Platforma pro analýzu DPI a viditelnosti mobilního internetu

Mobilní internetová platforma DPI (Deep Packet Inspection – hluboká analýza paketů) a vizualizace sítě je nasazena v uzlech jádrové sítě mobilních operátorů. Je navržena pro monitorování a správu síťového provozu v různých jádrových sítích, včetně sítí 4G a 5G, a slouží především telekomunikačním operátorům a příslušným regulačním orgánům, čímž zajišťuje soulad s průmyslovými standardy a požadavky na hodnocení výkonu.

Mobilní internetová platforma pro DPI a vizualizační analýzu sítě se skládá z několika modulů, včetně modulu analýzy signální roviny, modulu analýzy uživatelské roviny, modulu obnovy vzorků, motoru pro skenování vzorků, motoru pro správu provozu a analytického modulu. Podporuje detekci anomálií, jako je šíření škodlivých programů, anomálie v provozu a analýza chování sítě, a generuje protokoly událostí na základě zjištěných incidentů. Dále umožňuje zachycení a obnovu vzorků pro další analýzu, čímž usnadňuje identifikaci a správu souvisejících událostí.

Tento systém je nasazen na uzlech jádrové sítě v mobilní internetové infrastruktuře operátorů a podporuje monitorování a správu síťového provozu v prostředích 4G, 5G a jiných jádrových sítí. Primárně slouží telekomunikačním operátorům a regulačním orgánům a zajišťuje soulad s mezinárodními odvětvovými standardy.

Vzhledem k tomu, že určitá uživatelská data, například z rozhraní N3 (S1-U/), neobsahují identifikaci uživatele ani informace o jeho poloze, platforma načítá uživatelská data z jiných rozhraní (např. N4, N11, S11, S5-C), aby tato data propojila a doplnila.

Platforma pro hlubokou analýzu provozu (DPI) v mobilním internetu a vizualizaci sítě je kompatibilní jak se standardními servery x86, tak se servery alternativních architektur, včetně Kunpeng, Feiteng a Haiguang, a nabízí vynikající multiplatformní kompatibilitu. Platforma poskytuje vedoucí výkon a funkčnost a získala v telekomunikačním průmyslu vysoké uznání.

Rozpoznávání protokolů a analýza událostí

• Podporuje analýzu komunikačních protokolů pro internet, IoT, vozidla a všechny ostatní systémy (V2X) a průmyslový IoT (IIoT).
• Extrahuje podrobné informace z paketů, například typy zařízení, výrobce a verze hardwaru/softwaru, za účelem identifikace aktiv.
• Využívá analytický modul k detekci a zaznamenávání incidentů, jako jsou napadené hostitelské systémy, škodlivé programy a anomálie v provozu, a případně obnovuje škodlivé vzorky pro další analýzu.

Správa provozu a řešení incidentů

• Podporuje správu provozu na základě zásad, což umožňuje definovat a vynucovat pravidla pro protokoly, jako je TCP, IP adresy, názvy domén, URL adresy, telefonní čísla, identifikátory uživatelů (SUPI/IMSI) a identifikátory mobilních zařízení (PEI/IMEI).
• Poskytuje možnosti řízení provozu, včetně blokování nebo přesměrování provozu na základě identifikovaných škodlivých vzorů, s možností implementovat blokování založené na černé listině pro nežádoucí provoz.

Vysoký výkon a přesná detekce

• Vyznačuje se vysokou integrační úrovní a nízkou spotřebou energie; pohání ho efektivní motor pro sběr a analýzu dat (UCPP), který využívá technologie jako např. zero-copy, fronty bez uzamčení (lock-free) a velké stránky (large pages), čímž výrazně zvyšuje výkon zpracování provozu. Platforma dokáže zpracovat až 90 Gbit/s na zařízení formátu 1U.
• Přesnost detekce šíření škodlivých programů a událostí s neobvyklým síťovým provozem přesahuje 95 %, úspěšnost detekce anomálií chování sítě je alespoň 85 %. Platforma dokáže zpracovat černou listinu o kapacitě až 4 miliony položek. Úspěšnost blokování na základě adres URL, IP adres, doménových jmen a telefonních čísel přesahuje 95 %, přičemž skutečná přesnost (precision) a úplnost (recall) v reálném provozu překračují 98 %.

Komplexní objevování provozu a komunikačních vztahů

• Podporuje objevování a propojování na základě spojení (link-based) i analýzu proprietárních protokolů.
• Zahrnuje vestavěný model vztahů mezi provozem pro internetové komunikace, který umožňuje korelaci záznamů hovorů VoLTE, VoNR, CSFB a hovorů v CS-doméně 2G/3G a provozu z aplikací pro okamžitou komunikaci (IM), jako jsou Skype, WeChat a QQ. To zlepšuje identifikaci komunikačních vzorů a analýzu chování mezi různými entitami.

Předzpracování

• Podporuje analýzu protokolů pro provoz na rovině signalizace, včetně HTTP2, PFCP, GTPv2C a dalších.
• Podporuje analýzu protokolu uživatelské roviny GTP-U.
• Podporuje analýzu IoT protokolů, jako jsou MQTT, COAP a další IoT standardy.
• Podporuje analýzu protokolu IPv6.
• Extrahuje klíčová data, jako jsou identifikátory uživatelů, informace o poloze, pětice dat (five-tuple), adresy URL a názvy hostitelů pro další zpracování.

Analýza chování provozu

• Podporuje detekci chování škodlivých programů na základě vzorových souborů, včetně, ale nejen, formátů SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analyzuje provoz na přítomnost abnormálního chování a incidentů.
• Podporuje detekci podezřelých webových stránek a adres URL na základě pravidel.
• Poskytuje identifikaci a analýzu typů mobilních terminálů.

Obnovení vzorku

• Podporuje obnovení souborů pomocí různých přenosových protokolů, jako jsou HTTP, FTP a EMAIL, s podporovanými formáty souborů včetně SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Umožňuje vícedimenzionální porovnání atributů obnovených souborů vzorků, včetně velikosti souboru, formátu a hodnot hashů.
• Detekuje citlivá klíčová slova a fráze v rámci souborů.

Správa provozu a řešení incidentů

• Podporuje správu na základě černého seznamu pro šíření škodlivého kódu, což umožňuje blokování nebo přesměrování provozu odpovídajícím způsobem.
• Umožňuje blokování neobvyklého provozu z napadených zařízení (např. infikovaných chytrých telefonů nebo počítačů) a šíření škodlivého obsahu prostřednictvím adres URL nebo jiných identifikátorů.
• Podporuje vícedimenzionální správu provozu, včetně rozsahů IP adres, názvů domén, adres URL, charakteristik zařízení a rozsahů telefonních čísel, což umožňuje přesnou kontrolu síťového provozu.

Správa databáze funkcí

• Zahrnuje databázi funkcí pro analytiku provozu.
• Podporuje databázi pro identifikaci a analýzu škodlivého chování programů.
• Umožňuje konfiguraci a aktualizaci databáze funkcí prostřednictvím rozhraní API .