SIGINT-platform architectuurontwerp: van RF-verzameling naar bruikbare inlichtingen

Q: Hoe werkt een CNN-gebaseerde modulatieherkenningsengine in SIGINT?

Een convolutioneel neuraal netwerk (CNN) voor automatische modulatieclassificatie (AMC) neemt IQ-monstersegmenten van vaste lengte als invoer — typisch weergegeven als een 2×N-matrix van in-fase en kwadratuursmonsters — en produceert een kansverdeling over modulatieklassen (AM, FM, BPSK, QPSK, QAM16, QAM64, enz.). De inferentievertraging is minder dan een milliseconde per signaalsegment op een GPU, waardoor realtime classificatie van duizenden gelijktijdige signalen mogelijk is.

Q: Hoe past Kafka in een SIGINT-platformarchitectuur?

Apache Kafka dient als distributie-backbone voor IQ-monsterstromen en detectiegebeurtenissen over horizontaal geschaalde verwerkingsnodes. Verzamelingsnodes publiceren IQ-blokken naar frequentieband-gepartitioneerde Kafka-topics. Verwerkingsconsumenten abonneren op relevante partities, passen DSP toe en publiceren detectierecords stroomafwaarts. Dit ontkoppelt verzameling van verwerking en biedt een kortetermijn herspeelingsbuffer.

Door Corvus Intelligence Engineering Team · Over het team →

29 mei 2026 12 min lezen

Een SIGINT-platform vanaf nul ontwerpen betekent honderden engineeringbeslissingen nemen die zich opstapelen tot architectuurverplichtingen die jaren duren. De RF-verzamelingshardware die u kiest, beperkt uw verwerkingspipeline. Uw verwerkingspipeline bepaalt welke inlichtingenproducten u kunt genereren. Uw opslagarchitectuur bepaalt hoe snel analisten historische gegevens kunnen ophalen. Elke laag beïnvloedt elke andere laag, en het achteraf corrigeren van een slechte beslissing op de verzamelingsinterface is even kostbaar als het herbouwen van het platform.

Dit artikel doorloopt de volledige SIGINT-platformarchitectuur — verzamelingslaag, verwerkingspipeline, classificatie-engine, opslaglaag, analistenworkflow, schaalbaarheidspatronen en beveiligingsafhandeling — met voldoende implementatiedetail om echte ontwerpkeuzes te informeren. Het doel is een referentiearchitectuur die de belangrijke beslissingen dekt, geen functie-inventaris.

Overzicht platformcomponenten

Een productie-SIGINT-platform bestaat uit vijf afzonderlijke lagen, elk met aparte doorvoer- en latentievereisten:

Verzamelingslaag. SDR-hardware, antennearrays en front-end digitizers converteren elektromagnetische signalen naar IQ-monsterstromen. Deze laag produceert data met snelheden van honderden megabytes tot meerdere gigabytes per seconde per verzamelingsnode. Alles stroomafwaarts wordt beperkt door wat deze laag kan leveren.

Signaalverwerkingspipeline. IQ-monsters stromen door kanalisatie-, detectie-, demodulatie- en protocoldecoderingsstadia. De pipeline moet de volledige verzamelingsdoorvoer in realtime ondersteunen. Latentie van monsteropname tot detectie-uitvoer is typisch 10–500 ms afhankelijk van de verwerkingsdiepte.

Classificatie-engine. Gedetecteerde signalen worden geclassificeerd op modulatietype, protocol en zenderidentiteit. Classificatie draait op de tussenliggende pipeline-uitvoer, niet op ruwe IQ, waardoor het haalbaar is om zwaardere berekeningen toe te passen — neurale netwerken, databasezoekopdrachten, kruiscorrelatie — zonder de realtime pipeline te blokkeren.

Opslaglaag. Ruwe IQ-archieven, gestructureerde detectierecords, geolocatiedatabases en inlichtingenrapporten hebben elk verschillende retentie-, query- en toegangscontrole-vereisten en mogen geen enkel opslagsysteem delen.

Analistenworkflowlaag. Taakrij, werkstation-UI, bewakingslijstbeheer en rapportagesjablonen vertalen ruwe inlichtingenproducten naar bruikbare uitvoer voor consumenten. Dit is de laag waar de kwaliteit van het SIGINT-systeem het meest zichtbaar is voor eindgebruikers, maar de laag waarin engineeringteams die zich richten op DSP het minst vaak investeren.

