减轻基于隐写术的恶意软件攻击的方法、系统和装置与流程

本公开总体上涉及隐写术(steganography)，并且更具体地涉及减轻基于隐写术的恶意软件攻击的方法、系统和装置。

背景技术：

基于隐写术的恶意软件攻击涉及将恶意软件代码、僵尸网络命令、泄漏信息等隐匿在普通媒体文件(例如，图像文件、音频文件、视频文件)中。在一些实例中，恶意代码将已感染设备引导到网站，该网站利用已感染设备的已知漏洞对该已感染设备执行一组恶意动作。一些类型的恶意软件导致在计算设备中存储的有价值的信息被隐写式隐藏在随后被传输至第三方以供利用的媒体文件中。许多公司、政府实体和其它组织因这样的攻击而丢失了大量泄漏信息。对基于隐写术的攻击进行检测的当前技术通常是在已经检测到由攻击造成的损失之后手动执行，并且包括对恶意软件的可疑载体应用各种测试，并可视地检验生成的二进制数据。

附图说明

图1是具有根据本公开的教导构造的示例隐写(stegano)检测器和修复器的示例计算系统的框图。

图2是图1的示例隐写检测器和修复器的示例实现方式的框图。

图3a是在图1和图2的示例隐写检测器和修复器中包括的示例第一媒体分类器的示例实现方式的框图。

图3b是在图1和图2的示例隐写检测器和修复器中包括的示例第二媒体分类器的示例实现方式的框图。

图4是可以由图3a的示例第一媒体分类器和图3b的示例第二媒体分类器访问的示例媒体分类树的图。

图5是在图1和图2的示例隐写检测器和修复器中包括的示例图像隐写检测器、示例视频隐写检测器和示例音频隐写检测器的示例实现方式的框图。

图6是在图1和图2的示例隐写检测器和修复器中包括的示例检测器结果收集器和示例策略执行器的示例实现方式的框图。

图7是在图1和图2的示例隐写检测器和修复器中包括的示例破坏器(disruptor)的示例实现方式的框图。

图8a例示了在被图7的示例破坏器破坏之前的示例图像。

图8b例示了在被图7的示例破坏器破坏之后的图8a的示例图像。

图9是表示可以被执行以实现图1和图2的示例隐写检测器和修复器的示例机器可读指令的流程图。

图10是表示可以被执行以实现图2的示例图像隐写检测器、示例视频隐写检测器、示例音频隐写检测器和示例检测器结果收集器中的一者或更多者的示例机器可读指令的流程图。

图11是表示可以被执行以实现在图1和图2的示例隐写检测器和修复器中包括的示例修复器的示例机器可读指令的流程图。

图12是能够执行图9、图10和/或图11的指令以实现图1和/或图2的示例隐写检测器和修复器的示例处理器平台的框图。

附图未按比例绘制。在任何可能的情况下，将在整个附图和所附书面描述中使用相同的附图标记来指代相同或相似的部分。

具体实施方式

在过去的一年中，基于隐写术的恶意软件攻击数量急剧增加。不幸的是，由于基于隐写术的攻击具有几乎无法被检测到的性质，这些攻击的频度可能会继续增加。预先成功检测到这样的攻击的极少数已知技术通常不针对检测隐写式隐藏的恶意软件，而是针对检测已知被隐写式隐藏的特定恶意软件。对隐写式隐藏的恶意软件、泄露信息等进行检测的大多数已知技术在已经检测到由攻击造成的损失之后手动执行，并且包括对恶意软件的可疑载体应用各种测试。通常，需要对二进制文件进行可视检验以识别这样的隐藏的恶意软件、泄露信息等。这样的技术工作强度很大、耗时，并且尽管有助于减轻将来的类似攻击，但通常无法检测或防止在将来发生基于隐写式的攻击。

本文公开了对基于隐写式的恶意软件攻击和/或信息泄漏事件(也称为数据外泄事件)进行检测和修复的方法、系统和装置。(在本文档中，隐写术有时简写为“隐写”)。基于隐写的检测/修复系统对概率性地过滤后的媒体文件执行实时隐写分析，以在不损害存储有隐藏信息的载体文件(例如，媒体文件)的完整性的情况下，检测和破坏文件的隐写术组成部分。在一些示例中，检测/修复系统包括媒体文件拦截器、文件过滤器和分类器、隐写分析操作器、修复器和修复后处理器。检测/修复系统基于这样的处理器和/或文件可能与基于隐写的攻击相关联的可能性，向媒体文件处理器和/或媒体文件指派信誉等级。信誉等级信息可以在评估是否将更加仔细地或不太仔细地检查传入的媒体文件时使用。

图1是示例计算系统100的框图，该示例计算系统100安装在示例站点105处并且与诸如本文中例示为云110的互联网之类的网络进行通信。示例站点105可以容纳在一个或更多个建筑物中。站点105包括与示例网关设备120进行通信的示例计算设备115a、115b、115c、115d，该示例网关设备120在计算设备115a至115d与云110之间接收和发送信息。通过网关设备120路由的邮件文件、音频文件、视频文件、图像文件、文档文件、网页文件(例如，http格式的文件)等形式的信息经受由示例隐写检测器和修复器125执行的一个或更多个操作。在一些示例中，基于隐写的修复器/检测器125分析去往/来自网关的信息，以尝试识别包含隐写式隐藏的恶意软件、隐写式隐藏的机密和/或专有信息的文件，并根据需要执行操作以破坏这样的隐写式隐藏的恶意软件和/或机密/专有信息。在一些示例中，隐写检测器和修复器125还识别可疑的文件/文件处理器，并向这样的文件/文件处理器指派信誉等级。在一些示例中，隐写检测器和修复器125使用概率信息来确定文件是否可能包含隐写式隐藏的恶意软件和/或信息。在一些示例中，概率是基于正被分析的文件的类型(音频、视频、图像、文字处理文档等)，并且在一些示例中，文件类型被用于识别要在文件上进行的一组测试/分析，其目的是识别隐写式隐藏的信息。隐写检测器和修复器125还可以使要应用在一个或更多个文件上的修复技术基于指定要如何处理包含隐写式隐藏的信息的文件的修复策略。在一些示例中，隐写检测器和修复器125与任何数量的其它恶意软件检测器相结合地工作。通过对包含隐写式隐藏的恶意软件和/或隐藏的机密和专有信息的文件进行分析、检测和修复，隐写检测器和修复器125阻挠了恶意软件攻击并防止了机密信息泄漏。因此，与通常以攻击后取证方式工作的常规系统不同，图1的示例隐写检测器和修复器125能够主动监测网络业务250，以实时识别隐写式隐藏的恶意软件和隐藏的机密信息，并且还能够持续采取破坏这样的恶意软件并防止这样的信息外泄所需的动作。尽管示出为在网关设备120的外部，但是隐写检测器和修复器125可以位于网关设备120的内部，以在将消息传送给计算设备115a至115d之前对这样的消息进行分析。

图2是图1的示例隐写检测器和修复器125的示例实现方式的框图。隐写检测器和修复器125包括示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉指派器208、示例提取器210和示例修复器212。在一些示例中，检测系统204包括示例基于签名的检测器214、示例第一媒体分类器216a、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果确定器224、示例签名监管器226和示例知识数据库228。在一些示例中，信誉指派器208包括示例资源上下文采集器230和示例信誉等级指派器232。在一些示例中，提取器210包括示例消息估计器234、示例消息提取器236和示例攻击分类器238。在一些示例中，修复器212包括示例第二媒体分类器216b、示例破坏器242和用于存储一组破坏技术246的示例破坏器库244。

在工作时，媒体文件拦截器202访问数据业务流250。数据业务流250可以与示例网关设备120(参见图1)相关联，以使媒体文件拦截器202被定位成拦截进入或离开站点105的任何和/或所有媒体文件。在一些示例中，数据业务流250与端点(例如，计算设备115a至115d中的一者)相关联，以使媒体文件拦截器202被定位成拦截进入和离开该端点的任何和/或所有媒体文件。在一些示例中，媒体文件拦截器202检查任何和/或所有数据业务250，并且拦截数据业务250中包括的任何和/或所有媒体文件(例如，图像文件、音频文件、视频文件等)。媒体文件拦截器202可以是如下媒介：其接收并转发数据业务(例如，在分析之后)，或者其可以与数据业务250并行地“监听”，以免减慢通信(例如，以免减慢网关设备120与计算设备115a至115d中的一者或更多者之间的通信)。在一些示例中，媒体文件拦截器202将所拦截的媒体文件提供给示例修复器212和示例检测系统204。

