derolvanaiinoorslasd: SIGINT/COMINT & anomaliedetectie

Wanneer “stilte” ineens belangrijk wordt

Tijdens een gespannen nacht in de regio lopen waarschuwingen over een mogelijke nieuwe golf aanvallen op. Luchtbeelden en satellietbeelden geven maar een deel van het verhaal: de tegenstander kan doelen verplaatsen, decoys inzetten, en juist zichtbare beweging vermijden. Tegelijk nemen Israëlische en Amerikaanse eenheden ongebruikelijke radiopieken waar, en er zijn minutenlange “dode zones” waarin normaal verkeer plots wegvalt. Is dat toeval, storing—of het begin van een gecoördineerde actie?

Hier komt SIGINT/COMINT in beeld: intelligence op basis van elektromagnetische emissies en communicatie. In high-tempo oorlogsvoering is dit vaak het vroegste signaal dat er iets verandert, maar het is ook ruisachtig, misleidbaar en context-afhankelijk. In deze les gaat het daarom om twee vaardigheden die elkaar versterken: begrijpen wat SIGINT/COMINT wél en níet zegt, en anomaliedetectie inzetten om uit grote signaalstromen snel “wat niet klopt” te halen—zonder schijnzekerheid te creëren.

Begrippen die je scherp moet hebben (en waarom onzekerheid centraal blijft)

SIGINT (Signals Intelligence) is de verzamelterm voor inlichtingen uit elektromagnetische signalen. COMINT (Communications Intelligence) is daar een subset van: informatie uit communicatie (spraak, datalinks, berichtenverkeer), vaak met focus op wie praat met wie, wanneer, hoe vaak, via welk kanaal—en soms ook de inhoud, afhankelijk van toegang en encryptie. SIGINT is breder: ook niet-communicatieve emissies (bijv. radar, sommige datalinks, elektronische systemen) kunnen eronder vallen, maar in het veld lopen die categorieën regelmatig door elkaar.

Anomaliedetectie betekent: een systeem markeert patronen als “afwijkend” ten opzichte van een baseline (wat normaal is in tijd, plaats, band, netwerkgedrag of device-profiel). Het cruciale punt: een anomalie is geen conclusie (“dit is een aanval”), maar een triage-signaal (“dit wijkt af; check dit eerst”). Dat sluit direct aan op de kern uit de eerdere ISR-lessen: AI helpt vooral met schaal en prioritering, maar kan ook leiden tot automation bias en false positives als je onzekerheid en context niet expliciet houdt.

Een nuttige analogie is ziekenhuis-triage, maar nu voor radiospectrum-data: anomaliedetectie is de verpleegkundige die zegt “deze patiënt wijkt af van normaal—direct naar voren.” De arts (analist) moet daarna bepalen of het gaat om een echte noodsituatie, een meetfout, of een onschuldige verklaring. In conflictcontext is die tweede stap extra belangrijk omdat tegenstanders actief sturen op misleiding: ze weten dat jij naar patronen kijkt.

Wat SIGINT/COMINT sterk maakt (en waar AI het verschil maakt)

1) COMINT als netwerkgedrag: metadata is vaak waardevoller dan “inhoud”

In moderne conflicten is de inhoud van communicatie vaak versleuteld of versnipperd over meerdere protocollen. COMINT verschuift daardoor in de praktijk vaak naar traffic analysis: patronen in frequentie, timing, duur, herhaling, route en relaties tussen zenders. AI helpt hier door enorme hoeveelheden events te clusteren en te scoren: welke nodes zijn nieuw, welke worden plots “centraal”, welke netwerken veranderen ritme? Dit is vooral nuttig wanneer je, net als bij beeld/video in de vorige les, niet zoekt naar “perfect bewijs” maar naar snelle prioritering.

