一种网络监控方法及装置、设备、存储介质与流程

本发明涉及网络技术领域，尤其涉及一种网络监控方法及装置、设备、存储介质。

背景技术：

随着互联网和信息技术的发展，越来越多的企业用户会组建自己的局域网，实现资源的最佳利用，如：共享磁盘设备、打印机等，也便于管理企业内部的多类数据，如员工信息数据、产品数据、技术信息等等。目前越来越多的企业不仅仅需要员工在办公区域可以访问企业的局域网，还需要在非办公场区域也能够访问企业的局域网。目前用户可以通过虚拟专用网络的功能(virtualprivatenetwork，vpn)的方式在非办公区域访问企业的局域网，具体是输入公司的vpn访问地址以及用户的账户名和密码，需要用户输入较多的信息才可以实现访问企业的局域网，操作繁琐，降低了访问企业局域网的效率。另外，由于企业局域网的私密性，为了更好的保护企业局域网的安全性以防止信息泄露，如何对企业局域网执行更好的监控仍是一个需要解决的问题。

技术实现要素：

本发明实施例提供一种网络监控方法及装置、设备、存储介质，以期对通过移动接入点访问网络的用户终端进行有效监控。

第一方面，为本申请实施例提供了一种网络监控方法，包括：

当服务器监测到用户终端访问目标局域网的第一访问请求时，获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；

根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；

若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述操作指令。

可选的，所述方法还包括：

所述服务器记录所述用户终端的超权限操作行为，所述超权限操作行为用于指示所述用户终端执行不属于所述操作指令集的操作指令的行为；

当所述服务器记录的所述超权限操作行为超过预设次数，则服务器向所述用户终端发送第一通知消息，所述第一通知消息用于通知所述用户终端的超权限行为的次数。

可选的，所述方法还包括：

当所述服务器监测到所述用户终端发送的第二访问请求时，判断所述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，所述第二访问请求用于访问除所述目标局域网之外的网络；

若否，则所述服务器拒绝所述用户终端的所述第二访问请求。

可选的，所述服务器监测到用户终端访问目标局域网的第一访问请求之前还包括：

服务器接收用户终端通过第一移动接入点发送的连接请求，所述连接请求包括所述用户终端的标识；

若所述服务器确定所述用户终端的标识为预存标识，则向所述用户终端发送连接确认消息。

可选的，所述服务器接收用户终端通过第一移动接入点发送的连接请求之后，还包括：

所述服务器根据所述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为所述用户终端选择第二移动接入点，所述第二移动接入点为所述多个移动接入点中与所述用户终端之间相隔的距离最近的移动接入点；

所述服务器向所述用户终端发送第二通知消息，所述第二通知消息包括所述第二移动接入点的接入信息，所述第二通知消息用于向所述用户终端指示所述第二移动接入点与所述用户终端之间的距离最近。

可选的，所述服务器接收用户终端通过第一移动接入点发送的连接请求之后，还包括：

所述服务器根据多个移动接入点中每个移动接入点的负载值，为所述用户终端选择第三移动接入点，所述第三移动接入点为所述多个移动接入点中负载值最小的移动接入点；

所述服务器向所述用户终端发送第三通知消息，所述第三通知消息包括所述第三移动接入点的接入信息，所述第三通知消息用于向所述用户终端指示所述第三移动接入点的负载值最小。

第二方面，为本申请实施例提供了一种网络监控装置，包括：

接收模块，用于获取用户终端访问目标局域网的第一访问请求；

获取模块，用于获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；

所述获取模块，还用于根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；

处理模块，用于若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述目标操作指令。

可选的，所述装置还包括：

记录模块，用于所述服务器记录所述用户终端的超权限操作行为，所述超权限操作行为用于指示所述用户终端执行不属于所述操作指令集的操作指令的行为；

反馈模块，用于当所述服务器记录的所述超权限操作行为超过预设次数，则服务器向所述用户终端发送第一通知消息，所述第一通知消息用于通知所述用户终端的超权限行为的次数。

可选的，所述接收模块，还用于获取所述用户终端发送的第二访问请求；

所述处理模块，还用于判断所述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，所述第二访问请求用于访问除所述目标局域网之外的网络；若否，则所述服务器拒绝所述用户终端的所述第二访问请求。

