CN110933079A - 识别伪造mac地址群体的方法及装置 - Google Patents

识别伪造mac地址群体的方法及装置 Download PDF

Info

Publication number
CN110933079A
CN110933079A CN201911200312.6A CN201911200312A CN110933079A CN 110933079 A CN110933079 A CN 110933079A CN 201911200312 A CN201911200312 A CN 201911200312A CN 110933079 A CN110933079 A CN 110933079A
Authority
CN
China
Prior art keywords
subset
identified
current
mac address
mac addresses
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911200312.6A
Other languages
English (en)
Other versions
CN110933079B (zh
Inventor
余贤喆
梁淑云
刘胜
马影
陶景龙
王启凡
魏国富
徐�明
殷钱安
周晓勇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information and Data Security Solutions Co Ltd
Original Assignee
Information and Data Security Solutions Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information and Data Security Solutions Co Ltd filed Critical Information and Data Security Solutions Co Ltd
Priority to CN201911200312.6A priority Critical patent/CN110933079B/zh
Publication of CN110933079A publication Critical patent/CN110933079A/zh
Application granted granted Critical
Publication of CN110933079B publication Critical patent/CN110933079B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Abstract

本发明提供了识别伪造MAC地址群体的方法及装置,所述方法包括:1)、获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;2)、将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。应用本发明实施例,可以解决现有技术无法识别伪造MAC地址的技术问题。

