网络防护系统、方法、装置及服务器与流程

本申请涉及网络技术领域，尤其涉及一种网络防护系统、方法、装置及服务器。

背景技术：

现有技术中的防火墙、入侵检测系统(intrusiondetectionsystems，简称为ids)等防护技术，通常是从网络中提取已知的漏洞特征，通过已知的漏洞特征更新漏洞规则库。若漏洞规则库中未记录网络中未知的漏洞特征，则现有技术中的防火墙、ids等就不能防御未知漏洞特征的恶意攻击行为。

技术实现要素：

有鉴于此，本申请提供一种新的技术方案，可以防御未知漏洞的恶意攻击行为，弥补现有技术的不足。

为实现上述目的，本申请提供技术方案如下：

根据本申请的第一方面，提出了一种网络防护系统，包括：主控端设备以及被控端设备；其中，

所述服务器，用于接收来自主控端设备的第一数据包，从所述第一数据包中解析第一验证信息及第一控制指令，若所述第一验证信息符合预设条件，向所述被控端设备发送第一控制指令，所述第一控制指令用于控制所述被控端设备的工作状态；

所述被控端设备，用于执行与所述第一控制指令相对应的动作。

根据本申请的第二方面，提出了一种网络防护系统，包括：服务器以及被控端设备；其中，

所述服务器，用于接收来自被控端设备的第二数据包，其中，所述第二数据包包括第二验证信息；基于对所述第二验证信息的验证结果，生成第二控制指令，所述第二控制指令用于控制所述被控端设备是否需要响应从网络中接收到的第三数据包；向被控端设备发送所述第二控制指令；

所述被控端设备，用于执行与所述第二控制指令相对应的动作。

根据本申请的第三方面，提出了一种网络防护方法，包括：

接收来自主控端设备的第一数据包，其中，所述第一数据包包括第一验证信息及第一控制指令；

确定所述第一验证信息符合预设条件；

向被控端设备发送所述第一控制指令。

根据本申请的第四方面，提出了一种网络防护方法，包括：

接收来自被控端设备的第二数据包，其中，所述第二数据包包括第二验证信息；

基于对所述第二验证信息验证的结果，生成第二控制指令，所述第二控制指令用于使所述被控端设备是否响应从网络中接收到的第三数据包；

向所述被控端设备发送所述第二控制指令。

根据本申请的第五方面，提出了一种网络防护装置，包括：

第一接收单元，用于接收来自主控端设备的第一数据包，其中，所述第一数据包包括第一验证信息及第一控制指令；

确定单元，用于确定所述第一接受单元接收到的所述第一验证信息符合预设条件；

第一发送单元，用于响应于所述确定单元，向被控端设备发送所述第一接收单元接收到的所述第一控制指令。

根据本申请的第六方面，提出了一种网络防护装置，包括：

第二接收单元，用于接收来自被控端设备的第二数据包，其中，所述第二数据包包括第二验证信息；

指令生成单元，用于基于对所述第二接收单元接收到的所述第二验证信息验证的结果，生成第二控制指令，所述第二控制指令用于使所述被控端设备是否响应从网络中接收到的第三数据包；

第二发送单元，用于向所述被控端设备发送所述指令生成单元生成的所述第二控制指令。

根据本申请的第七方面，提出了一种服务器，所述服务器包括：

处理器；用于存储所述处理器可执行指令的存储器；

其中，所述处理器，用于接收来自主控端设备的第一数据包，其中，所述第一数据包包括第一验证信息及第一控制指令；确定所述第一验证信息符合预设条件；向被控端设备发送所述第一控制指令；或者，

所述处理器，用于接收来自被控端设备的第二数据包，其中，所述第二数据包包括第二验证信息；基于对所述第二验证信息验证的结果，生成第二控制指令，所述第二控制指令用于使所述被控端设备是否响应从网络中接收到的第三数据包；向所述被控端设备发送所述第二控制指令。

