本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，具體涉及一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法和裝置。

背景技術(shù)：
隨著互聯(lián)網(wǎng)的發(fā)展，用戶的終端也可以通過(guò)各種局域網(wǎng)連入互聯(lián)網(wǎng)發(fā)送或者獲取所需的信息。比如用戶終端在咖啡廳等公共區(qū)域通過(guò)公用無(wú)線局域網(wǎng)連入互聯(lián)網(wǎng)，所述無(wú)線局域網(wǎng)比如wifi（wifi是一種可以將個(gè)人電腦、手持設(shè)備（如PDA、手機(jī)）等終端以無(wú)線方式互相連接的技術(shù)），而用戶的終端如果通過(guò)無(wú)線局域網(wǎng)進(jìn)行一些網(wǎng)銀交易，或者進(jìn)行一些重要機(jī)密事件處理等，但如wifi等無(wú)線局域網(wǎng)本身并不一定安全。如果用戶的終端在公共的無(wú)線局域網(wǎng)中進(jìn)行連接動(dòng)作，其MAC（Medium/MediaAccessControl,介質(zhì)訪問(wèn)控制）信息基本上是對(duì)該局域網(wǎng)中其他的節(jié)點(diǎn)是公開(kāi)的，從而用戶終端的隱私信息很容易被其他終端獲取，如果存在惡意的終端，比如進(jìn)行ARP(AddressResolutionProtocol，地址解析協(xié)議)欺騙的終端，那么這對(duì)于該用戶終端來(lái)說(shuō)，其信息泄露的風(fēng)險(xiǎn)顯然是很大的。

技術(shù)實(shí)現(xiàn)要素：
鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)裝置和相應(yīng)的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法。依據(jù)本發(fā)明的一個(gè)方面，提供了一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法，包括：當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景;當(dāng)判斷所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景后,則提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境,并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí);當(dāng)所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)達(dá)到閾值,則攔截訪問(wèn),并提示用戶終端是否進(jìn)入安全訪問(wèn)模式。可選的,所述設(shè)備標(biāo)識(shí)包括所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址和/或服務(wù)集標(biāo)識(shí)；進(jìn)一步的，將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景包括：獲取所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括MAC地址及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景；和/或，獲取所述局域網(wǎng)對(duì)應(yīng)路由器的服務(wù)集標(biāo)識(shí)地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括服務(wù)集標(biāo)識(shí)及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景?？蛇x的,所述安全訪問(wèn)模式包括：將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信。可選的,還包括：根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)；進(jìn)一步的所述安全訪問(wèn)模式包括：阻斷接入所述局域網(wǎng)?？蛇x的,所述將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信包括：將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取?？蛇x的,所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；放過(guò)用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器?？蛇x的,所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：攔截用戶終端出棧的ARP包；判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；如果所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；如果所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；如果所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器?？蛇x的,還包括：在操作系統(tǒng)的Ring0層預(yù)置的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于攔截用戶終端出棧的ARP包；進(jìn)一步的，所述攔截用戶終端出棧的ARP包包括：通過(guò)操作系統(tǒng)的Ring0層的出棧ARP包處理驅(qū)動(dòng)，攔截用戶終端出棧的ARP包?？蛇x的,還包括：在操作系統(tǒng)的Ring3層預(yù)置ARP包處理模塊；所述ARP包處理模塊適于分析和修改所述ARP包；進(jìn)一步的，所述如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址，則進(jìn)一步包括：出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，并通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包；當(dāng)所述ARP包處理模塊接收到所述信號(hào)量Event后，讀取所述緩存的ARP包，并判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址?？蛇x的,所述判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址包括：解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr;判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址?？蛇x的,還包括：當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。