本發(fā)明涉及軟件分析技術(shù)領(lǐng)域和隱寫信息檢測技術(shù)領(lǐng)域，特別是涉及基于IS4軟件特征的隱藏信息檢測及提取方法。

背景技術(shù)：

隨著信息隱藏技術(shù)的日趨成熟和網(wǎng)絡(luò)隱寫軟件數(shù)量的迅猛增長，使用互聯(lián)網(wǎng)隱寫軟件進(jìn)行隱蔽通信愈發(fā)普遍。據(jù)報(bào)道，很多恐怖組織和基地組織利用信息隱寫手段來散播秘密消息，對國防安全及社會穩(wěn)定都構(gòu)成了嚴(yán)重威脅，因此需要實(shí)現(xiàn)一種隱秘載體的快速檢測技術(shù)。

East-tec InvisibleSecrets 4(IS4)是一款提供隱私保護(hù)和加密保護(hù)完整解決方案的商業(yè)軟件套件。2013年3月，east-tec公司發(fā)布了最新的InvisibleSecrets 4.8軟件版本，軟件可以運(yùn)行在Windows 10/8/7Vista/XP等系統(tǒng)平臺。這款軟件不僅提供對文件的加密保護(hù)，還提供對秘密信息的隱藏保護(hù)。在保證有足夠隱藏容量條件下，IS4軟件支持對任意文件流的隱藏保護(hù)，支持的隱寫載體涵蓋圖像、音頻和文本，包括JPG格式、PNG格式、BMP格式、WAV格式和HTML格式，支持的加密算法有AES-Rijndael、Twofish、RC4、Cast128、Gost、Blowfish、Diamond 2和Sapphire II。

當(dāng)前，學(xué)術(shù)上對隱寫分析領(lǐng)域的研究主要集中在通用盲隱寫檢測方法和專用的隱寫檢測方法，此類方法在檢測準(zhǔn)確率和先驗(yàn)知識上有很大的局限性和依賴性。特別是對低嵌入容量下的檢測問題，以及隱藏信息的提取問題均不能有效的解決。利用隱寫軟件漏洞和隱寫痕跡來識別隱秘載體是一種新型的高效隱寫檢測方法，在這方面的研究成果主要有：2011年解放軍信息工程大學(xué)鄭東寧等人提出了一種基于代碼分割技術(shù)的隱寫軟件識別框架(鄭東寧.基于代碼分割的隱寫軟件識別技術(shù)研究[D].解放軍信息工程大學(xué),2011.)。2012年解放軍信息工程大學(xué)鄭永振等人2012從軟件算法核心代碼的角度提出了一種基于核心代碼的隱寫軟件識別框架(鄭永振.基于核心代碼的隱寫軟件識別技術(shù)研究[D].解放軍信息工程大學(xué).)。2013年解放軍信息工程大學(xué)趙正等人提出了一種基于自動(dòng)機(jī)理論的隱寫軟件識別框架(趙正.基于模型檢測的隱寫軟件識別技術(shù)研究[D].解放軍信息工程大學(xué),2013.)，該框架驗(yàn)證待識別軟件中是否存在隱寫行為。2009年 Zax等人對隱寫軟件安裝、運(yùn)行、卸載后的系統(tǒng)痕跡(如注冊表、文件、文件目錄)進(jìn)行了研究(Zax R,Adelstein F.FAUST:Forensic artifacts of uninstalled steganography tools[J].Digital Investigation,2009,6(1):25-38.)，通過這些痕跡構(gòu)造隱寫指紋庫來對隱寫軟件進(jìn)行檢測。2011年西安電子科技大學(xué)米鵬等人針對當(dāng)前互聯(lián)網(wǎng)上60多種隱寫軟件(米鵬.隱寫軟件檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].西安電子科技大學(xué),2011.)，利用它們在計(jì)算機(jī)中的使用痕跡或駐留信息來提取特征構(gòu)造指紋庫，并利用指紋庫對這些軟件進(jìn)行檢測。2007年胡昊然等人通過對Imagehide和JPEGX兩款的隱寫原理進(jìn)行分析(胡昊然,錢萌.基于待征碼的Imagehide與JPEGX圖像隱藏信息檢測以及提取[J].科技廣場,2007(1):125.)，提出了基于特征碼的檢測方法。2006年吳明巧等人提出了一種針對Stego文本隱寫軟件的特征碼檢測算法(吳明巧,金士堯.針對文本隱寫軟件Stego的隱寫分析方法[J].計(jì)算機(jī)工程,2006,32(23):10-12.)。2012年Zheng等人對Jsteg等幾款隱寫軟件進(jìn)行研究(Zheng Y,Liu F,Luo X,et al.A Method Based on Feature Matching to Identify Steganography Software[C].Proceedings of the 2012 Fourth International Conference on Multimedia Information Networking and Security.IEEE Computer Society,2012:989-994.)，在獲取軟件特征碼基礎(chǔ)上，提出了針對隱寫軟件的通用盲性隱寫分析軟件。2009年解放軍信息工程大學(xué)任光等人提出了一種獲取隱寫軟件特征碼的方法(任光.互聯(lián)網(wǎng)上常見隱寫軟件的分析與攻擊[D].解放軍信息工程大學(xué),2009.)，并分析了已有隱寫軟件的選位機(jī)制，獲得了MASKER、datastash等18種隱寫軟件的特征碼。2015年Sloan等人利用MP4格式文件的特點(diǎn)及OpenPuff隱寫軟件的嵌入特點(diǎn)(Sloan T,Hernandez-Castro J.Steganalysis of OpenPuff through atomic concatenation of mp4 flags[J].Digital Investigation,2015,13:15-21.)，提出了針對OpenPuff MP4格式的檢測方法。2010年Bell等人通過訓(xùn)練同款軟件生成的多張隱秘載體(Bell G,Lee Y K.A Method for Automatic Identification of Signatures of Steganography Software[J].IEEE Transactions on Information Forensics&Security,2010,5(2):354-358.)，查找圖像中的相同不變信息，把其作為該隱寫軟件的特征碼。但是通過文獻(xiàn)調(diào)研分析發(fā)現(xiàn)，當(dāng)前針對IS4隱寫軟件的分析及隱藏信息的檢測提取方法的研究還未見公開文獻(xiàn)。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明所要解決的技術(shù)問題是：IS4隱寫軟件制作隱秘載體的識別與隱藏信息的提取，并提供基于IS4軟件特征的隱藏信息檢測及提取方法，識別檢測準(zhǔn)確率高。

