2025-11-14T09:49:10.731774

Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix

Levecque, Noirault, Pevný et al.
Steganographic schemes dedicated to generated images modify the seed vector in the latent space to embed a message, whereas most steganalysis methods attempt to detect the embedding in the image space. This paper proposes to perform steganalysis in the latent space by modeling the statistical distribution of the norm of the latent vector. Specifically, we analyze the practical security of a scheme proposed by Hu et. al. for latent diffusion models, which is both robust and practically undetectable when steganalysis is performed on generated images. We show that after embedding, the Stego (latent) vector is distributed on a hypersphere while the Cover vector is i.i.d. Gaussian. By going from the image space to the latent space, we show that it is possible to model the norm of the vector in the latent space under the Cover or Stego hypothesis as Gaussian distributions with different variances. A Likelihood Ratio Test is then derived to perform pooled steganalysis. The impact of the potential knowledge of the prompt and the number of diffusion steps, is also studied. Additionally, we also show how, by randomly sampling the norm of the latent vector before generation, the initial Stego scheme becomes undetectable in the latent space.
academic

생성 은닉글쓰기에 적용된 표적 풀링 잠재공간 은닉글쓰기분석, 수정안 포함

기본 정보

  • 논문 ID: 2510.12414
  • 제목: Targeted Pooled Latent-Space Steganalysis Applied to Generative Steganography, with a Fix
  • 저자: Etienne Levecque, Aurelien Noirault, Tomas Pevny, Jan Butora, Patrick Bas, Rémi Cogranne
  • 분류: cs.CR (암호화 및 보안), eess.IV (영상 및 비디오 처리)
  • 발표 시간: 2025년 10월 14일 (arXiv 사전인쇄본)
  • 논문 링크: https://arxiv.org/abs/2510.12414

초록

본 논문은 생성 이미지의 은닉글쓰기에 대한 새로운 은닉글쓰기분석 방법을 제안한다. 전통적인 은닉글쓰기분석은 주로 이미지 공간에서 검출을 수행하는 반면, 생성식 은닉글쓰기는 잠재공간에서 시드 벡터를 수정하여 메시지를 삽입한다. 본 논문은 잠재공간에서 은닉글쓰기분석을 수행하고, 잠재 벡터 노름의 통계적 분포를 모델링하여 은닉글쓰기를 검출한다. Hu 등이 제안한 잠재 확산 모델 은닉글쓰기 방식의 실제 보안성을 분석하며, 이 방식은 이미지 공간 은닉글쓰기분석에서 견고성과 검출 불가능성을 나타낸다. 연구에서 삽입 후 은닉글쓰기 잠재 벡터는 초구면에 분포하는 반면, 은폐 벡터는 독립동일분포 가우스 분포를 따른다는 것을 발견했다. 우도비 검정을 통한 풀링 은닉글쓰기분석을 수행하고, 프롬프트 단어 지식과 확산 단계의 영향을 연구한다. 또한 잠재 벡터 노름을 무작위로 샘플링하여 원래 은닉글쓰기 방식을 잠재공간에서 검출 불가능하게 만드는 방법을 제시한다.

연구 배경 및 동기

문제 정의

생성식 은닉글쓰기는 새로운 활발한 연구 분야로, 대용량 페이로드를 삽입할 수 있으며 JPEG 압축 등의 작업에 견고하면서도 검출되지 않을 수 있다. 전통적인 은닉글쓰기가 이미지 노이즈 성분만 변경하는 것과 달리, 생성식 은닉글쓰기의 삽입 과정은 이미지의 의미론적 내용도 변경한다.

연구 동기

  1. 기존 방법의 한계: 대부분의 은닉글쓰기분석 방법은 이미지 공간에서 삽입을 검출하려고 하는 반면, 생성식 은닉글쓰기는 잠재공간에서 시드 벡터를 수정한다
  2. 보안성 분석 부족: 많은 발표된 방식이 잠재공간의 보안성 분석에서 맹점을 가지고 있다
  3. 검출 과제: Hu 등의 방식은 이미지 영역 은닉글쓰기분석에서 견고하면서도 검출 불가능하므로 새로운 분석 방법이 필요하다

중요성

생성식 은닉글쓰기는 특히 잠재 확산 모델에서 인기가 있으며, 이러한 모델은 고품질 이미지를 제공할 수 있다. 이러한 방식의 보안성을 이해하고 분석하는 것은 정보 보안 분야에 중요한 의미를 갖는다.

