Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring

Dit artikel presenteert een drie-trapsraamwerk dat ruwe AIS-gegevens filtert en analyseert om GNSS-spoofing en -jamming op grote schaal te detecteren met een drastische reductie van valse alarmen, zonder dat daarvoor speciale sensoren nodig zijn.

De kern

Stel je voor dat de zee een enorm, drukke snelweg is, vol met schepen die allemaal een "navigatie-app" gebruiken (het GNSS-systeem, vergelijkbaar met Google Maps in je auto). Om veilig te varen, sturen deze schepen voortdurend hun positie door naar een centraal systeem genaamd AIS. Dit is als een digitale telefoonboek waar iedereen kan zien waar elk schip is.

Het probleem? Deze "navigatie-app" kan worden gehackt (spoofing) of verstoord (jamming). Maar er is een nog groter probleem: de AIS-app zelf is vaak onbetrouwbaar. Het maakt fouten die eruitzien alsof er iets mis is met de GPS, terwijl het eigenlijk gewoon een communicatiefoutje is.

De auteurs van dit paper hebben een slimme nieuwe manier bedacht om het echte gevaar te onderscheiden van de "ruis". Hier is hoe ze dat doen, vertaald in een verhaal:

1. Het Grote Probleem: De "Gekke" Schepen

Stel je voor dat je naar een drukke markt kijkt. Je ziet plotseling iemand die van de ene kant van de markt naar de andere springt in een fractie van een seconde.

• Is het een supermens? Nee.
• Is het een hacker die de persoon verplaatst? Misschien.
• Of is het gewoon dat er twee mensen met exact hetzelfde T-shirt (dezelfde ID) zijn, en de camera's ze verwarren?

In de wereld van schepen gebeurt dit vaak.

• Dubbele ID's: Twee schepen hebben per ongeluk hetzelfde nummer (MMSI). Het systeem denkt dat het één schip is dat teleporteert.
• Verouderde berichten: Een schip stuurt zijn positie, maar door een trage verbinding wordt het bericht later opnieuw verstuurd met een oude tijd. Het lijkt alsof het schip terug in de tijd reist of stilstaat terwijl het eigenlijk vaart.

Als je deze fouten niet eerst oplost, denk je dat er overal hackers zijn, terwijl het gewoon "glitches" in de communicatie zijn.

2. De Oplossing: De Drie-Stappen-Filter

De onderzoekers hebben een drie-traps proces bedacht om het echte gevaar te vinden. Denk hierbij aan een veiligheidscontrole op een vliegveld, maar dan voor schepen.

Stap 1: De "Identiteitscontrole" (Communicatie-fouten wegvegen)

Voordat we kijken of er iets echt mis is, kijken we eerst of de schepen gewoon hun ID's hebben verwisseld of of hun berichten in de war zijn geraakt.

• De Analogie: Het is alsof je een lijst met verdachten maakt, maar eerst alle mensen verwijdert die gewoon hun paspoort hebben verloren of die per ongeluk een paspoort van een ander hebben.
• Wat doen ze? Ze gebruiken simpele regels om te zien: "Heeft dit schip twee nummers tegelijk?" of "Stuurt het een bericht dat al gisteren verstuurd was?" Als dat zo is, wordt het genegeerd. Dit is cruciaal, want dit is de grootste bron van valse alarmen.

Stap 2: De "Fysieke Check" (Is dit logisch?)

Nu we de communicatiefouten hebben verwijderd, kijken we naar de beweging van de schepen.

• De Analogie: Stel je een schip voor dat plotseling 100 km/u vaart, of scherp draait als een Formule 1-auto. Een groot vrachtschip kan dat fysiek niet.
• Wat doen ze? Ze gebruiken een slimme wiskundige formule (een filter) die zegt: "Hé, dit schip beweegt onmogelijk snel." Als een schip dit doet, is het een anomalie. Maar is het nu een hacker of een kapotte GPS op dat ene schip? We weten het nog niet zeker, dus we houden het in de gaten.

Stap 3: De "Kroeg-analyse" (De Groepsdynamiek)

Dit is de magische stap. Nu kijken we niet naar één schip, maar naar de hele groep.

• De Analogie: Stel je een drukke kroeg voor.
  • Scenario A: Eén persoon valt om. Dat is waarschijnlijk dat hij dronken is of zijn evenwicht verloor (een kapotte sensor op één schip).
  • Scenario B: Plotseling vallen alle mensen in de kroeg tegelijk om, of ze rennen allemaal tegelijk naar de uitgang. Dat betekent dat er iets groots aan de hand is, zoals een brandalarm of een aardbeving (een hacker of storing die op iedereen werkt).

