2025-11-14T09:49:10.731774

Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix

Levecque, Noirault, PevnÃ½ et al.

Steganographic schemes dedicated to generated images modify the seed vector in the latent space to embed a message, whereas most steganalysis methods attempt to detect the embedding in the image space. This paper proposes to perform steganalysis in the latent space by modeling the statistical distribution of the norm of the latent vector. Specifically, we analyze the practical security of a scheme proposed by Hu et. al. for latent diffusion models, which is both robust and practically undetectable when steganalysis is performed on generated images. We show that after embedding, the Stego (latent) vector is distributed on a hypersphere while the Cover vector is i.i.d. Gaussian. By going from the image space to the latent space, we show that it is possible to model the norm of the vector in the latent space under the Cover or Stego hypothesis as Gaussian distributions with different variances. A Likelihood Ratio Test is then derived to perform pooled steganalysis. The impact of the potential knowledge of the prompt and the number of diffusion steps, is also studied. Additionally, we also show how, by randomly sampling the norm of the latent vector before generation, the initial Stego scheme becomes undetectable in the latent space.

academic

Gezielte gepoolte Latent-Space-Steganalyse angewendet auf generative Steganographie mit einer Korrektur

Grundlegende Informationen

Papier-ID: 2510.12414
Titel: Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix
Autoren: Etienne Levecque, Aurelien Noirault, Tomas Pevny, Jan Butora, Patrick Bas, Rémi Cogranne
Klassifizierung: cs.CR (Kryptographie und Sicherheit), eess.IV (Bild- und Videoverarbeitung)
Veröffentlichungsdatum: 14. Oktober 2025 (arXiv-Preprint)
Papierlink: https://arxiv.org/abs/2510.12414

Zusammenfassung

Dieses Papier schlägt eine neue Steganalysemethode für generative Bilder vor. Während traditionelle Steganalyse hauptsächlich im Bildraum durchgeführt wird, modifiziert generative Steganographie Saatvektoren im latenten Raum zur Nachrichteneinbettung. Das Papier schlägt vor, Steganalyse im latenten Raum durchzuführen, indem die statistische Verteilung der Norm latenter Vektoren modelliert wird, um Steganographie zu erkennen. Die Forschung analysiert die praktische Sicherheit des von Hu et al. vorgeschlagenen latenten Diffusionsmodell-Steganographieschemas, das Robustheit und Unerkennbarkeit in der Bildraum-Steganalyse zeigt. Die Studie stellt fest, dass eingebettete steganographische latente Vektoren auf einer Hypersphäre verteilt sind, während Deckungsvektoren einer unabhängigen identischen Gaußverteilung folgen. Durch Likelihood-Ratio-Tests wird gepoolte Steganalyse durchgeführt, und die Auswirkungen von Prompt-Wissen und Diffusionsschritten werden untersucht. Darüber hinaus wird gezeigt, wie das ursprüngliche Steganographieschema durch zufälliges Sampling der latenten Vektornorm im latenten Raum unerkennbar gemacht werden kann.

Forschungshintergrund und Motivation

Problemdefinition

Generative Steganographie ist ein aufstrebendes aktives Forschungsgebiet, das große Nutzlasten einbetten kann und robust gegenüber Operationen wie JPEG-Kompression ist, während es möglicherweise unerkannt bleibt. Im Gegensatz zur traditionellen Steganographie, die nur die Rauschkomponenten von Bildern ändert, modifiziert der Einbettungsprozess der generativen Steganographie auch den semantischen Inhalt des Bildes.

Forschungsmotivation

Einschränkungen bestehender Methoden: Die meisten Steganalysemethoden versuchen, Einbettungen im Bildraum zu erkennen, während generative Steganographie Saatvektoren im latenten Raum modifiziert
Unzureichende Sicherheitsanalyse: Viele veröffentlichte Schemata haben Blindstellen bei der Sicherheitsanalyse im latenten Raum
Erkennungsherausforderungen: Das Schema von Hu et al. ist in der Bildbereich-Steganalyse sowohl robust als auch unerkennbar und erfordert neue Analysemethoden

Bedeutung

Generative Steganographie ist besonders beliebt bei latenten Diffusionsmodellen, da diese Modelle hochwertige Bilder liefern können. Das Verständnis und die Analyse der Sicherheit solcher Schemata ist für das Informationssicherheitsfeld von großer Bedeutung.

