Platforma analizy głębokiej inspekcji pakietów (DPI) internetu mobilnego oraz widoczności sieci

Platforma mobilnego internetu DPI (głębokiej inspekcji pakietów) oraz analizy wizualizacji sieci jest wdrażana w węzłach rdzeniowych sieci operatorów mobilnych. Zaprojektowana została do monitorowania i zarządzania ruchem sieciowym w różnych sieciach rdzeniowych, w tym sieciach 4G i 5G, głównie dla operatorów telekomunikacyjnych oraz odpowiednich organów regulacyjnych, zapewniając zgodność ze standardami branżowymi oraz wymaganiami dotyczącymi oceny wydajności.

Mobilna platforma analizy wizualizacji internetu i sieci składa się z kilku modułów, w tym modułu analizy płaszczyzny sygnalizacyjnej, modułu analizy płaszczyzny użytkownika, modułu przywracania próbek, silnika skanowania próbek, silnika zarządzania ruchem oraz modułu analitycznego. Obsługuje wykrywanie anomalii, takich jak rozprzestrzenianie się oprogramowania złośliwego, anomalie ruchu oraz analiza zachowań sieciowych, generując dzienniki zdarzeń na podstawie wykrytych incydentów. Pozwala również na przechwytywanie i przywracanie próbek w celu dalszej analizy, ułatwiając identyfikację i zarządzanie powiązanymi zdarzeniami.

Ten system jest wdrażany w węzłach rdzeniowej sieci operatorów infrastruktury mobilnego Internetu i wspiera monitorowanie oraz zarządzanie ruchem sieciowym w środowiskach sieci rdzeniowych 4G, 5G oraz innych. Głównymi odbiorcami są operatorzy telekomunikacyjni oraz organy regulacyjne, zapewniając zgodność z międzynarodowymi standardami branżowymi.

Ponieważ niektóre dane użytkownika, np. pochodzące z interfejsów N3 (S1-U/), nie zawierają informacji identyfikujących użytkownika ani jego lokalizacji, platforma pobiera dane użytkownika z innych interfejsów (np. N4, N11, S11, S5-C), aby skorelować je i wzbogacić.

Platforma analizy głębokiej inspekcji pakietów (DPI) i wizualizacji sieci mobilnego Internetu jest kompatybilna zarówno z tradycyjnymi serwerami x86, jak i z serwerami opartymi na alternatywnych architekturach, w tym Kunpeng, Feiteng oraz Haiguang, zapewniając solidną kompatybilność międzyplatformową. Platforma oferuje wiodącą wydajność i funkcjonalność oraz zdobyła wysoką uznanie w branży telekomunikacyjnej.

Rozpoznawanie protokołów i analiza zdarzeń

• Obsługuje analizę protokołów komunikacyjnych w Internecie, IoT, komunikacji pojazd-każdy obiekt (V2X) oraz przemysłowego Internetu rzeczy (IIoT).
• Wyodrębnia szczegółowe informacje z pakietów, takie jak typy urządzeń, producenci oraz wersje oprogramowania i sprzętu, w celu identyfikacji aktywów.
• Korzysta z silnika analitycznego do wykrywania i rejestrowania incydentów, takich jak skompromitowane hosty, szkodliwe programy oraz anomalie ruchu sieciowego; ponadto przywraca próbki złośliwego oprogramowania w celu dalszej analizy, o ile jest to konieczne.

Zarządzanie ruchem sieciowym i obsługa incydentów

• Obsługuje zarządzanie ruchem oparte na zasadach, umożliwiając definiowanie i egzekwowanie reguł dla protokołów takich jak TCP, adresy IP, nazwy domen, adresy URL, numery telefonów, identyfikatory użytkowników (SUPI/IMSI) oraz identyfikatory urządzeń mobilnych (PEI/IMEI).
• Zapewnia funkcje kontroli ruchu sieciowego, w tym blokowanie lub przekierowywanie ruchu na podstawie wykrytych wzorców złośliwych, z możliwością zastosowania blokowania opartego na czarnych listach wobec niepożądanego ruchu.

Wysoka wydajność i dokładne wykrywanie

• Charakteryzuje się wysoką integracją i niskim zużyciem energii, zasilany wydajnym silnikiem zbierania i analizy danych (UCPP), który wykorzystuje technologie takie jak zero-copy, kolejki bezblokujące oraz duże strony pamięci, znacznie poprawiając wydajność przetwarzania ruchu sieciowego. Platforma jest w stanie przetwarzać do 90 Gbps na urządzeniu typu 1U.
• Dokładność wykrywania rozprzestrzeniania się oprogramowania złośliwego oraz zdarzeń nietypowego ruchu sieciowego przekracza 95%, a współczynnik skuteczności wykrywania anomalii zachowań sieciowych wynosi co najmniej 85%. Platforma obsługuje listę blokady o pojemności do 4 milionów pozycji. Skuteczność blokowania na podstawie adresów URL, adresów IP, domen i numerów telefonów przekracza 95%, przy rzeczywistych wskaźnikach precyzji i pełności przekraczających 98%.

Kompleksowe wykrywanie ruchu sieciowego oraz relacji komunikacyjnych

• Obsługa wykrywania i kojarzenia opartego na połączeniach oraz analizy protokołów własnych.
• Zawiera wbudowany model zależności ruchu dla komunikacji internetowej, umożliwiający korelację rekordów połączeń VoLTE, VoNR, CSFB oraz domeny CS w sieciach 2G/3G oraz ruchu z aplikacji IM takich jak Skype, WeChat i QQ. Dzięki temu poprawia się identyfikacja wzorców komunikacji oraz analiza zachowań pomiędzy różnymi podmiotami.

Wstępnym przetwarzaniu

• Obsługuje analizę protokołów ruchu płaszczyzny sygnalizacyjnej, w tym HTTP2, PFCP, GTPv2C oraz innych.
• Obsługuje analizę protokołu GTP-U płaszczyzny użytkownika.
• Obsługuje analizę protokołów IoT, takich jak MQTT, COAP oraz inne standardy IoT.
• Obsługuje analizę protokołu IPv6.
• Wyodrębnia kluczowe dane, takie jak identyfikatory użytkowników, informacje o lokalizacji, dane pięciokrotki (five-tuple), adresy URL oraz nazwy hostów do dalszego przetwarzania.

Analiza zachowań ruchu

• Obsługuje wykrywanie zachowań złośliwych programów na podstawie plików próbkowych, w tym m.in. formatów SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analizuje ruch w celu wykrycia nieprawidłowych zachowań oraz incydentów.
• Obsługuje wykrywanie podejrzanych witryn internetowych i adresów URL na podstawie reguł.
• Zapewnia identyfikację i analizę typów terminali mobilnych.

Przywracanie próbek

• Obsługuje przywracanie plików przy użyciu różnych protokołów transferu, takich jak HTTP, FTP i EMAIL; obsługiwane formaty plików obejmują SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Umożliwia wielowymiarowe dopasowanie atrybutów przywróconych plików próbki, w tym rozmiaru pliku, formatu oraz wartości skrótów (hash).
• Wykrywa wrażliwe słowa kluczowe i frazy w plikach.

Zarządzanie ruchem sieciowym i obsługa incydentów

• Obsługuje zarządzanie na podstawie listy czarnych (blacklist), umożliwiając blokowanie lub przekierowywanie ruchu w przypadku propagacji złośliwego kodu.
• Umożliwia blokowanie nietypowego ruchu pochodzącego od skompromitowanych urządzeń (np. zainfekowanych smartfonów lub komputerów) oraz propagacji szkodliwej treści za pośrednictwem adresów URL lub innych identyfikatorów.
• Obsługuje wielowymiarowe zarządzanie ruchem sieciowym, w tym według zakresów adresów IP, nazw domen, adresów URL, cech urządzeń oraz zakresów numerów telefonów, co umożliwia precyzyjną kontrolę nad ruchem sieciowym.

Zarządzanie bazą danych funkcji

• Obejmuje bazę danych funkcji analityki ruchu.
• Obsługuje bazę danych służącą do identyfikowania i analizowania szkodliwego zachowania programów.
• Zezwala na konfigurację i aktualizację bazy danych funkcji za pośrednictwem interfejsu API .