Plateforme d'analyse DPI et de visibilité du réseau Internet mobile

La plateforme Mobile Internet DPI (inspection approfondie des paquets) et d’analyse de la visualisation réseau est déployée aux nœuds du réseau cœur des opérateurs mobiles. Conçue pour surveiller et gérer le trafic réseau dans divers réseaux cœur, notamment les réseaux 4G et 5G, elle s’adresse principalement aux opérateurs de télécommunications et aux organismes de régulation concernés, garantissant ainsi la conformité aux normes sectorielles et aux exigences d’évaluation des performances.

La plateforme d'analyse DPI et de visualisation réseau pour Internet mobile se compose de plusieurs modules, notamment le module d'analyse du plan de signalisation, le module d'analyse du plan utilisateur, le module de restauration d'échantillons, le moteur d'analyse d'échantillons, le moteur de gestion du trafic et le module d'analyse. Elle permet la détection d'anomalies telles que la propagation de programmes malveillants, les anomalies de trafic et l'analyse du comportement réseau, et génère des journaux d'événements en fonction des incidents détectés. Elle permet également la capture et la restauration d'échantillons pour une analyse approfondie, facilitant ainsi l'identification et la gestion des événements associés.

Ce système est déployé sur les nœuds du réseau cœur de l'infrastructure Internet mobile des opérateurs, et prend en charge la surveillance et la gestion du trafic réseau dans les environnements de réseau cœur 4G, 5G et autres. Il s’adresse principalement aux opérateurs de télécommunications et aux organismes de régulation, garantissant ainsi la conformité aux normes industrielles internationales.

Comme certaines données utilisateurs, par exemple celles provenant des interfaces N3 (S1-U/), ne comportent ni identification ni information de localisation de l’utilisateur, la plateforme récupère les données utilisateurs à partir d’autres interfaces (par exemple N4, N11, S11, S5-C) afin de corréler et d’enrichir ces données.

La plateforme d’analyse DPI et de visualisation réseau pour Internet mobile est compatible aussi bien avec les serveurs x86 traditionnels qu’avec des serveurs basés sur des architectures alternatives, notamment Kunpeng, Feiteng et Haiguang, offrant ainsi une solide compatibilité multiplateforme. La plateforme offre des performances et des fonctionnalités de pointe et bénéficie d’une forte reconnaissance au sein du secteur des télécommunications.

Reconnaissance des protocoles et analyse des événements

• Prend en charge l'analyse des protocoles de communication Internet, IoT, Véhicule-à-Tout (V2X) et Internet industriel des objets (IIoT).
• Extrait des informations détaillées à partir des paquets, telles que les types d'appareils, les fabricants, ainsi que les versions matérielles et logicielles, afin d'identifier les actifs.
• Utilise un moteur d'analyse pour détecter et consigner des incidents tels que les hôtes compromis, les programmes malveillants et les anomalies de trafic, et restaure les échantillons malveillants pour une analyse approfondie, le cas échéant.

Gestion du trafic et traitement des incidents

• Prend en charge la gestion du trafic fondée sur des politiques, permettant de définir et d'appliquer des règles relatives à des protocoles tels que TCP, aux adresses IP, aux noms de domaine, aux URL, aux numéros de téléphone, aux identifiants utilisateurs (SUPI/IMSI) et aux identifiants d'appareils mobiles (PEI/IMEI).
• Offre des fonctionnalités de contrôle du trafic, notamment le blocage ou la redirection du trafic en fonction de motifs malveillants identifiés, avec possibilité de mettre en œuvre un blocage basé sur une liste noire pour les trafics indésirables.

Hautes performances et détection précise

• Présente une forte intégration et une faible consommation énergétique, alimentée par un moteur efficace de collecte et d’analyse des données (UCPP) qui intègre des technologies telles que la copie zéro, les files d’attente sans verrouillage et les grandes pages, améliorant ainsi considérablement les performances de traitement du trafic. La plateforme peut traiter jusqu’à 90 Gbps sur un dispositif 1U.
• La précision de détection de la propagation de programmes malveillants et des événements de trafic anormaux dépasse 95 %, avec un taux de réussite de détection des anomalies de comportement réseau d’au moins 85 %. La plateforme peut gérer une liste noire contenant jusqu’à 4 millions d’entrées. Le taux de réussite du blocage basé sur les URL, les adresses IP, les noms de domaine et les numéros de téléphone dépasse 95 %, tandis que les taux de précision et de rappel dans des scénarios réels dépassent 98 %.

Découverte complète du trafic et des relations de communication

• Prend en charge la découverte et l’association basées sur les liens, ainsi que l’analyse des protocoles propriétaires.
• Inclut un modèle intégré de relation de trafic pour les communications Internet, permettant la corrélation des enregistrements d'appels VoLTE, VoNR, CSFB et du domaine CS 2G/3G, ainsi que du trafic provenant d'applications de messagerie instantanée telles que Skype, WeChat et QQ. Cela améliore l'identification des schémas de communication et l'analyse comportementale entre différentes entités.

Prétraitement

• Prend en charge l'analyse des protocoles du plan de signalisation, notamment HTTP2, PFCP, GTPv2C et d'autres.
• Prend en charge l'analyse du protocole GTP-U du plan utilisateur.
• Prend en charge l'analyse des protocoles IoT, tels que MQTT, COAP et d'autres normes IoT.
• Prend en charge l'analyse du protocole IPv6.
• Extrait des données clés telles que les identifiants utilisateurs, les informations de localisation, les données cinq-tuple, les URL et les noms d'hôte, destinées à un traitement ultérieur.

Analyse du comportement du trafic

• Prend en charge la détection de comportements malveillants de programmes à partir de fichiers échantillons, y compris, sans s'y limiter, les formats SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analyse le trafic afin d'identifier des comportements anormaux et des incidents.
• Prend en charge la détection fondée sur des règles de sites web et d'URL suspects.
• Fournit l'identification et l'analyse des types de terminaux mobiles.

Restauration d'échantillons

• Prend en charge la restauration de fichiers à l'aide de divers protocoles de transfert, tels que HTTP, FTP et EMAIL, avec des formats de fichiers pris en charge incluant SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Permet une correspondance multidimensionnelle des attributs des fichiers échantillons restaurés, notamment la taille du fichier, le format et les valeurs de hachage.
• Détecte les mots-clés et expressions sensibles au sein des fichiers.

Gestion du trafic et traitement des incidents

• Prend en charge une gestion basée sur une liste noire pour la propagation de code malveillant, permettant ainsi de bloquer ou de rediriger le trafic en conséquence.
• Permet de bloquer le trafic anormal provenant de dispositifs compromis (par exemple, smartphones ou ordinateurs infectés) ainsi que la propagation de contenus nuisibles via des URL ou d'autres identifiants.
• Prend en charge une gestion multidimensionnelle du trafic, y compris par plages d'adresses IP, noms de domaine, URL, caractéristiques des dispositifs et plages de numéros de téléphone, permettant un contrôle précis du trafic réseau.

Gestion de la base de données des fonctionnalités

• Comprend une base de données de fonctionnalités d'analyse du trafic.
• Prend en charge une base de données permettant d'identifier et d'analyser les comportements nuisibles des programmes.
• Permet la configuration et la mise à jour de la base de données des fonctionnalités via une API .