一种网络监控方法及装置、设备、存储介质制造方法及图纸

本发明专利技术实施例适用于云监控中的异常监控，公开了一种网络监控方法和装置，所述方法包括：当服务器监测到用户终端访问目标局域网的第一访问请求时，获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述操作指令。采用本发明专利技术，可通过移动接入点监控用户终端的访问或操作请求，提高了内网的安全性和防止信息泄露，并简化了内网访问的过程。

A Network Monitoring Method and Device, Equipment and Storage Medium

【技术实现步骤摘要】
一种网络监控方法及装置、设备、存储介质
本专利技术涉及网络
，尤其涉及一种网络监控方法及装置、设备、存储介质。
技术介绍
随着互联网和信息技术的发展，越来越多的企业用户会组建自己的局域网，实现资源的最佳利用，如：共享磁盘设备、打印机等，也便于管理企业内部的多类数据，如员工信息数据、产品数据、技术信息等等。目前越来越多的企业不仅仅需要员工在办公区域可以访问企业的局域网，还需要在非办公场区域也能够访问企业的局域网。目前用户可以通过虚拟专用网络的功能(VirtualPrivateNetwork，VPN)的方式在非办公区域访问企业的局域网，具体是输入公司的VPN访问地址以及用户的账户名和密码，需要用户输入较多的信息才可以实现访问企业的局域网，操作繁琐，降低了访问企业局域网的效率。另外，由于企业局域网的私密性，为了更好的保护企业局域网的安全性以防止信息泄露，如何对企业局域网执行更好的监控仍是一个需要解决的问题。
技术实现思路
本专利技术实施例提供一种网络监控方法及装置、设备、存储介质，以期对通过移动接入点访问网络的用户终端进行有效监控。第一方面，为本申请实施例提供了一种网络监控方法，包括：当服务器监测到用户终端访问目标局域网的第一访问请求时，获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述操作指令。可选的，所述方法还包括：所述服务器记录所述用户终端的超权限操作行为，所述超权限操作行为用于指示所述用户终端执行不属于所述操作指令集的操作指令的行为；当所述服务器记录的所述超权限操作行为超过预设次数，则服务器向所述用户终端发送第一通知消息，所述第一通知消息用于通知所述用户终端的超权限行为的次数。可选的，所述方法还包括：当所述服务器监测到所述用户终端发送的第二访问请求时，判断所述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，所述第二访问请求用于访问除所述目标局域网之外的网络；若否，则所述服务器拒绝所述用户终端的所述第二访问请求。可选的，所述服务器监测到用户终端访问目标局域网的第一访问请求之前还包括：服务器接收用户终端通过第一移动接入点发送的连接请求，所述连接请求包括所述用户终端的标识；若所述服务器确定所述用户终端的标识为预存标识，则向所述用户终端发送连接确认消息。可选的，所述服务器接收用户终端通过第一移动接入点发送的连接请求之后，还包括：所述服务器根据所述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为所述用户终端选择第二移动接入点，所述第二移动接入点为所述多个移动接入点中与所述用户终端之间相隔的距离最近的移动接入点；所述服务器向所述用户终端发送第二通知消息，所述第二通知消息包括所述第二移动接入点的接入信息，所述第二通知消息用于向所述用户终端指示所述第二移动接入点与所述用户终端之间的距离最近。可选的，所述服务器接收用户终端通过第一移动接入点发送的连接请求之后，还包括：所述服务器根据多个移动接入点中每个移动接入点的负载值，为所述用户终端选择第三移动接入点，所述第三移动接入点为所述多个移动接入点中负载值最小的移动接入点；所述服务器向所述用户终端发送第三通知消息，所述第三通知消息包括所述第三移动接入点的接入信息，所述第三通知消息用于向所述用户终端指示所述第三移动接入点的负载值最小。第二方面，为本申请实施例提供了一种网络监控装置，包括：接收模块，用于获取用户终端访问目标局域网的第一访问请求；获取模块，用于获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；所述获取模块，还用于根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；处理模块，用于若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述目标操作指令。可选的，所述装置还包括：记录模块，用于所述服务器记录所述用户终端的超权限操作行为，所述超权限操作行为用于指示所述用户终端执行不属于所述操作指令集的操作指令的行为；反馈模块，用于当所述服务器记录的所述超权限操作行为超过预设次数，则服务器向所述用户终端发送第一通知消息，所述第一通知消息用于通知所述用户终端的超权限行为的次数。可选的，所述接收模块，还用于获取所述用户终端发送的第二访问请求；所述处理模块，还用于判断所述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，所述第二访问请求用于访问除所述目标局域网之外的网络；若否，则所述服务器拒绝所述用户终端的所述第二访问请求。可选的，所述接收模块，还用于接收用户终端通过第一移动接入点发送的连接请求，所述连接请求包括所述用户终端的标识；所述处理模块，还用于若所述服务器确定所述用户终端的标识为预存标识，则通过所述反馈模块向所述用户终端发送连接确认消息。可选的，所述获取模块，还用于所述服务器根据所述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为所述用户终端选择第二移动接入点，所述第二移动接入点为所述多个移动接入点中与所述用户终端之间相隔的距离最近的移动接入点；所述反馈模块，还用于所述服务器向所述用户终端发送第二通知消息，所述第二通知消息包括所述第二移动接入点的接入信息，所述第二通知消息用于向所述用户终端指示所述第二移动接入点与所述用户终端之间的距离最近。可选的，所述获取模块，还用于所述服务器根据多个移动接入点中每个移动接入点的负载值，为所述用户终端选择第三移动接入点，所述第三移动接入点为所述多个移动接入点中负载值最小的移动接入点；所述反馈模块，还用于所述服务器向所述用户终端发送第三通知消息，所述第三通知消息包括所述第三移动接入点的接入信息，所述第三通知消息用于向所述用户终端指示所述第三移动接入点的负载值最小。第三方面，为本申请实施例提供了一种服务器，包括处理器、存储器和收发器，所述处理器、所述存储器和所述收发器相互连接，其中，所述存储器用于存储支持所述电子设备执行上述网络监控方法的计算机程序，所述计算机程序包括程序指令；所述处理器被配置用于调用所述程序指令，执行如上述本专利技术实施例一方面中所述的网络监控方法。第四方面，为本申请实施例提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令；所述程序指令当被处理器执行时使所述处理器执行如本专利技术实施例一方面中所述的网络监控方法。本专利技术实施例通过根据移动接入点上报的流量情况对接入移动接入点的用户终端的行为进行监控，监控到敏感行为(如敏感数据拷贝、访问敏感系统)后进行相应的管控(如告警、禁止访问等)，从而实现通过移动接入点访问企业内网，避免用户通过输入公司的VPN访问地址及用户的账户名和密码等较多信息才能实现访问企业局域网的情况，使得企业内网的访问方式更加方便快捷，可以让用户在办公区域或非办公区域都可以快速访问企业内网。同时在该通过移动接入点访问公司内网的场景中可以对通过移动接入点访问内网的用户终端的操作行为进行实时监控，具体通过用户权限与操作指令集之间的关系，来确定该用户是否可本文档来自技高网...