Kernbeiträge

Vorschlag einer Latent-Space-Steganalysemethode: Erstmals Steganalyse im latenten Raum statt im Bildraum oder Randverteilungen durchgeführt
Etablierung eines statistischen Erkennungsmodells: Modellierung der Verteilung von Latentvektornormen, wobei Deck- und Steganographie-Hypothesen als Gaußverteilungen mit unterschiedlichen Varianzen modelliert werden
Entwicklung von Likelihood-Ratio-Tests: Gepoolter Detektor basierend auf Likelihood-Ratio-Tests (LRT), leicht erweiterbar auf Batch-Bilderkennung
Bereitstellung eines Sicherheitskorrekturschemas: Vorschlag der Scaled Spread Spectrum (Scaled SS)-Codierungsmethode, die das Steganographieschema durch zufälliges Sampling der Latentvektornorm im latenten Raum unerkennbar macht
Umfassende experimentelle Analyse: Untersuchung der Auswirkungen von Prompt-Wissen und Diffusionsschritten auf die Erkennungsleistung

Methodische Details

Aufgabendefinition

Eingabe: Von einem latenten Diffusionsmodell generierte Bilder und ihre entsprechenden latenten Vektoren Ausgabe: Bestimmung, ob ein Bild ein Deckungsbild oder ein steganographisches Bild ist Einschränkungen: Einhaltung des Kerckhoffs-Prinzips; der Angreifer kennt den L2L-Kanal und feste Parameter α, aber nicht den Schlüssel

Analyse des Steganographieschemas

Hu et al. Einbettungsschema

Verwendet das Spread-Spectrum-Watermarking-Prinzip mit orthonormalisierter schlüsselbezogener Pseudozufallsmatrix Q zur Modulation:

$X = Q \cdot M \cdot Q^T$

wobei M die in die latente Raumdimension umgeformte ±1-Geheimbotschaft ist.

L2L-Kanalmodell

Der Latent-to-Latent (L2L)-Kanal besteht aus drei Teilen:

Generierungsprozess: Abbildung des Saats auf ein Bild
Verzerrungsoperation: wie Kompression
Umgekehrte Generierung: Abbildung des Bildes zurück auf den latenten Raumvektor Y

Dargestellt als: $Y = f(X, α)$

Statistisches Erkennungsmodell

Normmodellierung vor Einbettung

Nullhypothese (Deckung): $X \sim N(0, I_n)$ , Norm $R_X \sim χ_n$
Alternativhypothese (Steganographie): $X = Q \cdot M \cdot Q^T$ , Norm $R_X = \sqrt{n}$ (Konstante)

Wenn n groß ist, unter der Deckungshypothese: $R_X \xrightarrow{d} N(\sqrt{n}, \frac{1}{2})$

Normmodellierung nach Einbettung

Annahme, dass der L2L-Kanal Gaußsches Rauschen $\varepsilon(α) \sim N(0, σ^2(α))$ auf die Norm einführt:

$H_0: R_Y \sim N(\sqrt{n}, \frac{1}{2} + σ^2(α))$ $H_1: R_Y \sim N(\sqrt{n}, σ^2(α))$

Die beiden Hypothesen unterscheiden sich nur in der Varianz, was der Schlüssel zur Erkennung ist.

Likelihood-Ratio-Test

Einzelbildtest

$Λ(r_Y) = \frac{N(r_Y; \hat{μ}_1, \hat{σ}^2_1)}{N(r_Y; \hat{μ}_0, \hat{σ}^2_0)}$

Wenn $Λ(r_Y) > τ$ wird die Nullhypothese abgelehnt und das Bild als steganographisch klassifiziert.

