2025-11-14T09:49:10.731774

Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix

Levecque, Noirault, Pevný et al.
Steganographic schemes dedicated to generated images modify the seed vector in the latent space to embed a message, whereas most steganalysis methods attempt to detect the embedding in the image space. This paper proposes to perform steganalysis in the latent space by modeling the statistical distribution of the norm of the latent vector. Specifically, we analyze the practical security of a scheme proposed by Hu et. al. for latent diffusion models, which is both robust and practically undetectable when steganalysis is performed on generated images. We show that after embedding, the Stego (latent) vector is distributed on a hypersphere while the Cover vector is i.i.d. Gaussian. By going from the image space to the latent space, we show that it is possible to model the norm of the vector in the latent space under the Cover or Stego hypothesis as Gaussian distributions with different variances. A Likelihood Ratio Test is then derived to perform pooled steganalysis. The impact of the potential knowledge of the prompt and the number of diffusion steps, is also studied. Additionally, we also show how, by randomly sampling the norm of the latent vector before generation, the initial Stego scheme becomes undetectable in the latent space.
academic

Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix

基本信息

  • 论文ID: 2510.12414
  • 标题: Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix
  • 作者: Etienne Levecque, Aurelien Noirault, Tomas Pevny, Jan Butora, Patrick Bas, Rémi Cogranne
  • 分类: cs.CR (Cryptography and Security), eess.IV (Image and Video Processing)
  • 发表时间: 2025年10月14日 (arXiv预印本)
  • 论文链接: https://arxiv.org/abs/2510.12414

摘要

本文针对生成图像的隐写术提出了一种新的隐写分析方法。传统的隐写分析主要在图像空间进行检测,而生成式隐写术在潜在空间修改种子向量来嵌入消息。本文提出在潜在空间进行隐写分析,通过建模潜在向量范数的统计分布来检测隐写。研究分析了Hu等人提出的潜在扩散模型隐写方案的实际安全性,该方案在图像空间隐写分析中表现出鲁棒性和不可检测性。研究发现嵌入后的隐写潜在向量分布在超球面上,而掩护向量服从独立同分布高斯分布。通过似然比检验进行池化隐写分析,并研究了提示词知识和扩散步数的影响。此外,还展示了通过随机采样潜在向量范数使原始隐写方案在潜在空间不可检测的方法。

研究背景与动机

问题定义

生成式隐写术是一个新兴的活跃研究领域,它能够嵌入大容量载荷并对JPEG压缩等操作具有鲁棒性,同时可能不被检测到。与传统隐写术只改变图像噪声分量不同,生成式隐写术的嵌入过程还会改变图像的语义内容。

研究动机

  1. 现有方法局限性: 大多数隐写分析方法试图在图像空间检测嵌入,而生成式隐写术在潜在空间修改种子向量
  2. 安全性分析不足: 许多发布的方案在潜在空间的安全性分析方面存在盲点
  3. 检测挑战: Hu等人的方案在图像域隐写分析中既鲁棒又不可检测,需要新的分析方法

重要性

生成式隐写术在潜在扩散模型中特别受欢迎,因为这些模型能提供高质量图像。理解和分析这类方案的安全性对信息安全领域具有重要意义。

核心贡献

  1. 提出潜在空间隐写分析方法: 首次在潜在空间而非图像空间或边缘分布上进行隐写分析
  2. 建立统计检测模型: 通过建模潜在向量范数的统计分布,将掩护和隐写假设下的分布建模为不同方差的高斯分布
  3. 开发似然比检验: 基于似然比检验(LRT)的池化检测器,易于扩展到批量图像检测
  4. 提供安全性修复方案: 提出缩放扩频(Scaled SS)编码方法,通过随机采样潜在向量范数使隐写方案在潜在空间不可检测
  5. 全面实验分析: 研究了提示词知识和扩散步数对检测性能的影响

方法详解

任务定义

输入: 潜在扩散模型生成的图像及其对应的潜在向量 输出: 判断图像是掩护图像还是隐写图像 约束: 遵循Kerckhoffs原则,攻击者知道L2L信道和固定参数α,但不知道密钥

