Як працює механізм розпізнавання модуляції на основі CNN у SIGINT?

Згорткова нейронна мережа (CNN) для автоматичної класифікації модуляції (AMC) приймає на вхід сегменти вибірок IQ фіксованої довжини — зазвичай у вигляді матриці 2×N із синфазними та квадратурними вибірками — і видає розподіл ймовірностей за класами модуляції (AM, FM, BPSK, QPSK, QAM16, QAM64 тощо). Мережа навчається розпізнавати геометрію сузір'я, циклостаціонарні ознаки та спектральні форми з маркованих навчальних даних. Затримка виводу становить менше мілісекунди на сегмент сигналу на GPU.

SIGINT & RF Analytics

Проєктування архітектури платформи SIGINT: від збору RF-сигналів до аналітики

Автор: Інженерна команда Corvus Intelligence · Про команду →

29 травня 2026 12 хв читання

Проєктування платформи SIGINT з нуля означає прийняття сотень інженерних рішень, які накопичуються в архітектурні зобов'язання на роки вперед. Апаратне забезпечення збору RF, яке ви обираєте, обмежує ваш конвеєр обробки. Ваш конвеєр обробки визначає, які розвідувальні продукти ви можете генерувати. Ваша архітектура зберігання визначає, наскільки швидко аналітики можуть отримувати історичні дані. Кожен рівень впливає на всі інші рівні, і виправлення невдалого рішення на інтерфейсі збору є таким же дорогим, як перебудова всієї платформи.

Ця стаття охоплює повну архітектуру платформи SIGINT — рівень збору, конвеєр обробки, механізм класифікації, рівень зберігання, робочий процес аналітика, патерни масштабованості та обробку безпеки — з достатньою деталізацією реалізації для прийняття реальних дизайнерських рішень. Мета — еталонна архітектура, яка охоплює важливі рішення, а не перелік функцій.

Огляд компонентів платформи

Виробнича платформа SIGINT включає п'ять окремих рівнів, кожен з яких має окремі вимоги до пропускної здатності та затримки:

Рівень збору. Апаратне забезпечення SDR, антенні решітки та оцифровувачі переднього кінця перетворюють електромагнітні сигнали на потоки вибірок IQ. Цей рівень виробляє дані зі швидкістю від сотень мегабайт до кількох гігабайт на секунду на вузол збору. Все нижче за потоком обмежено тим, що цей рівень може надати.

Конвеєр обробки сигналів. Вибірки IQ проходять через етапи каналізації, виявлення, демодуляції та декодування протоколу. Конвеєр повинен забезпечувати повну пропускну здатність збору в реальному часі. Затримка від захоплення вибірки до виводу виявлення зазвичай становить 10–500 мс залежно від глибини обробки.

Механізм класифікації. Виявлені сигнали класифікуються за типом модуляції, протоколом та ідентичністю джерела випромінювання. Класифікація запускається на проміжному виводі конвеєра, а не на необроблених IQ, що робить можливим застосування більш важких обчислень — нейронних мереж, запитів до бази даних, крос-кореляції — без блокування конвеєра реального часу.

Рівень зберігання. Архіви необроблених IQ, структуровані записи виявлень, бази даних геолокації та розвідувальні звіти мають різні вимоги до збереження, запитів та контролю доступу і не повинні використовувати єдину систему зберігання.

Рівень робочого процесу аналітика. Черга завдань, UI робочої станції, управління списком спостереження та шаблони звітування перетворюють необроблені розвідувальні продукти на використовувані результати для споживачів. Цей рівень є місцем, де якість системи SIGINT найбільш помітна кінцевим користувачам, але водночас він є тим рівнем, в який інженерні команди, зосереджені на DSP, найрідше вкладають кошти.

Рівень збору RF: вибір апаратного забезпечення SDR та планування частот

Апаратне забезпечення збору визначає частотне покриття, миттєву смугу пропускання, динамічний діапазон та характеристики фазової когерентності всього, що платформа може спостерігати. Ці параметри не можна оновити за допомогою програмного забезпечення.