RF-verzamelingslaag: SDR-hardwareselectie en frequentieplanning

De verzamelingshardware definieert de frequentiedekking, instantane bandbreedte, dynamisch bereik en fasecohrentiekarakteristieken van alles wat het platform kan waarnemen. Deze parameters zijn niet via software te upgraden.

Hardwareselectie. Ettus Research USRP-hardware (N310, N320, X410) is de meest voorkomende keuze voor ontwikkeling en mobiele implementaties — het heeft volwassen UHD-stuurprogramma's, uitgebreide community-ondersteuning en dekt van DC tot 6 GHz met tot 400 MHz instantane bandbreedte op de X410. Analog Devices AD9361-gebaseerde boards (ADALM-PLUTO, ADRV9361) bieden extreem compacte vormfactoren ten koste van verminderd dynamisch bereik en bandbreedte. Voor vaste-site strategische verzameling die maximaal dynamisch bereik en bandbreedte vereist, overtreffen speciaal gebouwde digitizers van Pentek, Mercury Systems of Curtiss-Wright de prestaties van commerciële SDR front-ends significant.

Frequentiedekking planning. Geen enkele ontvanger dekt het volledige RF-spectrum van belang. Defensie-SIGINT-taken bestrijken KG (3–30 MHz, langeafstands-COMINT en OTH-radar), VHF/UHF (30–3000 MHz, tactische communicatie en L-band radar) en SHF (3–30 GHz, microgolfverbindingen en C/X/Ku-band radars). Dekkingsplanning wijst specifieke hardware toe aan frequentiebanden op basis van verzamelingsprioriteit, sites en beschikbare hardware.

Antennearrays. Peiling vereist een coherente multi-element antennearray met bekende elementafstand. Een cirkelvormige array van 8–16 elementen maakt volledige azimutdekking mogelijk met AOA-nauwkeurigheid van 1–3 graden RMS onder heldere hemelomstandigheden. Elementafstand moet worden gekalibreerd op sub-golflengte nauwkeurigheid; kalibratiegegevens worden bij het opstarten geladen door de verwerkingssoftware en toegepast als fasecorrecties op elk kanaal.

Sleutelbeslissing: Fasecoherentie over ontvangerkanalen is verplicht voor peiling en TDOA. Bereik dit met een gedeelde referentieoscillator (10 MHz GPS-gedisciplineerde OCXO) verdeeld over alle front-ends, niet met onafhankelijke per-ontvanger klokken. Fasecoherente architecturen kunnen niet achteraf worden toegevoegd aan hardware die er niet voor is ontworpen.

Signaalverwerkingspipeline: van IQ-opname tot protocoldecoding

De verwerkingspipeline transformeert een continue stroom IQ-monsters in gestructureerde detectierecords. De stadia zijn goed gedefinieerd; de engineeringuitdaging is het handhaven van realtime doorvoer op alle stadia tegelijk.

Kanalisatie. Een polyfase filterbank (PFB) verdeelt de breedband IQ-stroom in smalband kanalen. Een 100 MHz brede invoer gesampled op 125 Msps produceert — na kanalisatie — ongeveer 1000 kanalen van elk 100 kHz. Elk kanaal wordt onafhankelijk bewaakt door volgende stadia. De PFB is rekenkundig intensief op deze schaal; GPU-implementatie met cuFFT vermindert de verwerkingstijd 10–20x vergeleken met CPU. GNU Radio biedt een productiekwaliteit polyfase kanalisatorblok; liquid-dsp biedt lager-niveau primitieven voor aangepaste implementaties.

Energiedetectie. Elk kanaal wordt bewaakt door een CFAR (constant false alarm rate) energiedetector die momentaan vermogen vergelijkt met een lokaal berekende ruisvloerschatting. Wanneer een kanaal de detectiedrempel overschrijdt, registreert de detector de starttijd, frequentie en bandbreedte van het signaal en initieert monsteropname. CFAR-aanpassingssnelheid is een sleutelafstemmingsparameter — te snel en de detector past zich aan een aanhoudend signaal aan en stopt met detecteren; te langzaam en reageert traag op veranderende ruisvloeren.