本發(fā)明適用于檢測識別圖像文件(JPG/PNG/BMP格式)、音頻文件(WAV格式)、文本文件(HTML格式)是否由IS4軟件制作的隱秘載體，并提取隱秘載體中嵌入的隱 藏?cái)?shù)據(jù)(可能是加密數(shù)據(jù))。

本發(fā)明的技術(shù)解決方案是基于IS4軟件特征的隱藏信息檢測及提取方法，通過利用逆向工程對IS4軟件進(jìn)行分析，獲得該軟件的隱寫特征和隱藏信息的嵌入原理，進(jìn)而實(shí)現(xiàn)對隱藏信息的檢測和提取，主要包括如下步驟：

(1)文件格式識別。根據(jù)輸入待檢測文件File的文件頭標(biāo)識FileID來判定文件格式，JPG圖片的文件頭標(biāo)識為“0xFF D8 FF”、PNG圖片的文件頭標(biāo)識為“0x89 50 4E 47”、BMP圖片的文件頭標(biāo)識為“0x42 4D”、WAV音頻的文件頭標(biāo)識為“0x57 41 56 45”、HTML文本的文件頭標(biāo)識為“0x3C 21 44 4F 43 54 59 50 45 20 68 74 6D 6C”。

(2)關(guān)鍵數(shù)據(jù)抽取。分別依據(jù)IS4軟件對JPG、PNG、BMP、WAV和HTML文件載體的嵌入原理，使用信息提取算法Extra(·)從待檢測的文件中抽取關(guān)鍵數(shù)據(jù)信息KeyInfo。

(3)關(guān)鍵數(shù)據(jù)內(nèi)容解析。解析KeyInfo各字段內(nèi)容信息，包括軟件簽名Sig、信息長度Len、隱藏消息數(shù)據(jù)Msg等。

(4)隱寫檢測判定。利用KeyInfo中Sig和Len等字段信息，與IS4軟件的隱寫特征(針對不同載體格式的隱寫特征不同)做匹配，如果匹配成功則表明當(dāng)前文件是經(jīng)IS4軟件處理的隱秘載體，反之判定為正常文件。

