件则可得到隐藏的原始信息。
上述的统计和结构检测模块,其特征在于八个核心检测模块中,针对结构隐藏的隐写检测模块有两个,第二个基于JPEG图像的结构检测模开具体描述如下该检测模块以基于JPEG图像的采用格式或挂接式隐藏的隐写软件为检测对象。JPEG图像格式相对BMP图像更为复杂,主要是数据段定义较为复杂,目前基于JPEG图像结构隐藏的隐写软件主要采用两种方式进行隐藏,一种是将秘密信息作为注释插入到图像格式的注释段中,另一种是挂接式隐藏,通过结合JPEG图像格式中的数据段标识与隐写软件的特征标示符,可对秘密信息的数据段进行定位并行提取。
上述的统计和结构检测模块,其特征在于对集成的多个检测模块使用融合技术,为提高检测的可靠性,核心检测模块的融合机制采用对检测结果取并的方法,具体描述如下在检测设置中如果选择了多个检测模块,每一个检测模块都将产生一个检测结果,通过折衷虚警与漏警带来的干扰,基于融合的判决机制为如果检测模块对检测对象的检测结果超过了设定的阈值,则判决检测对象为隐秘对象,令该判决结果为“真”,否则令判决结果为“假”。如果选择多个模块进行检测,则当所选模块的检测结果均为“真”时,判决检测对象为隐秘对象,否则判决为非隐秘对象。
上述的统计和结构检测模块包含了五个针对空域LSB隐写的隐写检测模块,一个针对空间域BPCS隐写的隐写检测模块,以及两个针对结构隐写的隐写检测模块。本发明采用联合取并的融合技术,对多种模块的检测结果进行联合判决,从而消除了单个模块适用范围窄,平均检出率低、虚警率高等缺陷,实现了对多种载体类型、多种隐写方式的高质量、高效率检测。
图1是本发明的窗口主界面视图。
图2是本发明的文件类型子窗口视图。
图3是本发明的统计检测子窗口视图。
图4是本发明的结构检测子窗口视图。
图5是本发明的总体流程图。
图6是本发明的RS检测模块流程图。
图7是本发明的SPA检测模块流程图。
图8是本发明的DIH检测模块流程图。
图9是本发明的LSM检测模块流程图。
图10是本发明的卡方检测模块流程图。
图11是本发明的BPCS检测模块流程图。
图12是本发明的基于BMP图像结构检测模块流程图。
图13是本发明的基于JPEG图像结构检测模块流程图。
具体实施例方式
本发明以八个检测子模块构成核心检测模块,实现了对目前主流的隐写方法生成的载密文件(BMP图像、JPEG图像、WAVE音频等)的可靠检测,其具体实施检测在主界面的“扫描选项”中分为两种检测方式。第一种方式是通过选择“检测文件”对单个或多个文件进行检测。首先,“检测文件”对应选择检测文件的“打开”对话框,在该对话框中可选一个或多个文件进行检测,可选的文件格式有三种BMP图像、JPEG图像与WAV音频。文件选择完毕将弹出“统计检测”子窗口,在该窗口中选择扫描检测所使用的统计检测模块,共有RS检测模块、SPA检测模块、DIH检测模块、BPCS检测模块、卡方检测模块、LSM检测模块六个检测模块可供选择,同时设定检测判决的门限值(缺省值为0.05),设定后选择“确定”将弹出“结构检测”子窗口,在该窗口中选择扫描检测所使用的结构检测模块,共有格式检测和挂接检测两个检测模块可供选择,检测模块设定后选择“确定”将对扫描到的每个文件以选定的模块进行检测,在“扫描状态”与“隐秘文件列表”中显示检测结果。
第二种方式是通过选择“扫描路径”对某个文件夹中的所有文件进行扫描检测。首先,选择“扫描路径”在“浏览文件夹”对话框中选择所要扫描的文件夹。其次,在扫描开始前必须进行的设置项有在“保存路径”中选定扫描日志文件的保存路径;在“文件类型”子窗口中设定扫描检测的文件格式BMP图像、JPEG图像或WAV音频;在“统计检测”子窗口或“结构检测”子窗口(二者可选择其一,也可同时设定)中选择使用的检测模块,检测模块的选择与第一种检测方式相同。以上选项设置完毕,则可选择“开始扫描”以开始扫描检测进程,扫描开始后可选择“暂停扫描”或“停止扫描”来暂停或终止扫描进程。最后,在“扫描状态”中将实时显示当前扫描的文件夹路径、当前扫描的文件、已扫描的文件数以及已判为载密文件的文件数,在“隐秘文件列表”中实时显示出已判为载密文件的文件列表和各检测模块对各个隐秘文件的检测结果。
