姚秋鳳，麥永浩，吳燕波

（湖北警官學(xué)院，湖北 武漢430034）

一、引言

隱寫及隱寫分析，是數(shù)字取證技術(shù)中非常重要的研究內(nèi)容。隱寫是將秘密信息嵌入到數(shù)字圖像、音頻、視頻等公開的正常載體中進(jìn)行隱性傳輸?shù)募夹g(shù)。隱寫術(shù)是隨著互聯(lián)網(wǎng)發(fā)展起來的新型安全技術(shù)，在信息安全保障體系的諸多方面發(fā)揮著重要作用。網(wǎng)上已有大量可自由下載的隱寫軟件，尤其是以圖像為載體的隱寫軟件數(shù)量最多。這些軟件在給人們提供新的安全隱蔽通信手段的同時，也帶來了新的隱患和威脅，它往往會被敵對勢力和不法分子所利用，容易被犯罪集團(tuán)用于策劃犯罪活動，或被內(nèi)部人員用來向外泄露公司的秘密信息。由于網(wǎng)絡(luò)的開放性、全球性、共享性和動態(tài)性發(fā)展，信息安全問題日益突出。因此，開展隱寫取證研究，對于網(wǎng)絡(luò)監(jiān)控、數(shù)字取證、司法鑒定，以及發(fā)現(xiàn)和研判基于信息隱藏的隱蔽行為等，具有重要的理論價值和現(xiàn)實(shí)意義。

二、問題的提出

隱寫術(shù)是關(guān)于信息隱藏的技術(shù)，其基本要求是要有極高的安全性及足夠的信息隱藏量，尤其以安全性為首要技術(shù)指標(biāo)。與此相對應(yīng)，隱寫分析是檢測和提取隱寫信息的技術(shù)，它是解決非法使用隱寫術(shù)的關(guān)鍵技術(shù)，其任務(wù)就是檢測隱藏信息的存在性，識別隱藏算法，指出媒體中存在其他秘密信息的可疑性，甚至抽取并恢復(fù)隱藏的信息。近年來，隱寫檢測分析技術(shù)引起了國內(nèi)外科研機(jī)構(gòu)的廣泛關(guān)注，逐漸成為較為活躍的熱門研究領(lǐng)域。隱寫檢測技術(shù)，通常分為針對特定隱寫的檢測和通用盲檢測兩大類：前者是在已知所使用的隱寫方法的基礎(chǔ)上，判定待檢對象是否含有隱寫信息；后者是在未知具體隱寫方法的前提下，判定待檢對象是否含有隱寫信息。兩者的適用范圍、側(cè)重點(diǎn)和檢測方法各有不同。某些隱寫軟件在隱秘圖像中留下標(biāo)識特征，可通過分析待檢測對象中是否出現(xiàn)該標(biāo)識特征來實(shí)現(xiàn)檢測。隱寫技術(shù)在隱藏信息時，改變了載體數(shù)據(jù)流的一部分，雖然不改變感覺效果，但往往改變了原始載體數(shù)據(jù)的統(tǒng)計性質(zhì)，因此，對信息隱藏情形的判斷，建立在給定載體的統(tǒng)計性質(zhì)是否屬于非正常情況的前提下。

數(shù)字取證的分析過程是取證的關(guān)鍵步驟，對待取證數(shù)據(jù)的隱寫檢測分析，多數(shù)是靠取證人員的個人判斷能力和積累的經(jīng)驗(yàn)。還有部分鑒定人員選擇用兩個或多個隱寫分析工具進(jìn)行取證，但是，取證人員的主觀判斷和分析工具的不規(guī)范性，很難保障數(shù)字取證過程的客觀真實(shí)性，這樣一來，取證鑒定結(jié)果的可用性和準(zhǔn)確性容易引起各方的爭議。隨著信息技術(shù)的不斷發(fā)展，隱寫技術(shù)得到了長足進(jìn)步，與此相對應(yīng)的隱寫檢測分析方法也有很多比較成熟，如標(biāo)志特征分析法和統(tǒng)計特征分析法等，取證人員已經(jīng)將其應(yīng)用于數(shù)字取證領(lǐng)域。然而，隨著個人計算機(jī)和便攜式移動終端的與日俱增，利用相關(guān)電子設(shè)備如計算機(jī)或手機(jī)直接進(jìn)行電子犯罪，或牽涉到以上電子設(shè)備的案件數(shù)量也直線上升。雖然國內(nèi)外學(xué)者在隱寫檢測技術(shù)方面取得了許多優(yōu)秀研究成果，但還沒有形成成熟的、系統(tǒng)化的理論體系，目前尚無有效的隱寫信息提取方法。檢測技術(shù)主要是針對載體中內(nèi)容的統(tǒng)計特征進(jìn)行檢測，隱寫取證主要依賴于載體中隱秘信息的存在性檢測，手段單一，在實(shí)際使用中的準(zhǔn)確性較低。