Description

识别伪造MAC地址群体的方法及装置
技术领域
本发明涉及网络安全技术领域,具体涉及识别伪造MAC地址群体的方法及装置。
背景技术
用户使用各网络平台的客户端时都需要通过手机、电脑、平板电脑等硬件,实现登录。服务器会识别并记录所登录的客户端的IP(Internet Protocol,网际互连协议)地址、MAC(Media Access Control Address,媒体存取控制位址)等信息,以确保数据能够正确交换。
目前,现有的技术中主要是通过IP、登录后的用户行为来识别异常用户,如果不法分子目标明确,已经有了详细的账号信息和操作目标,那么就可以绕过现有的安全配置。考虑到可能需要使用大量账号来进行登录操作,不法分子可能通过一定的规则来批量生成MAC地址,短时间内进行登录。由于现有的异常登录检查多为基于IP是否合法、IP地理位置以及用户的登录行为的检查,当不法分子通过不停的修改IP且登录行为复杂的时候,现有方法就失去了应有的效果。
因此,现有技术存在无法检测伪造MAC地址的技术问题。
发明内容
本发明所要解决的技术问题在于如何提供识别伪造MAC地址群体的方法及装置以检测出伪造MAC地址。
本发明通过以下技术手段实现解决上述技术问题的:
本发明实施例提供了识别伪造MAC地址群体的方法,所述方法包括:
1)、获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;
2)、将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
应用本发明实施例,通过正常途径登录的用户记录里IP、MAC地址必然有着较高的复杂度,即一段时间内登录的用户应当是通过各种不同的硬件登录,MAC地址互相之间不会有太多相似的地方。当不法分子在通过批量脚本绕过安全配置时,短期内登录记录中就会有很多近似的MAC地址。这样通过识别这些伪造的MAC地址群体,就可以识别出异常登录的用户,本发明提供批量伪造MAC地址识别方案,根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值进而识别出具有相似的MAC地址,因此,本发明实施例,可以解决现有技术无法识别伪造MAC地址的技术问题。
可选的,在获取待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种。
可选的,所述步骤2),包括:
在所述当前集中的待识别MAC地址的数量小于2的情况下,将已经获得的伪造MAC地址输出;在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,获取所述当前集的所有子集,
针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值;获取最小特征值对应当前子集中包含的待识别MAC地址的集合,并判断所述集合的特征值是否大于或等于预设阈值;
若否,将所述集合加入到伪造MAC地址列表中,并从所述当前集中删除所述集合得到新的当前集,并将所述新的当前集作为当前集,返回执行所述获获取所述当前集的所有子集的步骤,直至所述当前集中的待识别MAC地址的数量小于2;
若是,将已经获得的伪造MAC地址输出。
可选的,所述针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值,包括:
针对每一个所述子集,将所述子集作为当前子集,根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值;
将最小特征值对应的当前子集作为目标子集,获取所述目标子集的所有目标子集,将所述目标子集作为当前子集,并返回执行所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值的步骤,直至所述当前子集中的待识别MAC地址的数量小于2。
可选的,所述将最小特征值对应的当前子集作为目标子集,包括:
若所述子集的特征值存在至少两个最小值时,将第一次达到最小值时的特征值作为最小特征值,将最小特征值对应的当前子集作为目标子集。
可选的,所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值,包括:
将所述当前子集中包含的待识别MAC地址中位于相同位置的字符加入到同一个字符集中,进而获取若干个字符集;
计算所述字符集的实际信息熵之和;
根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure BDA0002295717080000041
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
可选的,所述字符集的数量与所述待识别MAC地址中包含的字节数相同。
本发明实施例提供了识别伪造MAC地址群体装置,所述装置包括:
获取模块,用于获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;
输出模块,用于将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
可选的,获取模块,用于:在获取待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种。