根据本申请的第八方面，提出了一种控制方法，包括：

检测用户在操作界面上触发生成第一控制指令的第一验证信息；

将所述第一控制指令和所述第一验证信息写入到第一数据包；

向服务器发送所述第一数据包。

根据本申请的第九方面，提出了一种遥控器，包括：

第一信号处理器以及第一信号收发器；

所述第一信号处理器，用于检测用户在操作界面上触发生成第一控制指令的第一验证信息；将所述第一控制指令和所述第一验证信息写入到第一数据包；

所述第一信号收发器，用于向服务器发送所述第一信号处理器得到的所述第一数据包令。

根据本申请的第十方面，提出了一种智能家电，包括：

第二信号收发器以及第二信号处理器；

所述第二信号收发器，用于接收来自主控端设备的第一数据包，其中，所述第一数据包包括第一验证信息及第一控制指令；

所述第二信号处理器，用于确定所述第一信号收发器接收到的所述第一验证信息符合预设条件；执行所述第一控制指令。

由以上技术方案可见，本申请当第一数据包中包括的第一验证信息符合预设条件时，可确定发送第一数据包的行为是合法用户的正常行为，当攻击者通过大量数据包向服务器发起攻击时，即使服务器未存储与攻击者相关的漏洞特征，服务器仍可通过数据包中携带的第一验证信息对恶意攻击进行防御，弥补了现有防护产品在防护未知漏洞方面的不足。

附图说明

图1a是本申请一示例性实施例提供的网络防护系统的结构图；

图1b是图1a提供的网络防护系统中的主控端设备的界面示意图之一；

图1c是图1a提供的网络防护系统中的主控端设备的界面示意图之二；

图2是本申请一示例性实施例提供的网络防护方法的流程图；

图3是本申请另一示例性实施例提供的网络防护方法的流程图；

图4是本申请再一示例性实施例提供的网络防护方法的流程图；

图5是本申请一示例性实施例的网络防护装置的结构图；

图6是本申请另一示例性实施例的网络防护装置的结构图；

图7是本申请一示例性实施例的服务器的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

为对本申请进行进一步说明，提供下列实施例：

图1a是本申请一示例性实施例提供的网络防护系统的系统示意图；如图1a所示，网络防护系统包括：服务器11、主控端设备12以及被控端设备13。

其中，主控端设备12可以为安装有应用程序(app)的智能手机、平板电脑等计算设备或者遥控器，主控端设备12的用户通过app向服务器11注册用户账号，并可以通过该用户账号绑定一个电话号码，通过该用户帐号对被控端设备13进行远程控制。被控端设备13可以为通过通信接口接入网络的物联网设备，该物联网设备例如为智能摄像头、智能电灯、智能空调等智能家电，主控端设备12可以通过网络对被控端设备13进行远程控制，例如，主控端设备12远程控制被控端设备13的开启、关闭等。

当服务器11接收到来自主控端设备12的第一数据包时，从第一数据包中解析第一验证信息，其中，第一验证信息可以为用户在主控端设备12的操作界面上的点击行为信息，或者，第一验证信息可以为用户通过在主控端设备12的应用程序上注册的用户身份信息，应用程序可以为用户提供远程控制被控端设备13的操作界面。服务器11确定第一验证信息是否符合预设条件，若第一验证信息符合预设条件，则向被控端设备13发送第一控制指令，被控端设备13执行与第一控制指令相对应的动作，例如，第一控制指令为用于控制被控端设备13开启的指令，则被控端设备13执行开启的动作，再例如，第一控制指令为用于控制被控端设备13将温度调节到26摄氏度的指令，则被控端设备13执行将温度调节到26摄氏度的动作。

若服务器11确定第一验证信息不符合预设条件，则服务器11生成验证码并向与用户账号绑定的智能终端(例如智能手机)发送验证码。服务器11接收该智能终端基于验证码返回的响应结果，若响应结果表示未通过验证码验证，服务器11将第一数据包视为非法攻击的数据包，并将该第一数据包丢弃，若响应结果标识通过验证码验证，服务器11可将第一数据包中携带的第一控制指令发送给被控端设备13。