依據(jù)本發(fā)明的另一個(gè)方面,提供了一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)裝置，包括：設(shè)備標(biāo)識(shí)提取模塊，適于當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；場(chǎng)景判斷模塊，適于將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景;第一提示模塊，適于當(dāng)所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景時(shí),則提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境,并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí);第二提示模塊，適于當(dāng)所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)達(dá)到閾值,則攔截訪問(wèn),并提示用戶終端是否進(jìn)入安全訪問(wèn)模塊。可選的,所述設(shè)備標(biāo)識(shí)包括所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址和/或服務(wù)集標(biāo)識(shí)；進(jìn)一步的，所述場(chǎng)景判斷模塊包括：第一場(chǎng)景判斷模塊，適于獲取所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括MAC地址及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景；和/或，第二場(chǎng)景判斷模塊，適于獲取所述局域網(wǎng)對(duì)應(yīng)路由器的服務(wù)集標(biāo)識(shí)地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括服務(wù)集標(biāo)識(shí)及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景?？蛇x的,所述安全訪問(wèn)模塊包括：將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信?？蛇x的,還包括：欺詐判斷模塊，適于根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)；進(jìn)一步的所述安全訪問(wèn)模塊包括：阻斷接入所述局域網(wǎng)?？蛇x的,所述安全訪問(wèn)模式包括：第一安全訪問(wèn)模式，適于將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取?？蛇x的,所述第一安全訪問(wèn)模式包括：第一阻止模塊，適于針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；第二阻止模塊，適于阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；修改模塊，適于放過(guò)用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器?？蛇x的,所述第一安全訪問(wèn)模式包括：ARP攔截模塊，適于攔截用戶終端出棧的ARP包；第一判斷模塊，適于判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；丟棄模塊，適于如果判斷所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；第二判斷模塊，適于如果判斷所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；直接發(fā)送模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；第一修改模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。可選的,還包括：主動(dòng)防御包發(fā)送模塊，適于當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。根據(jù)本發(fā)明的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法可以判斷用戶是否在不安全的局域網(wǎng)場(chǎng)景中,并根據(jù)判斷結(jié)果監(jiān)控并提示用戶端慎重在不安全的公共網(wǎng)絡(luò)中使用高安全等級(jí)的應(yīng)用(網(wǎng)銀交易應(yīng)用等)或者訪問(wèn)高安全等級(jí)的網(wǎng)站(網(wǎng)銀交易網(wǎng)站等),并可進(jìn)行安全保護(hù)，由此可解決用戶終端無(wú)意中在公共網(wǎng)絡(luò)等不安全的網(wǎng)絡(luò)場(chǎng)景中將隱私信息暴露給局域網(wǎng)中其他終端問(wèn)題，特別是解決了對(duì)于接入公共網(wǎng)絡(luò)中用戶終端的信息安全的問(wèn)題，取得了降低用戶終端信息被泄露的風(fēng)險(xiǎn)、提高用戶終端信息安全性的有益效果。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的具體實(shí)施方式。附圖說(shuō)明通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅適于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中：圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法實(shí)施例一的流程示意圖;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法實(shí)施例二的流程示意圖;圖2a示出根據(jù)本發(fā)明一個(gè)實(shí)施例的ARP結(jié)構(gòu)示例；圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)裝置的結(jié)構(gòu)示意圖;以及圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)系統(tǒng)的結(jié)構(gòu)示意圖。具體實(shí)施方式下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)，并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。本發(fā)明的核心思想之一為:預(yù)先采集各種公共網(wǎng)絡(luò)場(chǎng)景的設(shè)備標(biāo)識(shí)，構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)，當(dāng)用戶終端接入某個(gè)局域網(wǎng)時(shí)，獲取所在局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)與所述設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，根據(jù)比較結(jié)果判定其所處的局域網(wǎng)的場(chǎng)景（比如是否是咖啡廳、麥當(dāng)勞等場(chǎng)所的公共網(wǎng)絡(luò)。），然后基于場(chǎng)景對(duì)用戶終端進(jìn)行提醒，甚至使用戶終端進(jìn)入安全訪問(wèn)模式，以避免隱私信息泄露。