可选的,所述输出模块,用于:
在所述当前集中的待识别MAC地址的数量小于2的情况下,将已经获得的伪造MAC地址输出;在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,获取所述当前集的所有子集,
针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值;获取最小特征值对应当前子集中包含的待识别MAC地址的集合,并判断所述集合的特征值是否大于或等于预设阈值;
若否,将所述集合加入到伪造MAC地址列表中,并从所述当前集中删除所述集合得到新的当前集,并将所述新的当前集作为当前集,返回执行所述获获取所述当前集的所有子集的步骤,直至所述当前集中的待识别MAC地址的数量小于2;
若是,将已经获得的伪造MAC地址输出。
可选的,所述输出模块,用于:
针对每一个所述子集,将所述子集作为当前子集,根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值;
将最小特征值对应的当前子集作为目标子集,获取所述目标子集的所有目标子集,将所述目标子集作为当前子集,并返回执行所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值的步骤,直至所述当前子集中的待识别MAC地址的数量小于2。
可选的,所述输出模块,用于:
若所述子集的特征值存在至少两个最小值时,将第一次达到最小值时的特征值作为最小特征值,将最小特征值对应的当前子集作为目标子集。
可选的,所述输出模块,用于:
将所述当前子集中包含的待识别MAC地址中位于相同位置的字符加入到同一个字符集中,进而获取若干个字符集;
计算所述字符集的实际信息熵之和;
根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure BDA0002295717080000061
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
可选的,所述字符集的数量与所述待识别MAC地址中包含的字节数相同。
本发明的优点在于:
应用本发明实施例,通过正常途径登录的用户记录里IP、MAC地址必然有着较高的复杂度,即一段时间内登录的用户应当是通过各种不同的硬件登录,MAC地址互相之间不会有太多相似的地方。当不法分子在通过批量脚本绕过安全配置时,短期内登录记录中就会有很多近似的MAC地址。这样通过识别这些伪造的MAC地址群体,就可以识别出异常登录的用户,本发明提供批量伪造MAC地址识别方案,根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值进而识别出具有相似的MAC地址,因此,本发明实施例,可以解决现有技术无法识别伪造MAC地址的技术问题。
附图说明
图1为本发明实施例提供的识别伪造MAC地址群体的方法的流程示意图;
图2为本发明实施例提供的识别伪造MAC地址群体的方法的原理示意图;
图3为本发明实施例提供的识别伪造MAC地址群体装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
首先需要说明的是,MAC地址是网络设备制造商生产时烧录在网卡上的,其前6位代表制造商编号,然而即使是同一制造商,也是有很多不同的MAC地址前6位数据的。发明人研究了大量的伪造MAC地址发现,在通常的伪造MAC地址登录行为中,这些伪造MAC地址都是由程序生成的,而程序生成这些伪造MAC地址时,通常会在规则范围内生成所有的MAC地址组合,因此,符合同一规则的伪造的MAC地址之间具有一定的相似性。另外,伪造MAC地址的登录行为通常集中发生,也就是说,对于正常的MAC地址来说,短时间内不可能有很多拥有相似的MAC地址的终端进行登录。而不法分子在利用伪造MAC地址登录的时候就可能出现大量相似MAC地址短时间内登录的记录,而一定时间内相似的MAC地址越多,其信息量就越低,信息熵就越低。本发明就是基于这一点,利用信息熵去发现伪造的MAC地址群体。
图1为本发明实施例提供的识别伪造MAC地址群体的方法的流程示意图,图2为本发明实施例提供的识别伪造MAC地址群体的方法的原理示意图,如图1和图2所示,所述方法包括:
S1:获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址。
具体的,可以在获取设定时间范围内的待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种,如“”、“-”“@”、“#”、“¥”、“%”。
S1步骤中得到了包括了12个待识别MAC地址。
S2:将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址子集作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
S201:将S1步骤中得到的12个MAC地址的集合作为当前集。首先判断S1步骤中获取的当前集中包含的待识别MAC地址的数量是否大于2,在所述当前集中的待识别MAC地址的数量小于2的情况下,结束循环。如果在已经执行若干次循环之后,当前集中的待识别MAC地址的数量小于2时,将在若干次循环中已经获得的伪造MAC地址输出。
