信息隐藏技术及应用

◎中国科学技术大学 张卫明

◎合肥高维数据技术有限公司 田辉

信息隐藏是将消息嵌入某种载体以实现隐蔽通信、存储或认证的一种技术。从古希腊战争、一战、二战到本世纪的美俄间谍战，信息隐藏技术伴随着人类军事、政治斗争的历史不断发展。目前可以实现各种格式消息内容隐藏在几乎所有普通的多媒体文件中，实现数据伪装后本地存储与网络传输，最终实现重要数据不被第三方关注的目的。

近年来现代信息隐藏技术与恶意代码、僵尸网络等工具结合成为情报获取和网络突防的利器，是典型的“非对称”技术。另一方面，随着大数据、云计算的发展，大众隐私泄露问题也日益严重。特别是深度神经网络、计算机视觉技术的发展使得图像内容隐私保护变得尤为困难。而信息隐藏技术在多媒体内容隐私保护方面可以发挥独特作用。

传统的加密技术是一种“内容安全”技术。大数据时代，依托传统的加密技术实现的数据安全受到极大挑战，主要体现在：加密技术使得加密信息以乱码的密文形式存在，数据汇总后，密文数据在整体数据比例中占比低于3%，容易引来关注，从而成为数据挖掘的重点。

信息隐藏技术是一种“行为安全”技术。大数据时代，与加密技术进行互补，实现“内容安全”与“行为安全”的完美融合。随着移动互联网、大数据技术的进一步发展，网络安全将从传统的“内容安全”向“行为安全”转变，基于信息隐藏技术应用在军事、大众等市场将会得到更多的应用。围绕信息隐藏的正向、反向的攻防战也将展开。

一、正向：基于信息隐藏技术的“行为安全”

（一）军事应用

现代隐藏技术是古典隐藏思想与现代媒体和通信技术的融合。隐藏与加密的区别在于：加密隐藏了消息内容，但泄露了秘密通信过程；而隐藏技术不仅要隐藏消息内容，而且要隐藏通信过程本身。其实，现代隐藏技术通常与密码技术结合使用，即先加密再隐藏。隐藏和伪装是军事斗争在战术和战略层面都要追求的属性之一，所以信息隐藏在战争中有非常重要的作用。

隐藏技术在本世纪最有名的案例就是9·11恐怖袭击事件。2001年，美国各大媒体，包括CNN、ABC、FOX News等相继报道本·拉登为首的恐怖组织使用隐写工具策划恐怖活动，躲过美情报机构的监控，这是典型的非对称战争下的非对称技术应用。另一个著名的例子是2010年的美国间谍战，当时有明确的证据表明俄方使用了隐藏技术传递情报。

现代隐藏技术已发展到很高的水平，通过采用复杂的编码技术，可以对抗机器学习在高维空间训练出的检测算法。隐藏技术的一个发展趋势是从早期单纯的隐秘通信，发展到近几年跟恶意代码结合在一起，来穿过防火墙盗取信息，或者进行渗透攻击。未来的趋势是进一步跟平台结合，例如跟社交网络结合，以媒体分享为掩盖窃取回传消息，形成一个隐蔽的通信网络。这样一个隐秘的网络，除了窃取信息，也有可能被用来做攻击，从而形成网络攻击武器的发射平台。

在“棱镜门”监听事件曝光后，国家为了保护涉密的重点人群，为他们配备了加密手机，使他们之间在通信联络时，对通信内容进行加密。加密手机是更加安全了还是更不安全了呢？用加密手机的初衷是为了防止第三方监听，那能实现初衷吗？

监听方怎么说？美国安局分辩说没有监听通话内容，只是收集手机通信的元数据。元数据指通话号码、时间、位置等背景数据。但是前美国中央情报局和国家安全局局长迈克尔·海登曾公开说：“我们可以基于元数据杀人。”美国国家安全局前法律总顾问斯图尔特·贝克尔认为，“元数据绝对可以告诉你某个人其生活的一切事情。如果你有足够多的元数据，你就不需要数据内容。”

因为加密手机仅加密了通信内容，而使用加密通信的人太少，在整体人群中占比不足1%，对于监听方来说更加容易被发现。一旦暴露了通信过程，就会进一步暴露同样使用的加密手机的所有人、组织，进而暴露出相关人的社交关系，而后者带来的隐患更严重。

