移动互联网恶意程序检查系统覆盖率真实性的核查方法

移动互联网恶意程序：指在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。

确保基础电信企业认真履行企业职责，严格要求基础电信企业的移动互联网恶意程序监测系统按照系统运行、功能、数据“三同步”及配套保障检查建设要求，满足工业和信息化部关于省级基础电信企业网络与信息安全工作考核要点与评分标准要求移动互联网恶意程序系统对于3G/4G/5G移动通信网络制式，实现覆盖率100%。

由于投资预算、主观不重视等原因，基础电信企业往往无法做到移动互联网恶意程序监测系统实现覆盖率100%。为了应对定期上级管理部门的考核，经常使用非正常手段，投机取巧的方式应付考核。同时，当前核实移动互联网恶意程序监测系统覆盖率，通常采用现场拨测、投资建设文件审核等手段，存在考核手段单一，准确性差的情况，不能有效对移动互联网恶意程序系统建设情况的真实性进行有效摸底。由于系统覆盖率低，将无法有效控制手机恶意软件在移动通信网络内的传播。手机恶意软件会造成用户隐私泄露、信息丢失、设备损坏、话费损失等诸多问题，给客户利益带来极大危害，也给企业网络运营带来了不利影响。

本发明针对移动互联网恶意程序检查系统覆盖率真实性的核查方法，将解决当前核查手段的上述情况，通过技术手段快速准确发现网络安全建设漏洞，实现系统对移动网络覆盖率的核查自动化、实时性和准确性。

利用移动互联网恶意程序监测及处置系统和防火墙前置机的XDR标准数据，对比移动用户上网地址列表，准确梳理出系统覆盖范围和网络实际部署的差距。

产品描述：

1、移动互联网恶意程序监测及处置系统

现网“移动互联网恶意程序监测及处置系统”，实现监测处置能力覆盖了2G/3G/4G/5G移动分组域网络。主要基于2G、3G的GN口，4G的S11\S1-U，5G的N11\N3等节点的分光监测和流量监测。通过监测分析设备、恶意程序监测处置设备实现对核心网用户面、控制面的采集解析，输出标准化原始话单。通过数据关联合成等技术，并根据上层应用系统要求输出关联合成后的xDR，通过数据处理、数据关联、数据回填、至特定系统数据生成等技术，按需向各种应用提供各类数据。数据处理主要运用技术包括：内容校验、话单后处理；数据关联主要运用技术包括：用户身份识别、时间戳信息；数据回填主要运用技术包括：位置信息回填、公有IP信息回填 、IMSI-CITY学习处理、TEID-IMSI关系表学习处理、TAC-CITY回填处理、SEID回填IMSI处理、漫游信息回填、IMSI-PEI-MSISDN关系表学习处理。通过调用日志合成层相关xDR数据

2、防火墙前置机设备

防火墙前置机设备生成公私网IP地址对应关系NAT日志，输出标准化原始话单。防火墙前置机设备主要运用技术包括：日志采集、日志解析、DPI识别、日志转发。通过调用日志文件相处相关xDR数据。

3、系统技术机构

系统建设中所涉及到的硬件设备和软件功能所采用的技术架构如下：

图 1 系统技术架构

技术实现：

1、移动互联网恶意程序监测及处置系统和防火墙前置机采集点介绍

移动互联网恶意程序监测及处置系统采集点以4G/5G网络为例，采集点分别为：4G的S11\S1-U，5G的N11\N3等节点。

防火墙前置机采集点为Gi(SGi/N6)节点防火墙。

图 2 系统采集架构

2、移动互联网恶意程序监测及处置系统xDR话单格式详解

移动互联网恶意程序监测及处置系统xDR内容如下：

460015259503110|18595251724|867586043110055|3GNET.MNC001.MCC460.GPRS|6|21262|102881681|2152|2152|10.117.5.205|10.100.32.82|||||1630024678834|0|000619339|0|08|008|1|0|0|6|0|10.122.33.150||41952|