Het risico is dat mensen metadata onderschatten (“zonder inhoud zegt het weinig”) of overschatten (“dit patroon bewijst intentie”). In werkelijkheid is metadata contextueel. Een piek in berichtenverkeer kan mobilisatie betekenen, maar ook een logistieke hapering of routine-rotatie. Daarom hoort een systeem naast de anomalie-score ook contextvelden te tonen: tijdvenster, geografische dekking, sensorconditie, en baselinekwaliteit. Als de baseline zwak is (bijv. net nieuw in een gebied), moet de score niet als harde waarheid worden gepresenteerd.

Best practices die direct aansluiten op ISR-principes (multi-source, onzekerheid, audit trails):

Mission-aware drempels: in een escalatievenster wil je meer sensitivity (meer alerts), maar je moet alert-overload actief beheren met prioriteitsregels.
Alternatieve verklaringen expliciet maken: “nieuwe node” kan ook een civiele repeater, storing, of friendly spillover zijn.
Auditability: log welke features (tijd, band, graph-centrality) de anomalie dreven; anders kun je achteraf niet leren of verantwoorden.

Typische misvattingen:

Misvatting: “metadata is neutraal.” In werkelijkheid kan de tegenstander juist metadata manipuleren (dummy chatter, timing-decoys).
Misvatting: “meer detecties is beter.” Net als bij video-detectie kan COMINT-alertspam de besluitketen verstoppen.

2) Het spectrum is een dynamische omgeving: normaliteit (baseline) is een bewegend doel

Anomaliedetectie werkt alleen als “normaal” betekenisvol en actueel is. In een oorlogsomgeving verandert normaliteit continu: eenheden verplaatsen, propagatie condities wisselen (dag/nacht, weer), tactieken passen zich aan, en elektronische oorlogsvoering (jamming/spoofing) verandert het meetbeeld. AI-systemen die hun baseline niet goed beheren, gaan óf alles als anomalie markeren (te gevoelig) óf echte afwijkingen missen (te star). Dit is dezelfde drift-problematiek die je bij computer vision zag: modellen die gisteren goed waren, kunnen vandaag stilletjes misleid worden.

Een goede baseline is daarom zelden één lijn; het is een set van verwachtingen per context: per locatie, band, tijdstip, en soms per operationele fase. Je wilt ook onderscheid maken tussen:

Seizoens-/ritmepatronen (dag-nacht, shiftwissels).
Eventgedreven patronen (na een aanval nemen noodnetwerken toe).
Sensor-artefacten (interferentie, ontvangstproblemen, kalibratie).

AI voegt waarde toe door adaptieve baselines en door features te combineren die mensen lastig tegelijk zien: bijvoorbeeld gelijktijdige verschuivingen in bandgebruik, geografische hotspots, en netwerkstructuur. Maar die adaptiviteit is ook een aanvalsvector: als een tegenstander langzaam “nieuw normaal” in je baseline kan trainen (low-and-slow), ga je op het kritieke moment niets meer zien.

Best practices:

Fail-soft output: markeer wanneer baselinebetrouwbaarheid laag is (“insufficient history”, “sensor degraded”), in plaats van een schone score.
Change-point detectie met vensters: werk met meerdere tijdschalen (minuten/uren/dagen) zodat je zowel spikes als geleidelijke shifts ziet.
Red-teaming tegen manipulatie: test expliciet scenario’s waarin de tegenstander jouw baseline probeert te “poisonen” met gecontroleerde ruis.

Veelvoorkomende valkuilen:

Automation bias: een hoge anomalie-score voelt als “bewijs”, terwijl het soms pure propagatie-ruis is.
Schijnzekerheid door dashboards: mooie grafieken zonder onzekerheidslabels maken escalatie makkelijker, niet veiliger.

3) Van anomalie naar besluit: triage zonder tunnelvisie (en met ketenverantwoordelijkheid)

Een anomalie wordt pas operationeel waardevol als je hem vertaalt naar een verifieerbare vraag in de ISR-keten. Dat is precies de end-to-end discipline uit de eerdere samenvatting: collection → processing → exploitation/analysis → dissemination/decision, met expliciete onzekerheid en menselijke controle. In SIGINT/COMINT zitten de grootste risico’s vaak in de “processing” laag: tijdsynchronisatie, geolocatie (als die er is), deduplicatie van signalen, en het scheiden van echte emitters van reflecties/artefacten. Als die laag rommelig is, ga je in de analysefase “fantoompatronen” zien—net zoals je bij video spooktracks kunt krijgen door slechte tijdstempels of registratiedrift.

