Другим методом защиты от подобных атак является блочный детектор. Модифицированное изображение разбивается на блоки размером 12х12 или 16х16 пикселов, и для каждого блока анализируются все возможные искажения. То есть пикселы в блоке подвергаются поворотам, перестановкам и т. п. Для каждого изменения определяется коэффициент корреляции ЦВЗ. Преобразование, после которого коэффициент корреляции оказался наибольшим, считается реально выполненным нарушителем. Таким образом появляется возможность как бы обратить внесенные нарушителем искажения. Возможность такого подхода основана на предположении о том, что нарушитель не будет значительно искажать контейнер (это не в его интересах).

Основной задачей стегоанализа является определение факта наличия скрытого сообщения в предположительном контейнере (речи, видео, изображении). Решить эту задачу возможно путем изучения статистических свойств сигнала. Например, распределение младших битов сигналов имеет, как правило, шумовой характер (ошибки квантования). Они несут наименьшее количество информации о сигнале и могут использоваться для внедрения скрытого сообщения. При этом, возможно, изменится их статистика, что и послужит для атакующего признаком наличия скрытого канала.

Для незаметного встраивания данных стегокодер должен решить три задачи: выделить подмножество бит, модификация которых мало влияет на качество (незначимые биты), выбрать из этого подмножества нужное количество бит в соответствии с размером скрытого сообщения и выполнить их изменение. Если статистические свойства контейнера не изменились, то внедрение информации можно считать успешным. Так как распределение незначащих бит зачастую близко к белому шуму, встраиваемые данные должны иметь тот же характер. Это достигается за счет предварительного шифрования сообщения либо его сжатия.

Стегоаналитик на основе изучения сигнала всегда может выделить подмножество незначащих бит, делая те же предположения, что и стеганограф. Далее он должен проверить соответствие их статистики предполагаемой. При этом если аналитик располагает лучшей моделью данных, чем стеганограф, вложение будет обнаружено. Поэтому, по-настоящему хорошие модели сигналов различного характера, вероятно, держатся в секрете, и вы не встретите их в открытых публикациях. Можно лишь дать рекомендации общего характера. При построении модели надо учитывать:

— неоднородность последовательностей отсчетов;

— зависимость между битами в отсчетах (корреляцию);

— зависимость между отсчетами;

— неравновероятность условных распределений в последовательности отсчетов;

— статистику длин серий (последовательностей из одинаковых бит).

Соответствие реально наблюдаемой статистики ожидаемой обычно проверяется при помощи критерия хи-квадрат. Проверка может осуществляться на уровне монобитов, дибитов и т. д. Возможны и более сложные тесты, аналогичные применяющимся при тестировании криптографически безопасных программных датчиков случайных чисел. Как показано в одной из работ на примере звуковых файлов, критерий хи-квадрат позволяет обнаружить модификацию всего лишь 10 % незначащих битов. Там же показана эффективность для стегоанализа и еще более простого критерия , где - количество переходов из значения бита i в значение j. Применение теста длин серий основано на следующем факте: в случайной последовательности серии большой длины (>15) встречаются значительно реже, чем в незначащих битах реальных сигналов. Поэтому, встраивание случайного сигнала может быть замечено после применения этого теста.

Таким образом, противодействие статистическому стегоанализу должна заключаться в построении математических моделей сигналов-контейнеров, поиску на их основе «разрешенных» для модификации областей и внедрению в них скрытой информации, чья статистика неотличима от статистики контейнера. Эта неотличимость определяет стойкость стегосистемы — свойство, подробно рассмотренное в главе 4.

Для стеганографических систем важно определить, насколько большой может быть пропускная способность каналов передачи скрываемых сообщений и как она зависит от других характеристик стегосистем и условий их использования. Неформально определим, что под пропускной способностью каналов передачи скрываемых сообщений или просто скрытой пропускной способностью (ПС) будем понимать максимальное количество информации, которое может быть вложено в один элемент контейнера. При этом скрываемые сообщения должны быть безошибочно переданы получателю и защищены от атак нарушителя, таких как попытки обнаружения факта наличия канала скрытой связи, чтения скрываемых сообщений, преднамеренного ввода ложных сообщений или разрушения встроенной в контейнер информации. Канал скрытой связи образуется внутри канала открытой связи, для которого в работах К.Шеннона по теории информации определена пропускная способность [1]. Пропускная способность канала открытой связи определяется как количество информации, которое потенциально можно передать без ошибок за одно использование канала. При этом не предъявляется никаких требований к защищенности от атак организованного нарушителя. Поэтому логично предположить, что скрытая пропускная способность должна быть меньше пропускной способности канала открытой связи, в котором за одно использование канала передается один элемент контейнера, в который вложена скрываемая информация.

Существуют различные подходы к определению количества информации, защищаемой от различных атак нарушителя стеганографическими методами. Эти различия, в частности, обусловлены различием в цели защиты информации, моделями нарушителя, его возможностями, реализуемыми им атаками на стегосистемы, видом используемых контейнеров и скрываемых сообщений и многими другими факторами. Методами теории информации оценим для различных стегосистем величину пропускной способности каналов передачи скрываемой информации. Теоретико-информационные методы позволяют получить строгие оценки количества скрываемой информации, и эти оценки могут быть использованы как теоретически достижимые верхние пределы скорости передачи скрываемой информации для стегосистем с произвольными принципами их построения.

Рассмотрим два основных подхода к оценке пропускной способности каналов передачи скрываемой информации. Первый из них, развиваемый в работах [2,3], ориентирован на стегосистемы, в которых защищаемые сообщения должны быть безошибочно переданы в условиях активного противодействия нарушителя. Этот подход описывает сценарий скрытия безизбыточных сообщений в контейнерных данных, и учитывает, что кроме искажений сообщений при их внедрении в контейнер возможны их преднамеренные искажения со стороны нарушителя, а также искажения случайного характера, вызванные непреднамеренными помехами канала связи или искажениями при сжатии контейнера. Рассматриваемый нарушитель, кроме пассивных действий анализа, может использовать и активные действия, поэтому активный нарушитель далее называется атакующим. Целью атакующего является разрушение скрываемой информации. Такая постановка задачи информационного скрытия характерна для систем цифрового водяного знака (ЦВЗ).