在一些示例中，示例基于签名的检测器214接收到达检测系统204处的媒体文件。基于签名的检测器214使用多种签名技术中的任何一种来生成传入媒体文件的一个或更多个签名。如本文所使用的，“签名”被限定成基于媒体文件和/或代表媒体文件的信号的一个或更多个部分的一个或更多个固有方面的电子标识符(例如，指纹)。因此，签名可以被认为是媒体文件的(优选地是唯一的)指纹，该指纹可以在诸如匹配或识别操作之类的各种活动中作为该文件本身的代理使用。优选地，签名对于其代表的媒体文件(或媒体文件的多个部分)来说是唯一的。签名通常与媒体文件的一小部分相对应。因此，媒体文件可以具有多个签名。基于签名的检测器214将所生成的签名与知识数据库228中包含的一个或更多个存储的签名进行比较。存储的签名是已知包含隐写式隐藏的信息的媒体文件的签名。当基于签名的检测器214确定所生成的签名中的一者与知识数据库228中的存储的签名中的一者匹配时，基于签名的检测器214将文件传输给示例策略执行器206。策略执行器206以下文描述的方式应用与媒体文件相对应的修复策略。

当基于签名的检测器214无法在示例知识数据库228中定位与媒体文件的所生成的签名相匹配的存储的签名时，基于签名的检测器214将媒体文件供应给示例第一媒体分类器216a。还参照图3a，图3a是示例第一媒体分类器216a的示例实现方式的框图，第一媒体分类器216a包括示例分类树库302a和示例树遍历器304a。在一些示例中，在树遍历器304a处接收由基于签名的检测器214供应的媒体文件。树遍历器304a遍历分类树库302a，并且在遍历分类树库302a的同时，将媒体文件的内容与分类树库302a中包含的信息进行比较。还参照图4，图4例示了示例分类树400，在一些示例中，分类树302a包括与媒体内容类型有关的信息的层。第一顶层402识别媒体载体系列(mediacarrierfamily)的示例类型。在该示例中，第一媒体载体系列是图像载体系列404，第二媒体载体系列是音频载体系列406，而第三媒体载体系列是视频载体系列408。第二层410位于第一顶层402下方并与其相邻，并且识别与顶层402的媒体载体系列相关联的格式。与图像载体系列404相关联的格式包括位图(bmp)格式412、便携式网络图形(png)格式414、图形交换(gif)格式416和联合图像专家组(jpg或jpeg)格式418。与音频载体系列406相关联的格式包括运动图像专家组–3(mp3或mpeg-3)格式420以及无损音频编码(flac)格式422。与视频载体系列408相关联的格式包括运动图像专家组–4(mpeg-4)格式424和windows媒体视频文件(wmv)格式426。

示例分类树400还包括示例第三层428，该示例第三层428位于第二层410下方并与其相邻，并且识别与第二层410的媒体载体格式相关联的特征。在一些示例中，第三层428识别与第二层410的png格式414相关联的矩阵维度特征。在一些这样的示例中，png格式的文件可以表征为包括维度等于或小于“16×16”的矩阵430，或者可以表征为包括维度超过“16×16”的矩阵432。在一些示例中，第三层428识别与第二层410的gif格式416相关联的空白/非空白特征。在一些这样的示例中，gif格式的文件可以表征为空白434或非空白436。示例分类树400还包括示例第四层438，该示例第四层438位于第三层428下方并与其相邻，并且识别与第三层428的特征相关联的子特征。在一些示例中，表征为具有维度等于或小于“16×16”的矩阵的png格式的文件可以被进一步表征为偏爱图标(favicon)440或非偏爱图标(non-favlcon)442。表征为偏爱图标的文件是包含与网站/网页相关联的一个或更多个图标的文件，而非偏爱图标文件不包含这样的图标。在一些示例中，任何和/或所有文件格式、文件特征和/或子特征与标识具有该格式、格式和特征和/或格式、特征和子特征的文件将包含隐写式隐藏的恶意软件或机密信息的可能性的概率相关联。

如图4的分类树400所例示的，图像载体系列404中的被格式化为png文件414、包括维度等于或小于“16×16”的矩阵430、并且作为偏爱图标文件440的文件具有82％的概率444包含隐写式隐藏的信息。相反，图像载体系列404中的被格式化为png文件414、包括维度等于或小于“16×16”的矩阵430、并且作为非偏爱图标文件442的文件具有18％的概率446包含隐写式隐藏的信息。尽管未在图4中示出，但是任何或所有特征、子特征和文件格式可以与标识在具有该特征、子特征和文件格式的文件中存储有隐写式隐藏的恶意软件或机密信息的可能性的概率相关联。

再次参照图2，在一些示例中，示例第一媒体分类器216a的示例树遍历器304a使用与从基于签名的检测器214接收的媒体文件有关的信息来遍历分类树库302a中存储的分类树400，直到已识别到与媒体文件格式/特征和/或子特征相关联的概率。如果从分类树400获得的概率超过阈值概率，则文件处于包含隐写式隐藏的恶意软件或机密信息的高风险。由于该高风险，树遍历器304a将媒体文件传递给示例图像隐写检测器218、示例音频隐写检测器220或示例视频隐写检测器222中的一者，在示例图像隐写检测器218、示例音频隐写检测器220或示例视频隐写检测器222中的一者处，针对这样的隐写式隐藏的恶意软件或机密信息使媒体文件经受测试，从而减少消息传递中的时延。在一些示例中，如果从分类树400获得的概率未超过阈值概率，则媒体文件处于包含隐写式隐藏的恶意软件或机密信息的低风险。作为结果，树遍历器304a将媒体文件与识别出的概率信息一起传递给策略执行器206。策略执行器206基于该概率识别出媒体文件已被确定为处于包含隐写式隐藏的信息的低风险，并将该媒体文件存放回数据业务流250中，以继续朝着驻留在实体105内的一个或更多个计算设备115a至115d或者向在实体105外部的目的地110(这取决于媒体文件被媒体文件拦截器202拦截时采取的方向)前进。通过使用由树遍历器304a获得的概率来识别媒体文件处于包含隐写式隐藏的恶意软件或机密信息的高风险，然后使这些文件经受另外的检测器，同时允许被确定为处于低风险的媒体文件继续前进而无需应用另外的检测技术，隐写检测器和修复器125大大减少了针对恶意软件和/或机密信息而要被检查的媒体文件的数量。作为结果，隐写检测器和修复器125能够更好地检测包含隐写式隐藏的恶意软件或机密信息的文件，而不会有害地降低数据业务250进入或离开实体105、网关设备120和/或任何计算设备115a至115d的速度。此外，由于示例隐写检测器和修复器125能够识别处于包含隐写式隐藏内容的风险的文件，因此检测器和修复器125还可以作为中间人类型的设备来工作。这样，隐写检测器和修复器125充当旁观者，以拦截文件、标记高风险文件并指示其它设备(例如，网关设备120)阻止来自通信流(例如，数据业务流250)的已标记文件。

在一些示例中，当第一媒体分类器216a的树遍历器304a基于所识别的概率确定媒体文件处于包含隐写式隐藏的恶意软件或机密信息的高风险时，树遍历器304a使用媒体文件格式来确定媒体文件是否包括图像、视频和/或音频。当媒体文件包含图像时，第一媒体分类器216a将媒体文件传递给图像隐写检测器218。当媒体文件包含视频时，第一媒体分类器216a将媒体文件传递给视频隐写检测器222，当媒体文件包含音频时，第一媒体分类器216a将媒体文件传递给音频隐写检测器220。在一些示例中，当媒体文件包含超过一种类型的媒体(例如，图像、视频和音频中的两种或更多种)时，媒体文件分类器216a将媒体文件传递给图像隐写检测器218、音频隐写检测器220和视频隐写检测器222中的对应第一者，并当图像隐写检测器218、音频隐写检测器220和视频隐写检测器222中的该对应第一者结束处理媒体文件时，指示图像隐写检测器218、音频隐写检测器220和视频隐写检测器222中的该对应第一者将媒体文件传递给图像隐写检测器218、音频隐写检测器220和视频隐写检测器222中的对应第二者。在其它示例中，媒体文件由图像隐写检测器218、音频隐写检测器220和视频隐写检测器222中的两者或更多者并行处理。

图5是示例图像隐写检测器218、示例音频隐写检测器220和示例视频隐写检测器222的示例实现方式的框图。在一些示例中，图像隐写检测器218、音频隐写检测器220和视频隐写检测器222各自被配置成应用一种或更多种技术来检测隐写式隐藏的恶意软件和/或机密信息。在一些示例中，图像隐写检测器218包括示例图像检测技术库502、示例第一媒体文件分析器504和示例图像检测技术应用器506。示例视频隐写检测器220包括示例视频检测技术库508、示例第二媒体文件分析器510和示例视频检测技术应用器512。示例音频隐写检测器222包括示例音频检测技术库514、示例第三媒体文件分析器516和示例音频检测技术应用器518。

