本發(fā)明涉及一種基于XDR話單數(shù)據(jù)的網(wǎng)絡(luò)安全防護(hù)方法，該方法根據(jù)XDR話單數(shù)據(jù)，識(shí)別出用戶異常行為，從而進(jìn)行網(wǎng)絡(luò)安全防護(hù)，所述用戶異常行為的識(shí)別具體為，根據(jù)XDR話單數(shù)據(jù)的指標(biāo)，識(shí)別用戶異常行為，所述指標(biāo)包括信令連接次數(shù)、空口時(shí)間、流量、目的或源IP、目的或源端口號(hào)、數(shù)據(jù)包數(shù)量和/或應(yīng)用業(yè)務(wù)類(lèi)型，所述用戶異常行為包括網(wǎng)絡(luò)對(duì)用戶的威脅行為、用戶對(duì)互聯(lián)網(wǎng)的威脅行為和用戶對(duì)無(wú)線資源的濫用行為。與現(xiàn)有技術(shù)相比，本發(fā)明實(shí)現(xiàn)了對(duì)無(wú)線用戶網(wǎng)絡(luò)異常行為的有效監(jiān)控，進(jìn)而采取網(wǎng)絡(luò)安全防護(hù)措施，有利于凈化網(wǎng)絡(luò)不良行為，實(shí)現(xiàn)綠色安全的網(wǎng)絡(luò)環(huán)境，具有識(shí)別廣泛、有效等優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其是涉及一種基于XDR話單數(shù)據(jù)的網(wǎng)絡(luò)安全防護(hù)方法。

背景技術(shù)

隨著無(wú)線移動(dòng)用戶終端上的應(yīng)用業(yè)務(wù)越來(lái)越豐富多彩，用戶對(duì)業(yè)務(wù)的使用方式也發(fā)生了巨大變化，由基本的語(yǔ)音通話、文字消息通訊，演變?yōu)槿诤弦曨l、音頻、圖片、文字、互聯(lián)互通為一體的多功能媒體主導(dǎo)者，伴隨著這一轉(zhuǎn)變過(guò)程，威脅用戶和網(wǎng)絡(luò)安全的行為也發(fā)生了變化，由原來(lái)以最終用戶為目標(biāo)的病毒、木馬演變?yōu)橐曰ヂ?lián)設(shè)備、區(qū)域用戶感知、承載網(wǎng)絡(luò)資源、業(yè)務(wù)提供設(shè)備等鏈路元素的惡意攻擊或威脅，相應(yīng)的防范措施也由原來(lái)終端操作系統(tǒng)修補(bǔ)漏洞轉(zhuǎn)變?yōu)樵诰W(wǎng)絡(luò)中感知到用戶的異常行為并采取限制措施。

對(duì)于身處無(wú)線新環(huán)境下的用戶，發(fā)生的異常行為復(fù)雜多樣，可以使用一個(gè)實(shí)際的場(chǎng)景來(lái)描述：A公司和B公司是兩家經(jīng)營(yíng)同類(lèi)產(chǎn)品的公司，都具備為客戶提供遠(yuǎn)程業(yè)務(wù)訪問(wèn)的能力，但二者為了開(kāi)拓各自的市場(chǎng)，常不擇手段，采用不規(guī)范的措施，例如，A公司對(duì)B公司提供業(yè)務(wù)的服務(wù)器端口實(shí)施大量數(shù)據(jù)包攻擊，消耗該服務(wù)器端口資源，使B公司的客戶群無(wú)法正常訪問(wèn)業(yè)務(wù)，這些客戶迫不得已，只能轉(zhuǎn)向A公司業(yè)務(wù)，達(dá)到了A公司開(kāi)拓客戶群的目的。因?yàn)轭?lèi)似事件的發(fā)生，行業(yè)的無(wú)序競(jìng)爭(zhēng)導(dǎo)致互聯(lián)網(wǎng)不規(guī)范現(xiàn)象時(shí)有發(fā)生，面臨很多新問(wèn)題。

