AMR Compressed-Domain Analysis for Multimedia Forensics Double Compression Detection

An audio recording must be authentic to be admitted as evidence in a criminal prosecution so that the speech is saved with maximum fidelity and interpretation mistakes are prevented. AMR (adaptive multi-rate) encoder is a worldwide standard for speech compression and for GSM mobile network transmission, including 3G and 4G. In addition, such encoder is an audio file format standard with extension AMR which uses the same compression algorithm. Due to its extensive usage in mobile networks and high availability in modern smartphones, AMR format has been found in audio authenticity cases for forgery searching. Such exams compound the multimedia forensics field which consists of, among other techniques, double compression detection, i. e., to determine if a given AMR file was decompressed and compressed again. AMR double compression detection is a complex engineering problem whose solution is still underway. In general terms, if an AMR file is double compressed, it is not an original one and it was likely doctored. The published works in literature about double compression detection are based on decoded waveform AMR files to extract features. In this paper, a new approach is proposed to AMR double compression detection which, in spite of processing decoded audio, uses its encoded version to extract compressed-domain linear prediction (LP) coefficient-based features. By means of feature statistical analysis, it is possible to show that they can be used to achieve AMR double compression detection in an effective way, so that they can be considered a promising path to solve AMR double compression problem by artificial neural networks

Multimedia Forensics

This book is open access. Media forensics has never been more relevant to societal life. Not only media content represents an ever-increasing share of the data traveling on the net and the preferred communications means for most users, it has also become integral part of most innovative applications in the digital information ecosystem that serves various sectors of society, from the entertainment, to journalism, to politics. Undoubtedly, the advances in deep learning and computational imaging contributed significantly to this outcome. The underlying technologies that drive this trend, however, also pose a profound challenge in establishing trust in what we see, hear, and read, and make media content the preferred target of malicious attacks. In this new threat landscape powered by innovative imaging technologies and sophisticated tools, based on autoencoders and generative adversarial networks, this book fills an important gap. It presents a comprehensive review of state-of-the-art forensics capabilities that relate to media attribution, integrity and authenticity verification, and counter forensics. Its content is developed to provide practitioners, researchers, photo and video enthusiasts, and students a holistic view of the field

Multimedia Forensics

This book is open access. Media forensics has never been more relevant to societal life. Not only media content represents an ever-increasing share of the data traveling on the net and the preferred communications means for most users, it has also become integral part of most innovative applications in the digital information ecosystem that serves various sectors of society, from the entertainment, to journalism, to politics. Undoubtedly, the advances in deep learning and computational imaging contributed significantly to this outcome. The underlying technologies that drive this trend, however, also pose a profound challenge in establishing trust in what we see, hear, and read, and make media content the preferred target of malicious attacks. In this new threat landscape powered by innovative imaging technologies and sophisticated tools, based on autoencoders and generative adversarial networks, this book fills an important gap. It presents a comprehensive review of state-of-the-art forensics capabilities that relate to media attribution, integrity and authenticity verification, and counter forensics. Its content is developed to provide practitioners, researchers, photo and video enthusiasts, and students a holistic view of the field

Development of a healthcare wearable platform using a photoplethysmography sensor

Trabalho de Conclusão Curso (graduação)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2018.De modo a implementar um sistema de monitoramento remoto de pacientes pós-cirúrgicos com dispositivos vestíveis, é feito um estudo sobre sistemas de medição de batimentos cardíacos por fotopletismografia para verificar requisitos de tais sistemas e esquematizar algoritmos de proces- samento para estimação da frequência cardíaca. Uma comparação de desempenho é feita entre implementações de algoritmos baseados em ESPRIT, FFT, autocorrelação, cruzamento de zero e detecção de picos para avaliar a eficiência de cada um sob diferentes condições operacionais com um sensor de fotopletismografia. São obtidos resultados para diferentes valores de corrente de LED, largura de pulso do LED e frequência de amostragem. Ainda, é proposto um protótipo de plataforma online de monitoramento para dados de saúde aplicado à dispositivos vestíveis. Tal protótipo possui funcionalidades de contas de usuário, visualização de gráficos, lembretes de texto e compartilhamento com equipes.In order to implement a remote monitoring system for post-surgical patients using wearable de- vices, research on photoplethysmography measuring systems for heart beat detection is done so as to verify requirements for said systems and project processing algorithms for heart rate es- timation. A performance comparison is carried out between implemented algorithms based on ESPRIT, FFT, autocorrelation, zero crossing and peak detection for evaluating the efficiency of each one under various operational conditions on a photoplethysmography sensor. Results are obtained for distinct values of LED current level, LED pulse width and sample rate. Addition- ally, a prototype for an online monitoring platform is proposed for health care data gathered with wearable devices. The implemented prototype contain features such as user accounts, chart visu- alization, text reminders and team sharing