当服务器11接收到来自被控端设备13的第二数据包时，服务器11可从第二数据包中解析第二验证信息；基于对第二验证信息的验证结果，生成第二控制指令，其中，第二控制指令用于控制被控端设备13是否需要响应从网络中接收到的第三数据包；向被控端设备13发送第二控制指令；被控端设备13执行与第二控制指令相对应的动作，例如，第二控制指令为指示被控端设备13丢弃第三数据包的指令，则被控端设备13执行丢弃第三数据包的动作，第二控制指令为指示被控端设备13处理第三数据包的指令，则被控端设备13执行处理第三数据包的动作，例如，响应第三数据包中的调整温度的指令，将温度调整到26摄氏度。

当主控端设备12为遥控器时，该遥控器可包括：第一信号处理器以及第一信号收发器；其中，第一信号处理器，用于检测用户在操作界面上触发生成第一控制指令的第一验证信息；将第一控制指令和第一验证信息写入到第一数据包；第一信号收发器，用于向服务器发送第一信号处理器得到的第一数据包。

当被控端设备13为智能家电时，该智能家电包括：第二信号收发器以及第二信号处理器；第二信号收发器，用于接收来自主控端设备的第一数据包，其中，第一数据包包括第一验证信息及第一控制指令；第二信号处理器，用于确定第一信号收发器接收到的第一验证信息符合预设条件；执行第一控制指令。

本实施例中，服务器11可以通过第一数据包中包含的第一验证信息，以及验证码，确定与第一数据包相关的行为是合法用户的正常行为还是非法用户的攻击行为，当攻击者通过非法的第一数据包向服务器11发起攻击时，即使服务器11未存储与第一数据包相关的漏洞特征，服务器11仍可以对恶意攻击进行防御，弥补了现有防护产品在防护未知漏洞方面的不足。

具体的，下面通过第一示例性场景和第二示例性场景对图1a所示实施例进行详细描述。

其中，在第一示例性场景中，第一数据包的来源为主控端，即，主控端设备12，服务器11从主控端设备12接收到第一数据包，从第一数据包中解析出控制指令，控制指令用于控制被控端设备13的工作状态；在第一示例性场景中，在主控端设备12第一次接入服务器11时，主控端设备12可以将其入网配置信息以及与app相关的信息发送给服务器11，其中，入网配置信息可以包括：主控端设备12接入网络的ip地址、接入网络的无线局域网名称(ssid)、第一次接入服务器11的系统时间，与主控端设备12上安装的应用程序(app)相关的信息可以包括：app所在操作系统的相关信息(例如，操作系统的种类以及操作系统的版本)、app的版本、app界面中各控件的大小以及各控件在界面上的位置坐标。服务器11存储入网配置信息以及与app相关的信息，并在后续过程中基于入网配置信息和/或与app相关的信息对服务器11进行防护。

图1b是图1a提供的网络防护系统中的主控端设备的界面示意图之一，图1c是图1a提供的网络防护系统中的主控端设备的界面示意图之二；如图1b和图1c所示，当用户需要通过主控端设备12远程控制被控端设备13(本实施例中，被控端设备13为智能空调)的温度时，用户需要在图1b所示的主控端设备12的界面121上远程控制被控端设备13，以使被控端设备13基于第一控制指令将温度调整到目标温度(例如25摄氏度)。当用户在界面121上确定目标温度“25摄氏度”后，通过触发“确定”触控按键122，主控端设备12在监听到“确定触控”按键122被触发后，确定界面121上触发的位置坐标(x，y)，并将位置坐标以及需要调整的目标温度(例如25摄氏度)写入第一数据包，将第一数据包发送给服务器11。其中，若为真实用户的触控行为，则坐标位置(x，y)位于按键122所在的区域内。需要说明的是，图1b仅以温度选项为例进行示例性说明，当界面上121具有多个控制选项时，每一个控制选项可以对应一个触控按键，相应的，用户触控该触控按键的坐标位置需要位于触控按键所在的矩形区域内。如图1c所示，触控按键122为矩形按键，其对应的界面坐标范围例如为(x1，y1)～(x2，y2)，即左上角和右下角的坐标。当触控到的坐标位置(x，y)位于触控按键122所在的矩形区域(x1，y1)～(x2，y2)时，表示其为真实用户的触控行为；否则，当触控到的坐标位置(x，y)在区域(x1，y1)～(x2，y2)以外时，表示其不是真实用户的触控行为。

