УДК 004.056

Использование DLP систем для обнаружения стегоконтейнеров

Шашин Михаил Антонович – студент Санкт-Петербургского государственного университета телекоммуникаций им. М.А. Бонч-Бруевича.

Аннотация: Стеганография — это наука, изучающая методы сокрытия информации в цифровом объекте таким образом, чтобы был скрыт сам факт ее наличия. Методы стеганографии прогрессировали от скрытия информации в изображения, до аудио стеганографии, а также до области сетевой стеганографии. Все эти методы представляют потенциальную угрозу утечки конфиденциальной информации. В этой статье были проанализировали методы сокрытия и методы обнаружения скрытой информации.

Ключевые слова: Стеганография, стегоанализ, сетевая стеганография, утечка данных, DLP-системы, защита информации.

Введение

В процессе выполнения аудита данных внутренней информационной системы организации сталкиваемся с проблемой перегрузки IT-инфраструктуры и неэффективным использованием рабочего времени IT-специалистов. Система предотвращения утечки информации (Data Loss Prevention, DLP) должна обладать функционалом дифференциации данных путем различения конфиденциальной информации и общедоступных данных.

Как правило, специалист работает параллельно с DLP, выполняя функции настройки и поддержания работы системы: он "дополняют" систему новыми правилами, удаляют устаревшие условия и контролируют текущие, блокируют или помечают подозрительные события в информационной системе.

Архитектура DLP-систем организована вокруг 'ядра' – программного модуля, который отвечает за обнаружение и классификацию информации, нуждающейся в защите от утечек. Наиболее часто используемые технологические подходы в DLP-решениях включают лингвистический анализ и статистическую аналитику. Некоторые системы также могут использовать более специфические методы анализа, например, применение меток или формальные методы анализа для дополнительной гранулярности и точности классификации.

Разработчики систем защиты от утечек информации (DLP) интегрируют исходные алгоритмы DLP с дополнительными компонентами, включающими программные агенты, механизмы обработки инцидентов, парсеры, анализаторы протоколов, перехватчики, и другие инструменты, в том числе утилиты стеганографии.

Стеганография — это область, изучающая методы передачи скрытых данных внутри других цифровых данных.

Скрываемая (стеганографическая) передача информации связана с процессами, которые используют передачу информации, где дополнительные данные могут быть инкапсулированы внутри структуры данных, представленной в электронном формате и служащей в качестве контейнера, главным образом за счет их избыточности или стеганографического канала. Контейнером (или покрывающим объектом) являются цифровые данные, чья избыточность обеспечивает передачу дополнительной информации без явного обнаружения факта этой передачи. Контейнер, не содержащий дополнительной информации, называется пустым, в противном случае он считается заполненным.

Применение стеганографии в контексте цифровых и информационных технологий обычно происходит в трех ключевых направлениях:

• Создание скрытых каналов передачи информации. Главная задача – обеспечение дискретности информационного обмена путем сокрытия самого факта передачи данных.
• Интеграция цифровых водяных знаков (ЦВЗ). Цель встраивания водяных знаков - проверка и подтверждение подлинности передаваемых данных и обеспечение защиты от несанкционированного доступа.
• Внедрение уникальных идентификаторов. Задача заключается в скрытой аннотации и аутентификации передаваемых данных.

Последние исследования в области цифровой стеганографии фокусируются на встраивании конфиденциальных сообщений и цифровых водяных знаков в статическую графику, в основном в форматы, не применяющие сжатие. Однако, в настоящее время наблюдается значительный прогресс в встраивании информационных партий, алгоритмов и водяных знаков в потоковые файлы изображения с применением методов сжатия с потерями.

В данной статье мы проведем обзор области стеганографии, ее разновидностей, включая сетевую стеганографию, и методов, разработанных для противостояния им, таких как стегоанализ.

Стеганография и стегоанализ

Стеганография занимается сокрытием информации в изображении, методом вложения стегоконтейнера. Скрытое сообщение может быть зашифровано для усиления его безопасности, но одна из его основных целей – попытаться сохранить статистические свойства обложечного изображения. В его базовой форме, стего-объект не должен вызывать подозрения, что в нем скрыты некоторые данные, см. Рисунок 1 для краткого описания стеганографического процесса.

Рисунок 1. Стеганографическая модель, основанная на технике модификации LSB. Ключ передается вместе с изображением обложки получателю, который использует скрытое сообщение, содержащееся в изображении обложки.

