Платформа за дълбока инспекция на пакетите (DPI) в мобилния интернет и анализ на видимостта на мрежата

Мобилната интернет DPI (дълбоко анализиране на пакетите) и платформата за визуализирана мрежова аналитика се разгражда в основните мрежови възли на мобилните оператори. Тя е проектирана за наблюдение и управление на мрежовия трафик в различни основни мрежи, включително 4G и 5G, и обслужва предимно телекомуникационни оператори и съответните регулаторни органи, като осигурява съответствие с отрасловите стандарти и изискванията за оценка на производителността.

Мобилната интернет DPI и платформа за визуализиране и анализ на мрежата се състои от няколко модула, включително модул за анализ на сигнализационната плоскост, модул за анализ на потребителската плоскост, модул за възстановяване на проби, двигател за сканиране на проби, двигател за управление на трафика и аналитичен модул. Тя поддържа откриването на аномалии като разпространение на злонамерени програми, аномалии в трафика и анализ на мрежовото поведение, като генерира регистри на събития въз основа на откритите инциденти. Освен това позволява улавянето и възстановяването на проби за по-нататъшен анализ, което улеснява идентифицирането и управлението на свързаните събития.

Тази система се разгъва в основните мрежови възли на мобилната интернет инфраструктура на операторите и поддържа наблюдението и управлението на мрежовия трафик в среда на 4G, 5G и други основни мрежи. Основните ѝ потребители са телекомуникационни оператори и регулаторни органи, като гарантира съответствие с международните отраслови стандарти.

Тъй като определени потребителски данни, например от интерфейси N3 (S1-U/), липсват потребителска идентификация или информация за местоположение, платформата извлича потребителските данни от други интерфейси (напр. N4, N11, S11, S5-C), за да ги корелира и обогати.

Мобилната интернет DPI и платформата за визуализиран анализ на мрежата е съвместима както с традиционни x86 сървъри, така и със сървъри на алтернативни архитектури, включително Kunpeng, Feiteng и Haiguang, което осигурява изключителна крос-платформена съвместимост. Платформата предлага водещи по производителност и функционалност възможности и е получила висока оценка в телекомуникационния сектор.

Разпознаване на протоколи и анализ на събития

• Поддържа анализ на интернет, IoT, комуникационни протоколи „превозно средство към всичко“ (V2X) и промишлени IoT (IIoT).
• Извлича подробна информация от пакетите, като например типове устройства, производители и версии на хардуера/софтуера, за идентифициране на активите.
• Използва двигател за аналитика, за да открива и регистрира инциденти като компрометирани хостове, вредоносни програми и аномалии в трафика, както и да възстановява вредоносни примери за по-нататъшен анализ при необходимост.

Управление на трафика и обработка на инциденти

• Поддържа управление на трафика въз основа на политики, което позволява дефинирането и прилагането на правила за протоколи като TCP, IP адреси, домейни, URL адреси, телефонни номера, идентификатори на потребители (SUPI/IMSI) и идентификатори на мобилни устройства (PEI/IMEI).
• Предоставя възможности за контрол на трафика, включително блокиране или пренасочване на трафика въз основа на установени вредоносни шаблони, като се предлага и опция за блокиране въз основа на черен списък за нежелан трафик.

Висока производителност и точна детекция

• Характеризира се с висока интеграция и ниско енергопотребление, задвижван от ефективен двигател за събиране и анализ на данни (UCPP), който включва технологии като zero-copy, безблокиращи опашки и големи страници, което значително подобрява производителността при обработка на трафик. Платформата може да обработва до 90 Gbps на устройство с форм-фактор 1U.
• Точността на откриване на разпространението на злонамерени програми и аномални трафик събития надхвърля 95 %, а процентът на успешното откриване на аномалии в мрежовото поведение е поне 85 %. Платформата може да поддържа черен списък с капацитет до 4 милиона записи. Успеваемостта при блокиране въз основа на URL адреси, IP адреси, домейни и телефонни номера надхвърля 95 %, а реалните стойности за прецизност и пълнота надхвърлят 98 %.

Изчерпателно откриване на трафика и комуникационните връзки

• Поддържа откриване и асоцииране въз основа на връзки, както и анализ на собствени протоколи.
• Включва вградена модел за трафикова връзка за интернет комуникации, който позволява корелацията на VoLTE, VoNR, CSFB, записите от повиквания в CS-домейна на 2G/3G и трафика от приложения за мигновено съобщаване като Skype, WeChat и QQ. Това подобрява идентифицирането на модели на комуникация и анализа на поведението между различни субекти.

Предварителна обработка

• Поддържа анализ на протоколите за трафика в сигнализационната плоскост, включително HTTP2, PFCP, GTPv2C и други.
• Поддържа анализ на протокола GTP-U за потребителската плоскост.
• Поддържа анализ на IoT протоколи като MQTT, COAP и други стандарти за Интернет на нещата.
• Поддържа анализ на IPv6 протокола.
• Извлича ключови данни като идентификатори на потребителите, информация за местоположението, петорката данни (петорка), URL адреси и имена на хостове за по-нататъшна обработка.

Анализ на трафиково поведение

• Поддържа откриване на злонамерено поведение на програми въз основа на пробни файлове, включително, но не само: SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF формати.
• Анализира трафика за аномално поведение и инциденти.
• Поддържа откриване на подозрителни уебсайтове и URL адреси въз основа на правила.
• Осигурява идентификация и анализ на типовете мобилни терминали.

Възстановяване на проби

• Поддържа възстановяване на файлове чрез различни протоколи за прехвърляне, като HTTP, FTP и EMAIL, като поддържаните формати на файлове включват SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Включва многомерно съпоставяне на атрибутите на възстановените файлови проби, включително размер на файла, формат и хеш стойности.
• Открива чувствителни ключови думи и фрази вътре в файловете.

Управление на трафика и обработка на инциденти

• Поддържа управление, базирано на черен списък, за разпространение на злонамерен код, което позволява блокиране или пренасочване на трафика съответно.
• Позволява блокиране на аномален трафик от компрометирани устройства (напр. заразени смартфони или персонални компютри) и разпространение на вредоносно съдържание чрез URL адреси или други идентификатори.
• Поддържа многомерно управление на трафика, включително по диапазони от IP адреси, домейни, URL адреси, характеристики на устройствата и диапазони от телефонни номера, което осигурява прецизен контрол върху мрежовия трафик.

Управление на базата данни с функции

• Включва база данни с функции за аналитика на трафика.
• Поддържа база данни за идентифициране и анализ на вредно програмно поведение.
• Позволява конфигуриране и актуализация на базата данни с функции чрез API .