(5)隱藏信息提取。如果步驟(4)判定為隱秘載體，則從KeyInfo中提取出嵌入的隱藏信息Msg(可能是密文消息)。

所述步驟(2)中，當(dāng)待檢測文件File是檢測JPG文件時(shí)，Extra(·)表示從File二進(jìn)制比特流中搜索到的比特串模式，是一個(gè)由N個(gè)以“0xFF FE”開頭的比特串和“0xFF FF”比特串結(jié)尾組成的比特流；然后去除模式串中的開頭標(biāo)記，即“0xFF FE”和結(jié)尾標(biāo)記，即“0xFF FF”，最后獲得關(guān)鍵數(shù)據(jù)信息KeyInfo。

所述步驟(2)中，當(dāng)待檢測文件File是檢測PNG文件時(shí)，Extra(·)表示從File二進(jìn)制比特流中搜索到一個(gè)由N個(gè)以“0x74 45 58 74 43 6F 6D 6D 65 6E 74 00”開頭的比特串和“0x00 00 00 00 49 45 4E 44 AE 42 60 82”比特串結(jié)尾(N≥2)組成的比特流，然后去除模式串中的開頭標(biāo)記(“0x74 45 58 74 43 6F 6D 6D 65 6E 74”)和結(jié)尾標(biāo)記(“0x00 00 00 00 49 45 4E 44 AE 42 60 82”)，最后獲得關(guān)鍵數(shù)據(jù)信息KeyInfo。

所述步驟(2)中，當(dāng)待檢測文件File是檢測BMP文件時(shí)，Extra(·)表示從File中抽取圖片像素最低比特位(Least Significant Bit，LSB)組成比特流，抽取順序?yàn)?I) 像素間按照圖像坐標(biāo)軸從左至右、由上及下的空間順序；(II)像素內(nèi)按照BGR的通道順序。

所述步驟(2)中，當(dāng)待檢測文件File是檢測WAV文件時(shí)，Extra(·)表示抽取File data數(shù)據(jù)塊中數(shù)據(jù)段數(shù)據(jù)的某些字節(jié)最低比特位(LSB)組成比特流(WAV文件的data數(shù)據(jù)塊的標(biāo)記為“0x64 61 74 61”，標(biāo)記字段隨后的4字節(jié)為data數(shù)據(jù)塊大小字段，再隨后是數(shù)據(jù)段)，其中數(shù)據(jù)段數(shù)據(jù)的選擇取決于File的聲道數(shù)，如果File是單聲道音頻則選取所有的數(shù)據(jù)段數(shù)據(jù)，如果File是雙聲道音頻則選擇數(shù)據(jù)段的奇數(shù)位字節(jié)。

所述步驟(2)中，當(dāng)待檢測文件File是檢測HTML文件時(shí)，Extra(·)表示從File中匹配二進(jìn)制模式串“0x3E@**@0D 0A”，其中“0x3E”表示標(biāo)簽結(jié)束標(biāo)記“>”、“@**@”表示若干個(gè)“0x20”和“0x09”、“0x0D 0A”表示文本換行，并抽取子串“@**@”以及文件末尾的模式串“@**@”，然后將“0x20”和“0x09”分別映射為比特“0”和“1”構(gòu)成KeyInfo的比特流數(shù)據(jù)。

所述步驟(4)中，與IS4軟件的隱寫特征做匹配時(shí)，針對不同文件載體格式，即JPG、PNG、BMP、WAV和HTML的隱寫特征不同。

對于JPG格式的文件，隱寫特征如下：

A.關(guān)鍵數(shù)據(jù)塊的總數(shù)N≥2；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足從JPG格式的文件中抽取出關(guān)鍵數(shù)據(jù)塊KeyInfo_n的實(shí)際數(shù)據(jù)長度M表示消息數(shù)據(jù)Msg的個(gè)數(shù)，i和j表示索引下標(biāo)，L_j表示信息長度。

對于PNG格式的文件，隱寫特征如下：

A.關(guān)鍵數(shù)據(jù)塊的總數(shù)N≥2；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從PNG文件中抽取出關(guān)鍵數(shù)據(jù)塊KeyInfo₁的實(shí)際數(shù)據(jù)長度(II)從PNG文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