實(shí)施例一參照?qǐng)D1，其示出了本發(fā)明的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法實(shí)施例一的流程示意圖，具體可以包括：步驟110，當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；用戶使用用戶端，比如手機(jī)、筆記本電腦等移動(dòng)終端接入局域網(wǎng)后，比如無(wú)線局域網(wǎng)（例如wifi），以與廣域網(wǎng)（比如internet）進(jìn)行通信，那么繼而無(wú)線局域網(wǎng)后，可提取接入的局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí),比如對(duì)應(yīng)路由器的MAC,或者SSID（ServiceSetIdentifier，服務(wù)集標(biāo)識(shí)）等。步驟120，將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景;本發(fā)明實(shí)施例可預(yù)先搜集wifi等局域網(wǎng)的公共網(wǎng)絡(luò)的相關(guān)設(shè)備標(biāo)識(shí)，比如路由的MAC，SSID，關(guān)鍵字（例如移動(dòng)CMCC信號(hào)，麥當(dāng)勞等公共網(wǎng)絡(luò)熱點(diǎn)信息），然后針對(duì)局域網(wǎng)的相關(guān)信息建立設(shè)備標(biāo)識(shí)庫(kù)，在設(shè)備標(biāo)識(shí)庫(kù)中針對(duì)每個(gè)設(shè)備標(biāo)識(shí)，可描述該設(shè)備標(biāo)識(shí)是公共網(wǎng)絡(luò)場(chǎng)景還是私人網(wǎng)絡(luò)場(chǎng)景，還可具體描述個(gè)局域網(wǎng)所處的場(chǎng)景，比如前述麥當(dāng)勞、咖啡廳等場(chǎng)景。如前所述，針對(duì)局域網(wǎng)可預(yù)先建立設(shè)備標(biāo)識(shí)庫(kù)，存儲(chǔ)設(shè)備標(biāo)識(shí)以及對(duì)應(yīng)的場(chǎng)景信息，比如設(shè)備標(biāo)識(shí)A-公共網(wǎng)絡(luò)（咖啡廳）、設(shè)備標(biāo)識(shí)B-公共網(wǎng)絡(luò)（麥當(dāng)勞）等公用無(wú)線局域網(wǎng)場(chǎng)景。在本發(fā)明實(shí)施例中，一般收集所有公共網(wǎng)絡(luò)的設(shè)備標(biāo)識(shí)?？蛇x的，所述設(shè)備標(biāo)識(shí)包括所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址和/或服務(wù)集標(biāo)識(shí)；在本發(fā)明實(shí)施例中，可針對(duì)局域網(wǎng)的路由等接入設(shè)備的MAC地址構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)，可針對(duì)SSID構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)，也可同時(shí)針對(duì)MAC和SSID構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)。另外，本發(fā)明實(shí)施例中還可將局域網(wǎng)其他的與設(shè)備標(biāo)識(shí)相關(guān)的信息作為標(biāo)識(shí)，構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)，也可與上述標(biāo)識(shí)一起構(gòu)建設(shè)備標(biāo)識(shí)庫(kù)。進(jìn)一步的，將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景包括：步驟S121，獲取所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括MAC地址及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景；在本發(fā)明實(shí)施例中,可由云端服務(wù)器收集公共網(wǎng)絡(luò)的MAC地址等信息,構(gòu)建設(shè)備標(biāo)識(shí)庫(kù),其形式可以如:MAC字段-公共網(wǎng)絡(luò);若具體知道MAC字段是具體是何種公共網(wǎng)絡(luò),其形式可以如:MAC字段-公共網(wǎng)絡(luò)-麥當(dāng)勞，說(shuō)明該MAC字段是麥當(dāng)勞餐廳的公共網(wǎng)絡(luò)。那么本申請(qǐng)實(shí)施例在獲取到所接入的局域網(wǎng)的MAC地址后可將MAC與云端服務(wù)器的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行匹配，匹配到對(duì)應(yīng)的MAC地址是公共網(wǎng)絡(luò)場(chǎng)景后，即可判斷所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景。和/或，步驟S122，獲取所述局域網(wǎng)對(duì)應(yīng)路由器的服務(wù)集標(biāo)識(shí)地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括服務(wù)集標(biāo)識(shí)及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景。在本發(fā)明實(shí)施例中,可由云端服務(wù)器收集公共網(wǎng)絡(luò)的SSID地址等信息,構(gòu)建設(shè)備標(biāo)識(shí)庫(kù),其形式可以如:SSID-公共網(wǎng)絡(luò);若具體知道SSID是具體是何種公共網(wǎng)絡(luò),其形式可以如:SSID-公共網(wǎng)絡(luò)-星巴克咖啡廳，說(shuō)明該SSID是星巴克咖啡廳的公共網(wǎng)絡(luò)。那么本申請(qǐng)實(shí)施例在獲取到所接入的局域網(wǎng)的SSID后可將SSID與云端服務(wù)器的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行匹配，匹配到對(duì)應(yīng)的SSID是公共網(wǎng)絡(luò)場(chǎng)景后，即可判斷所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景。在本申請(qǐng)實(shí)施例中，可將設(shè)備標(biāo)識(shí)發(fā)送至云端服務(wù)器進(jìn)行匹配，由于局域網(wǎng)的相關(guān)設(shè)備標(biāo)識(shí)數(shù)量相對(duì)龐大，要存儲(chǔ)與局域網(wǎng)設(shè)備標(biāo)識(shí)相關(guān)的設(shè)備標(biāo)識(shí)庫(kù)，其存儲(chǔ)空間可能占用比較龐大，為了節(jié)省用戶終端的存儲(chǔ)空間，本發(fā)明實(shí)施例則將所述設(shè)備標(biāo)識(shí)庫(kù)存儲(chǔ)于云端服務(wù)器。當(dāng)然也可將設(shè)備標(biāo)識(shí)庫(kù)下載至本地的終端中，直接在終端中進(jìn)行匹配。步驟130，當(dāng)判斷所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景后,則提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境,并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí);當(dāng)判定用戶終端所接入的局域網(wǎng)為公共網(wǎng)絡(luò)場(chǎng)景時(shí)，則提示用戶終端處于公共網(wǎng)絡(luò)場(chǎng)景，存在安全隱患，在確切指定所接入局域網(wǎng)是哪種局域網(wǎng)時(shí)，還可提示其具體所處的公共網(wǎng)絡(luò)（比如處于麥當(dāng)勞的局域網(wǎng)）。