Mobilinternett-DPI- og nettverkssynlighetsanalyseplattform

Mobilinternett-DPI (Deep Packet Inspection) og nettverksvisualiseringsanalyseplattformen er implementert på kjerne-nodene i mobiloperatørers nettverk. Den er utformet for overvåking og styring av nettverkstrafikk i ulike kjerne-nettverk, inkludert 4G og 5G, og er hovedsakelig beregnet på telekommunikasjonsoperatører og relevante tilsynsmyndigheter, og sikrer overholdelse av bransjestandarder og krav til ytelsesevaluering.

Plattformen for mobil internett DPI- og nettverksvisualiseringsanalyse består av flere moduler, inkludert signalmodulet, brukerplanmodulen, prøve-gjenopprettingsmodulen, prøveskanningsmotoren, trafikkstyringsmotoren og analysemodulen. Den støtter oppdagelse av avvik som spredning av skadelig programvare, trafikkavvik og analyse av nettverksatferd, og genererer hendelseslogger basert på oppdagede hendelser. Den muliggjør også innsamling og gjenoppretting av prøver for videre analyse, noe som forenkler identifisering og håndtering av relaterte hendelser.

Dette systemet er implementert på kjerne-nodene i operatørenes mobile internett-infrastruktur og støtter overvåking og administrasjon av nettverkstrafikk i 4G-, 5G- og andre kjerne-nettverksmiljøer. Det tjener hovedsakelig telekommunikasjonsoperatører og tilsynsmyndigheter og sikrer etterlevelse av internasjonale bransjestandarder.

Siden visse brukerdata, for eksempel fra N3 (S1-U/)–grensesnittene, mangler brukeridentifikasjon eller lokasjonsinformasjon, henter plattformen brukerdata fra andre grensesnitt (f.eks. N4, N11, S11, S5-C) for å korrelere og utvide disse dataene.

Mobile Internet DPI- og nettverksvisualiseringsanalyseplattformen er kompatibel både med tradisjonelle x86-servere og alternative arkitekturservere, inkludert Kunpeng, Feiteng og Haiguang, og tilbyr robust plattformuavhengighet. Plattformen leverer ledende ytelse og funksjonalitet og har fått stor anerkjennelse innen telekommunikasjonsbransjen.

Protokollgjenkjenning og hendelsesanalyse

• Støtter analyse av internett-, IoT-, kjøretøy-til-alt (V2X)- og industriell IoT (IIoT)-kommunikasjonsprotokoller.
• Ekstraherer detaljert informasjon fra pakker, for eksempel enhetstyper, produsenter og maskinvare/programvareversjoner, for identifisering av aktiva.
• Bruker en analysemotor til å oppdage og loggføre hendelser som kompromitterte verter, skadelige programmer og trafikkavvik, og gjenoppretter skadelige prøver for videre analyse når det er nødvendig.

Trafikkstyring og hendelseshåndtering

• Støtter policybasert styring av trafikk, og gjør det mulig å definere og håndheve regler for protokoller som TCP, IP-adresser, domenenavn, nettadresser (URL-er), telefonnumre, brukeridentifikatorer (SUPI/IMSI) og mobilenhetsidentifikatorer (PEI/IMEI).
• Gir funksjonalitet for trafikkstyring, inkludert blokkering eller omdirigering av trafikk basert på identifiserte skadelige mønstre, med mulighet til å implementere blokkering basert på svartelister for uønsket trafikk.

Høy ytelse og nøyaktig oppdagelse

• Karakteriseres ved høy integrasjon og lav energiforbruk, og drives av en effektiv motor for datainnsamling og -analyse (UCPP) som inkluderer teknologier som zero-copy, låsefrie køer og store sider, noe som betydelig forbedrer ytelsen for trafikkbehandling. Plattformen kan behandle opptil 90 Gbps på en 1U-enhet.
• Deteksjonsnøyaktigheten for utbredelse av skadelig programvare og uvanlig trafikkhendelser er over 95 %, med en suksessrate for oppdagelse av avvikende nettverksatferd på minst 85 %. Plattformen kan håndtere en svarteliste med opptil 4 millioner oppføringer. Suksessraten for blokkering basert på URL-er, IP-adresser, domener og telefonnumre er over 95 %, med en nøyaktighet og gjenfinningsrate i virkeligheten på over 98 %.

Omstendelig oppdagelse av trafikk og kommunikasjonsrelasjoner

• Støtter lenkebasert oppdagelse og assosiasjon, samt tolking av proprietære protokoller.
• Inkluderer en innebygd modell for trafikkrelasjoner for internett-kommunikasjon, som muliggjør korrelasjon av VoLTE-, VoNR-, CSFB- og 2/3G-CS-domenets samtaler, samt trafikk fra IM-apper som Skype, WeChat og QQ. Dette forbedrer identifiseringen av kommunikasjonsmønstre og atferdsanalyse blant ulike enheter.

Forbehandling

• Støtter protokollanalyse for signaleringsplan-trafikk, inkludert HTTP2, PFCP, GTPv2C og andre.
• Støtter analyse av brukerplanens GTP-U-protokoll.
• Støtter IoT-protokollanalyse for MQTT, COAP og andre IoT-standarder.
• Støtter IPv6-protokollanalyse.
• Ekstraherer nøkkeldata som brukeridentifikatorer, lokasjonsinformasjon, fem-tuppel-data, nettadresser (URL-er) og vertsnavn for videre behandling.

Trafikkatferdsanalyse

• Støtter oppdagelse av skadelig programvareatferd basert på prøvefiler, inkludert men ikke begrenset til filformater som SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analyserer trafikk for avvikende atferd og hendelser.
• Støtter regelbasert oppdagelse av mistenkelige nettsteder og nettadresser (URL-er).
• Gir identifisering og analyse av typer mobile terminaler.

Gjenoppretting av prøver

• Støtter gjenoppretting av filer ved hjelp av ulike overføringsprotokoller, som HTTP, FTP og E-POST, med støttede filformater inkludert SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Muliggjør flerdimensjonal matching av attributter for gjenopprettede prøvefiler, inkludert filstørrelse, format og hash-verdier.
• Oppdager følsomme nøkkelord og fraser i filer.

Trafikkstyring og hendelseshåndtering

• Støtter svartlistebasert administrasjon for spredning av skadelig kode, og muliggjør blokkering eller omdirigering av trafikk tilsvarende.
• Muliggjør blokkering av unormal trafikk fra kompromitterte enheter (f.eks. infiserte smarttelefoner eller PC-er) og spredning av skadelig innhold via URL-er eller andre identifikatorer.
• Støtter flerdimensjonal trafikkstyring, inkludert etter IP-adresseområder, domenenavn, URL-er, enhetsegenskaper og telefonnummerområder, noe som gir nøyaktig kontroll over nettverkstrafikken.

Administrasjon av funksjonsdatabase

• Inkluderer en database for trafikanalysefunksjoner.
• Støtter en database for identifisering og analyse av skadelig programoppførsel.
• Gir mulighet for konfigurering og oppgradering av funksjonsdatabasen via en API .