一种共享接入用户的阻塞处理方法及装置与流程

本发明实施例涉及网络技术领域，具体涉及一种共享接入用户的阻塞处理方法及装置。

背景技术：

随着通信以及电子的发展，人们使用网络越来越频繁。人们在公司办公的时候，不免也要使用网络，但是在使用过程中，很容易产生违规行为，在检测到有违规行为，通常会阻断用户上网，并推送阻塞页面，用以提示用于有违规行为。

现有技术中阻塞用户提示页面的推送，是串接模式下阻塞用户上网并推送阻塞页面，如果串接模式下监控设备出现问题后引起断网，会给客户造成很大的网络事故，所以一般在对网络需求稳定性比较高的场景下，会采用镜像模式对网络进行监控。但是在镜像模式下，大多是监控动作，没有实现从镜像模式下阻塞用户网络。

技术实现要素：

由于现有方法存在上述问题，本发明实施例提出一种共享接入用户的阻塞处理方法及装置。

第一方面，本发明实施例提出一种共享接入用户的阻塞处理方法，包括：

镜像设备获取互联网的数据包，根据所述数据包提取用户特征信息，所述用户特征信息包括局域网特征信息和服务器账号信息；

若根据所述局域网特征信息确定所述数据包对应的目标用户在当前局域网内，且根据所述服务器账号信息确定所述目标用户具有目标服务器账号，则对所述目标用户的上网行为进行检测；

若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，以对所述目标用户进行阻塞操作。

可选地，所述方法还包括：

若根据所述局域网特征信息确定所述数据包对应的目标用户不在当前局域网内，或根据所述服务器账号信息确定所述目标用户不具有目标服务器账号，则丢弃所述数据包。

可选地，所述若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，具体包括：

若所述目标用户不在白名单中，且所述目标用户的ip地址在预设的监测ip段的范围内，则将所述目标用户添加至阻塞用户组。

可选地，所述方法还包括：

将阻塞页面发送至所述阻塞用户组中的各用户终端。

第二方面，本发明实施例还提出一种共享接入用户的阻塞处理装置，包括：

特征提取模块，用于获取互联网的数据包，根据所述数据包提取用户特征信息，所述用户特征信息包括局域网特征信息和服务器账号信息；

特征判断模块，用于若根据所述局域网特征信息确定所述数据包对应的目标用户在当前局域网内，且根据所述服务器账号信息确定所述目标用户具有目标服务器账号，则对所述目标用户的上网行为进行检测；

用户阻塞模块，用于若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，以对所述目标用户进行阻塞操作。

可选地，所述装置还包括：

数据包丢弃模块，用于若根据所述局域网特征信息确定所述数据包对应的目标用户不在当前局域网内，或根据所述服务器账号信息确定所述目标用户不具有目标服务器账号，则丢弃所述数据包。

可选地，所述用户阻塞模块具体用于：

若所述目标用户不在白名单中，且所述目标用户的ip地址在预设的监测ip段的范围内，则将所述目标用户添加至阻塞用户组。

可选地，所述装置还包括：

阻塞页面发送模块，用于将阻塞页面发送至所述阻塞用户组中的各用户终端。

第三方面，本发明实施例还提出一种电子设备，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述方法。

第四方面，本发明实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述方法。

由上述技术方案可知，本发明实施例通过提取数据包中的用户特征信息来确定目标用户在当前局域网以及目标用户具有目标服务器账号后，若检测目标用户的上网行为不符合预设条件，则对目标用户进行阻塞操作，从而实现镜像模式下对网络用户的阻塞，以保证全网的稳定性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种共享接入用户的阻塞处理方法的流程示意图；

图2为本发明一实施例提供的一种镜像设备共享接入互联网的结构示意图；

图3为本发明一实施例提供的一种共享接入用户的阻塞处理装置的结构示意图；

图4为本发明一实施例提供的电子设备的逻辑框图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

图1示出了本实施例提供的一种共享接入用户的阻塞处理方法的流程示意图，包括：

s101、镜像设备获取互联网的数据包，根据所述数据包提取用户特征信息，所述用户特征信息包括局域网特征信息和服务器账号信息。

其中，参见图2，所述镜像设备同时与交换机和网桥2连接，能够从交换机处拷贝互联网中的数据包用于分析，而不影响互联网原有的数据传输。

具体地，所述镜像设备获取互联网的数据包后，对所述数据包进行分析，提取所述数据包中的用户特征信息。

所述局域网特征信息用于表征当前用户是否在当前局域网内。

所述服务器账号信息用于记录当前用户是否为对应服务器的用户。

s102、若根据所述局域网特征信息确定所述数据包对应的目标用户在当前局域网内，且根据所述服务器账号信息确定所述目标用户具有目标服务器账号，则对所述目标用户的上网行为进行检测。

