Mobiel internet DPI- en netwerkzichtbaarheidsanalyseplatform

Het Mobile Internet DPI-platform (Deep Packet Inspection) en het platform voor netwerkvisualisatieanalyse zijn geïmplementeerd op de kernnetwerkknooppunten van mobiele operators. Het is ontworpen voor het bewaken en beheren van netwerkverkeer in diverse kernnetwerken, waaronder 4G en 5G, en richt zich voornamelijk tot telecommunicatieoperators en relevante toezichthoudende instanties, om naleving van branche-standaarden en eisen voor prestatiebeoordeling te waarborgen.

Het mobiele internet DPI- en netwerkvisualisatieanalyseplatform bestaat uit verschillende modules, waaronder de signaalvlak-analysemodule, de gebruikersvlak-analysemodule, de monsterherstelmodule, de monsterscanningsengine, de verkeersbeheersingsengine en de analysemodule. Het ondersteunt het detecteren van afwijkingen zoals verspreiding van schadelijke programma’s, verkeersafwijkingen en analyse van netwerkgedrag, en genereert gebeurtenislogboeken op basis van gedetecteerde incidenten. Het maakt ook het vastleggen en herstellen van monsters voor verdere analyse mogelijk, wat bijdraagt aan de identificatie en beheersing van gerelateerde gebeurtenissen.

Dit systeem is geïmplementeerd op de kernnetwerkknopen van de mobiele internetinfrastructuur van operators en ondersteunt het bewaken en beheren van netwerkverkeer in 4G-, 5G- en andere kernnetwerkomgevingen. Het richt zich voornamelijk tot telecommunicatieoperators en toezichthoudende instanties en waarborgt naleving van internationale branche-standaarden.

Aangezien bepaalde gebruiksgegevens, zoals die van de N3-interface (S1-U), geen gebruikersidentificatie- of locatie-informatie bevatten, haalt het platform gebruiksgegevens op van andere interfaces (bijv. N4, N11, S11, S5-C) om deze gegevens te correleren en aan te vullen.

Het Mobile Internet DPI- en netwerkvisualisatieanalyseplatform is compatibel met zowel traditionele x86-servers als servers met alternatieve architectuur, waaronder Kunpeng-, Feiteng- en Haiguang-servers, en biedt daarmee uitstekende cross-platformcompatibiliteit. Het platform levert toonaangevende prestaties en functionaliteit en heeft binnen de telecommunicatiebranche grote erkenning verworven.

Protocolherkenning en gebeurtenisanalyse

• Ondersteunt de analyse van internet-, IoT-, voertuig-naar-alles- (V2X-) en industriële IoT-protocollen (IIoT).
• Extraheert gedetailleerde informatie uit pakketten, zoals apparaatsoorten, fabrikanten en hardware/softwareversies, voor identificatie van assets.
• Maakt gebruik van een analytische engine om incidenten te detecteren en registreren, zoals geïnfecteerde hosts, schadelijke programma’s en verkeersanomalieën, en herstelt schadelijke monsters indien nodig voor verdere analyse.

Verkeersbeheer en incidentafhandeling

• Ondersteunt beleidsgebaseerd verkeersbeheer, waardoor regels kunnen worden gedefinieerd en afgedwongen voor protocollen zoals TCP, IP-adressen, domeinnamen, URL’s, telefoonnummers, gebruikersidentificatoren (SUPI/IMSI) en mobiele apparaatidentificatoren (PEI/IMEI).
• Biedt functionaliteiten voor verkeersregeling, inclusief het blokkeren of omleiden van verkeer op basis van geïdentificeerde schadelijke patronen, met de mogelijkheid om blacklistgebaseerd blokkeren toe te passen voor ongewenst verkeer.