服务器11在接收到第一数据包后，确定是否能够从第一数据包中解析出位置坐标，若不能解析出位置坐标，表示第一数据包是攻击者用来攻击服务器11的数据包，服务器11可以对该数据包不做任何响应。若服务器11能从第一数据包中解析出位置坐标，则服务器11需要检测位置坐标是否位于触控按键122所在的区域范围内。

当服务器11确定位置坐标在与第一控制指令相对应的“确定”触控按键122所在的矩形区域内时，可以确定第一验证信息符合预设条件，例如，“确定”按键122在界面上的区域为[200，200]-[300，300]的矩形区域内，位置坐标为[250，260]，则位置坐标在与第一控制指令相对应的“确定”触控按键122所在的矩形区域内。此种情形下，服务器11从第一数据包中解析出用于控制被控端设备13的第一控制指令，并将第一控制指令发送给被控端设备13，被控端设备13执行与该第一控制指令相对应的动作，即，将温度调整到25摄氏度。

当服务器11确定位置坐标不在触控按键122所在的矩形区域内时，可以确定第一验证信息不符合预设条件，例如，触控按键122在界面上的区域为[200，200]-[300，300]的矩形区域内，从第一数据包中解析出的位置坐标为[300，360]，则位置坐标不在触控按键122所在的矩形区域内。该种不符合预设条件的情形，可能是由用户更换不同尺寸的终端设备或者安装有不同操作系统的终端设备导致的，例如，用户将应用程序安装在4.7寸并且比例为16:9的终端设备上，当用户通过该终端设备在第一次接入到服务器11时，将4.7寸以及16:9的信息上报给服务器11，服务器11存储后作为参考信息，之后，用户更换成5.5寸并且比例为16:9的终端设备，由于服务器11记录的关于应用程序的界面信息仍为4.7寸以及16:9的终端设备，若服务器11本次解析出的坐标位置可能会不在已记录的区域范围内。为了避免在该种情形下第一数据包被丢弃，服务器11可以生成验证码，并向与用户账号相绑定的电话号码发送该验证码，服务器11接收电话号码基于验证码返回的响应结果，若响应结果表示第一验证信息为合法信息，服务器1将第一控制指令发送给被控端设备13，被控终端设备13执行与该第一控制指令相对应的动作，即，将温度调整到25摄氏度。若响应结果表示第一验证信息为非法信息，则服务器11可确定第一数据包来自攻击者，可以将第一数据包丢弃。

需要说明的是，上述仅以位置坐标作为第一验证信息进行举例说明，第一验证信息还可以为主控端设备12的mac地址、ip地址等，主控端设备12可以采用与上述类似的描述，在初次接入到服务器11时将主控端设备i2的mac地址、ip地址等信息上报给服务器11，以供服务器11在后续过程中对接收到的数据包进行验证，从而对服务器11进行安全防护。

在本示例性实施例中，由于位置坐标由用户在主控端设备12的app的界面上触发触控按键生成控制指令时得到，该坐标位置能够表示真实用户的点击行为，因此通过坐标位置可以区别合法用户与恶意攻击者，避免恶意攻击者对服务器11的攻击。

在第二示例性场景中，服务器11接收来自被控端设备13的第二数据包，其中，第二数据包包括第二验证信息，基于对第二验证信息的验证结果，生成第二控制指令，第二控制指令用于控制被控端设备13是否需要响应从网络中接收到的第三数据包，向被控端设备13发送第二控制指令；被控端设备13执行与第二控制指令相对应的动作。

在一实施例中，被控端设备13可以通过开源库中的libnetfilter对其操作系统中开放的端口进行过滤。当被控端设备13接收到第三数据包时，将第三数据包中携带的发送方设备的源ip地址、源端口、以及发送方设备的mac地址、被控端设备13中的系统时写入到第二数据包中，并将第二数据包发送至服务器11。

