一种基于IS4软件特征的隐藏信息检测及提取方法技术

本发明专利技术涉及一种基于IS4软件特征的隐藏信息检测及提取方法，通过利用逆向工程对IS4软件进行分析，获得该软件的隐写特征和隐藏信息的嵌入原理，进而实现对隐藏信息的检测和提取，包括文件格式识别、关键数据抽取、关键数据内容解析、隐写检测判定和隐藏信息提取步骤；本发明专利技术适用于检测识别图像文件(JPG/PNG/BMP格式)、音频文件(WAV格式)、文本文件(HTML格式)是否由IS4软件制作的隐秘载体，并提取隐秘载体中嵌入的隐藏数据(可能是加密数据)，具有识别准确率高的优点。

【技术实现步骤摘要】
一种基于IS4软件特征的隐藏信息检测及提取方法
本专利技术涉及软件分析
和隐写信息检测
，特别是涉及基于IS4软件特征的隐藏信息检测及提取方法。
技术介绍
随着信息隐藏技术的日趋成熟和网络隐写软件数量的迅猛增长，使用互联网隐写软件进行隐蔽通信愈发普遍。据报道，很多恐怖组织和基地组织利用信息隐写手段来散播秘密消息，对国防安全及社会稳定都构成了严重威胁，因此需要实现一种隐秘载体的快速检测技术。East-tecInvisibleSecrets4(IS4)是一款提供隐私保护和加密保护完整解决方案的商业软件套件。2013年3月，east-tec公司发布了最新的InvisibleSecrets4.8软件版本，软件可以运行在Windows10/8/7Vista/XP等系统平台。这款软件不仅提供对文件的加密保护，还提供对秘密信息的隐藏保护。在保证有足够隐藏容量条件下，IS4软件支持对任意文件流的隐藏保护，支持的隐写载体涵盖图像、音频和文本，包括JPG格式、PNG格式、BMP格式、WAV格式和HTML格式，支持的加密算法有AES-Rijndael、Twofish、RC4、Cast128、Gost、Blowfish、Diamond2和SapphireII。当前，学术上对隐写分析领域的研究主要集中在通用盲隐写检测方法和专用的隐写检测方法，此类方法在检测准确率和先验知识上有很大的局限性和依赖性。特别是对低嵌入容量下的检测问题，以及隐藏信息的提取问题均不能有效的解决。利用隐写软件漏洞和隐写痕迹来识别隐秘载体是一种新型的高效隐写检测方法，在这方面的研究成果主要有：2011年解放军信息工程大学郑东宁等人提出了一种基于代码分割技术的隐写软件识别框架(郑东宁.基于代码分割的隐写软件识别技术研究[D].解放军信息工程大学,2011.)。2012年解放军信息工程大学郑永振等人2012从软件算法核心代码的角度提出了一种基于核心代码的隐写软件识别框架(郑永振.基于核心代码的隐写软件识别技术研究[D].解放军信息工程大学.)。2013年解放军信息工程大学赵正等人提出了一种基于自动机理论的隐写软件识别框架(赵正.基于模型检测的隐写软件识别技术研究[D].解放军信息工程大学,2013.)，该框架验证待识别软件中是否存在隐写行为。2009年Zax等人对隐写软件安装、运行、卸载后的系统痕迹(如注册表、文件、文件目录)进行了研究(ZaxR,AdelsteinF.FAUST:Forensicartifactsofuninstalledsteganographytools[J].DigitalInvestigation,2009,6(1):25-38.)，通过这些痕迹构造隐写指纹库来对隐写软件进行检测。2011年西安电子科技大学米鹏等人针对当前互联网上60多种隐写软件(米鹏.隐写软件检测系统的设计与实现[D].西安电子科技大学,2011.)，利用它们在计算机中的使用痕迹或驻留信息来提取特征构造指纹库，并利用指纹库对这些软件进行检测。2007年胡昊然等人通过对Imagehide和JPEGX两款的隐写原理进行分析(胡昊然,钱萌.基于待征码的Imagehide与JPEGX图像隐藏信息检测以及提取[J].科技广场,2007(1):125.)