так, чтобы их спектр соответствовал спектру исходного изображения. Дело в том, что достоверная оценка получается лишь для высокочастотных компонент ЦВЗ. После ее вычитания низкочастотная компонента ЦВЗ остается неизменной и дает в детекторе положительный корреляционный отклик. Высокочастотная же составляющая даст отрицательный отклик, что в сумме даст нуль, и ЦВЗ не будет обнаружен. В качестве другого противодействия этой атаке было предложено выполнение предварительной низкочастотной фильтрации.
В работе [6] приведена модификация этого алгоритма, заключающаяся в применении фильтра Винера вместо медианного и более интеллектуального способа нахождения коэффициента умножения. Он выбирается так, чтобы минимизировать коэффициент взаимной корреляции между ЦВЗ и стего. Кроме того, добавляется еще один шаг: наложение случайного шума. Данная атака не работает против адаптивно встроенного ЦВЗ, так как в ней предполагается, что ЦВЗ и стего есть стационарный гауссовский процесс с нулевым средним. Ясно, что это предположение не выполняется также и для реальных изображений. Поэтому, С.Волошиновским и др. предложена атака, в которой сигналы моделируются как нестационарный гауссовский или обобщенный стационарный гауссовский процесс [7]. Коэффициент умножения ЦВЗ выбирается исходя из локальных свойств изображения. Вместо наложения случайного шума предложено добавлять отсчеты со знаком, противоположным знаку отсчета ЦВЗ (в предположении, что ЦВЗ есть последовательность биполярных символов). Это еще более затрудняет работу корреляционного детектора. Конечно, знаки нужно менять не у всех, а только у части отсчетов оцениваемого ЦВЗ, например, случайно.
К другим атакам этой группы относятся атака усреднения и атака сговора. В случае наличия большого числа копий стего с разными ЦВЗ или с разными ключами внедрения можно выполнить их усреднение. Например, кадры видеосигнала могут иметь различные ЦВЗ. Если ЦВЗ имел нулевое среднее, то после усреднения он будет отсутствовать в изображении.
Атака путем статистического усреднения представлена в [5]. Нарушитель может попытаться оценить ЦВЗ и вычесть ее из изображения. Такой вид атак особенно опасен в случае, когда атакующий может получить некоторый обобщенный ЦВЗ, например, некоторый 
, независящий сильно от исходного изображения 
.
Атакующий может обнаружить ЦВЗ путем усреднения нескольких изображений. Например, у него имеется 
, 
…, 
. Тогда их сумма 
будет достаточно близка к
Противоядием против подобной атаки может быть случайное использование одного из двух ЦВЗ с вероятностями 
и 
. Тогда вышеприведенная атака даст лишь 
. Однако, атака может быть улучшена в том случае, если у атакующего есть какие-то предположения о том, какой ЦВЗ из двух встроен в данное изображение. Тогда все изображения могут быть распределены на два класса: 1 и 2. Пусть 
— вероятность того, что изображение отнесено к неверному классу. Тогда усреднение по большому числу 
изображений класса 1 дает 
. Аналогично усреднение по 
изображений класса 2 дает 
. Вычисление взвешенной разности дает 
. Следовательно, для любого 
, атакующий может оценить сумму и разность 
и 
, откуда он может получить 
и 
.
При атаке сговора имеется несколько одинаковых копий, содержащих различные ЦВЗ, а для атаки из каждой копии выбираются какие-то части, которые в совокупности и образуют атакуемое множество. Атаки на основе «сговора» описаны, например, в работах [8], [9]. Чем больше содержащих стего копий имеется у нарушителя, тем выше вероятность того, что близкое к исходному реконструированное изображение не будет содержать стего. В стегосистемах с закрытым ключом такая атака не столь эффективна в силу того, что атакующий не может проверить, содержат ли получающиеся у него аппроксимации ЦВЗ. Это повышает безопасность стегосистем с закрытым ключом. Защищенность от этой атаки можно также повысить за счет специального построения стего.
Еще одна эффективная атака на ЦВЗ называется мозаичной [10]. Эта атака направлена на поисковые системы, отслеживающие незаконно распространяемые изображения. Изображение разбивается на несколько частей, так что поисковая система ЦВЗ не обнаруживает. Интернет-броузер демонстрирует фактически несколько кусочков изображения, вплотную расположенных друг к другу, так что в целом изображение выглядит неискаженным. Для противодействия такой атаке ЦВЗ должен обнаруживаться даже в малых частях изображения. Это очень трудно выполнимое требование, даже более тяжелое, чем робастность к обрезанию краев изображения, так как в последнем случае атакующий ограничен необходимостью сохранения качества изображения. Наверное, более выполнимым было бы создание интеллектуальных поисковых систем, способных «собрать» изображение из кусочков и проверить наличие в нем ЦВЗ.
Интересная и практически значимая атака предлодена в работе [17]. Она основана на оценивании ЦВЗ, но не в области исходного изображения, а по его гистограмме. Атака особенно эффективна против систем неадаптивных систем ЦВЗ, но может быть использована и для оценивания адаптивно внедренного ЦВЗ.
Пояснить атаку можно на следующем примере. Пусть ЦВЗ 
, а в исходном изображении имеется изолированное значение пиксела. Например, значение 200 встречается 300 раз, а значения 199 и 201 — ни разу. Тогда после внедрения ЦВЗ значения 199 и 201 встретятся примерно 150 раз, а значение 200 — ни разу. Это и есть демаскирующий признак. Как показано на примере в работе [17], этот метод может быть применен и в случае наличия на гистограмме изображения нескольких ненулевых значений, разделенных тремя и больше нулями.
Для успешного использования гистограммной атаки предложено выполнять предварительное сглаживание изображения-контейнера. Тогда уменьшается диапазон значений цвета и появляется много нулевых цепочек. Впрочем, эффективность атаки повышается в результате сглаживания не для всех изображений.
В работе [17] показано также, как гистограммная атака усиливается при наличии нескольких изображений, то есть в случае ее комбинировании с атакой сговора.
2.2.3. Геометрические атаки
В отличии от атак удаления геометрические атаки стремятся не удалить ЦВЗ, но изменить его путем внесения пространственных или временных искажений. Геометрические атаки математически моделируются как аффинные преобразования с неизвестным декодеру параметром. Всего имеется шесть аффинных преобразований: масштабирование, изменение пропорций, повороты, сдвиг и усечение. Эти атаки приводят к потере синхронизации в детекторе ЦВЗ и могут быть локальными или глобальными (то есть примененными ко всему сигналу). При этом возможно вырезание отдельных пикселов или строк, перестановка их местами, применение каких-то преобразований и т. д. Подобные атаки реализованы в программах Unsign (локальные атаки) и Stirmark (локальные и глобальные атаки).
Существуют и более «интеллектуальные» атаки на применяемый метод синхронизации ЦВЗ. Основная идея этих атак заключается в распознавании метода синхронизации и разрушения его путем сглаживания пиков в амплитудном спектре ЦВЗ. Атаки эффективны в предположении о том, что в качестве механизма синхронизации используются периодические шаблоны. При этом для обеспечения синхронизации могут использоваться два подхода: встраивание пиков в спектральной области, либо периодическое внедрение последовательности ЦВЗ. В обоих случаях в спектре образуются пики, которые разрушаются в рассматриваемой атаке. После разрушения можно применять другие геометрические атаки: синхронизации уже нет.
Современные методы встраивания ЦВЗ робастны к глобальным атакам. В них применяются