在用戶終端使用終端訪問(wèn)網(wǎng)站時(shí)，還會(huì)判斷其訪問(wèn)的網(wǎng)址的安全等級(jí)。本申請(qǐng)還可針預(yù)先對(duì)不同的網(wǎng)站設(shè)置不同的安全等級(jí)，比如銀行網(wǎng)站等與用戶金融賬戶相關(guān)的設(shè)為最高安全等級(jí)，郵箱網(wǎng)站等涉及用戶隱私信息的網(wǎng)站設(shè)為次安全等級(jí)等，還可針對(duì)其他類型網(wǎng)站設(shè)置第三、第四安全等級(jí)等等，然后即可對(duì)用戶訪問(wèn)的網(wǎng)站進(jìn)行監(jiān)控。其中對(duì)于手機(jī)等智能移動(dòng)終端，其存在各種APP應(yīng)用，這些APP應(yīng)用也會(huì)訪問(wèn)相應(yīng)的網(wǎng)站，那么本發(fā)明實(shí)施例監(jiān)控用戶終端當(dāng)前運(yùn)行的應(yīng)用的安全等級(jí)是否達(dá)到閾值。本發(fā)明實(shí)施例可對(duì)各種應(yīng)用設(shè)置安全等級(jí)，比如網(wǎng)銀交易等與金融相關(guān)的應(yīng)用設(shè)置最高安全等級(jí)，郵件、聊天工具等應(yīng)用設(shè)為中等安全等級(jí)，瀏覽器、笑話等隱身性低的應(yīng)用設(shè)為低安全等級(jí)。步驟140，當(dāng)所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)達(dá)到閾值,則攔截訪問(wèn),并提示用戶終端是否進(jìn)入安全訪問(wèn)模式。如果達(dá)到，則攔截訪問(wèn),則提示用戶終端是否進(jìn)入安全訪問(wèn)模式；如果用戶選擇進(jìn)入安全訪問(wèn)模式，則切入安全訪問(wèn)模式；如果用戶不選擇進(jìn)入安全訪問(wèn)模式，則放行所述訪問(wèn)，使其按正常流程訪問(wèn)。所述安全訪問(wèn)模式包括將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信等。在前述例子中，比如當(dāng)判斷到網(wǎng)銀交易的應(yīng)用實(shí)際發(fā)生，則提示關(guān)掉外部共享，或者是進(jìn)入安全訪問(wèn)模式（在局域網(wǎng)中隱身，保證主機(jī)“隱身”使其MAC不可探測(cè)，欺騙者得不到主機(jī)MAC，無(wú)法實(shí)施欺騙；使用根據(jù)ARP報(bào)文的類型對(duì)ARP報(bào)文進(jìn)行不同處理的方式可以實(shí)現(xiàn)局域網(wǎng)的隱身功能），使用戶終端可以訪問(wèn)internet等網(wǎng)絡(luò)，但是在網(wǎng)路中和其他的路由會(huì)隔離開(kāi)，別的客戶端無(wú)法訪問(wèn)到他的網(wǎng)絡(luò)。在本發(fā)明實(shí)施例中，所述安全訪問(wèn)模式包括：將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信。當(dāng)用戶選擇進(jìn)入安全訪問(wèn)模式后，則控制用戶終端與各路由的通信修改為只與當(dāng)前無(wú)線局域網(wǎng)的路由器進(jìn)行通信。那么用戶終端的數(shù)據(jù)就無(wú)法被該無(wú)線網(wǎng)絡(luò)中其他路由節(jié)點(diǎn)獲取，從而可提高安全性?？蛇x的，所述將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信包括：步驟S120，將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取。即使用戶終端的MAC地址無(wú)法被無(wú)線局域網(wǎng)內(nèi)其他終端獲取，那么如果無(wú)線局域網(wǎng)內(nèi)存在欺詐終端，那么由于欺詐終端無(wú)法獲取當(dāng)前用戶終端的MAC地址，因而無(wú)法實(shí)施欺騙。所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：步驟S121，針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；步驟S122，阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；步驟S123，放過(guò)用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器。在OSI（OpenSystemInterconnect）開(kāi)放式系統(tǒng)互聯(lián)，也即osi模型中，ISO將整個(gè)通信功能劃分為七個(gè)層次，ARP是第二層的數(shù)據(jù)鏈路層的通信，internet的通信過(guò)程中節(jié)點(diǎn)之間的通信首先需要進(jìn)行ARP的交互。那么完成上述的三點(diǎn)即可實(shí)現(xiàn)用戶終端的局域網(wǎng)隱身功能，即將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信。另外，在判斷所述局域網(wǎng)不是安全的局域網(wǎng)之后，本發(fā)明實(shí)施例還可包括：可選的，本發(fā)明實(shí)施例中，還包括：步驟S124，根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)。在本發(fā)明中，還可以進(jìn)一步鑒別局域網(wǎng)的真?zhèn)?，比如針?duì)MAC地址建立一個(gè)白名單，其中提示MAC及其對(duì)應(yīng)的其他設(shè)備標(biāo)識(shí)。本申請(qǐng)中可同時(shí)獲取所接入的局域網(wǎng)的網(wǎng)絡(luò)接入設(shè)備的MAC地址和相關(guān)的其他關(guān)鍵字（比如cmcc關(guān)鍵字）。例如有個(gè)局域網(wǎng)改寫(xiě)個(gè)cmcc關(guān)鍵字標(biāo)示，那么本申請(qǐng)會(huì)將MAC云端的白名單匹配。如果不是白名單的cmcc熱點(diǎn)信息，則提示是假的公共wifi，進(jìn)一步的還可提示用戶是否進(jìn)入安全訪問(wèn)模式，所述安全訪問(wèn)模式阻斷接入所述局域網(wǎng)。可選的，還包括：步驟S160,當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。即用戶終端主動(dòng)向局域網(wǎng)的交換機(jī)發(fā)送其真實(shí)的MAC地址，使其獲得當(dāng)前用戶終端的真實(shí)MAC地址后，局域網(wǎng)中其他終端就無(wú)法偽裝該用戶終端的MAC地址再通知給交換機(jī)，從而達(dá)到主動(dòng)防御的目的。本發(fā)明實(shí)施例可提醒用戶在不安全的公共網(wǎng)絡(luò)場(chǎng)景采用安全模式進(jìn)行網(wǎng)絡(luò)訪問(wèn)，避免用戶的隱私信息被盜取，提高了用戶隱私信息的安全性。實(shí)施例二參照?qǐng)D2，其示出了本發(fā)明的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)方法實(shí)施例二的流程示意圖，具體可以包括：步驟210，當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；比如獲取無(wú)線局域網(wǎng)的SSID、網(wǎng)卡的MAC等信息。