本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域，尤其是一種確定地址仿冒用戶的方法和裝置。

背景技術(shù)：

DHCP(Dynamic Host Configuration Protocol)：動態(tài)主機(jī)配置協(xié)議，主要作用是集中的管理、分配IP地址，使網(wǎng)絡(luò)環(huán)境中的主機(jī)可以自動的獲得IP地址、網(wǎng)關(guān)(Gateway)地址、域名解析(DNS)服務(wù)器地址等信息，提升網(wǎng)絡(luò)地址的使用效率。DHCP協(xié)議中包括服務(wù)器和客戶端兩種設(shè)備模型，幾乎所有的網(wǎng)絡(luò)終端，如PC、手機(jī)、平板電腦等都支持DHCP客戶端功能；許多的網(wǎng)絡(luò)設(shè)備，如路由器、交換機(jī)等支持DHCP服務(wù)器功能。當(dāng)電腦等網(wǎng)絡(luò)終端接入網(wǎng)絡(luò)時，通過DHCP協(xié)議，就可以從路由器等DHCP服務(wù)器那里獲取到自己的IP地址、網(wǎng)關(guān)、DNS服務(wù)器等網(wǎng)絡(luò)配置，然后上網(wǎng)。

在DHCP客戶端和服務(wù)器協(xié)商IP地址的報文中，會攜帶一些客戶端的主機(jī)名、生產(chǎn)商等信息，稱為DHCP協(xié)議的option字段。DHCP+OPTION擴(kuò)展字段進(jìn)行認(rèn)證，就稱為IPoE認(rèn)證方式。IPoE認(rèn)證基于上網(wǎng)用戶的物理位置(通過唯一的VLAN(Virtual Local Area Network虛擬局域網(wǎng))ID/PVC(Permanent Virtual Circuit永久虛擬鏈路)ID標(biāo)示)對用戶進(jìn)行認(rèn)證和計費(fèi)，用戶上網(wǎng)時無需輸入用戶名和密碼，IPoE是在DHCP協(xié)議基礎(chǔ)上，對網(wǎng)絡(luò)終端、網(wǎng)絡(luò)控制設(shè)備，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)的擴(kuò)充。

例如，在校園網(wǎng)出口場景中部署的IPoE認(rèn)證典型組網(wǎng)模型，如圖1所示，正常用戶的PC和路由器進(jìn)行DHCP協(xié)商，分配好IP地址，再通過認(rèn)證之后就可以上網(wǎng)。如果用戶下線之后，另外一個仿冒者配置相同的MAC地址接入，也可以上網(wǎng)。這就使得防MAC地址仿冒具有重要的意義。而防MAC地址仿冒的關(guān)鍵就是要在兩個終端具有相同的MAC地址的情況下能將它們區(qū)分出來。

現(xiàn)有技術(shù)中，如中國專利公開號為：CN101043330，公開了一種防MAC地址仿冒處理方法及裝置,包括MAC地址管理模塊,內(nèi)置MAC地址表用于存儲用戶側(cè)及網(wǎng)絡(luò)側(cè)報文的SMAC,以及MAC+VLAN表。所述用戶側(cè)報文的SMAC與MAC地址表進(jìn)行匹配比較,若沒有重復(fù)的MAC則轉(zhuǎn)發(fā)該報文,并將SMAC+VLAN配置到MAC+VLAN表中,若有重復(fù)則丟棄該報文。所述網(wǎng)絡(luò)側(cè)報文的SMAC與MAC地址表進(jìn)行匹配比較,若沒有重復(fù)MAC則將該SMAC配置到所述MAC地址表,若有重復(fù)MAC,則將網(wǎng)絡(luò)側(cè)報文的DMAC+VLAN與MAC+VLAN表中已有的用戶側(cè)報文的SMAC+VLAN進(jìn)行匹配比較,若有匹配表現(xiàn)則轉(zhuǎn)發(fā)該報文,若沒有則丟棄該報文或VLAN內(nèi)廣播。該公開發(fā)明專利采用的原理是記錄用戶的MAC地址和其所屬的VLAN信息，通過比較MAC地址是否有沖突以及與VLAN信息是否匹配來確定是否有MAC仿冒。該方案的不足之處是將用戶的MAC信息與VLAN信息綁定，當(dāng)用戶發(fā)生VLAN遷移時容易產(chǎn)生誤報；同時，該方案要求設(shè)備要能獲取到報文的VLAN信息，如果報文VLAN信息在網(wǎng)絡(luò)中間節(jié)點(diǎn)被終結(jié)的話，該方案就失去了作用。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問題，本發(fā)明實(shí)施例提供一種確定地址仿冒用戶的方法，包括：