可选的，所述接收模块，还用于接收用户终端通过第一移动接入点发送的连接请求，所述连接请求包括所述用户终端的标识；

所述处理模块，还用于若所述服务器确定所述用户终端的标识为预存标识，则通过所述反馈模块向所述用户终端发送连接确认消息。

可选的，所述获取模块，还用于所述服务器根据所述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为所述用户终端选择第二移动接入点，所述第二移动接入点为所述多个移动接入点中与所述用户终端之间相隔的距离最近的移动接入点；

所述反馈模块，还用于所述服务器向所述用户终端发送第二通知消息，所述第二通知消息包括所述第二移动接入点的接入信息，所述第二通知消息用于向所述用户终端指示所述第二移动接入点与所述用户终端之间的距离最近。

可选的，所述获取模块，还用于所述服务器根据多个移动接入点中每个移动接入点的负载值，为所述用户终端选择第三移动接入点，所述第三移动接入点为所述多个移动接入点中负载值最小的移动接入点；

所述反馈模块，还用于所述服务器向所述用户终端发送第三通知消息，所述第三通知消息包括所述第三移动接入点的接入信息，所述第三通知消息用于向所述用户终端指示所述第三移动接入点的负载值最小。

第三方面，为本申请实施例提供了一种服务器，包括处理器、存储器和收发器，所述处理器、所述存储器和所述收发器相互连接，其中，所述存储器用于存储支持所述电子设备执行上述网络监控方法的计算机程序，所述计算机程序包括程序指令；所述处理器被配置用于调用所述程序指令，执行如上述本发明实施例一方面中所述的网络监控方法。

第四方面，为本申请实施例提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令；所述程序指令当被处理器执行时使所述处理器执行如本发明实施例一方面中所述的网络监控方法。

本发明实施例通过根据移动接入点上报的流量情况对接入移动接入点的用户终端的行为进行监控，监控到敏感行为(如敏感数据拷贝、访问敏感系统)后进行相应的管控(如告警、禁止访问等)，从而实现通过移动接入点访问企业内网，避免用户通过输入公司的vpn访问地址及用户的账户名和密码等较多信息才能实现访问企业局域网的情况，使得企业内网的访问方式更加方便快捷，可以让用户在办公区域或非办公区域都可以快速访问企业内网。同时在该通过移动接入点访问公司内网的场景中可以对通过移动接入点访问内网的用户终端的操作行为进行实时监控，具体通过用户权限与操作指令集之间的关系，来确定该用户是否可以对目标数据执行该操作指令，提高了内网的安全性和防止信息泄露。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种可能的系统架构图；

图2是本发明实施例提供的一种网络监控方法的流程示意图；

图3是本发明实施例提供的另一种网络监控方法的详细流程示意图；

图4是本发明实施例提供的一种网络监控装置示意图；

图5是本发明实施例提供的服务器的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

请参见图1，为本申请适用的一种可能的系统架构图。如图1所示，多个用户终端可以通过移动接入点(accesspoint，ap)访问局域网，服务器101可以对多个移动接入点进行监控，其中，多个用户终端包括用户终端105和用户终端106；图1所示网络架构图中包含多个移动接入点，多个移动接入点分别为接入点102、接入点103、接入点104；且用户终端105和用户终端106均是通过移动接入点102访问局域网的。

局域网(localareanetwork，lan)是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。

其中，多个用户终端可以通过移动接入点可以访问局域网(localareanetwork，lan)。服务器101可以对多个移动接入点进行监控，图1中的用户终端105和用户终端106均是通过移动接入点102访问局域网的。

本发明实施例涉及的局域网或者目标局域网是指在某一区域内由多台计算机互联成的计算机组。“某一区域”指的是同一办公室、同一建筑物、同一公司和同一学校等，一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的，可以由办公室内的两台计算机组成，也可以由一个公司内的上千台计算机组成。

本发明实施例涉及的移动接入点：是指用户终端在与移动接入点建立连接之后，可以访问网络，在本申请中可以通过移动接入点访问局域网以及外网。通过移动接入点可以访问局域网之前还需要执行移动接入点与局域网之间的验证过程，具体包括：

