Wide-Area GNSS Spoofing and Jamming Detection Using AIS-Derived Spatiotemporal Integrity Monitoring

Each language version is independently generated for its own context, not a direct translation.

Imagine que o mar é uma cidade gigante e movimentada, cheia de navios que precisam se comunicar para não bater uns nos outros. Para isso, eles usam um sistema chamado AIS (Sistema de Identificação Automática), que funciona como um "apito" ou um "grito" constante: cada navio grita para todos os outros: "Eu sou o Navio X, estou aqui, naquela coordenada, indo a tal velocidade!".

O problema é que esse sistema depende do GPS para saber onde está. E o GPS pode ser enganado (falsificado) ou bloqueado (jamming) por pessoas mal-intencionadas ou por interferências.

Aqui está o resumo do que os pesquisadores descobriram e criaram, explicado de forma simples:

O Grande Problema: O "Grito" Falso

Os pesquisadores perceberam que, ao tentar detectar se alguém está jogando com o GPS dos navios, eles estavam sendo enganados pelo próprio sistema de comunicação.

Imagine que você está em uma festa e alguém grita o nome de outra pessoa, mas com a voz de um terceiro. Ou imagine que alguém repete uma frase que você disse há 10 minutos, mas diz que foi agora.
No mundo dos navios, isso acontece por erros técnicos:

MMSI Duplicado: Dois navios diferentes usam o mesmo "nome" (identificação) por engano. O sistema acha que é um único navio que teletransportou de um lado para o outro em segundos.
Repetição Atrasada: Um navio envia sua posição, mas o sistema de rádio repete essa mensagem com um atraso. Parece que o navio voltou para trás no tempo ou ficou parado no mesmo lugar enquanto o relógio avançava.

Se você não limpar esses "ruídos" primeiro, seu sistema de segurança vai achar que todos os navios estão sendo enganados por hackers, quando na verdade é apenas um erro de rádio.

A Solução: O "Detetive de 3 Etapas"

Os autores criaram um método inteligente, como um detetive que investiga um crime em três etapas, para separar o que é erro de comunicação, o que é problema do navio e o que é ataque real.

Etapa 1: A Triagem de "Gritos Falsos" (Diagnóstico de Comunicação)

Antes de olhar para onde os navios estão, o sistema verifica se o "grito" faz sentido.

Analogia: É como um porteiro de boate que verifica a identidade. Se duas pessoas usam o mesmo crachá e estão em lugares diferentes ao mesmo tempo, o porteiro sabe que é um erro de crachá, não um ataque.
O sistema remove esses erros de identificação e de repetição de mensagens. Isso evita que o alarme toque sem necessidade.

Etapa 2: A Chegada do "Detetive de Física" (Filtro de Movimento)

Agora que os erros de rádio foram limpos, o sistema olha para o movimento dos navios.

Analogia: Imagine um detetive que sabe que um carro não pode fazer uma curva de 90 graus em 1 segundo sem virar uma panqueca. Se o GPS diz que o navio fez isso, o detetive marca como "suspeito".
Eles usam um filtro matemático (chamado IMM) que prevê onde o navio deveria estar baseado na física. Se o navio aparece em um lugar impossível, o sistema marca o ponto como uma "pista de anomalia".
Importante: Eles não descartam essas pistas ainda! Eles apenas as guardam. Pode ser que o GPS do navio esteja com defeito (erro do navio) ou que alguém esteja atacando (ataque real).

Etapa 3: O "Grupo de Amigos" (Agrupamento Espacial e Temporal)

Aqui está a mágica. O sistema olha para todas as "pistas suspeitas" e pergunta: "Quantos navios estão fazendo isso ao mesmo tempo e no mesmo lugar?"

Cenário A (Erro do Navio): Apenas um navio está fazendo movimentos estranhos. O sistema diz: "Ok, esse navio tem um GPS com defeito ou está com mau tempo. Não é um ataque generalizado."
Cenário B (Ataque Real - Spoofing): De repente, 10 navios próximos mudam de rumo juntos, como se tivessem sido empurrados por uma mão invisível. O sistema diz: "ALERTA! Alguém está falsificando o GPS de toda essa área!"
Cenário C (Ataque Real - Jamming): De repente, 10 navios próximos param de gritar suas posições ao mesmo tempo. O sistema diz: "ALERTA! Alguém está bloqueando o sinal de GPS de toda essa área!"