步驟220，將所述設(shè)備標(biāo)識(shí)發(fā)送至云端服務(wù)器；所述云端服務(wù)器適于將所述設(shè)備標(biāo)識(shí)與設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行匹配，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；步驟230，接收所述云端服務(wù)器針對(duì)所述設(shè)備標(biāo)識(shí)的判斷結(jié)果；如果所述安全判斷結(jié)果為所述局域網(wǎng)是安全的網(wǎng)絡(luò)場(chǎng)景，則進(jìn)入步驟240；如果所述安全判斷結(jié)果為所述局域網(wǎng)為不安全的網(wǎng)絡(luò)場(chǎng)景，則進(jìn)入步驟250；步驟240，不對(duì)所述用戶終端的ARP包做處理；如果所述安全判斷結(jié)果為用戶終端當(dāng)前接入的局域網(wǎng)（比如wifi）為安全的，那么不對(duì)用戶終端的ARP包做處理。步驟250，提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境，并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)；步驟260判斷用戶終端當(dāng)前運(yùn)行的應(yīng)用的安全等級(jí)是否達(dá)到閾值，如果達(dá)到，則攔截訪問(wèn),并提示用戶終端是否進(jìn)入安全訪問(wèn)模式，即是否進(jìn)入步驟270；如果未達(dá)到，則可不提示用戶。步驟270，攔截用戶終端出棧的ARP包；如果所述安全判斷結(jié)果為用戶終端當(dāng)前接入的局域網(wǎng)（比如wifi）為安全的，那么攔截用戶終端出棧的ARP包。在本發(fā)明實(shí)施例中，還包括：步驟S31，在操作系統(tǒng)的Ring0層預(yù)置的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于攔截用戶終端出棧的ARP包。進(jìn)一步的，所述攔截用戶終端出棧的ARP包包括：步驟S32，通過(guò)操作系統(tǒng)的Ring0層的出棧ARP包處理驅(qū)動(dòng)，攔截用戶終端出棧的ARP包。在現(xiàn)在的操作系統(tǒng)中，而每種操作4個(gè)處理器特權(quán)級(jí)別（特權(quán)環(huán)：Ring0、Ring1、Ring2和Ring3）。：Ring0-運(yùn)行操作系統(tǒng)核心代碼；Ring1-運(yùn)行關(guān)鍵設(shè)備驅(qū)動(dòng)程序和I/O處理例程；Ring2-運(yùn)行其它受保護(hù)共享代碼，如語(yǔ)言系統(tǒng)運(yùn)行環(huán)境；Ring3-運(yùn)行各種用戶程序。多數(shù)UNIX、Linux以及Windows系列等大都只用了Ring0和Ring3兩個(gè)特權(quán)級(jí)別。那么為了實(shí)現(xiàn)本發(fā)明攔截出棧的ARP包，需要在ring0層設(shè)置驅(qū)動(dòng)進(jìn)行攔截。步驟280，判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；如果所述ARP包的目標(biāo)IP不是路由器IP，則進(jìn)入步驟281；如果所述ARP包的目標(biāo)IP是路由器IP，則進(jìn)入步驟282；攔截到所述ARP包后，則分析所述ARP包，判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP。在本發(fā)明實(shí)施例中，本步驟可由前述出棧ARP包處理驅(qū)動(dòng)判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP。步驟281，丟棄所述ARP包；如果所述ARP包的目標(biāo)IP不為所述局域網(wǎng)的路由器IP。那么本步驟則針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包。步驟282，判斷所述ARP包的目標(biāo)MAC是否為廣播地址；如果所述ARP包的目標(biāo)MAC地址不是廣播地址，則進(jìn)入步驟291；如果所述ARP包的目標(biāo)MAC地址是廣播地址，則進(jìn)入步驟292；步驟291，發(fā)送所述ARP包給所述路由器；所述ARP包的目標(biāo)MAC地址不為廣播地址，所述ARP包處理模塊調(diào)用所述出棧ARP包處理驅(qū)動(dòng)發(fā)送所述ARP包給所述路由器。步驟292，將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。如前所述，ring3層屬于應(yīng)用層，許多復(fù)雜的邏輯可很簡(jiǎn)易的在ring層實(shí)現(xiàn)。進(jìn)一步的，所述如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址，則進(jìn)一步包括：步驟S41，出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，并通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包；那么本發(fā)明實(shí)施例在Ring3層預(yù)置ARP包處理模塊后，ring0出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，然后通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包。其中信號(hào)量Event可以理解為一個(gè)回調(diào)函數(shù)，該回調(diào)函數(shù)的功能為當(dāng)攔截到的ARP包的目標(biāo)IP是路由器IP則發(fā)送信號(hào)給ring3的ARP包處理模塊，通知ARP包處理模塊來(lái)取所述ARP包。步驟S42，當(dāng)所述ARP包處理模塊接收到所述信號(hào)量Event后，讀取所述緩存的ARP包，并判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址?？蛇x的，所述判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址包括：步驟S51，解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr;步驟S52，判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址。參照?qǐng)D2a，其示出了ARP包的報(bào)文結(jié)構(gòu)示例，其中包括_ehhdr定義了以太網(wǎng)幀頭部結(jié)構(gòu)；結(jié)構(gòu)arphdr定義了ARP數(shù)據(jù)包頭結(jié)構(gòu)，其定義為，其信息適于在任何類型的介質(zhì)上傳送ARP請(qǐng)求和回答；_ehhdr結(jié)構(gòu)除了包含arphdr結(jié)構(gòu)外，還包含源主機(jī)和目的主機(jī)的地址。那么本發(fā)明實(shí)施例中，在獲取到ARP包后，解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr，然后判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址。