Mobiles Internet-DPI- und Netzwerksichtbarkeitsanalyseplattform

Die Mobile-Internet-DPI-Plattform (Deep Packet Inspection) und die Plattform für Netzwerkvisualisierungsanalyse werden an den Kernnetzknoten mobiler Netzbetreiber eingesetzt. Sie ist zur Überwachung und Verwaltung des Netzwerkverkehrs in verschiedenen Kernnetzen – darunter 4G und 5G – konzipiert und richtet sich primär an Telekommunikationsanbieter sowie zuständige Aufsichtsbehörden, um die Einhaltung branchenüblicher Standards und Anforderungen an die Leistungsbewertung sicherzustellen.

Die mobile Internet-DPI- und Netzwerk-Visualisierungs-Analyseplattform besteht aus mehreren Modulen, darunter dem Signalisierungsebene-Analysmodul, dem Nutzerebene-Analysmodul, dem Stichprobenwiederherstellungsmodul, der Stichprobenscanning-Engine, der Datenverkehrsverwaltungs-Engine und dem Analysemodul. Sie unterstützt die Erkennung von Anomalien wie der Ausbreitung schädlicher Programme, Datenverkehrsanomalien und der Analyse des Netzwerkverhaltens und generiert Ereignisprotokolle basierend auf den erkannten Vorfällen. Zudem ermöglicht sie die Erfassung und Wiederherstellung von Stichproben für weitere Analysen, was die Identifizierung und Verwaltung zugehöriger Ereignisse erleichtert.

Dieses System ist an den Kernnetzknoten der mobilen Internet-Infrastruktur von Betreibern installiert und unterstützt die Überwachung und Verwaltung des Netzwerkverkehrs in 4G-, 5G- und anderen Kernnetzumgebungen. Es richtet sich primär an Telekommunikationsbetreiber und Aufsichtsbehörden und stellt die Einhaltung internationaler Branchenstandards sicher.

Da bestimmte Nutzerdaten – beispielsweise solche aus der N3-Schnittstelle (S1-U/) – keine Nutzeridentifikation oder Standortinformation enthalten, ruft die Plattform Nutzerdaten über andere Schnittstellen (z. B. N4, N11, S11, S5-C) ab, um diese Daten zu korrelieren und anzureichern.

Die Mobile-Internet-DPI- und Netzwerkvisualisierungs-Analyseplattform ist sowohl mit herkömmlichen x86-Servern als auch mit Servern alternativer Architekturen kompatibel, darunter Kunpeng-, Feiteng- und Haiguang-Server, und bietet damit eine robuste plattformübergreifende Kompatibilität. Die Plattform liefert führende Leistung und Funktionalität und genießt hohe Anerkennung innerhalb der Telekommunikationsbranche.

Protokollerfassung und Ereignisanalyse

• Unterstützt die Analyse von Internet-, IoT-, Vehicle-to-Everything-(V2X)- und Industrial-IoT-(IIoT)-Kommunikationsprotokollen.
• Extrahiert detaillierte Informationen aus Paketen, beispielsweise Gerätetypen, Hersteller sowie Hardware- und Softwareversionen, zur Identifizierung von Assets.
• Nutzt eine Analyse-Engine, um Vorfälle wie kompromittierte Hosts, schädliche Programme und Verkehrsanomalien zu erkennen und zu protokollieren; bei Bedarf werden schädliche Beispiele für weitere Analysen wiederhergestellt.

Verkehrsmanagement und Vorfallbearbeitung

• Unterstützt ein regelbasiertes Verkehrsmanagement, das die Definition und Durchsetzung von Regeln für Protokolle wie TCP, IP-Adressen, Domainnamen, URLs, Telefonnummern, Benutzerkennungen (SUPI/IMSI) sowie mobile Gerätekennungen (PEI/IMEI) ermöglicht.
• Bietet Funktionen zur Verkehrskontrolle, darunter das Blockieren oder Umleiten von Datenverkehr basierend auf erkannten schädlichen Mustern; zudem ist eine blocklistbasierte Sperrung unerwünschten Datenverkehrs möglich.

