Platforma na analýzu hlbokého prehľadu paketov (DPI) mobilného internetu a viditeľnosti siete

Mobilná internetová platforma DPI (Deep Packet Inspection – hlboká kontrola paketov) a vizualizačnej analýzy siete je nasadená v uzloch jadrovej siete mobilných operátorov. Je navrhnutá na monitorovanie a správu prenosu dát v rôznych jadrových sieťach, vrátane sietí 4G a 5G, a slúži predovšetkým telekomunikačným operátorom a príslušným regulačným orgánom, pričom zabezpečuje dodržiavanie priemyselných noriem a požiadaviek na hodnotenie výkonu.

Mobilná platforma pre hlbokú analýzu paketov (DPI) a vizualizáciu siete pozostáva z niekoľkých modulov, vrátane modulu analýzy signálového rovinového priestoru, modulu analýzy užívateľskej rovinového priestoru, modulu obnovy vzoriek, modulu skenovacieho motora vzoriek, modulu riadenia prevádzky a analytického modulu. Podporuje detekciu anomálií, ako je napríklad šírenie škodlivých programov, anomálie v sieťovej prevádzke a analýza sieťového správania, pričom generuje denníky udalostí na základe zistených incidentov. Okrem toho umožňuje zachytenie a obnovu vzoriek na ďalšiu analýzu, čím podporuje identifikáciu a správu súvisiacich udalostí.

Tento systém je nasadený v uzloch jadrovej siete mobilného internetu operátorov a podporuje monitorovanie a správu sieťového prenosu dát v prostredí jadrových sietí 4G, 5G a iných. Primárne slúži telekomunikačným operátorom a regulačným orgánom a zabezpečuje dodržiavanie medzinárodných odvetvových noriem.

Keďže určité údaje o používateľoch, napríklad z rozhraní N3 (S1-U/), neobsahujú identifikáciu používateľa ani informácie o polohe, platforma načíta údaje o používateľoch z iných rozhraní (napr. N4, N11, S11, S5-C), aby ich mohla korelovať a doplniť.

Platforma DPI a vizualizačnej analýzy mobilného internetu je kompatibilná s tradičnými servermi x86 aj so servermi alternatívnych architektúr, vrátane Kunpeng, Feiteng a Haiguang, čo zaisťuje výbornú kompatibilitu naprieč rôznymi platformami. Platforma ponúka vynikajúci výkon a funkčnosť a získala vysoké uznание v telekomunikačnom priemysle.

Rozpoznávanie protokolov a analýza udalostí

• Podporuje analýzu komunikačných protokolov pre internet, IoT, vozidlá s všetkým (V2X) a priemyselné IoT (IIoT).
• Extrahuje podrobné informácie z paketov, napríklad typy zariadení, výrobcov a verzie hardvéru/softvéru, na identifikáciu aktív.
• Využíva analytický modul na detekciu a zaznamenávanie incidentov, ako sú napríklad kompromitované hostitele, škodlivé programy a anomálie v premávke, a v prípade potreby obnovuje škodlivé vzorky na ďalšiu analýzu.

Správa premávky a riešenie incidentov

• Podporuje správu premávky na základe politík, čo umožňuje definovať a vynucovať pravidlá pre protokoly, ako sú TCP, IP adresy, názvy domén, URL adresy, telefónne čísla, identifikátory používateľov (SUPI/IMSI) a identifikátory mobilných zariadení (PEI/IMEI).
• Poskytuje možnosti riadenia premávky, vrátane blokovania alebo presmerovania premávky na základe identifikovaných škodlivých vzorov, pričom je možné implementovať blokovanie na základe čiernej listiny pre nežiaducu premávku.

