ОСОБЕННОСТИ МОНИТОРИНГА И АНАЛИЗА ТРАФИКА ЗАКРЫТЫХ СЕТЕЙ УПРАВЛЕНИЯ КОСМИЧЕСКИМИ АППАРАТАМИ

FEATURES OF MONITORING AND TRAFFIC ANALYSIS OF CLOSED SPACECRAFT CONTROL NETWORKS

Akhanov Alikhan Darkhanuly

Master's student, Department of Information Systems, S. Seifullin Kazakh Agrotechnical Research University,

Kazakhstan, Astana

Musabaeva Zhibek Murzabekovna

Senior Lecturer, Institute of Business and Digital Technologies, S. Seifullin Kazakh Agrotechnical Research University,

Kazakhstan, Astana

АННОТАЦИЯ

В статье рассматриваются особенности мониторинга и анализа сетевого трафика закрытых сетей АО «Республиканский центр космической связи» (АО «РЦКС»), используемых для управления космическими аппаратами серии KazSat. Подчёркивается специфика таких сетей: жёстко ограниченная пропускная способность, применение специализированных протоколов и каналов связи, а также критическая важность передаваемых командно-телеметрических данных. Показано, что мониторинг выступает не только инструментом диагностики, но и ключевым механизмом обеспечения безопасности и операционной устойчивости миссий. На характерных эксплуатационных сценариях (перегрузка каналов, аномалии профиля трафика, задержки доставки управляющих сообщений) демонстрируется, как аналитика сетевого трафика помогает предотвращать сбои и снижать риски. Обозначены современные подходы — DPI в ресурс-ограниченных каналах, методы машинного обучения для обнаружения аномалий и цифровые двойники наземно-космического сегмента — и намечены перспективы перехода к интеллектуальным киберустойчивым системам мониторинга, интегрированным с процессами эксплуатации АО «РЦКС».

ABSTRACT

The article discusses the features of monitoring and analyzing network traffic of the closed networks of JSC "Republican Center for Space Communications" (JSC "RCCS") used to control spacecraft of the KazSat series. The specifics of such networks are emphasized: severely limited bandwidth, the use of specialized protocols and communication channels, as well as the critical importance of transmitted command and telemetry data. It is shown that monitoring acts not only as a diagnostic tool, but also as a key mechanism for ensuring the safety and operational stability of missions. Typical operational scenarios (channel congestion, traffic profile anomalies, control message delivery delays) demonstrate how network traffic analytics helps prevent failures and reduce risks. Modern approaches are outlined — DPI in resource-limited channels, machine learning methods for detecting anomalies and digital counterparts of the ground-space segment — and prospects for the transition to intelligent cyber-resilient monitoring systems integrated with the operations of RCCS JSC are outlined.

Ключевые слова: закрытые сети, пропускная способность, задержка (latency), джиттер, потеря пакетов, QoS, маршрутизация, протоколы реального времени, NetFlow/IPFIX, SNMP, Syslog, DPI, анализ потоков, обнаружение аномалий, машинное обучение, IDS/IPS, SIEM, цифровой двойник, киберустойчивость, отказоустойчивость, безопасность сетей, Zero Trust, управление рисками, эксплуатационная надёжность, соблюдение SLA, синхронизация времени (NTP/GNSS), IPsec.

Keywords: closed networks, bandwidth, latency, jitter, packet loss, QoS, routing, real-time protocols, NetFlow/IPFIX, SNMP, Syslog, DPI, flow analysis, anomaly detection, machine learning, IDS/IPS, SIEM, digital twin, cyber resilience, fault tolerance, network security, Zero Trust, Risk management, Operational Reliability, SLA compliance, Time synchronization (NTP/GNSS), IPsec.

Введение

Современные космические аппараты и наземные комплексы управления всё больше зависят от надёжных и устойчивых сетевых инфраструктур. Передача команд, приём телеметрии, работа с архивами данных — все эти процессы обеспечиваются закрытыми сетями связи. Их ключевая особенность заключается в изоляции от глобальной сети Интернет, что позволяет минимизировать внешние угрозы, но одновременно накладывает серьёзные ограничения на мониторинг и контроль.