Вибір апаратного забезпечення. Апаратне забезпечення Ettus Research USRP (N310, N320, X410) є найпоширенішим вибором для розробки та мобільних розгортань — воно має зрілі драйвери UHD, широку підтримку спільноти та покриває від постійного струму до 6 ГГц з миттєвою смугою пропускання до 400 МГц на X410. Плати Analog Devices на основі AD9361 (ADALM-PLUTO, ADRV9361) пропонують надзвичайно компактні форм-фактори за рахунок зниженого динамічного діапазону та смуги пропускання. Для стаціонарного стратегічного збору, що вимагає максимального динамічного діапазону та смуги пропускання, спеціально виготовлені оцифровувачі від Pentek, Mercury Systems або Curtiss-Wright значно перевершують комерційні передні кінці SDR.

Планування частотного покриття. Жоден приймач не охоплює весь RF-спектр інтересу. Завдання оборонного SIGINT охоплюють КХ (3–30 МГц, далекодіючий COMINT та загоризонтний радар), ОВЧ/УВЧ (30–3000 МГц, тактичні засоби зв'язку та радар L-діапазону) та СВЧ (3–30 ГГц, мікрохвильові лінії зв'язку та радар C/X/Ku-діапазону). Планування покриття розподіляє конкретне апаратне забезпечення по частотних смугах на основі пріоритету збору, місць розташування та наявного обладнання.

Антенні решітки. Пеленгація вимагає когерентної багатоелементної антенної решітки з відомою міжелементною відстанню. Кругова решітка з 8–16 елементів забезпечує покриття повного азимута з точністю AOA 1–3 градуси RMS у відкритому просторі. Міжелементна відстань повинна бути відкалібрована з точністю до субдовжини хвилі; дані калібрування завантажуються програмним забезпеченням обробки при запуску та застосовуються як фазові корекції до кожного каналу.

Ключове рішення: Фазова когерентність між каналами приймача є обов'язковою для пеленгації та TDOA. Досягніть цього за допомогою спільного опорного генератора (10 МГц OCXO, дисциплінований GPS), розподіленого до всіх передніх кінців, а не з незалежними тактовими генераторами для кожного приймача. Фазово-когерентні архітектури не можна додати в апаратне забезпечення, яке не було спроєктовано для цього.

Конвеєр обробки сигналів: від захоплення IQ до декодування протоколу

Конвеєр обробки перетворює безперервний потік вибірок IQ на структуровані записи виявлень. Етапи добре визначені; інженерний виклик полягає у підтримці пропускної здатності реального часу на всіх з них одночасно.

Каналізація. Поліфазний банк фільтрів (PFB) ділить широкосмуговий потік IQ на вузькосмугові канали. Вхідний сигнал шириною 100 МГц, дискретизований зі швидкістю 125 Мвибірок/с, після каналізації дає приблизно 1000 каналів по 100 кГц кожен. Кожен канал незалежно моніториться подальшими етапами. PFB є обчислювально інтенсивним у такому масштабі; реалізація GPU за допомогою cuFFT зменшує час обробки в 10–20 разів порівняно з CPU. GNU Radio надає блок каналізатора поліфазного фільтра виробничого класу; liquid-dsp надає примітиви нижнього рівня для власних реалізацій.

Виявлення енергії. Кожен канал моніториться детектором енергії CFAR (постійна частота хибних тривог), який порівнює миттєву потужність з локально обчисленою оцінкою рівня шуму. Коли канал перетинає поріг виявлення, детектор записує час початку, частоту та смугу пропускання сигналу та ініціює вилучення вибірок. Швидкість адаптації CFAR є ключовим параметром налаштування — занадто швидка, і детектор адаптується до постійного сигналу та перестає його виявляти; занадто повільна, і він повільно реагує на зміни рівнів шуму.

Демодуляція. Після вилучення сигналу демодулятор вибирається на основі виводу автоматичної класифікації модуляції (AMC). AMC спочатку запускає легкий екстрактор ознак — циклостаціонарні ознаки, миттєва статистика амплітуди/частоти/фази — і направляє до кандидата-демодулятора. Для вузькосмугового FM (найпоширеніша форма сигналу тактичного зв'язку) достатньо простого дискримінатора. Для цифрових форм сигналу перед прийняттям символьних рішень потрібне відновлення синхронізації та синхронізація несучої. Блоки демодулятора GNU Radio охоплюють більшість поширених форм сигналу.

