Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring

Cet article propose un cadre de détection en trois étapes utilisant les données AIS, après un prétraitement rigoureux pour éliminer les défauts de communication, afin d'identifier avec précision les brouillages et les spoofings GNSS à grande échelle dans les eaux côtières coréennes tout en réduisant considérablement les fausses alarmes.

L'essentiel

Voici une explication simple et imagée de cette recherche, comme si nous discutions autour d'un café.

🌊 Le Problème : Le "GPS" des bateaux est-il un menteur ?

Imaginez que vous êtes le capitaine d'un navire. Pour naviguer en sécurité, vous vous fiez à votre GPS. Mais ce GPS peut être piraté (on appelle cela du spoofing, comme un faux GPS qui vous dit que vous êtes à Paris alors que vous êtes à Lyon) ou brouillé (du jamming, comme un brouillard radio qui coupe le signal).

Le problème, c'est que les bateaux utilisent un système appelé AIS (comme un "téléphone portable" pour les navires) pour se dire où ils sont. Les chercheurs ont voulu utiliser ces messages AIS pour détecter les piratages de GPS à grande échelle.

Mais il y a un gros hic : Les messages AIS sont souvent remplis de "bugs" qui ressemblent à des piratages, mais qui ne le sont pas !

• Parfois, deux bateaux utilisent le même numéro d'identité par erreur (comme deux personnes qui porteraient le même nom de famille et prénom).
• Parfois, un message est envoyé deux fois avec un retard, créant l'illusion que le bateau a fait un bond dans le temps ou a reculé.

Si on regarde les données brutes, on pense qu'il y a une attaque massive, alors que c'est juste un bug de communication. C'est comme si votre montre s'arrêtait et repartait : vous ne pensez pas qu'un espion a volé votre temps, vous pensez juste que la pile est faible.

🕵️‍♂️ La Solution : Le Détective à Trois Étages

Les auteurs (Sanghyeon Park, DeukJae Cho et Pyo-Woong Son) ont créé un système de détection en trois étapes, un peu comme un détective qui trie les indices avant de tirer des conclusions.

Étape 1 : Le Tri des "Faux Amis" (Diagnostics de Communication)

Imaginez un trieur de courrier. Avant de lire le contenu, il jette les enveloppes qui sont visiblement abîmées ou qui ont le même timbre mais une adresse impossible.

• Ce que fait le système : Il repère immédiatement les erreurs de communication (comme les numéros d'identité dupliqués ou les messages envoyés en retard).
• L'analogie : C'est comme si vous éliminiez tous les messages qui disent "Je suis à la fois à Paris et à Tokyo en même temps" parce que c'est physiquement impossible, sauf si c'est une erreur de système. On jette ces "bugs" à la poubelle pour ne pas s'y tromper.

Étape 2 : La Vérification du "Comportement Physique" (Filtre Cinématique)

Une fois les bugs de communication éliminés, on regarde comment les bateaux bougent.

• Ce que fait le système : Il utilise un modèle mathématique (un filtre) pour prédire où le bateau devrait être. Si le bateau dit qu'il a accéléré de 0 à 100 km/h en une seconde, c'est suspect.
• L'analogie : C'est comme un coach sportif qui regarde un coureur. Si le coureur dit qu'il a fait un sprint de 50 km/h, le coach se demande : "Est-ce que c'est un vrai record ou est-ce que le coureur a triché sur son compte ?"
• Le but : Distinguer un bateau qui a un mauvais GPS (problème individuel) d'un groupe de bateaux qui bougent tous bizarrement en même temps (problème extérieur).

Étape 3 : La "Danse de Groupe" (Regroupement Spatio-temporel)

C'est ici que la magie opère. Le système regarde si les anomalies se produisent ensemble.

• Ce que fait le système : Il utilise une technique appelée ST-DBSCAN pour grouper les bateaux qui ont des problèmes au même moment et au même endroit.
• L'analogie : Imaginez une foule.
  • Si une seule personne trébuche, c'est probablement qu'elle a un problème de chaussure (panne de capteur individuel).
  • Si 10 personnes trébuchent exactement au même endroit et au même moment, c'est qu'il y a un obstacle invisible par terre (comme un champ de mines ou un piratage GPS).
• Le résultat : Le système classe les incidents :
  • Piratage (Spoofing) : Tous les bateaux sont déplacés vers un faux endroit (comme un aimant invisible qui attire tout le monde vers une fausse position).
  • Brouillage (Jamming) : Tous les bateaux arrêtent de parler en même temps (comme si quelqu'un avait coupé le son de la radio de toute la flotte).