Batch-Test

Für einen Bildstapel B unter der Annahme, dass alle Bilder derselben Klasse angehören: $Λ(B) = \prod_i \frac{N(r_{Y_i}; \hat{μ}_1, \hat{σ}^2_1)}{N(r_{Y_i}; \hat{μ}_0, \hat{σ}^2_0)}$

Sicherheitskorrekturschema

Skalierte Spread-Spectrum-Codierung

Zur Behebung der Verteilungsdifferenz wird vorgeschlagen, die Norm s gemäß χ_n-Verteilung zu sampeln und dann zu skalieren:

$X = \frac{s}{\sqrt{n}} Q \cdot M \cdot Q^T$

Dies bewirkt, dass die steganographische Vektornorm auch der χ_n-Verteilung folgt und die statistische Differenz eliminiert.

Experimentelle Einrichtung

Datensatz

Modell: Stable Diffusion 1.5
Parameter: guidance=5.0, Diffusionsschritte=20
Prompts: Zufällig aus der DiffusionDB-Datenbank ausgewählt
Umfang: Jedes Experiment verwendet 20k Prompts, generiert 20k Deckungsbilder und 20k steganographische Bilder
Latente Raumdimension: (4, 64, 64), Nachrichtenlänge n=16384 Bits

Bewertungsmetriken

Fehlerwahrscheinlichkeit (PE): $PE = \min_{P_{FA}} \frac{P_{FA} + P_{MD}(P_{FA})}{2}$
Bitfehlerrate (BER): Anteil korrekt decodierter Bits
Kreuzvalidierung: 20-fache Kreuzvalidierung

Implementierungsdetails

Verwendung von 1k Deckungs- und 1k steganographischen Bildern zur Schätzung von Mittelwert und Varianz
Verbleibende 19k Bilder zur Berechnung von PE
Likelihood-Ratio-Schwellenwert τ=1

Experimentelle Ergebnisse

Hauptergebnisse

Erkennungsleistung

Einzelbilderkennung: PE etwa 48%
Batch-Erkennung: PE sinkt signifikant mit zunehmender Batch-Größe
- Batch-Größe 10: PE=45,3%
- Batch-Größe 100: PE=33,4%

Auswirkung der Diffusionsschritte

Batch-Größe	20 Schritte	50 Schritte
1	48,5%	47,2%
10	45,3%	41,6%
100	33,4%	30,0%

Mehr Diffusionsschritte reduzieren L2L-Kanalverzerrung und verbessern die Angriffseffektivität.

Auswirkung des Prompt-Wissens

BER bleibt unabhängig vom Prompt-Wissen grundsätzlich unverändert:

SS-Codierung: 97,53% vs 97,56%
Skalierte SS-Codierung: 97,53% vs 97,52%

Effektivität des Korrekturschemas

Die skalierte SS-Codierung eliminiert effektiv die Erkennungsdifferenz, wodurch alle Normwahrscheinlichkeitsverhältnisse nahe bei 1 liegen und die Erkennungsleistung randomisiert wird.

Experimentelle Erkenntnisse

Latent-Space-Erkennung ist machbar: Selbst steganographische Schemata, die im Bildraum unerkennbar sind, können im latenten Raum erkannt werden
Batch-Erkennung ist effektiver: Das Pooling mehrerer Bilder verbessert die Erkennungsleistung erheblich
Korrekturschema ist effektiv: Durch Normsampling können statistische Differenzen eliminiert werden
Prompt-Auswirkung ist begrenzt: Unkenntnis des genauen Prompts beeinträchtigt die Erkennung nicht

Schlussfolgerungen und Diskussion

Hauptschlussfolgerungen

Latent-Space-Steganalyse ist machbar: Selbst wenn der Bildraum unerkennbar ist, können im latenten Raum statistische Differenzen vorhanden sein
Normverteilung ist der Schlüssel: Die Differenz in der Normverteilung zwischen steganographischen und Deckungsvektoren ist die Grundlage der Erkennung
Korrekturschema ist effektiv: Durch angemessene Verteilungsanpassung kann echte Unerkennbarkeit erreicht werden
Auswirkung praktischer Parameter: Diffusionsschritte und andere Parameter beeinflussen die Erkennungsleistung, aber die Prompt-Auswirkung ist begrenzt

