第八章信息隱藏系統的安全性分析8.1信息隱藏系統安全性分析概述8.2信息隱藏系統安全性分析的基礎理論8.3基于灰色層次分析法的信息隱藏系統的安全性分析模型

8.1信息隱藏系統安全性分析概述

8.1.1信息隱藏系統安全性分析的概念在信息隱藏技術快速發展的今天,越來越多的研究工作對于信息隱藏技術來說都具有極強的對抗性和針對性,這些研究工作是信息隱藏技術領域的另一個分支,統稱為信息隱藏分析技術。

1.信息隱藏系統安全性評估的概念

信息隱藏系統安全性評估是一個面對信息隱藏系統的綜合評估工作,它貫穿于信息隱藏系統的整個生命周期中(包括信息隱藏后的信息傳輸和接收方的提取)。通過對信息隱藏

系統在不可見性、魯棒性、抗分析性以及容量性等方面的評估,全面了解系統的潛在安全隱患,通過修改系統的相關模塊設置、系統參數以及嵌入算法等,改善信息隱藏系統的性能,最終達到安全的信息秘密傳輸目的。

2.信息隱藏系統安全性分析的主要作用

信息隱藏系統安全性評估的主要作用有三點:

(1)分析信息隱藏系統存在的性能缺失、安全隱患和脆弱環節。

(2)提出有針對性的系統修改措施。

(3)對信息隱藏系統進行調整,最終使系統安全性達到可以接受的水平。

8.1.2信息隱藏系統安全性評估的基準要素

根據信息隱藏技術的應用要求,信息隱藏系統安全性主要體現在不可見性、魯棒性、抗分析性以及容量性這四個方面,因此以這四個方面為評估基準要素較為恰當。大多數情

況下,信息隱藏系統的安全性會以三元組為評估基準。三元組(IRS)是指不可見性(Invisibility)、魯棒性(Robustness)和抗分析性(Steganalysis),如圖8-1所示。

圖8-1信息隱藏系統的安全性IRS三元組

8.2信息隱藏系統安全性分析的基礎理論

信息隱藏系統的安全性分析的主要作用有兩點:(1)在系統設計初期或對已有信息隱藏系統進行分析,得出系統的性能水平、存在的性能缺失和脆弱環節。(2)根據分析結果提出有針對性的系統修改措施,并根據修改措施對系統進行調整,最終使信息隱藏系統的安全性達到可以接受的水平。

8.2.1要素提取與分析流程設計

1.信息隱藏系統安全性分析的要素提取

信息隱藏系統安全性分析的組成要素包括分析要素和基準要素兩個方面。分析要素是指關系系統安全的系統要素,本書以系統的結構、功能以及運行方法為基礎,提取出信息

隱藏系統的安全分析要素:隱藏算法、隱藏信息、信息載體以及系統模塊,如圖8-2所示,其中系統模塊是指功能模塊之間的相互配合和制約等關系。

圖8-2信息隱藏系統的安全性分析要素

信息隱藏系統的安全性分析是一個面對復雜系統的綜合性分析工作,在實施分析前需要進行準備,具體內容如下:

(1)確定目標,即確定信息隱藏系統所要達到的系統要求。目標分為兩個層次:第一個層次是對信息隱藏系統的總體描述,例如,“本系統是完成某項任務,傳輸機密級別為中等,允許被破壞但不允許被破解”。第二個層次是具體到系統的不可見性、魯棒性、抗分析性以及嵌入信息量,例如,“目標要求魯棒性為:本系統經過50%JPEG2000壓縮后要可以恢復90%及以上的數據”。

(2)確定范圍,即確定信息隱藏系統安全要求所涉及和約束的系統環節,具體工作是根據預定目標,選擇要進行分析的子系統或者功能模塊。需要注意的是,與系統要求沒有關系或關系較小,或者是受客觀硬件或技術問題等的制約,受評單位無法改變性能的模塊不在分析范圍之內。

(3)確定方法,即根據信息隱藏系統的特性來確定適合的分析方法。分析方法的選擇在信息隱藏系統的安全性分析中最為重要,分析方法分為定性、定量以及兩者結合的方式。由于不同性質的分析方法得出的最終結果具有不同的指導作用,所以分析方法要根據分析目標進行選擇。

(4)確定人員,即根據系統的性質,審查分析者的身份,確定系統分析的執行者。由于分析者的身份可以了解到信息隱藏系統的所有技術細節和應用細節,所以分析者的身份必須嚴格審查。

2.信息隱藏系統的安全性分析流程

安全性分析工作需要一個標準的運行指導流程,以使分析工作規范化和標準化。根據信息隱藏系統的結構設置、基準與分析要素,提出信息隱藏系統的安全性分析流程,如圖8-3所示。

