面向数字取证的异常隐写检测分析方法及系统研究

姚秋凤，麦永浩，吴燕波

（湖北警官学院，湖北 武汉430034）

一、引言

隐写及隐写分析，是数字取证技术中非常重要的研究内容。隐写是将秘密信息嵌入到数字图像、音频、视频等公开的正常载体中进行隐性传输的技术。隐写术是随着互联网发展起来的新型安全技术，在信息安全保障体系的诸多方面发挥着重要作用。网上已有大量可自由下载的隐写软件，尤其是以图像为载体的隐写软件数量最多。这些软件在给人们提供新的安全隐蔽通信手段的同时，也带来了新的隐患和威胁，它往往会被敌对势力和不法分子所利用，容易被犯罪集团用于策划犯罪活动，或被内部人员用来向外泄露公司的秘密信息。由于网络的开放性、全球性、共享性和动态性发展，信息安全问题日益突出。因此，开展隐写取证研究，对于网络监控、数字取证、司法鉴定，以及发现和研判基于信息隐藏的隐蔽行为等，具有重要的理论价值和现实意义。

二、问题的提出

隐写术是关于信息隐藏的技术，其基本要求是要有极高的安全性及足够的信息隐藏量，尤其以安全性为首要技术指标。与此相对应，隐写分析是检测和提取隐写信息的技术，它是解决非法使用隐写术的关键技术，其任务就是检测隐藏信息的存在性，识别隐藏算法，指出媒体中存在其他秘密信息的可疑性，甚至抽取并恢复隐藏的信息。近年来，隐写检测分析技术引起了国内外科研机构的广泛关注，逐渐成为较为活跃的热门研究领域。隐写检测技术，通常分为针对特定隐写的检测和通用盲检测两大类：前者是在已知所使用的隐写方法的基础上，判定待检对象是否含有隐写信息；后者是在未知具体隐写方法的前提下，判定待检对象是否含有隐写信息。两者的适用范围、侧重点和检测方法各有不同。某些隐写软件在隐秘图像中留下标识特征，可通过分析待检测对象中是否出现该标识特征来实现检测。隐写技术在隐藏信息时，改变了载体数据流的一部分，虽然不改变感觉效果，但往往改变了原始载体数据的统计性质，因此，对信息隐藏情形的判断，建立在给定载体的统计性质是否属于非正常情况的前提下。

数字取证的分析过程是取证的关键步骤，对待取证数据的隐写检测分析，多数是靠取证人员的个人判断能力和积累的经验。还有部分鉴定人员选择用两个或多个隐写分析工具进行取证，但是，取证人员的主观判断和分析工具的不规范性，很难保障数字取证过程的客观真实性，这样一来，取证鉴定结果的可用性和准确性容易引起各方的争议。随着信息技术的不断发展，隐写技术得到了长足进步，与此相对应的隐写检测分析方法也有很多比较成熟，如标志特征分析法和统计特征分析法等，取证人员已经将其应用于数字取证领域。然而，随着个人计算机和便携式移动终端的与日俱增，利用相关电子设备如计算机或手机直接进行电子犯罪，或牵涉到以上电子设备的案件数量也直线上升。虽然国内外学者在隐写检测技术方面取得了许多优秀研究成果，但还没有形成成熟的、系统化的理论体系，目前尚无有效的隐写信息提取方法。检测技术主要是针对载体中内容的统计特征进行检测，隐写取证主要依赖于载体中隐秘信息的存在性检测，手段单一，在实际使用中的准确性较低。

在司法鉴定中，隐写分祈的最终目标，是为了提取出秘密信息作为呈堂证据，在进行数字取证时，取证人员往往需要运用多种隐写检测分析方法，多数情况下检测分析对象也是不确定的，因此，如何高效精准地实现数字取证隐写分析，成为亟待解决的问题。

三、研究方案

（一）建立科学的系统流程

基于多年对隐写和隐写分析的理论研究和实践探索，通过联合运用特征分析法与统计分析法，对取证数据进行异常隐写检测分析，提出面向数字取证的异常隐写检测分析方案。因它能有效提高数字取证过程中的隐写分析速度，提升隐写分析的精准度，故应建立科学的系统流程（图1）。步骤如下：

图1面向数字取证的异常隐写检测分析方法流程

S1：从镜像文件获取待取证数据对象。

S2：按照数字取证规则，对所述镜像文件的待取证数据对象，进行局部标志特征异常分析。对所述待取证数据对象的主要特征，进行识别并按照在异常检测分析中所起到作用的重要程度进行排序，依次对该数据对象的各个局部特征进行检测，检测到某特征存在异常则停止检测，不然继续检测，直到最后1个特征检测完毕，得到异常分析结果。