即可判斷判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址。根據(jù)定義，頭6個(gè)字節(jié)也即eh_dst數(shù)據(jù)值是以太網(wǎng)目的地址ffffffffffff，這是一個(gè)廣播地址，全網(wǎng)下的所有終端都能接收到。那么說(shuō)明該ARP請(qǐng)求包需要被處理。其中arp_tha數(shù)據(jù)值為000000000000，而這數(shù)值表示目標(biāo)硬件地址為空，也需在網(wǎng)內(nèi)尋址，說(shuō)明該ARP請(qǐng)求包需要被處理。步驟291，發(fā)送所述ARP包給所述路由器；所述ARP包的目標(biāo)MAC地址不為廣播地址，所述ARP包處理模塊調(diào)用所述出棧ARP包處理驅(qū)動(dòng)發(fā)送所述ARP包給所述路由器。步驟292，將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。所述ARP包的目標(biāo)MAC地址為廣播地址，那么則需要將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，然后將所述定向ARP應(yīng)答包發(fā)送給所述路由器。如前所述ARP請(qǐng)求包的示例中，將在原有數(shù)據(jù)包基礎(chǔ)上修改eh_dst和arp_tha為路由器地址，修改arp_op=0x0002（表示該ARP包為應(yīng)答包）；然后重新封包。然后所述ARP包處理模塊調(diào)用所述出棧ARP包處理驅(qū)動(dòng)發(fā)送所述ARP包給所述路由器。如果所述安全判斷結(jié)果為所述局域網(wǎng)是安全的局域網(wǎng)，則ARP包進(jìn)行攔截，讓其按原始流程進(jìn)行處理。本發(fā)明實(shí)施例實(shí)現(xiàn)了不影響用戶上網(wǎng)的情況下,隱藏主機(jī)設(shè)備標(biāo)識(shí)等效果。實(shí)施例三參照?qǐng)D3，其示出了本發(fā)明的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)裝置的結(jié)構(gòu)示意圖，具體可以包括：設(shè)備標(biāo)識(shí)提取模塊310，適于當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；場(chǎng)景判斷模塊320，適于將所述設(shè)備標(biāo)識(shí)與預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較,判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景;第一提示模塊330，適于當(dāng)所述局域網(wǎng)所處的場(chǎng)景為不安全的網(wǎng)絡(luò)場(chǎng)景時(shí),則提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境,并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí);第二提示模塊340，適于當(dāng)所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)達(dá)到閾值,則攔截訪問(wèn),并提示用戶終端是否進(jìn)入安全訪問(wèn)模塊。可選的，所述設(shè)備標(biāo)識(shí)包括所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址和/或服務(wù)集標(biāo)識(shí)；進(jìn)一步的，所述場(chǎng)景判斷模塊包括：第一場(chǎng)景判斷模塊，適于獲取所述局域網(wǎng)對(duì)應(yīng)路由器的MAC地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括MAC地址及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景；和/或，第二場(chǎng)景判斷模塊，適于獲取所述局域網(wǎng)對(duì)應(yīng)路由器的服務(wù)集標(biāo)識(shí)地址，將其與云端服務(wù)器中的預(yù)置的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行比較，判斷當(dāng)前局域網(wǎng)所處的場(chǎng)景；所述設(shè)備標(biāo)識(shí)庫(kù)包括服務(wù)集標(biāo)識(shí)及對(duì)應(yīng)的場(chǎng)景，所述場(chǎng)景包括公共網(wǎng)絡(luò)場(chǎng)景?？蛇x的，所述安全訪問(wèn)模塊包括：將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信。可選的，欺詐判斷模塊，適于根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)；可選的，所述安全訪問(wèn)模式包括：第一安全訪問(wèn)模式，適于將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取?？蛇x的，所述第一安全訪問(wèn)模式包括：第一阻止模塊，適于針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；第二阻止模塊，適于阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；修改模塊，適于放過(guò)用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器?？蛇x的，所述第一安全訪問(wèn)模式包括：ARP攔截模塊，適于攔截用戶終端出棧的ARP包；第一判斷模塊，適于判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；丟棄模塊，適于如果判斷所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；第二判斷模塊，適于如果判斷所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；直接發(fā)送模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；第一修改模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器?？蛇x的，所述ARP攔截模塊為：在操作系統(tǒng)的Ring0層的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于，攔截用戶終端出棧的ARP包?？蛇x的，還包括：在操作系統(tǒng)的Ring3層預(yù)置ARP包處理模塊；所述ARP包處理模塊適于分析和修改所述ARP包；進(jìn)一步的，所述出棧ARP包處理驅(qū)動(dòng)包括：緩存通知模塊，適于出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，并通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包；所述第二判斷模塊屬于所述ARP包處理模塊，適于接收到所述信號(hào)量Event后，讀取所述緩存的ARP包，并判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址?？