隐写方案分析

Hu等人的嵌入方案

使用扩频水印原理,通过正交归一化密钥相关伪随机矩阵Q进行调制:

X=QMQTX = Q \cdot M \cdot Q^T

其中M是重塑为潜在空间维度的±1秘密消息。

L2L信道模型

潜在到潜在(L2L)信道包含三个部分:

  1. 生成过程: 将种子映射为图像
  2. 失真操作: 如压缩
  3. 逆生成: 将图像映射回潜在空间向量Y

表示为: Y=f(X,α)Y = f(X, α)

统计检测模型

嵌入前范数建模

  • 零假设(掩护): XN(0,In)X \sim N(0, I_n),范数RXχnR_X \sim χ_n
  • 备择假设(隐写): X=QMQTX = Q \cdot M \cdot Q^T,范数RX=nR_X = \sqrt{n}(常数)

当n较大时,掩护假设下: RXdN(n,12)R_X \xrightarrow{d} N(\sqrt{n}, \frac{1}{2})

嵌入后范数建模

假设L2L信道在范数上引入高斯噪声ε(α)N(0,σ2(α))\varepsilon(α) \sim N(0, σ^2(α)):

H0:RYN(n,12+σ2(α))H_0: R_Y \sim N(\sqrt{n}, \frac{1}{2} + σ^2(α))H1:RYN(n,σ2(α))H_1: R_Y \sim N(\sqrt{n}, σ^2(α))

两个假设仅在方差上不同,这一差异是检测的关键。

似然比检验

单图像检验

Λ(rY)=N(rY;μ^1,σ^12)N(rY;μ^0,σ^02)Λ(r_Y) = \frac{N(r_Y; \hat{μ}_1, \hat{σ}^2_1)}{N(r_Y; \hat{μ}_0, \hat{σ}^2_0)}

Λ(rY)>τΛ(r_Y) > τ时拒绝零假设,判断为隐写图像。

批量检验

对于图像批次B,假设所有图像属于同一类: Λ(B)=iN(rYi;μ^1,σ^12)N(rYi;μ^0,σ^02)Λ(B) = \prod_i \frac{N(r_{Y_i}; \hat{μ}_1, \hat{σ}^2_1)}{N(r_{Y_i}; \hat{μ}_0, \hat{σ}^2_0)}

安全性修复方案

缩放扩频编码

为修复分布差异,提出按χ_n分布采样范数s,然后缩放:

X=snQMQTX = \frac{s}{\sqrt{n}} Q \cdot M \cdot Q^T

这使得隐写向量范数也遵循χ_n分布,消除了统计差异。

实验设置

数据集

  • 模型: Stable Diffusion 1.5
  • 参数: guidance=5.0, 扩散步数=20步
  • 提示词: 从DiffusionDB数据库随机选择
  • 规模: 每个实验使用20k个提示词,生成20k掩护图像和20k隐写图像
  • 潜在空间维度: (4, 64, 64),消息长度n=16384位

评价指标

  • 错误概率(PE): PE=minPFAPFA+PMD(PFA)2PE = \min_{P_{FA}} \frac{P_{FA} + P_{MD}(P_{FA})}{2}
  • 误码率(BER): 正确解码比特的比例
  • 交叉验证: 20折交叉验证

实现细节

  • 使用1k掩护和1k隐写图像估计均值和方差
  • 剩余19k图像用于计算PE
  • 似然比阈值τ=1

实验结果

主要结果

检测性能

  • 单图像检测: PE约48%
  • 批量检测: 随批次大小增加,PE显著降低
    • 批次大小10: PE=45.3%
    • 批次大小100: PE=33.4%

扩散步数影响

批次大小20步50步
148.5%47.2%
1045.3%41.6%
10033.4%30.0%

更多扩散步数减少L2L信道失真,提高攻击效果。

提示词知识影响

无论是否知道提示词,BER基本不变:

  • SS编码: 97.53% vs 97.56%
  • 缩放SS编码: 97.53% vs 97.52%

修复方案效果

缩放SS编码有效消除了检测差异,使所有范数的似然比接近1,检测性能随机化。

实验发现

  1. 潜在空间检测可行: 即使在图像空间不可检测的隐写方案,在潜在空间仍可被检测
  2. 批量检测更有效: 池化多个图像显著提高检测性能
  3. 修复方案有效: 通过采样范数可以消除统计差异
  4. 提示词影响有限: 不知道确切提示词不影响检测效果

相关工作

传统隐写分析

主要分为两类:

  1. 基于深度学习: 训练分类网络区分掩护和隐写图像
  2. 基于统计分析: 计算潜在空间边缘分布的KL散度

生成式隐写术

  • 扩散模型隐写: 利用潜在扩散模型的高质量图像生成能力
  • 扩频水印: 将每个嵌入比特扩散到秘密载体上
  • 鲁棒性考虑: 需要考虑生成、压缩、逆向过程的噪声影响

本文创新

相比现有工作,本文首次在潜在空间的联合分布而非边缘分布上进行分析,提供了更深入的安全性评估。

结论与讨论

主要结论

  1. 潜在空间隐写分析可行: 即使图像空间不可检测,潜在空间仍可能存在统计差异
  2. 范数分布是关键: 隐写和掩护向量的范数分布差异是检测的基础
  3. 修复方案有效: 通过适当的分布匹配可以实现真正的不可检测性
  4. 实际参数影响: 扩散步数等参数影响检测性能,但提示词影响有限

局限性

  1. 模型假设: L2L信道的高斯噪声假设可能过于简化
  2. 计算复杂度: 需要进行图像逆向过程获得潜在向量
  3. 适用范围: 主要针对特定的扩频隐写方案
  4. 参数敏感性: 检测性能依赖于扩散模型的具体参数设置

未来方向

  1. 更复杂的L2L建模: 考虑更真实的信道模型
  2. 其他统计特征: 探索潜在空间的其他统计特征用于检测
  3. 自适应攻击: 研究针对这种检测方法的对抗策略
  4. 实时检测: 开发更高效的检测算法

深度评价

优点

  1. 创新性强: 首次提出在潜在空间进行隐写分析,角度新颖
  2. 理论基础扎实: 基于严格的统计模型和似然比检验理论
  3. 实验充分: 全面的实验验证,包括不同参数设置和消融研究
  4. 实用价值高: 提供了既能检测又能修复的完整方案
  5. 分析深入: 对检测原理和失效机制都有清晰的理论解释

不足

  1. 模型简化: L2L信道的建模相对简单,实际情况可能更复杂
  2. 计算开销: 需要进行图像逆向过程,计算成本较高
  3. 泛化性: 主要针对特定隐写方案,对其他方案的适用性待验证
  4. 实际部署: 在实际应用中的可操作性和效率有待评估

影响力

  1. 学术贡献: 为生成式隐写术的安全性分析提供了新思路
  2. 实用价值: 对现有隐写方案的安全性评估具有重要意义
  3. 启发性: 可能启发更多基于潜在空间的安全分析研究
  4. 可复现性: 实验设置清晰,便于复现和扩展

适用场景

  1. 安全评估: 评估生成式隐写方案的实际安全性
  2. 方案改进: 指导隐写方案的安全性改进
  3. 检测系统: 构建针对生成式隐写的检测系统
  4. 研究工具: 作为潜在空间安全分析的研究工具

参考文献

论文引用了多个重要的相关工作,包括:

  • Hu et al. (2024): 被分析的原始隐写方案
  • Rombach et al. (2022): 潜在扩散模型的基础工作
  • Cox et al. (2008): 数字水印的经典教材
  • Fridrich (2009): 隐写术的经典教材
  • 以及多个深度学习隐写分析的相关工作

这篇论文在生成式隐写术安全性分析方面做出了重要贡献,提出了新的分析视角和有效的检测方法,同时也提供了相应的安全性改进方案,对该领域的发展具有重要推动作用。