Hybridné IDS v mesh-sieťach: Konvergencia štatistických metód a hlbokého učenia

Potreba detekcie prienikov v sieťach UAV

Rojové a kooperujúce bezpilotné systémy (UAV) vytvárajú dynamické ad-hoc siete s premenlivou topológiou, heterogénnymi rádiami a obmedzenými zdrojmi. Kybernetické riziká – od spoofingu GNSS a injekcie príkazov cez útoky na routing až po RF jamming – ohrozujú bezpečnosť letu aj integritu misie. Systémy Intrusion Detection (IDS) pre UAV musia pri nízkej latencii a obmedzenej energii identifikovať anomálie v dátovej prevádzke, telemetrii a správaní autonómnych funkcií. Tento článok systematizuje štatistické prístupy a techniky strojového učenia (ML) pre UAV IDS, pokrýva návrh príznakov, architektúry nasadenia, metriky hodnotenia a odolnosť voči adaptívnym protivníkom.

Modely hrozieb a vektory útokov v UAV sieťach

• Útoky na komunikáciu: RF jamming, selective jamming, deauth (Wi-Fi), man-in-the-middle, replay, spoofing Remote ID, falšovanie MAVLink rámcov, degradácia QoS.
• Sieťové a smerovacie útoky: blackhole/greyhole, wormhole, Sybil, routing loop, manipulácia metrík ETX/RSSI.
• Autonómne správanie a senzorika: GNSS spoofing/meaconing, kompasové rušenie, anomálie IMU, otrava plánovača (trajectory poisoning), nesúlad príkazov a odoziev aktuátorov.
• Dodávateľský reťazec a SW: backdoor vo FW, malvér v GCS, kompromitovaný update.

Architektonické vzory IDS pre UAV

• On-board (edge) IDS: beží priamo na autopilote/mission počítači; poskytuje rýchlu detekciu flight-critical anomálií s obmedzenými modelmi a pamäťou.
• Kooperatívny (mesh) IDS: uzly vymieňajú agregované štatistiky alebo alarmy; umožňuje prierezové korelácie (napr. simultánny pokles RSSI na viacerých dronoch).
• Ground/Cloud-assisted IDS: ťažšie modely (GNN/Transformer) bežia na GCS/edge serveri; UAV posiela features/sketches, nie surové pakety.
• Hybridné: rýchly lokálny guard + vzdialený advisor; lokálne prahy a jednoduché modely, centrálne jemné hodnotenie a forenzika.

Dátové zdroje a vrstvy pozorovania

• Sieťová vrstva: metadáta rámcov (RSSI, SNR, PER, airtime), medzipríchodové časy, veľkosti paketov, porty/protokoly, štatistiky retransmisií, LQI, chybovosť FEC.
• Transport/aplikačná vrstva: sekvencie MAVLink/RTPS/UDPin/UDPout, chybové kódy, signované vs. nesignované príkazy, profil priepustnosti.
• Telemetria a stav: GNSS fix, rýchlosti, akcelerácie, prúdy motorov, napätie batérie, teploty, módy letu, prechod do failsafe.
• RF a spektrum: spektrálne masky, obsadenosť kanálov, identifikátory vysielačov, časovo-frekvenčné waterfall segmenty.

Návrh príznakov (feature engineering) pre UAV IDS

• Tokové štatistiky: priemer/variance/ewma medzipríchodových časov, entropia veľkostí paketov, burstiness, Hurstov exponent.
• Protokolové konzistencie: pomer príkazov k telemetrii, sekvenčné delty (Δseq), nesúlad heartbeat rytmu, invalidné kombinácie flagov.
• Fyzikálne korelácie: očakávané väzby (tah→zrychlenie, naklonenie→bočná akcelerácia); reziduá voči modelu letu alebo digitálnemu dvojčaťu.
• Priestorovo-časové agregácie: porovnanie metriky linky medzi susedmi v mriežke; identifikácia lokálnych anomálií vs. plošných javov.
• Spektrálno-časové spektrá: krátkodobá FFT/CTFT energetická mapa, spektrálna entropia, nelokálne maxima – indikátory jammera.

Štatistické IDS: ľahké a vysvetliteľné

• Prahové a adaptačné prahy: pevné prahy pre kritické veličiny (napr. podpisové chyby, CRC-fail rate), EWMA/CUSUM pre drift detekciu.
• Modely bez dohľadu: Gaussovské zmesi (GMM) s Mahalanobis vzdialenosťou, hustotové metódy (KDE), LOF (Local Outlier Factor) pre lokálne odľahlosti.
• Časové modely: ARIMA/Holt-Winters pre predikciu priepustnosti a medzipríchodových časov; alarm pri veľkom reziduu.
• Skoré varovanie: detektory zmeny rozdelenia (Page–Hinkley, BOCPD) na zachytenie náhlych režimových skokov.