圖8-3信息隱藏系統的安全性分析流程

8.2.2安全性分析方法

1.評估方法概述

系統安全評估方法的種類很多,總體來說,從計算方法區分,有定性方法、定量方法和部分定量方法。從實施手段區分,有基于“樹”的技術、動態系統技術等。表8-1列舉出的是在國際上提出的廣義的、傳統的系統安全評估理論。

在具體的評估過程中,往往是計算方法與實施手段相結合的綜合應用。下面介紹一些典型的系統安全評估方法。

1)故障樹分析法(FTA)

故障樹分析法是一種非常有效的Top-Down系統分析技術,通過對可能造成系統故障的硬件、軟件、環境、人為因素等進行分析,以演繹法探討故障事件的原因與結果之間的

邏輯關系,并用樹圖形式有層次地表示出來,計算出發生概率。

故障樹的分析法可分為定性和定量兩種方式。

(1)定性分析的核心內容是通過求故障樹的最小割集得到頂事件的全部故障模式,而最小割集則是通過布爾代數法對原始故障樹進行邏輯簡化而得到。

2)事件樹分析法(ETA)

事件樹由決策樹演化而來,是一種邏輯的歸納法,它追蹤事件的發展,從事故的起因事件開始,研究的是時間推移過程中各種事件的因果關系,動態地反映出系統的運行過程,從而對信息安全系統進行剖析,達到安全評估的目的。

在邏輯上,系統安全事件樹的事件可分為如下幾類:

(1)初始條件,描述影響各種事件概率的系統狀態。

(2)初始事件,啟動可引發系統故障的事件序列。

(3)中間事件,在邏輯上處于初始事件之后,但中間事件本身不代表系統故障。

(4)恢復動作,表示為防止或減輕故障損壞而做出的反應。

(5)終端事件,表示系統故障的不同類型和嚴重程度。

3)因果分析(CCA)

因果分析是故障樹分析和事件樹分析的綜合,以事件樹中失敗的初因事件和環節事件為故障樹的頂事件進行故障樹分析。因果分析中故障樹的樹根是故障,樹葉是故障的原因,對形成事故的機理進行微觀分析,尋求控制事故的安全措施;因果分析中事件樹的樹根是初因事件,樹葉是可能的后果,動態分析系統的危險事件,預測系統可能發生的各種事故結果。因果分析的定性結果是系統安全事故發生的真實再現,反應了事故發生的基本過程。

4)風險模式影響及危害性分析(RMECA)

風險模式影響及危害性分析是通過分析系統所有可能的風險模式來確定每一種風險對系統和信息安全帶來的潛在影響,找出風險點,按照風險發生概率和影響程度確定其危害性。

REMCA由風險模式影響分析(RMEA)和危害性分析(CA)兩部分工作構成。

5)概率風險分析法(PRA)

概率風險分析也被稱為定量風險分析(QRA)或概率安全性分析(PSA),它通過Bottom-Up(如FMECA、ETA)與Top-Down(如FTA)相結合,將專家和評估采集數據有機結合,進行系統風險評估,分析步驟如下:

①確立頂事件;

②利用MLD分析,確定初始事件;

③運用FTA分析,得到風險事故序列組;

④運用FMECA、ETA分析,確立最小割集。

6)危險性和可操作性分析(HAZOP)

危險性和可操作性分析是基于專家組問題提出、評估組和受評組織共同討論即“腦風暴”來解決問題的方法。HAZOP技術常用的形式有三種,即引導詞方式(GuideWordApproach)、經驗式(Knowledge-basedHAZOP)

和檢查表式(Checklist)。最常用的是引導詞方式。

7)風險矩陣分析法

風險矩陣是在項目管理過程中識別風險重要性的一種結構性方法,該方法由美國空軍電子系統中心在1995年提出。風險矩陣法在系統安全性評估中可以分為以下四個步驟:

(1)等級說明。

(2)發生概率。

(3)問題級別。

(4)系統問題排序。

2.灰色層次分析法

傳統的系統理論大部分是研究那些信息比較充分的系統。但是,在客觀世界中,大量存在的不是白色系統(信息完全明確),也不是黑色系統(信息完全不明確),而是部分信息明確、部分信息不明確的灰色系統?；疑到y理論是以這種大量存在的灰色系統為研究對象的信息理論,它用灰色數、灰色方程、灰色矩陣、灰色群等來描述,突破了原有方法在灰色區域的判斷局限性,可以深刻地反映事物的本質。

按照層次分析法最核心的比較數值理論而言,其分析步驟是按以下三個步驟進行的:

(1)建立層次結構。根據層次分析法原理,層次包括目標層、準則層和指標層。

(2)構造判斷矩陣。由系統專家進行判定,構造評估矩陣。

(3)層次總排序和綜合判斷。利用層次分析法對評估矩陣進行處理,可得各要素的權重矩陣,再利用權重矩陣得出下層對上層要素的相對權重。

8.2.3系統安全評估方法的比較和聯系

1.各評估方法的比較

上述內容介紹了很多的評估方法,每一種方法都有其自身的優缺點,這些優缺點一是來自評估方法的屬性,二是由具體方法的評估流程決定的。

1)FTA、ETA和CCA

故障樹和事件樹都是基于“樹”的評估方法,而因果分析則是故障樹分析和事件樹分析的綜合,它們都繼承了樹形分析法的優勢,具有共同的特點。

樹形分析法的優點:

(1)適于分析大型復雜系統的可靠性及安全性。

(2)有利于掌握事故規律,控制事故的發生。

(3)事件序列一目了然,定性地反映了系統的特性。

(4)明確各種失效事件的關系和事件發生所引起的后果。

(5)可以包羅一切可能性,易于文檔化。

(6)圖形化的技術資料在建成以后是一種直觀的指南。

(7)有助于了解安全事件排序。

樹形分析法的缺點:

(1)大型故障樹的建立不易理解。

(2)邏輯關系復雜。

(3)概率計算需要大量的可靠性數據。

(4)只限于非平行事件,不適于詳細分析。

(5)容易復雜化。

解決方法:針對常規樹形分析不能考慮基本事件發生概率的不確定性這一現狀,通過引入模糊集的概念,將常規事件樹中基本事件的發生概率模糊化,利用相關算法得到模糊概率,有助于了解系統事故的分布規律,為系統的安全管理提供了依據。

2)RMECA

風險模式影響及危害性分析是一種系統化的風險預計技術,其分析方法適合于整個系統,較其他評估方法而言,有其自身的優勢和不足。

風險模式影響及危害性分析方法的優點:

(1)分析非常簡單,只需明確各項內容的要求以及明確分析的過程。

(2)利用表格,易實現,不需復雜的數學運算,適用性廣。

(3)分析結果可以作為FTA和RCMA的基礎。

(4)它能規范人員的活動,即便是沒有足夠經驗,也能夠進行分析。

風險模式影響及危害性分析方法的缺點:

(1)僅考慮到危險性失效。

(2)單因素分析,共同因素效應不足。

(3)涉及人為因素、環境影響和軟件誤差較少。

(4)不適合復雜的系統。

(5)只能做系統歸納。

(6)從單要素的失效模式開始,工作量很大,實際工作中往往難以完成。

解決辦法:抓住系統主要矛盾,在作RMECA之前,首先利用FTA找出關鍵要素,這樣使工作量大大減少,增強實效性。這一方法是以關鍵要素作為結合點,把兩種分析方法有效地結合起來,如圖8-4所示。

圖8-4RMECA與FTA結合評估流程

3)PRA

概率風險評估既強調應用定量計算,又定性地注意工程技術人員的實際經驗,是將系統分解轉化的分析方法。

概率評估法的優點:

(1)明確事故風險序列。

(2)確定事故發生概率。

(3)適于對不確定的系統的定量風險評估。

概率評估法的缺點:

(1)較為依賴數據來源。

(2)對評估專家要求較高。

(3)方法結合復雜,流程較為繁瑣。

解決辦法:評估過程應分工明確,步驟責任落實到位;步驟方法簡要化;在關鍵要素方面多做工作,使得步驟結合緊密,力爭做到數據的強針對性。

4)HAZOPA

危險性和可操作性分析相對其他方法較為獨立,也有自身的優缺點。

危險性和可操作性方法的優點是:

(1)能對系統設計進行全面的分析研究。

(2)能對操作人員的操作錯誤及由此產生的后果進行分析研究,并采取措施防范。

(3)可以發現系統中潛在的危險,并采取措施予以消除。

(4)使設計和操作人員更加全面地了解系統的性能。

(5)充實了生產操作規程,提高操作人員的業務水平。

(6)具有很強的針對性。

(7)明確約定行動建議的執行方,可操作性較強。

危險性和可操作性方法的缺點是:

(1)運用的人力、物力及耗用的時間較多。

(2)結果依賴于所審查的圖紙及資料的準確性。

(3)要求專家小組成員具備較好的專業知識技能和較豐富的實踐經驗。

(4)要保證討論會的氣氛和質量。

解決辦法:在評估工作開展以前必須明確責任,制定嚴謹的評估紀律,一切按程序進行,避免評估開展后的人為阻礙。

5)AHP

對系統進行分層、權重處理、要素排序的分析方法,為決策者提供定量的數據。

AHP方法的優點:

(1)對系統設計的層次結構進行全面的研究。

(2)明確底層要素的相對安全狀況,了解薄弱環節。

(3)給決策者提供風險管理依據。

AHP方法的缺點:

(1)量化過程中的不確定性。

(2)實際要素關聯的合理性很難保證。

(3)要求專家小組成員具備較好的專業知識技能和較豐富的實踐經驗。

(4)權重值的參考及系統升級的可行性問題。

解決辦法:引入模糊聚類、灰色系統理論等對權重值以及判斷矩陣進行改造,減少人為因素帶來的不確定性;出臺相關參考值對隸屬原則進行細化,提高評估工作的完整性和可操作性,如圖8-5所示。

圖8-5應用灰色理論的AHP法

2.安全評估方法的聯系

從以上的討論我們已經看出,現代評估工作是各種方法綜合應用的過程,分享優勢、克服自身劣勢。在進行方法闡述和比較的過程中,已經較為詳細地說明了各種方法的聯系,以下結合圖8-6做一個總結。

圖8-6評估方法聯系圖

(1)在無法通過統計的方法得到確切的數字來描述事件發生概率的情況下應用德爾菲方法,充分借助專家的知識,用模糊性語言的方式對給定事件的發生概率進行評估。

(2)利用模糊理論的模糊度在一定程度上可以表征模糊不確定性的特性,對模糊數的不確定性進行分析。將基本事件等發生的概率模糊化,這樣就充分考慮到了事件的不確定性。

(3)利用模糊理論和灰色度理論對權重值的生成進行模糊化,減少人為因素帶來的不確定性。

(4)利用因果分析法克服AHP不能發現新問題的固有缺陷,使復雜問題變得清晰、有層次,進而找出問題的關鍵,從而有效地提高它的使用效果。

(5)CCA是故障樹分析和事件樹分析的綜合。

(6)利用RMECA和ETA分析法,確立最小割集。

(7)利用FTA分析法確定風險事故序列組。

(8)利用MLD分析初始事件。

(9)利用FTA找出關鍵要素,與RMECA進行有效的結合。

8.3基于灰色層次分析法的信息隱藏系統的安全性分析模型

分析方法是系統分析工作的基礎,但實際應用是需要按照分析方法所需要的相關要素建立相應的系統分析模型去完成分析工作。

8.3.1安全性分析的模型構建

根據信息隱藏系統安全性分析的基準要素和分析要素以及AHP分析法的基本原理,建立信息隱藏系統安全性分析的AHP層次模型,分析結構可以分為三層:信息隱藏系統安全性為目標層,衡量信息隱藏系統安全性的四大基準要素為準則層,信息隱藏系統的四項性能分析要素為指標層,如圖8-7所示。

圖8-7信息隱藏系統安全性分析的AHP層次結構

根據圖8-7總結出的信息隱藏系統安全性分析的AHP層次結構,建立基于灰色層次分析法的信息隱藏系統的安全性分析模型,如圖8-8所示,整個分析模型一共分為七個步驟。

圖8-8-基于灰色層次分析法的信息隱藏系統安全性分析模型

(1)確立分析人員權重。

根據分析者自身素質的差異以及負責分析部分的不同,按權威與重要程度等因素對分析人員采取不同的權重。在基于灰色層次分析法的分析模型中,專家組權重矩陣用來體現

這種權重的差異,專家組權重矩陣記作P。

(2)構造分析矩陣,確定各要素相對權重。

由專家構造分析矩陣,矩陣行代表同一層次的分析要素,列代表要素的相對重要性等級,以此行、列建立分析矩陣。

(3)構建得分矩陣。

因為底層分析因素是定性而非定量指標,分析時不能形成統一的標準,為此,依照優劣程度,將其分為甲、乙、丙、丁、戊五個等級,對應分值為10、8、6、4和2分,構成等級分值矩陣C,C=[108-642]。

(4)確定分析要素的初始得分。

(5)確定分析灰類。

確定分析灰類就是要確定分析灰類的等級數、灰類的灰數以及灰數的白化權函數,在灰色系統理論中,白化權函數轉折點的值稱為閥值。

本節研究的具體對象是信息隱藏系統,通過定性分析確定閥值。本節將等級設為五級,則灰類序號為k(k=1,2,3,4,5),它們是“甲”、“乙”、“丙”、“丁”、“戊”五級,其相應灰數如表8-2所示。

由表8-2得出相應灰數白化權函數,如圖8-9所示。圖8-9五類灰數的白化權函數

8.3.2安全性分析的應用實例

1.對lαβ-CBP的魯棒性進行安全性分析實驗

根據基于灰色層次分析法的信息隱藏系統的安全性分析模型的七個步驟對lαβ-CBP的魯棒性進行分析。

(1)確立分析人員權重。

對