對于BMP格式的文件，隱寫特征如下：

A.滿足數(shù)據(jù)長度關(guān)系式

B.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從BMP文件中抽取出信息頭Header的實(shí)際數(shù)據(jù)長度(II)從BMP文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

對于WAV格式的文件和HTML格式的文件，隱寫特征如下：

A.依據(jù)對通信協(xié)議頭Header數(shù)據(jù)長度的統(tǒng)計(jì)分析，F(xiàn)ile中包含模式串“@**@”的總長度≥512字節(jié)；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從WAV格式的文件或HTML格式的文件中抽取出信息頭Header的實(shí)際數(shù)據(jù)長度(II)從WAV格式的文件或HTML格式的文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

所述步驟(5)中的隱藏信息Msg可能是密文消息。

本發(fā)明與現(xiàn)有技術(shù)相比的有益效果在于：

(1)本發(fā)明中，給出了從JPG/PNG/BMP/WAV/HTML文件中抽取出關(guān)鍵數(shù)據(jù)的方法，關(guān)鍵數(shù)據(jù)是判定文件是否為IS4隱秘載體以及提取隱藏信息的重要基礎(chǔ)。

(2)本發(fā)明中，提供了對IS4軟件嵌入在JPG/PNG/BMP/WAV/HTML格式文件中關(guān)鍵數(shù)據(jù)各字段內(nèi)容的解析方法，識別檢測準(zhǔn)確率高，為隱寫特征分析及隱藏信息提取提供基礎(chǔ)。

(3)本發(fā)明中，分別針對JPG/PNG/BMP/WAV/HTML格式文件獲得了IS4軟件的信息隱寫特征，識別檢測準(zhǔn)確率高，為高效識別隱寫載體提供基礎(chǔ)。

(4)本發(fā)明中，利用IS4軟件的信息隱寫特征分別提出了針對JPG/PNG/BMP/WAV/HTML格式文件的隱寫存在性判定算法，有效識別載體是否為隱寫載體。

附圖說明

圖1是本發(fā)明方法實(shí)施例的實(shí)現(xiàn)流程圖；

圖2是本發(fā)明方法中IS4-JPG文件隱藏的關(guān)鍵數(shù)據(jù)流結(jié)構(gòu)示意圖；

圖3是本發(fā)明方法中IS4-JPG文件隱藏關(guān)鍵數(shù)據(jù)的內(nèi)容解析示意圖；

圖4是本發(fā)明方法中IS4-PNG文件隱藏關(guān)鍵數(shù)據(jù)的內(nèi)容解析示意圖；

圖5是本發(fā)明方法中IS4-BMP文件隱藏關(guān)鍵數(shù)據(jù)的提取順序示意圖；

圖6是本發(fā)明方法中IS4-BMP文件隱藏關(guān)鍵數(shù)據(jù)的內(nèi)容解析示意圖；

圖7是本發(fā)明方法中IS4-WAV文件隱藏關(guān)鍵數(shù)據(jù)的嵌入位置示意圖；

圖8是本發(fā)明方法中IS4-HTML文件隱藏關(guān)鍵數(shù)據(jù)的嵌入位置示意圖。

具體實(shí)施方式

為使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面通過具體實(shí)施例和附圖，對本發(fā)明做進(jìn)一步說明。

如圖1所示，是本發(fā)明實(shí)現(xiàn)對IS4軟件隱寫信息檢測與提取方法的流程示意圖，檢測與提取過程共包含5個(gè)步驟(S1～S5)，其中步驟S1用于識別待檢測文件的格式，步驟S2～S4依據(jù)不同類型的文件分別進(jìn)行隱藏信息的檢測判定，步驟S5是對應(yīng)的隱藏信息提取。本發(fā)明的具體實(shí)現(xiàn)過程如下：

(S1)文件格式識別。

根據(jù)輸入待檢測文件File的文件頭標(biāo)識FileID來判定文件格式，JPG圖片的文件頭標(biāo)識為“0xFF D8 FF”、PNG圖片的文件頭標(biāo)識為“0x89 50 4E 47”、BMP圖片的文件頭標(biāo)識為“0x42 4D”、WAV音頻的文件頭標(biāo)識為“0x57 41 56 45”、HTML文本的文件頭標(biāo)識為“0x3C 21 44 4F 43 54 59 50 45 20 68 74 6D 6C”。對于FileID不匹配上述5種格式標(biāo)記的將不做處理。