S202:在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,执行以下步骤:
选取当前集中的12-1=11个MAC地址作为当前集的子集,得到12个当前子集,也就是说对于任何一个集合而言,其子集均比其自身中的MAC地址少一个。
S203:对12个当前子集都按照以下方式进行处理,下面以12个子集中的其中一个当前子集A为例进行说明。
获取从当前子集A中的11个MAC地址中选择11-1=10个待识别MAC地址组成该子集的子集,以其中一个子集为例:获取的由10个待识别MAC地址组成的子集为:
7c:e4:aa:9b:a5:8c
00:00:00:00:00:00
7b:4c:75:d1:d0:d3
b2:df:5e:e7:36:de
7c:e4:aa:03:01:02
00:00:00:00:00:00
00:00:00:00:00:00
54:f1:cb:f4:39:b8
7c:e4:aa:a4:96:9f
e8:f3:ca:68:32:1e。
S204:针对该子集,将10个MAC地址的第一字节拼接成一个字符集,将第二个字节拼接成一个字符集,将第三个字节拼接成一个字符集,将第四个字节拼接成一个字符集,以此类推,得到6个字符集:
7c,00,7b,b2,7c,00,00,54,7c,e8
e4,00,4c,df,e4,00,00,f1,e4,f3
aa,00,75,5e,aa,00,00,cb,aa,ca
9b,00,d1,e7,03,00,00,f4,a4,68
a5,00,d0,36,01,00,00,39,96,32
8c,00,d3,de,02,00,00,b8,9f,1e
S205:利用信息熵公式计算各个字符集的信息熵:
信息熵是用来描述信息中排除了冗余后的平均信息量,在本发明中则用来描述y一批MAC地址的复杂度。计算公式为
Figure BDA0002295717080000101
其中,
E为信息熵;∑为求和函数;n为信息源的符号数量,本发明中即为各批次MAC地址的数量;pi为第i个符号出现的概率,本发明中符号即为各批次MAC地址分割后各组内的符号
对于以上6组编码来说
7c,00,7b,b2,7c,00,00,54,7c,e8的熵值为
Figure BDA0002295717080000111
e4,00,4c,df,e4,00,00,f1,e4,f3的熵值为
Figure BDA0002295717080000112
aa,00,75,5e,aa,00,00,cb,aa,ca的熵值为
Figure BDA0002295717080000113
9b,00,d1,e7,03,00,00,f4,a4,68的熵值为
Figure BDA0002295717080000114
a5,00,d0,36,01,00,00,39,96,32的熵值为
Figure BDA0002295717080000115
8c,00,d3,de,02,00,00,b8,9f,1e的熵值为
Figure BDA0002295717080000116
所以这10个MAC地址的实际熵值X为:
E1+E2+E3+E4+E5+E6=2.371*3+2.846*3=15.651
而字符集最大理论熵值为:
Figure BDA0002295717080000117
那么这10个MAC地址的最大理论信息熵为3.322*6=19.932
S206:根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure BDA0002295717080000118
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
基于信息熵的公式,完全重复的MAC地址的信息熵值为0,即最小熵值为0,最终可以计算出,本次MAC地址列表的特征值为:
(15.651-0)/(19.932-0)=0.785
通过该计算方式,可以得到10个待识别MAC地址组成该子集的子集。
S207:筛选出特征值最小的子集,获取特征值最小的子集作为目标子集,然后将目标子集作为新的当前子集,然后,执行S203步骤。直至当前子集中的待识别MAC地址少于两个。
在针对当前子集A进行S203-S207步骤时,获取迭代过程中的最小特征值,如果最小特征值仅有一个,将该最小特征值与预设阈值进行比较,如果最小特征值小于预设阈值,将最小特征值对应的MAC地址的集合,即当前子集从S1步骤中的MAC地址集合中剔除,剔除后将当前子集中的一个MAC放回到S1,以防止漏判,并将该最小特征值对应的MAC地址的集合加入到所识别的伪造MAC地址集合中,然后从S1步骤开始重新执行前述步骤。如果该最小特征值大于或者等于预设阈值,结束整个循环,并将针对当前子集的循环过程中得到的伪造MAC地址加入到所识别出的伪造MAC地址集合中,并输出伪造MAC地址集合。
若最小特征值存在至少两个,将该最小特征值与预设阈值进行比较,如果最小特征值小于预设阈值,则将迭代次序中最先出现的最小特征值对应的MAC地址的集合从S1步骤中的MAC地址集合中剔除,剔除后将当前子集中的一个MAC放回到S1,以防止漏判,并将该最小特征值对应的MAC地址的集合加入到所识别的伪造MAC地址集合中,然后从S1步骤开始重新执行前述步骤。如果该最小特征值大于或者等于预设阈值,结束整个循环,并将当前子集循环过程中得到的伪造MAC地址加入到所识别出的伪造MAC地址集合中,并输出伪造MAC地址集合。