獲取第一用戶接入網(wǎng)絡(luò)后發(fā)送的第一報文，根據(jù)所述第一報文計算第一特征值，并建立所述第一用戶MAC地址與所述第一特征值的對應(yīng)關(guān)系；

當(dāng)所述第一用戶退出網(wǎng)絡(luò)后，獲取第二用戶根據(jù)所述MAC地址發(fā)送的第二報文，根據(jù)所述第二報文計算第二特征值，根據(jù)所述對應(yīng)關(guān)系比較所述第二特征值與所述第一特征值；當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一DHCP請求報文，所述根據(jù)所述第一報文計算第一特征值的步驟具體包括：

獲取所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第一特征值。

所述第二報文為第二DHCP請求報文，

所述根據(jù)所述第二報文計算第二特征值的步驟具體包括：

獲取所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第二特征值。

可選的，所述第一報文為第一IP報文，

所述根據(jù)所述第一報文計算第一特征值的步驟具體包括：

獲取所述第一IP報文中的TTL字段的值，當(dāng)所述第一IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第一IP報文中的TTL字段的值作為第一特征值；

所述第二報文為第二IP報文，

所述根據(jù)所述第二報文計算第二特征值的步驟具體包括：

獲取所述第二IP報文中的TTL字段的值，當(dāng)所述第二IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第二IP報文中的TTL字段的值作為第二特征值；

所述比較所述第二特征值與所述第一特征值；當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶的步驟具體包括：

比較所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值；當(dāng)所述第一IP報文中的TTL字段的值不等于所述第二IP報文中的TTL字段的值，且所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值的差的絕對值大于設(shè)定閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一HTTP報文，

所述根據(jù)所述第一報文計算第一特征值的步驟具體包括：

獲取所述第一HTTP報文中的用戶屬性信息，將所述第一HTTP報文中的用戶屬性信息作為第一特征值；

所述第二報文為第二HTTP報文，

所述根據(jù)所述第二報文計算第二特征值的步驟具體包括：

獲取所述第二HTTP報文中的用戶屬性信息，將所述第二HTTP報文中的用戶屬性信息作為第二特征值。

可選的，所述第一報文包含第一應(yīng)用的賬號信息；

所述根據(jù)所述第一報文計算第一特征值的步驟具體包括：

將所述第一報文的第一應(yīng)用的賬號信息作為第一特征值；

所述第二報文包含第一應(yīng)用的賬號信息；

所述根據(jù)所述第二報文計算第二特征值的步驟具體包括：

將所述第二報文的第一應(yīng)用的賬號信息作為第二特征值；

所述比較所述第二特征值與所述第一特征值；當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶的步驟具體包括：

比較所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息，當(dāng)所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息不同，且所述第二報文的第一應(yīng)用的不同賬號信息的數(shù)量大于預(yù)設(shè)閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

本發(fā)明實(shí)施例的另一方面在于提供一種確定地址仿冒用戶的裝置，包括：

獲取模塊，用于獲取第一用戶接入網(wǎng)絡(luò)后發(fā)送的第一報文，

計算模塊，用于根據(jù)所述第一報文計算第一特征值，

建立模塊，用于建立所述第一用戶MAC地址與所述第一特征值的對應(yīng)關(guān)系；

所述獲取模塊，還用于當(dāng)所述第一用戶退出網(wǎng)絡(luò)后，獲取第二用戶根據(jù)所述MAC地址發(fā)送的第二報文，

所述計算模塊，還用于根據(jù)所述第二報文計算第二特征值，

比較模塊，用于根據(jù)所述對應(yīng)關(guān)系比較所述第二特征值與所述第一特征值；

確定模塊，用于當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一DHCP請求報文，所述計算模塊具體用于：

獲取所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第一特征值。

所述第二報文為第二DHCP請求報文，

所述計算模塊還具體用于：

獲取所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第二特征值。

可選的，所述第一報文為第一IP報文，

所述計算模塊具體用于：

獲取所述第一IP報文中的TTL字段的值，當(dāng)所述第一IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第一IP報文中的TTL字段的值作為第一特征值；