Demodulatie. Zodra een signaal is geëxtraheerd, wordt de demodulator geselecteerd op basis van Automatische Modulatieclassificatie (AMC) uitvoer. AMC draait eerst een lichtgewicht feature-extractor — cyclostationaire kenmerken, instantane amplitude/frequentie/fasestatistieken — en routeert naar een kandidaat-demodulator. GNU Radio's demodulatorblokken dekken de meeste gangbare golfvormen; protocol-specifieke decoders (P25, DMR, TETRA, ADS-B, Mode S) zijn beschikbaar als open-source out-of-tree modules.

Protocoldecoding. Boven de demodulator extraheren protocoldecodes gestructureerde informatie uit de bitstroom. Voor goed gedocumenteerde protocollen (ADS-B, Mode S, DMR, APRS) bestaan volwassen open-source decoders. Niet-gedecodes signalen zijn nog steeds waardevol — verkeersanalyse op onderscheppatronen levert significante inlichtingen op zonder toegang tot inhoud.

Signaalclassificatie-engine: CNN modulatieherkenning en zenderidentificatie

Classificatie draait op de uitvoer van de detectie- en demodulatiestadie, semantische betekenis toevoegend aan ruwe signaalparameters. Er zijn drie afzonderlijke classificatieproblemen in een SIGINT-platform.

Modulatieclassificatie. CNN-gebaseerde AMC neemt een IQ-segment van vaste lengte (typisch 128–1024 monsters) en produceert een kansverdeling over modulatieklassen. De architectuur die het breedst wordt gebruikt in defensie-SIGINT-onderzoek is een 1D ResNet of een lichtgewicht convolutionele architectuur getraind op de RadioML-dataset. Inferentievertraging is 0,5–2 ms per segment op een GPU, waardoor realtime classificatie van alle gedetecteerde signalen mogelijk is.

Protocol fingerprinting. Naast modulatietype identificeert het platform specifieke golfvormen op basis van hun bit-niveau structuur. Een database van bekende protocol-handtekeningen — synchronisatiewoorden, headerformaten, kenmerkende bytereeksen — wordt vergeleken met gedecodeerde bitstromen. Fingerprinting identificeert dat een signaal niet alleen "4FSK" is maar specifiek "P25 Phase 1 CQPSK met een specifiek talk group ID."

Zenderidentificatie. RF-vingerafdrukken extraheert hardware-specifieke onvolkomenheden uit het signaal: fasegruis-handtekening, IQ-onbalansverhouding, draaggolffrequentie-offset en driftsnelheid in de tijd. Deze kenmerken zijn stabiel over onderscheppingen van dezelfde fysieke zender en verschillen tussen zenders van hetzelfde model. Dit is bijzonder waardevol voor het volgen van mobiele zenders die frequenties of roepletters wisselen tussen onderscheppingen.

Opslagarchitectuur: IQ-archief, metadata-index en peilingdatabase

SIGINT-opslag beslaat drie lagen met fundamenteel verschillende vereisten die niet in één systeem kunnen worden samengevat zonder prestatie- en beveiligingsstraffen.

Rauw IQ-archief. Ruwe IQ-data moet worden opgeslagen in een formaat dat efficiënt tijdbereikherstel ondersteunt en leesbaar is door standaard signaalverwerkingstools. SigMF (Signal Metadata Format) is de opkomende standaard — het koppelt binaire IQ-bestanden aan JSON-metadata en ondersteunt annotaties voor gemarkeerde segmenten. Apache Parquet kolomformaat met Apache Arrow in-memory representatie maakt gevectoriseerde batchverwerking mogelijk. Retentie is typisch kort — 6 tot 72 uur rollende buffer — vanwege het extreme datavolume.

Metadata-index. Detectierecords, demodulatie-uitvoer, classificatieresultaten en analistennotities vormen de gestructureerde inlichtingenindex. PostgreSQL met PostGIS biedt de combinatie van relationele querycapaciteiten en geospatiale indexering die vereist is voor SIGINT-analyse: "vind alle detecties van dit zendertype binnen 50 km van dit gridvak in de afgelopen 48 uur" is een standaard analistquery.