，提出了基于特征码的检测方法。2006年吴明巧等人提出了一种针对Stego文本隐写软件的特征码检测算法(吴明巧,金士尧.针对文本隐写软件Stego的隐写分析方法[J].计算机工程,2006,32(23):10-12.)。2012年Zheng等人对Jsteg等几款隐写软件进行研究(ZhengY,LiuF,LuoX,etal.AMethodBasedonFeatureMatchingtoIdentifySteganographySoftware[C].Proceedingsofthe2012FourthInternationalConferenceonMultimediaInformationNetworkingandSecurity.IEEEComputerSociety,2012:989-994.)，在获取软件特征码基础上，提出了针对隐写软件的通用盲性隐写分析软件。2009年解放军信息工程大学任光等人提出了一种获取隐写软件特征码的方法(任光.互联网上常见隐写软件的分析与攻击[D].解放军信息工程大学,2009.)，并分析了已有隐写软件的选位机制，获得了MASKER、datastash等18种隐写软件的特征码。2015年Sloan等人利用MP4格式文件的特点及OpenPuff隐写软件的嵌入特点(SloanT,Hernandez-CastroJ.SteganalysisofOpenPuffthroughatomicconcatenationofmp4flags[J].DigitalInvestigation,2015,13:15-21.)，提出了针对OpenPuffMP4格式的检测方法。2010年Bell等人通过训练同款软件生成的多张隐秘载体(BellG,LeeYK.AMethodforAutomaticIdentificationofSignaturesofSteganographySoftware[J].IEEETransactionsonInformationForensics&Security,2010,5(2):354-358.)，查找图像中的相同不变信息，把其作为该隐写软件的特征码。但是通过文献调研分析发现，当前针对IS4隐写软件的分析及隐藏信息的检测提取方法的研究还未见公开文献。
技术实现思路
本专利技术所要解决的技术问题是：IS4隐写软件制作隐秘载体的识别与隐藏信息的提取，并提供基于IS4软件特征的隐藏信息检测及提取方法，识别检测准确率高。本专利技术适用于检测识别图像文件(JPG/PNG/BMP格式)、音频文件(WAV格式)、文本文件(HTML格式)是否由IS4软件制作的隐秘载体，并提取隐秘载体中嵌入的隐藏数据(可能是加密数据)。本专利技术的技术解决方案是基于IS4软件特征的隐藏信息检测及提取方法，通过利用逆向工程对IS4软件进行分析，获得该软件的隐写特征和隐藏信息的嵌入原理，进而实现对隐藏信息的检测和提取，主要包括如下步骤：(1)文件格式识别。根据输入待检测文件File的文件头标识FileID来判定文件格式，JPG图片的文件头标识为“0xFFD8FF”、PNG图片的文件头标识为“0x89504E47”、BMP图片的文件头标识为“0x424D”、WAV音频的文件头标识为“0x57415645”、HTML文本的文件头标识为“0x3C21444F43545950452068746D6C”。(2)关键数据抽取。分别依据IS4软件对JPG、PNG、BMP、WAV和HTML文件载体的嵌入原理，使用信息提取算法Extra(·)从待检测的文件中抽取关键数据信息KeyInfo。(3)关键数据内容解析。解析KeyInfo各字段内容信息，包括软件签名Sig、信息长度Len、隐藏消息数据Msg等。(4)隐写检测判定。利用KeyInfo中Sig和Len等字段信息，与IS4软件的隐写特征(针对不同载体格式的隐写特征不同)做匹配，如本文档来自技高网...