通過(guò)對(duì)無(wú)線數(shù)據(jù)樣本分析，分別從普遍性、增長(zhǎng)速度、風(fēng)險(xiǎn)、發(fā)生頻率四方面總結(jié)出用戶異常行為的影響如下。

1)異常行為日益普遍：電池攻擊，端口掃描，信令攻擊，資源濫用。

2)增長(zhǎng)的安全威脅：如從LTE上線以來(lái)網(wǎng)絡(luò)安全行為較2G、3G時(shí)代增長(zhǎng)214％。

3)給網(wǎng)絡(luò)帶來(lái)風(fēng)險(xiǎn)：投訴增加，品牌受損；網(wǎng)絡(luò)受到威脅；用戶感知下降；網(wǎng)絡(luò)性能下降；無(wú)線資源緊缺。

4)發(fā)生頻率很高：用戶行為復(fù)雜多變，無(wú)線資源濫用頻繁，需要及時(shí)的監(jiān)測(cè)和發(fā)現(xiàn)；用戶異常行為事件多發(fā)，需要通過(guò)分析用戶上網(wǎng)行為及時(shí)發(fā)現(xiàn)潛在隱患。

現(xiàn)有技術(shù)存在的缺陷：

對(duì)日益嚴(yán)重的影響，采取的防范手段卻相對(duì)貧乏，表現(xiàn)有：無(wú)發(fā)現(xiàn)的手段，缺少發(fā)現(xiàn)網(wǎng)絡(luò)狀態(tài)事件的手段，針對(duì)異常業(yè)務(wù)行為缺少監(jiān)控手段，缺少對(duì)網(wǎng)絡(luò)異常行為的端到端定界定位工具，不知情定制只能依靠投訴發(fā)現(xiàn)，用戶感知差，且無(wú)法根除問(wèn)題。不能完全抑制，通過(guò)EPC的管控策略只能應(yīng)對(duì)部分網(wǎng)絡(luò)狀態(tài)行為，針對(duì)電池攻擊、信令攻擊等無(wú)有效抑制手段。響應(yīng)速度慢，通過(guò)手工分析確認(rèn)問(wèn)題原因從發(fā)現(xiàn)到抑制措施的實(shí)施周期過(guò)長(zhǎng)。

發(fā)明內(nèi)容

本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種基于XDR話單數(shù)據(jù)的網(wǎng)絡(luò)安全防護(hù)方法。

本發(fā)明的目的可以通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)：

本發(fā)明是根據(jù)在運(yùn)營(yíng)商承載網(wǎng)絡(luò)中采集到的傳輸流，解析出用戶、終端、網(wǎng)絡(luò)、應(yīng)用業(yè)務(wù)等多維度數(shù)據(jù)，加以多維度關(guān)聯(lián)統(tǒng)計(jì)，形成端到端分析用戶感知指標(biāo)、網(wǎng)絡(luò)KPI指標(biāo)、數(shù)據(jù)流傳輸方向、目的或源IP地址或端口號(hào)、應(yīng)用業(yè)務(wù)感知指標(biāo)等體系，綜合對(duì)比計(jì)算用戶和網(wǎng)絡(luò)之間發(fā)生的安全行為，發(fā)掘相互之間存在的威脅和無(wú)線網(wǎng)絡(luò)資源的濫用，歸納為行為事件，將這些事件作為分析對(duì)象，設(shè)定門(mén)限值，劃分安全級(jí)別，生成告警消息，對(duì)接策略管控系統(tǒng)，制定智能管控策略，實(shí)施限制策略。通過(guò)本發(fā)明能夠形成對(duì)無(wú)線用戶行為實(shí)施智能監(jiān)控和管控，凈化網(wǎng)絡(luò)不良行為，實(shí)現(xiàn)綠色安全的網(wǎng)絡(luò)環(huán)境。