一种基于用户网络访问场景的防护的方法和装置制造方法及图纸

本发明专利技术公开了一种基于用户网络访问场景的防护方法和装置，涉及计算机安全领域。所述方法包括：当用户终端接入局域网后，提取所述局域网对应的设备标识；将所述设备标识与预置的设备标识库进行比较，判断当前局域网所处的场景；当判断所述局域网所处的场景为不安全的网络场景后，则提示所述用户终端所处网络环境，并监控所述用户终端访问的网站的安全等级；当所述用户终端访问的网站的安全等级达到阈值，则拦截访问，并提示用户终端是否进入安全访问模式。本发明专利技术具有降低用户终端信息被泄露的风险、提高用户终端信息安全性的有益效果。

【技术实现步骤摘要】
一种基于用户网络访问场景的防护的方法和装置
本专利技术涉及计算机安全领域，具体涉及一种基于用户网络访问场景的防护方法和装置。
技术介绍
随着互联网的发展，用户的终端也可以通过各种局域网连入互联网发送或者获取所需的信息。比如用户终端在咖啡厅等公共区域通过公用无线局域网连入互联网，所述无线局域网比如wifi（wifi是一种可以将个人电脑、手持设备（如PDA、手机）等终端以无线方式互相连接的技术），而用户的终端如果通过无线局域网进行一些网银交易，或者进行一些重要机密事件处理等，但如wifi等无线局域网本身并不一定安全。如果用户的终端在公共的无线局域网中进行连接动作，其MAC（Medium/MediaAccessControl,介质访问控制）信息基本上是对该局域网中其他的节点是公开的，从而用户终端的隐私信息很容易被其他终端获取，如果存在恶意的终端，比如进行ARP(AddressResolutionProtocol，地址解析协议)欺骗的终端，那么这对于该用户终端来说，其信息泄露的风险显然是很大的。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的一种基于用户网络访问场景的防护装置和相应的一种基于用户网络访问场景的防护方法。依据本专利技术的一个方面，提供了一种基于用户网络访问场景的防护方法，包括：当用户终端接入局域网后，提取所述局域网对应的设备标识；将所述设备标识与预置的设备标识库进行比较,判断当前局域网所处的场景;当判断所述局域网所处的场景为不安全的网络场景后,则提示所述用户终端所处网络环境,并监控所述用户终端访问的网站的安全等级;当所述用户终端访问的网站的安全等级达到阈值,则拦截访问,并提示用户终端是否进入安全访问模式。可选的,所述设备标识包括所述局域网对应路由器的MAC地址和/或服务集标识；进一步的，将所述设备标识与预置的设备标识库进行比较,判断当前局域网所处的场景包括：获取所述局域网对应路由器的MAC地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括MAC地址及对应的场景，所述场景包括公共网络场景；和/或，获取所述局域网对应路由器的服务集标识地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括服务集标识及对应的场景，所述场景包括公共网络场景。可选的,所述安全访问模式包括：将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信。可选的,还包括：根据所述设备标识，判断所在局域网是否为欺诈局域网；进一步的所述安全访问模式包括：阻断接入所述局域网。可选的,所述将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信包括：将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取。可选的,所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括：针对所述用户终端接收到的非所述局域网的路由器的ARP请求包，阻止所述用户终端针对所述ARP请求包回应ARP应答包；阻止用户终端在所述局域网中，以非所述局域网的路由器为目的地址而发送的ARP广播包；放过用户终端发送给路由器的ARP应答包，并将用户终端发送给所述局域网路由器的ARP请求包修改为ARP应答包后发送给所述路由器。