S3：根据所述异常分析结果，判定数据对象是否异常。若存在异常，生成异常检测报告，执行S4；若不存在异常，执行S5。

S4：将存在异常的检测数据对象，标记为怀疑对象，同时将怀疑对象移动至观察区进行隔离，然后执行S5。

S5：对S2获得的所述镜像文件的取证数据，或S4获得的怀疑对象，用统计特征分析法，参照训练集和特征库中的异常隐写模型，对待取证数据或被怀疑对象，用统计特征分析法进行异常隐写检测分析

S6：根据所述隐写分析结果，判定异常隐写的可能性是否为0，若隐写可能性为0，执行S1；若隐写可能性不为0，执行S7。

S7：生成异常隐写检测报告，展现S3获得的异常检测分析结果和S6判定后，得到异常隐写检测分析结果。

（二）建立科学的系统模块

面向数字取证的异常隐写检测分析，需建立7个系统模块（图2），分述如下：

图2面向数字取证的异常隐写检测分析系统模块

101：.取证数据获取模块。用于从镜像文件获取待取证数据对象。

102：异常检测分析模块。用于对所述镜像文件的待取证数据，用局部标记特征分析法进行异常分析，得到异常分析结果。

103：异常判定模块。根据所述异常分析结果，判定数据对象是否异常，若存在异常，生成异常检测报告，执行异常处理模块；若不存在异常，执行隐写检测分析模块。

104：异常处理模块。将存在异常的检测数据对象标记为怀疑对象，同时将怀疑对象移动至观察区进行隔离，然后执行隐写检测分析模块。

105：隐写检测分析模块。对异常检测分析模块获得的所述镜像文件的待取证数据，或异常处理模块获得的怀疑对象，用统计特征分析法，参照训练集和特征库中的数据进行隐写检测分析。

106：隐写判定模块。根据所述隐写分析结果，判定异常隐写的可能性是否为0，若隐写可能性为0，执行取证数据获取模块；若隐写可能性不为0，执行异常隐写取证分析展现。

107：异常隐写取证分析展现模块。生成异常隐写检测报告，展现异常判定模块获得的异常检测分析结果、隐写判定模块判定后得到的异常隐写检测分析结果。

（三）实施方式

某些隐写软件在隐秘的图像、音频或视频等载体信息中留下的标识特征，可通过分析待检测对象是否出现该标识特征来实现检测。面向数字取证的局部特征检测法可理解为：对取证数据对象的主要特征进行识别，并按照在异常检测分析中所起到作用的重要程度进行排序。依次对该数据对象的各个局部特征进行检测，检测到某特征存在异常则停止检测；不然，继续检测，直到最后1个特征检测完毕。

统计检测法，主要根据载体信息某些统计特征性的变化进行有效分析，通过判定给定载体的统计性质是否属于非正常情况，就可判断是否含有隐藏信息。面向数字取证的统计检测法可理解为：统计分析需要得到原始载体数据的理论期望频率分布，再参照训练集和特征库中的模型与待测数据对象进行比对。

将局部特征检测法与统计检测法，联合运用于数字取证的异常隐写检测分析，利用两种检测方法各自不同的优势进行互补，在一定程度上保证了数字取证过程中隐写检测分析结果的准确性。如果分析的程度不够彻底，或分析方法的选择错误，都会对取证结果的准确性产生负面影响。为了解决这一问题，要将局部特征检测法与统计检测法联合运用于数字取证的异常隐写检测分析，会在一定程度上避免上述错误的发生，以保证呈堂证据的可采性和精准度。

[1]麦永浩.计算机取证与司法鉴定（第2版）[M].北京:清华大学出版社,2014.

[2]钮心忻,杨义先.信息隐写与隐写分析研究框架探讨[J]电子学报,2006(12A):2421-2424

[3]陈铭.隐写与隐写分析算法及实践分析[J].2008(4).

[4]张文华,向阳,潘天奎.一种图像隐写分析方法[J].计算机与现代化,2011(11).

[5]刘完芳,常卫东,刘典型.基于二值图像的信息隐藏与分析研究[J].中国科技信息,2011(20).

[6]孙子文,李慧,纪志成.基于D-S证据理论的融合图像隐写分析[J].控制与决策.2011(8).