핵심 기여

  1. 잠재공간 은닉글쓰기분석 방법 제안: 이미지 공간이나 주변 분포가 아닌 잠재공간에서 은닉글쓰기분석을 수행한 첫 사례
  2. 통계적 검출 모델 수립: 잠재 벡터 노름의 통계적 분포를 모델링하여 은폐 및 은닉글쓰기 가정 하에서의 분포를 서로 다른 분산의 가우스 분포로 모델링
  3. 우도비 검정 개발: 우도비 검정(LRT) 기반의 풀링 검출기로, 배치 이미지 검출로 쉽게 확장 가능
  4. 보안성 수정안 제공: 스케일된 확산 스펙트럼(Scaled SS) 인코딩 방법을 제안하여 무작위 샘플링을 통해 은닉글쓰기 방식을 잠재공간에서 검출 불가능하게 함
  5. 포괄적 실험 분석: 프롬프트 단어 지식과 확산 단계가 검출 성능에 미치는 영향을 연구

방법 상세 설명

작업 정의

입력: 잠재 확산 모델이 생성한 이미지 및 해당 잠재 벡터 출력: 이미지가 은폐 이미지인지 은닉글쓰기 이미지인지 판단 제약: Kerckhoffs 원칙을 준수하며, 공격자는 L2L 채널과 고정 매개변수 α를 알지만 키는 모름

은닉글쓰기 방식 분석

Hu 등의 삽입 방식

확산 스펙트럼 워터마킹 원리를 사용하여 직교정규화된 키 관련 의사난수 행렬 Q를 통한 변조:

X=QMQTX = Q \cdot M \cdot Q^T

여기서 M은 잠재공간 차원으로 재구성된 ±1 비밀 메시지이다.

L2L 채널 모델

잠재에서 잠재로(L2L) 채널은 세 부분으로 구성된다:

  1. 생성 과정: 시드를 이미지로 매핑
  2. 왜곡 작업: 압축 등
  3. 역 생성: 이미지를 잠재공간 벡터로 매핑

표현: Y=f(X,α)Y = f(X, α)

통계적 검출 모델

삽입 전 노름 모델링

  • 귀무가설(은폐): XN(0,In)X \sim N(0, I_n), 노름 RXχnR_X \sim χ_n
  • 대립가설(은닉글쓰기): X=QMQTX = Q \cdot M \cdot Q^T, 노름 RX=nR_X = \sqrt{n}(상수)

n이 클 때, 귀무가설 하에서: RXdN(n,12)R_X \xrightarrow{d} N(\sqrt{n}, \frac{1}{2})

삽입 후 노름 모델링

L2L 채널이 노름에 가우스 노이즈 ε(α)N(0,σ2(α))\varepsilon(α) \sim N(0, σ^2(α))를 도입한다고 가정:

H0:RYN(n,12+σ2(α))H_0: R_Y \sim N(\sqrt{n}, \frac{1}{2} + σ^2(α))H1:RYN(n,σ2(α))H_1: R_Y \sim N(\sqrt{n}, σ^2(α))

두 가설은 분산에서만 다르며, 이 차이가 검출의 핵심이다.

우도비 검정

단일 이미지 검정

Λ(rY)=N(rY;μ^1,σ^12)N(rY;μ^0,σ^02)Λ(r_Y) = \frac{N(r_Y; \hat{μ}_1, \hat{σ}^2_1)}{N(r_Y; \hat{μ}_0, \hat{σ}^2_0)}

Λ(rY)>τΛ(r_Y) > τ일 때 귀무가설을 기각하고 은닉글쓰기 이미지로 판단한다.

