Подпишитесь на DeepL Pro и переводите документы большего объема.

Подробнее на www.DeepL.com/pro.

Захват и управление беспилотными

летательными аппаратами с
помощью GPS-спуфинга

Эндрю Дж. Кернс

Факультет электротехники и вычислительной
техники Техасский университет в Остине
Остин, штат Техас, 78712
akerns@utexas.edu

Дэниел П. Шепард, Джахшан А. Бхатти и Тодд Е. Хамфрис

Факультет аэрокосмической
инженерии Техасский университет
в Остине Остин, штат Техас, США
78712
dshepard@utexas.edu, jahshan@utexas.edu, todd.humphreys@mail.utexas.edu

Аннотация

Проанализированы и продемонстрированы теория и практика захвата и управления

беспилотными летательными аппаратами (БПЛА) с помощью подмены сигналов
Глобальной системы позиционирования (GPS). Целью данной работы является
изучение уязвимости БПЛА к обманным сигналам GPS. В частности, в данной
работе (1) определяются необходимые условия для захвата БПЛА с помощью
подделки GPS-сигнала, и (2) исследуется диапазон возможного контроля над БПЛА
после захвата. БПЛА считается захваченным, когда подстрекатель получает
возможность в конечном итоге определить положение и скорость БПЛА. Во время
контроля после захвата спуфер манипулирует истинным состоянием БПЛА, что
потенциально может привести к тому, что БПЛА полетит далеко от своего плана
полета, не поднимая тревоги. Рассматриваются как открытые, так и скрытые
стратегии спуфинга, отличающиеся тем, что спуфер стремится избежать
обнаружения целевым GPS-приемником и оценщиком состояния целевой
навигационной системы, который, как предполагается, имеет доступ к данным
навигационных датчиков, не относящихся к GPS. Контуры слежения за GPS-
приемником анализируются и тестируются для оценки возможностей спуфера для
скрытного захвата мобильной цели. Совместная динамика БПЛА и спуфера
анализируется и моделируется для изучения практических сценариев управления
после захвата. Полевые испытания демонстрируют неспособность и элементарное
управление БПЛА, что приводит к неустранимым навигационным ошибкам,
вызывающим крушение БПЛА.

Ключевые слова: Безопасность беспилотных транспортных средств, GPS-спуфинг, Counter-UAV.

1 Введение
Для автономной или полуавтономной работы беспилотные летательные аппараты (БПЛА)
нуждаются в надежной навигации. Наиболее распространенным историческим подходом к
обеспечению надежной навигации БПЛА было построение оценщика состояния на основе ядра
датчика, состоящего из инерциального измерительного блока (IMU) и приемника глобальной
системы позиционирования (GPS) (Kendoul, 2012). Однако, учитывая хрупкость сигналов GPS и
других глобальных навигационных спутниковых систем (ГНСС) в условиях блокировки или
глушения сигнала, в настоящее время существует
большой интерес к разработке систем навигации и управления БПЛА, которые могут работать в
условиях отсутствия ГНСС (Kendoul, 2012, Bachrach et al., 2011, Weiss et al., 2011, Garratt and Chahl,
2008). Многообещающие недавние результаты показывают, что навигация с помощью зрения
является практической альтернативой GNSS для управления БПЛА в замкнутом цикле в условиях
отсутствия карты (Chowdhary et al., 2013). Тем не менее, в отличие от навигации с помощью ГНСС,
методы с помощью зрения неизбежно дрейфуют во время дальних исследований, если нет
априорной карты объектов, и они подходят только при благоприятных погодных условиях и
освещении. Следовательно, можно ожидать, что большинство навигационных систем БПЛА в
ближайшие годы будут полагаться на приемники ГНСС, а зрение и другие не-ГНСС-датчики будут
служить для заполнения пробелов в наличии сигнала ГНСС.

Уязвимость ГНСС выходит за рамки блокирования и глушения сигналов. Атаки спуфинга, при
которых поддельные сигналы ГНСС генерируются с целью манипулирования данными о положении,
скорости и времени целевого приемника, были продемонстрированы с помощью недорогого
оборудования против широкого спектра приемников GPS (Humphreys et al., 2008, Shepard and
Humphreys, 2011, Shepard et al., 2012a, Shepard et al., 2012b). В то время как форма волны военной
GPS по своей конструкции непредсказуема и поэтому устойчива к подделке (Spilker, 1996), формы
волны гражданской GPS и других гражданских ГНСС являются незашифрованными,
неаутентифицированными и открыто указанными в общедоступных документах (Global Positioning
System Directorate, 2012, European Union, 2010). Кроме того, хотя спецификации сигналов и не
полностью ограничивают их, сообщения навигационных данных, модулирующие эти гражданские
формы волн, в значительной степени предсказуемы. Сочетание известной структуры сигнала и
предсказуемости битов данных делает гражданские сигналы ГНСС легкой мишенью для
поддельных атак.

В настоящее время разрабатывается ряд перспективных методов защиты от спуфинг-атак на

гражданские ГНСС. Их можно разделить на (1) автономные методы обработки сигнала,
ориентированные на приемник, которые не требуют перемещения антенны или специализированного
антенного оборудования (Ledvina et al., 2010, Wesson et al., 2011, Dehghanian et al., 2012, Wesson et al.,
2013); (2) автономные методы, ориентированные на антенну, которые требуют перемещения антенны
или специализированного антенного оборудования (De Lorenzo et al., 2005, Montgomery et al., 2009,
Broumandan et al, 2012); (3) криптографические методы, требующие изменения спецификации
сигнала для наложения непредсказуемых, но поддающихся проверке модуляций на существующие
или будущие гражданские сигналы ГНСС (Wesson et al., 2012, Humphreys, 2013); и (4) методы,
использующие существующие зашифрованные военные сигналы для обеспечения подлинности
гражданских сигналов GPS для сетевых приемников GPS (Lo et al., 2009, Psiaki et al., 2011, Psiaki et
al., 2013, O'Hanlon et al., 2012). К сожалению, пройдут годы, прежде чем эти технологии созреют и
будут внедрены в широком масштабе. Пока же готовых средств защиты от спуфинга ГНСС не
существует.

В данной статье исследуется степень уязвимости беспилотных летательных аппаратов (БПЛА) к

обманным сигналам ГНСС путем (1) установления необходимых условий для захвата БПЛА с
помощью GPS спуфинга, (2) исследования диапазона возможного контроля над БПЛА со стороны
спуфера после захвата, и (3) демонстрации полевых испытаний захвата и элементарного контроля
над БПЛА с помощью GPS спуфинга. Эти работы являются новыми в открытой литературе и могут
быть новыми в секретной области.

В данной статье основное внимание уделяется подделке сигналов гражданской GPS, и далее
будут рассматриваться только сигналы гражданской GPS. Тем не менее, утверждения об
уязвимости сигналов GPS применимы в целом к текущим и планируемым гражданским сигналам
ГНСС, спецификации которых были обнародованы, включая модернизированные сигналы GPS
L2C и L5 и сигналы открытой службы Galileo.

Для захвата и управления после захвата рассматриваются две стратегии спуфинга: открытая
(спуфер не предпринимает попыток скрыть атаку) и скрытая (спуфер стремится избежать
обнаружения GPS-приемником цели и навигационной системой БПЛА в целом). Как и следовало
ожидать, требования к скрытому захвату гораздо более строгие, а полномочия скрытого
управления гораздо более ограничены, чем у открытых аналогов.
В следующем разделе приводится обзор компонентов, участвующих в атаке спуфинга, и
объясняется, как спуфер компенсирует задержки распространения и обработки сигнала. Затем
дается определение захвата навигационной системы с помощью спуфинга GPS и приводятся
необходимые условия для открытого и скрытого захвата. Далее следует подробный теоретический
анализ открытого и скрытого контроля после захвата, сопровождаемый наглядным
моделированием. В конце статьи приводятся результаты полевых испытаний, в ходе которых GPS-
спуфер захватывает
БПЛА с вертолетом и приводит к его падению.

2 Компоненты системы, геометрия и задержки

В отличие от так называемых атак спуфинга вблизи, рассмотренных в (Humphreys et al., 2008) и
(Shepard et al., 2012b), где спуфер находится в непосредственной близости от целевого приемника, в
данной работе рассматривается спуфинг на расстоянии, как показано на рис. 1. Через свою
приемную антенну, обозначенную RX, спуфер принимает аутентичные сигналы от всех видимых
спутников GPS. Векторы ∆rTX и ∆rt представляют собой, соответственно, трехмерные координаты
передающей антенны спуфера, обозначенной TX, и GPS-антенны самолета-цели, расположенных
относительно приемной антенны спуфера. Предполагается, что антенны спуфера и цели
расположены на соответствующих расстояниях rsi и rti от i-го спутника GPS.

со спутником
GPS
Моделируемое
rti местоположение

∆r
Целев Истинное
ая местоположе
rsi
антенна ние

∆rt
∆rt - ∆rTX

∆rTX
RX TX

ds
dRX dTX
Spoofer

Рисунок 1: Иллюстрация компонентов, геометрии и задержек, задействованных в атаке GPS-

спуфинга, направленной на самолет с GPS-навигацией.

Подстрекатель генерирует поддельный сигнал для каждого полученного подлинного сигнала. В

случае атаки с начальным выравниванием, ансамбль поддельных сигналов спуфера поступает на
целевую антенну таким образом, что каждый сигнал приблизительно выравнивается по фазе кода
распространения (в пределах нескольких метров) со своим подлинным аналогом. После захвата
контуров отслеживания несущей и кодовой фазы целевого приемника, подстрекатель регулирует
относительные кодовые фазы своих поддельных сигналов, чтобы побудить целевой приемник
сообщить имитированное (ложное) местоположение ∆r относительно его истинного
местоположения; кажущееся смещение времени целевого приемника относительно истинного
времени также может быть скорректировано общим смещением кодовых фаз поддельных сигналов.

Согласованная атака возможна только в том случае, если подстрекатель (1) измеряет все
соответствующие системные задержки с точностью до нескольких наносекунд и (2) компенсирует
эти задержки, генерируя слегка опережающую (предсказанную) версию получаемых им сигналов.
Для гражданских сигналов GPS надежное предсказание тривиально, поскольку коды
распространения не зашифрованы и открыто документированы, спутники следуют по регулярным
орбитам, а модулирующие навигационные данные следуют регулярным шаблонам. Военные
сигналы GPS, напротив, имеют надежное шифрование кода распространения; более того,
непредсказуемость кода распространения является основой их безопасности.

Для ith спутника GPS общая задержка системы, эквивалентная расстоянию, которая должна быть
компенсирована, задается следующим образом
cdi = rsi - rti + c(dRX + dTX + ds ) + ||∆rt - ∆r
||TX
где dRX и dTX - соответственно, задержки в кабелях приема и передачи, ds - задержка обработки
сигнала спуфером, а c - скорость света. Дальности rsi и rti легко вычисляются по эфемеридам
спутников вещания, если спуфер знает местоположение своей приемной антенны и относительные
координаты ∆rt цели. Задержки dRX и dTX легко рассчитываются с точностью до наносекунды для
кабелей известной длины и стандартного типа. Для обсуждаемого здесь спуфера (единственного,
способного осуществлять GPS спуфинг с полным обзором, о котором сообщалось в открытой
литературе), измерение ds несколько сложнее, поскольку возникает недетерминированная
задержка буферизации при включении. Чтобы преодолеть эту проблему, при включении
выполняется однократная калибровка, при которой эталонный сигнал спуфера подается обратно с
радиочастотного (РЧ) выхода спуфера на его РЧ-вход и впоследствии отслеживается GPS-
системой спуфера. Сравнивая кодовую фазу переданной и принятой версий опорного сигнала,
спуфер может измерить свою сквозную задержку ds , которая составляет приблизительно 5 мс, с
точностью до нескольких наносекунд.

Для создания выровненной поддельной версии сигналов i-го спутника спуфер прогнозирует для
каждого сигнала три величины на момент di секунд в будущем: значение символа модулированных
навигационных данных, доплеровское смещение частоты и смещение фазы кода. Прогнозы
основаны на прогнозируемом положении и скорости спутника и на измеренных тенденциях
внутренних часов спуфера. Отметим, что типичные скорости и ускорения самолетов-целей
достаточно малы, чтобы не было необходимости прогнозировать движение цели по di ; достаточно
текущей оценки ∆r и ее производной по времени, чтобы обеспечить метровое и деци-герцовое
точное выравнивание сигнала на антенне цели.

3 Захват навигационной системы

Считается, что навигационная система целевого самолета захвачена GPS-спуфером, если спуфер
может контролировать 6-мерную оценку положения и скорости (PV) системы верхнего уровня xˆ =
[rˆT , vˆT ]T . Контроль оценки смещения часов приемника системы δt неявно присутствует в захвате
навигационной системы, но здесь мы сосредоточимся только на контроле rˆ и vˆ. В данном
контексте "осуществлять контроль" означает, что подстрекатель может в конечном итоге
заставить xˆ соответствовать заданному подстрекателем значению x⋆ в пределах точности
стандартной службы позиционирования GPS (SPS), которая в настоящее время составляет
более 3 м по положению и 10 см/с по скорости, когда приемник имеет доступ к поправкам от
спутниковой системы дополнения, такой как Wide Area Augmentation System (WAAS) (Misra and
Enge, 2012).

