一种校园网络防沉迷方法及系统

1.本发明涉及防沉迷领域，具体涉及一种校园网络防沉迷方法及系统。


背景技术：

2.随着计算机网络以及无线通信技术的快速发展，网络游戏以及在线视频等娱乐方式已经成为当代大学生的基本活动方式。在网络沉迷的众多群体中，高校学生尤为突出。但是对于大学生的网络管理并没有一个完整的体系。
3.根据目前的研究现状来看：在商业界，例如：腾讯，网易等互联网公司的防沉迷系统都是基于终端进行开发，通过终端app进行实名认证随即统计各个用户的游戏时长，超过规定时长的用户将被采取一定措施，比如：禁止登录，无法获取游戏收益等。
4.目前企业在监控员工过程中大多是采用端到端的监控技术，即在员工主机上安装被控端，在网管电脑上安装监控端，被控端相当于是脚本，通过被控端在员工电脑上的运行来对cpu占用率，流量情况等信息进行采集。企业采取的网络控制方式本质上是基于防火墙技术来对某些网络协议进行过滤，达到对员工上网行为的规范。
5.在学术界，有学者通过软硬件结合的方式对大学生进行防沉迷管控，首先将无线传感器和量子中继器结合实现身份认证和信息传输，其次通过计算玩家的沉迷指数，构建基于身份认证的网络游戏防沉迷指标与网络防沉迷数据库，实现基于身份认证的网络游戏防沉迷系统设计。由于该方式要建立量子通信模式，因此存在一定的部署局限。
6.目前的防沉迷系统对于未成年人有很好的限制效果，但是绝大多数防沉迷系统都是针对未成年人设计。大学生群体大多为成年人，因此传统的防沉迷系统并不能很精准地覆盖到高校学生群体。