【技术保护点】
1.一种网络监控方法，其特征在于，包括：当服务器监测到用户终端访问目标局域网的第一访问请求时，获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述操作指令。

【技术特征摘要】
1.一种网络监控方法，其特征在于，包括：当服务器监测到用户终端访问目标局域网的第一访问请求时，获取所述用户终端对目标数据的目标操作指令，所述用户终端是通过第一移动接入点访问所述目标局域网；根据所述用户终端的目标权限，获取与所述目标权限对应的操作指令集；若对所述目标数据的所述目标操作指令不属于所述操作指令集，则拒绝对目标数据执行所述操作指令。2.根据权利要求1所述的方法，其特征在于，所述方法还包括；所述服务器记录所述用户终端的超权限操作行为，所述超权限操作行为用于指示所述用户终端执行不属于所述操作指令集的操作指令的行为；当所述服务器记录的所述超权限操作行为超过预设次数，则服务器向所述用户终端发送第一通知消息，所述第一通知消息用于通知所述用户终端的超权限行为的次数。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：当所述服务器监测到所述用户终端发送的第二访问请求时，判断所述第二访问请求对应的访问地址是否存在于允许访问的预设地址集合中，所述第二访问请求用于访问除所述目标局域网之外的网络；若否，则所述服务器拒绝所述用户终端的所述第二访问请求。4.根据权利要求1或2所述的方法，其特征在于，所述服务器监测到用户终端访问目标局域网的第一访问请求之前，还包括：服务器接收用户终端通过第一移动接入点发送的连接请求，所述连接请求包括所述用户终端的标识；若所述服务器确定所述用户终端的标识为预存标识，则向所述用户终端发送连接确认消息。5.根据权利要求4所述的方法，其特征在于，所述服务器接收用户终端通过第一移动接入点发送的连接请求之后，还包括：所述服务器根据所述用户终端当前的第一位置信息和多个移动接入点中每个移动接入点的第二位置信息，为所述用户终端选择第二移动接入点，所述第二移动接入点为所述多个移动接入点中与所述用户终端之间相隔的距离最近的移动接入点；所述服务器向所述用户终端发送第二通知消息，所述第二通知消息包括所述第二移动接入点的接入信息，所述第二通...

【专利技术属性】
技术研发人员：范安心，谢文，黄成尧，
申请(专利权)人：平安科技深圳有限公司，
类型：发明
国别省市：广东,44