1. Анализ паттернов перемещения

Аномальные траектории:

• Беспилотники движутся по прямолинейным траекториям с постоянной скоростью (50-200+ км/ч)

• Обычные пользователи: хаотичное движение, остановки, привязка к дорогам

• Детекция через анализ хэндоверов (переключений между базовыми станциями)

Векторный анализ:

• Направление движения к стратегическим объектам (НПЗ)

• Отклонение от типичных маршрутов (автодороги, железные дороги)

2. Анализ высоты подключения

Геометрический метод:

• Анализ силы сигнала от нескольких базовых станций

• Беспилотники на высоте 50-3000м дают нетипичный профиль мощности сигнала

• Наземные пользователи: затухание сигнала от зданий, рельефа

3. Поведенческий анализ

Профиль использования:

• Короткое время активности (время полёта до цели)

• Минимальный трафик данных (только телеметрия/команды)

• Отсутствие типичного использования: нет звонков, SMS, соцсетей, браузинга

• Активация сразу в движении (без "прогрева" в статике)

Временные паттерны:

• Одноразовое использование

• Активация группами (волнами атак)

4. Технические сигнатуры

Характеристики соединения:

• Допплеровский сдвиг частоты (из-за высокой скорости)

• Быстрая смена сот без типичных пауз

• Специфический timing advance (расстояние до БС)

Сетевой трафик:

• Низкий объём данных с регулярными интервалами

• Использование специфических протоколов (UDP для телеметрии)

• Отсутствие HTTPS/TLS трафика социальных приложений

5. Геопространственный анализ

Зоны риска:

• Создание виртуальных коридоров от границы к НПЗ

• Повышенное внимание к SIM-картам в этих зонах

• Корреляция с данными радаров ПВО (если доступны)

6. Машинное обучение

Модели детекции:

• Обучение на исторических данных атак

• Выявление аномалий в режиме реального времени

• Комбинация всех вышеперечисленных признаков

Ключевые фичи для ML:

• Скорость движения

• Прямолинейность траектории

• Профиль мощности сигнала

• Отсутствие типичных приложений

• Направление к критической инфраструктуре

7. Система раннего предупреждения

Многоуровневая детекция:

• Уровень 1: Автоматический анализ всех активных соединений

• Уровень 2: Подозрительные SIM попадают на ручную проверку

• Уровень 3: Подтверждённые угрозы → блокировка + передача координат ПВО

Минимизация false positives:

• Whitelist для известных пользователей (авиакомпании, дроны-доставки)

• Градация мер: от мониторинга до немедленной блокировки

8. Интеграция систем

• Связь с системами ПВО для перекрёстной проверки

• Данные от радаров

• Информация от пограничных служб

Критичное для минимизации влияния на граждан:

• Высокая точность детекции (>99%)

• Быстрая разблокировка ложных срабатываний

• Прозрачные процедуры апелляции

Какой из этих методов тебя интересует более детально?

1. Неэффективность против целевой угрозы

Легко обходится:

• Противник может активировать SIM-карты заранее и держать их в сети страны А (через ретрансляторы на границе)

• Можно использовать "прогретые" SIM-карты, которые периодически подключаются к сети

• Достаточно одного устройства в стране А, подключающего сотни SIM одновременно

Не решает проблему обнаружения:

• Беспилотник всё равно может летать с активной SIM-картой, которая была в сети последние 72 часа

• Мера не детектирует угрозу, а пытается её предотвратить через неселективный барьер

2. Массовое влияние на легитимных пользователей

Путешественники и командировочные:

• Граждане страны А, вернувшиеся из-за границы, теряют интернет на сутки

• Бизнесмены, туристы - основной удар по экономически активному населению

• Особенно критично для тех, кто приехал по срочным делам

Трансграничные жители:

• Люди, живущие у границы и работающие в соседних странах

• Регулярно попадают под блокировку при пересечении границы

Роуминг и международные SIM:

• Иностранцы, посещающие страну А (туризм, бизнес)

• Создаёт негативный имидж страны

3. Экономический ущерб

Бизнес-сектор:

• Сотрудники в командировках теряют связь сразу по прибытию

• Невозможность оперативной коммуникации для бизнеса

• Отпугивание иностранных инвесторов и партнёров

Транспортная логистика:

• Водители грузовиков, пересекающие границу

• Курьерские службы

• IoT-устройства в транспорте (трекинг грузов)

4. Технические проблемы

Определение "отсутствия в сети":

• Что если телефон просто был выключен? (разрядился, выключен в самолёте)

• Плохое покрытие в отдалённых районах

• Технические сбои оператора

False positives:

• Огромное количество ложных срабатываний

• Перегрузка службы поддержки операторов

• Недовольство клиентов

5. Непропорциональность меры

Масштаб vs эффект:

• Затрагиваются миллионы легитимных пользователей

• Ради попытки затруднить использование 100-200 SIM в день

• Соотношение польза/вред крайне негативное

Альтернативы:

• Целевые методы детекции (описанные ранее) затрагивают только реальные угрозы

• Точечная блокировка подозрительных SIM вместо массовых ограничений

6. Правовые и репутационные риски

Ограничение прав:

• Коллективное наказание без индивидуальной вины

• Ограничение доступа к информации для законопослушных граждан

• Возможные судебные иски

Международный имидж:

• Восприятие как репрессивная мера

• Негативное освещение в международных СМИ

• Снижение туристической привлекательности

7. Операционная сложность

Нагрузка на операторов:

• Необходимость отслеживания статуса всех SIM

• Массовые обращения в поддержку

• Процедуры восстановления доступа

Обход через VPN и другие методы:

• Пользователи найдут способы обхода, усложняя мониторинг

• Создание теневого рынка решений

Альтернативное решение:

Вместо этого более эффективно:

1. Селективный подход: Блокировать только SIM-карты с подтверждённым подозрительным поведением (по критериям детекции выше)

2. Градация мер:

   • Мониторинг → ограничение скорости → блокировка

   • Не всё сразу и не для всех

3. Whitelist-система: Предварительная регистрация для легальных пользователей (бизнес, логистика)

4. Фокус на покупке: Ужесточить KYC при продаже SIM-карт, лимиты на количество

Вывод: Предложенная мера — это "стрельба из пушки по воробьям", которая создаёт больше проблем, чем решает, и легко обходится противником.