1.JPG文件的隱寫檢測

(S2-1)關(guān)鍵數(shù)據(jù)抽取。

利用信息提取算法Extra(·)從待檢測的JPG文件File中抽取出關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝Extra(File)。其中，Extra(·)表示從File二進(jìn)制比特流中搜索到如圖2的比特串模式，是一個(gè)由N個(gè)以“0xFF FE”開頭的比特串和“0xFF FF”比特串結(jié)尾(N≥2)組成的比特流，然后去除模式串中的開頭標(biāo)記(“0xFF FE”)和結(jié)尾標(biāo)記(“0xFF FF”)，最后獲得關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝KeyInfo₁||…||KeyInfo_n||…||KeyInfo_N(N≥2)(式中“||”是字節(jié)流拼接運(yùn)算)。注：若N＜2則表明該JPG文件File未被IS4軟件嵌入隱藏信息。

(S3-1)關(guān)鍵數(shù)據(jù)內(nèi)容解析。

嵌入數(shù)據(jù)流的組織方式如圖3所示，第1個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo₁包括3部分?jǐn)?shù)據(jù)，依次為：KeyInfo₁塊的長度Len₁(采用2個(gè)字節(jié)大端序存儲)、通信協(xié)議頭(加密存儲) 和Msg的總長度Len(采用4個(gè)字節(jié)小端序存儲)。從第2個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo₁到第N個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo_N是實(shí)現(xiàn)消息數(shù)據(jù)Msg及其長度信息L的嵌入，實(shí)際應(yīng)用中Msg可能由多個(gè)文件構(gòu)成，也即KeyInfo_n塊(n≥2)中可能同時(shí)包括多個(gè)最小隱藏消息單元。它們采用串聯(lián)拼接的方式進(jìn)行組織，每個(gè)最小單元U_m(單個(gè)Msg_m消息數(shù)據(jù))包括Msg_m消息長度(采用4個(gè)字節(jié)小端序存儲)和Msg_m消息數(shù)據(jù)本身(m＝1,…,M，Msg_m可能被壓縮、加密，這取決于IS軟件使用模式)。以第n個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo_n(n＝2,…,N)為例，它包括2部分?jǐn)?shù)據(jù)，依次為：KeyInfo_n塊的長度Len_n(采用2個(gè)字節(jié)大端序存儲)和若干個(gè)最小隱藏消息單元的有序序列<U_i,…,U_i+j>(i,j∈N⁺,i+j≤M)。

(S4-1)隱寫檢測判定。

通過步驟S3的分析，可以發(fā)現(xiàn)IS4軟件制作的JPG隱秘圖片具有下述特征：

A.關(guān)鍵數(shù)據(jù)塊的總數(shù)N≥2；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足從JPG文件中抽取出關(guān)鍵數(shù)據(jù)塊KeyInfo_n的實(shí)際數(shù)據(jù)長度

因此，如果待檢測JPG文件File滿足上述3個(gè)隱寫特征，則判定File為IS4軟件制作的隱秘圖片，否則判定為正常圖片。

2.PNG文件的隱寫檢測

(S2-2)關(guān)鍵數(shù)據(jù)抽取。

利用信息提取算法Extra(·)從待檢測的PNG文件File中抽取出關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝Extra(File)。其中，Extra(·)表示從File二進(jìn)制比特流中搜索到如圖3的比特串模式，是一個(gè)由N個(gè)以“0x74 45 58 74 43 6F 6D 6D 65 6E 74 00”開頭的比特串和“0x00 00 00 00 49 45 4E 44 AE 42 60 82”比特串結(jié)尾(N≥2)組成的比特流，然后去除模式串中的開頭標(biāo)記(“0x74 45 58 74 43 6F 6D 6D 65 6E 74”)和結(jié)尾標(biāo)記(“0x00 00 00 00 49 45 4E 44 AE 42 60 82”)，最后獲得關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝KeyInfo₁||…||KeyInfo_n||…||KeyInfo_N(N≥2)(式中“||”是字節(jié)流拼接運(yùn)算)。注：若N＜2則表明該P(yáng)NG文件File未被IS4軟件嵌入隱藏信息。

