一种封堵异常用户设备的方法和电子设备与流程

1.本发明涉及通信领域，尤其涉及一种封堵异常用户设备的方法和电子设备。


背景技术：

2.随着移动互联网技术的不断革新以及应用的融合创新，有一些不法分子通过互联网技术进行网络安全犯罪，网络安全形势变得愈发严峻，重大网络安全事故时有发生，部分不法分子会通过家宽网络发起安全攻击。
3.现有技术中，往往通过人工定位的方式对异常用户设备进行网络定位并执行封堵，这种方法效率低且需要耗费较多的人力。如何高效准确地封堵异常用户设备，是本申请所要解决的技术问题。


技术实现要素：

4.本申请实施例的目的是提供一种封堵异常用户设备的方法和电子设备，用以解决封堵异常用户设备的效率低、人力成本高的问题。
5.第一方面，提供了一种封堵异常用户设备的方法，包括：
6.采集网络地址转换信息，所述网络地址转换信息包括用户设备的公网地址与所述用户设备归属的目标网关设备的映射关系，其中，所述目标网关设备与所述用户设备通信连接；
7.基于所述网络地址转换信息和异常用户设备的公网地址，通过所述目标网关设备确定所述异常用户设备的媒体访问控制地址；
8.根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备。
9.第二方面，提供了一种电子设备，包括：
10.采集单元，采集网络地址转换信息，所述网络地址转换信息包括用户设备的公网地址与所述用户设备归属的目标网关设备的映射关系，其中，所述目标网关设备与所述用户设备通信连接；
11.确定单元，基于所述网络地址转换信息和异常用户设备的公网地址，通过所述目标网关设备确定所述异常用户设备的媒体访问控制地址；
12.封堵单元，根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备。
13.第三方面，提供了一种电子设备，该电子设备包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序，该计算机程序被该处理器执行时实现如第一方面该的方法的步骤。
14.第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质上存储计算机程序，该计算机程序被处理器执行时实现如第一方面该的方法的步骤。
15.在本申请实施例中，通过采集到的网络地址转换信息和异常用户设备的外网地
址，确定异常用户设备的媒体访问控制地址，进而对异常用户设备的媒体访问控制地址进行封堵。本申请提供的方案能自动定位异常用户设备，并对异常用户设备进行高效封堵，避免异常用户设备在断线之后重新连接上网络，具有准确性高、成本低、封堵有效性长的优点。
附图说明
16.此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
17.图1是一种网络系统中网络设备连通示意图；
18.图2是本发明的一种封堵异常用户设备的方法的流程示意图之一；
19.图3是本发明的一种封堵异常用户设备的方法的流程示意图之二；
20.图4是本发明的一种封堵异常用户设备的方法的流程示意图之三；
21.图5是本发明的一种封堵异常用户设备的方法的流程示意图之四；
22.图6是本发明的一种封堵异常用户设备的方法的流程示意图之五；
23.图7是本发明的一种封堵异常用户设备的方法的流程示意图之六；
24.图8是本申请的一个电子设备的结构示意图之一；
25.图9是本申请的一个电子设备的结构示意图之二。
具体实施方式
26.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。本申请中附图编号仅用于区分方案中的各个步骤，不用于限定各个步骤的执行顺序，具体执行顺序以说明书中描述为准。
27.在通信技术领域，部分用户能利用终端设备通过移动家庭宽带网络上网，图1是网络系统中网络设备连通示意图。其中，移动家庭宽带网络往往通过光网络单元(optical network unit，onu)接入具有千兆位功能的无源光网络(gigabit-capable passive optical networks，gpon)的光线路终端(optical line terminal，olt)，再由olt设备接入宽带网络网关控制设备(broadband network gateway，bng)，最终上联到城域网出口核心路由器(core router，cr)至省级中国移动互联网(china mobile network，cmnet)。终端设备可以通过基于以太网的点对点通讯协议(point to point protocol over ethernet，pppoe)方式接入bng设备，且在bng设备上实现私网和公网地址的网络地址转换(network address translation，nat)。