需要强调的是,针对每一个当前子集均执行了S203-S207步骤的操作,在当前子集执行完成后,对各个当前子集循环过程中得到的、剔除伪造MAC地址以后的新的MAC地址集合执行S1-S2步骤,然后循环执行上述步骤,直至剔除伪造MAC地址以后的新的MAC地址集合中的MAC地址数量少于2个或S2中获得的最小特征值大于或等于预设值;将各次循环过程中得到的MAC地址进行汇总进而可以得到汇总的伪造MAC地址集合。
然后可以根据汇总的伪造MAC地址集合进行告警提醒,即可以将伪造MAC地址对应的登录行为作为异常登录行为。
应用本发明实施例,通过正常途径登录的用户记录里IP、MAC地址必然有着较高的复杂度,即一段时间内登录的用户应当是通过各种不同的硬件登录,MAC地址互相之间不会有太多相似的地方。当不法分子在通过批量脚本绕过安全配置时,短期内登录记录中就会有很多近似的MAC地址。这样通过识别这些伪造的MAC地址群体,就可以识别出异常登录的用户,本发明提供批量伪造MAC地址识别方案,根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值进而识别出具有相似的MAC地址,因此,本发明实施例,可以解决现有技术无法识别伪造MAC地址的技术问题。
而且,本发明实施例通过识别伪造MAC群体,发现异常登录用户,发现登录异常的账号,减少漏报,进而降低信息泄露的风险
实施例2
与本发明实施例1相对应,本发明实施例还提供了一种识别伪造MAC地址群体装置。
图3为本发明实施例提供的识别伪造MAC地址群体装置的结构示意图,如图3所示,所述装置包括:
获取模块301,用于获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;
输出模块302,用于将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
应用本发明实施例,通过正常途径登录的用户记录里IP、MAC地址必然有着较高的复杂度,即一段时间内登录的用户应当是通过各种不同的硬件登录,MAC地址互相之间不会有太多相似的地方。当不法分子在通过批量脚本绕过安全配置时,短期内登录记录中就会有很多近似的MAC地址。这样通过识别这些伪造的MAC地址群体,就可以识别出异常登录的用户,本发明提供批量伪造MAC地址识别方案,根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值进而识别出具有相似的MAC地址,因此,本发明实施例,可以解决现有技术无法识别伪造MAC地址的技术问题。
在本发明实施例的一种具体实施方式中,获取模块301,用于:在获取待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种。
在本发明实施例的一种具体实施方式中,所述输出模块302,用于:
在所述当前集中的待识别MAC地址的数量小于2的情况下,将已经获得的伪造MAC地址输出;在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,获取所述当前集的所有子集,
针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值;获取最小特征值对应当前子集中包含的待识别MAC地址的集合,并判断所述集合的特征值是否大于或等于预设阈值;
若否,将所述集合加入到伪造MAC地址列表中,并从所述当前集中删除所述集合得到新的当前集,并将所述新的当前集作为当前集,返回执行所述获获取所述当前集的所有子集的步骤,直至所述当前集中的待识别MAC地址的数量小于2;
若是,将已经获得的伪造MAC地址输出。
在本发明实施例的一种具体实施方式中,所述输出模块302,用于:
针对每一个所述子集,将所述子集作为当前子集,根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值;
将最小特征值对应的当前子集作为目标子集,获取所述目标子集的所有目标子集,将所述目标子集作为当前子集,并返回执行所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值的步骤,直至所述当前子集中的待识别MAC地址的数量小于2。
在本发明实施例的一种具体实施方式中,所述输出模块302,用于:
若所述子集的特征值存在至少两个最小值时,将第一次达到最小值时的特征值作为最小特征值,将最小特征值对应的当前子集作为目标子集。
在本发明实施例的一种具体实施方式中,所述输出模块,用于:
将所述当前子集中包含的待识别MAC地址中位于相同位置的字符加入到同一个字符集中,进而获取若干个字符集;
计算所述字符集的实际信息熵之和;
根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure BDA0002295717080000161
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
在本发明实施例的一种具体实施方式中,所述字符集的数量与所述待识别MAC地址中包含的字节数相同。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (14)