所述第二報文為第二IP報文，

所述計算模塊還具體用于：

獲取所述第二IP報文中的TTL字段的值，當(dāng)所述第二IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第二IP報文中的TTL字段的值作為第二特征值；

所述比較模塊具體用于：根據(jù)所述對應(yīng)關(guān)系比較所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值；

所述確定模塊具體用于：

當(dāng)所述第一IP報文中的TTL字段的值不等于所述第二IP報文中的TTL字段的值，且所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值的差的絕對值大于設(shè)定閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一HTTP報文，

所述計算模塊具體用于：

獲取所述第一HTTP報文中的用戶屬性信息，將所述第一HTTP報文中的用戶屬性信息作為第一特征值；

所述第二報文為第二HTTP報文，

所述計算模塊還具體用于：

獲取所述第二HTTP報文中的用戶屬性信息，將所述第二HTTP報文中的用戶屬性信息作為第二特征值。

可選的，所述第一報文包含第一應(yīng)用的賬號信息；

所述計算模塊具體用于：

將所述第一報文的第一應(yīng)用的賬號信息作為第一特征值；

所述第二報文包含第一應(yīng)用的賬號信息；

所述計算模塊還具體用于：

將所述第二報文的第一應(yīng)用的賬號信息作為第二特征值；

所述比較模塊，具體用于根據(jù)所述對應(yīng)關(guān)系比較所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息；所述確認(rèn)模塊具體用于：

當(dāng)所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息不同，且所述第二報文的第一應(yīng)用的不同賬號信息的數(shù)量大于預(yù)設(shè)閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

本發(fā)明實(shí)施例的有益效果為：可以精確的識別具有相同MAC地址的不同終端，達(dá)到防MAC地址仿冒的效果，本發(fā)明實(shí)施例所描述方法的識別率高，能達(dá)到90％以上，且誤報率較低；對業(yè)務(wù)支持的靈活度高，可以和IPoE、Web認(rèn)證等業(yè)務(wù)組合使用，資源消耗小。

附圖說明

為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案，下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為現(xiàn)有技術(shù)的系統(tǒng)結(jié)構(gòu)圖；

圖2為本發(fā)明實(shí)施例的一種方法流程圖；

圖3為本發(fā)明實(shí)施例的一種裝置結(jié)構(gòu)圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

本發(fā)明一實(shí)施例提供一種確定地址仿冒用戶的方法，包括以下步驟：

S101，獲取第一用戶接入網(wǎng)絡(luò)后發(fā)送的第一報文，

S103，根據(jù)所述第一報文計算第一特征值，

S105，建立所述第一用戶MAC地址與所述第一特征值的對應(yīng)關(guān)系；

S107，當(dāng)所述第一用戶退出網(wǎng)絡(luò)后，獲取第二用戶根據(jù)所述MAC地址發(fā)送的第二報文，

S109，根據(jù)所述第二報文計算第二特征值，

S111，根據(jù)所述對應(yīng)關(guān)系比較所述第二特征值與所述第一特征值；

S113，當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一DHCP請求報文，所述步驟S103具體包括：

獲取所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第一特征值。

其中，屬性字段的內(nèi)容可以為OPTION12、OPTION50、OPTION60等三個字段內(nèi)容的組合或其中之一。

所述第二報文為第二DHCP請求報文，

所述步驟S109具體包括：

獲取所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第二特征值。

其中，屬性字段的內(nèi)容可以為OPTION12、OPTION50、OPTION60等三個字段內(nèi)容的組合或其中之一。

可選的，所述第一報文為第一IP報文，

所述步驟S103具體包括：

獲取所述第一IP報文中的TTL字段的值，當(dāng)所述第一IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第一IP報文中的TTL字段的值作為第一特征值；

其中，用戶終端中可能存在TTL值為1的廣播報文，且主流操作系統(tǒng)的非廣播報文TTL值都大于10，所以抓取的有效報文TTL值要大于10。

所述第二報文為第二IP報文，

所述步驟S109具體包括：

獲取所述第二IP報文中的TTL字段的值，當(dāng)所述第二IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第二IP報文中的TTL字段的值作為第二特征值；

所述步驟S111具體包括：比較所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值；

所述步驟S113具體包括：

當(dāng)所述第一IP報文中的TTL字段的值不等于所述第二IP報文中的TTL字段的值，且所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值的差的絕對值大于設(shè)定閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