Декодування протоколу. Вище демодулятора декодери протоколів витягують структуровану інформацію з бітового потоку. Для добре задокументованих протоколів (ADS-B, Mode S, DMR, APRS) існують зрілі декодери з відкритим кодом. Для незадокументованих або власних протоколів ідентифікація протоколу визначає сімейство протоколу за статистикою на рівні бітів та відомими шаблонами синхронізації, навіть без повного декодування. Недекодовані сигнали все ще цінні — аналіз трафіку на шаблонах перехоплення дає значну розвідку без доступу до вмісту.

Механізм класифікації сигналів: розпізнавання модуляцій CNN та ідентифікація джерел

Класифікація запускається на виводі етапів виявлення та демодуляції, додаючи семантичне значення до необроблених параметрів сигналу. У платформі SIGINT є три окремі проблеми класифікації.

Класифікація модуляцій. AMC на основі CNN приймає сегмент IQ фіксованої довжини (зазвичай 128–1024 вибірки) і видає розподіл ймовірностей за класами модуляції. Архітектура, що найширше використовується в дослідженнях оборонного SIGINT, — це 1D ResNet або легка згорткова архітектура, навчена на наборі даних RadioML. Затримка виводу становить 0,5–2 мс на сегмент на GPU, що дозволяє класифікацію всіх виявлених сигналів у реальному часі.

Ідентифікація протоколу. Окрім типу модуляції, платформа ідентифікує конкретні форми сигналу за їх структурою на рівні бітів. База даних відомих сигнатур протоколів — синхрослова, формати заголовків, характерні послідовності байтів — зіставляється з декодованими бітовими потоками. Ідентифікація визначає, що сигнал є не просто «4FSK», а конкретно «P25 Phase 1 CQPSK з певним ідентифікатором групи», що дозволяє швидко зіставити з відомими мережами зв'язку.

Ідентифікація джерела випромінювання. RF-відбитки пальців витягують специфічні апаратні недосконалості з сигналу: сигнатуру фазового шуму, коефіцієнт IQ-дисбалансу, зміщення несучої частоти та швидкість його дрейфу з часом. Ці ознаки є стабільними для перехоплень одного фізичного передавача та відрізняються між передавачами однієї моделі. Навчений класифікатор або пошук найближчого сусіда дозволяє повторно ідентифікувати конкретний радіопристрій у перехопленнях, розділених у часі та місці.

Архітектура зберігання: архів IQ, індекс метаданих та база пеленгів

Зберігання SIGINT охоплює три рівні з принципово різними вимогами, які не можна об'єднати в єдину систему без штрафів щодо продуктивності та безпеки.

Архів необроблених IQ. Необроблені дані IQ повинні зберігатися у форматі, що підтримує ефективне отримання за діапазоном часу та читається стандартними інструментами обробки сигналів. SigMF (Signal Metadata Format) є новим стандартом — він поєднує двійкові файли IQ з метаданими JSON та підтримує анотації для позначених сегментів. Для масштабної аналітики стовпчастий формат Apache Parquet з представленням Apache Arrow у пам'яті дозволяє векторизовану пакетну обробку. Збереження зазвичай коротке — 6–72 годин змінного буфера — через надвеликий обсяг даних.

Індекс метаданих. Записи виявлень, виводи демодуляції, результати класифікації та анотації аналітиків формують структурований розвідувальний індекс. PostgreSQL з PostGIS надає поєднання реляційних можливостей запитів та геопросторової індексації, необхідних для аналітики SIGINT: «знайти всі виявлення цього типу джерела в радіусі 50 км від цього квадрата за останні 48 годин» — це стандартний запит аналітика.

База пеленгів. Виміри пеленгів AOA та записи різниці часу TDOA зберігаються окремо від метаданих виявлень, оскільки вони обробляються спеціалізованим механізмом геолокації. Запис пеленгу пов'язує вимірювання пеленгу або різниці часу з місцем, що його згенерувало, посиланням на запис виявлення та позначкою часу з точністю до мікросекунд. База пеленгів потребує затримки запису менше мілісекунди для встигання за збором з високою швидкістю; TimescaleDB або ClickHouse відповідають цій вимозі.