在一些示例中，第一媒体分类器216a(参见图2)确定媒体文件具有包含隐写式隐藏内容的高概率，并且还确定该媒体文件包含至少一个图像。在一些这样的示例中，第一媒体分类器216a将媒体文件、概率、格式、特征和子特征信息供应给图像隐写检测器218。图像隐写检测器218的第一媒体文件分析器504接收媒体文件、概率和格式、特征和子特征信息。第一媒体文件分析器504对文件和所传递的信息进行分析，以确定要对媒体文件中包含的一个或更多个图像应用的一种或更多种类型的检测技术。在一些示例中，第一媒体文件分析器504从图像检测技术库502中选择一种或更多种类型的检测技术。在一些示例中，第一媒体文件分析器504基于通常用于将信息隐写式隐藏到具有由第一媒体分类器216a识别出的格式、特征和子特征的图像中的编码类型来从图像检测技术库中选择该类型的检测技术。第一媒体文件分析器504在选择/识别要被使用的一种或更多种图像隐写检测技术之后使图像检测技术应用器506应用所选择的技术。在一些示例中，图像检测技术应用器506从音频检测技术库502中提取应用所选择的技术所需的信息。

在一些示例中，示例第一媒体分类器216a(参见图2)确定媒体文件具有包含隐写式隐藏内容的高概率，并且还确定该媒体文件包含至少一个视频。在一些这样的示例中，第一媒体分类器216a将媒体文件、概率、格式、特征和子特征信息供应给示例视频隐写检测器220。视频隐写检测器220的示例第二媒体文件分析器510接收媒体文件、概率和格式、特征和子特征信息。第二媒体文件分析器510对文件和所传递的信息进行分析，以确定要在媒体文件中包含的一个或更多个视频上应用的一种或更多种类型的检测技术。在一些示例中，第二媒体文件分析器510从示例视频检测技术库508中选择一种或更多种类型的检测技术。在一些示例中，第二媒体文件分析器510基于通常用于将信息隐写式隐藏在具有由第一媒体分类器216a识别出的格式、特征和子特征的视频中的编码类型来从视频检测技术库508中选择该类型的检测技术。第二媒体文件分析器510在选择/识别要被使用的一种或更多种视频隐写检测技术之后使示例视频检测技术应用器512应用所选择的技术。在一些示例中，视频检测技术应用器512从视频检测技术库508中提取应用所选择的技术所需的信息。

在一些示例中，示例第一媒体分类器216a(参见图2)确定媒体文件具有包含隐写式隐藏内容的高概率，并且还确定该媒体文件包含至少一个音频文件。在一些这样的示例中，第一媒体分类器216a将媒体文件、概率、格式、特征和子特征信息供应给示例音频隐写检测器222。音频隐写检测器222的示例第三媒体文件分析器516接收媒体文件、概率和格式、特征和子特征信息。第三媒体文件分析器516对文件和所传递的信息进行分析，以确定要在媒体文件中包含的一个或更多个音频文件上应用的一种或更多种类型的检测技术。在一些示例中，第三媒体文件分析器516从示例音频检测技术库514中选择一种或更多种类型的检测技术。在一些示例中，第三媒体文件分析器516基于通常用于将信息隐写式隐藏在具有由第一媒体分类器216a识别出的格式、特征和子特征的音频文件中的编码类型来从音频检测技术库514中选择该类型的检测技术。第三媒体文件分析器516在选择/识别要被使用的一种或更多种视频隐写检测技术之后使示例音频检测技术应用器518应用所选择的技术。在一些示例中，音频检测技术应用器518从音频检测技术库514中提取应用所选择的技术所需的信息。

当媒体文件仅包含一种类型的媒体(例如，图像、视频或音频文件中的一种)时，图像隐写检测器218、视频隐写检测器220和音频隐写检测器222中的对应一者将检测技术应用于媒体文件。当媒体文件包含超过一种类型的媒体(例如，超过图像、视频或音频文件中的一种)时，根据需要，基于媒体文件中包含的媒体类型将媒体文件(或其副本)传递给图像隐写检测器218、视频隐写检测器220和音频隐写检测器222中的超过一者。

可以使用任何数量的不同编码技术来实现隐写术，并且通常基于载体文件(例如，隐藏有恶意软件的原始媒体文件)的文件格式来选择用于隐藏内容的隐写编码技术的类型。例如，png格式的文件是用于顺序或随机最低有效位隐写编码的良好候选，而mp3文件是用于扩频隐写编码技术的良好载体。隐写检测器和修复器125通过基于正被检查的文件格式的类型选择一种或更多种检测技术来利用这一事实。例如，当媒体文件属于图像/png载体系列时，图像隐写检测器218可以选择rs分析、样本对和/或邻域直方图作为用于检测隐藏内容的最佳候选。基于文件格式选择检测技术有助于确保检测系统204的速度和精度。

图6是示例检测器结果收集器224和示例策略执行器206的示例实现方式的框图。检测器结果收集器224包括示例结果控制器602、示例权重分配器604、示例组合器606、示例比较器608以及示例权重和阈值库610。在一些示例中，示例图像隐写检测器218、示例视频隐写检测器220和示例音频隐写检测器222(参见图2)中的一者或更多者向示例检测器结果收集器224供应通过将所选择的检测技术应用于媒体文件而获得的结果。任何和所有检测器结果还可以包括与用于生成检测器结果的技术的类型有关的信息。检测器结果收集器224的结果控制器602接收检测器结果以及与用于生成对应检测器结果的检测技术的类型有关的信息。在一些示例中，结果控制器602使权重分配器604向各个结果分配权重。在一些示例中，所分配的权重取决于用于生成结果的检测技术的类型。在一些示例中，权重分配器604基于权重和阈值库610中存储的信息来确定要被分配给结果的权重。在一些这样的示例中，权重和阈值库610存储检测技术的列表，并且还与检测技术中的相应检测技术相关联地存储要被分配给与该技术相关联的结果的权重。结果控制器602还使组合器606对加权的检测结果进行组合，并且还使比较器608将组合的加权结果与从权重和阈值库610获得的检测阈值进行比较。在一些示例中，比较器608基于用于生成结果的检测技术的类型获得要在比较中使用的检测阈值。当比较器608确定组合的加权结果满足或超过检测阈值时，比较器608通知结果控制器602，该结果控制器602向示例策略执行器206(参见图2)提供第一通知，并且向示例签名监管器226提供第二通知。

在一些示例中，由示例检测器结果收集器224传输给示例策略执行器206的第一通知包括已检测到隐写式隐藏内容的媒体文件、结果信息以及与媒体文件的格式、特征和子特征有关的信息。如下文进一步描述的，策略执行器206通过执行在策略执行器中存储的一组策略中的适当策略来响应该信息。在一些示例中，由检测器结果收集器224传输给示例签名监管器226的第二通知包括已检测到隐写式隐藏内容的媒体文件的副本，以及指示已确定该媒体文件包含隐写式隐藏内容的信息。在一些示例中，签名监管器226通过以下方式响应第二通知：生成媒体文件的签名并将该签名的副本、媒体文件的副本以及标识媒体文件的信息(例如，文件名)存储在知识数据库228中，以供示例基于签名的检测器214在对稍后拦截的媒体文件的副本进行检测时使用。

如在图6的框图中进一步例示的，示例策略执行器206包括示例策略执行控制器620、示例策略库622、示例隔离器624、示例提取器激活器626和示例信誉指派激活器628。在一些示例中，第一通知包括已检测到隐写式隐藏内容的媒体文件、媒体文件的格式、特征和子特征以及检测器结果，并且该第一通知由检测器结果收集器224供应给策略执行控制器620。策略执行控制器620通过向策略库622咨询与媒体文件有关的修复策略来响应第一通知。在一些示例中，策略库622包括对已知包含隐写式隐藏内容的文件进行标识的媒体文件名列表。在一些这样的示例中，策略执行控制器620使用文件名来访问策略库622中要针对媒体文件执行的对应修复策略。在一些示例中，媒体文件名不与策略库622中包括的任何文件名相对应。在一些这样的示例中，策略执行控制器620通知提取器激活器626。提取器激活器626通过激活示例提取器210(参见图2)并将媒体文件传输给提取器210来响应该通知。

再次参照图2，在一些示例中，示例提取器210的示例隐藏内容估计器234从提取器激活器626接收媒体文件并分析该媒体文件以估计媒体文件的哪个部分最有可能包含隐写式隐藏内容。然后，隐藏内容估计器234将标识媒体文件中被估计为最有可能包含隐藏内容的部分的信息提供给示例隐藏内容提取器236。隐藏内容提取器236从媒体文件中提取隐写式隐藏内容，并将所提取的内容供应给示例攻击分类器238。在一些示例中，攻击分类器238分析所提取的内容以确定哪种攻击类型与所提取的内容相关联。在一些示例中，攻击类型是恶意广告攻击，其涉及隐藏在网页广告中的可执行文件。这样的恶意广告攻击通常利用访问包含广告的网页的计算设备中的弱点。在一些示例中，攻击类型表示外泄攻击，其中第三方(通过使用安装在示例计算设备115a至115d中的一者或更多者上的恶意软件)在媒体文件传输到站点105(参见图1)外部的目的地之前将与该站点105相关联的实体的机密信息隐写式隐藏在媒体文件中。外泄攻击由企图利用个人和/或实体(例如，企业、政府机构、非营利组织、专业组织等)拥有或控制的机密/专有信息的不法实体使用。在一些示例中，提取器210将标识与所提取的隐写式隐藏内容相关联的攻击类型的信息提供回策略执行控制器620。

