[发明专利]一种基于XDR话单数据的网络安全防护方法

说明书

本发明涉及一种基于XDR话单数据的网络安全防护方法，该方法根据XDR话单数据，识别出用户异常行为，从而进行网络安全防护，所述用户异常行为的识别具体为，根据XDR话单数据的指标，识别用户异常行为，所述指标包括信令连接次数、空口时间、流量、目的或源IP、目的或源端口号、数据包数量和/或应用业务类型，所述用户异常行为包括网络对用户的威胁行为、用户对互联网的威胁行为和用户对无线资源的滥用行为。与现有技术相比，本发明实现了对无线用户网络异常行为的有效监控，进而采取网络安全防护措施，有利于净化网络不良行为，实现绿色安全的网络环境，具有识别广泛、有效等优点。

技术领域

本发明涉及互联网技术领域，尤其是涉及一种基于XDR话单数据的网络安全防护方法。

背景技术

随着无线移动用户终端上的应用业务越来越丰富多彩，用户对业务的使用方式也发生了巨大变化，由基本的语音通话、文字消息通讯，演变为融合视频、音频、图片、文字、互联互通为一体的多功能媒体主导者，伴随着这一转变过程，威胁用户和网络安全的行为也发生了变化，由原来以最终用户为目标的病毒、木马演变为以互联设备、区域用户感知、承载网络资源、业务提供设备等链路元素的恶意攻击或威胁，相应的防范措施也由原来终端操作系统修补漏洞转变为在网络中感知到用户的异常行为并采取限制措施。

对于身处无线新环境下的用户，发生的异常行为复杂多样，可以使用一个实际的场景来描述：A公司和B公司是两家经营同类产品的公司，都具备为客户提供远程业务访问的能力，但二者为了开拓各自的市场，常不择手段，采用不规范的措施，例如，A公司对B公司提供业务的服务器端口实施大量数据包攻击，消耗该服务器端口资源，使B公司的客户群无法正常访问业务，这些客户迫不得已，只能转向A公司业务，达到了A公司开拓客户群的目的。因为类似事件的发生，行业的无序竞争导致互联网不规范现象时有发生，面临很多新问题。

通过对无线数据样本分析，分别从普遍性、增长速度、风险、发生频率四方面总结出用户异常行为的影响如下。

1)异常行为日益普遍：电池攻击，端口扫描，信令攻击，资源滥用。

2)增长的安全威胁：如从LTE上线以来网络安全行为较2G、3G时代增长214％。

3)给网络带来风险：投诉增加，品牌受损；网络受到威胁；用户感知下降；网络性能下降；无线资源紧缺。

4)发生频率很高：用户行为复杂多变，无线资源滥用频繁，需要及时的监测和发现；用户异常行为事件多发，需要通过分析用户上网行为及时发现潜在隐患。

现有技术存在的缺陷：

对日益严重的影响，采取的防范手段却相对贫乏，表现有：无发现的手段，缺少发现网络状态事件的手段，针对异常业务行为缺少监控手段，缺少对网络异常行为的端到端定界定位工具，不知情定制只能依靠投诉发现，用户感知差，且无法根除问题。不能完全抑制，通过EPC的管控策略只能应对部分网络状态行为，针对电池攻击、信令攻击等无有效抑制手段。响应速度慢，通过手工分析确认问题原因从发现到抑制措施的实施周期过长。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种基于XDR话单数据的网络安全防护方法。

本发明的目的可以通过以下技术方案来实现：

本发明是根据在运营商承载网络中采集到的传输流，解析出用户、终端、网络、应用业务等多维度数据，加以多维度关联统计，形成端到端分析用户感知指标、网络KPI指标、数据流传输方向、目的或源IP地址或端口号、应用业务感知指标等体系，综合对比计算用户和网络之间发生的安全行为，发掘相互之间存在的威胁和无线网络资源的滥用，归纳为行为事件，将这些事件作为分析对象，设定门限值，划分安全级别，生成告警消息，对接策略管控系统，制定智能管控策略，实施限制策略。通过本发明能够形成对无线用户行为实施智能监控和管控，净化网络不良行为，实现绿色安全的网络环境。