Робочий процес аналітика: завдання, списки спостереження та звітування

Рівень робочого процесу аналітика є місцем, де створюються розвідувальні продукти SIGINT. Якість його інженерного виконання визначає, чи буде платформа використовуватися чи обходитися.

Черга завдань. Завдання збору визначає, що система повинна шукати: частотні смуги для постійного моніторингу, конкретні частоти або типи джерел для пріоритизації, географічні зони збору та заплановані versus постійні вікна збору. Завдання управляється через інтерфейс управління збором, який відображає вимоги на доступні вузли збору та відстежує покриття. Машиночитані формати завдань (на основі NATO STANAG 4559 або внутрішніх XML-схем) дозволяють програматично генерувати завдання з вимог розвідки.

Дизайн робочої станції. Робоча станція аналітика SIGINT повинна одночасно відображати три вигляди: спектральний (водоспад і дисплей збереження, що показує енергію частота-час), географічний (карта з місцями збору, виявленими місцями джерел та історіями треків) і часовий (часова шкала активності джерел, черга перехоплень з пріоритетним балом). Ці вигляди повинні спільно використовувати стан. Настільні програми на основі Electron забезпечують нативну інтеграцію з ОС, дозволяючи при цьому тій самій кодовій базі фронтенду на React працювати в браузері.

Управління списком спостереження. Списки спостереження визначають пріоритетні джерела випромінювання, мережі або частоти, виявлення яких викликає негайні сповіщення. Зіставлення зі списком спостереження виконується як потоковий процесор проти виводу виявлення, а не як пакетний запит, для мінімізації затримки сповіщення. Аналітикам потрібен самостійний інтерфейс для створення, зміни та деактивації записів списку спостереження без залучення інженерів.

Шаблони звітування. Розвідувальні продукти SIGINT дотримуються стандартизованих форматів звітів: звіти ELINT фіксують параметри джерел та аналіз режимів; звіти COMINT фіксують вміст перехоплень, аналіз трафіку та відображення мереж зв'язку; звіти геолокації фіксують прив'язки з еліпсами похибок. Шаблони попередньо заповнюють поля з бази даних структурованих виявлень, залишаючи аналітикам додавати аналітичні судження.

Патерни масштабованості: стрімінг Kafka, горизонтальні вузли збору, кластери GPU

Платформа SIGINT з одним місцем може бути реалізована як монолітний додаток. Мережа збору з кількох місць і високою пропускною здатністю вимагає цілеспрямованої архітектури масштабованості.

Kafka для стрімінгу IQ. Apache Kafka слугує розподільчою магістраллю для блоків вибірок IQ та подій виявлення в розподіленому кластері обробки. Вузли збору публікують блоки IQ у теми Kafka, розбиті за частотними смугами; споживачі обробки підписуються на відповідні розділи та виводять записи виявлень у нижні теми. Це розв'язання дозволяє незалежне горизонтальне масштабування збору та обробки та забезпечує короткостроковий буфер відтворення для відновлення після збоїв вузлів обробки.

Горизонтальні вузли збору. Вузли збору не зберігають стан відносно обробки — вони публікують IQ та отримують оновлення завдань. Це робить горизонтальне масштабування простим: додавання нового вузла збору з новим переднім кінцем SDR вимагає лише реєстрації вузла в системі завдань та запуску програмного забезпечення збору з відповідною конфігурацією. Оркестрація контейнерів (Kubernetes) управляє життєвим циклом програмного забезпечення збору.

Кластери GPU для обробки. Аналіз спектру на основі FFT, поліфазна каналізація та виведення нейронних мереж для AMC — все це може бути прискорено за допомогою GPU. Вузол GPU, що виконує каналізацію на основі cuFFT, може обробляти пропускну здатність 40–100 Гвибірок/с — більше, ніж будь-який окремий передній кінець збору може надати. Практичне обмеження використання кластерів GPU в тактичних розгортаннях — це живлення та охолодження: високопродуктивний сервер GPU споживає 2–5 кВт.

