Было исследовано более 1200 аудиофайлов, записанных на CD-дисках и представляющих собой различные музыкальные и вокальные произведения разных авторов. Показано, что для пустых аудиоконтейнеров НЗБ и остальные биты статистически взаимно зависимы, причем на характер этой зависимости влияет уровень записи (усредненная амплитуда отсчетов аудиосигнала). На рис. 4.9 показана полученная для аудиофайлов зависимость статистики Хи-квадрат. По критерию Хи-квадрат вычислялась степень различия между распределением пустых и заполненных контейнеров от характерного для стего бернуллиевского распределения.
Рис. 4.9. Зависимость величины Хи-квадрат от амплитуды отсчетов аудиосигнала:
Рис. 4.10. Статистические различия стего и пустых аудиоконтейнеров:
К настоящему времени известны различные программные средства скрытия информации в аудиофайлах. Используя статистику Хи-квадрат и коэффициент корреляции, в работе [16] проведен стегоанализ программ Steganos (version 1.0а) и S-Tools (Steganography Tools for Windows, version 4.0), которые скрывают информацию в наименее значимых битах звуковых отсчетов. В качестве исходных контейнеров исследовались считанные с CD-дисков 100 музыкальных фрагментов различных исполнителей длительностью звучания 15 секунд каждый (как со стандартных музыкальных компакт-дисков, так и с дисков в формате МРЗ). В качестве скрываемого сообщения использовалась псевдослучайная последовательность объемом 83 Кбайт и побитно внедрялась в каждый НЗБ контейнера. По критерию Хи-квадрат определялась степень отличия распределения НЗБ отсчетов исследуемой последовательности от от бернуллиевского распределения.
Результаты статистических вычислений для музыкальных контейнеров и сформированных из них полностью заполненных стего представлены в виде гистограмм на рис. 4.10,
Заметим, что диапазоны значений статистики Хи-квадрат, полученные до и после образования стегоканала, равно как диапазоны значений коэффициентов корреляции, не пересекаются. Эти признаки позволяют при использовании статистических атак с большой вероятностью отделить пустые аудиоконтейнеры от заполненных стего.
Таким образом, различные стегосистемы, использующие принцип замены младших битов элементов контейнеров на биты встраиваемого сообщения, оказались нестойкими против статистических атак. Повысить их стойкость можно различными способами, например, переходом к операциям встраивания вида взвешенное сложения элементов контейнера с элементами встраиваемого сообщения. Подобные операции не сохраняют баланс вероятностей появления соответствующих элементов контейнера и стего и поэтому обладают более высокой устойчивостью к анализу их статистик.
Очевидным способом является уменьшение степени заполнения контейнера битами скрываемого сообщения, то есть уменьшение пропускной способности стегоканала в обмен на повышение его защищенности. Предложенные в работе [14] статистические атаки на основе критерия Хи-квадрат в большинстве случаев не способны обнаружить стегоканал при заполнении контейнера на 50 % и менее, особенно если внедренное сообщение рассредоточено по контейнеру. Эти атаки всегда стартуют от начала исследуемой последовательности и используют равномерно увеличивающееся окно анализа. Они обнаруживают существование стегоканала, если статистические характеристики искажается непрерывно от начала контейнера. Промежуточные области в контейнере, которые не имеют искажения, могут вызывать неправильный результат теста. Поэтому в работе [15] предложена усовершенствованная статистическая атака, названная автором расширенный тест Хи-квадрат. Тест использует фиксированный размер окна анализа, перемещаемого вдоль исследуемой последовательности. Такая атака осуществляет локальный поиск и позволяет указать на место вложения скрываемого сообщения. В этой же работе предлагается способ повышения защищенности от статистических атак стегосистем с вложением скрываемого сообщения в НЗБ контейнера. Процесс встраивания скрытой информации в контейнер разделен на 3 этапа:
1) определение избыточных бит, которые можно изменять без ущерба для контейнера;