Hohe Leistung und präzise Erkennung

• Zeichnet sich durch hohe Integration und geringen Energieverbrauch aus und wird von einer effizienten Datenerfassungs- und Analyse-Engine (UCPP) angetrieben, die Technologien wie Zero-Copy, lock-free Warteschlangen und große Seiten (large pages) integriert, wodurch die Leistung bei der Verarbeitung von Netzwerkdaten erheblich gesteigert wird. Die Plattform kann bis zu 90 Gbps auf einem 1U-Gerät verarbeiten.
• Die Erkennungsgenauigkeit für die Ausbreitung schädlicher Programme und für ungewöhnliche Netzwerkverkehrereignisse liegt bei über 95 %; die Erfolgsquote bei der Erkennung anomalen Netzwerkverhaltens beträgt mindestens 85 %. Die Plattform unterstützt eine Blacklist-Kapazität von bis zu vier Millionen Einträgen. Die Erfolgsquote bei der Sperrung basierend auf URLs, IPs, Domains und Telefonnummern liegt bei über 95 %; die praktische Präzision und der praktische Recall liegen jeweils über 98 %.

Umfassende Entdeckung von Datenverkehr und Kommunikationsbeziehungen

• Unterstützt die entitätsbasierte Entdeckung und Zuordnung sowie die Analyse proprietärer Protokolle.
• Umfasst ein integriertes Verkehrsbeziehungsmodell für Internetkommunikationen, das die Korrelation von VoLTE-, VoNR-, CSFB- und 2/3G-CS-Domänen-Anrufaufzeichnungen sowie des Datenverkehrs von IM-Anwendungen wie Skype, WeChat und QQ ermöglicht. Dadurch wird die Identifizierung von Kommunikationsmustern und die Verhaltensanalyse zwischen verschiedenen Entitäten verbessert.

Vorverarbeitung

• Unterstützt die Protokollanalyse für den Signaling-Plane-Verkehr, einschließlich HTTP/2, PFCP, GTPv2-C und anderer Protokolle.
• Unterstützt die Analyse des GTP-U-Protokolls im User Plane.
• Unterstützt die IoT-Protokollanalyse für MQTT, CoAP und andere IoT-Standards.
• Unterstützt die IPv6-Protokollanalyse.
• Extrahiert Schlüsseldaten wie Benutzerkennungen, Standortinformationen, Fünf-Tupel-Daten, URLs und Hostnamen für die weitere Verarbeitung.

Verkehrsverhaltensanalyse

• Unterstützt die Erkennung bösartiger Programmverhalten anhand von Beispiel-Dateien, darunter unter anderem Dateiformate wie SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analysiert den Datenverkehr auf abnorme Verhaltensweisen und Vorfälle.
• Unterstützt die regelbasierte Erkennung verdächtiger Websites und URLs.
• Bietet Identifizierung und Analyse von Mobilendgeräte-Typen.

Wiederherstellung von Beispieldaten

• Unterstützt die Wiederherstellung von Dateien über verschiedene Übertragungsprotokolle wie HTTP, FTP und E-MAIL; unterstützte Dateiformate umfassen SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Ermöglicht eine mehrdimensionale Übereinstimmung wiederhergestellter Attributwerte von Beispieldateien, darunter Dateigröße, Format und Hash-Werte.
• Erkennt sensible Schlüsselwörter und -phrasen innerhalb von Dateien.

Verkehrsmanagement und Vorfallbearbeitung

• Unterstützt ein auf einer Sperrliste basierendes Management zur Verbreitung schädlichen Codes und ermöglicht entsprechend das Blockieren oder Umleiten des Datenverkehrs.
• Ermöglicht das Blockieren von anomalem Datenverkehr von kompromittierten Geräten (z. B. infizierten Smartphones oder PCs) sowie die Verbreitung schädlicher Inhalte über URLs oder andere Kennungen.
• Unterstützt ein mehrdimensionales Traffic-Management, z. B. nach IP-Adressbereichen, Domainnamen, URLs, Geräteeigenschaften und Telefonnummernbereichen, um eine präzise Steuerung des Netzwerkverkehrs zu ermöglichen.

Verwaltung der Funktionsdatenbank

• Umfasst eine Funktionsdatenbank für Traffic-Analyse.
• Unterstützt eine Datenbank zur Identifizierung und Analyse schädlichen Programmverhaltens.
• Ermöglicht die Konfiguration und Aktualisierung der Funktionsdatenbank über eine API. .