在一些示例中，示例策略执行控制器620通过访问策略库622以识别要针对包含相似攻击类型的媒体文件执行的修复策略来响应标识攻击类型的信息。在一些示例中，策略库622存储标识不同攻击类型的信息，并且还存储与各种这样的攻击类型相关联的修复策略。在一些示例中，当确定媒体文件具有对应攻击类型时，在库中存储的执行策略识别关于该媒体文件将采取的动作。将采取的动作可以包括隔离媒体文件。当修复策略指示媒体文件将被隔离时，策略执行控制器620通知示例隔离器624，该示例隔离器624通过使文件存储在硬盘上与隐写检测器和修复器125相关联的隔离区域中来进行响应。将采取的动作还可以包括防止媒体文件被异地传输和/或删除该文件。在一些示例中，当修复策略指示媒体文件要被限制离开站点105(参见图1)和/或被删除时，策略执行控制器620提示示例文件限制器/删除器632，该示例文件限制器/删除器632通过删除媒体文件和/或以其它方式确保媒体文件不会被存放回进入/离开隐写检测器和修复器125的业务流250中来进行响应。另一示例动作包括通知被确定为媒体文件的发送者(或预期接收方)的计算机设备115a至115d中的一者(或更多者)该媒体文件包含隐写式隐藏内容。当修复策略指示要向媒体文件的发送者(或预期接收方)传输通知/消息时，策略执行控制器620通知攻击通知生成器630，该攻击通知生成器630通过以下方式进行响应：生成提示发送者(或预期接收方)关于包含隐写式隐藏内容的媒体文件的消息/通知，并且在一些示例中，标识与隐写式隐藏内容相关联的攻击类型。消息/通知还可以提供与媒体文件有关的附加信息，该附加信息包括传输时间/日期、与生成攻击相关联的参与方(如果已知)、与生成媒体文件相关联的软件应用(如果已知)、与响应于潜在攻击和/或防止将来发生这样的攻击而采取的任何动作有关的信息等。在一些示例中，当检测到包含隐藏的隐写内容的图像文件时，策略执行器206在代理/端点(例如，计算设备115a至115d)中运行命令以删除文件，同样地，当检测到包含隐写术的音频文件时，策略执行器203可以运行命令以停止音频包的网络传输。

还参照图2，在一些示例中，除了识别和执行要针对媒体文件应用的修复策略之外，示例策略执行器控制器620还将媒体文件提供给示例信誉指派器激活器628。信誉指派器激活器628将包含媒体文件的激活信号发送给示例信誉指派器208的示例资源上下文采集器230(参见图2)。响应于激活信号，资源上下文采集器230采集关于媒体文件的上下文。在一些示例中，上下文包括媒体文件所源自的源设备(或源设备的地址)、作为媒体文件的预期接收方的目的地设备(或目的地设备的地址)、用于生成媒体文件的软件应用、与媒体文件相关联的用户或实体(如果已知)等。在一些示例中，资源上下文采集器230使用与媒体文件一起传输的报头信息来采集上下文信息。在一些示例中，资源上下文采集器230通过访问互联网、通过访问位于站点105处的计算设备115a至115d等来采集上下文信息。资源上下文采集器230将所采集的上下文信息传输给信誉指派器208的示例信誉等级指派器232。信誉等级指派器232使用上下文信息将等级指派给媒体文件格式类型、用于生成文件的软件应用、与恶意广告攻击相关联的网站等中的一者或更多者。在一些示例中，信誉指派器232使等级基于与媒体文件结合地接收的上下文信息以及与在较早时间被确定为具有隐写式隐藏内容的媒体文件结合地接收的上下文信息。在一些这样的示例中，当确定第一软件应用被用于生成包含隐写式隐藏内容的多个媒体文件时，信誉等级指派器232向第一软件应用指派如下等级，该等级可以指示由第一软件应用生成的将来被拦截的媒体文件将生成具有隐写式隐藏内容的另一媒体文件的可能性。在一些示例中，与使用从未(或很少)与包含隐写式隐藏内容的媒体文件相关联的第二软件应用生成的媒体文件相比，由第一软件应用生成的媒体文件经受更高级别的检查/检测。在一些示例中，信誉等级指派器232指派如下等级，该等级指示更高级别的检查/检测要被应用于具有已知经常包含隐写式隐藏内容的格式类型(例如，jpg、mpeg-4等)的媒体文件。在一些示例中，由信誉等级指派器232将指派给文件格式类型、软件应用、网站、用户等的信誉供应给示例策略执行器206的示例策略执行控制器620。在一些示例中，策略执行控制器620将等级与文件格式类型、软件应用、网站和/或用户相关联地存储在策略库622中，和/或使用信誉等级来调整被存储在示例分类树400(参见图4)并且与文件格式/特征/子特征相关联的概率。

图3b是示例第二媒体分类器216b的示例实现方式的框图，并且包括示例分类树库302b和示例树遍历器304b。在一些示例中，将针对媒体文件执行的修复策略指定将对媒体文件(或其中包含的内容)进行修复。参照图2和图3b，在一些这样的示例中，示例策略执行控制器620(参见图6)将媒体文件(或其副本)以及修复该文件的指令一起传输给示例修复器212。在一些示例中，在修复器212的第二媒体分类器216b处接收媒体文件和所附指令。第二媒体分类器216b的第二分类树库302b和第二树遍历器304b以与第一分类树库302b和第一树遍历器304b(参照图3a描述)相同的方式工作，以将媒体文件分类为包含具有文件格式类型、具有一组特征以及具有一组子特征的内容。在一些示例中，第二媒体分类器216b向示例破坏器242提供媒体文件和标识文件格式类型、特征和子特征的信息。在一些这样的示例中，在示例破坏器库244中存储的一组示例破坏技术246是不同类型的破坏技术，并且不同类型的破坏技术适于基于用于隐写式隐藏不想要的内容的编码技术的类型来破坏内容。在许多实例中，用于隐写式隐藏不想要的内容的编码技术的类型取决于媒体文件的文件格式类型、特征、子特征。因此，在一些示例中，用于破坏媒体文件的破坏技术基于媒体文件的文件格式类型、特征和子特征。这样，破坏器242基于由第二媒体分类器216b确定的媒体文件的文件格式类型、特征和子特征来选择一组示例破坏技术246中的合适的破坏技术来破坏媒体文件中的隐写式隐藏内容。当被应用于媒体文件时，破坏技术246以如下方式修改媒体文件的内容：隐写式隐藏在不会损害或恶化隐写式隐藏内容所插入的原始媒体文件内容的情况下，破坏该隐写式隐藏内容。

图7是示例破坏器242的示例实现方式的框图。在一些示例中，破坏器242包括示例媒体文件保存器702、示例破坏技术选择器704和示例破坏技术应用器706。第二媒体分类器216b向媒体文件保存器702供应媒体文件，并向破坏技术选择器704供应文件格式、特征和子特征。破坏技术选择器704评估所供应的信息，并基于该信息确定在示例破坏器库244(参见图2)中存储的哪些破坏技术246要被应用于该媒体文件。在一些这样的示例中，破坏技术选择器704选择破坏技术246中的适当的破坏技术，并将该破坏技术供应给破坏技术应用器706。破坏技术应用器706将该技术应用于在媒体文件保存器702中存储的媒体文件。在媒体文件中的隐写式隐藏内容已被破坏之后，破坏技术应用器706将该媒体文件存放/传递回进入/离开网关设备120(参见图1)的业务流250。

在一些示例中，破坏技术包括对媒体文件中包含的媒体内容中的随机最低有效位进行编码。在一些这样的示例中，破坏技术应用器706随机地选择媒体内容媒体文件中的最低有效位并对这样选择的最低有效位进行编码。在一些示例中，最低有效位的编码包括设定随机选择的最低有效位、清除最低有效位和/或将最低有效位从0变为1或从1变为0。

图8a例示了在应用最低有效位破坏技术之前包含隐写式隐藏内容(在图像的右侧示出)的示例图像。图8b例示了在应用最低有效位破坏技术之后包含隐写式隐藏内容的图8a的示例图像。如所例示的，尽管隐写式隐藏内容被破坏，但是图像保持不被损害，因此仍可以用于其最初预期目的，而无需删除媒体文件。