Одним из простейших способов создания стегоконтейнера является модификация наименее значимых битов (Least Significant Bit, LSB), которые являются частью пикселей покрывающего изображения.

Рисунок 2. Принцип модификации наименее значащих битов

В этом алгоритме изменение LSB-битов изображения сохраняет оригинальное или покрывающиее изображение, на первый взгляд, неизменным, создавая впечатление, что оно не несет в себе никакой скрытой информации.

В основе некоторых стеганографических методов лежит тезис о том, что человек редко способен заметить незначительные изменения в младшем значащем бите цифровых данных. LSB часто воспринимается как шум, что позволяет использовать его для встраивания дополнительной информации, обеспечивая замену младших значащих битов изображения векторами секретного сообщения. Объем встраиваемых данных может достигать до 1/8 от общей емкости контейнера.

Системы DLP применяют разные методики обнаружения стеганографической (зашифрованной) информации, включая:

• Лингвистический метод. Используется для идентификации и блокировки определенных фраз или ключевых слов в исходящих электронных письмах на почтовых серверах. Этот метод можно рассматривать как прародителя современных систем DLP. Несмотря на его эффективность, он не предоставляет полной защиты от злоумышленников, поскольку удаление прослеживаемых ключевых слов обычно не приводит к значительному изменению в общем контексте текста.
• Статистический метод. Статистические технологии анализируют текст на уровне символов, не учитывая семантический смысл слов. Это делает их эффективными для работы с текстами на любых языках и любыми цифровыми объектами, включая изображения или программы, поскольку они все представляют собой последовательность символов. В результате, одни и те же методы могут использоваться для анализа как текстовой информации, так и любых других цифровых данных.

Один из подходов в стеганографии применяется для уменьшения значений некоторых пикселей совместно с увеличением значений другого набора пикселей. Более надежный метод связывает использование дискретного косинусного преобразования или вейвлет-преобразования сегмента изображений, что позволяет сохранить статистические характеристики базового изображения почти без изменений. Важно отметить, что минимальное искажение или манипуляции со статистическими свойствами базового изображения приводят к созданию более надежной схемы стеганографии, которая на начальной стадии сложнее для обнаружения.

Есть множество подходов к проведению стегоанализа. В гипотезическом примере, исследователь может подозревать наличие скрытых данных в цифровом объекте и использовать набор алгоритмов для попытки обнаружения. Такая форма стегоанализа называется универсальным (или слепым) стегоанализом. Этот вид анализа можно разделить на: a) целевую атаку, когда известен алгоритм и стегоконтейнер; b) атаку на выбранное сообщение, когда происходит создание стего-объекта с целью определить используемый алгоритм; и c) атаку на известный стего-объект, при котором известны оригинальное изображение, стегоконтейнер и алгоритм. Одно из ограничений стеганографии - даже при незначительных подозрениях на наличие контейнера, проведение атаки может привести к уничтожению стего-контейнера, не дав возможностей для восстановления скрытого сообщения, что могло бы быть полезно для дальнейшего расследования.

Ранние системы DLP опирались только на аналитический метод, будь то лингвистический или статистический анализ. На практике, недостатки этих технологий компенсируются их преимуществами, что способствовало развитию систем DLP и привело к созданию систем с универсальным ядром. Разработчики современных DLP-систем отошли от подхода, предусматривающего отдельную реализацию защиты на разных уровнях, поскольку от утечки информации необходимо обеспечивать защиту как на уровне оконечных устройств, так и на сетевом уровне.

Сетевая стеганография

В области сетевой стеганографии, скрытая информация может быть инкапсулирована и передана с использованием различных протоколов, включая FTP, P2P-сети и другие. Дополнительно, данные могут быть спрятаны в спам-сообщениях, которые, несмотря на то что обычно игнорируются получателями, могут служить в качестве контейнеров для стеганографии. Спам-сообщения — это удобный вариант для сокрытия информации, поскольку они собирают меньше внимания. Преимущество использования спам-сообщений и стеганографии в комбинации в том, что покрывающий объект способен преодолеть некоторые фильтры.

Одной из базовых форм сетевой стеганографии является модификация заголовков IP во время сетевого взаимодействия, что позволяет инкорпорировать в них скрытые данные. Этот вид скрытия аналогичен методу LSB-стеганографии, описанному ранее.