배치 검정

이미지 배치 B에 대해, 모든 이미지가 동일 클래스에 속한다고 가정: Λ(B)=iN(rYi;μ^1,σ^12)N(rYi;μ^0,σ^02)Λ(B) = \prod_i \frac{N(r_{Y_i}; \hat{μ}_1, \hat{σ}^2_1)}{N(r_{Y_i}; \hat{μ}_0, \hat{σ}^2_0)}

보안성 수정안

스케일된 확산 스펙트럼 인코딩

분포 차이를 수정하기 위해 χ_n 분포에 따라 노름 s를 샘플링한 후 스케일링:

X=snQMQTX = \frac{s}{\sqrt{n}} Q \cdot M \cdot Q^T

이는 은닉글쓰기 벡터 노름도 χ_n 분포를 따르게 하여 통계적 차이를 제거한다.

실험 설정

데이터셋

  • 모델: Stable Diffusion 1.5
  • 매개변수: guidance=5.0, 확산 단계=20단계
  • 프롬프트 단어: DiffusionDB 데이터베이스에서 무작위 선택
  • 규모: 각 실험에 20k개의 프롬프트 단어 사용, 20k개의 은폐 이미지 및 20k개의 은닉글쓰기 이미지 생성
  • 잠재공간 차원: (4, 64, 64), 메시지 길이 n=16384비트

평가 지표

  • 오류 확률(PE): PE=minPFAPFA+PMD(PFA)2PE = \min_{P_{FA}} \frac{P_{FA} + P_{MD}(P_{FA})}{2}
  • 비트 오류율(BER): 올바르게 디코딩된 비트의 비율
  • 교차 검증: 20겹 교차 검증

구현 세부사항

  • 1k개의 은폐 및 1k개의 은닉글쓰기 이미지를 사용하여 평균 및 분산 추정
  • 나머지 19k개 이미지는 PE 계산에 사용
  • 우도비 임계값 τ=1

실험 결과

주요 결과

검출 성능

  • 단일 이미지 검정: PE 약 48%
  • 배치 검정: 배치 크기 증가에 따라 PE가 현저히 감소
    • 배치 크기 10: PE=45.3%
    • 배치 크기 100: PE=33.4%

확산 단계의 영향

배치 크기20단계50단계
148.5%47.2%
1045.3%41.6%
10033.4%30.0%

더 많은 확산 단계는 L2L 채널 왜곡을 감소시켜 공격 효과를 향상시킨다.

프롬프트 단어 지식의 영향

프롬프트 단어 지식 여부와 관계없이 BER은 기본적으로 변하지 않음:

  • SS 인코딩: 97.53% vs 97.56%
  • 스케일된 SS 인코딩: 97.53% vs 97.52%

수정안 효과

스케일된 SS 인코딩은 검출 차이를 효과적으로 제거하여 모든 노름의 우도비를 1에 가깝게 만들고 검출 성능을 무작위화한다.

실험 발견

  1. 잠재공간 검출 가능: 이미지 공간에서 검출 불가능한 은닉글쓰기도 잠재공간에서는 검출 가능
  2. 배치 검정이 더 효과적: 여러 이미지를 풀링하면 검출 성능이 현저히 향상됨
  3. 수정안이 효과적: 노름 샘플링을 통해 통계적 차이를 제거 가능
  4. 프롬프트 단어의 영향 제한적: 정확한 프롬프트 단어를 모르는 것이 검출 효과에 영향을 주지 않음

관련 연구

전통적 은닉글쓰기분석

주로 두 가지로 분류:

  1. 심층학습 기반: 은폐 및 은닉글쓰기 이미지를 구분하는 분류 네트워크 훈련
  2. 통계 분석 기반: 잠재공간 주변 분포의 KL 발산 계산

생성식 은닉글쓰기

  • 확산 모델 은닉글쓰기: 잠재 확산 모델의 고품질 이미지 생성 능력 활용
  • 확산 스펙트럼 워터마킹: 각 삽입 비트를 비밀 캐리어에 확산
  • 견고성 고려: 생성, 압축, 역 과정의 노이즈 영향 고려 필요

본 논문의 혁신

기존 연구와 비교하여, 본 논문은 주변 분포가 아닌 잠재공간의 결합 분포에서 처음으로 분석을 수행하여 더 깊이 있는 보안성 평가를 제공한다.