De workflow die werkt is daarom: detecteer → contextualiseer → bevestig/weerleg → prioriteer vervolgcollection. AI ondersteunt vooral stap 1 en 2, maar stap 3 moet ontworpen zijn als expliciet menselijk (of op z’n minst multi-source) controlepunt. Een goede analistenvraag is niet “is dit vijandelijk?”, maar: “welke hypothese verklaart dit patroon, en welke aanvullende bron (radar, EO/IR, HUMINT, cyber, open bronnen) kan het snelst onderscheid maken?” Zo voorkom je tunnelvisie: een anomalie wordt geen doel op zichzelf, maar een trigger voor gericht verificatiewerk.

Hier helpt het om output te standaardiseren als beslis-artefact, niet als technisch detail. Denk aan een korte kaart per anomalie:

Wat: type afwijking (spike, stilte, nieuwe node, topo-wijziging).
Waar/wanneer: tijdvenster + gebied + sensorconditie.
Hoe zeker: score + baselinekwaliteit + alternatieven.
Wat nu: aanbevolen verificatie (bijv. extra collection, cross-check met andere bron).

Onderstaande visual helpt om de keten van “ruwe signalen” naar “actie” scherp te houden.

[[flowchart-placeholder]]

SIGINT vs COMINT vs anomaliedetectie: wat je wel en niet mag concluderen

Wanneer teams onder tijdsdruk werken, lopen begrippen snel door elkaar. Dit overzicht helpt om taal en verwachtingen strak te houden—belangrijk om schijnzekerheid richting commandovoering te voorkomen.

Dimensie	SIGINT (breed)	COMINT (subset)	Anomaliedetectie (AI-functie)
Wat het is	Inlichtingen uit elektromagnetische emissies (incl. communicatie en andere signalen).	Inlichtingen uit communicatieverkeer (metadata en soms inhoud).	Methode om afwijkingen t.o.v. een baseline te markeren en te rangschikken.
Typische output	Emitters/activiteitspatronen, soms geolocatie of bandgebruik, vaak met onzekerheid.	Netwerkgedrag: wie/wanneer/hoe vaak, volumes, timing; soms inhoudelijke indicatoren.	Score + type anomalie + context (baselinekwaliteit, tijd/locatie, feature-drivers).
Sterk in	Vroegtijdige indicaties van activiteit, ook bij weinig visuele zichtbaarheid.	Organisatie- en coördinatiepatronen; ritme en structuur van commandovoering.	Triage op schaal: snelle “wat verdient aandacht” in enorme datastromen.
Kan makkelijk misgaan door	Interferentie, propagatie-effecten, EW, onjuiste processing of foutieve attributie.	Encryptie, dummy chatter, timing-decoys, verkeerde aannames over “normaliteit”.	Drift, baseline-poisoning, alert-overload, automation bias door hoge scores.
Goede praktijkregel	Toon onzekerheid en sensorconditie; log processing-stappen (lineage).	Behandel metadata als hypothese-generator; check altijd alternatieven.	Gebruik mission-aware drempels; output moet fail-soft zijn en auditbaar.

Twee uitgewerkte voorbeelden uit het conflict: hoe anomalieën je (niet) moeten sturen

Voorbeeld 1: “Radiostilte” vlak vóór een gemengde aanval

Stel: in de uren voor een verwachte aanval zie je in meerdere gebieden een onverwachte daling in bepaald communicatieverkeer. Een naïeve interpretatie is: “ze gaan stil, dus er komt iets groots.” Maar radiostilte kan ook door jamming, netwerkuitval, power issues, of tactische herconfiguratie aan eigen kant ontstaan. De juiste eerste stap is daarom het anomalietype scherp definiëren: gaat het om een echte afname in zenderactiviteit, of om een waarnemingsdaling (sensor degrade/interferentie)? AI kan hier helpen door baseline-vergelijking per sensor en door correlaties: als meerdere onafhankelijke sensoren dezelfde dip zien, wordt de hypothese “echte stilte” sterker—maar nog steeds niet bewezen.