Peilingdatabase. AOA-peilmetingen en TDOA-tijdverschilrecords worden apart van detectiemetadata opgeslagen omdat ze worden verwerkt door een dedicated geolocatie-engine. Een peilingrecord verbindt een peil- of tijdverschilmeting met de site die het genereerde, het detectierecord waarnaar het verwijst en de tijdstempel met microseconde-precisie. TimescaleDB of ClickHouse voldoet aan de sub-milliseconde schrijflatentievereiste.

Analistenworkflow: taken, bewakingslijsten en rapportage

De analistenworkflowlaag is waar SIGINT-inlichtingenproducten worden gemaakt. Of deze goed of slecht is ontworpen, bepaalt of het platform wordt gebruikt of omzeild.

Taakrij. Verzamelingstaken specificeren waarnaar het systeem moet zoeken: continu te bewaken frequentiebanden, specifieke frequenties of zendertypen om te prioriteren, geografische verzamelingsgebieden en geplande versus persistente verzamelingsvensters. Machineleesbare taakformaten (gebaseerd op NATO STANAG 4559 of interne XML-schema's) maken programmatische taakgeneratie vanuit stroomafwaartse inlichtingenvereisten mogelijk.

Werkstationontwerp. Een SIGINT-analistenwerkstation moet drie views tegelijkertijd weergeven: spectraal (waterval en persistentieweergave met frequentie-tijd energie), geografisch (kaart met verzamelingssites, gedetecteerde zenderlocaties en trackgeschiedenissen) en temporeel (tijdlijn van zenderactiviteit, onderschepprij met prioriteitsscore). Electron-gebaseerde desktop-applicaties bieden native OS-integratie terwijl dezelfde React-gebaseerde frontend-codebase in een browser kan draaien.

Bewakingslijstbeheer. Bewakingslijsten definiëren prioritaire zenders, netwerken of frequenties waarvan detectie onmiddellijke waarschuwingen triggert. Bewakingslijstmatching draait als stroomverwerker tegen de detectie-uitvoer, niet als batchquery, om waarschuwingslatentie te minimaliseren. Analisten hebben een self-service interface nodig om bewakingslijstentries te maken, wijzigen en deactiveren zonder betrokkenheid van engineers.

Rapportagesjablonen. SIGINT-inlichtingenproducten volgen gestandaardiseerde rapportformaten: ELINT-rapporten registreren zenderparameters en modusanalyse; COMINT-rapporten registreren onderschepinhoud, verkeersanalyse en communicatienetwerkmappings; geolocatierapporten registreren fixes met foutellipsen. Sjablonen vullen velden voor in vanuit de gestructureerde detectiedatabase, zodat analisten analytische oordelen kunnen toevoegen.

Schaalbaarheidspatronen: Kafka-streaming, horizontale verzamelingsnodes, GPU-clusters

Een SIGINT-platform met één site kan als monolithische applicatie worden gerealiseerd. Een multi-site, hoge-bandbreedte verzamelingsnetwerk vereist een doelbewuste schaalbaarheidsarchitectuur.

Kafka voor IQ-streaming. Apache Kafka dient als distributie-backbone voor IQ-monsterblokken en detectiegebeurtenissen over een gedistribueerd verwerkingscluster. Verzamelingsnodes publiceren IQ-blokken naar frequentieband-gepartitioneerde Kafka-topics; verwerkingsconsumenten abonneren op de relevante partities en produceren detectierecords naar stroomafwaartse topics. Deze ontkoppeling maakt onafhankelijke horizontale schaling van verzameling en verwerking mogelijk en biedt een kortetermijn herspeelingsbuffer voor herstel na verwerkingsnodefouten.

Horizontale verzamelingsnodes. Verzamelingsnodes zijn stateless ten opzichte van verwerking — ze publiceren IQ en ontvangen taakopdrachtupdates. Dit maakt horizontale schaling eenvoudig: het toevoegen van een nieuwe verzamelingsnode met een nieuwe SDR front-end vereist alleen het registreren van de node in het taakverdelingssysteem en het starten van de verzamelingssoftware met de juiste configuratie. Container-orchestratie (Kubernetes) beheert de levenscyclus van de verzamelingssoftware.