技术实现要素：

7.针对现有技术中的上述不足，本发明提供的一种校园网络防沉迷方法及系统解决了现有防沉迷系统无法适用于高校学生群体的问题。
8.为了达到上述发明目的，本发明采用的技术方案为：提供一种校园网络防沉迷方法，其包括以下步骤：s1、构建敏感信息数据库；敏感信息数据库包括登录各种网络游戏、视频软件和不良网站需要访问的服务器的ip地址、mac地址以及端口号信息；s2、在校园网的核心网络设备处进行端口镜像，得到镜像端口；s3、在镜像端口处进行数据包的抓取并生成日志文件；s4、对日志文件中的数据包进行信息提取，获取对应数据包信息；s5、调用敏感信息数据库对数据包信息进行筛查，获取用户登录各种网络游戏、视频软件和/或不良网站的累计时间；s6、判断用户的累计时间是否大于设定时间阈值，若是则判定该用户已沉迷；否则返回步骤s3。
9.进一步地，步骤s2的具体方法包括以下子步骤：s2-1、通过网络设备的端口镜像技术进行端口镜像，得到镜像端口；s2-2、在校园网的核心网络设备处配置访问控制列表；s2-3、调用访问控制列表，根据数据报文的包头信息将与网络沉迷无关的数据包进行过滤，将需要被进一步分析的数据包发往镜像端口。
10.进一步地，步骤s3的具体方法为：使用wireshark在镜像端口进行数据包的抓取并且生成日志文件进行存储；其中日志文件每间隔设定时间更新一次。
11.进一步地，步骤s4中数据包信息包括：数据包发送时间、源ip地址、目的ip地址、主机带宽、源端口号和目的端口号；其中：数据包发送时间用于获取累计时间；源ip地址用于确定用户；目的ip地址和目的端口号用于和敏感数据库的内容进行匹配；源端口号用于网络行为判定；主机带宽用于进行沉迷惩罚。
12.进一步地，当判定用户已沉迷时，进入步骤s7：通过radius服务器下发用户带宽到校园网络的路由设备或无线控制管理器，增大该用户的带宽间隙性或对该用户进行断网处理，并向该用户发送网络沉迷的警告通知。
13.提供一种校园网络防沉迷系统，其包括敏感信息数据库、校园网的核心网络设备、镜像端口、网络封包分析模块和网络沉迷判定模块；其中：敏感信息数据库包括登录各种网络游戏、视频软件和不良网站需要访问的服务器的ip地址、mac地址以及端口号信息；校园网的核心网络设备，用于数据交换以及将网内设备连接至互联网；镜像端口，设置在校园网的核心网络设备处，用于布置网络封包分析模块；网络封包分析模块，用于在镜像端口处进行数据包的抓取并生成日志文件，对日志文件中的数据包进行信息提取，获取对应数据包信息；网络沉迷判定模块，用于调用敏感信息数据库对数据包信息进行筛查，获取用户登录各种网络游戏、视频软件和/或不良网站的累计时间，当用户的累计时间大于设定时间阈值，判定该用户已沉迷。
14.进一步地，校园网的核心网络设备中配置有访问控制列表，用于根据数据报文的包头信息将与网络沉迷无关的数据包进行过滤，将需要被进一步分析的数据包发往镜像端口。
15.进一步地，网络封包分析模块生成并存储的日志文件每间隔设定时间更新一次。
16.进一步地，网络封包分析模块获取的数据包信息包括：数据包发送时间、源ip地址、目的ip地址、主机带宽、源端口号和目的端口号；其中：数据包发送时间用于获取累计时间；源ip地址用于确定用户；目的ip地址和目的端口号用于和敏感数据库的内容进行匹配；源端口号用于网络行为判定；
主机带宽用于进行沉迷惩罚。
17.进一步地，还包括网络沉迷管理模块，用于在用户被判定为已沉迷时，通过radius服务器下发用户带宽到校园网络的路由设备或无线控制管理器，增大该用户的带宽间隙性或对该用户进行断网处理，并向该用户发送网络沉迷的警告通知。
18.本发明的有益效果为：1、本发明能对高校学生的网络行为进行分析并且精确地判定该学生是否为网络沉迷用户，进而实现精准的网络沉迷管控。以达到保护高校学生身心健康，改善高校学生沉迷网络的现状。
19.2、本发明构建的敏感信息数据库涵盖大量服务器ip地址以及端口号供筛选，扩大了网络沉迷的管控范围，使得防沉迷不局限于网络游戏。
20.3、本发明根据带宽状态、tcp协议的三次握手建立连接和四次挥手断开连接的时间来进行综合判断，能准确判定该用户是否正在进行数据的收发，进而极大地减少误判的出现。
21.4、本发明引入radius服务器来实现基于用户的精准带宽下发任务，对于网络沉迷用户可以先以校方身份发送沉迷警告通知，随即采用提供间歇性大带宽或暂时断开校园网的处理方式（具体处理方式可以视沉迷情况由管理员制定）。相比传统的防沉迷措施，本发明的管控措施能保证学生学习时基本的带宽需求，从一定程度维护了运营商的利益，并且将校园网带宽资源合理调度起来，有效减轻网络拥塞情况的出现。
附图说明
22.图1为本方法的流程示意图；图2为本系统的结构框图；图3为实施例中高校校园网网络拓扑示意图；图4为对沉迷用户的带宽任务下发示意图。
具体实施方式
23.下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。
24.如图1所示，该校园网络防沉迷方法包括以下步骤：s1、构建敏感信息数据库；敏感信息数据库包括登录各种网络游戏、视频软件和不良网站需要访问的服务器的ip地址、mac地址以及端口号信息；s2、在校园网的核心网络设备处进行端口镜像，得到镜像端口；s3、在镜像端口处进行数据包的抓取并生成日志文件；s4、对日志文件中的数据包进行信息提取，获取对应数据包信息；s5、调用敏感信息数据库对数据包信息进行筛查，获取用户登录各种网络游戏、视频软件和/或不良网站的累计时间；s6、判断用户的累计时间是否大于设定时间阈值，若是则判定该用户已沉迷；否则
返回步骤s3。
25.步骤s2的具体方法包括以下子步骤：s2-1、通过网络设备的端口镜像技术进行端口镜像，得到镜像端口；s2-2、在校园网的核心网络设备处配置访问控制列表；s2-3、调用访问控制列表，根据数据报文的包头信息将与网络沉迷无关的数据包进行过滤，将需要被进一步分析的数据包发往镜像端口。
26.步骤s3的具体方法为：使用wireshark在镜像端口进行数据包的抓取并且生成日志文件进行存储；其中日志文件每间隔设定时间更新一次，即将被分析过的日志文件删除。
27.步骤s4中数据包信息包括：数据包发送时间、源ip地址、目的ip地址、主机带宽、源端口号和目的端口号；其中：数据包发送时间用于获取累计时间；源ip地址用于确定用户；目的ip地址和目的端口号用于和敏感数据库的内容进行匹配；匹配过程通过python程序语言对用户连接到的这些目的地址和端口执行数据库查询命令；源端口号用于网络行为判定；例如当数据包从源端口80发出，则可认为该用户是在进行网页浏览；主机带宽用于进行沉迷惩罚。
28.当判定用户已沉迷时，进入步骤s7：通过radius服务器下发用户带宽到校园网络的路由设备或无线控制管理器，增大该用户的带宽间隙性或对该用户进行断网处理，并向该用户发送网络沉迷的警告通知。
29.如图2所示，该校园网络防沉迷系统包括敏感信息数据库、校园网的核心网络设备、镜像端口、网络封包分析模块和网络沉迷判定模块；其中：敏感信息数据库包括登录各种网络游戏、视频软件和不良网站需要访问的服务器的ip地址、mac地址以及端口号信息；校园网的核心网络设备，用于数据交换以及将网内设备连接至互联网；镜像端口，设置在校园网的核心网络设备处，用于布置网络封包分析模块；网络封包分析模块，用于在镜像端口处进行数据包的抓取并生成日志文件，对日志文件中的数据包进行信息提取，获取对应数据包信息；网络沉迷判定模块，用于调用敏感信息数据库对数据包信息进行筛查，获取用户登录各种网络游戏、视频软件和/或不良网站的累计时间，当用户的累计时间大于设定时间阈值，判定该用户已沉迷。
30.校园网的核心网络设备中配置有访问控制列表，用于根据数据报文的包头信息将与网络沉迷无关的数据包进行过滤，将需要被进一步分析的数据包原封不动地发往镜像端口。由于无关的数据包被过滤掉了，所以能极大地减少进行报文分析时的工作量。
31.网络封包分析模块生成并存储的日志文件每间隔设定时间更新一次，以保证信息的实时性和可靠性。
32.网络封包分析模块获取的数据包信息包括：数据包发送时间、源ip地址、目的ip地址、主机带宽、源端口号和目的端口号。
33.在具体实施过程中，本发明的端口镜像在osi模型的第二层即数据链路层进行，该方式可以脱离传统防沉迷系统基于终端设备的限制，直接根据报文信息进行精准的网络行为分析。
34.由于在进行网络游戏或者观看在线视频的用户存在占用一定网络带宽和tcp连接的情况。可以通过对日志文件中的数据流进行分析判断，在tcp协议中syn表示建立连接，fin表示断开连接，ack表示响应，psh表示有数据传输。当发现在一定时间内该用户占用一定带宽（视网络行为而定），有psh=1且并未出现fin时的tcp流，则可以判定该用户正在实时进行网络行为。如果在tcp中出现了fin+ack的数据包，则判定为暂停网络行为，暂停时间累计。当出现syn+ack数据包时，继续进行时间累积。
35.在本发明的一个实施例中，高校校园网网络拓扑图如图3所示，男女生宿舍、教学楼和行政楼中的终端均与核心网络设备相连，核心网络设备通过防火墙接入互联网。如图4所示，校园网络防沉迷系统还包括网络沉迷管理模块，用于在用户被判定为已沉迷时，通过radius服务器下发用户带宽到校园网络的路由设备或无线控制管理器，增大该用户的带宽间隙性或对该用户进行断网处理，并向该用户发送网络沉迷的警告通知。radius服务器下发的带宽可以选择在次日凌晨清零，即可以以天为每次管控的时间长度进行防沉迷管理。
36.综上所述，本发明在校园网的核心网络设备上采用端口镜像技术和报文分析技术相结合的方式来进行监测判断，能对高校学生的网络行为进行分析并且精确地判定该学生是否为网络沉迷用户，进而实现精准的网络沉迷管控。