Vervolgens vertaal je dit naar gerichte verificatie in de ISR-keten. Je kunt bijvoorbeeld:

Controleren of er gelijktijdig bandverschuiving is (zelfde netwerk, andere frequenties) of een overstap naar alternatieve kanalen.
Zoeken naar compensatiegedrag: korte bursts, minder nodes, andere timing—patronen die passen bij emissiebeperking.
Parallel andere bronnen inzetten: EO/IR voor ongebruikelijke verplaatsingen, radar voor inbound objecten, en cyber/OSINT voor storingsmeldingen.

De impact van goede anomaliedetectie is hier snelheid: je signaleert “iets verandert” vroeg genoeg om collection te herprioriteren. De beperking is dat “stilte” zelden één betekenis heeft; als je dit als zekerheid briefed, vergroot je escalatierisico door interpretatiefouten.

Voorbeeld 2: Nieuwe “centrale node” in COMINT tijdens launcher-hunting

Je volgt mogelijke mobiele lanceerplatformen waar “shoot-and-scoot” tactieken verwacht worden. In COMINT ziet het AI-systeem plots een nieuwe node die snel veel verbindingen lijkt te maken (hogere centraliteit in het netwerk). Dat kan wijzen op een tijdelijke commandopost, een relay, of coördinatie rond verplaatsing. Maar het kan ook een civiele infrastructuurnode zijn die door omstandigheden plots drukker wordt, of een artefact van betere ontvangst in dat gebied. De eerste analytische stap is daarom: wat veranderde er precies? Is het het aantal unieke peers, de duur van sessies, timing-regulariteit, of alleen een volume-spike?

Daarna dwing je jezelf tot een gecontroleerde ketenreactie in plaats van “target fixation”:

Contextualiseer: waar ligt de node, hoe stabiel is de geolocatie (als die bestaat), en hoe verhoudt het zich tot bekende routes/gebieden?
Vergelijk met baseline per tijdstip: in veel gebieden zijn er voorspelbare pieken (bijv. nachtelijke verplaatsingen, shiftwissels).
Vraag om multi-source checks: kan EO/IR in hetzelfde venster een relevante verplaatsing zien? Steunt andere sensing (bijv. radar tracks of ground reports) de hypothese?

Operationeel voordeel: je krijgt een scherpe shortlist voor vervolgcollection en voorkomt dat je schaarse ISR-assets breed blijft “zoeken”. Beperking: als je AI de “centrale node” als harde conclusie laat presenteren, kan een tegenstander dit uitbuiten met dummy-relays of gecontroleerde chatter om jouw aandacht weg te trekken.

Wat je vandaag vooral meeneemt

SIGINT/COMINT met anomaliedetectie is geen magische waarheidsmachine; het is een triage-versneller voor het vinden van betekenisvolle afwijkingen in een spectrum dat continu beweegt. De kwaliteit hangt minder af van één model en meer van ontwerpkeuzes: baselines die drift aankunnen, output die onzekerheid zichtbaar houdt, en een workflow waarin anomalieën automatisch leiden tot verifieerbare vervolgvraagstukken in de ISR-keten.

Next, we'll build on this by exploring Multisource fusie, confidence & validatie [30 minutes].