可选的,所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括：拦截用户终端出栈的ARP包；判断所述ARP包的目标IP是否为所述局域网的路由器IP；如果所述ARP包的目标IP不是路由器IP，则丢弃所述ARP包；如果所述ARP包的目标IP是路由器IP，则判断所述ARP包的目标MAC是否为广播地址；如果所述ARP包的目标MAC地址不是广播地址，则发送所述ARP包给所述路由器；如果所述ARP包的目标MAC地址是广播地址，则将所述ARP包修改为定向发送给路由器的定向ARP应答包，并将所述定向ARP应答包发送给所述路由器。可选的,还包括：在操作系统的Ring0层预置的出栈ARP包处理驱动；所述出栈ARP包处理驱动适于拦截用户终端出栈的ARP包；进一步的，所述拦截用户终端出栈的ARP包包括：通过操作系统的Ring0层的出栈ARP包处理驱动，拦截用户终端出栈的ARP包。可选的,还包括：在操作系统的Ring3层预置ARP包处理模块；所述ARP包处理模块适于分析和修改所述ARP包；进一步的，所述如果所述ARP包的目标IP是路由器IP，则判断所述ARP包的目标MAC是否为广播地址，则进一步包括：出栈ARP包处理驱动将所述拦截的ARP包进行缓存，并通过信号量Event通知在操作系统的Ring3层的ARP包处理模块读取所述缓存的ARP包；当所述ARP包处理模块接收到所述信号量Event后，读取所述缓存的ARP包，并判断所述ARP包的目标MAC地址是否为广播地址。可选的,所述判断所述ARP包的目标MAC地址是否为广播地址包括：解析所述ARP包，获取以太网包头结构_ehhdr和/或ARP数据包头结构_arphdr;判断所述以太网包头结构_ehhdr中的eh_dst数据值是否为广播地址，和/或，判断所述ARP数据包头结构_arphdr中的arp_tha数据值是否为广播地址。可选的,还包括：当将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信失败，则所述用户终端向交换机发送主动防御包；所述主动防御包包括通知所述交换机当前用户终端的真实MAC地址的信息。依据本专利技术的另一个方面,提供了一种基于用户网络访问场景的防护装置，包括：设备标识提取模块，适于当用户终端接入局域网后，提取所述局域网对应的设备标识；场景判断模块，适于将所述设备标识与预置的设备标识库进行比较,判断当前局域网所处的场景;第一提示模块，适于当所述局域网所处的场景为不安全的网络场景时,则提示所述用户终端所处网络环境,并监控所述用户终端访问的网站的安全等级;第二提示模块，适于当所述用户终端访问的网站的安全等级达到阈值,则拦截访问,并提示用户终端是否进入安全访问模块。可选的,所述设备标识包括所述局域网对应路由器的MAC地址和/或服务集标识；进一步的，所述场景判断模块包括：第一场景判断模块，适于获取所述局域网对应路由器的MAC地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括MAC地址及对应的场景，所述场景包括公共网络场景；和/或，第二场景判断模块，适于获取所述局域网对应路由器的服务集标识地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括服务集标识及对应的场景，所述场景包括公共网络场景。可选的,所述安全访问模块包括：将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信。可选的,还包括：欺诈判断模块，适于根据所述设备标识，判断所在局域网是否为欺诈局域网；进一步的所述安全访问模块包括：阻断接入所述局域网。可选的,所述安全访问模式包括：第一安全访问模式，适于将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取。可选的,所述第一安全访问模式包括：第一阻止模块，适于针对所述用户终端接本文档来自技高网...