在一些示例中，在从业务流250拦截媒体文件之后，示例修复器212从示例媒体文件拦截器202(参见图2)接收媒体文件。在一些这样的示例中，在示例修复器212的示例第二媒体分类器216b处接收示例媒体文件。示例第二媒体分类器216b的第二分类树库302b和示例第二树遍历器304b以与上述相同的方式工作，以对媒体文件进行分类并且还获得媒体文件包含隐写式隐藏内容的概率。在一些这样的示例中，第二树遍历器304b确定该概率是否超过概率阈值。如果超过了概率阈值，则第二树遍历器304b向破坏器242传输媒体文件和分类信息。破坏器242的示例破坏技术选择器704基于由第二媒体分类器216b确定的媒体文件的文件格式类型、特征和子特征来选择一组示例破坏技术246中的合适的破坏技术来破坏媒体文件中隐写式隐藏内容。然后，示例破坏技术应用器706将该技术应用于在示例媒体文件保存器702中存储的媒体文件。在媒体文件中的隐写式隐藏内容已被破坏之后，破坏技术应用器706将媒体文件被存放/传递回进入/离开网关设备120(参见图1)的业务流250。因此，在一些示例中，修复器212可以破坏与满足阈值概率的包含隐写式隐藏内容的概率相关联的任何和/或所有媒体文件的内容。以这种方式，可以绕过检测系统204和策略执行器206，从而允许隐写检测器和修复器125比省略所述绕过的系统更快地对大量文件进行操作。

虽然图2、图3a、图3b、图4、图5、图6和图7例示了实现图1的隐写检测器和修复器125的示例方式，但图2、图3a、图3b、图4、图5、图6和图7所例示的要素、处理和/或设备中的一者或更多者可以以任何其它方式组合、划分、重新布置、省略、消除和/或实现。此外，示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉等级指派器208、示例提取器210、示例修复器212、示例基于签名的检测器214、示例第一媒体分类器216a、示例第二媒体分类器216b、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果收集器224、示例签名监管器226、示例知识数据库228、示例资源上下文采集器230、示例信誉等级指派器232、示例隐藏内容估计器234、示例隐藏内容提取器236、示例攻击分类器238、示例破坏器242、示例破坏器库244、示例破坏技术246、示例第一分类树库302a、示例第一树遍历器304a、示例第二分类树库302b、示例第二树遍历器304b、示例分类树400、示例图像检测技术库502、示例第一媒体文件分析器504、示例图像检测技术应用器506、示例视频检测技术库508、示例第二媒体文件分析器510、示例视频检测技术应用器512、示例音频检测技术库514、示例第三媒体文件分析器516、示例音频检测技术应用器518、示例结果控制器602、示例权重分配器604、示例组合器606、示例比较器608、示例权重和阈值库610、示例策略执行控制器620、示例策略库622、示例隔离器624、示例提取器激活器626、示例信誉指派器激活器628、示例攻击通知生成器630、示例文件限制器/删除器632、示例媒体文件保存器702、示例破坏技术选择器704和示例破坏技术应用器706，和/或更一般地，示例隐写检测器和修复器125可以由硬件、软件、固件和/或硬件、软件和/或固件的任何组合实现。因此，例如，任意的示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉等级指派器208、示例提取器210、示例修复器212、示例基于签名的检测器214、示例第一媒体分类器216a、示例第二媒体分类器216b、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果收集器224、示例签名监管器226、示例知识数据库228、示例资源上下文采集器230、示例信誉等级指派器232、示例隐藏内容估计器234、示例隐藏内容提取器236、示例攻击分类器238、示例破坏器242、示例破坏器库244、示例破坏技术246、示例第一分类树库302a、示例第一树遍历器304a、示例第二分类树库302b、示例第二树遍历器304b、示例分类树400、示例图像检测技术库502、示例第一媒体文件分析器504、示例图像检测技术应用器506、示例视频检测技术库508、示例第二媒体文件分析器510、示例视频检测技术应用器512、示例音频检测技术库514、示例第三媒体文件分析器516、示例音频检测技术应用器518、示例结果控制器602、示例权重分配器604、示例组合器606、示例比较器608、示例权重和阈值库610、示例策略执行控制器620、示例策略库622、示例隔离器624、示例提取器激活器626、示例信誉指派器激活器628、示例攻击通知生成器630、示例文件限制器/删除器632、示例媒体文件保存器702、示例破坏技术选择器704和示例破坏技术应用器706，和/或更一般地，示例隐写检测器和修复器125可以由一个或更多个模拟或数字电路、逻辑电路、可编程处理器、专用集成电路(asic)、可编程逻辑器件(pld)和/或现场可编程逻辑器件(fpld)实现。当阅读本专利中涵盖纯软件和/或固件实现方式的任何装置或系统权利要求时，示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉等级指派器208、示例提取器210、示例修复器212、示例基于签名的检测器214、示例第一媒体分类器216a、示例第二媒体分类器216b、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果收集器224、示例签名监管器226、示例知识数据库228、示例资源上下文采集器230、示例信誉等级指派器232、示例隐藏内容估计器234、示例隐藏内容提取器236、示例攻击分类器238、示例破坏器242、示例破坏器库244、示例破坏技术246、示例第一分类树库302a、示例第一树遍历器304a、示例第二分类树库302b、示例第二树遍历器304b、示例分类树400、示例图像检测技术库502、示例第一媒体文件分析器504、示例图像检测技术应用器506、示例视频检测技术库508、示例第二媒体文件分析器510、示例视频检测技术应用器512、示例音频检测技术库514、示例第三媒体文件分析器516、示例音频检测技术应用器518、示例结果控制器602、示例权重分配器604、示例组合器606、示例比较器608、示例权重和阈值库610、示例策略执行控制器620、示例策略库622、示例隔离器624、示例提取器激活器626、示例信誉指派器激活器628、示例攻击通知生成器630、示例文件限制器/删除器632、示例媒体文件保存器702、示例破坏技术选择器704和示例破坏技术应用器706中的至少一者据此被明确限定成包括非临时性计算机可读存储设备或存储盘(诸如包括软件和/或固件的存储器、数字通用盘(dvd)、光盘(cd)、蓝光盘等)。更进一步地，图1的示例隐写检测器和修复器125可以包括除了或代替图2、图3a、图3b、图4、图5、图6和图7所例示的要素、处理和/或设备的一个或更多个要素、处理和/或设备，和/或可以包括任何或所有例示的要素、处理和设备中的超过一者。

图9、图10和图11示出了表示用于实现图1和图2的示例隐写检测器和修复器125的示例机器可读指令的流程图。在这些示例中，机器可读指令包括由处理器(诸如下面结合图12讨论的示例处理器平台1200中示出的处理器1212)执行的程序。程序可以体现在非暂时性计算机可读存储介质(诸如cd-rom、软盘、硬盘驱动器、数字通用盘(dvd)、蓝光盘或与处理器1212相关联的存储器)上存储的软件中，但整个程序和/或其部分可以另选地由处理器1212以外的设备执行和/或体现在固件或专用硬件中。此外，尽管参照图9、图10和图11例示的流程图描述了示例程序，但可以另选地使用实现示例隐写检测器和修复器125的许多其它方法。例如，可以改变框的执行顺序，和/或可以改变、消除或组合所描述的框中的一些框。附加地或另选地，可以通过一个或更多个被构造成无需执行软件或固件即可执行对应操作的硬件电路(例如，离散和/或集成的模拟和/或数字电路、现场可编程门阵列(fpga)、专用集成电路(asic)、比较器、运算放大器(op-amp)、逻辑电路等)来实现任何或所有框。

如上所述，可以使用在非暂时性计算机和/或机器可读介质(诸如硬盘驱动器、闪存、只读存储器、光盘、数字通用盘、缓存、随机存取存储器和/或任何其它存储设备或存储盘，其中信息存储长达任何持续时间(例如，用于延长的时间段、永久地、用于简单的实例、用于临时缓冲和/或用于缓存信息))上存储的编码指令(例如，计算机和/或机器可读指令)来实现图9、图10和图11的示例处理。如本文所使用的，术语非暂时性计算机可读介质被明确限定成包括任何类型的计算机可读存储设备和/或存储盘，并且排除传播信号以及排除传输介质。“包括”和“包含”(及其所有形式和时态)在本文中用作开放式用语。因此，每当权利要求列出具有任何形式的“包括”或“包含”(例如，包含(comprises)、包括(includes)、包含(comprising)、包括(including)等)的任何内容时，应当理解，在不落在对应权利要求的范围之外的情况下，可以存在附加要素、用语等。如本文所使用的，当短语“至少”用作权利要求的前序部分中的过渡用语时，其以与用语“包含”和“包括”是开放式相同的方式是开放式。