📊 Les Résultats : Moins de cris, plus de vérité

Les chercheurs ont testé leur méthode sur 966 millions de messages provenant des côtes de Corée (c'est énorme !).

• Sans leur système, les ordinateurs auraient crié à l'alerte rouge des milliers de fois à cause des bugs de communication.
• Avec leur système, ils ont réussi à réduire les fausses alarmes de 98,6 %.
• Ils ont réussi à identifier 17 vraies tentatives de piratage et 343 zones de brouillage qui étaient passées inaperçues.

🎯 En Résumé

Cette recherche nous apprend que pour détecter un ennemi invisible (le piratage GPS), il ne suffit pas de regarder les données brutes. Il faut d'abord nettoyer le "bruit" (les bugs de communication), puis regarder si les bateaux agissent comme un seul groupe.

C'est comme passer d'une foule de personnes qui crient n'importe quoi à une chorale où l'on entend enfin la vraie mélodie. Grâce à cette méthode, on peut surveiller la sécurité des mers sans avoir besoin d'installer des capteurs coûteux partout, en utilisant simplement les messages que les bateaux s'envoient déjà entre eux.

Résumé technique

Voici un résumé technique détaillé de l'article de recherche intitulé « Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring » (Détection du brouillage et du leurrage GNSS à grande échelle utilisant une surveillance d'intégrité spatio-temporelle dérivée de l'AIS).

1. Problématique

Les systèmes de navigation maritime reposent de manière critique sur l'intégrité des informations de positionnement, de navigation et de synchronisation (PNT) fournies par le GNSS. Cependant, ces signaux sont vulnérables au leurrage (spoofing) et au brouillage (jamming), qui peuvent fausser les trajectoires des navires ou interrompre complètement la navigation.

Le système d'identification automatique (AIS), qui diffuse la position des navires, est la principale source de données pour la surveillance maritime. Pourtant, l'utilisation directe des données AIS pour détecter les interférences GNSS pose deux défis majeurs :

1. Artéfacts de la couche de communication : Les messages AIS bruts contiennent des défauts non liés au GNSS, tels que la duplication d'identifiants MMSI (Maritime Mobile Service Identity), des erreurs de timestamp, des retransmissions de données obsolètes et des délais de rebroadcast multi-stations. Ces défauts créent des anomalies qui imitent le leurrage ou le brouillage, entraînant un taux élevé de fausses alarmes.
2. Distinction entre anomalies individuelles et collectives : Les méthodes existantes analysent souvent les navires de manière isolée. Or, le leurrage et le brouillage GNSS à grande échelle se caractérisent par une cohérence multi-navires (plusieurs navires affectés simultanément dans une même zone). Les méthodes actuelles peinent à distinguer les pannes de capteurs individuelles d'une interférence régionale.

2. Méthodologie

Les auteurs proposent un cadre de traitement unifié en trois étapes hiérarchiques conçu pour filtrer progressivement les artéfacts avant d'identifier les interférences GNSS réelles.

Étape 1 : Diagnostic d'intégrité de la communication

Cette étape vise à éliminer les anomalies provenant de la chaîne de transmission AIS avant toute analyse cinématique.

• Duplication de MMSI concurrente : Détection de navires différents émettant le même MMSI dans des intervalles de temps chevauchants mais à des positions géographiques incompatibles avec la vitesse du navire.
• Retransmission de données obsolètes (Stale-data) : Identification de tuples de navigation (position, vitesse, cap) identiques réémis avec des timestamps décalés, créant des mouvements en arrière ou des duplicatas de position.
• Action : Ces données sont marquées et exclues du processus d'analyse ultérieur.

Étape 2 : Génération de signaux d'anomalie (Anomaly Cues)

Les données restantes sont analysées pour générer des indicateurs d'anomalie sans classification prématurée :

• Cinématique (IMM) : Utilisation d'un filtre Interacting Multiple Model (IMM) combinant des modèles de vitesse constante (CV) et de taux de virage constant (CTRV). Ce filtre calcule les résidus entre la position rapportée et la trajectoire prédite physiquement. De grands résidus indiquent une incohérence cinématique (sauts de position, accélérations irréalistes).
• Continuité de transmission (Jamming) : Analyse des intervalles entre les messages AIS. Si l'intervalle dépasse un seuil dynamique (basé sur la médiane des intervalles normaux + un plancher de 60s), cela est considéré comme une interruption de rapport, signe potentiel de brouillage.