(1)移动接入点向局域网发送连接请求，这一连接请求中携带一字符串(该字符串可以是移动接入点和局域网之间相互约定的多个字符串中其中一个；或者，该字符串是移动接入点随机生成的)。

(2)移动接入点使用加密算法和数字证书对应的私钥对上述携带的字符串进行加密，生成加密数据，并将加密数据发送给局域网，其中，该加密算法和数字证书是由局域网提前发送给移动接入点的；

(3)局域网接收加密数据，并采用公钥进行解密，得到了待验证字符串；若待验证字符串与(1)中连接请求携带的字符串相同，则验证通过，并允许接入点与局域网建立连接，这样目标终端才可以通过移动接入点访问局域网；如果待验证字符串与(1)中连接请求携带的字符串不相同，则验证不通过，且不允许移动接入点与局域网建立连接，用户终端也无法通过移动接入点访问局域网。

本申请涉及的目标终端或用户终端可以指用户设备(userequipment，ue)，可以为手持终端、笔记本电脑、用户单元(subscriberunit)、蜂窝电话(cellularphone)、智能电话(smartphone)、个人数字助理(personaldigitalassistant，pda)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptopcomputer)、无绳电话(cordlessphone)或者无线本地环路(wirelesslocalloop，wll)台、机器类型通信(machinetypecommunication，mtc)终端或是其他设备。本申请涉及的网络监控装置可以为具备存储和通信功能并能够管理移动接入点等服务的后台设备，也可以为嵌入于所述后台设备中的网络监控模块。

请参见图2，图2是本发明实施例提供的一种网络监控方法的流程示意图。如图2所示，该方法实施例包括如下步骤：

s201，获取用户终端对目标数据的目标操作指令。

具体的，当服务器监测到用户终端访问目标局域网的第一访问请求时，获取该用户终端对目标数据的目标操作指令，该用户终端是通过第一移动接入点访问目标局域网。在用户终端与目标局域网连接成功后，用户终端可以通过移动接入点访问目标局域网，向服务器发送用户终端访问目标局域网的第一访问请求。其中，此处的目标操作指令可以为查阅指令、复制指令、截图/截屏指令等。

在第一可能的实现方式中，假定用户终端为用户终端a，目标数据为数据d2，获取到该用户终端a对数据d2的查阅指令，即目标操作指令为查阅指令；在第二可能的实现方式中，假定用户终端为用户终端b，目标数据为数据d2，获取到该用户终端b对数据d2的复制指令，即目标操作指令为复制指令。

s202，根据用户终端的目标权限，获取与目标权限对应的操作指令集。

具体的，服务器获取该用户终端的访问权限，具体的可以是根据用户终端的标识来确定用户终端的访问权限，记做该用户终端的目标权限，该目标权限用于指示该用户终端可以执行的多个第一操作指令，或者该目标权限可以用于指示该用户终端可以访问的目标数据以及对该目标数据可以执行的多个第二操作指令，多个第一操作指令和多个第二操作指令共同组成该用户终端的目标权限所对应的操作指令集。其中，在具体实现中，多个第一操作指令和多个第二操作指令可以为该用户终端的目标权限所对应的操作指令集包含的部分操作指令，还可以包括其他可能的用于用户终端操作的操作指令，在此不做限制。

例如，对于数据d1而言，根据用户终端a的权限确定用户终端a可以执行查阅指令及复制指令，根据用户终端b的权限确定用户终端b只能执行查阅指令；对于数据d2而言，根据用户终端a的权限确定用户终端a只能执行查阅指令及复制指令，根据用户终端b的权限确定用户终端b对数据d2不能执行任何操作指令。

在一种可能的实现中，服务器可以设置多个用户终端的目标权限与操作指令集的映射关系表，用于根据用户终端的目标权限来确定相对应的操作指令集。例如对于用户终端a和用户终端b与用户终端对应的操作指令集的映射关系表可以如下表1所示：