图9的程序900在框902处开始，在框902处，示例媒体文件拦截器202(参见图2)访问进入和/或离开网关设备120(参见图1)的业务流250，以获得业务250中包含的文件。在一些示例中，除了拦截文件之外，媒体文件拦截器202还确定文件是否是媒体文件(例如，文件是否包含图像、视频、音频等)。假设文件是媒体文件，则媒体文件拦截器202将媒体文件供应给示例检测系统204。检测系统204的示例基于签名的检测器214通过基于媒体文件生成签名并将该媒体文件与示例知识数据库228中包括的一个或更多个签名进行比较来将基于签名的检测技术应用于该媒体文件(框904)。如果所生成的签名与知识数据库228中包含的签名不匹配，则基于签名的检测器214确定媒体文件不包括能够基于签名检测技术检测到的隐写式隐藏内容(框906)，并将媒体文件供应给第一媒体分类器216a。第一媒体分类器216a的示例第一媒体文件评估器306a通过识别媒体文件的文件格式、特征以及(潜在地)子特征来评估媒体文件并对该媒体文件进行分类(框908)。另外，第一媒体分类器216a的示例第一树遍历器304a使用文件格式、特征和子特征来遍历示例分类树400(参见图4)并识别媒体文件包含隐写式隐藏内容的概率(也参见框908)。如果概率超过概率阈值，则第一树遍历器304a确定媒体文件包含隐写式隐藏内容的可能性足够高，以保证将另外的检测技术应用于媒体文件，并将该媒体文件供应给示例图像隐写检测器218、示例视频隐写检测器220和示例音频隐写检测器222中的一者或更多者。

示例图像隐写检测器218、示例视频隐写检测器220和示例音频隐写检测器222中的一者或更多者将检测技术应用于媒体文件(框912)。在一些示例中，基于媒体文件的文件格式、特征和子特征来选择被应用于媒体文件的基于隐写的检测技术。示例检测器结果收集器224收集由图像隐写检测器218、视频隐写检测器220和音频隐写检测器222中的一者或更多者应用的检测技术的结果，并确定该结果是否指示媒体文件包含隐写式隐藏内容(框914)。如果未检测到隐写式隐藏内容，则检测器结果收集器224通知示例策略执行器206，该示例策略执行器206通过将媒体文件被放回/重新存放到进入/离开网关设备120的业务流250来进行响应(框916)。如果检测到隐写式隐藏内容，则检测器结果收集器224提示示例签名监管器226，该示例签名监管器226通过生成媒体文件的签名并将该签名和关于媒体文件的信息存储在示例知识数据库228中以用于检测将来被拦截的媒体文件的副本来进行响应(框918)。

另外，示例检测器结果收集器224通知示例策略执行器206媒体文件包含隐写式隐藏内容，并将媒体文件和任何相关信息供应给策略执行器206。策略执行器206通过从示例策略库622获得针对媒体文件的修复策略来进行响应(框920)。在一些示例中，基于媒体文件的文件格式、特征、子特征中的一者或更多者来选择修复策略。在一些示例中，基于媒体文件名来选择修复策略。在一些示例中，基于与媒体文件的目的地或源相关联的ip地址来选择修复策略。在一些示例中，基于示例提取器210的分析来选择修复策略。在一些这样的示例中，提取器210识别并提取隐写式隐藏内容，然后对经由隐写式隐藏内容进行的攻击类型(例如，数据外泄事件、基于恶意软件的计算弱点利用等)进行识别/分类。在一些这样的示例中，提取器210将关于攻击类型的信息供应给策略执行器206，以用于选择适当的修复策略。在一些示例中，在已经应用修复策略以用于进行基于隐写式攻击的事后检查之后，由策略执行器206致动提取器210。

示例策略执行器206将修复策略应用于媒体文件(框922)。在一些示例中，修复策略指定媒体文件将被隔离/隔开、删除、破坏等。在一些示例中，修复策略指定将生成通知并将该通知传输给经受基于隐写式攻击的用户/设备。在执行修复策略之后(或之前)，策略执行器206将媒体文件和相关联的信息供应给示例信誉指派器208。信誉指派器208的示例资源上下文采集器230收集关于媒体文件的信息并将该信息与其它基于隐写式攻击进行比较。基于所收集的信息，示例信誉指派器208的示例信誉等级指派器232将信誉等级指派给媒体文件和/或与媒体文件相关联的任何实体、与媒体文件相关联的计算设备、用于生成媒体文件的软件应用、媒体文件的文件格式、与媒体文件相关联的网站等(框924)。此后，在适当情况下(例如，如果符合所应用的修复策略)，则将媒体文件返回到进入/离开网关设备120(参见图1)的业务流250(框926)，并且程序结束。程序900描述了被应用于从去往/来自网关设备120的业务流250拦截的单个媒体文件的方法。在操作中，结合程序900描述的操作在任何和/或所有从业务流250拦截的媒体文件上重复。

图10的程序1000表示图9的程序框912，并且在框1002处开始，在框1002处，图像隐写检测器218、示例视频隐写检测器220和示例音频隐写检测器222中的一者或更多者识别/选择将将应用于媒体文件的一种或更多种检测技术。在一些示例中，基于与媒体文件相关联的文件格式类型、特征和/或子特征来选择/识别检测技术。在一些这样的示例中，相应图像隐写检测器218的第一媒体文件分析器504、视频隐写检测器220的第二媒体文件分析器和/或音频隐写检测器222的第三媒体文件分析器516对媒体文件和由第一媒体分类器216a供应的相关信息进行分析。第一媒体文件分析器504、第二媒体文件分析器510和/或第三媒体文件分析器516使用该信息从图像检测技术库502、视频检测技术库508和音频检测技术库514中的相应一者中选择适用于媒体文件的、最适合检测媒体文件中的隐写式隐藏内容的一种或更多种检测技术。在选择一种或更多种检测技术之后，图像检测技术应用器506、视频检测技术应用器和/或音频检测技术应用器518中的一者或更多者将该一种或更多种检测技术应用于媒体文件(框1004)。在应用该技术之后，图像检测技术应用器506、视频检测技术应用器和/或音频检测技术应用器518中的一者或更多者将结果供应给示例检测器结果收集器224，在示例检测器结果收集器224处对该结果进行加权、组合并与检测阈值进行比较(框1006)。在一些示例中，检测器结果收集器224的示例结果控制器602接收结果，该示例结果控制器602将结果供应给示例权重分配器604。权重分配器604基于用于生成结果的技术的类型向结果分配权重。加权后的结果被供应给示例检测器结果收集器224的示例组合器606。组合器606对加权后的结果进行组合，并将加权后的结果供应给示例比较器608。比较器608将组合的加权结果与示例权重和阈值库610中存储的示例检测阈值进行比较。示例阈值是0.2(在0到1的范围内)。将会理解，可以根据需要调整阈值以获得期望的检测水平。在大多数实例中，过高的阈值可能导致隐写检测器和修复器125对隐写式隐藏内容不那么敏感，这又可能导致隐写检测器和修复器125丢失隐匿少量信息的媒体文件。类似地，过低的阈值可能导致隐写检测器和修复器125过于敏感，从而存在生成误报的风险(例如，将文件识别为包含隐写式隐藏内容，而实际上文件中却不包含这样的隐藏内容)。

在一些示例中，权重分配器604所使用的权重也被存储在权重和阈值库610中。比较的结果被用于在图9的框914处确定在媒体文件中是否检测到隐写式隐藏内容。在一些示例中，如果超过检测阈值，则检测到隐写式隐藏内容；如果没有，则未检测到隐写式隐藏内容。比较的结果用于确定媒体文件是否将经受策略执行，如参照图9的框914至框926所描述的。在框1006之后，程序1000在图9的框914处继续。

图11的程序1100在框1102处开始，在框1102处，在从业务流250拦截了媒体文件之后，示例修复器212从示例媒体文件拦截器202(参见图2)接收媒体文件。在一些这样的示例中，在示例修复器212的示例第二媒体分类器216b处接收示例媒体文件。示例第二媒体分类器216b的第二分类树库302b和示例第二树遍历器304b工作以对媒体文件进行分类(框1104)。基于分类，树遍历器304b获得媒体文件包含隐写式隐藏内容的概率(框1106)，并将该概率与概率阈值进行比较(框1108)，以确定是否要破坏媒体文件的内容。如果概率不满足概率阈值，则树遍历器304b使示例破坏器242将媒体文件返回到业务流250，而无需将任何破坏技术应用于媒体文件(框1114)。如果概率满足概率阈值，则树遍历器304b将媒体文件和分类信息供应给破坏器242。破坏器242的示例破坏技术选择器704基于由第二媒体分类器216b确定的分类信息(例如，媒体文件的文件格式类型、特征和子特征)来选择一组示例破坏技术246中的合适的破坏技术来破坏媒体文件中的隐写式隐藏内容(框1110)。然后，示例破坏技术应用器706将该技术应用于示例媒体文件保存器702中存储的媒体文件(框1112)。在一些示例中，在媒体文件中的隐写式隐藏内容已被破坏之后，破坏技术应用器706将媒体文件被存放/传递回进入/离开网关设备120(参见图1)的业务流250。此后，程序1100结束。

图12是能够执行图9至图11的指令以实现图1、图2、图3a、图3b、图4、图5、图6和/或图7的装置的示例处理器平台1200的框图。处理器平台1200可以是例如服务器、个人计算机、移动设备(例如手机、智能手机、诸如ipad^tm的平板计算机)、网络家电、机顶盒或任何其它类型的计算设备。

