Вадим Грибунин - Цифровая стеганография
В соответствии с этой классификацией все атаки на системы встраивания ЦВЗ могут быть разделены на четыре группы:
1) атаки, направленные на удаление ЦВЗ;
2) геометрические атаки, направленные на искажение контейенера;
3) криптографические атаки;
4) атаки против используемого протокола встраивания и проверки ЦВЗ.
2.2.2. Атаки, направленные на удаление ЦВЗ
К этой группе относятся такие атаки, как очистка сигналов-контейнеров от шумов, перемодуляция, сжатие с потерями (квантование), усреднение и коллизии. Эти атаки основаны на предположении о том, что ЦВЗ является статистически описываемым шумом. Очистка от шума заключается в фильтрации сигнала с использованием критериев максимального правдоподобия или максимума апостериорной вероятности. В качестве фильтра, реализующего критерий максимального правдоподобия, может использоваться медианный (для ЦВЗ, имеющего распределение Лапласа) или усредняющий (для гауссовского распределения) фильтр, которые применены в программном пакете StirMark. По критерию максимума апостериорной вероятности наилучшим будет адаптивный фильтр Винера (в случае если в качестве модели контейнера используется нестационарный гауссовский процесс), а также пороговые методы очистки от шума (мягкий и жесткий пороги) (модель — обобщенный гауссовский процесс), которые имеют много общего с методами сжатия с потерями.
Сжатие с потерями и очистка сигналов от шумов значительно уменьшают пропускную способность стегоканала, особенно для гладких областей изображения, коэффициенты преобразования которых могут быть «обнулены» без заметного снижения качества восстановленного изображения.
Перемодуляция — сравнительно новый метод, который является специфичным именно для атак на ЦВЗ. Атака перемодуляции была впервые предложена в работе [5]. В настоящее время известны ее различные варианты, в зависимости от используемого в стегосистеме декодера. В построении атаки имеются свои нюансы для стегосистемы М-ичной модуляции, стегосистемы, использующей помехоустойчивые коды, использующей корреляционный декодер. В любом случае считается, что ЦВЗ внедрен в изображение с применением широкополосных сигналов и размножен на все изображение. Так как оцениваемый декодером ЦВЗ коррелирован с истинным, появляется возможность обмана декодера. Атака строится следующим образом. Вначале ЦВЗ «предсказывается» путем вычитания фильтрованной версии изображения из защищенного изображения (применяется медианный фильтр). «Предсказанный» ЦВЗ подвергается ВЧ фильтрации, усекается, умножается на два и вычитается из исходного изображения. Кроме того, если известно, что при внедрении ЦВЗ умножался на некоторую маску для повышения незаметности встраивания, то атакующий оценивает эту маску и домножает на нее ЦВЗ. В качестве дополнительной меры по «обману» декодера представляется эффективным встраивание в высокочастотные области изображения (где искажения незаметны) шаблонов, имеющих негауссовское распределение. Таким образом будет нарушена оптимальность линейного корреляционного детектора.
Такая атака будет эффективной лишь против высокочастотного ЦВЗ, поэтому реальные ЦВЗ строятся так, чтобы их спектр соответствовал спектру исходного изображения. Дело в том, что достоверная оценка получается лишь для высокочастотных компонент ЦВЗ. После ее вычитания низкочастотная компонента ЦВЗ остается неизменной и дает в детекторе положительный корреляционный отклик. Высокочастотная же составляющая даст отрицательный отклик, что в сумме даст нуль, и ЦВЗ не будет обнаружен. В качестве другого противодействия этой атаке было предложено выполнение предварительной низкочастотной фильтрации.
В работе [6] приведена модификация этого алгоритма, заключающаяся в применении фильтра Винера вместо медианного и более интеллектуального способа нахождения коэффициента умножения. Он выбирается так, чтобы минимизировать коэффициент взаимной корреляции между ЦВЗ и стего. Кроме того, добавляется еще один шаг: наложение случайного шума. Данная атака не работает против адаптивно встроенного ЦВЗ, так как в ней предполагается, что ЦВЗ и стего есть стационарный гауссовский процесс с нулевым средним. Ясно, что это предположение не выполняется также и для реальных изображений. Поэтому, С.Волошиновским и др. предложена атака, в которой сигналы моделируются как нестационарный гауссовский или обобщенный стационарный гауссовский процесс [7]. Коэффициент умножения ЦВЗ выбирается исходя из локальных свойств изображения. Вместо наложения случайного шума предложено добавлять отсчеты со знаком, противоположным знаку отсчета ЦВЗ (в предположении, что ЦВЗ есть последовательность биполярных символов). Это еще более затрудняет работу корреляционного детектора. Конечно, знаки нужно менять не у всех, а только у части отсчетов оцениваемого ЦВЗ, например, случайно.