可以通过目标终端的第一访问请求，确定该目标终端的标识，并根据该目标终端的标识确定该目标终端的目标权限，通过用户终端与操作指令集间的对应关系，查找该用户终端所对应的操作指令集。

s203，若对该目标数据的目标操作指令不属于操作指令集，拒绝对目标数据执行该目标操作指令。

具体的，若s201中获取到的用户终端对目标数据的目标操作指令不属于s202中获取到的该用户终端所对应的操作指令集，表示该用户终端无法对该目标数据执行目标操作指令，此时服务器拒绝该用户终端对目标数据执行目标操作指令。其中，服务器在拒绝用户终端的目标操作指令后，可以向该用户终端发送拒绝提示，该拒绝提示可以包括拒绝理由，即该用户终端无权执行目标操作指令。

在s201中第一可能的实现方式中，获取到用户终端a对数据d2的查阅指令，在s202中获取到的该用户终端a所对应的操作指令集进行查找，确定该用户终端a对数据d2的查阅指令属于s202中获取到的该用户终端a所对应的操作指令集，则允许该用户终端a对数据d2执行查阅指令；在s201中第二可能的实现方式中，获取到用户终端b对数据d2的复制指令，在s202中获取到的该用户终端b所对应的操作指令集进行查找，确定该用户终端b对数据d2的复制指令不属于该用户终端b所对应的操作指令集，则拒绝用户终端b对数据d2执行复制指令，可选的可以向用户终端b发送拒绝提示，提醒用户终端b无此操作权限。

请参见图3，图3是本发明实施例提供的另一种网络监控方法的详细流程示意图。如图3所示，该方法实施例包括如下步骤：

s301，服务器接收用户终端通过第一移动接入点发送的连接请求，该请求包括用户终端的标识。

具体的，用户在访问目标局域网或其他网络时，所使用的用户终端通过第一移动接入点向目标局域网或其他网络发送连接请求，此时服务器接收用户终端通过第一移动接入点发送的连接请求，该连接请求包括该用户终端的标识。当服务器接收到连接请求后，在预存标识中进行查找，判断预存标识中是否包括该用户终端的标识。若预存标识中包含该用户终端的标识，则表示允许该用户终端通过移动接入点连接至目标局域网，并向该用户终端发送连接确定消息，以通知该用户终端已经连接成功；否则表示不允许该移动终端通过移动接入点连接至目标局域网，可选的可以向用户终端发送连接失败消息。

其中，用户终端的标识可以为用户账户名和账户密码；或者可以为用户终端所对应的用户的指纹信息、脸部信息、掌纹信息、虹膜信息等。

其中，假定存在用户终端a、b、c，用户终端a和用户终端b的用户终端标识在预存标识中，用户终端c的用户终端标识不在预存标识中，若服务器接收到用户终端a、用户终端b和用户终端c通过第一移动接入点访问目标局域网的连接请求，向用户终端a和用户终端b发送连接确定消息，向用户终端c发送连接失败消息，拒绝用户终端c通过第一移动接入点访问目标局域网。或者同理，假定图1中的用户终端105和用户终端106可以通过移动接入点访问目标局域网。

在用户终端通过移动接入点连接目标局域网的过程中，若服务器确定该用户终端的标识属于预存标识，即允许该用户终端通过移动接入点访问目标局域网，则服务器可以为用户终端选择目标移动接入点进行接入，具体过程如下：

在第一种可能的选择目标移动接入点的实现方式中，服务器根据该用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为该用户终端选择第二移动接入点，第二移动接入点为多个移动接入点中与该用户终端之间相隔的距离最近的移动接入点。

服务器获取用户终端当前的第一位置，可以通过自动定位或者位置获取请求来确定；获取多个移动接入点中每个移动接入点的第二位置，其中服务器中可以实时确定每个移动接入点的当前位置，可以是每个移动接入点按照时间间隔将自身的位置上报给服务器；计算第一位置和多个第二位置之间的相对距离，可以根据地图确定两个位置之间的相对距离；将相对距离最小所对应的第二移动接入点确定为目标移动接入点，并向用户终端发送第二通知消息，该第二通知消息包括第二移动接入点的接入信息，第二通知消息用于向该用户终端指示第二移动接入点与该用户终端之间的距离最近。

具体的，如图1所示，假定服务器101接收到用户终端105发送的连接请求，并确定该用户终端的标识属于预存标识，即允许该用户终端通过移动接入点访问目标局域网，则执行如下过程：