所示示例的处理器平台1200包括处理器1212。所示示例的处理器1212是硬件。例如，处理器1212可以由来自任何期望系列或制造商的一个或更多个集成电路、逻辑电路、微处理器或控制器来实现。硬件处理器可以是基于半导体的(例如，基于硅的)器件。在该示例中，处理器实现示例媒体文件拦截器202、示例检测系统204、示例策略执行器206、示例信誉指派器208、示例提取器210、示例修复器212、示例基于签名的检测器214、示例第一媒体分类器216a、示例第二媒体分类器216b、示例图像隐写检测器218、示例音频隐写检测器220、示例视频隐写检测器222、示例检测器结果收集器224、示例签名监管器226、示例资源上下文采集器230、示例信誉等级指派器232、示例隐藏内容估计器234、示例隐藏内容提取器236、示例攻击分类器238、示例破坏器242、示例破坏器库244、示例破坏技术246、示例第一树遍历器304a、示例第二树遍历器304b、示例第一媒体文件分析器504、示例图像检测技术应用器506、示例第二媒体文件分析器510、示例视频检测技术应用器512、示例第三媒体文件分析器516、示例音频检测技术应用器518、示例结果控制器602、示例权重分配器604、示例组合器606、示例比较器608、示例策略执行控制器620、示例隔离器624、示例提取器激活器626、示例信誉指派器激活器628、示例攻击通知生成器630、示例文件限制器/删除器632、示例媒体文件保存器702、示例破坏技术选择器704和示例破坏技术应用器706。

所示示例的处理器1212包括本地存储器1213(例如，缓存)。所示示例的处理器1212经由总线1218与包括易失性存储器1214和非易失性存储器1216的主存储器进行通信。易失性存储器1214可以由同步动态随机存取存储器(sdram)、动态随机存取存储器(dram)、rambus动态随机存取存储器(rdram)和/或任何其它类型的随机存取存储器设备来实现。非易失性存储器1216可以由闪存和/或任何其它期望类型的存储设备来实现。对主存储器1214、1216的访问由存储器控制器控制。在一些示例中，非易失性存储器1216和易失性存储器1214实现示例破坏器库244、示例知识数据库228、示例第一分类树库302a、示例第二分类树库302b、示例图像检测技术库502、示例视频检测技术库508、示例音频检测技术库514、示例权重和阈值库610和示例策略库622。在一些示例中，大容量存储设备1228实现示例破坏器库244、示例知识数据库228、示例第一分类树库302a、示例第二分类树库302b、示例图像检测技术库502、示例视频检测技术库508、示例音频检测技术库514、示例权重和阈值库610和示例策略库622。

所示示例的处理器平台1200还包括接口电路1220。接口电路1220可以通过任何类型的接口标准(诸如以太网接口、通用串行总线(usb)和/或pciexpress接口)来实现。

在所示示例中，一个或更多个输入设备1222连接至接口电路1220。输入设备1222允许用户将数据和/或命令输入到处理器1212中。例如，输入设备可以通过音频传感器、麦克风、摄像头(静态或视频)、键盘、按钮、鼠标、触摸屏、触控板、轨迹球、isopoint和/或语音识别来实现。

一个或更多个输出设备1224也连接至所示示例的接口电路1220。输出设备1224可以例如由显示设备(例如，发光二极管(led)、有机发光二极管(oled)、液晶显示器、阴极射线管显示器(crt)、触摸屏、触觉输出设备、打印机和/或扬声器)来实现。因此，所示示例的接口电路1220通常包括图形驱动器卡、图形驱动器芯片和/或图形驱动器处理器。在一些示例中，网络管理员可以根据系统的部署方式，以不同方式与隐写检测器和修复器125进行交互。如果本发明作为网关服务运行，则将通过例如由系统公开的并可经由输入设备1222和输出设备1224访问的网页界面来配置和监测该系统。作为该交互的一部分，管理员将能够监测检测、配置修复策略(例如，删除文件或破坏文件)、更改和/或设定检测阈值、更改或设置将应用的破坏级别(部分或完全破坏)等。

所示示例的接口电路1220还包括通信设备，诸如发送器、接收器、收发器、调制解调器和/或网络接口卡，以便于经由网络1226(例如，以太网连接、数字订户线(dsl)、电话线、同轴电缆、蜂窝电话系统等)与外部机器(例如，任何种类的计算设备)交换数据。

所示示例的处理器平台1200还包括一个或更多个用于存储软件和/或数据的大容量存储设备1228。这样的大容量存储设备1228的示例包括软盘驱动器、硬盘驱动器、光盘驱动器、蓝光盘驱动器、raid系统和数字通用盘(dvd)驱动器。在一些示例中，大容量存储设备1228实现示例破坏器库244、示例知识数据库228、示例第一分类树库302a、示例第二分类树库302b、示例图像检测技术库502、示例视频检测技术库508、示例音频检测技术库514、示例权重和阈值库610和示例策略库622。

图9、图10和图11的编码指令1232可以被存储在大容量存储设备1228、易失性存储器1214、非易失性存储器1216中和/或可移除有形计算机可读存储介质(诸如cd或dvd)上。

根据前述内容，将理解，已经公开了允许实时检测和修复在媒体文件中隐写式隐藏的恶意软件和/或机密信息的示例方法、装置和制品。因此，本文公开的隐写检测器和修复器可以用于在攻击损坏软件/硬件设备之前和/或在机密信息从实体操作的计算系统已经泄漏之前阻挠基于隐写的攻击。所公开的隐写检测器和修复器能够通过确定媒体文件的文件格式、特征和/或子特征并仅使一些媒体文件经受检测处理来快速评估媒体文件。在一些所公开的示例中，仅具有与满足概率阈值的概率相关联的格式、一组特征和/或一组子特征的媒体文件经受检测技术。当满足概率阈值时，该概率阈值指示媒体文件具有包含隐写式隐藏内容的可能性，该可能性足够高以保证另外的检测处理。另外，所公开的隐写检测器和修复器使媒体文件经受最适合基于文件格式、特征和/或一组子特征检测隐藏内容的检测技术。通过将被应用于媒体文件的检测技术限制为最有可能产生结果的检测技术，而不是所有可能的检测技术，本文公开的隐写检测器和修复器能够以高速度、高精度运行。此外，本文公开的隐写检测器和修复器可以修复已知包含或怀疑包含隐写式隐藏的恶意软件或机密信息的媒体文件。在一些示例中，媒体文件的修复包括在不损坏或以其它方式恶化已经隐藏有该恶意软件的原始内容的情况下破坏隐写式隐藏内容。因此，本文公开的隐写检测器和修复器代表了相对于通常只能以事后检查的方式(例如，在攻击破坏了计算系统或在专有信息已被泄漏/偷盗之后)检测隐写式隐藏内容的现有基于隐写的系统的宝贵进步。

本文公开了以下另外的示例。

示例1是一种在媒体文件中检测隐写式隐藏内容的系统，并且包括确定媒体文件类型的媒体分类器和将检测技术应用于媒体文件的检测器。示例1的检测器基于所述类型从多种隐写检测技术中选择检测技术。示例1的系统还包括修复器，该修复器基于所述检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。

示例2包括示例1的系统。在示例2中，媒体文件是第一媒体文件，并且示例2的系统还包括媒体拦截器，该媒媒体拦截器拦截在数据网络上传输的、包括所述第一媒体文件的多个文件。所述文件包括多个媒体文件以及多个非媒体文件。

示例3包括示例1的系统。在示例3中，检测器是第一检测器，并且示例3的系统还包括第二检测器，该第二检测器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。

示例4包括示例1的系统。在示例4中，当所述类型被确定为图像媒体文件类型时，所述检测器选择第一检测技术；当所述类型被确定为音频媒体文件类型时，所述检测器选择第二检测技术；并且当所述类型被确定为视频媒体文件类型时，所述检测器选择第三检测技术。

示例5包括示例1、示例2和示例3中任一者的系统。在示例5中，检测器包括选择器，该选择器基于所述类型从多种检测技术中选择第一检测技术和第二检测技术。在示例5中，检测器还包括检测技术应用器，该检测技术应用器将第一检测技术和第二检测技术应用于媒体文件。在示例5中，第一检测技术和第二检测技术的应用产生第一检测结果和第二检测结果。在示例5中，检测器还包括比较器，该比较器将第一检测结果和第二检测结果的加权后组合与阈值进行比较，以及文件识别器，该文件识别器基于第一检测结果和第二检测结果的加权后组合的比较，将媒体文件识别为包含隐写式隐藏内容。