1.识别伪造MAC地址群体的方法,其特征在于,所述方法包括:
1)、获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;
2)、将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
2.根据权利要求1所述的识别伪造MAC地址群体的方法,其特征在于,在获取待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种。
3.根据权利要求1所述的识别伪造MAC地址群体的方法,其特征在于,所述步骤2),包括:
在所述当前集中的待识别MAC地址的数量小于2的情况下,将已经获得的伪造MAC地址输出;在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,获取所述当前集的所有子集,
针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值;获取最小特征值对应当前子集中包含的待识别MAC地址的集合,并判断所述集合的特征值是否大于或等于预设阈值;
若否,将所述集合加入到伪造MAC地址列表中,并从所述当前集中删除所述集合得到新的当前集,并将所述新的当前集作为当前集,返回执行所述获获取所述当前集的所有子集的步骤,直至所述当前集中的待识别MAC地址的数量小于2;
若是,将已经获得的伪造MAC地址输出。
4.根据权利要求3所述的识别伪造MAC地址群体的方法,其特征在于,所述针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值,包括:
针对每一个所述子集,将所述子集作为当前子集,根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值;
将最小特征值对应的当前子集作为目标子集,获取所述目标子集的所有目标子集,将所述目标子集作为当前子集,并返回执行所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值的步骤,直至所述当前子集中的待识别MAC地址的数量小于2。
5.根据权利要求4所述的识别伪造MAC地址群体的方法,其特征在于,所述将最小特征值对应的当前子集作为目标子集,包括:
若所述子集的特征值存在至少两个最小值时,将第一次达到最小值时的特征值作为最小特征值,将最小特征值对应的当前子集作为目标子集。
6.根据权利要求4所述的识别伪造MAC地址群体的方法,其特征在于,所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值,包括:
将所述当前子集中包含的待识别MAC地址中位于相同位置的字符加入到同一个字符集中,进而获取若干个字符集;
计算所述字符集的实际信息熵之和;
根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure FDA0002295717070000031
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
7.根据权利要求6所述的识别伪造MAC地址群体的方法,其特征在于,所述字符集的数量与所述待识别MAC地址中包含的字节数相同。
8.识别伪造MAC地址群体装置,其特征在于,所述装置包括:
获取模块,用于获取待识别的MAC地址集,其中,所述地址集中包括至少两个待识别MAC地址;
输出模块,用于将所述地址集作为当前集,获取所述当前集的子集,并根据所述子集中的待识别MAC地址间的字符的组合的信息熵获取所述子集的特征值,并将最小特征值对应的MAC地址作为伪造MAC地址,其中,所述子集中所包含的待识别MAC地址的数量比所述当前集中所包含的待识别MAC地址的数量少一个,且所述子集中包括的待识别MAC地址的数量大于2。
9.根据权利要求8所述的识别伪造MAC地址群体装置,其特征在于,获取模块,用于:在获取待识别的MAC地址的集合时,对所获取的MAC地址进行规范化处理,其中,所述规范化处理包括:删除所获取的MAC地址中国的特殊字符,所述特殊字符包括除英文字母以及阿拉伯数字以外的:空格、横线中的一种。
10.根据权利要求8所述的识别伪造MAC地址群体装置,其特征在于,所述输出模块,用于:
在所述当前集中的待识别MAC地址的数量小于2的情况下,将已经获得的伪造MAC地址输出;在所述当前集中的待识别MAC地址的数量大于或等于2的情况下,获取所述当前集的所有子集,
针对每一个子集,根据所包含的待识别MAC地址的信息熵获取所述子集的所有子集对应的特征值;获取最小特征值对应当前子集中包含的待识别MAC地址的集合,并判断所述集合的特征值是否大于或等于预设阈值;
若否,将所述集合加入到伪造MAC地址列表中,并从所述当前集中删除所述集合得到新的当前集,并将所述新的当前集作为当前集,返回执行所述获获取所述当前集的所有子集的步骤,直至所述当前集中的待识别MAC地址的数量小于2;
若是,将已经获得的伪造MAC地址输出。
11.根据权利要求10所述的识别伪造MAC地址群体装置,其特征在于,所述输出模块,用于:
针对每一个所述子集,将所述子集作为当前子集,根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值;
将最小特征值对应的当前子集作为目标子集,获取所述目标子集的所有目标子集,将所述目标子集作为当前子集,并返回执行所述根据所述当前子集中的待识别MAC地址的信息熵获取所述当前子集对应的特征值的步骤,直至所述当前子集中的待识别MAC地址的数量小于2。
12.根据权利要求11所述的识别伪造MAC地址群体装置,其特征在于,所述输出模块,用于:
若所述子集的特征值存在至少两个最小值时,将第一次达到最小值时的特征值作为最小特征值,将最小特征值对应的当前子集作为目标子集。
13.根据权利要求11所述的识别伪造MAC地址群体装置,其特征在于,所述输出模块,用于:
将所述当前子集中包含的待识别MAC地址中位于相同位置的字符加入到同一个字符集中,进而获取若干个字符集;
计算所述字符集的实际信息熵之和;
根据所述实际信息熵的最大值对所述实际信息熵之和,利用公式,
Figure FDA0002295717070000051
进行归一化处理,得到所述当前子集对应的特征值,其中,
Xs为归一化后的所述当前子集对应的特征值;X为所述子集对应的实际信息熵之和;Xmin为0;Xmax为各个字符集的理论最大信息熵与字符集数量的积。
14.根据权利要求13所述的识别伪造MAC地址群体装置,其特征在于,所述字符集的数量与所述待识别MAC地址中包含的字节数相同。
CN201911200312.6A 2019-11-29 2019-11-29 识别伪造mac地址群体的方法及装置 Active CN110933079B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911200312.6A CN110933079B (zh) 2019-11-29 2019-11-29 识别伪造mac地址群体的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911200312.6A CN110933079B (zh) 2019-11-29 2019-11-29 识别伪造mac地址群体的方法及装置