为了对抗监听，可以基于目前最先进的隐藏编码技术来做隐蔽通信工具。通过信息隐藏技术把用户1个或多个重要文件，隐藏在1个或多个普通的载体文件中。如果被攻击或者窃取，攻击者或窃取者仅能看到一些普通形式的多媒体文件，不会引起关注，从而实现数据安全。当然网络安全是相对的，如果攻击者发现异常，他需要在普通多媒体文件中提取隐藏内容，而这个相对难度更高。再者，如果攻击者提取出隐藏的重要文件，因为文档是加密后再隐藏的，所以攻击者还要面临解密的问题。所以信息隐藏与加密互补融合，实现了更加多重的安全保障。

（二）大众需求

信息隐藏技术不仅在军事领域有广泛的应用前景，在大众的隐私保护、版权保护、防攻击等方面也有明确的需求。最容易想到的应用是基于水印技术做版权保护。但版权保护并不具备大众属性。其实，一个更普遍的应用需求是隐私保护。比如智能手机的快速普及，与智能手机强关联的手机云、云盘、网盘大行其道，大众把个人的图片音视频等文件上传到第三方的云盘上作为备份。2014年icloud好莱坞艳照门事件、2015年SnapChat出现用户隐私照片泄露事件等都是典型的云存储安全事件。

2015年是人工智能爆发的一年，其中有一个标志性的事件，就是ImageNet图像分类挑战赛，微软开发的系统分类图片的准确性首次超越了人类视觉。今年，李世石与AlphaGo的人机大战更是使人工智能成为全社会的关注焦点。但我们在欢呼人工智能技术突飞猛进的时候，也有人在唱反调，比如霍金和特斯拉/SpaceX的CEO埃隆·马斯克，他们因担忧人工智能的失控将带来严重威胁而获得“阻碍科技进步奖——卢德奖”。

霍金与马斯克的担忧离我们并不遥远，在当下已初露端倪。例如，计算机视觉识别技术的发展就可能带来隐私泄露。俄罗斯的一个摄影师，利用照片和应用程序FindFace(能利用面部识别将社交媒体帐户信息与照片联系起来的神经网络)，展示人们究竟有意无意地在网上泄露了多少信息。不幸的是，他的警告马上被网友付诸实际，用来挖掘隐私。再比如，我们每天在社交平台上发布很多自己的照片，而现在有专业的营销公司正在挖掘用户社交媒体的自拍照，进行分析研究，为他的客户服务，这无疑会带来隐私泄露，并在某些情况下（比如涉及儿童信息时）带来严重后果。

怎么来解决这个问题？人们一方面想让机器更智能更强大，解决各种难题；另一方面，又必须寻找机器解决不了的问题以保证安全。我们在图片分享过程中保护隐私，希望干扰机器视觉而不影响人类视觉，但是机器视觉的能力在超越人。一方面我们想保护隐私，但是另一方面我们又想分享。如何挖掘机器智能与人类智能之间的差异，同时保障安全和可用性，这是现在和未来人类不得不面临的一个深刻问题。

对于图像内容隐私泄露，现在窥探隐私的机器之眼通常是使用深度神经网络等模型训练出来的，目前有一种特殊的隐藏技术可以对抗机器之眼，这种技术被称为“Accidental Steganography”。这个技术按照神经网络模型在图像中嵌入人眼不可感知的干扰信息，这种信息对人类视觉没什么影响，但是它对机器可以产生语义级的干扰，让机器做出错误判断。

二、反向：给大数据做CT

伴随技术的快速发展，犯罪分子的犯罪越来越隐蔽。如传统恐怖组织的暴恐图片、音视频最初主要通过直接、拼接等方式传播，后随着OCR、视频分析等技术的发展，顺利地解决了这些问题。通过分析数据的异常行为特征，可以在海量数据中发觉犯罪分子的蛛丝马迹。 犯罪分子，尤其大型犯罪组织，为了对抗大数据分析，开始广泛使用信息隐藏技术来掩盖犯罪行为，逃避打击。

因为信息隐藏具有极高的隐蔽性，以至于很容易被广大执法机关忽略，市场上也非常缺乏解决类似问题的工具。通过对国内外信息隐藏应用及案例的梳理分析，整理出几个现状：

（一）全球信息隐藏的应用软件数量快速增加

全球的信息隐藏技术应用软件近几年在快速增加，已经从2014年的200余种，快速增长到2017年的400余种，增长率接近100%。通过分析，目前的全球的隐写软件70%以上在国内可下载；80%以上是基于图片的信息隐藏工具，其余的以音视频信息隐藏工具为主，软件版本涵盖英语、中文、西班牙语、阿拉伯语等。

（二）信息隐藏成恐怖组织、情报组织、邪教等重要通联手段

通过对全球已知的利用信息隐藏犯罪的案例分析看，犯罪组织主要为恐怖组织（如基地组织）、情报组织（如美俄间谍战）、贩毒组织（如哥伦比亚胡安案）等，在国内也有典型的案例，如2008年的河南省公安厅破获的“全能神”邪教案。

大型犯罪组织，尤其跨境犯罪组织为了逃避打击，通过把内部通联信息、窃取的情报信息等利用信息隐藏隐藏在普通图片音视频等多媒体文件中，利用互联网进行分享和传输。因为利用信息隐藏隐藏后的图片、音视频等文件基本不改变原文件的外观、格式、大小等，所以不会引起关注，成为大数据分析的盲区，从而导致执法人员的在“猫鼠游戏”中处于被动。

（三）基于信息隐藏的泄密是失泄密管理盲区

失泄密管理是军队、安全、保密等部门重点关注的工作，基本上相关单位都建设了失泄密管控与泄密溯源系统。现有的失泄密管控相关系统主要采取上网行为管控、屏幕截屏、USB封禁等方式避免泄密，但是泄密事件依然层出不穷。通过对已发生的失泄密案件的分析，发现近几年来，80%以上的失泄密是由信息隐藏相关技术造成的泄密，以及拍摄屏幕和违规打印拍照造成泄密。

涉密单位内部员工通过把涉密资料隐藏在普通图片、视频等多媒体文件中骗过失泄密管控系统实现故意泄密；涉密单位员工在访问正常的图片、视频等文件时，因为文件中隐藏有可执行的恶意代码程序，从而导致病毒入侵，造成无意识泄密。

（四）信息隐藏技术成为对抗舆情检测分析的工具

因为信息隐藏的应用工具非常普遍，传销组织、邪教组织、非法NGO组织等使用信息隐藏利用公开的网站、论坛等进行信息通联，规避网信部门的舆情监测分析。如犯罪组织通过某大型论坛发布一个求购帖，并附上一张与帖子内容相符的普通图片。因为是正常帖子，所以不会引起网站管理方、舆情监测部门的关注。但真实情况是，随帖的普通图片中隐藏有特殊信息。犯罪组织的成员因为都能公开访问该求购帖并安装有相应的隐写应用，从而实现了内部信息的通联。

（五）信息隐藏技术成为网络渗透、攻击的新手段

2015年12月25日，乌克兰电力系统遭遇攻击，造成3个州大面积停电。这是一起协同网络攻击的案例，事后复盘，发现了基于图片隐藏可执行程序的攻击。

近几年，恶意代码与图片结合进行网络渗透和攻击成为新趋势。虽然各主流的安全厂商均发布了态势感知、入侵检测等产品，但是因为没有关注到基于信息隐藏的攻击，从而造成了盲区。

（六）信息隐藏技术成为数字取证的盲区

计算机取证、网络取证、多媒体取证等已经非常成熟，帮助司法机关提供了可靠的证据。但是目前几乎所有的取证技术都没有关注基于信息隐藏技术的取证问题，信息隐藏取证成为目前数字取证的盲区。

国内目前缺乏针对信息隐藏的检测取证应用，这让以军队、国安为代表的用户在反恐维稳中容易出现被动。以军队、国安为代表的用户亟需解决信息隐藏检测取证的难题，争取在“猫鼠游戏”中获得主动权。

三、总结

大数据分析时代，数据安全由 “内容安全”正在向 “行为安全”过渡，前者由传统的加密技术实现，后者由信息隐藏技术实现，两者又互为补充。而所有的技术都是“双刃剑”，隐藏技术也可能被恐怖组织、非法NGO、跨国情报组织、邪教等使用，进行通联，这为国家安全、社会稳定带来了巨大隐患。

大数据是国家的战略资源，而隐蔽通道上的数据是关系国家安全的战略资源，因而国家相关部门、研究机构需要加大信息隐藏正向和反向技术及应用的投入，抢夺隐蔽网络空间的控制权。