GPU-verwerkingsclusters. FFT-gebaseerde spectrumanalyse, polyfase kanalisatie en neurale netwerk inferentie voor AMC zijn alle GPU-versnelbaar. Een GPU-node met cuFFT-gebaseerde kanalisatie kan 40–100 Gsps doorvoer verwerken — meer dan welke individuele verzameling front-end kan leveren. De praktische beperking op GPU-clustergebruik bij tactische implementaties is vermogen en koeling: een krachtige GPU-server verbruikt 2–5 kW.

Beveiliging en classificatieafhandeling

Beveiliging in een SIGINT-platform is geen aan het einde toegevoegde functie — het is een architectuurbeperking die bepaalt hoe data stroomt tussen elk component.

Dataclassificatielabels. Elk dataobject wordt bij aanmaak getagd met een classificatieniveau en verwerkingscaveats. Classificatielabels zijn onveranderlijk — ze kunnen worden verhoogd maar nooit verlaagd, behalve via een goedgekeurd saneringsproces. De opslaglaag dwingt classificatiebewuste retentie af: data van hogere classificatie heeft kortere standaard-retentievensters.

Need-to-know toegangscontrole. RBAC dwingt af welke analisten toegang hebben tot welke verzamelingsprogramma's, geografische gebieden en signaaltypen. Een typisch toestemmingsmodel heeft drie assen: vrijgaveniveau (van ONGERUBRICEERD tot TS//SCI), programmacompartiment en rol (analist, verzamelingsmanager, systeembeheerder).

Auditsporen. Elke gegevenstoegang, analytische actie en configuratiewijziging wordt geschreven naar een onveranderlijk auditlog. Auditrecords bevatten: actoridentiteit, actietype, objectidentificator, classificatielabel, tijdstempel en bron-IP. Auditlogs worden geschreven naar een aparte append-only opslag, beschermd tegen wijziging zelfs door systeembeheerders.

Air-gap overwegingen. Strategische SIGINT-systemen die op de hoogste classificatieniveaus opereren gebruiken fysiek air-gapped netwerksegmenten. Het verplaatsen van gesaneerde inlichtingenproducten naar lager-classificatie consumenten vereist een gevalideerde cross-domain oplossing (CDS) — hardware-afgedwongen eenrichtings data-diodes of bidirectionele CDS-appliances van goedgekeurde leveranciers (Forcepoint, Owl Cyber Defense, Everfox).

Bespreek uw project

We ontwerpen en bouwen SIGINT-platformarchitectuur — van verzaelingsnodesoftware tot gedistribueerde verwerkingspipelines en analistenworkflowtools.

SIGINT-ontwikkeling → Briefing boeken

Deze analyse is opgesteld door Corvus Intelligence-engineers die missiekritische software bouwen voor defensie- en overheidsorganisaties. Lees meer over ons team →

Veelgestelde vragen

Wat zijn de belangrijkste architectuurlagen van een SIGINT-platform?

Een SIGINT-platformarchitectuur bestaat uit vijf lagen: de RF-verzamelingslaag (SDR-hardware, antennearrays, front-end digitizers), de signaalverwerkingspipeline (kanalisatie, detectie, demodulatie, protocoldecoding), de classificatie-engine (modulatieherkenning, protocol fingerprinting, zenderidentificatie), de opslaglaag (ruwe IQ-archief, metadata-index, peilingdatabase) en de analistenworkflowlaag. Elke laag heeft afzonderlijke doorvoer-, latentie- en beveiligingsvereisten.

Welke SDR-hardwareplatforms worden gebruikt in defensie-SIGINT-systemen?

Defensie-SIGINT-systemen gebruiken het vaakst Ettus Research USRP-hardware (N-serie, X-serie) voor laboratorium- en mobiele implementaties, Analog Devices ADALM-PLUTO en AD9361-boards voor compacte vormfactoren, en speciaal gebouwde breedband digitizers van Pentek en Mercury Systems voor geharde implementaties. De SoapySDR-abstractielaag biedt een leveranciersneutrale API.

Hoe werkt een CNN-gebaseerde modulatieherkenningsengine in SIGINT?