示例6包括示例1、示例2和示例3中任一者的系统。在示例6的系统中，修复器基于所述类型来选择将应用于媒体文件的修复技术。

示例7包括示例1、示例2和示例3中任一者的系统。在示例7的系统中，修复器通过修改媒体文件的数据的字节的最低有效位来应用修复技术。

示例8包括示例1、示例2和示例3中任一者的系统。示例7的系统还包括策略执行器，该策略执行器在确定媒体文件包括隐写式隐藏内容时执行将应用于媒体文件的一组策略。该策略指定当在所述媒体文件中检测到隐写式隐藏内容时将采取的修复活动，和/或被指派给与媒体文件相关联的媒体处理器的信誉。

示例9包括示例1、示例2和示例3中任一者的系统。示例9的系统还包括信誉指派器，该信誉指派器基于与所述媒体处理器相关联的媒体文件类型被确定为包含隐写式隐藏内容的频度，将信誉指派给一个或更多个媒体处理器。

示例10包括存储有机器可读指令的一种或更多种非暂时性机器可读存储介质。该机器可读指令在被执行时使一个或更多个处理器至少进行以下操作：确定媒体文件的媒体文件类型；以及将检测技术应用于媒体文件。所述检测技术是基于所述媒体文件类型从多种隐写检测技术中选择的。示例10的指令还使一个或更多个处理器基于检测器是否在所述媒体文件中检测到隐写式隐藏内容来将修复技术应用于所述媒体文件。

示例11包括示例10的一种或更多种非暂时性机器可读存储介质。在示例11中，该指令还使一个或更多个处理器拦截数据网络上的多个文件。在示例11中，该文件包括媒体文件和非媒体文件。

示例12包括示例10的一种或更多种非暂时性机器可读存储介质。在示例12中，该指令还使一个或更多个处理器应用基于签名的检测技术来确定所述媒体文件是否包括隐写式隐藏内容。

示例13包括示例10的一种或更多种非暂时性机器可读存储介质。在示例13中，该指令还使一个或更多个处理器执行以下操作：当媒体文件类型被确定为图像媒体文件类型时，选择第一检测技术，当媒体文件类型被确定为音频媒体文件类型时，选择第二检测技术，并且当媒体文件类型被确定为视频媒体文件类型时，选择第三检测技术。

示例14包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例14中，该指令还使一个或更多个处理器基于媒体文件类型从多种检测技术中选择第一检测技术和第二检测技术，并将第一检测技术和第二检测技术应用于媒体文件。在示例14中，第一检测技术和第二检测技术的应用产生第一检测结果和第二检测结果。在示例14中，该指令还使一个或更多个处理器将第一检测结果和第二检测结果的加权后组合与阈值进行比较，以及基于第一检测结果和第二检测结果的加权后组合的比较，将媒体文件识别为包含隐写式隐藏内容。

示例15包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例15中，该指令还使一个或更多个处理器基于媒体文件类型来选择将应用于媒体文件的修复方法。

示例16包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例16中，应用修复技术包括：修改媒体文件的数据的字节的最低有效位。

示例17包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例17中，该指令还使一个或更多个处理器在确定媒体文件包括隐写式隐藏内容时管理将应用于媒体文件的一组策略。在示例17中，策略指定以下中的至少一项：当在所述媒体文件中检测到隐写式隐藏内容时将采取的修复活动，以及被指派给与所述媒体文件相关联的媒体处理器的信誉。

示例18包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例18中，该指令还使一个或更多个处理器执行以下操作：基于与所述媒体处理器相关联的媒体文件类型被确定为包含隐写式隐藏内容的频度，将信誉指派给一个或更多个媒体处理器。

示例19包括示例10、示例11和示例12中任一者的一种或更多种非暂时性机器可读存储介质。在示例19中，该指令还使一个或更多个处理器执行以下操作：针对多个媒体文件类型格式，确定具有相应媒体文件类型格式的媒体文件将包含隐写式隐藏内容的相应概率。

示例20包括示例19的一种或更多种非暂时性机器可读存储介质。在示例19中，该指令还使所述一个或更多个处理器通过以下方式基于所述媒体文件类型应用所述检测技术：在所述媒体文件具有使包含隐写式隐藏内容的概率超过阈值的媒体文件类型格式和媒体文件类型时，应用所述检测技术。

示例21是一种在媒体文件中检测隐写式隐藏内容的方法，并且包括：确定媒体文件的类型并将检测技术应用于媒体文件。在示例21中，所述检测技术是基于所述媒体文件类型从多种检测技术中选择的。示例21的方法还包括：基于检测器是否在媒体文件中检测到隐写式隐藏内容，将修复技术应用于媒体文件。

示例22包括示例21的方法。21的方法还包括：拦截数据网络上的多个媒体文件。

示例23包括示例21的方法。示例23的方法还包括：应用基于签名的检测技术来确定媒体文件是否包括隐写式隐藏内容。

示例24包括示例21的方法。示例21的方法还包括：当媒体文件类型被确定为图像媒体文件类型时，选择第一检测技术；并且当媒体文件类型被确定为音频媒体文件类型时，选择第二检测技术。在示例21中，该方法还包括：当媒体文件类型被确定为视频媒体文件类型时，选择第三检测技术。

示例25包括示例21、示例22和示例23中任一者的方法。示例25中任一者的方法还包括：基于媒体文件类型从多种检测技术中选择第一检测技术和第二检测技术，并将第一检测技术和第二检测技术应用于媒体文件。在示例25中，第一检测技术和第二检测技术的应用产生第一检测结果和第二检测结果。示例25的方法还包括：将第一检测结果和第二检测结果的加权后组合与阈值进行比较，以及基于第一检测结果和第二检测结果的加权后组合的比较，将媒体文件识别为包含隐写式隐藏内容。

示例26包括示例21、示例22、示例23和示例24中任一者的方法。示例26还包括：基于媒体文件类型来选择将应用于媒体文件的修复方法。

示例27包括示例21、示例22、示例23和示例24中任一者的方法。在示例27中，修复技术的应用包括：修改媒体文件的数据的字节的最低有效位。

示例28是一种在媒体文件中检测隐写式隐藏内容的装置。示例28的装置包括用于确定媒体文件类型的装置，以及用于将检测技术应用于媒体文件的装置。示例28中的检测技术是基于类型从多种隐写检测技术中选择的。示例28的装置还包括用于基于是否在所述媒体文件中检测到隐写式隐藏内容来修复所述媒体文件的装置。

示例29包括示例28的装置。在示例29中，媒体文件是第一媒体文件，并且示例29的装置还包括用于拦截来自数据网络上的文件业务流的、包括所述第一媒体文件的多个文件的装置。

示例30包括示例28的装置。在示例30中，媒体文件是第一媒体文件。示例30的装置还包括如下装置，所述装置用于将所述媒体文件的签名与多个媒体文件所关联的存储的签名的数据库进行比较，以确定所述媒体文件是否包括隐写式隐藏内容。

示例31包括示例28的装置。在示例31中，用于应用检测技术的装置进行以下操作：当类型被确定为图像媒体文件类型时，选择第一检测技术；当类型被确定为音频媒体文件类型时，选择第二检测技术；并且当类型被确定为视频媒体文件类型时，选择第三检测技术。

示例32包括示例28的装置。示例32的装置还包括用于基于类型从多种检测技术中选择第一检测技术和第二检测技术的装置。在示例32中，用于应用检测技术的装置将第一检测技术和第二检测技术应用于媒体文件，以产生第一检测结果和第二检测结果。示例32的装置还包括用于将第一检测结果和第二检测结果的加权后组合与阈值进行比较的装置，以及用于基于第一检测结果和第二检测结果的加权后组合的比较来将媒体文件识别为包含隐写式隐藏内容的装置。

示例33包括示例28、示例29、示例30和示例31中任一者的装置。在示例33中，用于修复媒体文件的装置基于类型来将修复技术应用于媒体文件。

示例34包括示例28、示例29、示例30和示例31中任一者的装置。在示例34中，用于修复媒体文件的装置通过修改媒体文件的数据的字节的最低有效位来应用修复技术。

示例35包括示例28、示例29、示例30和示例31中任一者的装置。示例35的装置还包括用于在确定媒体文件包括隐写式隐藏内容时执行一组策略的装置。所述策略指定以下中的至少一项：当在所述媒体文件中检测到隐写式隐藏内容时将应用的修复技术；以及被指派给与所述媒体文件相关联的媒体处理器的信誉。

示例36包括示例28、示例29、示例30和示例31中任一者的装置。示例36的装置还包括用于基于与所述媒体处理器相关联的媒体文件类型被确定为包含隐写式隐藏内容的频度，将信誉指派给一个或更多个媒体处理器的装置。

示例37是一种包含代码的机器可读介质，该代码在被执行时使机器执行示例21至27中任一者的方法。

示例38是一种包括机器可读指令的机器可读存储装置。机器可读指令在被执行时实现如前述示例中任一者所述的方法或实现如前述示例中任一者所述的装置。

尽管本文公开了特定示例方法、装置和制品，但是本专利的覆盖范围不限于此。相反，本专利涵盖了完全落入本专利权利要求范围内的所有方法、装置和制品。