Vysoký výkon a presná detekcia

• Vyznačuje sa vysokou integráciou a nízkou spotrebou energie, je poháňaný efektívnym motorom na zhromažďovanie a analýzu dát (UCPP), ktorý využíva technológie ako zero-copy, fronty bez uzamknutia (lock-free queues) a veľké stránky (large pages), čím výrazne zvyšuje výkon spracovania sieťového prenosu. Platforma dokáže spracovať až 90 Gbps na zariadení formátu 1U.
• Presnosť detekcie šírenia škodlivých programov a udalostí nezvyčajného sieťového prenosu presahuje 95 %, pričom úspešnosť detekcie anomálií sieťového správania je aspoň 85 %. Platforma dokáže spravovať čiernu listinu s kapacitou až 4 milióny položiek. Úspešnosť blokovania na základe URL adries, IP adries, domén a telefónnych čísel presahuje 95 %, pričom reálne hodnoty presnosti (precision) a úplnosti (recall) prekračujú 98 %.

Komplexná identifikácia sieťového prenosu a komunikačných vzťahov

• Podporuje identifikáciu a priradenie na základe spojení (link-based discovery and association) ako aj analýzu (parsing) proprietárnych protokolov.
• Zahŕňa zabudovaný model vzťahov v premávke pre internetové komunikácie, ktorý umožňuje koreláciu hlasových volaní cez VoLTE, VoNR, CSFB, hlasových záznamov v CS-doméne 2G/3G a premávky z aplikácií na okamžitú správu (IM), ako sú Skype, WeChat a QQ. Toto zvyšuje presnosť identifikácie komunikačných vzorov a analýzy správania medzi rôznymi entitami.

Predspracovanie

• Podporuje analýzu protokolov v signálnom priestore, vrátane HTTP2, PFCP, GTPv2C a iných.
• Podporuje analýzu protokolu GTP-U v užívateľskom priestore.
• Podporuje analýzu IoT-protokolov, ako sú MQTT, COAP a ďalšie štandardy pre IoT.
• Podporuje analýzu protokolu IPv6.
• Extrahuje kľúčové údaje, ako sú identifikátory používateľov, informácie o polohe, päťprvkové údaje (five-tuple), URL adresy a názvy hostiteľov, pre ďalšie spracovanie.

Analýza správania v premávke

• Podporuje detekciu správania škodlivých programov na základe vzorových súborov, vrátane, ale nie len, formátov SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Analyzuje premávku na výskyt nezvyčajného správania a incidentov.
• Podporuje pravidlové zisťovanie podozrivých webových stránok a URL adries.
• Poskytuje identifikáciu a analýzu typov mobilných koncových zariadení.

Obnovenie vzoriek

• Podporuje obnovenie súborov pomocou rôznych prenosových protokolov, ako sú HTTP, FTP a EMAIL; podporované formáty súborov zahŕňajú SIS/SISX/EXE/JAR/APK/CAB/RAR/ZIP/IPA/COD/ALX/PRC/ELF.
• Umožňuje viacrozmerné porovnávanie atribútov obnovených súborov vzoriek, vrátane veľkosti súboru, formátu a hodnôt hashu.
• Zisťuje citlivé kľúčové slová a frázy v rámci súborov.

Správa premávky a riešenie incidentov

• Podporuje správu šírenia škodlivého kódu na základe čiernej listiny, čo umožňuje blokovanie alebo presmerovanie prenosu dát.
• Umožňuje blokovanie neobvyklého prenosu dát zo z kompromitovaných zariadení (napr. napadnutých smartfónov alebo počítačov) a šírenie škodlivého obsahu prostredníctvom URL adries alebo iných identifikátorov.
• Podporuje viacrozmerné riadenie prenosu dát, vrátane podľa rozsahov IP adries, názvov domén, URL adries, charakteristík zariadení a rozsahov telefónnych čísel, čo umožňuje presnú kontrolu sieťového prenosu dát.

Správa databázy funkcií

• Zahŕňa databázu funkcií pre analýzu premávky.
• Podporuje databázu na identifikáciu a analýzu škodlivého správania programov.
• Umožňuje konfiguráciu a aktualizáciu databázy funkcií prostredníctvom rozhrania API .