1、获取用户终端105当前的第一位置，可以通过对用户终端105自动定位或者对用户终端105的位置获取请求来确定；

2、获取多个移动接入点中每个移动接入点的第二位置，包括移动接入点102、移动接入点103及移动接入点104各自的第二位置；

3、分别计算用户终端105与移动接入点102的第二位置间的第一相对距离，与移动接入点103的第二位置间的第二相对距离及与移动接入点104的第二位置间的第三相对距离，具体的，可以通过地图上的用户终端105、移动接入点102、移动接入点103及移动接入点104的位置确定两个位置间的相对距离；

4、将最小的相对距离所对应的移动接入点确定为目标移动接入点，可知第一相对距离最小，从而将第一相对距离所对应的移动接入点102确定为该用户终端105的目标移动接入点，并向用户终端105发送第二通知消息，第二通知消息包括该目标移动接入点102的标识、目标移动接入点102与用户终端105之间的距离最近。

在第二种可能的选择目标移动接入点的实现方式中，服务器根据多个移动接入点中每个移动接入点的负载值，为该用户终端选择第三移动接入点，第三移动接入点为多个移动接入点中负载值最小的移动接入点；服务器向用户终端发送第三通知消息，第三通知消息包括第三移动接入点的接入信息，第三通知消息用于指示该用户终端第三移动接入点与该用户终端之间的距离最近。其中，负载值可以为连接的用户终端的数量，或者可以为资源使用量，如某一移动接入点中的10mbps带宽用了8mbps，则表示该某一移动接入点的负载值为8mbps。

具体的，服务器获取多个移动接入点中与每个移动接入点连接的用户终端的数量。这里的多个移动接入点可以是距离用户终端当前位置一定范围内的移动接入点；从多个移动接入点中选择连接用户终端数量最少的那个第三移动接入点确定为目标移动接入点；将该目标移动接入点的标识发送给用户终端，以供用户选择。

具体的，如图1所示，假定服务器101接收到用户终端105发送的连接请求，并确定该用户终端的标识属于预存标识，即允许该用户终端通过移动接入点访问目标局域网，则执行如下过程：

1、服务器获取多个移动接入点中与每个移动接入点连接的用户终端的数量，假定移动接入点102连接的用户终端的数量为5，移动接入点103连接的用户终端的数量为9，移动接入点104连接的用户终端的数量为3；

2、从多个移动接入点中选择连接用户终端数量最少的移动接入点104确定为目标移动接入点；

3、向用户终端105发送第二通知消息，第二通知消息包括该目标移动接入点104的标识、目标移动接入点104所连接的用户终端数量最少。

可选的，也可以将相对距离的因素、所连接的用户终端的数量因素综合考虑来为用户终端推荐可以接入目标局域网的目标移动接入点，当然其他可能的选取移动接入点的实现方式也可以为确定目标移动接入点的方式，在此不做限制。

s302，获取用户终端对目标数据的目标操作指令。

具体的，在用户终端通过目标移动接入点与目标局域网连接成功后，用户可以通过目标移动接入点访问目标局域网。此时服务器可以执行获取用户终端对目标数据的目标操作指令的步骤。具体的参见图2中s201所示的具体描述，在此不再进行赘述。

s303，根据用户终端的目标权限，获取与目标权限对应的操作指令集。

具体的，参见图2中s202所示的具体描述，在此不再进行赘述。

s304，若对该目标数据的目标操作指令不属于操作指令集，拒绝对目标数据执行该目标操作指令。

具体的，参见图2中s203所示的具体描述，在此不再进行赘述。

s305，记录所述用户终端的超权限操作行为，若用户终端的超权限操作行为超过预设数量，向用户终端发送第一通知消息。

具体的，服务器可以存储用户终端的超权限操作行为，超权限操作行为用于指示该用户终端执行不属于该用户终端所对应的操作指令集的操作指令的行为。其中，当s304中存在目标操作指令不属于操作指令集，服务器在拒绝对目标数据执行目标操作指令后，可以认为该目标操作指令为该用户终端所请求的超权限操作行为请求；或者可以对用户终端多次对目标数据执行相同操作指令的行为认为该用户终端所请求的超权限操作行为请求等。