Strojové učenie a hlboké učenie

• One-class a izolácia: One-Class SVM (RBF) pre kompaktné normálne triedy, Isolation Forest pre odľahlosti pri nízkom tréningovom datasete.
• Autoenkódery: MLP/Conv/LSTM autoenkóder rekonštruuje normálne sekvencie; vysoká rekonštrukčná chyba → anomália. Vhodné pre časové okná telemetrie alebo paketové vektory.
• Rekurentné siete: LSTM/GRU na sekvenčné protokolové vzory (MAVLink heartbeaty, príkazy, ack). Teacher forcing pri tréningu, prahovanie cez predikčné reziduá.
• Transformery: ľahké časové transformery (Informer/Linformer) pre dlhšie kontexty s orezanou pozornosťou; využitie pre predikciu multivariantných telemetrických tokov.
• Grafové modely: GNN (GCN/GAT) pre mesh topológie – vrcholy sú UAV/brane, hrany sú linky; detekcia anomálnych subgrafov (Sybil, wormhole) cez odchýlku od naučených graph embeddings.

Tréningové režimy: dohľadované, nedohľadované a semi-supervised

• Nedohľadované: preferované v praxi pre nedostatok labelov; učenie normálneho správania a detekcia odchýlok.
• Semi-supervised: malé množstvo označených incidentov + veľa neoznačených dát; metódy pseudo-labelingu a consistency regularization.
• Dohľadované: keď existujú synteticky generované útoky (SIL/HIL replikácie); algoritmy ako XGBoost/LightGBM s interpretáciou cez SHAP.

Generovanie a augmentácia dát

• Syntetické scenáre: simulácia routing útokov, spoofingu a jammingu v HIL/SIL; riadená miera šumu a strát.
• Augmentácia: časové posuny, škálovanie, mixup viacerých tokov; dopĺňanie vzácnych útokov.
• Doménové znalosti: fyzikálne konzistentné augmentácie – zmena vetra/ponoru batérie namiesto náhodných perturbácií.

Výpočtové a energetické obmedzenia: optimalizácia modelov

• Kompresia modelov: prerezávanie, kvantizácia (8-bit, int8), distilácia študent-učiteľ; cieľom je inference < 10 ms a RAM < 1–4 MB.
• Feature-lite pipeline: používanie streaming štatistík a sketchov (Count-Min, Reservoir sampling) namiesto ukladania celých tokov.
• Prispôsobenie frekvencii: adaptívna periodicita detekcie podľa fázy letu; agresívna on-board detekcia počas vzletu/pristátia.

Federované a kolaboratívne učenie v rojoch

• Federated Averaging: UAV trénujú lokálne na vlastných dátach; odosielajú váhy/gradienty; GCS agreguje.
• Robustná agregácia: metódy odolné voči byzantským uzlom (Krum, Trimmed Mean) znižujú dopad kompromitovaných UAV.
• Súkromie a bezpečnosť: pridaný differential privacy šum, šifrovaná komunikácia, validácia aktualizácií (anómie gradientov).

Odolnosť voči protivníkovi a adversariálne ML

• Adversariálne príklady: malý zásah do vybraných príznakov môže skryť útok; použite adversarial training a randomizáciu vstupov.
• Model stealing/poisoning: chráňte API modelov, verifikujte integritu váh, používajte detektory anomálnych gradientov.
• Ensemble a multi-view: kombinácia štatistického detektora a ML znižuje pravdepodobnosť obídenia jediného prahu.

Detekcia jammingu a RF anomálií

• Spektrálne detektory: prahy energie, spectral kurtosis, pomer signál/rušenie v časovo-frekvenčnej mape.
• Časové podpisy: narastajúci PER s korelovaným poklesom RSSI, opakované retry, výpadky beacon rámcov.
• ML prístup: klasifikácia segmentov spektrogramu pomocou ľahkých CNN; on-board inference s malým oknom (napr. 128×32).

IDS pre MAVLink a riadiace príkazy

• Kontrola sekvencií: LSTM/Markov pre overenie legitímnych prechodov módov letu; detekcia nelegálnych sekvencií (napr. DISARM počas letu).
• Podpisovanie a reputácia: validácia podpisu správ, reputačné skóre pre zdroje príkazov, rate-limit na kritické príkazy.
• Časové okná: korelácia príkaz→odozva; vysoké reziduá signalizujú command injection alebo degradáciu aktuátorov.