【技术保护点】
一种基于IS4软件特征的隐藏信息检测及提取方法，其特征在于包括如下步骤：(1)文件格式识别，根据输入待检测文件File的文件头标识FileID来判定文件载体的格式，格式包括JPG、PNG、BMP、WAV和HTML；(2)关键数据抽取，分别依据IS4软件对JPG、PNG、BMP、WAV和HTML格式的文件载体的嵌入原理，采用信息提取算法Extra(·)从待检测文件File中抽取关键数据信息KeyInfo；(3)关键数据内容解析，解析KeyInfo各字段内容信息，所述字段内容信息包括软件签名Sig、信息长度Len、隐藏消息数据Msg；(4)隐写检测判定，利用KeyInfo中软件签名Sig和信息长度Len，与IS4软件的隐写特征做匹配，如果匹配成功则表明当前文件File是经IS4软件处理的隐秘载体，反之判定为正常文件；(5)隐藏信息提取，如果步骤(4)判定为隐秘载体，则从KeyInfo中提取出嵌入的隐藏信息Msg。

【技术特征摘要】
1.一种基于IS4软件特征的隐藏信息检测及提取方法，其特征在于包括如下步骤：(1)文件格式识别，根据输入待检测文件File的文件头标识FileID来判定文件载体的格式，格式包括JPG、PNG、BMP、WAV和HTML；(2)关键数据抽取，分别依据IS4软件对JPG、PNG、BMP、WAV和HTML格式的文件载体的嵌入原理，采用信息提取算法Extra(·)从待检测文件File中抽取关键数据信息KeyInfo；(3)关键数据内容解析，解析KeyInfo各字段内容信息，所述字段内容信息包括软件签名Sig、信息长度Len、隐藏消息数据Msg；(4)隐写检测判定，利用KeyInfo中软件签名Sig和信息长度Len，与IS4软件的隐写特征做匹配，如果匹配成功则表明当前文件File是经IS4软件处理的隐秘载体，反之判定为正常文件；(5)隐藏信息提取，如果步骤(4)判定为隐秘载体，则从KeyInfo中提取出嵌入的隐藏信息Msg。2.根据权利要求1所述的基于IS4软件特征的隐藏信息检测及提取方法，其特征在于：所述步骤(2)中，当待检测文件File是检测JPG文件时，Extra(·)表示从File二进制比特流中搜索到的比特串模式，是一个由N个以“0xFFFE”开头的比特串和“0xFFFF”比特串结尾组成的比特流；然后去除模式串中的开头标记，即“0xFFFE”和结尾标记，即“0xFFFF”，最后获得关键数据信息KeyInfo。3.根据权利要求1所述的基于IS4软件特征的隐藏信息检测及提取方法，其特征在于：所述步骤(2)中，当待检测文件File是检测PNG文件时，Extra(·)表示从File二进制比特流中搜索到一个由N个以“0x74455874436F6D6D656E7400”开头的比特串和“0x0000000049454E44AE426082”比特串结尾(N≥2)组成的比特流，然后去除模式串中的开头标记(“0x74455874436F6D6D656E74”)和结尾标记(“0x0000000049454E44AE426082”)，最后获得关键数据信息KeyInfo。4.根据权利要求1所述的基于IS4软件特征的隐藏信息检测及提取方法，其特征在于：所述步骤(2)中，当待检测文件File是检测BMP文件时，Extra(·)表示从File中抽取图片像素最低比特位(LeastSignificantBit，LSB)组成比特流，抽取顺序为(I)像素间按照图像坐标轴从左至右、由上及下的空间顺序；(II)像素内按照BGR的通道顺序。5.根据权利要求1所述的基于IS4软件特征的隐藏信息检测及提取方法，其特征在于：所述步骤(2)中，当待检测文件File是检测WAV文件时，Extra(·)表示抽取Filedata数据块中数据段数据的某些字节最低比特位(LSB)组成比特流(WAV文件的data数据块的标记为“0x64617461”，标记字段随...

【专利技术属性】
技术研发人员：易小伟，李金才，王运韬，赵险峰，于海波，刘长军，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京,11