Implementação e comparação de algoritmos de detecção de passos para pulseiras inteligentes

Trabalho de Conclusão de Curso (graduação)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2018.Para garantir um acompanhamento médico eficaz, torna-se imprescindível a observação dos as- pectos físicos de um paciente. Com recursos humanos limitados e um grande número de pacientes opta-se por priorizar o espaço físico nos hospitais para pacientes mais graves, todavia o acompa- nhamento médico mantém-se necessário nos demais casos. Desta forma, utiliza-se da tecnologia vestível de modo a permitir um acompanhamento remoto. De modo a verificar e monitorar parâ- metros reais relacionados ao estado de saúde de um paciente, de forma remota, explora-se o uso de um sistema microeletrônico para verificar a detecção de passos em um dispositivo vestível, sendo feito um estudo dos sistemas de contagem de passos embasados na análise de acelerações e velocidade angular dos três eixos do sensor e da relevância do posicionamento do sensor e seu impacto no desempenho. Deste modo, é proposto um algoritmo embasado na estimação de parâmetros do sinal através de técnicas rotacionais de variância, do inglês Estimation of Signal Parametes by Rotational Invariance Techniques (ESPRIT), também implementa-se algoritmos de detecção de picos, análise da FFT para aceleração, análise da FFT para velocidade angular de forma a verificar o desempenho individual de cada técnica. Leva-se em consideração o posicio- namento anatômico do sensor (tornozelo e punho) e a velocidade de locomoção de forma a eleger o algoritmo mais adequado para a implementação em uma pulseira inteligente.To ensure effective medical follow-up, it’s important to observe the physical aspects of a patient. With limited human resources and a large number of patients, the physical space in hospitals are reserved for more serious patients, but medical follow-up is still necessary in all other cases. To facilitate the follow-up, wearable technology is used to allow remote monitoring of the patients. A microelectronic system is used in order to verify and monitor real parameters related to the health status of a patient. It is possible to verify remotely the detection of steps and analyze the data using a wearable device. An analysis of angular acceleration and velocity of the three axes approach is utilized considering the position of the sensor and its impact on performance. SPRIT based algorithms, peak detection, FFT analysis for acceleration, FFT analysis for angular velocity are implemented to verify their results. The anatomical position of the sensor (ankle or wrist), locomotion velocity and sensor data sampling rate are considered in order to choose the most suitable algorithm to implement in a smart watch