服务器11在接收到第二数据包后，从第二数据包中解析出ip地址，确定ip地址是否与已存储的ip地址位于同一地理区域，例如，从第二数据包中解析出的ip地址与已存储的ip地址是否位于同一城市；若从第二数据包中解析出的ip地址与已存储的ip地址位于同一地理区域，则对第二验证信息验证的结果表示该ip地址为合法ip地址，若结果表示第二验证信息为合法信息，第二控制指令为用于使被控端设备13处理第三数据包的指令；若结果表示第二验证信息为非法信息，第二控制指令为用于使被控端设备13丢弃第三数据包的指令。

需要说明的是，上述仅以第三数据包的发送方设备的源ip地址作为第二验证信息进行举例说明，第二验证信息还可以为发送方设备的mac地址、端口号等，服务器11在后续过程中对接收到的第二数据包进行验证，通过第二数据包中携带的发送方设备的身份信息(例如，ip地址、mac地址以及端口号)，识别发送方设备是否为真实用户所使用的终端设备，从而避免攻击者通过向被控端设备13发送大量的数据包对被控端设备13进行非法攻击。

在本示例性实施例中，被控端设备13将接收到的第三数据包中的源ip地址通过第二数据包发送给服务器11，服务器11基于第二数据包中的ip地址识别第三数据包是否为攻击者发起的攻击行为，避免恶意攻击者对被控端设备13的攻击。

图2是本申请一示例性实施例提供的网络防护方法的流程图；本实施例可以应用在上述图1a所示实施例中的服务器11上，下面结合图1a描述本实施例，如图2所示，包括如下步骤：

步骤201，接收来自主控设备的第一数据包，其中，第一数据包包括第一验证信息急第一控制指令。

在一实施例中，第一验证信息可以为与主控端设备12相关的信息，例如，主控端设备12的入网配置信息、主控端设备12安装的应用程序的版本信息以及应用程序的用户界面中各触控按键在用户界面上的位置信息。

步骤202，确定第一验证信息符合预设条件。

在一实施例中，预设条件可以由第一验证信息的具体内容确定，例如，第一验证信息为ip地址，预设条件为ip地址与已存储的ip地址处于同一地理区域内，若第一验证信息为坐标位置，预设条件为坐标位置在已记录的区域范围内，等等。

步骤203，向被控端设备发送第一控制指令。

在一实施例中，第一控制指令可以用于控制被控端设备13的工作状态，被控端设备13接收到第一控制指令后，执行与第一控制指令相相对应的动作，例如，第一控制指令为控制被控端设备13将温度调整到25摄氏度，被控端设备13接收到该第一控制指令后，即可将温度调整到25摄氏度。

本实施例中，当第一数据包中包含的第一验证信息符合预设条件时，可确定发送第一数据包的行为是合法用户的正常行为，当攻击者通过大量数据包向服务器发起攻击时，即使服务器未存储与攻击者相关的漏洞特征，服务器仍可通过数据包中携带的第一验证信息对恶意攻击进行防御，弥补了现有防护产品在防护未知漏洞方面的不足。

图3是本申请另一示例性实施例提供的网络防护方法的流程图；本实施例在上述图2所示实施例的基础上，以第一验证信息为坐标位置为例对服务器进行防护来示例性说明，如图3所示，包括如下步骤：

步骤301，从第一数据包中解析坐标位置，确定坐标位置是否位于与第一控制指令相对应的触控按键所在的区域范围内，若坐标位置位于与该第一控制指令相对应的触控按键所在的区域范围内，执行步骤302，若坐标位置未位于区域范围内，执行步骤304。

在一实施例中，可以由服务器与主控端设备通过协议的方式确定坐标位置在第一数据包中的字段。在一实施例中，坐标位置可以为主控端设备12检测到的一个触控点位置。

步骤302，从第一数据包中解析用于控制被控端设备的第一控制指令，执行步骤303。

步骤303，向被控端设备发送第一控制指令，流程结束。

步骤304，生成验证码，基于验证码确定第一验证信息为非法信息还是合法信息，若基于验证码确定第一验证信息为非法信息，执行步骤305，若基于验证码确定第一验证信息为合法信息，执行步骤303。