Een CNN voor AMC neemt IQ-monstersegmenten van vaste lengte als invoer — typisch als een 2×N-matrix — en produceert een kansverdeling over modulatieklassen (AM, FM, BPSK, QPSK, QAM16, QAM64, enz.). Inferentievertraging is 0,5–2 ms per segment op een GPU, waardoor realtime classificatie van alle gedetecteerde signalen mogelijk is.

Welke opslagformaten worden gebruikt voor ruwe IQ-data in SIGINT-platforms?

Ruwe IQ-data wordt het vaakst opgeslagen in SigMF (Signal Metadata Format), dat binaire IQ-bestanden combineert met JSON-metadata. Apache Parquet met Apache Arrow wordt steeds meer gebruikt voor grootschalige analyse. Retentievensters zijn typisch kort (uren tot dagen) vanwege de extreme datavolumes; selectieve archivering behoudt signalen van belang voor onbepaalde tijd.

Hoe past Kafka in een SIGINT-platformarchitectuur?

Apache Kafka dient als backbone voor distributie van IQ-monsterstromen en detectiegebeurtenissen over horizontaal geschaalde verwerkingsnodes. Verzamelingsnodes publiceren IQ-blokken naar frequentieband-gepartitioneerde Kafka-topics. Dit ontkoppelt verzameling van verwerking, maakt onafhankelijke schaling mogelijk en biedt een kortetermijn herspeelingsbuffer.

Wat is zenderidentificatie en hoe wordt het bereikt in SIGINT-systemen?

Zenderidentificatie (EMID) correleert waargenomen signaalkenmerken met een database van bekende zenders. Parametrisch matchen vergelijkt modulatietype, frequentie en bandbreedte met een zenderparameterdatabase (EPD); RF-vingerafdrukken extraheert hardware-specifieke onvolkomenheden — fasegruis, IQ-onbalans, draaggolffrequentie drift — als unieke zendervingerafdruk.

Hoe worden dataclassificatie en need-to-know toegangscontrole geïmplementeerd in een SIGINT-platform?

Elk dataobject wordt bij aanmaak getagd met een classificatielabel. Toegangscontrole wordt afgedwongen op de datalaag: query's worden automatisch gefilterd om alleen objecten terug te geven op of onder het vrijgaveniveau van de sessie. RBAC beperkt verder welke analisten toegang hebben tot welke verzamelingsprogramma's of geografische gebieden. Alle gegevenstoegang wordt geschreven naar een onveranderlijk auditlog.

Wat is de SIGINT-taakverdeling workflow en hoe wordt deze beheerd?

SIGINT-taakverdeling definieert waarnaar het verzamelingssysteem moet zoeken: te bewaken frequentiebanden, signaaltypen van belang, geografische prioriteitsgebieden en bewakingslijstentries die waarschuwingen triggeren. Taakverzoeken worden geprioriteerd door een verzamelingsmanager en als machineleesbare vereisten naar verzamelingsnodes gestuurd. Het platform bewaakt dekking en rapporteert hiaten.

Hoe verbeteren GPU-verwerkingsclusters de SIGINT-signaalverwerkingsdoorvoer?

GPU-clusters versnellen de meest computerintensieve SIGINT-verwerkingsstadia: FFT-gebaseerde spectrumanalyse, polyfase kanalisatie, neurale netwerk inferentie voor modulatieclassificatie en TDOA kruiscorrelatie voor geolocatie. Een moderne GPU kan tientallen gigasamples per seconde verwerken — een orde van grootte sneller dan een CPU-alleen implementatie. CUDA- en OpenCL-bibliotheken bieden productiekwaliteit FFT- en matrixbewerkingen.

Wat zijn de belangrijkste ontwerpverschillen tussen een tactisch en strategisch SIGINT-platform?

Tactische SIGINT-platforms prioriteren lage latentie, mobiliteit en opereren in geweigerde omgevingen: ze draaien op geharde hardware, tolereren intermitterende connectiviteit en leveren tijdkritische inlichtingen direct aan nabijgelegen consumenten. Strategische platforms prioriteren breedte, diepte en retentie. Architecturaal neigen tactische systemen monolithisch of edge-native te zijn, terwijl strategische systemen gedistribueerd, Kafka-gebaseerd en cloud-capabel zijn.