On the subspace learning for network attack detection

Tese (doutorado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2019.O custo com todos os tipos de ciberataques tem crescido nas organizações. A casa branca do goveno norte americano estima que atividades cibernéticas maliciosas custaram em 2016 um valor entre US$57 bilhões e US$109 bilhões para a economia norte americana. Recentemente, é possível observar um crescimento no número de ataques de negação de serviço, botnets, invasões e ransomware. A Accenture argumenta que 89% dos entrevistados em uma pesquisa acreditam que tecnologias como inteligência artificial, aprendizagem de máquina e análise baseada em comportamentos, são essenciais para a segurança das organizações. É possível adotar abordagens semisupervisionada e não-supervisionadas para implementar análises baseadas em comportamentos, que podem ser aplicadas na detecção de anomalias em tráfego de rede, sem a ncessidade de dados de ataques para treinamento. Esquemas de processamento de sinais têm sido aplicados na detecção de tráfegos maliciosos em redes de computadores, através de abordagens não-supervisionadas que mostram ganhos na detecção de ataques de rede e na detecção e anomalias. A detecção de anomalias pode ser desafiadora em cenários de dados desbalanceados, que são casos com raras ocorrências de anomalias em comparação com o número de eventos normais. O desbalanceamento entre classes pode comprometer o desempenho de algoritmos traficionais de classificação, através de um viés para a classe predominante, motivando o desenvolvimento de algoritmos para detecção de anomalias em dados desbalanceados. Alguns algoritmos amplamente utilizados na detecção de anomalias assumem que observações legítimas seguem uma distribuição Gaussiana. Entretanto, esta suposição pode não ser observada na análise de tráfego de rede, que tem suas variáveis usualmente caracterizadas por distribuições assimétricas ou de cauda pesada. Desta forma, algoritmos de detecção de anomalias têm atraído pesquisas para se tornarem mais discriminativos em distribuições assimétricas, como também para se tornarem mais robustos à corrupção e capazes de lidar com problemas causados pelo desbalanceamento de dados. Como uma primeira contribuição, foi proposta a Autosimilaridade (Eigensimilarity em inglês), que é uma abordagem baseada em conceitos de processamento de sinais com o objetivo de detectar tráfego malicioso em redes de computadores. Foi avaliada a acurácia e o desempenho da abordagem proposta através de cenários simulados e dos dados do DARPA 1998. Os experimentos mostram que Autosimilaridade detecta os ataques synflood, fraggle e varredura de portas com precisão, com detalhes e de uma forma automática e cega, i.e. em uma abordagem não-supervisionada. Considerando que a assimetria de distribuições de dados podem melhorar a detecção de anomalias em dados desbalanceados e assimétricos, como no caso de tráfego de rede, foi proposta a Análise Robusta de Componentes Principais baseada em Momentos (ARCP-m), que é uma abordagem baseada em distâncias entre observações contaminadas e momentos calculados a partir subespaços robustos aprendidos através da Análise Robusta de Componentes Principais (ARCP), com o objetivo de detectar anomalias em dados assimétricos e em tráfego de rede. Foi avaliada a acurácia do ARCP-m para detecção de anomalias em dados simulados, com distribuições assimétricas e de cauda pesada, como também para os dados do CTU-13. Os experimentos comparam nossa proposta com algoritmos amplamente utilizados para detecção de anomalias e mostra que a distância entre estimativas robustas e observações contaminadas pode melhorar a detecção de anomalias em dados assimétricos e a detecção de ataques de rede. Adicionalmente, foi proposta uma arquitetura e abordagem para avaliar uma prova de conceito da Autosimilaridade para a detecção de comportamentos maliciosos em aplicações móveis corporativas. Neste sentido, foram propostos cenários, variáveis e abordagem para a análise de ameaças, como também foi avaliado o tempo de processamento necessário para a execução do Autosimilaridade em dispositivos móveis.The cost of all types of cyberattacks is increasing for global organizations. The Whitehouse of the U.S. government estimates that malicious cyber activity cost the U.S. economy between US$57 billion and US$109 billion in 2016. Recently, it is possible to observe an increasing in numbers of Denial of Service (DoS), botnets, malicious insider and ransomware attacks. Accenture consulting argues that 89% of survey respondents believe breakthrough technologies, like artificial intelligence, machine learning and user behavior analytics, are essential for securing their organizations. To face adversarial models, novel network attacks and counter measures of attackers to avoid detection, it is possible to adopt unsupervised or semi-supervised approaches for network anomaly detection, by means of behavioral analysis, where known anomalies are not necessaries for training models. Signal processing schemes have been applied to detect malicious traffic in computer networks through unsupervised approaches, showing advances in network traffic analysis, in network attack detection, and in network intrusion detection systems. Anomalies can be hard to identify and separate from normal data due to the rare occurrences of anomalies in comparison to normal events. The imbalanced data can compromise the performance of most standard learning algorithms, creating bias or unfair weight to learn from the majority class and reducing detection capacity of anomalies that are characterized by the minority class. Therefore, anomaly detection algorithms have to be highly discriminating, robust to corruption and able to deal with the imbalanced data problem. Some widely adopted algorithms for anomaly detection assume a Gaussian distributed data for legitimate observations, however this assumption may not be observed in network traffic, which is usually characterized by skewed and heavy-tailed distributions. As a first important contribution, we propose the Eigensimilarity, which is an approach based on signal processing concepts applied to detection of malicious traffic in computer networks. We evaluate the accuracy and performance of the proposed framework applied to a simulated scenario and to the DARPA 1998 data set. The performed experiments show that synflood, fraggle and port scan attacks can be detected accurately by Eigensimilarity and with great detail, in an automatic and blind fashion, i.e. in an unsupervised approach. Considering that the skewness improves anomaly detection in imbalanced and skewed data, such as network traffic, we propose the Moment-based Robust Principal Component Analysis (mRPCA) for network attack detection. The m-RPCA is a framework based on distances between contaminated observations and moments computed from a robust subspace learned by Robust Principal Component Analysis (RPCA), in order to detect anomalies from skewed data and network traffic. We evaluate the accuracy of the m-RPCA for anomaly detection on simulated data sets, with skewed and heavy-tailed distributions, and for the CTU-13 data set. The Experimental evaluation compares our proposal to widely adopted algorithms for anomaly detection and shows that the distance between robust estimates and contaminated observations can improve the anomaly detection on skewed data and the network attack detection. Moreover, we propose an architecture and approach to evaluate a proof of concept of Eigensimilarity for malicious behavior detection on mobile applications, in order to detect possible threats in offline corporate mobile client. We propose scenarios, features and approaches for threat analysis by means of Eigensimilarity, and evaluate the processing time required for Eigensimilarity execution in mobile devices