Техники сетевой стеганографии основываются на изменении содержимого в различных слоях стека протоколов OSI. На физическом уровне модификации могут применяться к коммуникационным каналам или кодам коррекции ошибок для скрытия данных; на сетевом уровне изменение пакетов - заголовков или неиспользуемых полей, таких как флаги - может использоваться для целей маскировки; на уровне приложений можно скрыть информацию в заголовках HTML или других формах данных. По сути, каждый уровень может быть модифицирован для использования в стеганографических целях.

Сетевая стеганография – это быстроразвивающаяся область и требует особого внимания, в основном, потому что традиционные меры обнаружения вредоносного ПО и брандмауэры могут быть неэффективны против некоторых стеганографических техник. Сложности возникают, когда характерных сигнатур, которые могут указывать на наличие таких угроз, не существует. Это также ограничивает набор возможных решений или политик безопасности.

К сожалению, отслеживать и контролировать зашифрованный трафик на сетевом уровне сложно, однако эта проблема может быть решена с использованием систем DLP на уровне конечных узлов - хостов.

Системы DLP, реализованные на уровне конечного хоста, могут справляться с широким спектром задач мониторинга и анализа. Таким образом, отдел информационной безопасности получает инструмент для полного контроля действий пользователей на рабочем месте. DLP-системы на уровне хоста позволяют отслеживать копирование данных на съемные устройства, к каким документам направляются запросы на печать, что вводится с клавиатуры, а также осуществлять запись аудиоданных и делать скриншоты экрана. Это означает, что даже зашифрованный трафик может быть проанализирован на уровне хоста, а также обеспечивается проверка данных, обрабатываемых в данный момент, а также данных, хранящихся на персональном компьютере пользователя в течение длительного времени.

В настоящее время, меры по предотвращению утечки информации, связанной со стеганографией, все больше направляются на использование методов машинного обучения. Однако следует отметить, что техники машинного обучения потребуют набора обучающих данных для обучения или сравнения, то есть набора модифицированных файлов.

Включение методов машинного обучения в системы DLP может повысить их способность обнаруживать сложные для детекции угрозы, такие как использование стеганографии для украденной информации. Это также может способствовать более точной оценке и классификации потенциальных угроз для обеспечения наиболее эффективного отклика на безопасность.

Заключение

Стеганография, как метод скрытого вложения информации, может представлять значительную угрозу для информационной безопасности организаций. С использованием доступных и часто бесплатных инструментов, информация может быть скрыто вложена в медиафайлы, создавая потенциальные уязвимости для недобросовестных действий и ведя к возможным утечкам данных.

Тем не менее, для борьбы со стеганографией были разработаны методы стегоанализа. Хотя они могут быть ограниченными, их комбинированное использование, включая использование лингвистического и статистического анализа, может обеспечить более надежную защиту.

Cписок литературы

1. Ахрамеева Ксения Андреевна, Герлинг Екатерина Юрьевна Cравнительный анализ стегосистем с вложением в наименьшие значащие биты с согласованием и с замещением // Наукоемкие технологии в космических исследованиях Земли. 2020. №6. URL: https://cyberleninka.ru/article/n/sravnitelnyy-analiz-stegosistem-s-vlozheniem-v-naimenshie-znachaschie-bity-s-soglasovaniem-i-s-zamescheniem (дата обращения: 15.01.2024).
2. Герлинг Екатерина Юрьевна, Ахрамеева Ксения Андреевна Метод лингвистической стеганографии, основанный на опорном слове // I-methods. 2019. №4. URL: https://cyberleninka.ru/article/n/metod-lingvisticheskoy-steganografii-osnovannyy-na-opornom-slove (дата обращения: 15.01.2024).
3. Шемякин С. Н., Гельфанд А. М., Орлов Г. А. Критическая информационная инфраструктура // Наука и инновации-современные концепции. – 2020. – С. 114-118 (дата обращения: 15.01.2024).
4. Синельщиков В. С., Цветков А. Ю. Защита персональных данных на предприятии // актуальные проблемы инфотелекоммуникаций в науке и образовании (апино 2021). – 2021. – С. 653-657 (дата обращения: 15.01.2024).
5. Качуровский Ю. О., Пестов И. Е. Использование dlp-систем для защиты информации //Инновационные технологии, экономика и менеджмент в промышленности. – 2021. – С. 201-202 (дата обращения: 15.01.2024).