O Resultado: Menos Falsos Alarmes, Mais Segurança

Os pesquisadores testaram isso com quase 1 bilhão de mensagens de navios ao redor da Coreia.

O sistema antigo (que não limpava os erros de rádio) teria dado milhares de falsos alarmes.
Com o novo método, eles conseguiram filtrar 98,6% dos falsos alarmes.
Eles encontraram 17 casos reais de falsificação (onde os navios foram "teletransportados" para lugares errados) e 343 casos de bloqueio (onde os navios ficaram "mudos").

Conclusão Simples

Pense nisso como um filtro de café de alta tecnologia.

Primeiro, você tira as folhas grandes e os grãos de areia (erros de comunicação).
Depois, você deixa a água passar e vê o que sobra (movimentos estranhos).
Finalmente, você olha para a xícara: se apenas uma gota caiu fora, é um acidente. Se a xícara inteira virou, é um desastre.

Essa pesquisa mostra que, usando apenas os dados que os navios já enviam (sem precisar de sensores caros extras), podemos criar um sistema de segurança que sabe a diferença entre um "navio com GPS quebrado" e um "ataque hacker em larga escala", protegendo as rotas marítimas de forma muito mais inteligente.

Each language version is independently generated for its own context, not a direct translation.

Aqui está um resumo técnico detalhado do artigo em português, estruturado conforme solicitado:

Título: Detecção de Spoofing e Jamming de GNSS em Área Ampliada Usando Monitoramento de Integridade Espaciotemporal Derivado do AIS

1. O Problema

Os sistemas de navegação marítima dependem criticamente da integridade das informações de Posicionamento, Navegação e Cronometragem (PNT), fornecidas principalmente pelo Sistema Global de Navegação por Satélite (GNSS). O Sistema de Identificação Automática (AIS), que transmite a posição das embarcações baseada no GNSS, é vulnerável a interferências intencionais (spoofing e jamming).

No entanto, a detecção de interferências baseada apenas em dados AIS enfrenta dois desafios fundamentais:

Artefatos de Comunicação: O próprio canal de comunicação do AIS gera defeitos que imitam interferências, como duplicação de identificadores (MMSI), erros de carimbo de tempo, retransmissões de dados obsoletos e atrasos de rebroadcast. Se não filtrados, esses erros geram falsos alarmes massivos.
Falhas de Sensores Individuais: Problemas no receptor GNSS de uma única embarcação (devido a multipath, falhas de hardware ou ruído) podem criar anomalias cinemáticas que se assemelham a interferências externas, mas que não afetam outras embarcações.
Dificuldade de Detecção de Jamming: Diferente do spoofing (que distorce a trajetória), o jamming frequentemente causa a ausência total de relatórios de posição, tornando métodos baseados apenas em análise de trajetória ineficazes.

A maioria das abordagens existentes falha em distinguir sistematicamente entre esses artefatos de comunicação, falhas de sensores individuais e interferências GNSS reais em larga escala.

2. Metodologia

Os autores propõem um framework unificado de três estágios baseado em dados AIS para detectar e classificar interferências em área ampliada. O pipeline segue uma estrutura hierárquica para separar as fontes de anomalia:

Estágio 1: Diagnóstico de Integridade de Comunicação (Filtragem Prévia)
- Objetivo: Remover artefatos que originam na cadeia de comunicação, não no sensor de navegação.
- Técnicas:
  - Duplicação de MMSI: Identifica quando múltiplas embarcações usam o mesmo ID em intervalos de tempo sobrepostos e distâncias fisicamente impossíveis para uma única embarcação.
  - Retransmissão com Atraso de Timestamp: Detecta tuplas de navegação idênticas (posição, velocidade, rumo) que reaparecem com carimbos de tempo inconsistentes (dados obsoletos sendo retransmitidos).
- Ação: Estes dados são descartados antes da análise cinemática para evitar falsos positivos.
Estágio 2: Geração de Indicadores de Anomalia (Anomaly Cues)
- Objetivo: Extrair sinais de anomalia sem classificação prematura.
- Técnicas:
  - Consistência Cinemática (IMM): Utiliza um Filtro de Modelo Múltiplo Interagente (IMM) combinando modelos de Velocidade Constante (CV) e Taxa de Curva e Velocidade Constantes (CTRV). Grandes resíduos entre a posição relatada e a prevista pelo filtro indicam violações físicas (acelerações irreais, saltos de posição).
  - Continuidade de Transmissão: Analisa os intervalos entre mensagens AIS. Intervalos que excedem um limite baseado na mediana do intervalo normal (ex: > 60s ou > 3x o intervalo mediano) são marcados como suspeitos de jamming (interrupção de sinal).
Estágio 3: Agrupamento Espaciotemporal e Categorização Final
- Objetivo: Diferenciar falhas de sensores individuais de interferências regionais.
- Técnica: Uso do algoritmo ST-DBSCAN (Density-Based Spatial Clustering of Applications with Noise com restrições temporais).
- Lógica de Classificação:
  - Clusters de Vessel Única: Classificados como artefatos de integridade de sensor (persistentes ou transitórios).
  - Clusters Multi-embarcação: Se múltiplas embarcações (mínimo 5 MMSIs distintos, com >60% mostrando anomalia) exibirem comportamento coerente no espaço e tempo:
    - Distorção coordenada de trajetória $\rightarrow$ Spoofing.
    - Interrupção simultânea de relatórios $\rightarrow$ Jamming.

3. Contribuições Chave

Separação Hierárquica de Fontes: É a primeira abordagem que integra explicitamente diagnósticos de integridade de comunicação (camada de dados) com modelagem cinemática e agrupamento espaciotemporal, resolvendo o problema de falsos alarmes causados por defeitos de transmissão.
Detecção Unificada de Spoofing e Jamming: O framework detecta tanto distorções de trajetória (spoofing) quanto interrupções de sinal (jamming) em um único pipeline, algo que métodos puramente cinemáticos não conseguem fazer para jamming.
Validação em Grande Escala: O sistema foi testado em um conjunto de dados massivo (aprox. 966 milhões de mensagens AIS) das águas costeiras da Coreia, demonstrando robustez em tráfego denso.
Redução Drástica de Falsos Alarmes: A metodologia demonstra que a maioria das anomalias aparentes são artefatos de comunicação ou sensores individuais, e não interferências reais.

4. Resultados

O framework foi aplicado aos dados de novembro e dezembro de 2024:

Volume de Dados: Processamento de ~966 milhões de mensagens, resultando em ~820 milhões válidos após pré-processamento.
Redução de Falsos Alarmes: O sistema reduziu os falsos alarmes em 98,6% em comparação com métodos de agrupamento ingênuos (que não filtram artefatos de comunicação).
Detecções Reais:
- Identificou 17 clusters de spoofing (distorção de trajetória coordenada).
- Identificou 343 clusters de jamming (interrupções de sinal sincronizadas).
Casos de Estudo:
- Spoofing: Um evento em 2 de dezembro onde 11 embarcações dentro de um raio de 18 km sofreram desvios de posição simultâneos por 20 segundos.
- Jamming: Um evento em 9 de novembro onde 11 embarcações sofreram perda de sinal sincronizada em dois pulsos de 10 minutos de intervalo.
- Filtros Efetivos: O sistema corretamente descartou duplicações de MMSI e retransmissões atrasadas que, se não filtradas, teriam sido classificadas erroneamente como interferências.

5. Significância

Este trabalho é significativo porque oferece uma solução escalável e interpretável para a monitorização de interferências GNSS no setor marítimo, sem a necessidade de infraestrutura de monitoramento dedicada (como estações de referência GNSS fixas).

Segurança Marítima: Permite a detecção precoce de ataques ciber-físicos em rotas comerciais estratégicas.
Eficiência Operacional: Ao reduzir drasticamente os falsos alarmes, torna viável a implementação de sistemas de alerta em tempo real para autoridades de tráfego marítimo.
Avanço Metodológico: Estabelece um novo padrão para análise de dados AIS, demonstrando que a integridade dos dados de comunicação deve ser tratada como um pré-requisito para qualquer análise de integridade de navegação.

O estudo conclui que, com a filtragem rigorosa de artefatos de comunicação e a análise de coerência multi-embarcação, os dados AIS podem servir como um sensor passivo eficaz para a detecção de interferências GNSS em larga escala.