Audio tampering robust detection exploiting the analytical form and signal subspace of electric network interfering signals

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016.Arquivos de áudio digital são uma importante fonte de vestígios e evidências relacionadas aos mais diversos crimes e conflitos. Seja por meio de gravações devidamente autorizadas pela autoridade judicial ou por gravações realizadas por um dos interlocutores em um diálogo, tais arquivos têm o potencial de serem determinantes em importantes decisões, uma vez que prestam-se a, via de regra, esclarecer algum aspecto da realidade dos fatos. Dessa forma, a autenticação dessa fonte de prova é uma tarefa muitas vezes necessária e crítica, porém ainda sujeita a muitos desafios. Com o objetivo de identificar edições em arquivos de áudio propõe-se uma técnica para detecção automática de adulterações em gravações de áudio por meio da constatação de variações anormais na frequência de oscilação de sinais interferentes da rede elétrica (ENF), eventualmente incorporados em um registro de áudio questionado. Variações anormais na ENF podem ocorrer como resultado de transições abruptas de fase decorrentes de inserções ou supressões de segmentos de áudio realizados durante o processo de edição. Dessa forma, propõe-se o estimador de ENF ESPRIT-Hilbert em conjunto com um detector de outliers baseado na curtose amostral da estimada ENF, do inglês ESPRIT-Hilbert ENF estimator in conjunction with an outlier detector based on the sample kurtosis of the estimated ENF (SPHINS). A técnica utiliza conjuntamente um estimador baseado na frequência instantânea obtida via transformada de Hilbert, e outro baseado na técnica ESPRIT. Calcula-se a curtose amostral das estimativas da ENF como medida do grau de anomalia da ENF, compondo-se um vetor de características que é aplicado a um classificador de máquinas de vetores de suporte (SVM), devidamente treinado a partir de uma base de dados conhecida para indicar a presença de edições. O método proposto tem seus resultados validados utilizando uma base de dados que contém 100 gravações telefônicas autorizadas de áudios não editados, e 100 gravações telefônicas de áudios editados. Os resultados obtidos são comparados com trabalhos correlatos anteriores.Digital audio recordings are an important source of evidences related to various crimes and conflicts. Whether through recordings duly authorized by a judicial authority or made by one of the parties in a dialogue, such files have the potential to be crucial in important decisions since they contribute to clarify some aspects of reality. Thus, the authentication of this source of evidence is often a necessary and critical task, but still subject to many challenges. In order to identify audio tampering we propose a technique to detect adulterations in audio recordings by exploiting abnormal variations in the Electric Network Frequency (ENF) signal eventually embedded in a questioned audio recording. These abnormal variations may be caused by abrupt phase discontinuities due to insertions and suppressions of audio segments during the tampering task. Thus, we propose the ESPRIT-Hilbert ENF estimator in conjunction with an outlier detection based on the sample kurtosis of the estimated ENF (SPHINS). The technique uses a joint estimate of ENF by two methods, one based in the Hilbert Transform, and the other in the ESPRIT approach. It calculates the sample kurtosis of the estimates as a measure of outlierness, computing a feature vector applied to a Support Vector Machine (SVM) classifier to indicate the presence of tampering. The proposed scheme is validated using an audio database with 100 edited and 100 unedited authorized audio recordings of phone calls. The results obtained are further compared with previous related works