蛇x的，所述第二判斷模塊包括：解析模塊，適于解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr;第三判斷模塊，適于判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址?？蛇x的，所述直接發(fā)送模塊屬于所述ARP包處理模塊，適于調(diào)用所述出棧ARP包處理驅(qū)動(dòng)發(fā)送所述ARP包給所述路由器。可選的，所述第一修改模塊屬于所述ARP包處理模塊，適于將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，然后發(fā)送給所述出棧ARP包處理驅(qū)動(dòng)，通過(guò)所述出棧ARP包處理驅(qū)動(dòng)將所述定向ARP應(yīng)答包發(fā)送給路由器?？蛇x的，還包括：主動(dòng)防御包發(fā)送模塊，適于當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。實(shí)施例四參照?qǐng)D4，其示出了本發(fā)明的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)系統(tǒng)的結(jié)構(gòu)示意圖，具體可以包括：云端服務(wù)器410和局域網(wǎng)防護(hù)裝置420；所述云端服務(wù)器適于將用戶終端發(fā)送的設(shè)備標(biāo)識(shí)與其中的設(shè)備標(biāo)識(shí)庫(kù)進(jìn)行匹配，判斷對(duì)應(yīng)的局域網(wǎng)所處的場(chǎng)景；所述一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)裝置420包括：設(shè)備標(biāo)識(shí)獲取模塊421，適于當(dāng)用戶終端接入局域網(wǎng)后，提取所述局域網(wǎng)對(duì)應(yīng)的設(shè)備標(biāo)識(shí)；設(shè)備標(biāo)識(shí)發(fā)送模塊422，適于將所述設(shè)備標(biāo)識(shí)發(fā)送至云端服務(wù)器；安全信息接收模塊423，適于接收所述云端服務(wù)器針對(duì)所述設(shè)備標(biāo)識(shí)的判斷結(jié)果；如果所述安全判斷結(jié)果為所述局域網(wǎng)是安全的網(wǎng)絡(luò)場(chǎng)景，則轉(zhuǎn)入放行模塊424；如果所述安全判斷結(jié)果為所述局域網(wǎng)為不安全的網(wǎng)絡(luò)場(chǎng)景，則轉(zhuǎn)入ARP攔截模塊425；放行模塊424，適于不對(duì)所述用戶終端的ARP包做處理；提示模塊425，適于提示所述用戶終端所處網(wǎng)絡(luò)環(huán)境，并監(jiān)控所述用戶終端訪問(wèn)的網(wǎng)站的安全等級(jí)；切換模塊426，適于判斷用戶終端當(dāng)前運(yùn)行的應(yīng)用的安全等級(jí)是否達(dá)到閾值，如果達(dá)到，則攔截訪問(wèn),并提示用戶終端是否進(jìn)入ARP攔截模塊427；ARP攔截模塊427，適于攔截用戶終端出棧的ARP包；第一判斷模塊428，適于判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；丟棄模塊429，適于如果判斷所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；第二判斷模塊430，適于如果判斷所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；直接發(fā)送模塊4301，適于如果判斷所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；第一修改模塊4302，適于如果判斷所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器?？蛇x的，所述ARP攔截模塊為：在操作系統(tǒng)的Ring0層的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于，攔截用戶終端出棧的ARP包?？蛇x的，還包括：在操作系統(tǒng)的Ring3層預(yù)置ARP包處理模塊；所述ARP包處理模塊適于分析和修改所述ARP包；進(jìn)一步的，所述出棧ARP包處理驅(qū)動(dòng)包括：緩存通知模塊，適于出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，并通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包；所述第二判斷模塊屬于所述ARP包處理模塊，適于接收到所述信號(hào)量Event后，讀取所述緩存的ARP包，并判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址?？蛇x的，所述第二判斷模塊包括：解析模塊，適于解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr;第三判斷模塊，適于判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址。所述直接發(fā)送模塊屬于所述ARP包處理模塊，適于調(diào)用所述出棧ARP包處理驅(qū)動(dòng)發(fā)送所述ARP包給所述路由器。所述第一修改模塊屬于所述ARP包處理模塊，適于將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，然后發(fā)送給所述出棧ARP包處理驅(qū)動(dòng)，通過(guò)所述出棧ARP包處理驅(qū)動(dòng)將所述定向ARP應(yīng)答包發(fā)送給路由器?？蛇x的，還包括：主動(dòng)防御包發(fā)送模塊，適于當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。本發(fā)明實(shí)施例中，所述將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取包括：攔截用戶終端出棧的ARP包；判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；如果所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；如果所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；如果所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。本發(fā)明實(shí)施例中，還包括：在操作系統(tǒng)的Ring0層預(yù)置的出棧ARP包處理驅(qū)動(dòng)；所述出棧ARP包處理驅(qū)動(dòng)適于攔截用戶終端出棧的ARP包；進(jìn)一步的，所述攔截用戶終端出棧的ARP包包括：通過(guò)操作系統(tǒng)的Ring0層的出棧ARP包處理驅(qū)動(dòng)，攔截用戶終端出棧的ARP包。本發(fā)明實(shí)施例中，還包括：在操作系統(tǒng)的Ring3層預(yù)置ARP包處理模塊；所述ARP包處理模塊適于分析和修改所述ARP包；進(jìn)一步的，所述如果所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址，則進(jìn)一步包括：出棧ARP包處理驅(qū)動(dòng)將所述攔截的ARP包進(jìn)行緩存，并通過(guò)信號(hào)量Event通知在操作系統(tǒng)的Ring3層的ARP包處理模塊讀取所述緩存的ARP包；當(dāng)所述ARP包處理模塊接收到所述信號(hào)量Event后，讀取所述緩存的ARP包，并判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址。