在司法鑒定中，隱寫分祈的最終目標(biāo)，是為了提取出秘密信息作為呈堂證據(jù)，在進(jìn)行數(shù)字取證時，取證人員往往需要運(yùn)用多種隱寫檢測分析方法，多數(shù)情況下檢測分析對象也是不確定的，因此，如何高效精準(zhǔn)地實(shí)現(xiàn)數(shù)字取證隱寫分析，成為亟待解決的問題。

三、研究方案

（一）建立科學(xué)的系統(tǒng)流程

基于多年對隱寫和隱寫分析的理論研究和實(shí)踐探索，通過聯(lián)合運(yùn)用特征分析法與統(tǒng)計分析法，對取證數(shù)據(jù)進(jìn)行異常隱寫檢測分析，提出面向數(shù)字取證的異常隱寫檢測分析方案。因它能有效提高數(shù)字取證過程中的隱寫分析速度，提升隱寫分析的精準(zhǔn)度，故應(yīng)建立科學(xué)的系統(tǒng)流程（圖1）。步驟如下：

圖1面向數(shù)字取證的異常隱寫檢測分析方法流程

S1：從鏡像文件獲取待取證數(shù)據(jù)對象。

S2：按照數(shù)字取證規(guī)則，對所述鏡像文件的待取證數(shù)據(jù)對象，進(jìn)行局部標(biāo)志特征異常分析。對所述待取證數(shù)據(jù)對象的主要特征，進(jìn)行識別并按照在異常檢測分析中所起到作用的重要程度進(jìn)行排序，依次對該數(shù)據(jù)對象的各個局部特征進(jìn)行檢測，檢測到某特征存在異常則停止檢測，不然繼續(xù)檢測，直到最后1個特征檢測完畢，得到異常分析結(jié)果。

S3：根據(jù)所述異常分析結(jié)果，判定數(shù)據(jù)對象是否異常。若存在異常，生成異常檢測報告，執(zhí)行S4；若不存在異常，執(zhí)行S5。

S4：將存在異常的檢測數(shù)據(jù)對象，標(biāo)記為懷疑對象，同時將懷疑對象移動至觀察區(qū)進(jìn)行隔離，然后執(zhí)行S5。

S5：對S2獲得的所述鏡像文件的取證數(shù)據(jù)，或S4獲得的懷疑對象，用統(tǒng)計特征分析法，參照訓(xùn)練集和特征庫中的異常隱寫模型，對待取證數(shù)據(jù)或被懷疑對象，用統(tǒng)計特征分析法進(jìn)行異常隱寫檢測分析

S6：根據(jù)所述隱寫分析結(jié)果，判定異常隱寫的可能性是否為0，若隱寫可能性為0，執(zhí)行S1；若隱寫可能性不為0，執(zhí)行S7。

S7：生成異常隱寫檢測報告，展現(xiàn)S3獲得的異常檢測分析結(jié)果和S6判定后，得到異常隱寫檢測分析結(jié)果。

（二）建立科學(xué)的系統(tǒng)模塊

面向數(shù)字取證的異常隱寫檢測分析，需建立7個系統(tǒng)模塊（圖2），分述如下：

圖2面向數(shù)字取證的異常隱寫檢測分析系統(tǒng)模塊

101：.取證數(shù)據(jù)獲取模塊。用于從鏡像文件獲取待取證數(shù)據(jù)對象。

102：異常檢測分析模塊。用于對所述鏡像文件的待取證數(shù)據(jù)，用局部標(biāo)記特征分析法進(jìn)行異常分析，得到異常分析結(jié)果。

103：異常判定模塊。根據(jù)所述異常分析結(jié)果，判定數(shù)據(jù)對象是否異常，若存在異常，生成異常檢測報告，執(zhí)行異常處理模塊；若不存在異常，執(zhí)行隱寫檢測分析模塊。