(S3-2)關(guān)鍵數(shù)據(jù)內(nèi)容解析。

嵌入數(shù)據(jù)流的組織方式如圖4所示，在標(biāo)記頭“0x74 45 58 74 43 6F 6D 6D 65 6E 74 00”前面4字節(jié)表示KeyInfo₁塊的長度Len₁(采用字節(jié)大端序存儲)。第1個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo₁包括2部分?jǐn)?shù)據(jù)，依次為：通信協(xié)議頭(加密存儲)和U₁～U_M塊的總長度Len(采用4個(gè)字節(jié)大端序存儲)。從第2個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo₁到第N個(gè)關(guān)鍵數(shù)據(jù)塊KeyInfo_N實(shí)際上是若干個(gè)最小隱藏消息單元的有序序列<U₁,…,U_M>(M≥1)，每個(gè)最小單元U_m(單個(gè)Msg_m消息數(shù)據(jù))包括Msg_m消息長度(采用4個(gè)字節(jié)小端序存儲)和Msg_m消息數(shù)據(jù)本身(m＝1,…,M，Msg_m可能被壓縮、加密，這取決于IS軟件使用模式)。注：每個(gè)KeyInfo_n塊(n≥2)中可能同時(shí)包括多個(gè)最小單元U_m。

(S4-2)隱寫檢測判定。

通過步驟S3的分析，可以發(fā)現(xiàn)IS4軟件制作的PNG隱秘圖片具有下述特征：

A.關(guān)鍵數(shù)據(jù)塊的總數(shù)N≥2；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從PNG文件中抽取出關(guān)鍵數(shù)據(jù)塊KeyInfo₁的實(shí)際數(shù)據(jù)長度(II)從PNG文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

因此，如果待檢測PNG文件File滿足上述3個(gè)隱寫特征，則判定File為IS4軟件制作的隱秘圖片，否則判定為正常圖片。

3.BMP文件的隱寫檢測

(S2-3)關(guān)鍵數(shù)據(jù)抽取。

利用信息提取算法Extra(·)從待檢測的BMP文件File(本發(fā)明中只考慮24位BMP圖片)中抽取出關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝Extra(File)。其中，Extra(·)表示從File中抽取圖片像素最低比特位(Least Significant Bit，LSB)組成比特流，抽取順序?yàn)?I)像素間按照圖像坐標(biāo)軸從左至右、由上及下的空間順序(如圖5所示)；(II)像素內(nèi)按照BGR的通道順序。

(S3-3)關(guān)鍵數(shù)據(jù)內(nèi)容解析。

嵌入數(shù)據(jù)流的組織方式如圖6所示，依次為：Header信息的長度Len₀(采用4個(gè)字節(jié)小端序存儲)、通信協(xié)議頭Header數(shù)據(jù)(加密存儲)、U₁～U_M塊的總長度Len(采用4個(gè)字節(jié)小端序存儲)和M個(gè)最小隱藏消息單元U_m的有序序列<U₁,…,U_M>(M≥1)。每個(gè)最小單元U_m包括Msg_m消息長度(采用4個(gè)字節(jié)小端序存儲)和Msg_m消息數(shù)據(jù)本身(m＝1,…,M，Msg_m可能被壓縮、加密，這取決于IS軟件使用模式)。

(S4-3)隱寫檢測判定。

通過步驟S3的分析，可以發(fā)現(xiàn)IS4軟件制作的BMP隱秘圖片具有下述特征：

A.滿足數(shù)據(jù)長度關(guān)系式

B.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從BMP文件中抽取出信息頭Header的實(shí)際數(shù)據(jù)長度(II)從BMP文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