本發(fā)明實(shí)施例中，所述判斷所述ARP包的目標(biāo)MAC地址是否為廣播地址包括：解析所述ARP包，獲取以太網(wǎng)包頭結(jié)構(gòu)_ehhdr和/或ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr;判斷所述以太網(wǎng)包頭結(jié)構(gòu)_ehhdr中的eh_dst數(shù)據(jù)值是否為廣播地址，和/或，判斷所述ARP數(shù)據(jù)包頭結(jié)構(gòu)_arphdr中的arp_tha數(shù)據(jù)值是否為廣播地址。本發(fā)明實(shí)施例中，還包括：欺詐判斷模塊，適于根據(jù)所述設(shè)備標(biāo)識(shí)，判斷所在局域網(wǎng)是否為欺詐局域網(wǎng)；進(jìn)一步的所述安全訪問(wèn)模塊包括：阻斷接入所述局域網(wǎng)。本發(fā)明實(shí)施例中，所述安全訪問(wèn)模式包括：第一安全訪問(wèn)模式，適于將所述用戶終端的MAC地址隱藏為只允許所述局域網(wǎng)內(nèi)的路由器獲取。本發(fā)明實(shí)施例中，所述第一安全訪問(wèn)模式包括：第一阻止模塊，適于針對(duì)所述用戶終端接收到的非所述局域網(wǎng)的路由器的ARP請(qǐng)求包，阻止所述用戶終端針對(duì)所述ARP請(qǐng)求包回應(yīng)ARP應(yīng)答包；第二阻止模塊，適于阻止用戶終端在所述局域網(wǎng)中，以非所述局域網(wǎng)的路由器為目的地址而發(fā)送的ARP廣播包；修改模塊，適于放過(guò)用戶終端發(fā)送給路由器的ARP應(yīng)答包，并將用戶終端發(fā)送給所述局域網(wǎng)路由器的ARP請(qǐng)求包修改為ARP應(yīng)答包后發(fā)送給所述路由器。本發(fā)明實(shí)施例中，所述第一安全訪問(wèn)模式包括：ARP攔截模塊，適于攔截用戶終端出棧的ARP包；第一判斷模塊，適于判斷所述ARP包的目標(biāo)IP是否為所述局域網(wǎng)的路由器IP；丟棄模塊，適于如果判斷所述ARP包的目標(biāo)IP不是路由器IP，則丟棄所述ARP包；第二判斷模塊，適于如果判斷所述ARP包的目標(biāo)IP是路由器IP，則判斷所述ARP包的目標(biāo)MAC是否為廣播地址；直接發(fā)送模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址不是廣播地址，則發(fā)送所述ARP包給所述路由器；第一修改模塊，適于如果判斷所述ARP包的目標(biāo)MAC地址是廣播地址，則將所述ARP包修改為定向發(fā)送給路由器的定向ARP應(yīng)答包，并將所述定向ARP應(yīng)答包發(fā)送給所述路由器。本發(fā)明實(shí)施例中，還包括：主動(dòng)防御包發(fā)送模塊，適于當(dāng)將所述用戶終端在所述局域網(wǎng)內(nèi)與外界的通信修改為只與所述局域網(wǎng)內(nèi)的路由器進(jìn)行通信失敗，則所述用戶終端向交換機(jī)發(fā)送主動(dòng)防御包；所述主動(dòng)防御包包括通知所述交換機(jī)當(dāng)前用戶終端的真實(shí)MAC地址的信息。在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外，本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白，可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說(shuō)明書(shū)中，說(shuō)明了大量具體細(xì)節(jié)。然而，能夠理解，本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中，并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對(duì)本說(shuō)明書(shū)的理解。類似地，應(yīng)當(dāng)理解，為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)，在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中，本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而，并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖：即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō)，如下面的權(quán)利要求書(shū)所反映的那樣，發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此，遵循具體實(shí)施方式的權(quán)利要求書(shū)由此明確地并入該具體實(shí)施方式，其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。本領(lǐng)域那些技術(shù)人員可以理解，可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?？梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件，以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外，可以采用任何組合對(duì)本說(shuō)明書(shū)（包括伴隨的權(quán)利要求、摘要和附圖）中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述，本說(shuō)明書(shū)（包括伴隨的權(quán)利要求、摘要和附圖）中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征，但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如，在下面的權(quán)利要求書(shū)中，所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)，或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)，或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器（DSP）來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的一種基于用戶網(wǎng)絡(luò)訪問(wèn)場(chǎng)景的防護(hù)設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為適于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序（例如，計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品）。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上，或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號(hào)上提供，或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中，不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。