具体的，当服务器记录的超权限操作行为超过预设次数，则服务器向该用户终端发送第一通知消息，第一通知消息用于通知该用户终端的超权限操作行为的次数，若次数较多时可以减少用户终端的超权限操作，或者限制该用户终端对目标局域网的访问。

其中，服务器可以按照不允许的操作指令类型进行统计，例如，不允许的复制指令的次数、不允许的查阅指令的次数或者不允许的截屏指令的次数，服务器还可以记录每个不允许的操作指令对应的目标数据、操作时间、用户终端的位置等信息，在不允许的操作指令类型的次数超过预设次数，则向该用户终端发送第一通知消息，若次数较多时可以限制该用户终端的超权限操作或对目标局域网的访问。

或者，服务器可以对用户多次对目标数据执行相同操作指令的行为进行记录，若次数较多可以认为该用户对目标数据执行的相同操作指令的行为异常，输出告警，也可以像管理终端进行反馈，从而可以规范用户终端的操作行为，还可以通过及时反馈使得管理终端对用户终端进行管理。

s306，接收第二访问请求，判断第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中。

具体的，本发明实施例中的用户终端可以访问内网，也可以访问外网，在访问外网时，服务器可以通过对该用户终端的访问链接进行限制从而实现对用户终端的监控。当服务器监测到用户终端发送的第二访问请求时，判断第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，第二访问请求用于访问除目标局域网之外的网络；若否，则服务器拒绝该用户终端的第二访问请求。

其中，假定用户终端a需要访问aaa网站，在预设地址集合中未查找到该aaa网站的访问链接，因此拒绝该用户终端的第二访问请求。

本发明实施例提供了一种根据移动接入点上报的流量情况对接入移动接入点的用户终端的行为进行监控，监控到敏感行为后进行相应的管控，从而实现通过移动接入点访问企业内网或外网的操作行为进行实时监控，具体通过用户终端的权限与操作指令集之间的关系，或者预设地址集合中保存的允许访问的外网访问链接，来确定该用户终端是否可以对目标数据执行该操作指令或者访问外部网络，从而提高了内网的安全性，防止信息泄露。

请参见图4，图4是本发明实施例提供的一种网络监控装置示意图，如图4所示，该网络监控装置400可以包括：接收模块401、获取模块402和处理模块403。

接收模块401，用于获取用户终端访问目标局域网的第一访问请求；

获取模块402，用于获取该用户终端对目标数据的目标操作指令，该用户终端是通过第一移动接入点访问上述目标局域网；

上述获取模块，还用于根据该用户终端的目标权限，获取与上述目标权限对应的操作指令集；

处理模块403，用于若对上述目标数据的上述目标操作指令不属于上述操作指令集，则拒绝对目标数据执行上述目标操作指令。

可选的，上述网络监控装置400还包括：

记录模块404，用于服务器记录该用户终端的超权限操作行为，上述超权限操作行为用于指示该用户终端执行不属于上述操作指令集的操作指令的行为；

反馈模块405，用于当服务器记录的上述超权限操作行为超过预设次数，则服务器向该用户终端发送第一通知消息，上述第一通知消息用于通知该用户终端的超权限行为的次数。

可选的，上述接收模块401，还用于获取上述用户终端发送的第二访问请求；

上述处理模块403，还用于判断上述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，上述第二访问请求用于访问除上述目标局域网之外的网络；若否，则上述服务器拒绝上述用户终端的上述第二访问请求。

可选的，上述接收模块401，还用于接收用户终端通过第一移动接入点发送的连接请求，上述连接请求包括上述用户终端的标识；

上述处理模块403，还用于若上述服务器确定上述用户终端的标识为预存标识，则通过上述反馈模块向上述用户终端发送连接确认消息。

可选的，上述获取模块402，还用于上述服务器根据上述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为上述用户终端选择第二移动接入点，上述第二移动接入点为上述多个移动接入点中与上述用户终端之间相隔的距离最近的移动接入点；

上述反馈模块405，还用于上述服务器向上述用户终端发送第二通知消息，上述第二通知消息包括上述第二移动接入点的接入信息，上述第二通知消息用于向上述用户终端指示上述第二移动接入点与上述用户终端之间的距离最近。