Last modified: Wednesday, 11 March 2026, 10:52 AM

AI in moderne oorlogsvoering

Evolutie van AI in conflicts

Quiz: Evolutie van AI in conflicts

Kernbegrippen: autonomie &amp; sensoren

Quiz: Kernbegrippen: autonomie &amp; sensoren

Narrow AI, ML vs generatieve AI

Quiz: Narrow AI, ML vs generatieve AI

Kill chain/OODA + risico’s &amp; bias

Quiz: Kill chain/OODA + risico’s &amp; bias

Inlichtingen en doelbepaling met AI

ISR-keten &amp; AI-toepassingen

Quiz: ISR-keten &amp; AI-toepassingen

Beeld/video: detectie, tracking, classificatie

Quiz: Beeld/video: detectie, tracking, classificatie

SIGINT/COMINT &amp; anomaliedetectie

Quiz: SIGINT/COMINT &amp; anomaliedetectie

Multisource fusie, confidence &amp; validatie

Quiz: Multisource fusie, confidence &amp; validatie

Autonome systemen en human control

Autonomie-niveaus en rol mens

Quiz: Autonomie-niveaus en rol mens

Autonome UAV’s, loitering &amp; zwermen

Quiz: Autonome UAV’s, loitering &amp; zwermen

Sensor-to-shooter &amp; safety modes

Quiz: Sensor-to-shooter &amp; safety modes

AI in cyber, informatie en misleiding

AI in cyber: detectie tot respons

Quiz: AI in cyber: detectie tot respons

GenAI voor invloed: narratieven op schaal

Quiz: GenAI voor invloed: narratieven op schaal

Deepfakes &amp; misleiding tegen AI-systemen

Quiz: Deepfakes &amp; misleiding tegen AI-systemen

Governance, recht en escalatierisico

IHL/LOAC en AI-besluitvorming

Quiz: IHL/LOAC en AI-besluitvorming

Aansprakelijkheid en verantwoordelijkheid

Quiz: Aansprakelijkheid en verantwoordelijkheid

Transparantie en escalatiepaden

Quiz: Transparantie en escalatiepaden

Final Review

Kernbegrippen &amp; modellen recap

Quiz: Kernbegrippen &amp; modellen recap

Integratie: van ISR tot escalatie

Quiz: Integratie: van ISR tot escalatie

Toepassing op Israël–VS–Iran casus

Quiz: Toepassing op Israël–VS–Iran casus

Next steps &amp; leerroute vooruit

Quiz: Next steps &amp; leerroute vooruit

SIGINT/COMINT & anomaliedetectie

Wanneer “stilte” ineens belangrijk wordt

Begrippen die je scherp moet hebben (en waarom onzekerheid centraal blijft)

Wat SIGINT/COMINT sterk maakt (en waar AI het verschil maakt)

1) COMINT als netwerkgedrag: metadata is vaak waardevoller dan “inhoud”

2) Het spectrum is een dynamische omgeving: normaliteit (baseline) is een bewegend doel

3) Van anomalie naar besluit: triage zonder tunnelvisie (en met ketenverantwoordelijkheid)

SIGINT vs COMINT vs anomaliedetectie: wat je wel en niet mag concluderen

Twee uitgewerkte voorbeelden uit het conflict: hoe anomalieën je (niet) moeten sturen

Voorbeeld 1: “Radiostilte” vlak vóór een gemengde aanval

Voorbeeld 2: Nieuwe “centrale node” in COMINT tijdens launcher-hunting

Wat je vandaag vooral meeneemt

Kernbegrippen: autonomie & sensoren

Quiz: Kernbegrippen: autonomie & sensoren

Kill chain/OODA + risico’s & bias

Quiz: Kill chain/OODA + risico’s & bias

ISR-keten & AI-toepassingen

Quiz: ISR-keten & AI-toepassingen

SIGINT/COMINT & anomaliedetectie

Quiz: SIGINT/COMINT & anomaliedetectie

Multisource fusie, confidence & validatie

Quiz: Multisource fusie, confidence & validatie

Autonome UAV’s, loitering & zwermen

Quiz: Autonome UAV’s, loitering & zwermen

Sensor-to-shooter & safety modes

Quiz: Sensor-to-shooter & safety modes

Deepfakes & misleiding tegen AI-systemen

Quiz: Deepfakes & misleiding tegen AI-systemen

Kernbegrippen & modellen recap

Quiz: Kernbegrippen & modellen recap

Next steps & leerroute vooruit

Quiz: Next steps & leerroute vooruit