Безпека та обробка класифікації

Безпека в платформі SIGINT — це не функція, яку додають в кінці — це архітектурне обмеження, яке визначає, як дані течуть між кожним компонентом.

Мітки класифікації даних. Кожен об'єкт даних позначається рівнем класифікації та застереженнями щодо обробки в момент створення. Мітки класифікації незмінні — їх можна підвищити, але ніколи не знизити, окрім як через затверджений процес санітаризації. Рівень зберігання застосовує збереження з урахуванням класифікації: дані вищої класифікації мають коротші вікна збереження за замовчуванням.

Контроль доступу за принципом «необхідно знати». RBAC застосовує обмеження щодо того, які аналітики можуть отримувати доступ до яких програм збору, географічних зон та типів сигналів. Типова модель дозволів має три виміри: рівень допуску (від НЕРОЗСЕКРЕЧЕНО до TS//SCI), відділення програми та роль (аналітик, менеджер збору, системний адміністратор).

Журнали аудиту. Кожен доступ до даних, аналітична дія та зміна конфігурації записуються у незмінний журнал аудиту. Записи аудиту включають: ідентичність актора, тип дії, ідентифікатор об'єкта, мітку класифікації, позначку часу та вихідну IP-адресу. Журнали аудиту записуються в окреме сховище лише для додавання. Цілісність журналу перевіряється шляхом ланцюжка хешування або процесом підписування за допомогою апаратного модуля безпеки.

Міркування щодо повітряного зазору. Стратегічні системи SIGINT, що працюють на найвищих рівнях класифікації, використовують фізично ізольовані мережеві сегменти. Переміщення санітаризованих розвідувальних продуктів до споживачів нижчої класифікації вимагає перевіреного рішення для перехресних доменів (CDS) — апаратно-примусових однонаправлених діодів даних або двонаправлених пристроїв CDS від схвалених постачальників (Forcepoint, Owl Cyber Defense, Everfox).

Обговорити ваш проєкт

Ми проєктуємо та будуємо архітектуру платформ SIGINT — від програмного забезпечення вузлів збору до розподілених конвеєрів обробки та інструментів робочого процесу аналітика.

Розробка SIGINT → Замовити брифінг

Цей аналіз підготовлено інженерами Corvus Intelligence, які розробляють критично важливе програмне забезпечення для оборонних та урядових організацій. Дізнайтеся про нашу команду →

Часті запитання

Які основні архітектурні рівні платформи SIGINT?

Архітектура платформи SIGINT складається з п'яти рівнів: рівень збору RF (апаратне забезпечення SDR, антенні решітки, оцифровувачі переднього кінця), конвеєр обробки сигналів (каналізація, виявлення, демодуляція, декодування протоколу), механізм класифікації (розпізнавання модуляцій, ідентифікація протоколу, ідентифікація джерела), рівень зберігання (архів необроблених IQ, індекс метаданих, база пеленгів) та рівень робочого процесу аналітика (черга завдань, UI робочої станції, управління списком спостереження, звітування). Кожен рівень має окремі вимоги до пропускної здатності, затримки та безпеки.

Яке апаратне забезпечення SDR використовується в оборонних системах SIGINT?

Оборонні системи SIGINT найчастіше використовують апаратне забезпечення Ettus Research USRP (серії N і X) для лабораторних і мобільних розгортань, плати Analog Devices ADALM-PLUTO та AD9361 для компактних форм-факторів, а також спеціально розроблені широкосмугові оцифровувачі від Pentek і Mercury Systems для захищених розгортань. Ключі RTL-SDR використовуються для моніторингу загроз низького рівня та навчання. Абстракційний шар SoapySDR надає нейтральний до виробника API.

Як працює механізм розпізнавання модуляцій на основі CNN у SIGINT?

Згорткова нейронна мережа (CNN) для автоматичної класифікації модуляцій (AMC) приймає сегменти вибірок IQ фіксованої довжини як вхід — зазвичай у вигляді матриці 2×N із синфазних і квадратурних вибірок — і виводить розподіл ймовірностей за класами модуляцій (AM, FM, BPSK, QPSK, QAM16, QAM64 тощо). Затримка виводу становить менше мілісекунди на сегмент сигналу на GPU, що дозволяє класифікацію тисяч одночасних сигналів у реальному часі.