本发明通过对多个检测模块的检测结果以联合取并的融合机制进行联合判决,对目前主流的隐写方法具有很好的适用性,减少了单个检测模块虚警率高的影响,实现了对主流数字媒体格式中的主流隐写方法的可靠检测,同时具有良好的扩展性,便于集成新的检测模块,升级系统的检测性能。
权利要求
1.一种基于统计检测和结构检测的隐写分析系统,系统的核心模块集成了六种统计检测算法和两种结构检测算法,通过使用融合技术,对图像或音频文件运用多种算法进行检测,判断检测对象是否存在隐蔽信息。其具体操作方式有两种第一种,针对指定的文件的检测,显示检测结果,具体操作步骤如下1)浏览选择一个或多个待检测文件,可选择的文件类型包括BMP图像、JPEG图像和WAV音频;2)选择采用的统计检测算法,包括RS检测、SPA检测、DIH检测、BPCS检测、卡方检测和LSM检测,并设定阈值,阈值取值范围为
,缺省设置值为0.05;3)选择采用的结构检测算法,包括挂接检测和格式检测;4)在界面的“隐秘文件列表”一栏实时显示检测结果,即可疑文件列表,包括检测出的可疑文件名和各个选定算法估计出的隐藏信息量。在界面的“扫描状态”栏中显示当前的检测状态,包括当前检测文件的路径、当前检测文件名、已检测文件数、检测到的可疑文件数和检测扫描速率等信息。第二种,针对指定的文件夹的检测,显示检测结果,并在指定路径中生成检测结果报告,具体操作步骤如下1)浏览选择扫描的文件夹路径,选定的路径下所有指定格式的文件都将被检测;2)浏览选择保存路径,在选定路径下将生成一个以扫描运行时间为文件名的文档文件,该文档即为扫描结果;3)点击“文件类型”,选择所要检测的文件类型,包括包括BMP图像、JPEG图像和WAV音频;4)点击“统计检测”,选择采用的统计检测算法,包括RS检测、SPA检测、DIH检测、BPCS检测、卡方检测和LSM检测,并设定阈值,阈值取值范围为
,缺省设置值为0.05;5)点击“结构检测”,选择采用的结构检测算法,包括挂接检测和格式检测;6)点击“开始扫描”,开始对指定路径中的指定类型的文件使用选定的检测算法进行扫描检测,点击“暂停扫描”,“停止扫描”等可对扫描进程进行控制;7)扫描过程中,在界面的“隐秘文件列表”一栏实时显示检测结果,包括检测出的可疑文件名和各个选定算法估计出的隐藏信息量,在界面的“扫描状态”栏中显示当前的扫描状态,包括当前扫描路径、当前扫描文件名、已扫描文件数、检测到的可疑文件数和检测扫描速率等信息,同时生成相应的检测结果报告,检测结果报告内容包括扫描时间、路径、检测文件类型、扫描检测文件和检测出的可疑文件,以及对可疑文件的检测结果等信息。
2.根据权利要求书1所述的统计和结构检测方法,其特征在于上述第一种和第二种操作方式使用相同的内部算法模块和架构,系统的核心检测模块集成了六种相互独立,具有不同检测原理的统计检测算法和两种具有不同针对性的结构检测算法,从而能够对以常见媒体格式为载体,使用主流隐写工具生成的隐写文件进行可靠检测。对多种同类检测算法使用融合技术能够有效提高检测的可靠性,并能满足多种媒体类型同时处理的网络实时性需求。集成的八种检测算法具体包括RS检测、SPA检测、DIH检测、BPCS检测、卡方检测和LSM检测等六种统计检测算法,以及挂接检测和格式检测两种结构检测算法。
3.根据权利要求书2所述的统计和结构检测方法,其特征在于八种核心检测算法中,包含五种针对空间域LSB隐写的隐写检测算法,具体描述如下针对空间域LSB隐写的隐写检测方法,针对的检测对象是以BMP图像和WAV音频为载体的基于LSB隐藏算法的隐写软件,采用了目前最具代表性的针对LSB隐藏算法的隐写分析算法,包括卡方检测法、RS算法、SPA算法、DIH算法和LSM算法。上述算法最早提出是针对BMP图像中的LSB隐藏算法,可对连续嵌入和随机位置嵌入的LSB算法进行可靠检测。经过进一步研究发现,基于WAV音频的LSB隐藏算法具有与BMP图像相类似的统计特性,因此应用上述检测算法对WAV音频中的LSB算法进行检测是可行的,在此基础上,将卡方检测法、RS算法、SPA算法和DIH算法扩展应用到针对WAV音频的LSB隐藏算法的检测中,取得了良好的检测效果。利用该类的隐写分析软件可对隐藏算法已知为LSB算法的,以BMP图像和WAV音频为载体的隐写软件进行有效的检测,如Blindside v0.9、BMP Secrets、S-Tools v4.0、Puffer 4.02、Eshow等。