De onderzoekers gebruiken een slimme techniek (ST-DBSCAN) om te kijken of veel schepen in hetzelfde gebied, op hetzelfde moment, hetzelfde rare gedrag vertonen.

• Als alleen één schip raar doet: Het is een kapotte GPS op dat schip (Sensor-fout).
• Als vele schepen tegelijk raar doen: Er is een echte hacker of storing in de lucht (Spoofing of Jamming).

3. Wat hebben ze ontdekt?

Ze hebben ongeveer 966 miljoen berichten geanalyseerd van schepen rondom Korea. Dat is een enorm aantal!

• Valse alarmen: Het merendeel van de "raar gedrag" bleek gewoon communicatiefouten (zoals dubbele ID's) of kapotte GPS's op individuele schepen.
• Het echte gevaar: Na al dat filteren vonden ze 17 echte hack-pogingen (waar schepen naar een valse locatie werden gestuurd) en 343 echte storingen (waar schepen hun signaal volledig verloren).

Waarom is dit belangrijk?

Vroeger dachten mensen: "Oh, dit schip beweegt raar, er is een hacker!" en ze kregen duizenden valse alarmen.
Met deze nieuwe methode weten ze nu: "Ah, dat was gewoon een communicatiefoutje, en dat andere was een kapotte GPS op één schip. Maar die groep van 11 schepen die tegelijk verdween? Dat is een echte storing."

Het is alsof je een alarm hebt dat niet afgaat als je per ongeluk op de knop drukt, maar wel afgaat als er daadwerkelijk een inbreker is. Dit maakt de zee veiliger en helpt autoriteiten om echt gevaarlijke situaties sneller te zien, zonder dat ze zich hoeven te bekommeren om de "ruis".

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring", geschreven in het Nederlands.

Titel

Detectie van breedgebied GNSS-spoofing en jamming met behulp van AIS-gebaseerde spatiotemporale integriteitsmonitoring

1. Het Probleem

Maritieme navigatie en toezichtsystemen zijn kritiek afhankelijk van de integriteit van Positioning, Navigation, and Timing (PNT)-informatie. Het Automatic Identification System (AIS) is een hoeksteen van de maritieme situational awareness, maar AIS-positiegegevens worden afgeleid van onversleutelde Global Navigation Satellite System (GNSS)-signalen, waardoor ze kwetsbaar zijn voor opzettelijke verstoringen zoals spoofing (vervalsing van positie) en jamming (blokkering van signalen).

Echter, het gebruik van AIS-gegevens voor het detecteren van deze verstoringen wordt ernstig gehinderd door twee fundamentele uitdagingen:

1. Communicatielaag-defecten: Raw AIS-berichten bevatten vaak fouten die niets te maken hebben met GNSS-problemen, zoals dubbele MMSI-identificatoren (meerdere schepen met dezelfde code), tijdstempel-fouten, verouderde hertransmissies en vertragingen bij het doorsturen van berichten. Deze artefacten imiteren vaak gedrag dat lijkt op spoofing of jamming, wat leidt tot een hoog aantal valse alarmen.
2. Gebrek aan multi-scheeps coherentie: Bestaande methoden analyseren vaak schepen individueel. Breedgebied GNSS-verstoringen manifesteren zich echter als gecoördineerde anomalieën over meerdere schepen tegelijk. Methoden die dit niet detecteren, kunnen geen onderscheid maken tussen lokale sensorfouten en regionale interferentie.

2. Methodologie

De auteurs stellen een unified three-stage framework (driefasig raamwerk) voor dat AIS-gegevens verwerkt om communicatiefouten, sensorspecificiteit en echte GNSS-interferentie te scheiden.

Fase 1: Communicatie-integriteitsdiagnostiek (Rule-based)
Voordat enige analyse van beweging plaatsvindt, worden AIS-berichten gefilterd op basis van regels om communicatielaag-artefacten te verwijderen:

• MMSI-duplicatie: Schepen die dezelfde MMSI gebruiken binnen overlappende tijdsintervallen maar op onmogelijk grote afstanden van elkaar liggen, worden geïdentificeerd. De trajecten worden opgesplitst in sub-trajecten; als meerdere schepen een fysiek plausibel traject hebben, wordt de duplicatie verwijderd.
• Vertraging in hertransmissie: Identieke navigatietuples (positie, snelheid, koers) die worden herhaald met een inconsistente tijdstempel (bijv. een bericht dat later wordt verzonden maar dezelfde positie heeft als een eerder moment), worden gedetecteerd en verwijderd.