Условие захвата можно рассматривать как аналог нелинейной управляемости оценщика PV в

стационарном состоянии (Hermann and Krener, 1977): из начальной оценки x ˆ (t 0 ) в начале
спуфинга
≥ существует t1 t0 такое,
≈ что x ˆ (t 1 ) x⋆ . Значение t1 ограничено динамикой оценщика PV,
который выполняет взвешенное объединение измерений PV, предоставленных GPS, и измерений от
навигационных датчиков без GPS. Захват навигационной системы подразумевает, что
подстрекатель получил контроль над достаточным количеством активных контуров отслеживания
кода и несущей целевого GPS-приемника, так что в рамках ограничений, накладываемых
интервалом обновления каждого контура и конечной пропускной способностью, подстрекатель
может диктовать решение PV приемника через корректировку имитируемых значений фазы кода и
фазы несущей.

Ограниченный вариант полного захвата, называемый захватом многообразия, имеет место, когда
подстрекатель может управлять xˆ только в пределах m < 6-мерной подмногообразия
пространства состояний PV. Например, навигационная система конкретного БПЛА может
игнорировать измерения положения и скорости GPS в вертикальном направлении, полагаясь
только на высотомер. Захват многообразия аналогичен управляемости подсистемы большей
неуправляемой системы.

Полный или коллективный захват требует, чтобы по крайней мере субманифест оценки состояния
целевого самолета xˆ был управляем с PV-выхода GPS-приемника. Это условие выполняется для
большинства беспилотных летательных аппаратов, оснащенных GPS-приемником, когда они
работают в активном режиме GPS, потому что навигационная система оценки состояния обычно
моделирует не-GPS навигационные датчики как подверженные возмущениям или дрейфам,
которые корректируются с помощью GPS-измерений. Такие модели подходят для инерциальных
датчиков (Flenniken IV et al., 2005), магнитометров (Wendel et al., 2006), барометрических
высотомеров (Kim and Sukkarieh, 2003) и электрооптических навигационных систем, основанных на
исследовательской одновременной локализации и отображении (SLAM) (Durrant-Whyte and Bailey,
2006, Nuetzi et al., 2011, Chowdhary et al., 2013). Только навигационные системы типа SLAM,
которые строго ограничивают разведку, или системы, которые выполняют сопоставление карты с
априорной картой высокого разрешения, как было показано, дают оценки положения и скорости с
точностью и долгосрочной стабильностью, аналогичной GPS-приемнику (Castle et al., 2011). Таким
образом, можно ожидать, что большинство систем БПЛА будут оставаться по крайней мере в
несколько раз более способными к захвату в течение нескольких лет.

3.1 Открытый захват

При открытом захвате спуфер не пытается скрыть свою попытку подчинить себе целевую систему.
Следовательно, спуферу не нужно выравнивать свои имитированные сигналы с их
подлинными аналогами на антенне целевого приемника в начале атаки; вместо этого он может
просто заглушить частотные диапазоны целевого GPS, заставляя целевой приемник потерять
блокировку и попытаться повторно принять все сигналы. После такой прелюдии глушения спуфер
успешно получит контроль над контурами слежения целевого GPS-приемника, если его
имитированные сигналы поступают с достаточной мощностью, чтобы (1) они комфортно
превышали порог обнаружения захвата целевого приемника, и (2) подлинные сигналы были
вынуждены опуститься ниже порога обнаружения благодаря действию автоматического
регулятора усиления радиочастотного фронта. Пусть η = P /Psa - преимущество в мощности
спуфера, или отношение мощности принимаемого спуфинг-сигнала Ps к мощности
аутентичного сигнала Pa , для конкретного аутентичного сигнала. Эксперименты с различными
типами приемников показывают, что η = 10 дБ удовлетворяет этим условиям.

Подстрекатель также не обязан строго выравнивать моделируемое состояние PV x⋆ с

истинным состоянием
≈ x или с оценкой состояния PV x ˆ x для явного перехвата. Шпион
s

может захотеть обеспечить

≈ плавный переход к контролю после захвата, установив x x, но
⋆

резкий переход может быть приемлемым или даже желательным для целей открытого
шпионажа.

3.2 Тайный захват

При скрытом захвате предполагается, что навигационная система самолета-цели оснащена

средствами обнаружения спуфинга, которые спуфер должен избежать срабатывания. Как
отмечалось во введении, в литературе сообщается о продолжающейся разработке нескольких
сложных методов обнаружения спуфинга. Однако все эти методы находятся на расстоянии многих
лет от широкого применения, а некоторые из них слишком дороги или тяжелы для практического
использования на малых БПЛА. Поэтому в данной работе скрытый захват будет определяться с
точки зрения избегания более простых методов обнаружения спуфинга, которые могут быть
реализованы в ближайшем будущем. Захват навигационной системы будет считаться скрытым,
если подстрекатель (1) удовлетворяет всем условиям для открытого захвата и (2) избегает
следующих методов обнаружения:
(a) мониторинг помех в GPS-приемнике, (b) мониторинг разблокировки частоты в GPS-приемнике и
(c) тестирование инноваций в оценщике состояния навигационной системы. Эти методы кратко
описаны ниже. Для скрытого захвата также предполагается избегать еще более простых стратегий
обнаружения спуфинга, таких как мониторинг задержки битов данных (Humphreys et al., 2008),
мониторинг отношения несущей к шуму (Warner and Johnston, 2003) и стандартный автономный
мониторинг целостности приемника (RAIM) (Brown, 1996), но они упоминаются лишь вскользь,
поскольку не представляют сложности для сложного спуфера (Shepard et al., 2012b, Psiaki et al.,
2013).

Мониторинг J/N GPS J/N монитор включает сигнал тревоги, когда мощность, полученная в
данной полосе частот, значительно превышает мощность в этой полосе в условиях покоя (Ward,
1994). Несколько коммерческих приемников, включая ublox Lea-6N, в настоящее время
предлагаются с функцией мониторинга J/N. Монитор J/N может служить в качестве детектора
спуфинга, если (1) мощность, получаемая от спуфера, превышает порог срабатывания, и (2)
приемник продолжает отслеживать сигналы GPS при высоком соотношении несущая/шум,
несмотря на явное глушение (Akos, 2012). Таким образом, с точки зрения спуфера,
предотвращение J/N монитора влечет за собой ограничение преимущества в мощности спуфера
η. Лабораторные испытания показали, что для ublox Lea-6N в конфигурации по умолчанию
достаточно поддерживать η ≤ 12 дБ для всех спуфируемых сигналов, чтобы избежать
срабатывания монитора J/N.

Использование монитора J/N также предотвращает атаку в стиле "заклинивание и подмена",

упомянутую в предыдущем разделе. Без этой возможности подстрекатель должен прибегнуть к
более сложной атаке с выравниванием сигнала, чтобы получить контроль над
контуры слежения целевого приемника.

Мониторинг частотной разблокировки Мониторинг частотной разблокировки в GPS-приемнике

может быть эффективной стратегией обнаружения спуфинга, поскольку (1) в условиях отсутствия
спуфинга частотная разблокировка необычна, за исключением случаев блокировки сигнала или
сильной ионосферной сцинтилляции (Humphreys et al., 2010), и (2) спуферу сложно предотвратить
частотную разблокировку при первоначальном захвате контура слежения, поскольку это требует
точного знания скорости самолета-цели, как будет описано в следующих разделах. Разблокировка
фазы, более чувствительная аномалия слежения, также является эффективным индикатором
спуфинга (Humphreys et al., 2012), но здесь она игнорируется, поскольку слишком часто
встречается в условиях отсутствия спуфинга.

Тестирование инноваций Тестирование инноваций в навигационной системе оценки состояния

самолета-цели я в л я е т с я легко реализуемой защитой от спуфинга. Подделка объявляется при
захвате, если PV-выход от поддельного GPS-приемника не согласуется с PV-оценкой
навигационной системы. Чувствительность этой технологии обнаружения спуфинга зависит от
качества датчиков, не относящихся к GPS, которые передают данные для оценки состояния.
Например, более стабильный IMU приводит к улучшению чувствительности.

В следующих подразделах более подробно описывается скрытый захват контуров слежения

целевого GPS-приемника - что влечет за собой необходимость обходить мониторы J/N и частотной
разблокировки - и скрытый захват оценщика состояния навигации - что влечет за собой
необходимость обходить нарушения теста на инновации.

3.2.1 Архитектура контура отслеживания GPS-приемника

С точки зрения отслеживания сигнала, выровненная атака подмены GPS представляет собой
уникальную проблему, которая ранее не рассматривалась. В обширной предшествующей
литературе исследуются диапазоны втягивания сигнала для фазово-локнистых петель (ФЛП) и
петель блокировки задержки (ПЛЗ) в типичном сценарии множественного доступа с кодовым
разделением, когда вход состоит из смеси сигналов, каждый из которых имеет уникальный код
распространения с пренебрежимо малой перекрестной корреляцией (Zhuang, 1996, Lee and Un,
1982, Gupta, 1975, Lindsey and Chie, 1981). Эти результаты применимы непосредственно к
отслеживанию сигнала в GPS-приемнике в обычных условиях. Однако во время спуфинг-атаки
каждый спуфинг-сигнал конкурирует с аналогичным аутентичным сигналом за управление
контурами слежения, и оба сигнала имеют идентичные коды распространения. Это похоже на случай
сильного многолучевого эффекта, за исключением того, что ложный сигнал может быть более
мощным, чем аутентичный сигнал, и может представлять себя как задержанная или
усовершенствованная версия аутентичного сигнала.

Для анализа захвата контура слежения GPS, представленного в данной статье, предполагается,
что каждый сигнал отслеживается с помощью PLL с обратной связью по фазе и DLL с поддержкой
несущей. Это стандартная конфигурация для коммерческих и военных GPS-приемников (Van
Dierendonck, 1996, Misra and Enge, 2012, Braasch and Van Dierendonck, 1999, Stephens and Thomas,
1995). Пусть часть принимаемого сигнала, соответствующая уникальному распространяющемуся
коду (единственный сигнал с конкретного спутника) при спуфинг-атаке, будет представлена
сложной базовой полосовой моделью в виде
s(t) =C [ - tτa (t)] exp (jφa (t))
+ √ηC[t - τs (t)] exp (jφs (t)) + n(t)
где C(t) - код распространения, τa (t) - кодовая фаза подлинного сигнала, φa (t) - несущая фаза
подлинного сигнала, η - преимущество в мощности спуфера, τs (t) - кодовая фаза спуфинг-сигнала,
φs (t) - несущая фаза ложного сигнала, а n(t) - нулевой комплексный белый гауссовский шум,
который моделирует комбинированный тепловой шум приемника цели и шум, встроенный в
принятый ложный сигнал (например.g., из-за квантования амплитуды выходного сигнала в
спуфере). Эта модель пренебрегает низкоскоростной модуляцией двоичных навигационных
данных GPS, поскольку она не влияет на динамику контура и, как предполагается, идеально
воспроизводится спуфером.

Принятый сигнал s(t) сначала умножается на три локальные реплики кода распространения,
разделенные по кодовой фазе на TEML /2, чтобы получить ранний, быстрый и поздний
коррелированные по коду сигналы, основанные на оценке τ (t), полученной с помощью ПЛМ. Затем
сигналы, коррелированные с кодом, умножаются на местную реплику несущей, которая основана
на оценке PLL.
оценка φ(t). Затем полученные сигналы интегрируются по интервалу накопления Ta для получения
дискретных накоплений, моделируемых как
∆fD,a(k) Ta
SX (k) =R (∆τ X,a (k)) sinc exp( j∆φ¯ a(k))
2π 2
+ √ηR (∆τ ∆fD,s(k)
exp( j∆φ¯ (k))
Ta
X,s (k)) sinc s + N (k)
2π 2

где SX (k) - накопление с запаздыванием } L (для раннего, быстрого и позднего); ∆τX,a (k)
∈ { X E, P,
и ∆τX,s (k) - разность фаз кода между локальной репликой с запаздыванием X и подлинным и
поддельным сигналами, соответственно; R(∆τ (k)) - автокорреляционная функция
распространяющегося кода; ∆fD,a (k) и ∆fD,s (k) - разность между доплеровской частотой
локальной реплики и доплеровской частотой подлинного и поддельного сигналов, соответственно;
∆ φ ¯ a (k) и ∆ φ ¯ s (k) - разности между фазой несущей локальной реплики и фазой несущей
подлинного и поддельного сигналов, соответственно, в середине интервала накопления; и N (k)
- накопленный шум, смоделированный как некоррелированная дискретная дискретно-временная
последовательность комплексного гауссовского шума с нулевым средним значением.