Publications (2)

Publication Number Publication Date
CN110933079A true CN110933079A (zh) 2020-03-27
CN110933079B CN110933079B (zh) 2021-10-19

Family

ID=69847921

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911200312.6A Active CN110933079B (zh) 2019-11-29 2019-11-29 识别伪造mac地址群体的方法及装置

Country Status (1)

Country Link
CN (1) CN110933079B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468608A (zh) * 2020-11-16 2021-03-09 成都渊数科技有限责任公司 一种基于mac地址识别设备型号的方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080092228A1 (en) * 2002-01-08 2008-04-17 Verizon Services Corporation Methods and apparatus for protecting against IP address assignments based on a false MAC address
WO2015195392A2 (en) * 2014-06-19 2015-12-23 Google Inc. System and method for providing congestion notification in layer 3 networks
CN106960143A (zh) * 2017-03-23 2017-07-18 网易(杭州)网络有限公司 用户账号的识别方法及装置、存储介质、电子设备
CN107743108A (zh) * 2016-09-21 2018-02-27 腾讯科技(深圳)有限公司 一种介质访问控制地址识别方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080092228A1 (en) * 2002-01-08 2008-04-17 Verizon Services Corporation Methods and apparatus for protecting against IP address assignments based on a false MAC address
WO2015195392A2 (en) * 2014-06-19 2015-12-23 Google Inc. System and method for providing congestion notification in layer 3 networks
CN107743108A (zh) * 2016-09-21 2018-02-27 腾讯科技(深圳)有限公司 一种介质访问控制地址识别方法及装置
CN106960143A (zh) * 2017-03-23 2017-07-18 网易(杭州)网络有限公司 用户账号的识别方法及装置、存储介质、电子设备

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
徐玉华等: "软件定义网络中的异常流量检测研究进展", 《软件学报》 *
蒋亚杰: "基于SDN的网络安全技术研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 *
赵燕伟: "基于网络行为特征的网络安全态势研究", 《中国优秀硕士学位论文全文数据库(电子期刊)》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468608A (zh) * 2020-11-16 2021-03-09 成都渊数科技有限责任公司 一种基于mac地址识别设备型号的方法及系统

Also Published As

Publication number Publication date
CN110933079B (zh) 2021-10-19

Similar Documents

Publication Publication Date Title
CN105791255B (zh) 基于账户聚类的计算机风险识别方法及其系统
CN110166438B (zh) 账户信息的登录方法、装置、计算机设备及计算机存储介质
CN108924118B (zh) 一种撞库行为检测方法及系统
US9118704B2 (en) Homoglyph monitoring
CN104980402B (zh) 一种识别恶意操作的方法及装置
CN109600362B (zh) 基于识别模型的僵尸主机识别方法、识别设备及介质
CN111818066B (zh) 一种风险检测方法及装置
CN106470204A (zh) 基于请求行为特征的用户识别方法、装置、设备及系统
CN111260220B (zh) 群控设备识别方法、装置、电子设备和存储介质
CN110365636B (zh) 工控蜜罐攻击数据来源的判别方法及装置
CN109947814B (zh) 用于检测数据集合中的异常数据组的方法和设备
CN110647896A (zh) 一种基于logo图像的钓鱼页面识别方法及相关设备
CN108234454B (zh) 一种身份认证方法、服务器及客户端设备
CN110929244A (zh) 数字化身份识别方法、装置、设备及存储介质
CN115840964A (zh) 数据处理方法、装置、电子设备及计算机存储介质
CN110933079B (zh) 识别伪造mac地址群体的方法及装置
CN110650108A (zh) 一种基于icon图标的钓鱼页面识别方法及相关设备
CN111553241A (zh) 掌纹的误匹配点剔除方法、装置、设备及存储介质
CN108777749B (zh) 一种诈骗电话识别方法及装置
CN111353140A (zh) 验证码的生成、显示方法、装置和系统
CN113065748A (zh) 业务风险评估方法、装置、设备及存储介质
CN109600361B (zh) 基于哈希算法的验证码防攻击方法、装置、电子设备及非暂态计算机可读存储介质
CN109951609B (zh) 一种恶意电话号码处理方法和装置
CN110704855A (zh) 请求标识生成方法、请求标识验证方法和计算机设备
CN112468444B (zh) 互联网域名滥用识别方法和装置,电子设备,存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant