Платформа анализа глубокой проверки пакетов (DPI) мобильного интернета и видимости сети

Платформа DPI (глубокого анализа пакетов) мобильного Интернета и визуализации сетевого трафика развертывается на узлах ядерной сети операторов мобильной связи. Она предназначена для мониторинга и управления сетевым трафиком в различных ядерных сетях, включая сети 4G и 5G, и ориентирована в первую очередь на операторов связи и соответствующие регулирующие органы, обеспечивая соблюдение отраслевых стандартов и требований к оценке производительности.

Платформа визуализации и анализа мобильного интернета состоит из нескольких модулей: модуля анализа сигнальной плоскости, модуля анализа пользовательской плоскости, модуля восстановления выборок, движка сканирования выборок, движка управления трафиком и аналитического модуля. Она поддерживает обнаружение аномалий, таких как распространение вредоносных программ, аномалии трафика и анализ сетевого поведения, формируя журналы событий на основе выявленных инцидентов. Кроме того, платформа обеспечивает захват и восстановление выборок для последующего анализа, что способствует выявлению и управлению соответствующими событиями.

Эта система развернута на узлах ядерной сети в инфраструктуре мобильного Интернета операторов и обеспечивает мониторинг и управление сетевым трафиком в средах 4G, 5G и других ядерных сетей. Основными пользователями системы являются телекоммуникационные операторы и регулирующие органы, что гарантирует соблюдение международных отраслевых стандартов.

Поскольку некоторые данные пользователей, например, полученные через интерфейсы N3 (S1-U/), не содержат идентификаторов пользователей или информации о местоположении, платформа извлекает данные пользователей из других интерфейсов (например, N4, N11, S11, S5-C) для их корреляции и дополнения.

Платформа глубокого анализа трафика мобильного Интернета (DPI) и визуализации сети совместима как с традиционными серверами на архитектуре x86, так и с серверами альтернативных архитектур, включая Kunpeng, Feiteng и Haiguang, обеспечивая высокую кроссплатформенную совместимость. Платформа демонстрирует передовые показатели производительности и функциональности и пользуется высоким признанием в телекоммуникационной отрасли.

Распознавание протоколов и анализ событий

• Поддерживает анализ протоколов интернет-коммуникаций, Интернета вещей (IoT), коммуникаций «транспортное средство — всё остальное» (V2X) и промышленного Интернета вещей (IIoT).
• Извлекает подробную информацию из пакетов, например типы устройств, производителей, а также версии аппаратного и программного обеспечения, для идентификации активов.
• Использует аналитический движок для обнаружения и регистрации инцидентов, таких как скомпрометированные хосты, вредоносные программы и аномалии трафика, а также восстанавливает вредоносные образцы для последующего анализа при необходимости.

Управление трафиком и реагирование на инциденты

• Поддерживает управление трафиком на основе политик, позволяя определять и применять правила для таких протоколов и объектов, как TCP, IP-адреса, доменные имена, URL-адреса, телефонные номера, идентификаторы пользователей (SUPI/IMSI) и идентификаторы мобильных устройств (PEI/IMEI).
• Обеспечивает возможности управления трафиком, включая блокировку или перенаправление трафика на основе выявленных вредоносных шаблонов, а также поддерживает блокировку на основе чёрных списков для нежелательного трафика.

Высокая производительность и точное обнаружение

• Обладает высокой степенью интеграции и низким энергопотреблением, работает на эффективном движке сбора и анализа данных (UCPP), в котором используются такие технологии, как передача без копирования (zero-copy), очереди без блокировок (lock-free queues) и большие страницы памяти (large pages), что значительно повышает производительность обработки трафика. Платформа способна обрабатывать до 90 Гбит/с на устройстве формата 1U.
• Точность обнаружения распространения вредоносных программ и аномальных сетевых событий превышает 95 %; доля успешно выявленных аномалий сетевого поведения составляет не менее 85 %. Платформа поддерживает чёрный список объёмом до 4 миллионов записей. Успешность блокировки по URL-адресам, IP-адресам, доменным именам и номерам телефонов превышает 95 %; точность и полнота (precision и recall) в реальных условиях превышают 98 %.

Комплексное выявление трафика и связей в коммуникациях

• Поддерживает обнаружение и сопоставление на основе связей, а также анализ проприетарных протоколов.
• Включает встроенные модели взаимосвязей трафика для интернет-коммуникаций, позволяющие коррелировать записи вызовов VoLTE, VoNR, CSFB и вызовов в коммутационной сети (CS) 2G/3G, а также трафик от мессенджеров, таких как Skype, WeChat и QQ. Это повышает точность выявления коммуникационных паттернов и анализа поведения различных сущностей.

Предварительная обработка

• Поддерживает анализ протоколов трафика сигнализации, включая HTTP2, PFCP, GTPv2C и другие.
• Поддерживает анализ протокола GTP-U трафика пользовательской плоскости.
• Поддерживает анализ IoT-протоколов, таких как MQTT, COAP и другие стандарты Интернета вещей.
• Поддерживает анализ протокола IPv6.
• Извлекает ключевые данные, такие как идентификаторы пользователей, информация о местоположении, пятерка параметров (five-tuple), URL-адреса и имена хостов для последующей обработки.

Анализ поведения трафика

• Поддерживает обнаружение вредоносного поведения программ на основе образцов файлов, включая, но не ограничиваясь, форматами SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Анализирует трафик на предмет аномального поведения и инцидентов.
• Поддерживает обнаружение подозрительных веб-сайтов и URL-адресов на основе правил.
• Обеспечивает идентификацию и анализ типов мобильных терминалов.

Восстановление образцов

• Поддерживает восстановление файлов с использованием различных протоколов передачи, таких как HTTP, FTP и EMAIL; поддерживаемые форматы файлов включают SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Позволяет выполнять многомерное сопоставление атрибутов восстановленных файлов-образцов, включая размер файла, формат и хеш-значения.
• Обнаруживает конфиденциальные ключевые слова и фразы внутри файлов.

Управление трафиком и реагирование на инциденты

• Поддерживает управление на основе чёрного списка для распространения вредоносного кода, обеспечивая блокировку или перенаправление трафика соответствующим образом.
• Позволяет блокировать аномальный трафик от скомпрометированных устройств (например, заражённых смартфонов или ПК) и распространение вредоносного контента через URL-адреса или другие идентификаторы.
• Поддерживает многомерное управление трафиком, в том числе по диапазонам IP-адресов, доменным именам, URL-адресам, характеристикам устройств и диапазонам телефонных номеров, что обеспечивает точный контроль над сетевым трафиком.

Управление базой данных функций

• Включает базу данных функций анализа трафика.
• Поддерживает базу данных для выявления и анализа вредоносного поведения программ.
• Позволяет настраивать и обновлять базу данных функций через API .