28.当发现有非法用户通过网络进行犯罪时，可以由工作人员逐一登录网络系统中的各个设备进行追踪定位，最终定位到与非法用户连通的bng设备，并确定非法用户连接bng设备的互联网协议地址(internet protocol address，ip)。随后在bng设备上将确定的ip踢下线，用以切断非法用户网络。但是，采用这种方法只能暂时切断用户网络，用户可以重新拨号获取公网ip上网，建立新的网络连接，继续通过网络犯罪。因此，通过这种方式只能临时切断网络，效果较差。
29.为了解决现有技术中存在的问题，本申请提供一种封堵异常用户设备的方法，如图2所示，包括以下步骤：
30.s21：采集网络地址转换信息，所述网络地址转换信息包括用户设备的公网地址与所述用户设备归属的目标网关设备的映射关系，其中，所述目标网关设备与所述用户设备通信连接；
31.s22：基于所述网络地址转换信息和异常用户设备的公网地址，通过所述目标网关设备确定所述异常用户设备的媒体访问控制地址；
32.s23：根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备。
33.在步骤s21中，采集到的网络地址转换信息包括用户设备的公网ip与用户设备归属的bng设备的映射关系。比如，可以在家庭网关bng设备上定期采集nat转换地址池，采集归属于该bng设备的用户设备对应的公网ip。例如，每天在全省规定的工程结束时刻后，采集省内全部bng设备的nat公网地址池，用以获取全网用户设备的公网ip与用户设备归属的bng设备的映射关系。
34.本申请方案中的步骤s21可以由采集单元执行，采集到的网络地址转换信息可以存储在存储单元中，当需要使用网络地址转换信息时，可以从存储单元调用获得。采集单元采集到的网络地址转换信息可以直接覆盖存储到存储单元中，使存储单元中的信息与实际情况保持一致。
35.在存储单元与采集单元之间，还可以设置同步单元，同步单元可以用于对采集到的网络地址转换信息进行筛选，将变更的信息存储到存储单元中。较优的，上述步骤s21，包括：以预设时间为间隔，周期性采集所述网络地址转换信息。例如，每天晚上6点采集单元执行上述步骤得到网络地址转换信息，当日采集到的网络地址转换信息存储至存储单元之前，存储单元中保存着前一天采集到的网络地址转换信息。同步单元用于根据前一天采集到的网络地址转换信息和当日采集到的网络转换信息确定更新的信息，更新信息可以包括当日采集到的网络地址转换信息与前一天采集到的网络地址转换信息不同的信息。随后，同步单元将这些更新信息覆盖到存储单元中，实现信息更新。这样可以降低存储单元读写信息的信息量，提高效率，节约采集时间。
36.在采集到网络地址转换信息之后，执行步骤s22，根据采集到的网络地址转换信息和异常用户设备的公网地址确定异常用户设备的媒体访问控制地址(media access control address，mac)。其中，mac地址也可以称为媒体存取控制位址，它是一个用来确认网络设备位置的位址。mac地址用于在网络中唯一标示一个网卡，对于包含一个网卡的用户设备，mac地址可以标示该用户设备。
37.在实际应用过程中，一旦识别到异常用户设备，则可以根据异常用户设备的行为确定该异常用户设备的公网地址。随后，可以调取存储单元中存储的网络地址转换信息，并在网络地址转换信息中查找与异常用户设备的公网地址对应的目标bng设备。然后，可以通过目标bng设备确定异常用户设备的公网地址确定异常用户设备的mac地址。
38.在确定异常用户设备的mac地址之后，执行步骤s23，通过上述步骤确定的目标bng设备封堵异常用户设备的mac地址，从而实现对异常用户设备的封堵。由于mac地址与异常用户设备的网卡相对应，封堵mac地址后异常用户设备便无法通过重新连接的方式上网，封
堵效果好且封堵时间长。
39.在本申请实施例中，通过采集到的网络地址转换信息和异常用户设备的外网地址，确定异常用户设备的媒体访问控制地址，进而对异常用户设备的媒体访问控制地址进行封堵。本申请提供的方案能自动定位异常用户设备，并对异常用户设备进行高效封堵，避免异常用户设备在断线之后重新连接上网络，具有准确性高、成本低、封堵有效性长的优点。