Fase 2: Generatie van Anomalie-Cues
De overgebleven data wordt gebruikt om twee soorten "cues" (aanwijzingen) te genereren, zonder ze direct te classificeren:

• Kinematische consistentie-cues: Een Interacting Multiple Model (IMM) filter (combinatie van Constant Velocity en Constant Turn Rate and Velocity modellen) schat de verwachte staat van het schip. Grote residuen tussen de gemeten AIS-positie en de voorspelde fysieke staat worden gemarkeerd als kinematische anomalieën.
• Transmissie-interval-cues (voor Jamming): Voor jamming wordt de tijd tussen berichten geanalyseerd. Als het interval significant afwijkt van de mediaan (bijv. > 60 seconden of > 3x de normale interval), wordt dit gemarkeerd als een mogelijke uitval (outage) door jamming.

Fase 3: Spatiotemporale Clustering en Classificatie
Alle behouden anomalie-cues worden onderworpen aan ST-DBSCAN (Spatiotemporal Density-Based Spatial Clustering of Applications with Noise).

• Clustering: Anomalieën worden gegroepeerd op basis van ruimtelijke nabijheid (εs = 10 km) en temporele coherentie (εt = 1800 s).
• Classificatie:
  • Enkelscheepsclusters: Worden geclassificeerd als sensor-integriteitsartefacten (persistent of transient).
  • Meerdere-schepenclusters: Als een cluster minstens 5 verschillende MMSI's bevat en 60% van de schepen in die cluster een anomalie vertoont, wordt dit geïnterpreteerd als breedgebied GNSS-interferentie.
  • Spoofing: Gecoördineerde kinematische vervorming (afwijkende trajecten).
  • Jamming: Gecoördineerde rapportage-uitval (geen positiegegevens).

3. Belangrijkste Bijdragen

• Hiërarchische Scheiding: Het eerste raamwerk dat expliciet communicatie-integriteitsproblemen (zoals MMSI-duplicatie) scheidt van GNSS-interferentie voordat kinematische analyse plaatsvindt.
• Detectie van Jamming: In tegenstelling tot veel bestaande studies die zich alleen richten op trajectafwijkingen (spoofing), integreert dit raamwerk transmissie-intervalanalyse om ook jamming (signaalverlies) te detecteren.
• Multi-scheeps Coherentie: Het gebruik van spatiotemporale clustering om gecoördineerde gedragingen te identificeren, wat essentieel is voor het onderscheiden van regionale interferentie van lokale sensorfouten.
• Geen Dedicated Sensors: Het toont aan dat breedgebied interferentie kan worden gedetecteerd met bestaande AIS-infrastructuur, zonder extra hardware.

4. Resultaten

Het raamwerk werd getest op een dataset van ongeveer 966 miljoen AIS-berichten uit de kustwateren van Zuid-Korea (november-december 2024).

• Valse Alarmen: Het raamwerk slaagde erin het aantal valse alarmen met 98,6% te reduceren ten opzichte van een naïeve clustering-methode.
• Gedetecteerde Evenementen:
  • 17 clusters van GNSS-spoofing (vervorming van trajecten).
  • 343 clusters van GNSS-jamming (signaaluitval).
• Filtering: De meeste initiële anomalieën bleken afkomstig te zijn van communicatiefouten (bijv. MMSI-duplicatie) of individuele sensorproblemen, die door het raamwerk correct werden verwijderd of geclassificeerd als niet-interferentie.
• Case Studies: Het paper illustreert succesvolle detectie van een spoofing-evenement waarbij 11 schepen gelijktijdig van koers werden afgebracht, en een jamming-evenement met twee gesynchroniseerde uitvalperiodes over een gebied van 21 km.

5. Betekenis en Conclusie

De studie demonstreert dat AIS-data, mits vooraf gefilterd op communicatie-integriteit, een krachtige bron kan zijn voor het monitoren van GNSS-beveiliging op zee. De belangrijkste implicaties zijn:

• Betrouwbaarheid: Door communicatiefouten systematisch te verwijderen, wordt de betrouwbaarheid van anomaliedetectie aanzienlijk verhoogd.
• Scalabiliteit: Het raamwerk is schaalbaar en kan worden toegepast op grote datasets zonder de noodzaak van dure, dedicated GNSS-monitoringstations.
• Operationalisering: Het biedt een gestructureerde aanpak voor maritieme autoriteiten om breedgebied dreigingen te identificeren, hoewel de validatie van echte spoofing/jamming-evenementen in de praktijk nog steeds een uitdaging blijft vanwege het gebrek aan "ground truth" data.

Kortom, dit onderzoek biedt een robuuste, interpreteerbare en datagedreven oplossing om de kwetsbaarheid van maritieme navigatie voor GNSS-aanvallen te mitigeren.