因此，如果待檢測BMP文件File滿足上述2個(gè)隱寫特征，則判定File為IS4軟件制作的隱秘圖片，否則判定為正常圖片。

4.WAV文件的隱寫檢測

(S2-4)關(guān)鍵數(shù)據(jù)抽取。

利用信息提取算法Extra(·)從待檢測的WAV文件File中抽取出關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝Extra(File)。其中，Extra(·)表示抽取File data數(shù)據(jù)塊中數(shù)據(jù)段數(shù)據(jù)的某些字節(jié)最低比特位(LSB)組成比特流(WAV文件的data數(shù)據(jù)塊的標(biāo)記為“0x64617461”，標(biāo)記字段隨后的4字節(jié)為data數(shù)據(jù)塊大小字段，再隨后是數(shù)據(jù)段)。數(shù)據(jù)段數(shù)據(jù)的選擇取決于File的聲道數(shù)，如果File是單聲道音頻則選取所有的數(shù)據(jù)段數(shù)據(jù)，如果File是雙聲道音頻則選擇數(shù)據(jù)的位置如圖7所示，是WAV文件data數(shù)據(jù)塊中數(shù)據(jù)段的奇數(shù)位字節(jié)。

(S3-4)關(guān)鍵數(shù)據(jù)內(nèi)容解析。

本步驟操作與步驟(S3-3)相同。

(S4-4)隱寫檢測判定。

本步驟操作與步驟(S4-3)相同。

5.HTML文件的隱寫檢測

(S2-5)關(guān)鍵數(shù)據(jù)抽取。

利用信息提取算法Extra(·)從待檢測的HTML文件File中抽取出關(guān)鍵數(shù)據(jù)信息KeyInfo，也即KeyInfo＝Extra(File)。依據(jù)IS4在每個(gè)HTML文本行尾的標(biāo)簽結(jié)束標(biāo)記后嵌入隱藏信息，并利用不可見字符“0x20”和“0x09”對比特流做編碼(如圖8所示)，Extra(·)表示從File中匹配二進(jìn)制模式串“0x3E@**@0D 0A”(其中“0x3E”表示標(biāo)簽結(jié)束標(biāo)記“>”、“@**@”表示若干個(gè)“0x20”和“0x09”、“0x0D 0A”表示文本換行)，并抽取子串“@**@”以及文件末尾的模式串“@**@”，然后將“0x20”和“0x09”分別映射為比特“0”和“1”構(gòu)成KeyInfo的比特流數(shù)據(jù)。注：IS4在嵌入前會根據(jù)HTML文本中可嵌入位置數(shù)和嵌入信息量來計(jì)算模式串“@**@”的長度，因此嵌入到HTML文本中模式串“@**@”的長度是固定的，剩余信息則嵌入到文件尾部。

(S3-5)關(guān)鍵數(shù)據(jù)內(nèi)容解析。

本步驟操作與步驟(S3-3)相同。

(S4-5)隱寫檢測判定。

通過步驟S3的分析，可以發(fā)現(xiàn)IS4軟件制作的HTML隱秘文本具有下述特征：

A.依據(jù)對通信協(xié)議頭Header數(shù)據(jù)長度的統(tǒng)計(jì)分析，F(xiàn)ile中包含模式串“@**@”的總長度≥512字節(jié)；

B.滿足數(shù)據(jù)長度關(guān)系式

C.關(guān)鍵數(shù)據(jù)塊長度校驗(yàn)，即滿足(I)從BMP文件中抽取出信息頭Header的實(shí)際數(shù)據(jù)長度(II)從BMP文件中抽取出隱藏消息數(shù)據(jù)Msg_m的實(shí)際數(shù)據(jù)長度

因此，如果待檢測HTML文件File滿足上述3個(gè)隱寫特征，則判定File為IS4軟件制作的隱秘文本，否則判定為正常文本。

(S5)隱藏信息提取。

通過分析可知，IS4軟件可以在JPG/PNG/BMP/WAV/HTML文件中同時(shí)隱藏多個(gè)消息Msg_m，并且支持對Msg_m的壓縮和加密，這取決于IS4軟件的操作選項(xiàng)。(I)若IS4軟件未對Msg_m做壓縮加密，則可以利用隱藏消息單元U_m獲得Msg_m明文；(II)若IS4軟件對Msg_m進(jìn)行壓縮、加密，則可以利用隱藏消息單元U_m僅能夠獲得Msg_m的壓縮數(shù)據(jù)或密文。

提供以上實(shí)施例僅僅是為了描述本發(fā)明的目的，而并非要限制本發(fā)明的范圍。本發(fā) 明的范圍由所附權(quán)利要求限定。不脫離本發(fā)明的精神和原理而做出的各種等同替換和修改，均應(yīng)涵蓋在本發(fā)明的范圍之內(nèi)。