40.基于上述实施例提供的方法，较优的，上述步骤s22，如图3所示，包括以下步骤：
41.s221：向所述目标网关设备发送会话用户查询指令；
42.s222：根据所述目标网关设备反馈的会话用户信息确定与所述异常用户设备的公网地址对应的内网地址；
43.s223：向所述目标网关设备发送内网用户信息查询指令；
44.s224：根据所述目标网关设备反馈的内网用户信息确定与所述异常用户设备的内网地址对应的媒体访问控制地址，所述内网用户信息包括与所述目标网关设备通信连接的用户设备的内网地址与媒体访问控制地址的映射关系。
45.在本实施例中，向目标网关设备发送的会话用户查询指令可以是nat session会话的实时查询指令。目标网关设备接收到该nat session灰化的实时查询指令之后，根据nat转换的实际情况反馈会话用户信息，该会话用户信息可以包括通过目标网关设备连接网络的用户的公网地址与内网地址的对应关系。因此，根据目标网关设备反馈的会话用户信息以及异常用户设备的公网地址，就可以确定该异常用户设备的内网地址。
46.随后，向目标网关设备发送内网用户信息查询指令，目标网关设备根据内网用户信息查询指令反馈整个家宽域用户信息表。其中，家宽域用户信息表包括家宽域中每个连接目标网关的用户的内网地址与mac地址的对应关系。另外，该家宽域用户信息报还可以包括每个设备与目标网关设备的连接接口信息、连接状态等信息。
47.通过本申请提供的上述方案，能通过向目标网关设备发送指令的方式获取会话用户信息和内网用户信息，进而根据异常用户设备的公网地址确定异常用户设备的内网地址，最终确定异常用户设备的mac地址。通过本申请提供的方案，能通过目标网关设备准确地确定异常用户设备mac地址，以便随后针对异常用户设备进行有针对性的封堵。
48.基于上述实施例提供的方法，较优的，所述内网用户信息还包括网关设备与用户设备通信连接的子接口信息，如图4所示，在上述步骤s23之前，所述方法还包括以下步骤：
49.s24：根据所述内网用户信息确定所述异常用户设备与目标网关设备通信连接的目标子接口信息；
50.上述步骤s23，包括：
51.s231：根据所述目标子接口信息，在目标子接口下封堵所述异常用户设备的媒体访问控制地址。
52.在本申请实施例中，上述内网用户信息包括目标网关设备与异常用户设备通信连接的子接口信息，根据该内网用户信息可以确定目标子接口信息。随后，根据目标子接口信息和异常用户设备的mac地址，对异常用户设备进行有针对性的封堵。具体的，可以在目标子接口下调用对该mac地址的预设封堵策略。
53.通过本申请提供的方案，不仅能确定异常用户设备的mac地址，还能确定异常用户
设备与目标网关设备连接的子接口，进而根据目标子接口信息和异常用户设备的mac地址，对异常用户设备进行有针对性的封堵。
54.基于上述实施例提供的方法，较优的，如图5所示，在上述步骤s23之后，所述方法还包括：
55.s25：根据封堵的所述异常用户设备生成封堵记录，所述封堵记录包括以下至少一项：所述异常用户设备的媒体访问控制地址、所述异常用户设备归属的目标网关设备、所述异常用户设备与目标网关设备通信连接的目标子接口信息。
56.通过本申请方案生成的封堵记录可以存储在存储单元中，封堵记录可以包括对异常用户设备的封堵情况，如“封堵成功”或“封堵失败”。当封堵失败时，封堵记录还可以包括封堵失败的原因，随后可以根据封堵失败的原因对异常用户设备再次进行封堵。当封堵成功时，封堵记录可以包括成功封堵的时间信息、被封堵的异常用户的mac地址、目标子接口信息以及目标网关设备信息等。
57.通过本申请上述方案，能在对异常用户设备执行封堵之后，记录封堵的相关信息。封堵信息可以用于对异常用户设备进行分析，例如对网络安全犯罪进行追查取证等。
58.基于上述实施例提供的方法，较优的，如图6所示，在上述步骤s25之后，所述方法还包括：
59.s26：根据所述封堵记录，通过所述目标网关设备的目标子接口解封所述异常用户设备的媒体访问控制地址。
60.在本申请实施例中，根据上述方案生成的封堵记录，能对异常用户设备进行解封。具体的，封堵记录可以存储在存储单元中，在需要对异常用户设备进行解封时，可以从存储单元中调取上述封堵记录，以获取异常用户设备的封堵信息。当封堵信息中包括异常用户信息的mac地址和目标网关设备的目标子接口时，可以通过封堵记录中记录的目标子接口对异常用户设备进行解封堵的操作。