步骤305，停止向被控端设备发送第一控制指令，流程结束。

步骤304和步骤305的描述可以参见上述图2所示实施例的描述，在此不再详述。

在一个示例性场景中，若合法用户需要通过主控端设备12需要远程控制被控端设备13的工作状态，则合法用户在主控端设备12操作界面上触发相应的触控按键，通常每一个触控按键在操作界面上都会有固定的区域范围，因此主控端设备12可以将用户在操作界面上的触控点的位置坐标传输给服务器11，服务器11通过解析出该坐标位置，并对坐标位置进行验证，从而可以确定主控端设备12的用户为合法用户。对于攻击者通过机器设备自动对服务器11进行恶意攻击的情形，攻击者通常不会获知界面上的触控按键的位置，因此当服务器11不能够从第一数据包中检测到坐标位置，由此可确定第一数据包是由非法用户的攻击行为生成的，若服务器11能够检测到坐标位置，但是坐标位置与已存储的区域范围不一致，此时服务器11可以基于验证码的方式进行二次验证，从而可以将恶意攻击者恶意伪装的具有坐标位置的第一数据包拦截。

本实施例中，当攻击者对服务器11进行攻击时，攻击者通常不会获取到每一个触控按键在用户界面上的位置，而坐标位置可以反应真实用户的触控行为，因此通过坐标位置可以区别合法用户与恶意攻击者，避免恶意攻击者对服务器11的攻击。

图4是本申请再一示例性实施例提供的网络防护方法的流程图；本实施例以如何防护被控设备进行示例性说明，如图4所示，包括如下步骤：

步骤401，接收来自被控端设备的第二数据包，其中，第二数据包包括第二验证信息。

在一实施例中，第二验证信息可以为被控端设备13从接收到的第二数据包中解析到的源ip地址、源端口号以及mac地址等信息。

在一实施例中，可以由服务器11与被控端设备13通过协议的方式在第二数据包中设置关于源ip地址、源端口号以及mac地址的字段。

步骤402，基于对第二验证信息验证的结果，生成第二控制指令，第二控制指令用于使被控端设备是否响应从网络中接收到的第三数据包。

在一实施例中，若验证的结果表示第二验证信息为合法信息，第二控制指令为用于使被控端设备处理第三数据包的指令；若结果表示第二验证信息为非法信息，第二控制指令为用于使被控端设备丢弃第三数据包的指令。

步骤403，向被控端设备发送第二控制指令。

本实施例中，通过第二数据包中携带的ip地址识别是否为攻击者发起的攻击行为，避免恶意攻击者对被控终端设备的攻击，确保被控终端设备不会被恶意攻击者攻击。

在上述图4所示实施例的基础上，上述步骤402中，可以基于第二数据包中的ip地址确定用于传输第三数据包的网络类型；基于网络类型对ip地址进行验证，得到验证结果；基于验证结果生成第二控制指令。

其中，网络类型可以为外部网络，也可以为局域网络。在一实施例中，当主控端设备12正常控制被控端设备13时，主控端设备12与被控端设备13可以位于同一局域网络中，例如用户位于家中的场景，主控端设备12通过局域网络即可对被控端设备13进行控制；主控端设备12可以相对被控端设备13位于外部网络中，例如，被控端设备13位于用户家中，主控端设备12位于用户所在的公司，在此情形下，主控端设备12需要通过外部网络对被控端设备13进行远程控制。

在主控端设备12需要通过外部网络对被控端设备13进行远程控制的情况下，服务器11需要确定第二数据包中的ip地址是否与已存储的ip地址位于同一地理区域，若第二数据包中的ip地址与已存储的ip地址位于同一地理区域，可将第二数据包视为合法用户通过操作主控端设备12生成的第二数据包，则第二控制指令可以为指示被控端设备13处理第三数据包的指令；若第二数据包中的ip地址与已存储的ip地址未位于同一地理区域，服务器11可生成验证码，基于验证码确定第二验证信息为非法信息还是合法信息，若基于验证码确定第二数据包中的ip地址为非法ip地址，则可通过第二控制指令指示被控端设备13丢弃第三数据包。