其中，所述目标用户的上网行为为与目标用户登录互联网相关的信息。

s103、若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，以对所述目标用户进行阻塞操作。

具体地，可以通过向目标用户推送阻塞页面实现对目标用户的阻塞操作。例如，基于http能够推送pppoe+vlan封装的阻塞页面，开启封装功能后，镜像设备在镜像模式下，使用控制口推送控制报文时，会根据环境自动进行封装。若为pppoe环境，报文的源mac地址同时会自动修改为pppoe服务器的mac地址，可以将用户的vlanid封装到阻塞页面的包中，并根据用户环境信息是否是pppoe环境，修改推送报文的源mac。

本实施例通过提取数据包中的用户特征信息来确定目标用户在当前局域网以及目标用户具有目标服务器账号后，若检测目标用户的上网行为不符合预设条件，则对目标用户进行阻塞操作，从而实现镜像模式下对网络用户的阻塞，以保证全网的稳定性。

进一步地，在上述方法实施例的基础上，s103具体包括：

若所述目标用户不在白名单中，且所述目标用户的ip地址在预设的监测ip段的范围内，则将所述目标用户添加至阻塞用户组。

具体地，所述白名单为安全用户的名单，所述监测ip段的范围为预先设置的镜像设备重点监测的ip段的范围，例如192.168.1.3-192.168.3.7。

通过白名单和监测ip段的范围确定是否将用户添加至阻塞用户组进行阻塞，快速方便且准确。

进一步地，在上述方法实施例的基础上，所述方法还包括：

s104、若根据所述局域网特征信息确定所述数据包对应的目标用户不在当前局域网内，或根据所述服务器账号信息确定所述目标用户不具有目标服务器账号，则丢弃所述数据包。

具体地，对于不在当前局域网的用户，镜像设备无需处理，故丢弃所述数据包，不进行分析；对于目标服务器的相关业务，不具备目标服务器账号的用户也无需处理，故丢弃所述数据包，不进行分析。

进一步地，在上述方法实施例的基础上，所述方法还包括：

s105、将阻塞页面发送至所述阻塞用户组中的各用户终端。

具体地，参见图2，当用户通过用户终端上网产生流量后，镜像设备通过共享接入互联网，镜像设备从互联网的交换机的镜像口获取用户网络数据，并通过提取识别，如果用户行为不符合条件，则将阻塞页面通过控制口推送到网络，再通过交换机根据阻塞用户组的名单发送给各用户终端，能够实现镜像模式下对用户的网络阻塞，使用的场景广泛，系统更加稳定，对一些网络稳定性要求高的场景可以正常使用，且通过完美的处理vlan+pppoe场景，可以使用与更复杂的场景。

图3示出了本实施例提供的一种共享接入用户的阻塞处理装置的结构示意图，所述装置包括：特征提取模块301、特征判断模块302和用户阻塞模块303，其中：

所述特征提取模块301用于获取互联网的数据包，根据所述数据包提取用户特征信息，所述用户特征信息包括局域网特征信息和服务器账号信息；

所述特征判断模块302用于若根据所述局域网特征信息确定所述数据包对应的目标用户在当前局域网内，且根据所述服务器账号信息确定所述目标用户具有目标服务器账号，则对所述目标用户的上网行为进行检测；

所述用户阻塞模块303用于若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，以对所述目标用户进行阻塞操作。

具体地，所述特征提取模块301获取互联网的数据包，根据所述数据包提取用户特征信息，所述用户特征信息包括局域网特征信息和服务器账号信息；所述特征判断模块302若根据所述局域网特征信息确定所述数据包对应的目标用户在当前局域网内，且根据所述服务器账号信息确定所述目标用户具有目标服务器账号，则对所述目标用户的上网行为进行检测；所述用户阻塞模块303若根据预设条件确定所述目标用户不符，则将所述目标用户添加至阻塞用户组，以对所述目标用户进行阻塞操作。

本实施例通过提取数据包中的用户特征信息来确定目标用户在当前局域网以及目标用户具有目标服务器账号后，若检测目标用户的上网行为不符合预设条件，则对目标用户进行阻塞操作，从而实现镜像模式下对网络用户的阻塞，以保证全网的稳定性。

进一步地，在上述装置实施例的基础上，所述装置还包括：

数据包丢弃模块，用于若根据所述局域网特征信息确定所述数据包对应的目标用户不在当前局域网内，或根据所述服务器账号信息确定所述目标用户不具有目标服务器账号，则丢弃所述数据包。

进一步地，在上述装置实施例的基础上，所述用户阻塞模块303具体用于：

若所述目标用户不在白名单中，且所述目标用户的ip地址在预设的监测ip段的范围内，则将所述目标用户添加至阻塞用户组。

进一步地，在上述装置实施例的基础上，所述装置还包括：

阻塞页面发送模块，用于将阻塞页面发送至所述阻塞用户组中的各用户终端。

本实施例所述的共享接入用户的阻塞处理装置可以用于执行上述方法实施例，其原理和技术效果类似，此处不再赘述。

参照图4，所述电子设备，包括：处理器(processor)401、存储器(memory)402和总线403；

其中，

所述处理器401和存储器402通过所述总线403完成相互间的通信；

所述处理器401用于调用所述存储器402中的程序指令，以执行上述各方法实施例所提供的方法。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。