其中，絕對值大于設(shè)定閾值5時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一HTTP報文，

所述步驟S103具體包括：

獲取所述第一HTTP報文中的用戶屬性信息，將所述第一HTTP報文中的用戶屬性信息作為第一特征值；

其中，用戶屬性信息可以從以下幾個途徑獲?。?/p>

在HTTP報文的URL字段中查找關(guān)鍵字“&imei＝”，可以提取到手機(jī)等終端的imei(International Mobile Equipment Identity國際移動設(shè)備身份碼)號特征作為用戶屬性信息；

在HTTP報文的User-agent字段中查找關(guān)鍵字“Windows Phone”、“Windows”、“Iphone”、“Android”等，可以確定終端的操作系統(tǒng)類型為Windows phone、Windows、Android，還是Iphone，作為用戶屬性信息；

在HTTP報文的Host字段中查找“.baidu.com”，同時在Cookie字段中查找關(guān)鍵字“BAIDUID”，可以提取百度搜索引擎分配給用戶終端唯一的cookie id，作為用戶屬性信息；

在HTTP報文的Host字段中查找“.so.com”，同時在Cookie字段中查找關(guān)鍵字“QIHUID”，可以提取360搜索引擎分配給用戶終端唯一的cookie id，作為用戶屬性信息；

在HTTP報文的Host字段中查找“.sogou.com”，同時在Cookie字段中查找關(guān)鍵字“UDI”，可以提取搜狗搜索引擎分配給用戶終端唯一的cookie id，作為用戶屬性信息；

所述第二報文為第二HTTP報文，

所述步驟S109具體包括：

獲取所述第二HTTP報文中的用戶屬性信息，將所述第二HTTP報文中的用戶屬性信息作為第二特征值。

可選的，所述第一報文包含第一應(yīng)用的賬號信息；

其中，第一應(yīng)用可以為QQ聊天工具，賬號信息可以為QQ賬號。

所述步驟S103具體包括：

將所述第一報文的第一應(yīng)用的賬號信息作為第一特征值；

所述第二報文包含第一應(yīng)用的賬號信息；

所述步驟S109具體包括：

將所述第二報文的第一應(yīng)用的賬號信息作為第二特征值；

所述步驟S111具體包括：

比較所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息，

所述步驟S113具體包括：

當(dāng)所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息不同，且所述第二報文的第一應(yīng)用的不同賬號信息的數(shù)量大于預(yù)設(shè)閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

其中，當(dāng)?shù)谝粦?yīng)用為QQ聊天工具時，如果第二報文中的不同QQ賬號的數(shù)量大于預(yù)設(shè)閾值3時，則確定第二用戶為仿冒MAC地址用戶。

在本發(fā)明實(shí)施例中，可能存在上萬條會話，所以如果采用每個會話都逐包檢查的方式的話，將消耗非常大的系統(tǒng)資源，導(dǎo)致路由器的轉(zhuǎn)發(fā)能力下降，影響用戶的上網(wǎng)體驗(yàn)。因此，可以采用抽查的方式進(jìn)行檢測。主要的設(shè)計如下：

步驟一、創(chuàng)建一個有16個成員的臨時報文數(shù)組，該數(shù)組全局共享，每個臨時報文數(shù)組中設(shè)置有是否空閑的標(biāo)識；

步驟二、每一個系統(tǒng)接收報文的進(jìn)程對收到的報文進(jìn)行初步篩選，選出DHCP報文、HTTP報文等不同類型的報文，然后在臨時報文數(shù)組中選擇一個空閑的數(shù)組成員，將收到的報文拷貝到該數(shù)組成員，關(guān)閉臨時報文數(shù)組中的空閑標(biāo)志；

步驟三、創(chuàng)建一個優(yōu)先級較低的檢測進(jìn)程，該進(jìn)程不停的讀取臨時報文數(shù)組，對上述收到的報文所在會話的終端特征進(jìn)行掃描對比，識別其是否有MAC地址仿冒。每處理完一個臨時報文數(shù)組成員，就將打開臨時報文數(shù)組的空閑標(biāo)志。由于該進(jìn)程優(yōu)先級較低，能被系統(tǒng)中斷，因此不會對數(shù)據(jù)轉(zhuǎn)發(fā)效率有較大影響。