需要说明的是，当被控端设备13通过网络接收到主控端设备12的数据包时，可以从数据包中提取出主控端设备12的ip地址、端口号以及mac地址，并存储。在后续的防护过程中，服务器11将从网络中接收到第三数据包携带的源ip地址、源端口以及源mac地址与已存储的ip地址、端口号以及mac地址进行比较，根据比较结果确定是合法用户还是恶意攻击者，从而实现对被控端设备13的防护。

图5是本申请一示例性实施例的网络防护装置的结构图，该网络防护装置可以包括：第一接收单元51、确定单元52、第一发送单元53。其中：

第一接收单元51，用于接收来自主控端设备的第一数据包，其中，第一数据包包括第一验证信息及第一控制指令；

确定单元52，用于确定第一接收单元51接收到的第一验证信息符合预设条件；

第一发送单元53，用于响应于确定单元52，向被控端设备发送第一接收单元51接收到的第一控制指令。

在一实施例中，网络防护装置还可包括：

验证码生成单元54，用于若第一接收单元51接收到的第一验证信息不符合预设条件，生成验证码；

控制单元55，用于若验证码生成单元54基于验证码确定第一验证信息为非法信息，停止向被控端设备发送第一控制指令；若验证码生成单元54基于验证码确定第一验证信息为合法信息，执行向被控端设备发送第一控制指令的步骤。

在一实施例中，第一验证信息还包括坐标位置，坐标位置为用户在主控端设备操作界面上触发生成第一控制指令的触发位置；确定单元52具体用于：若坐标位置位于预设区域范围内，确定第一验证信息符合预设条件；若坐标位置未位于预设区域范围内，确定第一验证信息不符合预设条件。

在一实施例中，预设区域范围为与第一控制指令相对应的触控按键所在的区域。

在一实施例中，第一接收单元51还用于：

接收主控端设备在第一次接入时的入网配置信息、主控端设备安装的应用程序的版本信息以及应用程序的用户界面中各触控按键在用户界面上的位置信息；

相应地，网络防护装置还可包括：存储模块56，用于存储第一接收单元51接收到的入网配置信息、应用程序的版本信息以及应用程序的用户界面中各触控按键在用户界面上的位置信息。

图6是本申请另一示例性实施例的网络防护装置的结构图；如图6所示，网络防护装置可包括：第二接收单元61、指令生成单元62、第二发送单元63；其中，

第二接收单元61，用于接收来自被控端设备的第二数据包，其中，第二数据包包括第二验证信息；

指令生成单元62，用于基于对第二接收单元61接收到的第二验证信息验证的结果，生成第二控制指令，第二控制指令用于使被控端设备是否响应从网络中接收到的第三数据包；

第二发送单元63，用于向被控端设备发送指令生成单元62生成的第二控制指令。

在一实施例中，第二验证信息包括第二数据包中携带的ip地址，ip地址为被控端设备从第三数据包中解析出的源ip地址；指令生成单元62具体用于：基于ip地址确定用于传输第三数据包的网络类型；基于网络类型对ip地址进行验证，得到验证结果；基于验证结果生成第二控制指令。

在一实施例中，若结果表示第二验证信息为合法信息，第二控制指令为指示被控端设备处理第三数据包的指令；若结果表示第二验证信息为非法信息，第二控制指令为指示被控端设备丢弃第三数据包的指令。

本申请实施例还提供一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序用于执行上述2-图4任一所示实施例提供的网络防护方法。

对应于上述图2-图4任一所示实施例提供的网络防护方法方法，本申请还提出了图7所示的根据本发明的一示例性实施例的服务器的示意结构图。请参考图7，在硬件层面，该服务器可包括处理器、内部总线、网络接口、内存以及非易失性存储器，当然还可能包括其他业务所需要的硬件。处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上实现上述图5或者图6所示实施例的网络防护装置。当然，除了软件实现方式之外，本申请并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的权利要求指出。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。