本發明提供了識別偽造MAC地址群體的方法及裝置，所述方法包括：1)、獲取待識別的MAC地址集，其中，所述地址集中包括至少兩個待識別MAC地址；2)、將所述地址集作為當前集，獲取所述當前集的子集，并根據所述子集中的待識別MAC地址間的字符的組合的信息熵獲取所述子集的特征值，并將最小特征值對應的MAC地址作為偽造MAC地址，其中，所述子集中所包含的待識別MAC地址的數量比所述當前集中所包含的待識別MAC地址的數量少一個，且所述子集中包括的待識別MAC地址的數量大于2。應用本發明實施例，可以解決現有技術無法識別偽造MAC地址的技術問題。

技術領域

本發明涉及網絡安全技術領域，具體涉及識別偽造MAC地址群體的方法及裝置。

背景技術

用戶使用各網絡平臺的客戶端時都需要通過手機、電腦、平板電腦等硬件，實現登錄。服務器會識別并記錄所登錄的客戶端的IP(Internet Protocol，網際互連協議)地址、MAC(Media Access Control Address，媒體存取控制位址)等信息，以確保數據能夠正確交換。

目前，現有的技術中主要是通過IP、登錄后的用戶行為來識別異常用戶，如果不法分子目標明確，已經有了詳細的賬號信息和操作目標，那么就可以繞過現有的安全配置。考慮到可能需要使用大量賬號來進行登錄操作，不法分子可能通過一定的規則來批量生成MAC地址，短時間內進行登錄。由于現有的異常登錄檢查多為基于IP是否合法、IP地理位置以及用戶的登錄行為的檢查，當不法分子通過不停的修改IP且登錄行為復雜的時候，現有方法就失去了應有的效果。

因此，現有技術存在無法檢測偽造MAC地址的技術問題。

發明內容

本發明所要解決的技術問題在于如何提供識別偽造MAC地址群體的方法及裝置以檢測出偽造MAC地址。

本發明通過以下技術手段實現解決上述技術問題的：

本發明實施例提供了識別偽造MAC地址群體的方法，所述方法包括：

1)、獲取待識別的MAC地址集，其中，所述地址集中包括至少兩個待識別MAC地址；

2)、將所述地址集作為當前集，獲取所述當前集的子集，并根據所述子集中的待識別MAC地址間的字符的組合的信息熵獲取所述子集的特征值，并將最小特征值對應的MAC地址作為偽造MAC地址，其中，所述子集中所包含的待識別MAC地址的數量比所述當前集中所包含的待識別MAC地址的數量少一個，且所述子集中包括的待識別MAC地址的數量大于2。

應用本發明實施例，通過正常途徑登錄的用戶記錄里IP、MAC地址必然有著較高的復雜度，即一段時間內登錄的用戶應當是通過各種不同的硬件登錄，MAC地址互相之間不會有太多相似的地方。當不法分子在通過批量腳本繞過安全配置時，短期內登錄記錄中就會有很多近似的MAC地址。這樣通過識別這些偽造的MAC地址群體，就可以識別出異常登錄的用戶，本發明提供批量偽造MAC地址識別方案，根據所述子集中的待識別MAC地址間的字符的組合的信息熵獲取所述子集的特征值進而識別出具有相似的MAC地址，因此，本發明實施例，可以解決現有技術無法識別偽造MAC地址的技術問題。

可選的，在獲取待識別的MAC地址的集合時，對所獲取的MAC地址進行規范化處理，其中，所述規范化處理包括：刪除所獲取的MAC地址中國的特殊字符，所述特殊字符包括除英文字母以及阿拉伯數字以外的：空格、橫線中的一種。

可選的，所述步驟2)，包括：

在所述當前集中的待識別MAC地址的數量小于2的情況下，將已經獲得的偽造MAC地址輸出；在所述當前集中的待識別MAC地址的數量大于或等于2的情況下，獲取所述當前集的所有子集，

針對每一個子集，根據所包含的待識別MAC地址的信息熵獲取所述子集的所有子集對應的特征值；獲取最小特征值對應當前子集中包含的待識別MAC地址的集合，并判斷所述集合的特征值是否大于或等于預設閾值；