61.上述解封堵的操作可以与实际封堵操作相对应，举例来说，如果封堵操作是在目标子接口处针对异常用户设备的mac地址调用预设的封堵策略，则在解封堵时可以删除目标子接口处对异常用户设备的mac地址调用的预设的封堵策略。另外，在执行解封堵操作之后，还可以根据解封堵的情况生成解封堵记录，该解封堵记录可以与封堵记录一同存储在存储单元中。如果该异常用户设备在解封堵之后再次影响网络安全，则可以对异常用户设备进行二次封堵，并且，可以根据实际情况延长封堵时间。
62.通过本申请提供的上述方案，可以对被封堵的异常用户设备进行解封。由于封堵记录中包括封堵异常用户设备的相关信息，因此，本方案中能根据封堵信息对异常用户设备进行快速高效的解封。
63.基于上述实施例提供的方法，较优的，如图7所示，在上述步骤s23之前，所述方法还包括：
64.s27：根据所述封堵记录确定所述异常用户设备是否已经被封堵；
65.其中，上述步骤s23，包括：
66.s232：当所述异常用户设备未被封堵时，根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备。
67.在实际应用过程中，异常用户设备执行了危害网络安全的行为之后，往往需要一
段时间才能被发现。举例来说，异常用户设备对网站进行周期性攻击，当网站工作人员发现网站受到的第一次攻击，定位并封堵异常用户设备成功时，网站已经受到该用户设备的三次攻击。则由于异常用户设备已经被封堵，则对于网站受到的第二次和第三次攻击，无需再次执行异常用户封堵。
68.在本方案中，在对异常用户设备执行封堵之前，先根据封堵记录确定异常用户设备是否已经被封堵。如果该异常用户设备未被封堵，则可以通过上述实施例提供的方案对异常用户设备的mac地址执行封堵，如果根据封堵记录获知该异常用户设备已经被封堵，则无需再次执行封堵。
69.通过本申请提供的上述方案，可以在执行封堵前确定异常用户设备是否已经被封堵，对于已经被封堵的异常用户设备无需再次执行封堵，降低运算量。
70.为了解决现有技术中存在的问题，如图8所示，本申请提供一种电子设备80，包括：
71.采集单元81，采集网络地址转换信息，所述网络地址转换信息包括用户设备的公网地址与所述用户设备归属的目标网关设备的映射关系，其中，所述目标网关设备与所述用户设备通信连接；
72.确定单元82，基于所述网络地址转换信息和异常用户设备的公网地址，通过所述目标网关设备确定所述异常用户设备的媒体访问控制地址；
73.封堵单元83，根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备。
74.基于上述实施例提供的电子设备，上述确定单元82，用于：
75.向所述目标网关设备发送会话用户查询指令；
76.根据所述目标网关设备反馈的会话用户信息确定与所述异常用户设备的公网地址对应的内网地址；
77.向所述目标网关设备发送内网用户信息查询指令；
78.根据所述目标网关设备反馈的内网用户信息确定与所述异常用户设备的内网地址对应的媒体访问控制地址，所述内网用户信息包括与所述目标网关设备通信连接的用户设备的内网地址与媒体访问控制地址的映射关系。
79.基于上述实施例提供的电子设备，所述内网用户信息还包括网关设备与用户设备通信连接的子接口信息，上述确定单元82，在根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备之前，还用于：
80.根据所述内网用户信息确定所述异常用户设备与目标网关设备通信连接的目标子接口信息；
81.上述封堵单元83，还用于：
82.根据所述目标子接口信息，在目标子接口下封堵所述异常用户设备的媒体访问控制地址。
83.基于上述实施例提供的电子设备，如图9所示，所述电子设备还包括生成单元84，在根据所述异常用户设备的媒体访问控制地址，通过所述目标网关设备封堵所述异常用户设备之后，所述生成单元84用于：
84.根据封堵的所述异常用户设备生成封堵记录，所述封堵记录包括以下至少一项：所述异常用户设备的媒体访问控制地址、所述异常用户设备归属的目标网关设备、所述异
memory，简称ram)、磁碟或者光盘等。
97.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
98.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
99.上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本发明的保护之内。