결론 및 논의

주요 결론

  1. 잠재공간 은닉글쓰기분석 가능: 이미지 공간에서 검출 불가능해도 잠재공간에는 통계적 차이가 존재할 수 있음
  2. 노름 분포가 핵심: 은닉글쓰기 및 은폐 벡터의 노름 분포 차이가 검출의 기초
  3. 수정안이 효과적: 적절한 분포 매칭을 통해 진정한 검출 불가능성 달성 가능
  4. 실제 매개변수의 영향: 확산 단계 등의 매개변수가 검출 성능에 영향을 주지만 프롬프트 단어의 영향은 제한적

한계

  1. 모델 가정: L2L 채널의 가우스 노이즈 가정이 과도하게 단순화될 수 있음
  2. 계산 복잡도: 잠재 벡터를 얻기 위해 이미지 역 과정 수행 필요
  3. 적용 범위: 주로 특정 확산 스펙트럼 은닉글쓰기 방식에 대해 적용
  4. 매개변수 민감도: 검출 성능이 확산 모델의 구체적 매개변수 설정에 의존

향후 방향

  1. 더 복잡한 L2L 모델링: 더 현실적인 채널 모델 고려
  2. 다른 통계적 특징: 잠재공간의 다른 통계적 특징을 검출에 활용하는 탐색
  3. 적응형 공격: 이러한 검출 방법에 대한 대적 전략 연구
  4. 실시간 검출: 더 효율적인 검출 알고리즘 개발

심층 평가

장점

  1. 혁신성 강함: 잠재공간에서 은닉글쓰기분석을 수행한 첫 사례로 관점이 신선함
  2. 이론적 기초 견고: 엄격한 통계 모델과 우도비 검정 이론에 기반
  3. 실험 충분: 다양한 매개변수 설정 및 소거 연구를 포함한 포괄적 실험 검증
  4. 실용 가치 높음: 검출과 수정을 모두 가능하게 하는 완전한 방안 제공
  5. 분석 깊이 있음: 검출 원리와 실패 메커니즘에 대한 명확한 이론적 설명

부족한 점

  1. 모델 단순화: L2L 채널 모델링이 상대적으로 단순하며 실제 상황은 더 복잡할 수 있음
  2. 계산 오버헤드: 이미지 역 과정 수행 필요로 계산 비용이 높음
  3. 일반화성: 주로 특정 은닉글쓰기 방식에 대해 적용되며 다른 방식에 대한 적용 가능성 미검증
  4. 실제 배포: 실제 응용에서의 운영 가능성 및 효율성 평가 필요

영향력

  1. 학술 기여: 생성식 은닉글쓰기 보안성 분석에 새로운 사고방식 제공
  2. 실용 가치: 기존 은닉글쓰기 방식의 보안성 평가에 중요한 의미
  3. 영감 제공: 잠재공간 기반 보안 분석 연구를 더 많이 영감할 가능성
  4. 재현 가능성: 실험 설정이 명확하여 재현 및 확장이 용이

적용 시나리오

  1. 보안 평가: 생성식 은닉글쓰기 방식의 실제 보안성 평가
  2. 방식 개선: 은닉글쓰기 방식의 보안성 개선 지도
  3. 검출 시스템: 생성식 은닉글쓰기에 대한 검출 시스템 구축
  4. 연구 도구: 잠재공간 보안 분석의 연구 도구로 활용

참고문헌

논문은 다음을 포함한 여러 중요한 관련 연구를 인용한다:

  • Hu et al. (2024): 분석 대상인 원래 은닉글쓰기 방식
  • Rombach et al. (2022): 잠재 확산 모델의 기초 연구
  • Cox et al. (2008): 디지털 워터마킹의 고전 교재
  • Fridrich (2009): 은닉글쓰기의 고전 교재
  • 그리고 여러 심층학습 은닉글쓰기분석 관련 연구

본 논문은 생성식 은닉글쓰기 보안성 분석 분야에서 중요한 기여를 하였으며, 새로운 분석 관점과 효과적인 검출 방법을 제시하면서 동시에 해당 보안성 개선안을 제공하여 이 분야의 발전에 중요한 추진력을 제공한다.