Які формати зберігання використовуються для необроблених даних IQ у платформах SIGINT?

Необроблені дані IQ найчастіше зберігаються у форматі SigMF (Signal Metadata Format), який поєднує двійкові файли вибірок IQ з метаданими JSON. Для масштабної архівації та аналітики все ширше використовується стовпчастий формат Apache Parquet з представленням Apache Arrow у пам'яті. Вікна збереження зазвичай короткі (від кількох годин до кількох діб) через надвеликі обсяги даних; вибіркова архівація зберігає сигнали інтересу безстроково.

Яку роль Kafka відіграє в архітектурі платформи SIGINT?

Apache Kafka слугує магістраллю для розподілу потоків вибірок IQ та подій виявлення між горизонтально масштабованими вузлами обробки. Вузли збору публікують необроблені блоки IQ у теми Kafka, розбиті за частотними смугами. Споживачі обробки підписуються на відповідні розділи, застосовують DSP та публікують записи виявлень нижче за потоком. Це розв'язує збір від обробки та забезпечує короткостроковий буфер відтворення.

Що таке ідентифікація джерела випромінювання і як вона здійснюється в системах SIGINT?

Ідентифікація джерела випромінювання (EMID) зіставляє спостережувані характеристики сигналу з базою відомих джерел для присвоєння ідентифікатора або класифікації типу. Використовуються дві техніки: параметричне зіставлення порівнює модуляцію, частоту, смугу та параметри імпульсів з базою параметрів джерел (EPD); RF-відбитки пальців витягують апаратні недосконалості — сигнатуру фазового шуму, IQ-дисбаланс, дрейф зміщення несучої — що діють як унікальний відбиток передавача.

Як реалізується класифікація даних та контроль доступу за принципом «необхідно знати» у платформі SIGINT?

Кожен об'єкт даних — необроблений блок IQ, запис виявлення, звіт про джерело — позначається міткою класифікації при створенні. Контроль доступу застосовується на рівні даних: запити автоматично фільтруються для повернення лише об'єктів на рівні або нижче рівня допуску сеансу. RBAC додатково обмежує, які аналітики можуть отримувати доступ до конкретних програм збору або географічних зон завдань. Весь доступ до даних записується у незмінний журнал аудиту.

Що таке робочий процес завдань SIGINT і як він управляється?

Завдання SIGINT визначає, що система збору повинна шукати: частотні смуги для моніторингу, типи сигналів інтересу, географічні пріоритетні зони та записи списку спостереження, що викликають сповіщення. Запити на завдання надходять від споживачів розвідки, усуваються конфлікти та пріоритезуються менеджером збору, потім надсилаються до вузлів збору як машиночитані вимоги. Платформа відстежує покриття та звітує про прогалини.

Як кластери GPU покращують пропускну здатність обробки сигналів SIGINT?

Кластери GPU прискорюють найбільш обчислювально інтенсивні етапи обробки SIGINT: аналіз спектру на основі FFT, поліфазну каналізацію, виведення нейронних мереж для класифікації модуляцій та крос-кореляцію TDOA для геолокації. Сучасний GPU може обробляти десятки гігавибірок на секунду — на порядок швидше за реалізацію лише на CPU. Бібліотеки CUDA та OpenCL надають FFT та матричні операції виробничого класу.

Які ключові відмінності в дизайні між тактичною та стратегічною платформою SIGINT?

Тактичні платформи SIGINT надають пріоритет низькій затримці, мобільності та роботі в заблокованих середовищах: вони працюють на захищеному апаратному забезпеченні, витримують переривчасте з'єднання та передають чутливу до часу розвідку безпосередньо найближчим споживачам. Стратегічні платформи надають пріоритет широті, глибині та збереженню: вони отримують дані від багатьох широко розкиданих місць збору та підтримують спільні робочі процеси. Архітектурно тактичні системи, як правило, монолітні або нативно граничні, тоді як стратегічні системи розподілені, на основі Kafka та хмарно-здатні.