Hoge prestaties en nauwkeurige detectie

• Kenmerkt zich door hoge integratie en laag energieverbruik, aangedreven door een efficiënte engine voor gegevensverzameling en -analyse (UCPP) die technologieën zoals zero-copy, wachtvrije wachtrijen en grote pagina’s integreert, wat de prestaties bij verwerking van netwerkverkeer aanzienlijk verbetert. Het platform kan tot 90 Gbps verwerken op een 1U-apparaat.
• De detectienauwkeurigheid voor verspreiding van schadelijke programma’s en abnormale netwerkverkeersgebeurtenissen bedraagt meer dan 95%, met een succespercentage van ten minste 85% voor het detecteren van afwijkend netwerkgedrag. Het platform kan een blacklist verwerken met maximaal 4 miljoen vermeldingen. Het blokkeersuccespercentage op basis van URL’s, IP-adressen, domeinnamen en telefoonnummers bedraagt meer dan 95%, met een werkelijke precisie- en recallratio van meer dan 98%.

Uitgebreide ontdekking van verkeer en communicatie-relaties

• Ondersteunt koppelinggebaseerde ontdekking en koppeling, evenals het parsen van eigen protocollen.
• Bevat een ingebouwd model voor verkeersrelaties voor internetcommunicatie, waardoor correlatie mogelijk is tussen VoLTE-, VoNR-, CSFB- en 2/3G-CS-domein oproepgegevens, en verkeer van IM-apps zoals Skype, WeChat en QQ. Dit verbetert de identificatie van communicatiepatronen en gedragsanalyse tussen verschillende entiteiten.

Preprocessing

• Ondersteunt protocolanalyse voor signaalverkeer, inclusief HTTP2, PFCP, GTPv2C en andere protocollen.
• Ondersteunt analyse van het gebruikersvlak-GTP-U-protocol.
• Ondersteunt IoT-protocolanalyse voor MQTT, COAP en andere IoT-standaarden.
• Ondersteunt IPv6-protocolanalyse.
• Extraheert sleutelgegevens zoals gebruikersidentificatoren, locatie-informatie, vijftupelgegevens, URL’s en hostnamen voor verdere verwerking.

Verkeersgedragsanalyse

• Ondersteunt detectie van schadelijk programma-gedrag op basis van voorbeeldbestanden, inclusief maar niet beperkt tot SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF-formaten.
• Analyseert verkeer op afwijkend gedrag en incidenten.
• Ondersteunt regelgebaseerde detectie van verdachte websites en URL’s.
• Biedt identificatie en analyse van mobiele terminaltypen.

Herstel van steekproeven

• Ondersteunt het herstel van bestanden via diverse overdrachtsprotocollen, zoals HTTP, FTP en E-MAIL, met ondersteunde bestandsformaten waaronder SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Maakt meervoudige (multidimensionale) koppeling mogelijk van kenmerken van herstelde steekproefbestanden, inclusief bestandsgrootte, formaat en hashwaarden.
• Detecteert gevoelige trefwoorden en zinsdelen binnen bestanden.

Verkeersbeheer en incidentafhandeling

• Ondersteunt beheer op basis van een zwarte lijst voor de verspreiding van schadelijke code, waardoor verkeer kan worden geblokkeerd of omgeleid.
• Maakt het blokkeren mogelijk van abnormaal verkeer van aangetaste apparaten (bijv. geïnfecteerde smartphones of pc’s) en de verspreiding van schadelijke inhoud via URL’s of andere identificatoren.
• Ondersteunt meervoudig (multidimensionaal) verkeersbeheer, onder meer op basis van IP-adresbereiken, domeinnamen, URL’s, apparaatkarakteristieken en telefoonnummerbereiken, wat nauwkeurige controle over netwerkverkeer mogelijk maakt.

Beheer van functiedatabank

• Bevat een functiedatabank voor verkeersanalyse.
• Ondersteunt een database voor het identificeren en analyseren van schadelijk programma-gedrag.
• Stelt u in staat de functiedatabase te configureren en bij te werken via een API .