Vyhodnotenie: metriky a experimentálny dizajn

• Metriky: ROC AUC, PR AUC pri nerovnováhe tried, F1@latency, TTD (Time-to-Detect), FAR (False Alarm Rate) na hodinu letu.
• Krosvalidácia: leave-one-mission-out alebo leave-one-airframe-out pre generalizáciu na novú platformu.
• On-board záťaž: profil CPU/RAM/energia, vplyv na latenciu riadenia; testujte aj v rušených kanáloch a pri degradácii senzorov.

Signalizácia a reakcia: od detekcie k bezpečnému stavu

• Stupne závažnosti: info, warning, critical; mapovanie na akcie autopilota (obmedzenie príkazov, RTH, loiter, pristátie).
• Fail-operational princípy: lokálne rozhodnutia bez potreby uplinku; bezpečné defaulty pri strate GCS.
• Forenzná stopa: ring buffer s vysokou granularitou 5–10 s pred/po alarme; podpisovanie a hashovanie pre integritu.

Integračné rozhrania a nasadenie

• Modulárny agent: C/C++ demon s RT príspevkami; plugin rozhranie pre detektory, jednotné API pre príznaky.
• Telemetrické kanály: out-of-band kanál pre alarmy (napr. Sub-GHz linka), aby detekcia nebola blokovaná útokom na primárny kanál.
• Konfigurácia a OTA: bezpečné aktualizácie modelov (rollback, verzovanie, podpísané balíky), A/B deploy s tieňovým hodnotením (shadow mode).

Právne a normatívne aspekty

IDS môže spracúvať prevádzkové a potenciálne osobné dáta (telemetria, video metadáta, Remote ID). Nutné je minimalizovať rozsah a dobu uchovania, používať privacy-by-design, auditné záznamy a transparentnú politiku. V bezpečnostne citlivých aplikáciách je dôležitá vysvetliteľnosť modelov (záznam rozhodovacích príčin, SHAP/feature contribution) pre interné vyšetrovania a regulačné audity.

Praktický postup zavádzania UAV IDS

1. Zmapujte hrozby a definujte Use-Case profily (racing, BVLOS mapping, cargo, SAR).
2. Vyberte vrstvy pozorovania a lacné príznaky; navrhnite data schema a ukladanie štatistík.
3. Nasadte štatistický baseline (EWMA/CUSUM, prahy) pre fast-path a ML detektor pre slow-path.
4. Vybudujte syntetický tréningový set v SIL/HIL; doplňte o reálne logy.
5. Otestujte latenciu, FAR a TTD v laboratóriu aj v teréne; dolaďte prahy a akčné mapy.
6. Zaveďte forenzný ring buffer, podpisovanie a bezpečné OTA aktualizácie.
7. Iterujte s federovaným učením a robustnou agregáciou; monitorujte drift a re-trénujte.

Príklad ľahkej IDS pipeline na palube

• Zber: 50 Hz telemetria (IMU), 5 Hz sieťové štatistiky, 1 Hz spektrálne skice.
• Predspracovanie: normalizácia/clip, exponential smoothing, sliding window 2–5 s.
• Detektory: CUSUM pre jitter uplinku, LOF pre telemetrické reziduá, malý autoenkóder pre MAVLink sekvencie.
• Fúzia: logické OR pre kritické, Bayes/stacking pre menej kritické; hysteréza na potlačenie flappingu.
• Reakcia: pri critical → prepnúť na záložný link, obmedziť rýchlosti, aktivovať RTH; uložiť forenznú stopu.

Limitácie a otvorené výzvy

• Labely a reprezentatívnosť: reálne útoky sú vzácne; hrozí dataset shift.
• Adversariálna adaptácia: protivník reaguje na zverejnené detektory; potreba moving target defense.
• Energetika a MIPS: kompromis medzi citlivosťou a spotrebou; nutná co-design optimalizácia.
• Interoperabilita: rôzne protokoly a platformy; potreba štandardizovaných feature schemas.

Úspešný UAV IDS kombinuje ľahké štatistické detektory s cielenými ML modelmi, využíva kooperatívne informácie naprieč rojom, rešpektuje obmedzenia palubných zdrojov a odoláva adaptívnym protivníkom. Kľúčom je kvalitný feature engineering, robustné hodnotenie, bezpečné nasadenie a priebežná adaptácia cez federované učenie. Takto navrhnutý systém významne znižuje riziko kompromitácie misie a zvyšuje bezpečnosť prevádzky UAV.