104：異常處理模塊。將存在異常的檢測數(shù)據(jù)對象標(biāo)記為懷疑對象，同時將懷疑對象移動至觀察區(qū)進(jìn)行隔離，然后執(zhí)行隱寫檢測分析模塊。

105：隱寫檢測分析模塊。對異常檢測分析模塊獲得的所述鏡像文件的待取證數(shù)據(jù)，或異常處理模塊獲得的懷疑對象，用統(tǒng)計特征分析法，參照訓(xùn)練集和特征庫中的數(shù)據(jù)進(jìn)行隱寫檢測分析。

106：隱寫判定模塊。根據(jù)所述隱寫分析結(jié)果，判定異常隱寫的可能性是否為0，若隱寫可能性為0，執(zhí)行取證數(shù)據(jù)獲取模塊；若隱寫可能性不為0，執(zhí)行異常隱寫取證分析展現(xiàn)。

107：異常隱寫取證分析展現(xiàn)模塊。生成異常隱寫檢測報告，展現(xiàn)異常判定模塊獲得的異常檢測分析結(jié)果、隱寫判定模塊判定后得到的異常隱寫檢測分析結(jié)果。

（三）實(shí)施方式

某些隱寫軟件在隱秘的圖像、音頻或視頻等載體信息中留下的標(biāo)識特征，可通過分析待檢測對象是否出現(xiàn)該標(biāo)識特征來實(shí)現(xiàn)檢測。面向數(shù)字取證的局部特征檢測法可理解為：對取證數(shù)據(jù)對象的主要特征進(jìn)行識別，并按照在異常檢測分析中所起到作用的重要程度進(jìn)行排序。依次對該數(shù)據(jù)對象的各個局部特征進(jìn)行檢測，檢測到某特征存在異常則停止檢測；不然，繼續(xù)檢測，直到最后1個特征檢測完畢。

統(tǒng)計檢測法，主要根據(jù)載體信息某些統(tǒng)計特征性的變化進(jìn)行有效分析，通過判定給定載體的統(tǒng)計性質(zhì)是否屬于非正常情況，就可判斷是否含有隱藏信息。面向數(shù)字取證的統(tǒng)計檢測法可理解為：統(tǒng)計分析需要得到原始載體數(shù)據(jù)的理論期望頻率分布，再參照訓(xùn)練集和特征庫中的模型與待測數(shù)據(jù)對象進(jìn)行比對。

將局部特征檢測法與統(tǒng)計檢測法，聯(lián)合運(yùn)用于數(shù)字取證的異常隱寫檢測分析，利用兩種檢測方法各自不同的優(yōu)勢進(jìn)行互補(bǔ)，在一定程度上保證了數(shù)字取證過程中隱寫檢測分析結(jié)果的準(zhǔn)確性。如果分析的程度不夠徹底，或分析方法的選擇錯誤，都會對取證結(jié)果的準(zhǔn)確性產(chǎn)生負(fù)面影響。為了解決這一問題，要將局部特征檢測法與統(tǒng)計檢測法聯(lián)合運(yùn)用于數(shù)字取證的異常隱寫檢測分析，會在一定程度上避免上述錯誤的發(fā)生，以保證呈堂證據(jù)的可采性和精準(zhǔn)度。

[1]麥永浩.計算機(jī)取證與司法鑒定（第2版）[M].北京:清華大學(xué)出版社,2014.

[2]鈕心忻,楊義先.信息隱寫與隱寫分析研究框架探討[J]電子學(xué)報,2006(12A):2421-2424

[3]陳銘.隱寫與隱寫分析算法及實(shí)踐分析[J].2008(4).

[4]張文華,向陽,潘天奎.一種圖像隱寫分析方法[J].計算機(jī)與現(xiàn)代化,2011(11).

[5]劉完芳,常衛(wèi)東,劉典型.基于二值圖像的信息隱藏與分析研究[J].中國科技信息,2011(20).

[6]孫子文,李慧,紀(jì)志成.基于D-S證據(jù)理論的融合圖像隱寫分析[J].控制與決策.2011(8).