Дискриминатор задержки DLL принимает ранние и поздние накопления SE (k) и SL (k) и

производит сигнал обратной связи по задержке eτ (k); фазовый дискриминатор PLL принимает
быстрое накопление SP (k) и производит сигнал обратной связи по фазе несущей eφ (k).
Дискриминатор задержки обычно бывает когерентным или некогерентным; фазовый
дискриминатор обычно представляет собой двухквадрантную или четырехквадрантную
обратную касательную функцию (Braasch and Van Dierendonck, 1999).

Сигналы обратной связи от дискриминаторов задержки и фазы фильтруются перед передачей на

генератор кода и генератор с числовым управлением (NCO), соответственно. Для DLL с
поддержкой несущей достаточно фильтра DLL первого порядка, при этом отфильтрованная
обратная связь дается следующим образом

yDLL (k) = 4B eDLLτ (k)

где BDLL - полоса пропускания DLL. Фильтр PLL обычно имеет форму
k k i
G1 G2 Σ e (i) + G3 Σ
yPLL (k) = eφ (k) + e (j).
Ta Ta i=0
φ Σ
Ta i=0 j=0
φ

Назначение коэффициентов Gi основано на порядке фильтра и произведении полосы пропускания

PLL BPLL
и интервал накопления Ta (Stephens and Thomas, 1995).

3.2.2 Скрытый перехват петель слежения за GPS-приемниками

Скрытый захват контуров слежения GPS-приемника был кратко рассмотрен в предыдущем

экспериментальном исследовании (Tippenhauer et al., 2011). Однако в упомянутом исследовании
тестировался только один тип приемника и не учитывались ошибки доплеровского выравнивания
частоты, которые должны быть небольшими, чтобы обеспечить скрытый захват приемника.
Моделирование, испытания на подмену в реальном времени и анализ в этом разделе
представляют собой первое полное исследование по скрытому захвату мобильных GPS-
приемников. Для скрытого захвата контуров слежения целевого GPS-приемника, спуфер не
должен вызывать разблокировку частоты в любом PLL. Для этого спуфер должен убедиться, что в
целевом приемнике все поддельные сигналы тесно выровнены с их подлинными аналогами как по
фазе кода τ (t), так и по доплеровской частоте fD (t). После выравнивания поддельные сигналы
могут быть подняты выше мощности аутентичных сигналов, чтобы взять под контроль SE , SP и SL .
Выравнивание между поддельными и аутентичными сигналами требует, чтобы все
систематические и геометрические задержки и их временные скорости изменения были известны и
учтены при производстве поддельных сигналов, как подробно описано в разделе 2. В то время как
правильно спроектированный спуфер способен почти идеально учитывать задержки в кабеле и
внутренние задержки, точная компенсация геометрических задержек и скоростей требует точного
знания положения и скорости спуфера и самолета-цели. Если приемная антенна спуфера
должным образом изолирована от передающей антенны, то спуфер имеет постоянный доступ к
незагрязненных подлинных сигналов GPS и, таким образом, может непрерывно отслеживать
положение и скорость своих собственных антенн приема и передачи с точностью SPS,
предполагая, что вектор ∆rTX на рис. 1 известен. Однако подслушивающее устройство может не
знать положение и скорость самолета-цели с такой точностью. Шпион может получить точные
данные о положении и скорости цели, перехватив сообщения автоматического зависимого
наблюдения-вещания (ADS-B) целевого БПЛА (при условии, что цель оснащена ADS-B), но
следует отметить, что данные ADS-B полезны только для скрытого захвата, а не для контроля
после захвата, так как они сами по себе зависят от GPS и, следовательно, будут искажены после
захвата сигналами шпиона. Таким образом, альтернативное решение для отслеживания цели,
такое как радар или визуальное слежение, будет более полезным для подслушивающего
устройства.

Ошибки в оценке спуфером положения самолета-цели отображаются в эквивалентную по длине

фазу дифференциального кода ∆ρ , c(τa - τs ); аналогично, ошибки в оценке скорости цели
отображаются в дифференциальный доплеровский коэффициент ∆fD , (φ˙a - φ˙s)/2π. Пусть Pp ,
Pv ∈ R3×3 представляют собой ковариационные матрицы ошибок положения и скорости для
оценщика отслеживания цели спуфера. Для практических значений Pp и Pv доминирующими
причинами ошибок выравнивания сигнала ∆ρ и ∆fD являются неопределенность положения ≈ - и
скорости цели, соответственно. Оценка спуфером rˆs положения цели r приводит к
линеаризованной фазе дифференциального кода ∆ρ H (r rˆ )s
where
∂ rˆ -rs TX rˆ r- s SV
H = ∆ρ
∂r = ||rˆs - || ,
r=rˆ s - rTX || ||rˆs - rSV
и rTX и rSV - позиции спуфера и спутникового передатчика, соответственно. Наихудшие ошибки в ∆ρ
для
конкретного сигнала происходит, когда H выравнивается с собственным вектором Pp ,
соответствующим наибольшему собственному значению; такая же зависимость имеет место для
∆fD и Pv при рассмотрении ошибок отслеживания скорости.

Если ∆ρ или ∆fD слишком велики, то спуфер не сможет взять под контроль SE , SP и SL , или
вызовет разблокировку частоты при попытке. Захват, если он успешен, является открытым.
Определение приемлемого диапазона
∆ρ, ∆fD , и η для скрытого захвата начинается с общего наблюдения, что скрытый захват возможен
только при η > 0 дБ и в небольшой окрестности ∆ρ = 0, ∆fD = 0. Дальнейшее исследование
показывает, что с увеличением η окрестность ∆ρ = 0, ∆fD = 0 несколько расширяется, но ни в
одном случае допустимое ∆ρ не превышает удвоенного интервала между чипами кода
распространения, эквивалентного расстоянию (600 м для GPS L1 C/A). На самом деле, контуры
слежения GPS достаточно снисходительны в отношении ∆ρ: моделирование показало, что для |∆ρ|
≤ 50 м идентичные приемлемые диапазоны для ∆fD получаются при условии η ≥ 6 дБ. Поскольку
|∆ρ| ≤ 50 м легко достигается на практике, в последующем анализе мы будем исходить из этого и
сосредоточимся на ∆fD , приемлемых значений которого спуферу достичь гораздо сложнее.

Потеряет ли целевой PLL блокировку для заданного ∆fD зависит от диапазона втягивания частоты
в сценарии спуфинг-атаки для различных значений η. Аналитическое исследование втягивания
частоты осложняется стохастической, дискретно-временной и нелинейной природой PLL.
Действительно, даже анализ подтягивания частоты для дискретно-временных PLL в отсутствие
конкурирующих спуфинговых сигналов является сложной задачей (Lee and Un, 1982, Bernstein et al.,
1989), что подтверждается последними исследованиями в (Sarkar and Chattopadhyay, 1994),
которые прибегают к численному моделированию. Аналогично, представленный здесь анализ
основан на численном моделировании вышеупомянутых моделей следящего контура. Во всех
случаях предполагалось, что PLL и DLL изначально идеально согласованы с подлинным сигналом
и что спуфер подает шум на свой выход для поддержания постоянного номинального отношения
несущей к шуму на протяжении всей атаки. При моделировании также предполагалось, что ∆fD
является постоянным во время попытки захвата.

Три параметра PLL влияют на диапазон подтягивания частоты, при этом наиболее значимым
является тип используемого фазового дискриминатора (ФД). Благодаря более широкому
линейному диапазону четырехквадрантный дискриминатор более снисходителен к ненулевым
значениям ∆fD , чем двухквадрантный дискриминатор. Поэтому при имитационном анализе было
сделано консервативное предположение, что в целевом приемнике используется
двухквадрантный дискриминатор. Следующим наиболее важным параметром является T BaPLL ,
более высокие значения которого приводят к расширению диапазона втягивания. В анализе
предполагалось, что типичный Ta составляет 10 мс, и рассматривались значения BPLL в 5, 10 и 20
Гц. Значение BPLL в 5 Гц ниже, чем рекомендуется для мобильной платформы, и, как ожидается,
будет плохо работать во время нормальной эксплуатации, но было включено для полноты
картины. Динамические платформы могут использовать еще более низкую полосу пропускания
PLL (и, таким образом, достичь лучшей устойчивости к спуфингу), если вспомогательная
информация IMU предоставляется непосредственно PLL (глубокая связь), но такая практика все
еще редко встречается среди коммерческих GPS-приемников. Последним параметром, имеющим
значение, является порядок замкнутого контура PLL. В таблице 1 приведена тестовая сетка
конфигурации PLL, которая была исследована с помощью моделирования.
 Таблица 1: Испытательная сетка для анализа
моделирования притяжения PLL

Конфи PD Ta (мс) BPLL [Гц] Заказ

гураци
я.
1 атан 10 10 3
2 атан 10 10 2
3 атан 10 20 3
4 atan 10 20 2
5 atan 10 5 3
6 atan 10 5 2

0.8

поддельна
0.6
Вероятность

я
блокировки

аутентичн
0.4
ая потеря
0.2 блокировк
и
0
-30 -20 -10 0 10 20 30
∆fD [Гц]

Рисунок 2: Вероятность фиксации на поддельном сигнале (синий) или подлинном сигнале

(красный) или потери фиксации частоты (зеленый) для конфигурации моделирования 1 и
преимущества в мощности подстрекателя η = 5 дБ.

анализ.

На рисунке 2 показаны результаты моделирования для конфигурации 1 с преимуществом по

мощности спуфера η = 5 дБ. Для получения представленных результатов было проведено 1000
симуляций Монте-Карло при каждом значении ∆fD со случайной фазой несущей сигнала спуфинга.
Результаты
| показывают,
|≤ что| в данном
| сценарии спуфинг-сигнал надежно захватывает PLL для ∆fD
11 Гц. При ∆fD > 11 Гц вероятность захвата резко падает: целевой PLL имеет тенденцию терять
частотную блокировку вместо того, чтобы настраиваться на поддельный или подлинный сигнал.

В таблице 2 обобщены результаты многих тестов, подобных тому, что представлен на рис. 2. В
таблице указаны максимальные
|∆fD для
| высоконадежного захвата, определяемого как| наибольшее
| значение ∆fD , которое дает >
90% вероятности фиксации спуфинг-сигнала, в диапазоне преимуществ мощности спуфера η.
Оптимальное преимущество мощности спуфера для этих конфигураций составляет
приблизительно 8 дБ. Для η =| 8 дБ| ≥
все конфигурации, кроме 6 (которая страдает от низкого BPLL ),
имеют максимальную ∆fD 9,75 Гц. Эти диапазоны доплеровских частотных ошибок могут быть
преобразованы в ошибки
≈ оценки скорости в направлении соответствующего спутника GPS путем
масштабирования их на длину волны несущей GPS (0,1903 м для GPS L1). Это говорит о том, что
для скрытного захвата контура слежения требуется точность оценки скорости цели около 2 м/с.

Интересно отметить, что максимальное значение

| | ∆fD не увеличивается монотонно с ростом η, как
можно было бы ожидать. Этот неинтуитивный результат объясняется нелинейной переходной
реакцией PLL и происходит потому, что присутствие аутентичных сигналов помогает PLL плавно
перейти к отслеживанию ложного сигнала. Более высокие значения η приводят к тому, что
аутентичный сигнал оказывается погребенным в шуме и, таким образом, не позволяет
аутентичному сигналу помочь в этом переходе.
 Таблица 2: Максимальное значение |∆fD | для

надежного захвата [Гц] Конфигурация.

Преимущество в мощности

спуфера η
2 дБ 3 дБ 5 дБ 8 дБ 10 дБ 12 дБ lim
η→∞

1 2.25 5.25 11.00 11.00 9.75 9.25 7.25

2 2.25 4.75 6.75 9.75 10.25 9.75 7.75
3 3.75 6.25 12.25 12.25 10.75 10.5 7.75
4 4.75 6.75 11.25 12.75 11.25 10.5 8.75
5 1.75 3.25 7.75 10.25 9.75 8.25 6.75
6 1.75 2.75 3.75 6.25 7.25 8.25 6.75

Таблица 3: Вероятность захвата PLL по результатам испытаний на спуфинг в реальном времени

против приемника CASES в конфигурации
1. В скобках указано максимальное доплеровское
| смещение
| ∆fDmax , соответствующее каждому
смещению скорости. Для каждого сигнала максимальное доплеровское смещение достигается,
когда смещение скорости происходит вдоль вектора прямой видимости между целевым
приемником и соответствующим спутником GPS.