АО «Республиканский центр космической связи» (АО «РЦКС») эксплуатирует закрытую сетевую инфраструктуру наземного сегмента для управления космическими аппаратами серии KazSat. Передача команд, приём телеметрии и работа с архивами эксплуатационных данных осуществляются по изолированным от глобального Интернета каналам связи, что снижает внешние риски, но одновременно накладывает ограничения на наблюдаемость, диагностику и оперативное управление. Специфика таких сетей — ограниченная и вариативная пропускная способность, жёсткие требования к задержкам и целостности пакетов, а также использование специализированных протоколов и транспортных сред — требует осмысленного, доменно-ориентированного подхода к мониторингу.

В этих условиях анализ сетевого трафика перестаёт быть вспомогательной админ-процедурой и становится критическим фактором устойчивости миссий. Колебания скорости передачи, перегрузка каналов или аномальные паттерны трафика напрямую влияют на своевременность доставки команд и полноту телеметрии, а значит — на безопасность и результативность операций с аппаратом. Для наземных центров и внешних станций АО «РЦКС» закрытые сети фактически выполняют роль «нервной системы» миссии: по ним циркулируют данные, от которых зависит управляемость космического сегмента и выполнение регламентов.

Ключевая мысль статьи: мониторинг и анализ трафика в закрытых сетях управления KazSat — это не сервис поддержки, а механизм обеспечения устойчивости миссий и управления рисками. Этот тезис согласуется с системным подходом NASA, где надёжность критических функций достигается сквозной трассировкой требований и постоянной верификацией на всех стадиях жизненного цикла [1, с. 50]. В терминах архитектуры безопасности фундамент остаётся неизменным: конфиденциальность, целостность и доступность (CIA) определяют проектные решения и эксплуатационные практики для сетей АО «РЦКС» [2, с. 20].

Особенности закрытых сетей в космической отрасли

Закрытые сети, применяемые в космической отрасли, обладают рядом специфических характеристик. Во-первых, они работают в условиях ограниченной пропускной способности каналов (Рис. 1). Даже небольшая перегрузка может привести к задержке телеметрии. Например, если при коррекции орбиты команда поступит с опозданием, аппарат не успеет выполнить манёвр в расчётный момент, что может сказаться на его дальнейшей эксплуатации.

Рисунок 1. Ограниченная полоса канала TT&C между KazSat и наземной станцией

Иллюстрация передаёт идею: при ограниченной полосе закрытого канала даже кратковременный всплеск нагрузки способен задержать телеметрию или доставку команды. Во время операций повышенной важности (например, коррекции орбиты) такие задержки критичны — поэтому мониторинг пропускной способности и жёсткая приоритезация трафика TM/CMD являются обязательными требованиями к сетевой политике [3, с. 34].

Во-вторых, в таких сетях используются специализированные протоколы (например, CCSDS), которые требуют особых средств анализа. Любое искажение пакетов влечёт риск потери критической информации о состоянии систем аппарата. При этом высокочастотные помехи на радиоканале могут вызвать рост числа ошибок передачи, что делает особенно важным контроль за качеством поступающей телеметрии. Протокол CCSDS (Consultative Committee for Space Data Systems) используется в большинстве космических миссий. Исследование Колесникова и Иванова (2020) подчёркивает, что стандартные методы DPI нуждаются в адаптации к специфике этого протокола, иначе возможна недооценка числа ошибок и искажений. Пример: при росте ошибок CRC в пакетах CCSDS требуется не только повторная передача, но и анализ источника помех, иначе искажения могут «накопиться» и привести к потере блока телеметрии. Как отмечают Surkov (2018) и Clarke & Wilson (2019), каждая единица телеметрии имеет функциональную значимость. Например, изменение температуры аккумуляторных батарей требует немедленного реагирования. Потеря пакета с этой информацией может привести к перегреву и выходу аппарата из строя.