Étape 3 : Clustering spatio-temporel et catégorisation finale

Les signaux d'anomalie sont regroupés à l'aide de l'algorithme ST-DBSCAN (Density-Based Spatial Clustering of Applications with Noise étendu au temps).

• Critères de regroupement : Distance spatiale ($\epsilon_s = 10$ km) et temporelle ($\epsilon_t = 1800$ s).
• Classification :
  • Anomalies de capteur (Single-vessel) : Si l'anomalie est isolée à un seul navire, elle est classée comme "persistante" (dégradation à long terme) ou "transitoire" (glitch momentané).
  • Interférence GNSS (Multi-vessel) : Si un cluster contient au moins 5 navires distincts et que 60 % d'entre eux présentent une anomalie, l'événement est classé comme une interférence régionale.
    • Leurrage (Spoofing) : Distorsion coordonnée des trajectoires.
    • Brouillage (Jamming) : Interruption simultanée des rapports de position.

3. Contributions Clés

1. Séparation explicite des sources d'erreurs : Le cadre est le premier à intégrer systématiquement un diagnostic de la couche de communication (MMSI, timestamps) avant l'analyse cinématique, réduisant drastiquement les fausses alarmes.
2. Détection unifiée du leurrage et du brouillage : Contrairement aux méthodes basées uniquement sur la trajectoire (inefficaces pour le brouillage où la position est absente), cette approche traite les interruptions de transmission comme des signaux d'anomalie valides.
3. Validation par cohérence multi-navires : L'utilisation de critères de cohérence spatiale et temporelle permet de distinguer avec certitude les pannes locales des événements d'interférence à grande échelle.
4. Évolutivité : La méthode fonctionne sur des données brutes à grande échelle sans nécessiter d'infrastructure de surveillance GNSS dédiée.

4. Résultats

L'approche a été testée sur un jeu de données massif de 966 millions de messages AIS provenant des eaux côtières de la Corée (novembre-décembre 2024).

• Réduction des fausses alarmes : Le cadre a permis de réduire les fausses alarmes de 98,6 % par rapport à un clustering naïf.
• Détection d'événements :
  • 17 clusters de leurrage (Spoofing) détectés.
  • 343 clusters de brouillage (Jamming) détectés.
• Analyse des artéfacts éliminés :
  • La duplication de MMSI a représenté 1,03 % des candidats initiaux.
  • Les retransmissions obsolètes ont représenté 0,19 %.
  • La majorité des anomalies initiales (plus de 99 %) provenaient de pannes de capteurs individuels ou d'artéfacts de communication, confirmant la nécessité du filtrage préalable.
• Cas d'étude : L'article présente des exemples concrets, notamment un événement de leurrage affectant 11 navires simultanément sur 18 km, et un événement de brouillage montrant une structure d'impulsion double (deux périodes d'interruption espacées de 10 minutes) sur 11 navires.

5. Signification et Impact

Cette recherche démontre que les données AIS, souvent considérées comme peu fiables en raison de leurs défauts de transmission, peuvent être exploitées pour une détection fiable et à grande échelle des interférences GNSS sans capteurs supplémentaires.

• Opérationnel : La méthode offre un outil de surveillance maritime capable d'identifier des menaces de sécurité critiques (leurrage et brouillage) dans des zones où l'infrastructure de surveillance dédiée est absente.
• Scientifique : Elle établit une nouvelle norme pour l'analyse des données AIS en soulignant l'importance de la séparation des couches de données (communication vs navigation) et de l'analyse collective (multi-navires) pour la détection d'anomalies.
• Limites et perspectives : L'étude reconnaît les défis de validation (manque de "vérité terrain" confirmée pour les événements réels) et la dépendance à la densité du trafic maritime. Les travaux futurs viseront la surveillance en temps réel et l'intégration de données complémentaires (ADS-B, stations au sol).

En résumé, ce cadre fournit une solution robuste, interprétable et évolutive pour sécuriser la navigation maritime contre les menaces GNSS croissantes.