4.根据权利要求书2所述的统计和结构检测方法,其特征在于八种核心检测算法中,包含一种针对空间域BPCS隐写的隐写检测算法,具体描述如下BPCS算法是基于BMP图像的可实现大容量隐藏的隐写算法,借鉴了LSB算法中位替换的思想,采用块替换的方法嵌入信息。该算法将图像不同的位平面分割为大小相同的像素块,以复杂度来区分像素块是否可用,以秘密信息构造的数据块去替换可用像素块,这样的替换方式将会对图像的复杂度直方图的分布特征产生影响。正常图像的复杂度直方图分布具有很好的连续性,但秘密信息一般与图像是不相关的,信息的嵌入将会破坏图像的相关性,这将影响复杂度直方图分布的连续性,在直方图中出现明显的峰值,根据这样的特征设计了针对空间域BPCS隐写的隐写检测算法,并取得了良好的检测效果。
5.根据权利要求书2所述的统计和结构检测方法,其特征在于八种核心检测算法中,包含两种针对结构隐藏的隐写检测算法,具体描述如下针对结构隐藏的隐写检测方法的检测对象为BMP图像和JPEG图像。1)以基于BMP图像的采用格式或挂接式隐藏的隐写软件为检测对象,如AppendX、Camouflage、Steganography、Masker等。BMP图像格式中存在着诸多可用于隐藏信息的冗余位,如文件头中的保留位,信息头中调色板的保留位,在信息头与图像数据之间的偏移数据段,以及图像数据中对每行像素数据长度补足为4的倍数的补足位。其次,可在图像文件结束之后挂接秘密信息,在这些冗余位中插入秘密信息不会对图像的正常使用产生影响,通过对BMP图像文件格式进行全面分析可发现隐藏于冗余位与图像文件之后的秘密信息,并可将秘密信息以较高的准确率提取出来,对于没有加密功能的软件则可得到隐藏的原始信息。2)以基于JPEG图像的采用格式或挂接式隐藏的隐写软件为检测对象,如JpegX、Camouflage、Invisible Secrets、Masker等。JPEG图像格式相对BMP图像更为复杂,主要是数据段定义较为复杂,目前基于JPEG图像结构隐藏的隐写软件主要采用两种方式进行隐藏,一种是将秘密信息作为注释插入到图像格式的注释段中,另一种是挂接式隐藏,通过结合JPEG图像格式中的数据段标识与隐写软件的特征标示符,可对秘密信息的数据段进行定位并行提取。
6.根据权利要求书2所述的统计和结构检测方法,其特征在于对集成的多个检测算法使用融合技术,为提高检测的可靠性,核心检测模块的融合机制采用对检测结果取并的方法,具体描述如下在检测设置中如果选择了多个检测算法,每一个检测算法都将产生一个检测结果,通过折衷虚警与漏警带来的干扰,基于融合的判决机制为如果检测算法对检测对象的检测结果超过了设定的阈值,则判决检测对象为隐秘对象,令该判决结果为“真”,否则令判决结果为“假”。如果选择多个算法进行检测,则当所选算法的检测结果均为“真”时,判决检测对象为隐秘对象,否则判决为非隐秘对象。
全文摘要
本发明公开了一种基于统计检测和结构检测的隐写分析系统,该系统的核心检测模块集成了六个统计检测模块和两个结构检测模块,可对以常见的图像音频为载体,如BMP图像、JPEG图像和WAVE音频,使用主流的隐写技术,如空间域的LSB隐写、BPCS隐写和结构隐写,进行隐藏的载密文件进行可靠检测。本发明通过对多个检测模块的检测结果以联合取并的融合机制进行联合判决,对目前主流的隐写方法具有很好的适用性,减少了单个模块适用范围窄、平均检出率低、虚警率高等缺陷,实现了对多种载体类型、多种隐写方式的高质量、高效率检测,同时具有良好的扩展性,便于集成新的检测模块,升级系统的检测性能。
文档编号G06F21/00GK1920877SQ20061011318
公开日2007年2月28日 申请日期2006年9月19日 优先权日2006年9月19日
发明者陈铭, 饶华一, 史亚维, 张茹, 钮心忻, 杨义先 申请人:北京邮电大学