可选的，上述获取模块402，还用于上述服务器根据多个移动接入点中每个移动接入点的负载值，为上述用户终端选择第三移动接入点，上述第三移动接入点为上述多个移动接入点中负载值最小的移动接入点；

上述反馈模块405，还用于上述服务器向上述用户终端发送第三通知消息，上述第三通知消息包括上述第三移动接入点的接入信息，上述第三通知消息用于向上述用户终端指示上述第三移动接入点的负载值最小。

可以理解的，该网络监控装置400用于实现图2至图3实施例中所执行的步骤。关于图4的网络监控装置400包括的功能块的具体实现方式及相应的有益效果，可参考前述图2至图3的实施例的具体介绍，这里不赘述。

上述图4所示实施例中的网络监控装置400可以以图5所示的服务器600来实现。可选的，参见图5，图5是本发明实施例提供的一种服务器，包括：一个或多个处理器501、存储器502和收发器503。上述处理器501、存储器502和收发器503通过总线504连接。其中，上述收发器503用于接收用户终端的请求，并向用户终端发送通知消息，上述存储器502用于存储计算机程序，该计算机程序包括程序指令；处理器501用于执行存储器502存储的程序指令，执行如下操作：

当监测到用户终端访问目标局域网的第一访问请求时，获取该用户终端对目标数据的目标操作指令，该用户终端是通过第一移动接入点访问上述目标局域网；

根据该用户终端的目标权限，获取与上述目标权限对应的操作指令集；

若对上述目标数据的上述目标操作指令不属于上述操作指令集，则拒绝对目标数据执行上述操作指令。

可选的，上述处理器501还用于：

记录该用户终端的超权限操作行为，上述超权限操作行为用于指示该用户终端执行不属于上述操作指令集的操作指令的行为；

当记录的上述超权限操作行为超过预设次数，则服务器向该用户终端发送第一通知消息，上述第一通知消息用于通知该用户终端的超权限行为的次数。

可选的，上述处理器501还用于：

当监测到该用户终端发送的第二访问请求时，判断上述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，上述第二访问请求用于访问除上述目标局域网之外的网络；

若否，则拒绝该用户终端的上述第二访问请求。

其中，上述处理器501还用于：

接收用户终端通过第一移动接入点发送的连接请求，上述连接请求包括该用户终端的标识；

若确定该用户终端的标识为预存标识，则向该用户终端发送连接确认消息。

可选的，上述处理器501还用于：

根据该用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为该用户终端选择第二移动接入点，上述第二移动接入点为上述多个移动接入点中与该用户终端之间相隔的距离最近的移动接入点；

向该用户终端发送第二通知消息，上述第二通知消息包括上述第二移动接入点的接入信息，上述第二通知消息用于向该用户终端指示上述第二移动接入点与该用户终端之间的距离最近。

可选的，上述处理器501还用于：

根据多个移动接入点中每个移动接入点的负载值，为该用户终端选择第三移动接入点，上述第三移动接入点为上述多个移动接入点中负载值最小的移动接入点；

向该用户终端发送第三通知消息，上述第三通知消息包括上述第三移动接入点的接入信息，上述第三通知消息用于向该用户终端指示上述第三移动接入点的负载值最小。

本发明实施例还提供一种计算机可读存储介质，可以用于存储图4所示实施例中上述网络管理装置所用的计算机软件指令，其包含用于执行上述实施例中为网络管理装置所设计的程序。该存储介质包括但不限于快闪存储器、硬盘、固态硬盘。

在本申请实施例中还提供了一种计算机程序产品，该计算机产品被计算设备运行时，可以执行上述图4所示实施例中为所设计的网络管理装置。

本发明实施例的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别不同对象，而非用于描述特定顺序。此外，术语“包括”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块，而是可选地还包括没有列出的步骤或模块，或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。

本申请中，“a和/或b”是指下述情况之一：a，b，a和b。“……中至少一个”是指所列出的各项或者任意数量的所列出的各项的任意组合方式，例如，“a、b和c中至少一个”是指下述情况之一：a，b，c，a和b，b和c，a和c，a、b和c这七种情况中的任一种。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

本申请实施例提供的方法及相关装置是参照本申请实施例提供的方法流程图和/或结构示意图来描述的，具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。