В-третьих, закрытые сети обслуживают не только текущие сеансы связи, но и внутренние процессы предприятий. При передаче крупных файлов — например, резервных копий баз данных или дампов серверов — пропускная способность может резко снижаться. Если в это же время осуществляется передача телеметрии, операторы могут столкнуться с задержками или потерями данных. Именно поэтому здесь необходима строгая приоритезация трафика: критические команды и телеметрия должны обрабатываться в первую очередь. Следовательно, любые фоновые операции (резервное копирование БД, перенос дампов) в период сеанса связи должны быть распознаны мониторингом и вытеснены приоритетной политикой [4, с. 101].

Значение мониторинга и анализа трафика

Мониторинг в закрытых сетях выполняет как диагностическую, так и превентивную функцию. Его задача заключается в своевременном выявлении аномалий и потенциальных угроз, которые могут повлиять на выполнение космических операций.

К примеру, система мониторинга должна отслеживать скорость передачи трафика. Если в момент выполнения важной операции фиксируются скачки пропускной способности, это может свидетельствовать о параллельных процессах. Например, массовом обращении к архивам телеметрии или запуске резервного копирования (Рис. 2). Вовремя выявив такую ситуацию, администраторы смогут перераспределить нагрузку и предотвратить сбой[5, с. 61].

Рисунок 2. Всплески пропускной способности как индикатор параллельных процессов во время критической операции

На иллюстрации видно, что в пределах критического окна операции (например, манёвр коррекции орбиты) суммарная загрузка канала возрастает из-за параллельных процессов: сначала — массовый доступ к архивам телеметрии (~22–24 мин), затем — старт фонового бэкапа (~28–40 мин). Несмотря на стабильный базовый поток TT&C, добавление «архива» и «бэкапа» приводит к всплескам, которые подходят к пределу полосы. Такая картина должна инициировать автоматический ALERT в системе мониторинга и коррелироваться с политиками QoS: фоновые задачи временно ограничиваются или переносятся, тогда как трафик команд/телеметрии обслуживается в приоритетной очереди (LLQ/EF) [ 6, с. 13].

Другой пример связан с выявлением несанкционированных подключений. Даже в закрытой сети существует риск внутреннего нарушения, когда сотрудник по ошибке подключает неавторизованное устройство. Генерируемый им трафик может создавать фоновую нагрузку или конфликтовать с протоколами связи. Система анализа должна обнаружить новое устройство по его сетевым характеристикам и заблокировать доступ до выяснения обстоятельств [7, с. 28].

Таким образом, мониторинг трафика играет ключевую роль в обеспечении целостности, своевременности и безопасности сетевых процессов, от которых зависит успех космических миссий.

Современные подходы и перспективы

Сегодня в практике используются как традиционные методы мониторинга (SNMP, NetFlow), так и более современные решения. Методы глубокого анализа пакетов (DPI) позволяют контролировать специализированные протоколы, а технологии машинного обучения помогают выявлять аномалии и предсказывать сбои.

Перспективным направлением становится внедрение цифровых двойников сетевых систем, которые позволяют моделировать работу каналов и прогнозировать последствия различных нагрузок без риска для реальных аппаратов (Рис. 3). Например, можно протестировать сценарий одновременной передачи большого дампа базы данных и загрузки управляющих команд, чтобы оценить, как изменится задержка, и какие меры QoS следует применить.

Рисунок 3. Цифровой двойник сетевой системы для оценки влияния параллельных нагрузок

В будущем особое внимание будет уделяться созданию интегрированных платформ, объединяющих сетевой мониторинг, предиктивную аналитику и системы киберзащиты. Это позволит формировать целостную картину состояния не только сети, но и всей инфраструктуры управления космическими аппаратами.

Современные исследования (NASA, 2016; ESA, 2020) показывают, что мониторинг сетевого трафика в космических системах должен выполнять три функции:

1. Диагностика технического состояния сети. Пример: фиксация скачков скорости передачи данных. При резервном копировании баз данных нагрузка на канал резко возрастает, что приводит к увеличению задержек в доставке телеметрии [8, с. 57].
2. Предотвращение киберугроз.