К другим атакам этой группы относятся атака усреднения и атака сговора. В случае наличия большого числа копий стего с разными ЦВЗ или с разными ключами внедрения можно выполнить их усреднение. Например, кадры видеосигнала могут иметь различные ЦВЗ. Если ЦВЗ имел нулевое среднее, то после усреднения он будет отсутствовать в изображении.
Атака путем статистического усреднения представлена в [5]. Нарушитель может попытаться оценить ЦВЗ и вычесть ее из изображения. Такой вид атак особенно опасен в случае, когда атакующий может получить некоторый обобщенный ЦВЗ, например, некоторый , независящий сильно от исходного изображения .
Атакующий может обнаружить ЦВЗ путем усреднения нескольких изображений. Например, у него имеется , …, . Тогда их сумма будет достаточно близка к NW, если N велико, а изображения статистически независимы.
Противоядием против подобной атаки может быть случайное использование одного из двух ЦВЗ с вероятностями и . Тогда вышеприведенная атака даст лишь . Однако, атака может быть улучшена в том случае, если у атакующего есть какие-то предположения о том, какой ЦВЗ из двух встроен в данное изображение. Тогда все изображения могут быть распределены на два класса: 1 и 2. Пусть — вероятность того, что изображение отнесено к неверному классу. Тогда усреднение по большому числу изображений класса 1 дает . Аналогично усреднение по изображений класса 2 дает . Вычисление взвешенной разности дает . Следовательно, для любого , атакующий может оценить сумму и разность и , откуда он может получить и .
При атаке сговора имеется несколько одинаковых копий, содержащих различные ЦВЗ, а для атаки из каждой копии выбираются какие-то части, которые в совокупности и образуют атакуемое множество. Атаки на основе «сговора» описаны, например, в работах [8], [9]. Чем больше содержащих стего копий имеется у нарушителя, тем выше вероятность того, что близкое к исходному реконструированное изображение не будет содержать стего. В стегосистемах с закрытым ключом такая атака не столь эффективна в силу того, что атакующий не может проверить, содержат ли получающиеся у него аппроксимации ЦВЗ. Это повышает безопасность стегосистем с закрытым ключом. Защищенность от этой атаки можно также повысить за счет специального построения стего.
Еще одна эффективная атака на ЦВЗ называется мозаичной [10]. Эта атака направлена на поисковые системы, отслеживающие незаконно распространяемые изображения. Изображение разбивается на несколько частей, так что поисковая система ЦВЗ не обнаруживает. Интернет-броузер демонстрирует фактически несколько кусочков изображения, вплотную расположенных друг к другу, так что в целом изображение выглядит неискаженным. Для противодействия такой атаке ЦВЗ должен обнаруживаться даже в малых частях изображения. Это очень трудно выполнимое требование, даже более тяжелое, чем робастность к обрезанию краев изображения, так как в последнем случае атакующий ограничен необходимостью сохранения качества изображения. Наверное, более выполнимым было бы создание интеллектуальных поисковых систем, способных «собрать» изображение из кусочков и проверить наличие в нем ЦВЗ.
Интересная и практически значимая атака предлодена в работе [17]. Она основана на оценивании ЦВЗ, но не в области исходного изображения, а по его гистограмме. Атака особенно эффективна против систем неадаптивных систем ЦВЗ, но может быть использована и для оценивания адаптивно внедренного ЦВЗ.
Пояснить атаку можно на следующем примере. Пусть ЦВЗ , а в исходном изображении имеется изолированное значение пиксела. Например, значение 200 встречается 300 раз, а значения 199 и 201 — ни разу. Тогда после внедрения ЦВЗ значения 199 и 201 встретятся примерно 150 раз, а значение 200 — ни разу. Это и есть демаскирующий признак. Как показано на примере в работе [17], этот метод может быть применен и в случае наличия на гистограмме изображения нескольких ненулевых значений, разделенных тремя и больше нулями.