Einschränkungen

Modellannahmen: Die Gaußsche Rausch-Annahme des L2L-Kanals könnte zu vereinfacht sein
Rechenkomplexität: Erfordert Bildumkehrprozess zur Gewinnung latenter Vektoren
Anwendungsbereich: Hauptsächlich auf spezifische Spread-Spectrum-Steganographieschemata ausgerichtet
Parameterempfindlichkeit: Erkennungsleistung hängt von spezifischen Diffusionsmodellparametern ab

Zukünftige Richtungen

Komplexere L2L-Modellierung: Berücksichtigung realistischerer Kanalmodelle
Andere statistische Merkmale: Erkundung anderer statistischer Merkmale des latenten Raums zur Erkennung
Adaptive Angriffe: Untersuchung gegnerischer Strategien gegen diese Erkennungsmethode
Echtzeitenerkennung: Entwicklung effizienterer Erkennungsalgorithmen

Tiefenbewertung

Stärken

Starke Innovation: Erstmals Steganalyse im latenten Raum durchgeführt, neuartiger Ansatz
Solide theoretische Grundlagen: Basierend auf strenger statistischer Modellierung und Likelihood-Ratio-Test-Theorie
Umfassende Experimente: Vollständige experimentelle Validierung mit verschiedenen Parametereinstellungen und Ablationsstudien
Hoher praktischer Wert: Bietet ein vollständiges Schema zur Erkennung und Korrektur
Tiefgreifende Analyse: Klare theoretische Erklärungen sowohl für Erkennungsprinzipien als auch für Fehlermechanismen

Mängel

Modellvereinfachung: Die L2L-Kanalmodellierung ist relativ einfach; die tatsächliche Situation könnte komplexer sein
Rechnerischer Overhead: Erfordert Bildumkehrprozess mit höheren Rechenkosten
Verallgemeinerbarkeit: Hauptsächlich auf spezifische Steganographieschemata ausgerichtet; Anwendbarkeit auf andere Schemata muss überprüft werden
Praktische Bereitstellung: Praktikabilität und Effizienz bei tatsächlicher Anwendung müssen bewertet werden

Auswirkungen

Akademischer Beitrag: Bietet neue Perspektiven für die Sicherheitsanalyse generativer Steganographie
Praktischer Wert: Von großer Bedeutung für die Sicherheitsbewertung bestehender Steganographieschemata
Inspirationskraft: Könnte mehr auf latenten Raum basierende Sicherheitsanalysestudien inspirieren
Reproduzierbarkeit: Klare experimentelle Einrichtung ermöglicht einfache Reproduktion und Erweiterung

Anwendungsszenarien

Sicherheitsbewertung: Bewertung der praktischen Sicherheit generativer Steganographieschemata
Schemaverbesserung: Anleitung zur Verbesserung der Sicherheit von Steganographieschemata
Erkennungssysteme: Aufbau von Erkennungssystemen gegen generative Steganographie
Forschungswerkzeuge: Als Forschungswerkzeug für latente Raumsicherheitsanalyse

Literaturverzeichnis

Das Papier zitiert mehrere wichtige verwandte Arbeiten, darunter:

Hu et al. (2024): Das analysierte ursprüngliche Steganographieschema
Rombach et al. (2022): Grundlegende Arbeiten zu latenten Diffusionsmodellen
Cox et al. (2008): Klassisches Lehrbuch zum digitalen Watermarking
Fridrich (2009): Klassisches Lehrbuch zur Steganographie
Sowie mehrere verwandte Arbeiten zur Steganalyse mit tiefem Lernen

Dieses Papier leistet wichtige Beiträge zur Sicherheitsanalyse generativer Steganographie, schlägt neue Analyseperspektiven und effektive Erkennungsmethoden vor und bietet gleichzeitig entsprechende Sicherheitsverbesserungsschemata, die eine wichtige Rolle für die Entwicklung dieses Feldes spielen.