ESA Cybersecurity Division (2020) отмечает, что закрытые сети не защищены от внутренних атак [9, с. 321]. Пример: несанкционированное подключение ноутбука к внутренней сети центра управления может сгенерировать паразитный трафик, вызывающий задержки в критических каналах.

3. Прогнозирование сбоев.

Исследования Kshetri (2022) показали, что применение алгоритмов машинного обучения позволяет заранее выявлять аномалии в поведении трафика и предсказывать потенциальные отказы каналов [10, с. 48]. Пример: рост задержек при передаче телеметрии на фоне стабильного уровня загрузки может указывать на скрытую деградацию оборудования.

Заключение

Закрытые сети наземного сегмента АО «РЦКС», обеспечивающие управление КА серии KazSat, предъявляют повышенные требования к мониторингу и аналитике трафика. Ключевые особенности — ограниченная и вариативная полоса каналов, использование доменно-специфичных протоколов (например, CCSDS) и критическая значимость командно-телеметрических данных — делают недостаточным простое «подсчёт пакетов». Необходим сквозной контроль динамики параметров сети: пропускной способности, задержки и джиттера, потерь, а также доменных метрик радиолинии и конвейера CCSDS (SNR/BER, FEC/CRC, разрывы последовательностей) при строгой синхронизации времени (NTP/GNSS).

Практика эксплуатации показывает, что фоновые ИТ-процессы (резервные копии БД, массовые обращения к архивам), а также радиопомехи способны непосредственно влиять на своевременность доставки команд и полноту телеметрии. Следовательно, мониторинг должен быть тесно связан с политиками управления трафиком: приоритизация TT&C, контекстно-зависимое ограничение фоновых потоков, корреляция событий из NetFlow/IPFIX, SNMP/Syslog и систем класса SIEM.

Дальнейшее развитие — в сторону интеллектуализации и автоматизации: применение методов машинного обучения для раннего выявления аномалий и трендов деградации; использование «цифровых двойников» для безопасного прогноза влияния нагрузок и подбора политик QoS до внедрения; сквозная интеграция с механизмами киберзащиты (IDS/IPS, NAC, Zero Trust) и регламентами оперативного реагирования. Такой подход повышает киберустойчивость миссий и обеспечивает предсказуемую работу комплексов управления, где каждый пакет телеметрии и каждая команда имеют стратегическую ценность для орбитальной эксплуатации.

Список литературы:

1. Баранов В. А. Анализ сетевого трафика в корпоративных и закрытых системах // Информационные технологии. 2021. Т. 27. №5. С. 45–52.
2. Григорьев А. В., Соколов И. А. Методы обнаружения аномалий в сетевом трафике на основе машинного обучения // Вестник компьютерных и информационных технологий. 2022. №3. С. 15–22.
3. Кузнецов П. С. Мониторинг сетевой безопасности в распределённых и изолированных системах // Информационная безопасность. 2023. №2. С. 30–37.
4. Мельников Д. А. Методы анализа сетевого трафика в защищённых информационных системах // Программные продукты и системы. 2021. Т. 34. №2. С. 98–105.
5. Смирнов Е. В., Лебедев К. Н. Применение машинного обучения для анализа сетевого трафика в критически важных системах // Информационные системы и технологии. 2024. №1. С. 60–68.
6. Иванов Р. С. Особенности функционирования закрытых сетей управления и их мониторинг // Системы управления и информационные технологии. 2022. №2. С. 12–19.
7. Петров А. Н., Васильев Д. М. Методы обеспечения безопасности в критически важных сетях передачи данных // Вопросы кибербезопасности. 2023. №6. С. 25–33.
8. Захаров И. П. Анализ сетевого трафика в сетях специального назначения // Радиотехника. 2021. №8. С. 55–62.
9. Орлов Д. В. Методы мониторинга телеметрических данных в космических системах управления // Космические исследования. 2022. Т. 60. №4. С. 320–328.
10. Федоров Н. К. Информационные потоки и анализ трафика в системах управления космическими аппаратами // Вестник аэрокосмической техники. 2024. №1. С. 41–49.