【技术保护点】
一种基于用户网络访问场景的防护方法，包括：当用户终端接入局域网后，提取所述局域网对应的设备标识；将所述设备标识与预置的设备标识库进行比较，判断当前局域网所处的场景；当判断所述局域网所处的场景为不安全的网络场景后，则提示所述用户终端所处网络环境，并监控所述用户终端访问的网站的安全等级；当所述用户终端访问的网站的安全等级达到阈值，则拦截访问，并提示用户终端是否进入安全访问模式。

【技术特征摘要】
1.一种基于用户网络访问场景的防护方法，应用于移动终端，包括：当用户终端接入局域网后，提取所述局域网对应的设备标识；将所述设备标识与预置的设备标识库进行匹配,判断当前局域网所处的场景；所述设备标识库从云端服务器下载；所述设备标识库由云端服务器通过收集局域网的设备标识，以及设备标识对应的场景信息构建；当判断所述局域网所处的场景为不安全的网络场景后,则提示所述用户终端所处网络环境,并监控所述用户终端访问的网站的安全等级；当所述用户终端访问的网站的安全等级达到阈值,则拦截访问,并提示用户终端是否进入安全访问模式；其中，所述设备标识包括所述局域网对应路由器的MAC地址和/或服务集标识；进一步的，将所述设备标识与预置的设备标识库进行比较,判断当前局域网所处的场景包括：获取所述局域网对应路由器的MAC地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括MAC地址及对应的场景，所述场景包括公共网络场景；和/或，获取所述局域网对应路由器的服务集标识地址，将其与云端服务器中的预置的设备标识库进行比较，判断当前局域网所处的场景；所述设备标识库包括服务集标识及对应的场景，所述场景包括公共网络场景。2.如权利要求1所述的方法，所述安全访问模式包括：将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信。3.如权利要求1或2所述的方法，还包括：根据所述设备标识，判断所在局域网是否为欺诈局域网；进一步的所述安全访问模式包括：阻断接入所述局域网。4.如权利要求2所述的方法，所述将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信包括：将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取。5.如权利要求4所述的方法，所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括：针对所述用户终端接收到的非所述局域网的路由器的ARP请求包，阻止所述用户终端针对所述ARP请求包回应ARP应答包；阻止用户终端在所述局域网中，以非所述局域网的路由器为目的地址而发送的ARP广播包；放过用户终端发送给路由器的ARP应答包，并将用户终端发送给所述局域网路由器的ARP请求包修改为ARP应答包后发送给所述路由器。6.如权利要求4所述的方法，所述将所述用户终端的MAC地址隐藏为只允许所述局域网内的路由器获取包括：拦截用户终端出栈的ARP包；判断所述ARP包的目标IP是否为所述局域网的路由器IP；如果所述ARP包的目标IP不是路由器IP，则丢弃所述ARP包；如果所述ARP包的目标IP是路由器IP，则判断所述ARP包的目标MAC是否为广播地址；如果所述ARP包的目标MAC地址不是广播地址，则发送所述ARP包给所述路由器；如果所述ARP包的目标MAC地址是广播地址，则将所述ARP包修改为定向发送给路由器的定向ARP应答包，并将所述定向ARP应答包发送给所述路由器。7.如权利要求6所述的方法，还包括：在操作系统的Ring0层预置出栈ARP包处理驱动；所述出栈ARP包处理驱动适于拦截用户终端出栈的ARP包；进一步的，所述拦截用户终端出栈的ARP包包括：通过操作系统的Ring0层的出栈ARP包处理驱动，拦截用户终端出栈的ARP包。8.如权利要求7所述的方法，还包括：在操作系统的Ring3层预置ARP包处理模块；所述ARP包处理模块适于分析和修改所述ARP包；进一步的，所述如果所述ARP包的目标IP是路由器IP，则判断所述ARP包的目标MAC是否为广播地址，则进一步包括：出栈ARP包处理驱动将所述拦截的ARP包进行缓存，并通过信号量Event通知在操作系统的Ring3层的ARP包处理模块读取所述缓存的ARP包；当所述ARP包处理模块接收到所述信号量Event后，读取所述缓存的ARP包，并判断所述ARP包的目标MAC地址是否为广播地址。9.如权利要求6或8所述的方法，所述判断所述ARP包的目标MAC地址是否为广播地址包括：解析所述ARP包，获取以太网包头结构_ehhdr和/或ARP数据包头结构_arphdr；判断所述以太网包头结构_ehhdr中的eh_dst数据值是否为广播地址，和/或，判断所述ARP数据包头结构_arphdr中的arp_tha数据值是否为广播地址。10.如权利要求2、4-8其中之一所述的方法，还包括：当将所述用户终端在所述局域网内与外界的通信修改为只与所述局域网内的路由器进行通信失败，则所述用户终端向交换机发送主动防御包；所述主动防御包包括通知所述交换机...

【专利技术属性】
技术研发人员：丁振，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：