η (дБ) Смещение скорости

(соответствующее |∆fDmax |) 1 м/с
2 м/с 3 м/с 5 м/с
(5,3 Гц) (10,5 Гц) (15.8 Гц) (26,3 Гц)
2 0 1 0.7 0
3 1 1 0.6 0
5 1 1 0.8 0
10 1 1 0.9 0.5

Для дальнейшего изучения поведения при спуфинге приемник CASES, программно-определяемый

GPS-приемник реального времени, разработанный совместно Техасским университетом в Остине
и Корнельским университетом (O'Hanlon и др., 2011), был протестирован в реальном времени при
атаках спуфинга в конфигурациях, почти идентичных тем, которые были проверены при
моделировании, с той лишь разницей, что приемник CASES использует PLL-конструкцию с
обратной связью по фазе и фазовой скорости. Тестирование CASES показало немного более
широкие диапазоны втягивания по сравнению с моделированием. Результаты для первой
конфигурации из таблицы 1 показаны в таблице 3. Эти результаты дают процент всех активных
PLL, которые были захвачены спуфером при различных значениях η и при различных смещениях
скорости от истинной скорости. Обратите внимание, что 0 при смещении скорости на 1 м/с
указывает на то, что при малых η разблокировка частоты может быть объявлена даже при малом
смещении скорости в результате устойчивого взаимодействия между почти равными фазорами.
Также отметим, что CASES, будучи консервативно спроектированным приемником научного класса,
имеет тенденцию объявлять разблокировку частоты гораздо раньше, чем коммерческие приемники.
В целом, результаты CASES хорошо согласуются с результатами моделирования.

Три коммерческих приемника, представляющих те, которые используются в БПЛА, также были
протестированы в конфигурации по умолчанию: Javad Delta, Trimble Juno SB и ublox Lea-6N.
Результаты для этих приемников, приведенные в Таблице 4, показывают, что коммерческие
приемники гораздо более снисходительны к большим значениям ∆fD , чем приемник CASES,
полученный в результате численного моделирования. Действительно, все три приемника способны
фиксировать спуфинг-сигналы со значениями
|∆fD =
| 53 Гц (ошибки скорости 10 м/с) при преимуществах мощности спуфера до 1 дБ. Такое
надежное поведение объясняется тем, что коммерческие приемники обычно реализуют
различные уровни отслеживания несущей (например, откат контура частотной блокировки для
отказавшего PLL), чтобы выдержать жесткие условия отслеживания несущей на динамических
платформах. Как ни странно, надежное слежение коммерческих приемников делает их более
уязвимыми для спуфинга.

3.2.3 Скрытый захват навигационного оценщика состояния

Скрытый захват контуров слежения целевого GPS-приемника является лишь необходимым

условием общего скрытого захвата - шпион должен также уклониться от обнаружения путем
тестирования инноваций в навигационном анализаторе состояния,
Таблица 4: Результаты испытаний на спуфинг в реальном времени против различных
коммерческих GPS-приемников. Обратите внимание, что смещение скорости на 10 м/с
соответствует| максимальному
| доплеровскому смещению |∆fDmax | = 53 Гц, а смещение на 15
м/с соответствует ∆fDmax = 79 Гц. Для каждого сигнала максимальное доплеровское смещение
достигается, когда смещение скорости происходит вдоль вектора прямой видимости между
приемником и спутником.

η (дБ) Максимальное смещение скорости [м/с]

Джавад Trimble Juno SB ublox Lea-6N
Дельта
1 10 10 10
2 10 10 15
3 15 10 15

который предположительно имеет доступ к нескольким не-GPS навигационным датчикам, включая

IMU, барометрический высотомер, магнитометр и т.д. Захват является скрытым, если тестирование
инноваций во время и сразу после захвата контуров слежения GPS-приемника не вызывает
тревоги. Фокус на этом узком временном интервале позволяет избежать эффекта обратной связи от
выходов спуфера на захваченный БПЛА. Эффект обратной связи будет рассмотрен при обсуждении
тестирования инноваций после захвата в разделе 4.1.5. В данном разделе просто
устанавливаются требования к точности оценки спуфером положения и скорости БПЛА для
скрытого захвата.

Пусть нормированный квадрат инноваций (NIS) определяется как NIS = νT S−1∈ν, где ν Rn z -
инновация измерения, а S∈ Rn z×nz - ковариационная матрица инноваций (Bar-Shalom et al., 2001). В
условиях отсутствия спуфинга, NIS при каждом обновлении измерений оценщика состояния
навигационной системы будет иметь распределение хи-квадрат с nz степенями свободы. Для того
чтобы избежать обнаружения с помощью тестирования инноваций, требуется гораздо более
высокая точность оценки спуфером положения и скорости целевого самолета, чем для захвата
GPS-приемника. Рассмотрим целевой БПЛА с оценщиком состояния, который использует только
GPS-измерения (без навигационных датчиков, не относящихся к GPS). Ковариация измерений
положения и скорости оценщика будет находиться в пределах точности GPS SPS, которая в
настоящее время составляет более 3 м по положению и 10 см/с по скорости (Misra and Enge, 2012).
Предположим, что оценщик состояния не испытывает никаких преимуществ фильтрации, поэтому
ковариация его оценки состояния равна ковариации измерений GPS. Даже при таких
благоприятных условиях подглядывающему будет трудно оценить положение и скорость БПЛА с
достаточной точностью для генерации имитационных сигналов, соответствующих точности SPS:
для 2σ надежности скрытого захвата с БПЛА, который выполняет 8-σ тестирование инноваций на
некоррелированных гауссовских инновациях, ковариация оценки положения и скорости БПЛА
подглядывающим, необходимая для скрытого захвата навигационного оценщика состояния,
меньше, чем ковариация, необходимая для скрытого захвата контура слежения GPS-приемника, по
крайней мере, в семь раз.

Очевидно, что тестирование инноваций в рамках навигационного оценщика состояния предлагает

мощное решение для обнаружения спуфинга в ближайшем будущем, поскольку оно заставляет
спуфера выполнять точное (дорогостоящее) слежение за целевым БПЛА. Даже если пороговые
значения завышены для ограничения ложных тревог из-за многолучевости и плохой видимой
геометрии спутников, тест обнаружения сработает, если спуфер не способен с высокой точностью
отслеживать мобильную цель. Обычные системы слежения, такие как наземные радары, вряд ли
будут соответствовать этим пороговым значениям для скрытного захвата. Однако следует
отметить, что, перехватив передачи ADS-B целевого БПЛА, которые содержат точные данные о
положении и скорости, спуфер может значительно повысить свои шансы на скрытый захват.
4 Контроль после захвата

В данном разделе рассматривается управление после захвата как в скрытом, так и в открытом
сценариях. Для упрощения анализа предполагается, что целевой БПЛА является винтокрылым
аппаратом, а навигационная система цели основана на обычной конфигурации IMU с поддержкой
GPS.
4.1 Теоретический анализ постзахватного контроля

В этом подразделе построена модель линейной системы с непрерывным временем для

исследования динамики управления после захвата. Модель состоит из взаимосвязи установок,
оценщиков и контроллеров для БПЛА и спуфера.

Роторные БПЛА (RUAV) обычно используют нелинейный оценочный прибор, такой как
расширенный фильтр Калмана, для оценки своего положения, скорости, ориентации и смещения
IMU на основе высокоскоростных IMU и низкоскоростных GPS измерений (Kendoul, 2012,
Christophersen et al., 2006). Оценка состояния подается на контроллер, функция которого обычно
делится на внешний и внутренний контур, с некоторым временным разделением между ними
(Kendoul, 2012). Внешний контур генерирует команды ориентации и тяги с помощью
пропорционально-производного (ПД) контроллера для отслеживания эталонной траектории
положения и скорости. Внутренний контур генерирует команды поверхности управления для
отслеживания положения, заданного внешним контуром. Учитывая слабую связь между
измерениями положения и скорости GPS и положением БПЛА, нельзя ожидать, что подмена GPS
повлияет на работу внутреннего контура, что и было подтверждено в ходе полевых испытаний.
Поэтому абстрактная модель БПЛА, представленная в следующем анализе, представляет только
поступательную динамику БПЛА, которая, как предполагается, не связана с динамикой
ориентации. Далее предполагается, что БПЛА может непосредственно и безупречно управлять
поступательными ускорениями. Немоделируемые возмущения устраняются с помощью
интегратора или адаптивных элементов (Christophersen et al., 2006), но предполагается, что
управляющее воздействие от этих элементов невелико. Без потери общности рассматривается
только одно из трех взаимно несвязанных поступательных измерений. Несмотря на свою простоту,
модель отражает основные элементы управления RUAV с помощью подмены GPS.

4.1.1 Модель БПЛА

Одномерная линейная модель для установки, оценщика и контроллера БПЛА разрабатывается

следующим образом. Положение БПЛА r, скорость v и ускорение a управляются динамикой с
двойным интегратором, так что заданные матрицы
0
0 1
A= 0 0 , B= 1

и вектор состояния x = [r, v]T , модель динамики установки имеет вид x˙ = Ax + Ba. БПЛА производит
смещенные измерения - ускорения am = a b, где b - смещение измерений, и потенциально
поддельные GPS измерения положения и скорости x⋆ = [r⋆ , v ]⋆T . Оценщик состояния БПЛА
моделируется как линейный квадратичный оценщик в устойчивом состоянии
dxˆ xˆ B
= Ae + L (x⋆ - x ˆ ) + m a
dt ˆb ˆb 0
с матрицей усиления Калмана L = [LT , LT ]T и
x b

AB
Ae = .
0 0
Пусть ошибка оценки
x
составляет x˜ xˆ -
=
˜b ˆb- b
и пусть C = I 0 . Тогда динамика ошибки оценки БПЛА описывается следующим образом

d x˜ x˜
= (Ae - LC) + L (x⋆ - x) .
dt ˜ ˜
b b
Поскольку (Ae , C) является наблюдаемой парой, собственные
- значения Ae LC могут быть
расположены в любом месте левой полуплоскости.
самолет. Пусть σ2 и σ2 - дисперсия шума измерений положения и скорости GPS, соответственно, и
пусть
x v
 a¯ a
Gc P

xˆ
x
Ge

Рисунок 3: Блок-схема замкнутой системы БПЛА, показывающая взаимосвязи между контроллером

БПЛА Gc , установкой P и оценщиком Ge . Толстые линии представляют пути векторных данных.

σ2 - ковариация шума измерений положения и скорости GPS. Пусть σ2 и σ2 - ускорение IMU.

xv a b
шумы измерения и вариации шума процесса смещения, соответственно. Шум измерения и шум
процесса
матрицы для оценщика БПЛА даются соответственно
�0 0 0 �
σ x2 σxv2
2
R= 2 2 Q = �0 σ a 0 � .
σxv σv
0 0 σ2b

Ковариация ошибки оценки в установившемся режиме P является решением непрерывного

алгебраического уравнения Риккати (CARE)
A eP + PATe + Q - PC T R−1 CP = 0
а коэффициент усиления Калмана в устойчивом состоянии равен L = PC T R−1 .

Задача управления БПЛА заключается в отслеживании заданного опорного положения r¯ и скорости

v¯ траектории, имеющей
двухинтегральная динамика x¯˙ = A x ¯ + B a ¯ и состояние x¯ = [r¯, v¯]T , управляемое опорным
ускорением a ¯ . На сайте
Устройство управления БПЛА может быть разумно смоделировано как PD-компенсатор a = -K ( x ˆ -
xK¯ = > 0 рассчитывается таким образом, чтобы замкнутая система была устойчивой, а
K Kp d усиления
) . Матрица
эффект насыщения электропривода
пренебрежимо мала. Поскольку (A, B) является управляемой парой, - собственные значения A
BK могут быть расположены в
любом месте левой полуплоскости.

Тогда полная динамика системы БПЛА имеет вид

�X� BK� �x� �
�A -BK 0 0 0�
d 0 A - L - BK B L 0 x⋆
�x� =� x BK��xˆ� + � x
� .
�� �0 - L 0b 0 � � ˜ � �L 0b � a¯
ˆ b
dt b
x¯
˜ 0 0 0 A x 0 B
¯
Взаимосвязь контроллера БПЛА, установки и оценщика представлена в виде блок-схемы на рис. 3.

4.1.2 Проектирование контроллера спуфера

Цель управления спуфера - заставить БПЛА отслеживать некоторое эталонное положение r¯s
и скорость v¯s траектории с динамикой двойного интегратора x¯˙ s = A x ¯ s + Ba¯ s , где x ¯ s = [r¯s , v¯
]sT , управляемой эталонным ускорением a ¯ s . Если бы состояния БПЛА можно было оценить, то
спуфер мог бы реализовать контроллер с обратной связью по всем состояниям. Однако, при
типичных параметрах Q и R, состояние ˜b практически ненаблюдаемо. Поэтому для достижения
цели управления подслушивающим устройством реализуется оценщик и контроллер
уменьшенного порядка, основанный только на оценках положения, скорости и ускорения БПЛА. В
следующем разделе оценка a¯ также будет включена в стратегию спуфинга. Возможны
альтернативные конструкции для достижения целей спуфера, но для облегчения анализа в данной
работе рассматривается одна конструкция спуфера.
Спуфер оценивает положение, скорость и ускорение БПЛА на основе зашумленных измерений
положения и скорости с низкой скоростью. Оценщик использует модель третьего порядка для
отслеживания маневров БПЛА без смещения и обеспечения обратной связи по ускорению.
Оценщик спуфера моделируется как линейный квадратичный оценщик в устойчивом состоянии

d xˆ s
xˆs
s s
aˆs = Ae a + L (x - xˆ ) ,
dt
ˆs

где матрица усиления спуфера Калмана Ls = [(Ls )T , (L )sT ]T является решением ЦАРЭ с
соответствующими параметрами. x b
2 2
матрицы
скорость шума процесса и измерения, как в модели БПЛА. Пусть σ ¯ x и σ ¯ v - это положение и
дисперсия шума измерения, соответственно, и пусть σ ¯ 2 - шум измерения положения и скорости,
соответственно.
xv
дисперсия. Пусть
2
σ ¯ a - дисперсия шума процесса ускорения. Матрицы шума измерения и шума
процесса
для оценщика спуфера даются следующим образом
�
�0 0 0
σ¯
¯ R=
2
x σ¯2 xv ¯ = �0 0 0 � .
, Q
σxv σv
¯2 ¯2 00 σa¯ 2

Ковариация ошибки оценки спуфера в стационарном состоянии Ps является решением задачи CARE

A Pes + P AsTe + Q¯ - P CsT R¯-1CP s = 0

а коэффициент усиления Калмана в устойчивом состоянии равен Ls = P CsT R ¯ - 1 .

Для ограничения динамики спуфера предполагается, что спуфер генерирует физически

реализуемые GPS-траектории положения и скорости r⋆ и v⋆ , управляемые динамикой двойного
интегратора x˙⋆ = Ax⋆ + Ba⋆ . Контроллер спуфера может быть разработан как модифицированный
PD-компенсатор

a⋆ = a ˆ s + Ks (x ˆ s - x¯ ) s

где Ks = K Ks p
s .dНесмотря на то, что это не самая общая архитектура управления, компенсатор
ЧР является адекватным.
и позволяет провести прямой анализ устойчивости. В отличие от контроллера БПЛА,
произвольный выбор для
Ks > 0 не приведет к устойчивости системы БПЛА-пуфер. Для повышения устойчивости
системы БПЛА-спуфера измеренное ускорение a ˆ s добавляется к⋆ в контроллере спуфера, что
делает моделируемые спуфером ускорения лучше соответствующими динамике, предполагаемой
оценщиком БПЛА.

Полная динамика системы спуфера такова

�X⋆� � � �
�A BK Bs -BKs �x⋆ 0 0�
d �xˆs � � 0 A - L Bs 0 � �xˆs��Ls 0�x
s �� = � sx � �s � + � x �
a .
s
dt �aˆ � � 0 -Lb 0 0 ��aˆ � b
x 0 0 0 A x 0 B ¯
¯s ¯s
 �Ls 0
�

Вышеизложенная модель системы спуфера предполагает точное знание параметров БПЛА и

подразумевает стратегию спуфинга после захвата, которая не гарантирует скрытность. Более
сложной стратегией управления после захвата было бы выполнение онлайновой идентификации
системы для определения параметров систем наведения, навигации и управления БПЛА. Однако
для удобства в данной работе рассматривается только вышеупомянутая архитектура, а более
сложные модели атак остаются открытой проблемой.
 a a x Gs
¯ Gc P e

xs
x ˆa
ˆ
Gs
ˆs
Ge Ps a⋆ c
x⋆ a
¯s
Рисунок 4: Блок-схема замкнутой системы БПЛА-спуфера, показывающая взаимосвязи между
контроллером БПЛА Gc , установкой P и оценщиком Ge ; и контроллером
c спуфера Gs ,
установкой
e P и оценщиком G . Установка спуфера P воплощает динамику двойного
s s s

интегратора, который генерирует x⋆ из a⋆ . Толстые линии представляют пути векторных

данных.

4.1.3 Анализ устойчивости

Совместная динамика систем БПЛА и спуфера задается следующим образом

� �A �� � � �
�x -BK 0 BK 0 0 0 0 x 0 0
x 0 0
x 0 A - Lx - BK B BK L 0x 0 0 � � ˆ˜b �
�0 -L 0b 0 L 0b 0 0 �0 0 �
ˆ�
�˜b
d x¯ 0 0 0 A 0 0 0 0 a¯
� �= � � � x¯ � + �B 0�
dt �x⋆� � 0 0 0 0 A BK Bs -BKs � �x⋆ � �0 0 a¯s
�
�xˆs �Ls 0 0 0 0 A - L Bs 0 � �0 0 �
� �xˆs�
�
�aˆs�� �
x x �� � � �0 0�
�Lsb 0 0 0 0 -Lb s 0 0 � �aˆs �
x 0 0 0 0 0 0 0 A x �0 B
¯ s ¯ s

которое компактно можно записать как z˙ = Mz + Nu. Взаимосвязи между контроллером, установкой
и оценщиком БПЛА и контроллером, установкой и оценщиком спуфера представлены в виде блок-
схемы на рис. 4. Отметим, что полюса в начале координат, связанные с состояниями x¯ и x ¯ s , не
влияют на устойчивость замкнутой системы. Чтобы убедиться в этом, рассмотрим
преобразование состояния
� �
x¯
� x �
¯s
� �
x¯
-
z¯ = � � = Tz
- x
� �
�� ˆ xˆ ��
x⋆
˜b
x¯
-
s

xˆ-
s

xˆs
x
aˆs

где �
0 00 I 0 0 0 0 �
0 0 0 0 0 00 I
0 - I 0I 0 0 0 0
� 0 I 0 0 - I 0 0 0 �
T=
� 0 0 1 0 0 0 0 0 �.
0 0 0
0 00 0 - 0I 0I
�� 0 0 0
- I 0 �0 0 0 I 0 0�
Динамика преобразованной системы такова
z¯˙ = T M T −1 z¯ + TNu
(1)
= M¯ z¯ + N¯ u
где � A �
0
0 A
�
A - BK Lx -B 0 0 0 �
M¯ = � �
BK A - L Bx BK 0s -B
� 0 -L 0b 0 0 0
-B �
��� 0 0 0 A Lsx ���
-BK 0 0 0 A - Lx s B
0 0 0 0 -L 0 b
s

и
� B 0 �
0 B
� B 0 �
N¯ = � 0 0 � .
0 0
� 0 B ���
��
0 0
0 0

Как видно из структуры M¯ , преобразованная система может быть разделена на динамику,

управляющую эволюцией опорных траекторий и состояний ошибки. Подсистема, связанная с
состояниями ошибки, должна быть стабильной для эффективного управления БПЛА. Для
нахождения матриц усиления спуфера Ks , которые дают устойчивые системы (системы, для
которых все полюса подсистемы состояний ошибки находятся в левой полуплоскости), был
использован перебор по сетке. Устойчивая область изменяется при различных параметрах
системы (L, K, Ls ), как показано на рис. 5 и 6. Увеличение дисперсии шума процесса смещения
IMU σb в целом уменьшает доминирующую постоянную времени системы. Для надежного
управления коэффициент усиления спуфера должен быть выбран таким образом, чтобы система
была устойчива в диапазоне ожидаемых значений параметров.

Рисунок 5: Уменьшение стандартного отклонения шума измерений акселерометра σa увеличивает

размер
2
стабильная область, представленная серым цветом. Другие параметры фиксированы: Kp = 1
Гц, Kd = 2 Гц, σx = 2 м,
σv = 0,3 м/с, σxv = 0, σb = 1,24 × 10−5 м/с3 , σ ¯ x = 2 м, σ ¯ v = 0,3 м/с, σ ¯ x v = 0, и σ ¯ a = 0,5 м/с2 .

4.1.4 Производительность в стационарном режиме

Используя ранее полученную динамику замкнутого цикла, устойчивое поведение системы БПЛА-
пуфер может быть обобщено ошибкой отслеживания позиции спуфера, определяемой как er (t) =
r(t) - r¯s (t). Если a ¯ L = limt→∞ a¯(t)
Рисунок 6: Увеличение стандартного отклонения шума измерения скорости спуфера σ ¯ v уменьшает
размер
2
стабильная область, представленная серым цветом. Другие параметры фиксированы: Kp = 1
Гц, Kd = 2 Гц, σx = 2 м,
σv = 0,3 м/с, σxv = 0, σa = 0,05 м/с2 , σb = 1,24 × 10−5 м/с3 , σ ¯ x = 2 м, σ ¯ x v = 0, и σ ¯ a = 0,5 м/с2 .

и a ¯ sL= limt→∞ a¯ s (t), тогда производительность спуфера в установившемся режиме равна

1
lim e (t) = ( a ¯ s - a¯ ) .
r s L L
t→∞ Kp
Таким образом, в установившемся режиме ошибка слежения пропорциональна относительному
ускорению опорных траекторий спуфера и БПЛА. Более того, если a¯ предсказуемо для спуфера,
-
a ¯ s может быть отрегулировано так, чтобы минимизировать a¯a ¯ s и тем самым уменьшить
ошибку слежения
p спуфера. Стоит отметить, что, хотя этот результат явно включает только Ks ,
он предполагает, что другие параметры системы известны спуферу.

4.1.5 Тест на скрытность

Предполагается, что во время управления после захвата, контуры слежения целевого GPS-
приемника были захвачены и имеют достаточную полосу пропускания для обработки
наложенной динамики. В этом случае спуфер может скрытно сохранять контроль над контурами
слежения путем введения общего временного смещения в имитируемые сигналы, что
обеспечивает незначительное искажение автокорреляции из-за взаимодействия с
подлинными сигналами. Таким образом, скрытность при управлении после захвата определяется
исключительно тестированием инноваций в навигационной системе оценки состояния БПЛА.

Как и в разделе 3.2.3, NIS является метрикой, используемой при тестировании инноваций, и
определяется как NIS , νT S−1 ν, где ν ∈ Rn z - инновация измерения, а S ∈ Rn z×nz - ковариация
инноваций (Bar-Shalom et al., 2001). В условиях отсутствия спуфинга NIS на каждой итерации
фильтра имеет распределение хи-квадрат с nz степенями свободы.

В следующем разделе будет проведено тестирование инноваций на всем векторе измерений. Но

для упрощения анализа в этом разделе будут сделаны утверждения с использованием
упрощенной системы с одним входом и одним выходом (SISO). Рассмотрим NISv ,
нормализованный квадрат инноваций только для скалярного измерения скорости:
ν2
НИС , νT S−1 = v,
ν
v vv v
Sv

где νv R ∈
- инновация измерения скорости, а Sv R - элемент
∈ ковариационной матрицы инновации,
соответствующий инновации скорости. Для номинальных параметров системы, рассматриваемых в
данном разделе, оценщик состояния БПЛА имеет низкую ковариацию для состояния скорости, что
приводит к тестированию инноваций
который более чувствителен к инновациям скорости, чем к инновациям положения. Поскольку
≈ в
этом случае NISNISv , тестирование только скоростных инноваций обеспечивает разумное
приближение к полному тесту на скрытность.

В этом подразделе атака считается скрытой, если NISv остается ниже порога проверки гипотезы λv ,
то есть, если NIS⋆ , sup NISv (t) < λv . Поскольку тестируемая инновация измерения имеет только
один элемент,
v t
-1
порог может быть установлен как λv = F (1 - Pfa ), где F (-) - кумулятивная функция
распределения (CDF) от
распределение хи-квадрат с одной степенью свободы, а Pfa - желаемая вероятность ложной
тревоги. Для
Проверка гипотезы 5σ, λv ≈ 26,3.

Для облегчения анализа преобразованная связанная динамика спуфера БПЛА в уравнении 1

будет изменена путем игнорирования различных входов и выходов, чтобы получить простую SISO-
версию системы. Будут рассмотрены два показательных случая для цели управления спуфером,
чтобы определить соответствующие ограничения на NISv , выход системы SISO. Выбирается
устойчивый регулятор спуфера Ks = [0.01 0.1] и 2
остальные параметры установлены на те же значения, что и в п. 4.1.3: Kp = 1 Гц , Kd = 2 Гц, σx = 2 м,
σv = 0,3 м/с, σxv = 0, σb = 1,24 10×
−5 м/с3 , σ = 0,05 м/с2 , σ ¯
a x = 2 м, σ ¯ v = 0,3 м/с, σ ¯ x v = 0, и
σ ¯ a = 0,5 м/с .
2

Одна из границ входа-выхода для системы LTI имеет вид (Fadali и Visioli, 2013)

||y||∞ ≤ ||H||∞ ||u|||∞

для входа u, выхода y и матрицы импульсного отклика H. Применяя эту границу между входом и
выходом,
1
NIS⋆ ≤ ||H|||2 ||a ¯||2 .
v ∞ ∞
Sv

Случай 1: Пусть a ¯ s равен нулю, так что цель управления спуфера - постоянная скорость.
Обозначим полученную упрощенную систему SISO как Hν,1 . Чтобы гарантировать скрытность,
должно
1 быть
2
выполнено
2
следующее условие: 1 2
Sv
||H || ν,1 ∞ ||a¯|| ∞ < λ v . Для номинальных параметров системы, рассмотренных в данном разделе, Sv
||H ||ν,1∞ ≈ 479.
Таким образом, ||a¯|| ∞ < 0,23 м/с2 подразумевает скрытность при проверке гипотезы 5σ.

Случай 2: Можно реализовать так называемую цель управления с учетом ускорения (AM), при
которой контроллер спуфера отслеживает только часть исходной цели с постоянной скоростью.
Для достижения траектории AM пусть a ¯ s = a ¯ , так что опорное ускорение спуфера
совпадает с ускорением БПЛА. Обозначим полученную упрощенную систему SISO как Hν,2 .
Чтобы
1
гарантировать
2 2
скрытность, должно быть выполнено следующее условие: 1 2
Sv
||H || ν,2 ∞ ||a¯|| ∞ < λv . Для номинальных параметров системы, рассматриваемых в данном
разделе, Sv ||H ||ν,2∞ ≈ 104.
Таким образом, ||a¯|| ∞ < 0,50 м/с2 подразумевает скрытность при проверке гипотезы 5σ.

Указанные ограничения || || на a¯∞ , гарантирующие скрытность, довольно низки, но они следуют

из той строгой политики, что атака, при которой NIS очень ненадолго превышает порог
обнаружения 5σ, объявляется открытой. Любые значения параметров, включая усиление
контроллера спуфера, выбранные в этом разделе, могут быть изменены, а полученные значения
Sv , ||H ||ν,1∞ , и ||H ||ν,2∞ использованы для определения новых ограничений ||a¯|| ∞ .

4.2 Моделирование контроля после захвата

Дискретно-временное моделирование управления БПЛА после захвата было выполнено с

частотой обновления 10 Гц для анализа связанной динамики БПЛА и спуфера в присутствии
шума. Используются простые модели с реалистичными вариациями шума для
микроэлектромеханических (MEMS) акселерометров и современных коммерческих GPS-
приемников. Важно отметить, что предполагается, что спуфер измеряет положение и скорость БПЛА
с той же точностью, что и GPS-приемник БПЛА. В моделировании предполагается, что БПЛА
работает в горизонтальной плоскости и что два горизонтальных направления имеют независимую
динамику. Моделирование полностью повторяет модель системы в разделе 4.1, за исключением
того, что в моделируемом спуфере используется более сложный фильтр слежения за БПЛА.
Значения параметров совпадают со значениями в разделе 4.1, где это применимо.
4.2.1 Внедрение БПЛА

Оценщик состояния моделируемого БПЛА представляет собой фильтр Калмана, который получает
GPS-измерения и смещенные измерения ускорения и оценивает вектор состояния x = [rT , vT , bT ]T ,
где r - двумерное положение, v - двумерная скорость, а b - состояние смещения акселерометра.
Измерения положения, скорости и ускорения искажены нулевым средним гауссовским шумом с
интенсивностями σx = 2 м, σv = 0,3 м/с и σa = 0,05 м/с2 , соответственно. Моделируемый контроллер
БПЛА представляет собой компенсатор ПД K = [1 2] в каждом измерении и отслеживает эталонную
траекторию, подавая команды ускорения u. Предполагается, что контроллер БПЛА внутренне
компенсирует динамику привода, чтобы команды ускорения выполнялись идеально. Состояния
положения и скорости БПЛА изменяются как дискретный двойной интегратор по ускорению,
-5 2
поступающему от исполнительных механизмов. Смещение акселерометра моделируется как
дискретный винеровский процесс с независимой интенсивностью приращения σb = 1.24 - 10 м/с .

4.2.2 Реализация спуфера

Спуфер отслеживает положение, скорость и ускорение БПЛА с помощью обобщенного

псевдобайесовского оценщика второго порядка (GPB2), фильтра с несколькими моделями, который
хорошо подходит для отслеживания маневрирующих целей (Bar- Shalom et al., 2001). Оценщик
GPB2 предполагает два режима для БПЛА: (1) без маневрирования, когда модель процесса БПЛА
управляется белым шумом ускорения, и (2) маневрирование, когда модель процесса БПЛА
управляется винеровским шумом ускорения. Подмена GPS заставляет оценщик БПЛА производить
ошибочную оценку смещения акселерометра, эффект, который может быть приблизительно
смоделирован как процесс Винера. Оценщик GPB2 использует две модели для движения БПЛА,
которые отражают суммарный эффект маневрирования и ошибочных оценок смещения. Обе эти
модели управляются ускорениями процесса Винера, но с разной интенсивностью.

Спуферный регулятор, который производит⋆ , реализован как PD-компенсатор с выбранным

коэффициентом усиления Ks = [0.01 0.1], который находится в области устойчивости, найденной в
разделе 4.1.3. Спуферная установка реализована как дискретный двойной интегратор на выходе
спуферного контроллера. Предполагается, что спуфер может производить имитированные
сигналы, которые приводят к измерениям GPS на БПЛА, равным выходу спуферной установки.
Предполагается, что задержка обработки внутри спуфера равна нулю, а обновления 10 Гц
спуфера синхронизированы с обновлениями 10 Гц контроллера в БПЛА.

4.2.3 Результаты моделирования контроля после захвата

Пусть ускорение, движущее опорную траекторию БПЛА a ¯ (t), будет таким, что образуется
квадратная траектория со стороной 100 м. На каждой стороне полученная скорость опорной
траектории нарастает от нуля до максимальной скорости 5 м/с, оставаясь постоянной. На каждой
стороне результирующая скорость опорной траектории изменяется от нуля до максимальной
скорости 5 м/с, остается на постоянной скорости, а затем уменьшается до нуля. Пусть ускорение,
движущее опорную траекторию спуфера a ¯ s (t), представляет собой импульс, который заставляет
опорную траекторию спуфера двигаться с постоянной скоростью 2 м/с в направлении восток-юго-
восток. Эта траектория будет называться исходной опорной траекторией спуфера.

На рисунке 7 показано двумерное положение БПЛА, оценка от эстиматора БПЛА и две опорные
траектории. Подстрекатель способен быстро переместить БПЛА в сторону от опорной траектории
БПЛА. Обратите внимание, что выходной сигнал эстиматора БПЛА остается вблизи опорной
траектории БПЛА. Ускорение опорной траектории БПЛА кажется спуферу возмущением, которое не
позволяет контроллеру спуфера довести ошибку слежения до нуля.

На рисунке 8 сравниваются значения NIS в каждом образце с пороговыми значениями 2-σ и 5σ.
Поскольку многие образцы значительно превышают порог 5σ, ожидается, что алгоритм
обнаружения неисправностей, даже если он очень консервативен, сработает при таком типе
атаки. Таким образом, динамика рис. 7 приводит к открытому контролю после захвата.
В вышеописанном моделировании контроллер спуфера пытается привести x - x ¯ s к нулю. Однако,
спуфер
 100

50 Состоян
ие БПЛА Ссылка на
оценщик БПЛА

положение [м]
0
Северное
-50

пра
-100 вда
ссылка на
-150 злоумышленни
ка
0 50 100 150 200 250 300
Восточное положение [м]

Рисунок 7: Положение во время управления после захвата для квадратной опорной траектории БПЛА
и необработанной опорной траектории спуфера. БПЛА отслеживает опорную траекторию спуфера,
но ошибки отслеживания положения значительны.

200

150
НИ
С

100

50

0
0 50 100 150
время [с]

Рис. 8: NIS, полученный оценщиком состояния БПЛА для квадратной опорной траектории БПЛА и
необработанной опорной траектории спуфера. Нарисованы пороговые значения для проверки
гипотез 2 сигма и 5 сигма. Поскольку NIS превышает пороговые значения, атака объявляется
открытой.
может захотеть ослабить эту цель управления для улучшения скрытности. Как было представлено
в разделе 4.1.5, цель управления, согласованная с ускорением, может быть реализована таким
образом, что контроллер спуфера отслеживает только крупномасштабное поведение x ¯ s , в то
время как на более мелких масштабах он имитирует опорную траекторию БПЛА. В частности, AM
опорная траектория AM (t) , a ¯ s (t) + a ¯ e (t), где a ¯ e (t) - оценка подслушивающего
определяется как a ¯ s устройства о БПЛА.
опорной траектории либо (1) наблюдая один или несколько циклов повторяющейся траектории,
либо (2) "на лету".
обучение.

То же моделирование, представленное на рис. 7-8, было повторено с опорной траекторией AM,

предполагая, что спуфер имеет идеальную оценку a ¯ e (t) = a ¯ (t) опорной траектории БПЛА. Как
видно на рис. 9, спуфер способен заставить БПЛА точно следовать за опорной траекторией AM.
Важно, что это изменение опорной траектории спуфера позволяет скрытно осуществлять
управление после захвата. На рис. 10 ни один из образцов NIS не превышает порог 5σ.

100

50
положение [м]

0
Ссылка на
Северное

БПЛА
-50 Состояние БПЛА
(пунктир)
-100 оценщик (сплошной)
истинный
ссылка на (твердый
злоумышленни )
-150 ка
(пунктир)
0 50 100 150 200 250 300
Восточное положение [м]

Рисунок 9: Положение во время управления после захвата для квадратной опорной траектории БПЛА
и опорной траектории AM-спуфера. БПЛА отслеживает опорную траекторию AM-спуфера с
небольшими ошибками отслеживания положения.

40

35

30

25
НИ

20
С

15

10

5
0
0 50 100 150
время [с]

Рис. 10: NIS, полученный оценщиком состояния БПЛА для опорной траектории квадратного БПЛА
и опорной траектории спуфера AM. Нарисованы пороги для проверки гипотез 2 сигма и 5 сигма.
Поскольку NIS не превышает порог 5 сигм, атака считается скрытой.
5 Полевая демонстрация
Было бы сложно провести эксперимент, подтверждающий все результаты, приведенные в разделе
4. Такой эксперимент потребовал бы отслеживания БПЛА PV в реальном времени, что является
тяжелым бременем как для исследователей, так и для потенциальных злоумышленников. Кроме
того, гипотетический эксперимент потребовал бы эфирной передачи в защищенных частотных
диапазонах и, таким образом, нарушил бы правила, относящиеся к этим частотным диапазонам, если
бы не было получено разрешение правительства. В связи с этими ограничениями демонстрация в
полевых условиях, представленная здесь, не подтверждает все моделирование и анализ в данной
статье; скорее, в этом разделе сообщается об открытой спуфинг-атаке на БПЛА, в ходе которой
спуфер ненадолго взял на себя управление целью, используя стратегию управления с открытым
контуром, без обратной связи с истинным положением и скоростью БПЛА. Эта демонстрация
является простым частным случаем сценариев захвата, которые были исследованы аналитически
и с помощью моделирования в предыдущих разделах. Важно отметить, что демонстрация
доказывает, что захват и управление навигационной системой, достаточные для того, чтобы
вызвать падение БПЛА, на самом деле возможны в полевых условиях.

Эксперимент по спуфингу GPS, о котором кратко сообщается в (Shepard et al., 2012a), в котором
использовался тот же спуфер и целевой БПЛА, что и в данном эксперименте, продемонстрировал
эффективную атаку спуфинга с воздуха. Испытания проводились в июне 2012 года на ракетном
полигоне Уайт-Сэндс во время учений под контролем Министерства национальной безопасности
США. В ходе испытания имитированные сигналы GPS передавались по воздуху с расстояния
примерно 620 м. Целевой самолет висел на высоте примерно 12 м над уровнем земли, когда
спуфер захватил его навигационную систему. Затем спуфер заставил захваченный GPS-приемник
выдать решения о положении и скорости, которые ложно указывали на то, что БПЛА движется
вверх. В результате БПЛА переместился вниз, чтобы исправить кажущееся отклонение от заданного
положения зависания. Поскольку спуфер осуществлял управление захваченным БПЛА в
разомкнутом контуре, движение БПЛА вниз было остановлено только тогда, когда пилот,
обеспечивающий безопасность, взял на себя ручное управление самолетом. Видеозапись
воздушного испытания доступна на сайте http://radionavlab.ae.utexas.edu/spoofing/drone-capture-
testimony-video.

Несмотря на ценную и беспрецедентную демонстрацию, эксперимент по спуфингу в эфире в Уайт-

Сэндс не позволил получить ничего, кроме видеоданных. Таким образом, для экспериментальной
проверки части моделирования и анализа, представленных в данной статье, в июне 2013 года был
проведен новый эксперимент вблизи Остина, штат Техас. В новом эксперименте данные
непрерывно записывались с GPS-приемника и датчика состояния целевого БПЛА во время
спуфинг-атаки. Чтобы избежать несанкционированной радиопередачи в защищенном диапазоне
GPS, сигналы спуфинга напрямую подавались через легкий коаксиальный кабель в GPS-антенну
БПЛА, где они объединялись с подлинными GPS-сигналами от пролетающих спутников. Как в
первом испытании в эфире, так и в данном эксперименте по кабелю, БПЛА вел себя так, как
предсказывал вышеприведенный анализ для захвата и управления в разомкнутом контуре.

5.1 Настройка

Целевой летательный аппарат, БПЛА Hornet Mini компании Adaptive Flight Incorporated,
представляет собой 4,5-килограммовый вертолет с передовой системой авионики. Набор
навигационных датчиков Hornet Mini состоит из IMU, магнитометра, баро-альтиметра и GPS-
приемника ublox. Навигационная система оценки состояния реализована в виде расширенного
фильтра Калмана (EKF). EKF игнорирует прямые измерения высоты GPS, полагаясь вместо этого
на баро-альтиметр, но GPS-приемник все равно влияет на оценку высоты через свои измерения
вертикальной скорости.

Портативный программно-определяемый GPS-спуфер, использованный для эксперимента, был

первоначально представлен в (Humphreys et al., 2008). Дальнейшая разработка была
представлена в работах (Shepard et al., 2012b, Shepard et al., 2012a) и (Humphreys et al., 2012). В
пределе идеально известного ∆rt (см. рис. 1) спуфер способен генерировать имитированные
сигналы GPS, которые совпадают до метрового и деци-Гц уровней с подлинными сигналами на
антенне целевого приемника. Аппаратура спуфера и целевой RUAV показаны на рис. 11.

Во время нормальной работы Hornet Mini принимает высокоуровневые данные от человека-

оператора в виде команд скорости, которые изменяют опорную траекторию на лету. Hornet Mini
имеет специальный режим работы, в котором человек-оператор помогает БПЛА так, что возможна
длительная работа без GPS.
 Рисунок 11: Аппаратное обеспечение спуфера и
целевой RUAV.

измерений (например, во время блокировки сигнала GPS). В этом режиме, называемом режимом
отказа от GPS, происходят два существенных изменения по сравнению с обычным режимом
работы. Во-первых, EKF Hornet Mini полностью игнорирует GPS-измерения для оценки состояния
транспортного средства. Во-вторых, Hornet Mini изменяет способ приема высокоуровневого
управляющего воздействия от человека-оператора, чтобы оператор мог противодействовать
дрейфу, возникающему в навигационной системе во время работы без GPS: если во время
навигации на основе GPS БПЛА принимает команды скорости, то в режиме без GPS он принимает
команды ускорения.

В полевой демонстрации человек-оператор, наблюдавший за Hornet Mini по видеоканалу и в зоне

прямой видимости, дал БПЛА команду зависнуть в заданной путевой точке, а затем дождался
начала спуфинг-атаки. Как только оператор увидел маневр, вызванный спуфером, он быстро
предпринял корректирующие действия, переведя Hornet Mini в режим отказа от GPS. Таким
образом, в данном эксперименте был протестирован режим отключения GPS в качестве защиты от
спуфинга при открытой атаке.

5.2 Результаты

Атака началась с того, что самолет-мишень завис в путевой точке на высоте 8,8 м над уровнем
земли. Затем спуфер начинал передавать имитированные сигналы GPS с уровнем мощности,
выбранным таким образом, чтобы η = 10 дБ. Начальное наведенное положение спуфера совпадало
с положением БПЛА, которое было известно спуферу. При передаче этих сигналов спуфер
захватывал целевой GPS-приемник, получая контроль над измерениями положения и скорости, но
не пытался немедленно изменить эти измерения ≈по сравнению с номинальным положением
зависания. Поэтому условие x⋆ x выполнялось во время и сразу после захвата приемника.

После захвата спуфер управлял БПЛА, заставляя захваченный GPS-приемник выдавать решения о
положении и скорости, которые показывали, что БПЛА движется на юг. БПЛА быстро
отреагировал, переместившись на север. Эффект атаки обобщен на рис. 12, где показано
северное положение из четырех источников: выход спуфера, GPS-приемник на БПЛА, EKF на
БПЛА и истинная траектория, восстановленная из бортовых GPS-измерений до и после атаки и
наблюдаемого движения во время эксперимента.

При t = 0 спуфер начинает передачу имитированных сигналов GPS,≈ чтобы вызвать x⋆ x.

Выходной сигнал спуфера выражается в системе координат север-восток-низ с началом в точке
зависания БПЛА x(0), с ненулевым значением
выход⋆ только в⋆ северном направлении. Закон управления спуфера в открытом контуре был x⋆
(t) = [r (t) 0 0 v (t) 0 0].T
N N
Рис. 12: Северное положение и скорость во время испытания захвата БПЛА и управления с
открытым контуром; в тех случаях, когда данные GPS до и после атаки недоступны, пунктирные
линии показывают интерполяцию, основанную на ограничениях границ измерений и наблюдаемом
≤ ≤
движении во время эксперимента. Заштрихованная область, 0 t 3.6, показывает, когда спуфер
передавал имитированные сигналы, а БПЛА использовал GPS-измерения для навигации.

для 0 ≤ t ≤ 3,8, где

�0
�� 0 ≤ t ≤ 0.3
N (t) =
v⋆ -5(t - 0,2) 0,3 < t ≤ 1,3
��
-51.3 < t ≤ 3.8
∫ t
⋆ (t) = ⋆ (τ )dτ.
vN
rN
0

При t = 0,3 секунды спуфер начинает модулировать x⋆ , перемещая его в южном направлении в
пределах ускорения 5 м/с2 и скорости 5 м/с. Как видно на рис. 12, выходной сигнал EKF следует за
GPS-измерениями от захваченного приемника и начинает двигаться на юг со скоростью 5 м/с. Из-за
явного отклонения положения и скорости БПЛА от желаемого плана полета контроллер БПЛА дает
команду на мощное движение на север. Действия спуфера по захвату и управлению были
открытыми в соответствии с определениями, приведенными в разделах 3.2 и 4.1.5. Тем не менее,
атака осталась незамеченной, поскольку GPS-приемник и навигационная система БПЛА не были
разработаны даже с элементарной проверкой против спуфинга.

В момент t = 3,6 секунды предпринимаются действия, направленные на отказ от управления

соглядатаем: БПЛА по команде человека-оператора переходит в режим GPS-denied, в котором
GPS-измерения игнорируются EKF БПЛА. После этого подстрекатель больше не имеет права
управления БПЛА, однако влияние предыдущих ложных измерений сохраняется, поскольку
существующая ошибочная оценка состояния БПЛА продолжает распространяться в EKF в
соответствии с его моделью динамики. В приблизительном смысле, модель динамики
предполагает движение с постоянной скоростью. Таким образом, оценка скорости, введенная
спуфером, сохраняется, что четко видно на выходе EKF, продолжающего двигаться на юг со
скоростью почти 5 м/с. Поскольку в этот момент БПЛА быстро движется на север, а оценка
скорости остается приблизительно постоянной, абсолютная ошибка оценки скорости превышает 5
м/с и быстро увеличивается.

Войдя в режим отказа от GPS, оператор немедленно дает команду Hornet Mini ускориться в южном
направлении. Однако, поскольку режим отказа от GPS был разработан только для
противодействия естественному дрейфу навигационной системы, оператор не имеет достаточных
полномочий управления, чтобы остановить затянувшийся эффект спуфинга.
атаки, которые намного сильнее, чем естественный дрейф. В момент входа в режим отказа от
GPS абсолютная ошибка в оценке северной скорости |- | ≈ БПЛА составляет vˆN v 8 м/с и быстро
растет. При наличии достаточного свободного воздушного пространства оператор мог бы свести
даже такую большую ошибку скорости к нулю, дав команду на противодействующее ускорение, но
тесные экспериментальные условия, необходимые для атаки по кабелю, не позволили создать
достаточное воздушное пространство.

В момент t = 3,8 секунды истинное движение БПЛА на север приводит к отделению кабеля от
БПЛА. С t = 3,8 до t = 6,5 секунды GPS-приемник БПЛА подвергается травме из-за внезапного
перехода от отслеживания сигналов GPS, генерируемых спуфером, к подлинным сигналам GPS.
Положение, о котором сообщалось в течение этого переходного периода, на рис. 12 не показано.
После t = 6,5 секунды GPS-приемник БПЛА начинает точно сообщать истинное положение БПЛА.
Но в этот момент БПЛА быстро движется на север и теряет высоту, поскольку отсутствие
надлежащей обратной связи по скорости приводит к экстремальной истинной скорости - около
17 м/с, что нарушает предположения контура управления ориентацией БПЛА. Вскоре после
этого БПЛА терпит крушение.

В результате ошибок оценки состояния, навязанных спуфером, оценки смещения акселерометра

БПЛА значительно изменяются в ходе эксперимента, что соответствует модели БПЛА в разделе
4.1.1. Однако ошибочная оценка дрейфа акселерометра недостаточно велика, чтобы объяснить
удивительно затухающую эволюцию оценки скорости БПЛА vˆN между t = 4 секунды и t = 6 секунд,
которая, в отсутствие ошибок смещения акселерометра, приняла бы форму реальной траектории
скорости. Ответ на эту загадку может лежать в ошибках оценки ориентации БПЛА, которые
неверно направляют большую часть истинного ускорения на север в вертикальную координату
БПЛА, которая сильно ограничена баро-альтиметром.

6 Обсуждение

Предыдущий анализ и демонстрация показывают, что открытые методы захвата и управления БПЛА
практически реализуемы сегодня, в то время как скрытые методы значительно сложнее для
потенциального злоумышленника. Стоит отметить, что для подавляющего большинства
доступных в настоящее время коммерческих GPS-приемников и навигационных систем БПЛА
скрытый захват является синонимом открытого захвата. Например, управление БПЛА после захвата
в полевой демонстрации в разделе 5 было открытым по стандартам данной статьи; однако атака
не была обнаружена GPS-приемником жертвы или БПЛА.

Одна дополнительная проблема скрытого захвата была проигнорирована в разделе 3, где

предполагалось, что подстрекатель может контролировать мощность принимаемого имитируемого
сигнала на цели, устанавливая свою собственную мощность передачи. На практике влияние тени
от тела на мощность сигнала, принимаемого установленной на самолете GPS-антенной,
значительно для больших самолетов (Rao et al., 2006). Для небольших самолетов и определенных
положений установки антенны затенение телом становится незначительным, но влияние
диаграммы направленности усиления антенны остается значительным. Если спуфер работает под
небольшим углом возвышения, наблюдаемым целевой платформой, типичные антенны GPS будут
ослаблять имитируемые сигналы. Спуфер на низкой высоте может увеличить мощность передачи,
чтобы компенсировать это ослабление, но без априорного знания диаграммы усиления антенны,
которая зависит от модели антенны и места установки, спуфер должен принять большую
неопределенность в ослаблении на низкой высоте. И даже при наличии таких знаний, затухание
очень чувствительно к изменениям угла возвышения, что приводит к значительной остаточной
неопределенности. Эти эффекты гарантируют, что наземному спуферу будет трудно точно
определить преимущество в мощности η принимаемых спуфинговых сигналов.

Насколько известно авторам, все современные коммерческие гражданские GPS-приемники, даже те,
которые обеспечивают высокую целостность измерений, уязвимы к подделке гражданских GPS-
сигналов. Таким образом, представленные в данной статье методы широко применимы к
беспилотным летательным аппаратам, которые работают автономно или полуавтономно и зависят
от сигналов GPS для навигации. В навигационных системах летательных аппаратов могут
использоваться высокопроизводительные инерциальные датчики, но для полетов значительной
продолжительности необходимы измерения GPS, чтобы избежать дрейфа навигационного
решения, зависящего от строго не-GPS измерений. Таким образом, датчики с низким, но
ненулевым дрейфом ослабляют полномочия управления, возможные при атаке с подменой GPS,
но не предотвращают такую атаку.
7 Выводы

Злоумышленник, контролирующий критические измерения датчиков, производимые автономной

системой, обладает большой властью над этой системой. В данной работе исследовалась
возможность злоумышленника, передающего фальсифицированные сигналы GPS, влиять на
поведение автономного БПЛА.

Требования к открытому и скрытому захвату навигационной системы БПЛА были представлены

вместе с результатами испытаний спуфинг-атак на несколько коммерческих GPS-приемников.
Подвергая эти коммерческие приемники многократным спуфинговым атакам при различных
коэффициентах преимущества мощности спуфинга η, был сделан вывод, что если ошибки оценки
спуфером положения и скорости БПЛА ниже 50 м и 10 м/с, соответственно, спуфер способен
надежно и скрытно перехватить контуры слежения целевого приемника.

Полномочия спуфера по управлению целевым БПЛА после захвата были исследованы с помощью
упрощенных моделей для оценщика состояния БПЛА, установки и динамики контроллера. Анализ
динамики БПЛА и спуфера показал, что атака GPS-спуфинга может заставить БПЛА неосознанно
следовать траектории, навязанной спуфером. Было показано, что строгое верхнее ограничение на
величину траектории опорного ускорения БПЛА приводит к тому, что пример конструкции спуфера
проходит тест на скрытность, основанный на тестировании инноваций.

Наконец, полевые испытания показали, что разрушительная атака с подменой GPS против БПЛА с
вертолетом технически и оперативно осуществима. Эта демонстрация является доказательством
концепции для простого особого случая в широком классе атак GPS спуфинга против мобильных
целей.

Ссылки

Акос, Д. М. (2012). Кто боится спуфера? Обнаружение спуфинга GPS/GNSS с помощью

автоматической регулировки усиления (AGC). NAVIGATION, журнал Института навигации,
59(4):281-290.

Бахрах, А., Прентис, С., Хе, Р., и Рой, Н. (2011). RANGE-robust autonomous navigation in GPS-
denied environments. Журнал полевой робототехники, 28(5):644-666.

Бар-Шалом, Й., Ли, X. Р., и Кирубараджан, Т. (2001). Оценка с приложениями к отслеживанию

и навигации. John Wiley and Sons, New York.

Бернштейн, Г. М., Либерман, М., и Лихтенберг, А. Дж. (1989). Нелинейная динамика цифровой
петли с фазовой автоподстройкой. IEEE Transactions on Communications, 37(10):1062-1070.

Брааш, М. С. и Ван Дирендонк, А. (1999). Архитектуры GPS-приемников и измерения. Труды IEEE,

87(1):48-87.

Брумандан А., Джафарния-Джахроми А., Дехгаханян В., Нильсен Ж. и Лашапель Г. (2012).

Обнаружение спуфинга ГНСС в портативных приемниках на основе пространственной
корреляции сигналов. В материалах совещания IEEE/ION PLANS, Миртл-Бич, SC. Институт
навигации.

Браун, Р. Г. (1996). Глобальная система позиционирования: Теория и приложения, том 2, глава 5:

Автономный мониторинг целостности приемника, страницы 143-168. Американский институт
аэронавтики и астронавтики, Вашингтон, округ Колумбия.

Касл, Р. О., Клейн, Г., и Мюррей, Д. В. (2011). Широкозонная дополненная реальность с

использованием отслеживания камеры и отображения в нескольких регионах. Компьютерное
зрение и понимание изображений, 115(6):854-867.

Чоудхари, Г., Джонсон, Е. Н., Магри, Д., Ву, А. и Шейн, А. (2013). Навигация и управление
беспилотными летательными аппаратами с помощью монокулярного зрения в помещении и за
дверью без GPS. Журнал полевой робототехники, 30(3):415-437.
Кристоферсен, Х. Б., Пикелл, Р. В., Нейдхофер, Дж. К., Коллер, А. А., Каннан, С. К., и Джонсон, Е.
Н. (2006). Компактная система наведения, навигации и управления для беспилотных
летательных аппаратов. Журнал аэрокосмических вычислений, информации и связи, 3(5):187-213.
Де Лоренцо, Д. С., Готье, Ж., Райф, Ж., Энге, П. и Акос, Д. (2005). Адаптивная обработка массива
для отклонения помех GPS. В материалах совещания ION GNSS, Лонг-Бич, Калифорния.
Институт навигации.
Дехганян, В., Нильсен, Дж. и Лашапель, Г. (2012). Обнаружение спуфинга ГНСС на основе оценок
C/No приемника. В материалах совещания ION GNSS, Нэшвилл, TN. Институт навигации.
Дюррант-Уайт, Х. и Бейли, Т. (2006). Одновременная локализация и картирование: часть I.
Журнал IEEE Robotics & Automation, 13(2):99-110.
Европейский союз (2010). Европейская ГНСС (Galileo) сигнал открытой службы в космосе
контрольный документ интерфейса. Технический отчет, Европейский союз.
http://ec.europa.eu/enterprise/policies/satnav/galileo/ open-service/.

Фадали, М. С. и Визиоли, А. (2013). Цифровая техника управления: анализ и проектирование.

Academic Press.
Фленникен IV, В. С., Уолл, Дж. Х., и Бевли, Д. М. (2005). Характеристика различных источников
ошибок IMU и их влияние на навигационные характеристики. В материалах конференции ION
ITM, Лонг-Бич, Калифорния. Институт навигации.
Гарратт, М. А. и Чахл, Дж. С. (2008). Следование по местности на основе зрения для беспилотного
вертолета. Журнал полевой робототехники, 25(4-5):284-301.
Управление глобальной системы позиционирования (2012). Системная инженерия и интеграция
Спецификация интерфейса IS-GPS-200G. Технический отчет, Директорат Глобальной системы
позиционирования. http://www.gps.gov/ technical/icwg/.

Гупта, С. (1975). Петли с фазовой блокировкой. Труды IEEE, 63(2):291-306.

Херманн, Р. и Кренер, А. (1977). Нелинейная управляемость и наблюдаемость. IEEE
Transactions on Automatic Control, 22(5):728-740.

Хамфрис, Т. Е. (2013). Стратегия обнаружения для криптографического GNSS-антиподделки.

IEEE Transactions on Aerospace and Electronic Systems, 49(2):1073-1090.
Хамфрис, Т. Е., Бхатти, Дж. А., Шепард, Д. П., и Уэссон, К. Д. (2012). Техасская батарея
испытаний на спуфинг: На пути к стандарту для оценки методов аутентификации сигналов
ГНСС. В материалах совещания ION GNSS.
Хамфрис, Т. Е., Ледвина, Б. М., Псиаки, М. Л., О'Хэнлон, Б. В., и Кинтнер-младший, П. М. (2008).
Оценка угрозы спуфинга: разработка портативного гражданского спуфера GPS. В материалах
совещания ION GNSS, Саванна, штат Джорджия. Институт навигации.
Хамфрис, Т. Е., Псиаки, М. Л., и Кинтнер-младший, П. М. (2010). Моделирование влияния
ионосферной сцинтилляции на отслеживание фазы несущей GPS. IEEE Transactions on
Aerospace and Electronic Systems, 46(4):1624-1637.
Кендул, Ф. (2012). Обзор достижений в области наведения, навигации и управления беспилотными
вертолетными системами.
Журнал полевой робототехники, 29(2):315-378.
Ким, Дж. и Суккариех, С. (2003). Система навигации INS/GPS, дополненная баро-альтиметром,
для необитаемого летательного аппарата. Международный симпозиум по технологии
спутниковой навигации, Мельбурн, Австралия. Австралийское общество систем
глобального позиционирования.
Ледвина, Б. М., Бенче, В. Я., Галуша, Б., и Миллер, И. (2010). Встроенный модуль защиты от
спуфинга для устаревших гражданских GPS-приемников. В материалах ION ITM, Сан-Диего,
Калифорния. Институт навигации.
Ли, Дж. и Ун, К. (1982). Анализ производительности цифрового танлочного контура. IEEE
Transactions on Communi- cations, 30(10):2398-2411.

Линдси, В. и Чие, К. М. (1981). Обзор цифровых циклов с фазовой блокировкой. Труды IEEE,
69(4):410-431.

Ло, С., Де Лоренцо, Д. С., Энге, П., Акос, Д., и Брэдли, П. (2009). Аутентификация сигнала. Inside
GNSS, 0(0):30-39.

Мисра, П. и Энге, П. (2012). Глобальная система позиционирования: Сигналы, измерения и

производительность. Ganga- Jumana Press, Lincoln, MA, пересмотренное второе издание.

Монтгомери, П. Й., Хамфрис, Т. Е., и Ледвина, Б. М. (2009). Многоантенная защита: Автономное

обнаружение спуфинга GPS с помощью приемника. Inside GNSS, 4(2):40-46.

Нуетци, Г., Вайс, С., Скарамуцца, Д., и Зигварт, Р. (2011). Объединение IMU и зрения для
абсолютной оценки масштаба в монокулярном SLAM. Журнал интеллектуальных и
робототехнических систем, 61(1):287-299.

О'Хэнлон, Б. В., Псиаки, М. Л., Бхатти, Дж. А., и Хамфрис, Т. Е. (2012). Обнаружение спуфинга
в реальном времени с использованием корреляции между двумя гражданскими GPS-
приемниками. В материалах совещания ION GNSS, Нэшвилл, TN. Институт навигации.

О'Хэнлон, Б. В., Псиаки, М. Л., Пауэлл, С. П., Бхатти, Ж. А., Хамфрис, Т. Е., Кроули, Г., и Буст, Г. С.
(2011). CASES: Умный, компактный программный GPS-приемник для мониторинга космической
погоды. В материалах совещания ION GNSS, Портленд, ОР. Институт навигации.

Psiaki, M. L., O'Hanlon, B. W., Bhatti, J. A., and Humphreys, T. E. (2011). Обнаружение спуфинга GPS
для гражданских лиц на основе корреляции военных сигналов с помощью двух приемников. В
материалах совещания ИОН по ГНСС, Портленд, ОР. Институт навигации.

Psiaki, M. L., O'Hanlon, B. W., Bhatti, J. A., Shepard, D. P., and Humphreys, T. E. (2013). Обнаружение
спуфинга GPS с помощью корреляции военных сигналов с помощью двух приемников. IEEE
Transactions on Aerospace and Electronic Systems, 49(4):2250-2267.

Рао, Б. Р., Розарио, Е. Н., и Дэвис, Р. Дж. (2006). Анализ диаграммы направленности
излучения установленных на самолете антенн GPS и проверка с помощью испытаний
масштабной модели. В материалах совещания IEEE/ION PLANS. Институт навигации.

Саркар, Б. и Чаттопадхьяй, С. (1994). Новый взгляд на свойства приобретения цифровой фазовой

петли второго порядка. IEEE Transactions on Communications, 42(5):2087-2091.

Шепард, Д. П., Бхатти, Дж. А., Хамфрис, Т. Е., и Фэнслер, А. А. (2012a). Оценка уязвимости
интеллектуальных сетей и гражданских БПЛА к атакам спуфинга GPS. В материалах
совещания ION GNSS, Нэшвилл, TN. Институт навигации.
Шепард, Д. П. и Хамфрис, Т. Е. (2011). Характеристика реакции приемника на атаку спуфинга. In
Труды совещания ION GNSS, Портленд, ОР. Институт навигации.
Шепард, Д. П., Хамфрис, Т. Е., и Фэнслер, А. А. (2012b). Оценка уязвимости блоков измерения
фазоров к атакам GPS-спуфинга. Международный журнал по защите критической
инфраструктуры, 5(3-4):146-153.

Спилкер-младший, Дж. Дж. (1996). Глобальная система позиционирования: Теория и приложения, глава
3: Структура сигнала GPS и теоретические характеристики, страницы 57-119. Американский
институт аэронавтики и астронавтики, Вашингтон, округ Колумбия.

Стивенс, С. А. и Томас, Дж. Б. (1995). Формула с управляемым корнем для цифровых

фазовращающих контуров. IEEE Transactions on Aerospace and Electronic Systems, 31(1):78-95.
Типпенхауэр, Н. О., Поппер, К., Расмуссен, К. Б., и Капкун, С. (2011). О требованиях для успешных
атак на спуфинг GPS. Труды конференции ACM по безопасности компьютеров и коммуникаций,
стр. 75-86, Чикаго, штат Иллинойс. Association for Computing Machinery.
Ван Дирендонк, А. Дж. (1996). Глобальная система позиционирования: Теория и приложения, глава 8:
GPS-приемники, страницы 329-407. Американский институт аэронавтики и астронавтики,
Вашингтон, округ Колумбия.
Уорд, П. В. (1994). Мониторинг, смягчение и методы анализа радиочастотных помех GPS-
приемника. NAVI- GATION, Journal of the Institute of Navigation, 41(4):367-391.
Уорнер, Дж. С. и Джонстон, Р. Г. (2003). Простая демонстрация того, что Глобальная система
позиционирования (GPS) уязвима для спуфинга. Журнал "Управление безопасностью".
Вайс, С., Скарамуцца, Д., и Зигварт, Р. (2011). Монокулярная навигация на основе SLAM для
автономных микро-вертолетов в условиях отсутствия GPS. Журнал полевой робототехники,
28(6):854-874.
Вендель, Й., Майстер, О., Шлейле, К. и Троммер, Г. Ф. (2006). Интегрированная навигационная
система GPS/MEMS-IMU для автономного вертолета. Аэрокосмическая наука и техника,
10(6):527-533.
Уэссон, К. Д., Эванс, Б. Л., и Хамфрис, Т. (2013). Комбинированный метод защиты от спунга с
помощью симметричной разности и мониторинга мощности ГНСС. В материалах
Всемирной конференции IEEE по обработке сигналов и информации, Остин, штат Техас.
Институт инженеров по электротехнике и электронике.
Вессон, К. Д., Ротлисбергер, М., и Хамфрис, Т. Е. (2012). Практическая криптографическая
аутентификация сигналов GPS в гражданских целях. NAVIGATION, журнал Института
навигации, 59(3):177-193.
Уэссон, К. Д., Шепард, Д. П., Бхатти, Дж. А., и Хамфрис, Т. Е. (2011). Оценка защиты от
нежелательного сигнала для защиты от спуфинга GPS в гражданских целях. В материалах
совещания ИОН по ГНСС, Портленд, ОР. Институт навигации.
Zhuang, W. (1996). Анализ производительности наблюдаемой фазы несущей GPS. IEEE Transactions
on Aerospace and Electronic Systems, 32(2):754-767.