本發(fā)明實(shí)施例的有益效果為：可以精確的識別具有相同MAC地址的不同終端，達(dá)到防MAC仿冒的效果，本發(fā)明實(shí)施例所描述方法的識別率高，能達(dá)到90％以上，且誤報率較低；對業(yè)務(wù)支持的靈活度高，可以和IPoE、Web認(rèn)證等業(yè)務(wù)組合使用，資源消耗小。

本發(fā)明實(shí)施例的另一方面在于提供一種確定地址仿冒用戶的裝置，包括：

獲取模塊201，用于獲取第一用戶接入網(wǎng)絡(luò)后發(fā)送的第一報文，

計算模塊203，用于根據(jù)所述第一報文計算第一特征值，

建立模塊205，用于建立所述第一用戶MAC地址與所述第一特征值的對應(yīng)關(guān)系；

所述獲取模塊201，還用于當(dāng)所述第一用戶退出網(wǎng)絡(luò)后，獲取第二用戶根據(jù)所述MAC地址發(fā)送的第二報文，

所述計算模塊203，還用于根據(jù)所述第二報文計算第二特征值，

比較模塊207，用于根據(jù)所述對應(yīng)關(guān)系比較所述第二特征值與所述第一特征值；

確定模塊209，用于當(dāng)所述第一特征值不等于所述第二特征值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一DHCP請求報文，所述計算模塊203具體用于：

獲取所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第一DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第一特征值。

所述第二報文為第二DHCP請求報文，

所述計算模塊203還具體用于：

獲取所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容，根據(jù)所述第二DHCP請求報文中的至少一個屬性字段的內(nèi)容計算MD5值，將該MD5值作為第二特征值。

可選的，所述第一報文為第一IP報文，

所述計算模塊203具體用于：

獲取所述第一IP報文中的TTL字段的值，當(dāng)所述第一IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第一IP報文中的TTL字段的值作為第一特征值；

所述第二報文為第二IP報文，

所述計算模塊203還具體用于：

獲取所述第二IP報文中的TTL字段的值，當(dāng)所述第二IP報文中的TTL字段的值大于設(shè)定閾值時，將所述第二IP報文中的TTL字段的值作為第二特征值；

所述比較模塊207具體用于：根據(jù)所述對應(yīng)關(guān)系比較所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值；

所述確定模塊209具體用于：

當(dāng)所述第一IP報文中的TTL字段的值不等于所述第二IP報文中的TTL字段的值，且所述第一IP報文中的TTL字段的值與所述第二IP報文中的TTL字段的值的差的絕對值大于設(shè)定閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

可選的，所述第一報文為第一HTTP報文，

所述計算模塊203具體用于：

獲取所述第一HTTP報文中的用戶屬性信息，將所述第一HTTP報文中的用戶屬性信息作為第一特征值；

所述第二報文為第二HTTP報文，

所述計算模塊203還具體用于：

獲取所述第二HTTP報文中的用戶屬性信息，將所述第二HTTP報文中的用戶屬性信息作為第二特征值。

可選的，所述第一報文包含第一應(yīng)用的賬號信息；

所述計算模塊203具體用于：

將所述第一報文的第一應(yīng)用的賬號信息作為第一特征值；

所述第二報文包含第一應(yīng)用的賬號信息；

所述計算模塊203還具體用于：

將所述第二報文的第一應(yīng)用的賬號信息作為第二特征值；

所述比較模塊207，具體用于根據(jù)所述對應(yīng)關(guān)系比較所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息；

所述確認(rèn)模塊209具體用于：

當(dāng)所述第一報文的第一應(yīng)用的賬號信息與所述第二報文的第一應(yīng)用的賬號信息不同，且所述第二報文的第一應(yīng)用的不同賬號信息的數(shù)量大于預(yù)設(shè)閾值時，則確定所述第二用戶為仿冒MAC地址用戶。

本發(fā)明實(shí)施例的有益效果為：可以精確的識別具有相同MAC地址的不同終端，達(dá)到防MAC仿冒的效果，本發(fā)明實(shí)施例所描述方法的識別率高，能達(dá)到90％以上，且誤報率較低；對業(yè)務(wù)支持的靈活度高，可以和IPoE、Web認(rèn)證等業(yè)務(wù)組合使用，資源消耗小。

最后應(yīng)說明的是：以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。