私接行为检测方法、网络设备、系统及存储介质与流程

本申请涉及网络安全技术领域，尤其涉及一种私接行为检测方法、网络设备、系统及存储介质。

背景技术：

私接上网是指使用无线接入点(accesspoint，ap)实现多人共用一个ip地址上网的技术。由于私接用户与合法用户拥有相同的网际协议(internetprotocol，ip)地址，传统网络管理设备或网络接入设备对于这种情况并不会进行报警，也不会出现ip地址冲突的预警。这样，非法用户可以利用已授权的用户身份取得网络的访问权限，不仅给网络管理带来了巨大困扰，而且导致网络内部资源被滥用，给用户带来经济和安全危险。

现有的私接行为检测方法一般需要在该网络中的终端设备上安装和运行相应的客户端程序，这无疑会增加终端设备的运行负担，降低用户上网体验。

技术实现要素：

本申请的多个方面提供一种私接行为检测方法、网络设备、系统及存储介质，用以在无需在用户终端设备上安装和运行相应的客户端程序的情况下识别私接行为，进而降低用户的终端设备的负担，提高用户上网体验。

本申请实施例提供一种私接行为检测方法，包括：

从接收到的数据报文中，识别源ip地址相同的数据报文；

根据所述源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以所述源ip地址发送数据报文的终端设备数量；

若以所述源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定所述源ip地址存在私接行为。

本申请实施例还提供一种网络设备，包括：存储器、处理器和通信组件，其中，

所述通信组件，用于接收数据报文；

所述存储器，用于存储计算机程序；

所述处理器，用于与所述存储器耦合，用于执行所述计算机程序，以用于：

从所述通信组件接收到的数据报文中，识别源ip地址相同的数据报文；

根据所述源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以所述源ip地址发送数据报文的终端设备数量；

若以所述源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定所述源ip地址存在私接行为。

本申请实施例还提供一种私接行为检测系统，包括：网络管理设备和所述网络管理设备管理的终端设备；

其中，所述终端设备，用于向所述网络管理设备发送数据报文；

所述网络管理设备，用于：从接收到的数据报文中，识别源ip地址相同的数据报文；根据所述源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以所述源ip地址发送数据报文的终端设备数量；若以所述源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定所述源ip地址存在私接行为。

本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，其特征在于，所述计算机程序被执行时，可实现上述方法中的步骤。

在本申请实施例中，首先，从接收到的数据报文中，识别源ip地址相同的数据报文；并根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以该源ip地址发送数据报文的终端设备数量；如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定源ip地址存在私接行为。这样，无需在用户终端设备上安装和运行相应的客户端程序，便可识别私接行为，进而可降低用户的终端设备的负担，有助于提高用户上网体验。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请一实施例提供的一种私接行为检测系统的结构示意图；

图2本申请一示例性实施例提供的一种私接行为检测方法的流程示意图；

图3为本申请一示例性实施例提供的一种网络设备的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

针对现有私接网络行为检测方法需要在网络中的终端设备上安装和运行相应的客户端程序而增加终端设备的运行负担的技术问题，本申请实施例提供一种解决方案，基本思路是：从接收到的数据报文中，识别源ip地址相同的数据报文；并根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以该源ip地址发送数据报文的终端设备数量；如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定源ip地址存在私接行为。这样，无需在用户终端设备上安装和运行相应的客户端程序，便可识别私接行为，进而可降低用户的终端设备的负担，有助于提高用户上网体验。

以下结合附图，详细说明本申请各实施例提供的技术方案。

图1为本申请实施例提供的一种私接行为检测系统的结构示意图。如图1所示，该系统10包括：网络管理设备10a和该网络管理设备10a管理的终端设备10b。图1中所呈现的网络管理设备10a和终端设备10b只是示例性说明，并不对二者的实现形式、数量做限定。

其中，网络管理设备10a和终端设备10b之间采用有线或无线连接。可选地，网络管理设备10a可以通过移动网络和终端设备10b通信连接，相应地，移动网络的网络制式可以为2g(gsm)、2.5g(gprs)、3g(wcdma、td-scdma、cdma2000、utms)、4g(lte)、4g+(lte+)、wimax等中的任意一种。可选地，网络管理设备10a也可以通过蓝牙、wifi、红外线等方式和终端设备10b通信连接。

在本实施例中，网络管理设备10a是指用于对终端设备10b进行网络管理的硬件设施。例如，网络管理设备10a可以是集线器、网关、交换机、路由器、光猫、无线访问接入点(wirelessaccesspoint，ap)等具有路由功能的设备，但不限于此。网络管理设备10a也可以为服务器。其中服务器可以是一台，也可以是多台。本实施例并不限定服务器的实现形式。例如，服务器可以是常规服务器、云服务器、云主机、虚拟中心等服务器设备。其中，服务器设备的构成主要包括处理器、硬盘、内存、系统总线等，和通用的计算机架构类似。

在本实施例中，终端设备10b是指用户使用的，具有用户所需计算、上网、通信等功能的设备，例如可以是智能手机、平板电脑、个人电脑、穿戴设备等。终端设备10b通常包括至少一个处理单元和至少一个存储器。处理单元和存储器的数量取决于终端设备的配置和类型。存储器可以包括易失性的，例如ram，也可以包括非易失性的，例如只读存储器(read-onlymemory，rom)、闪存等，或者也可以同时包括两种类型的。存储器内通常存储有操作系统(operatingsystem，os)、一个或多个应用软件，也可以存储有程序数据等。除了处理单元和存储器之外，终端设备也会包括网卡芯片、io总线、音视频组件等基本配置。可选地，根据终端设备10b的实现形式，终端设备10b也可以包括一些外围设备，例如键盘、鼠标、输入笔、打印机等。这些外围设备在本领域中是众所周知的，在此不做赘述。

在本实施例中，在局域网中实现实名制上网，做到一人一ip，即一个ip地址被一台终端设备所使用。但如果用户私接ap，那么一个ip就可被多台终端设备共享，这样可能出现ip地址冲突，不仅降低了合法用户的上网体验，而且损害了合法用户的利益。在本实施例中，将一个ip地址被多台终端设备共享的行为定义为私接行为。另外，在本实施例中，将网络管理设备10a所管理的通过局域网准入等相关规定接入局域网的终端设备定义为合法用户；将通过私接ap而接入以太网的终端设备定义为非法用户。

在本实施例中，考虑到对于一个ip地址，无论是合法用户还是非法用户的终端设备，当其利用终端设备10b进行上网时，均可向网络管理设备10a发送与上网行为相关的数据报文，这些数据报文中含有源ip地址信息，且对于共享同一ip地址的终端设备所发送的数据报文，其源ip地址相同。基于此，在本实施例中，网络管理设备10a可从接收到的数据报文中，识别源ip地址相同的数据报文。

可选地，可以在网络管理设备10a中预设私接行为检测周期，并启动一个定时器或计数器对该私接行为检测周期进行计时。每当私接行为检测周期到达时，从当前周期接收到的数据报文中，识别源ip地址相同的数据报文。在本实施例中，不对私接行为检测周期进行限定。优选地，为了保证私接行为检测的准确度，私接行为检测周期不宜设置过长，例如可以为半小时、5分钟、10分钟等。

当然，为了减小频繁的进行私接行为检测对网络管理设备10a的正常运转的影响，可将私接行为检测周期设置时间较长，例如一周、一个月等，这样，为了保证私接行为检测的准确度，可在每当私接行为检测周期到达时，从当前周期到达前一段时间内接收到的数据报文中，识别源ip地址相同的数据报文。例如，当前周期到达前半小时、5分钟、10分钟等，但不限于此。

或者，用户可操作网络管理设备10a上的相关按钮或相应的软件界面的控制组件等，网络管理设备10a响应用户的相关操作，从该操作之前的一段时间内接收到的数据报文中，识别源ip地址相同的数据报文。例如，响应用户的相关操作前半小时、5分钟、10分钟等，但不限于此。

进一步，由于数据报文中往往会携带与终端设备身份关联的信息，因此，在本实施例中，网络管理设备10a可根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量；且如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定该源ip地址存在私接行为。其中，确定以同一源ip地址发送数据报文的终端设备数量可以为准确的数量，例如为1台、2台、10台等，也可以为数值范围，即确定出以同一源ip地址发送数据报文的终端设备数量所属的数值范围，该数值范围可以为大于某个已知的数值，例如大于指定终端数量等。

需要说明的是，在本实施例中，为了维护合法用户的上网权益，提高合法用户的上网体验，对于同一个ip地址一般只允许一台终端设备使用，因此，指定终端数量一般设置为1台。当然，指定终端数量也可以根据用户的实际需求而灵活设定，例如对于一个家庭，其可能会想要家庭成员的多个终端设备(手机、电脑等)共用一个ip地址，指定终端数量可根据家庭成员所使用的终端设备的数量进行灵活设置。

还需要说明的是，在本实施例中，对网络管理设备10a检测出某一ip地址存在私接行为后的处理方式不进行限定，其可以不采取任何惩罚措施。当然，为了便于以后的网络管理和维护合法用户的上网权益，网络管理设备10a在检测出某一ip地址存在私接行为时，可采取一定的惩罚措施，例如，可阻断与存在私接行为的源ip地址对应的终端设备的连接；或者限制该存在私接行为的源ip地址对应的终端设备的网速，例如，限制该源ip地址对应的终端设备的上网带宽等，但不限于此。其中，对存在私接行为的源ip地址惩罚的时长可根据实际需求进行灵活设置，例如2个小时、一天、两天等。

在本实施例中，网络管理设备从接收到所管理的终端设备发送的数据报文中，识别源ip地址相同的数据报文；并根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以该源ip地址发送数据报文的终端设备数量；如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定源ip地址存在私接行为。这样，无需在用户终端设备上安装和运行相应的客户端程序，便可识别私接行为，进而可降低用户的终端设备的负担，有助于提高用户上网体验。

在一可选实施例中，考虑到终端设备10b所发送的数据报文中，存在多种与终端设备身份关联的信息，网络管理设备10a根据这些与终端设备10b身份关联的信息，可确定以相同源ip地址发送数据报文的终端设备10b的身份，以及发送这些数据报文的终端设备10b的数量。用户利用终端设备10b进行上网行为不同，其向网络管理设备10a所发送的数据报文中携带的与终端设备10b身份关联的信息不同。因此，网络管理设备10a在根据源ip地址相同的数据报文中携带的与终端设备10b身份关联的信息，确定以该源ip地址发送数据报文的终端设备10b数量时，可根据不同类型的关联信息来确定以同一源ip地址发送数据报文的终端设备10b的数量。下面结合不同的上网行为，即不同的应用场景，对网络管理设备10a确定以同一源ip地址发送数据报文的终端设备10b的数量的可选实施方式进行示例性说明。

实施方式1：在应用场景a中，用户利用终端设备10b访问web网页，例如，利用web网页进行信息查询、登录邮箱、网络购物、游戏登录等，其所使用的浏览器发出的数据报文中会携带http报文头，在http报文头中会包含用户代理(useragent，ua)信息，其为浏览器用来标识自身信息的一串字符，一般包含浏览器品牌、版本、内核、所在操作系统环境、终端设备机型等信息，基于此，可知ua信息与终端设备10b身份关联。因此，可以通过源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量。

进一步，考虑到终端设备10b上可能安装有一台或多台虚拟机，用户启动终端设备10b上的虚拟机产生上网行为时，虚拟机也会向网络管理设备10a发送相应的数据报文，这些数据报文中也会携带与虚拟机身份关联的ua信息。因此，为了提高私接行为检测的准确度，可将接收到的数据报文中虚拟机的ua信息滤除。在本实施例中，虚拟机的ua信息包含有特殊的虚拟机特征字段，基于此，网络管理设备10a在根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备的数量之前，可先判断源ip地址相同的数据报文中携带的ua信息中，是否存在包含虚拟机特征字段的ua信息；若存在包含虚拟机特征字段的ua信息，则将包含虚拟机特征字段的ua信息滤除。

可选地，可预设对包含虚拟机特征字段的ua信息进行过滤的过滤规则，例如，可预设虚拟机特征字段之间的优先级，并按照预设的虚拟机特征字段之间的优先级，将包含虚拟机特征字段的ua信息依次滤除。其中，优先级的个数可根据虚拟机特征字段的类型进行灵活设置，例如，虚拟机特征字段有4种类型，可设置4个优先级。

又例如，对于网络管理设备10a来说，特别是网关、路由器、交换机、ap等，所接收到的数据报文，有所管理的终端设备10b上报的上行数据，也有服务器下发的下行数据，而在本实施例中，为了便于描述和区分，在本申请实施例中，将对上行数据报文进行过滤定义为滤出规则，将对下行数据报文进行过滤定义为滤进规则。可选地，由于检测的为终端设备10b的私接行为，其主要针对上行数据进行处理。因此，还可将下行数据报文进行滤除。基于此，网络管理设备10a的过滤规则可为同优先级的滤出规则高于滤进规则，未命中规则的默认按滤进规则处理。即，上行数据的优先级高于下行数据的优先级，不满足过滤规则的数据报文按照下行数据进行过滤。

基于上述分析，可选地，过滤规则可采用如下格式：

1,out,"nexusonebuild/frf91"

其中，数字“1”代表优先级，“out”代表过滤方向为滤出，双引号中的模式串“nexusonebuild/frf91”代表需要过滤的数据流。在本申请实施例中，需要过滤的数据流为虚拟机特征字段。相应地，过滤方法还可为“in”，即滤进。

可选地，为了提高过滤规则的可扩展性以及适应未来系统更新等需求，可将过滤规则存放于特征库中进行维护。

进一步，如果一个源ip地址被多台终端设备所共享，这些终端设备所发出的数据报文中的ua信息不同，基于此，网络管理设备10a在根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量时，可统计源ip地址相同的数据报文中存在的不同ua信息的数量，并将不同ua信息的数量作为以同一源ip地址发送数据报文的终端设备数量。

可选地，如果一个源ip地址被多台终端设备所共享，如果这些终端设备所采用的操作系统不同或者终端设备的机型不同，其向网络管理设备10a所发送的数据报文中的ua信息也就不同。基于此，网络管理设备10a在确定源ip地址相同的数据报文中不同的ua信息的数量时，可根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同操作系统的数量；并将不同操作系统的数量作为源ip地址相同的数据报文中不同ua信息的数量；和/或，根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同机型的数量；并将不同机型的数量作为源ip地址相同的数据报文中不同ua信息的数量。

需要说明的是，对于上述采用不同操作系统和不同机型来确定ua信息的数量的实施方式，不同ua信息的数量等于不同操作系统和不同机型数量较多的数量。例如，如果操作系统只有一种类型，而机型具有大于或等于2种类型，则不同ua信息的数量为不同机型的类型的数量。

还需要说明的是，在本申请实施例中，不同操作系统不仅指操作系统的类型不同，也包括操作系统的版本号不同。不同机型不仅指厂商不同，也包括具体型号不同。其中，对于ua信息中的操作系统信息一般包括操作系统名称和版本号，其格式如下：

windowsnt5.1；

macosx10_11_6)

android5.1.1；

macosx10_12)

iphoneos10_0

iphoneos10_0_1

iphoneos10.0.1；

windowsnt10.0；

windowsnt5.1)

可选地，为了提高操作系统信息的可扩展性以支持出现的新系统，可将操作系统信息存放于特征库中。其格式如下：

1,windows,"windowsnt",pc

2,mac,"macosx",pc

3,iphone,"iphoneos",mobile

其中，主要规则由id、系统名称、被双引号引起来的模式串和可选的终端类型组成，但不限于此。数字1-3表示操作系统id，其可以进行灵活设置，例如，还可以将mac操作系统设置为1等。

进一步，为了避免用户可能存在一些需求，需要临时共享ip地址的情况，在这些情况下，多台终端设备共享同一ip地址时，其中某些终端设备可能只是临时出现，如果网络管理设备10a在这种情况下检测到某源ip地址存在私接行为，而对该源ip地址对应的终端设备采取惩罚措施，则会不便于用户使用网络。基于此，为了提高网络管理设备10a进行私接行为检测时的鲁棒性和灵活性，网络管理设备10a在统计源ip地址相同的数据报文中存在的不同操作系统的数量时，可根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同操作系统的出现次数分别进行计数；当某一操作系统的出现次数大于或等于预设的第一阈值时，将该操作系统设置为有效操作系统；并将有效操作系统的数量作为源ip地址相同的数据报文中的ua信息中不同操作系统的数量。其中，第一阈值可根据实际需要进行灵活设置，在本申请实施例中不做限定。可选地，对操作系统的出现次数进行计数后，可按照上述操作系统格式(操作系统存储规则)将其存放于特征库中。

相应地，网络管理设备10a在统计源ip地址相同的数据报文中存在的不同机型的数量时，也可根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同的机型的出现次数分别进行计数；当某一机型的出现次数大于或等于预设的第二阈值时，则将该机型作为有效机型；并将有效机型的数量作为源ip地址相同的数据报文中的ua信息中不同机型的数量。其中，第二阈值可根据实际需要进行灵活设置，在本申请实施例中不做限定。可选地，对机型的出现次数进行计数后，可按照机型存储格式(机型存储规则)将其存放于特征库中，其中，机型存储规则由机型id、机型名称和特征码组成，其中机型id又由品牌id和子id组成。其中，品牌id和子id的描述是为了方便维护而自定义的表述方式，品牌id是对终端设备的品牌进行编码，子id表示终端设备的具体型号进行编码，特征码为对终端设备的品牌和具体型号进行编码后形成的编码。例如：a为终端设备1的品牌，可将其品牌id分别标记为1；a1和a2分别为同为品牌a两台终端设备1和终端设备2的具体型号，可将其型号分别标记为1和2，那么特征码则分别为1-1和1-2。

值得说明的是，在本申请实施例中，将上述过滤规则、操作系统存储规则以及机型存储规则，都需要进行模式匹配。为提高匹配效率，可将模式串编到同一个状态机中，匹配中模式后再根据添加模式串时关联的模式id来区分。可选地，模式id为void*类型的参数，可存储一个long字长的数据，考虑到兼容性，这里只存放一个32位的数据，其中高4位存放规则类型，剩下的28位给各规则内部用。

可选地，对于上述过滤规则需保存过滤方向和优先级，可选地，过滤方向可占用1位，因此最多可支持27个优先级。

可选地，对于上述操作系统存储规则需要记录操作系统id、模式串长度和终端类型。其中终端类型可占2位，模式串长度可占用8位，其余位数的可分配给系统id。

进一步，对于机型存储规则需要记录品牌id和子id，考虑到目前市场上匹配的数量，可分配9位给品牌id，剩下的19位分配给子id。

实施方式2：在应用场景b中，用户在利用终端设备10b进行上网时，例如，利用浏览器打开网页、浏览网页中的信息、点击相应的链接进行翻页、或滑动进度轴等，在每一个进程中，服务器均会对请求连接的进程分配tcp端口号。对于同一终端设备10b，用户进行上网的进程所对应分配到的tcp端口号是不同的，一般具有满足一定的规则。例如，对于windows、ios、mac系统的新建进程的tcp连接的源端口号为全局逐一递增的，即本次进程的tcp端口号大于上次进程的tcp端口号。而对于不同的终端设备，虽然其一系列的上网进程都会产生一个tcp端口号序列，但是不同的终端设备的上网进行所产生的tcp端口号序列满足的规律是不同的。因此，可知tcp源端口号的变化规律与终端设备身份关联。基于此，网络管理设备10a在根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量时，可根据源ip地址相同的数据报文中携带的tcp源端口号，确定以源ip地址发送数据报文的终端设备数量。

进一步，网络管理设备10a可统计源ip地址相同的数据报文中存在的以不同规律变化的tcp源端口号序列的个数；并将以不同规律变化的tcp源端口号序列的个数，作为以同一源ip地址发送数据报文的终端设备的数量。

可选地，在实施方式2中，还可设置老化时间周期，并启动一个定时器或计数器对老化时间周期进行计时。在一个老化时间周期内，网络管理设备10a获取到tcp端口号后，将其与在该老化时间周期内，之前获得的tcp端口号进行比较，如果有符合之前tcp端口号的变化规律，则将该tcp端口号更新到同一个序列中，没有符合之前tcp端口号的变化规律，则将该tcp端口号作为一个新序列的起始。对于在一个老化时间周期到达时，在该老化时间周期内没有更新的序列，则将其老化掉，不再作为判断的依据。其中，老化时间周期可根据实际需求进行灵活设置，在本申请实施例中不做限定。

实施方式3：在应用场景c中，用户可能利用终端设备10b上的app或者通过浏览器搜索相应的登录窗口来登录相应的网站或平台进行即时通讯、网络购物、网络游戏、收发邮件等。在同一终端设备上，利用同一应用进行相应的上网行为的用户多是有限的，例如，利用某一即时通讯软件进行即时通讯；又例如，例如某购物平台进行网络购物等，其登录的账号的个数多是有限的。因此，可在网络管理设备10a设置允许同一终端设备使用同一应用的可登录的虚拟身份账号的上限个数m，则，假设指定终端数量为n个，那么n个终端以相同源ip地址使用该应用的可登陆的虚拟身份账户的上限个数为m*n，可将m*n或大于m*n的某个数值设置为预设账户数量，该预设账户数量能够确定以相同源ip地址发送数据报文的终端数量是否大于指定终端数量，其中，m和n均为正整数。这样，当同一源ip地址中使用该应用的虚拟身份账号的数量超过预设账号数量时，则确定以该源ip地址发送数据报文的终端数量大于预设的指定终端数量。基于此，网络管理设备10a在根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量时，可统计源ip地址相同的数据报文中存在的相同应用下不同虚拟身份账号的数量，若相同应用下的不同虚拟身份账号的数量大于预设账号数量，确定以该源ip地址发送数据报文的终端设备数量大于上述指定终端数量，即可确定该源ip地址存在私接行为。其中，允许同一终端设备使用同一应用的可登录的虚拟身份账号的上限个数m可根据实际需求进行灵活设置，在本申请实施例中不做限定。值得说明的是，在实施方式3中，确定出的以相同源ip地址发送数据报文的终端数量为一个数值范围，该数值范围为大于指定终端数量。

进一步，为了提高对私接行为进行检测的准确率，可选用误审率较低或用户经常使用的应用的虚拟身份账号进行检测，例如即时通讯软件的虚拟身份账号、网络购物平台的虚拟身份账号等，但不限于此。

进一步，在实施方式3中，还可设置老化时间周期，并启动一个定时器或计数器对老化时间周期进行计时。在一个老化时间周期内，网络管理设备10a获取到虚拟身份账号后，将其与在该老化时间周期内，之前获得的虚拟身份账号进行比较，如果与本周期之前获得的虚拟身份账号相同，则不进行计数；如果与本周期之前获得的虚拟身份账号不同，则对使用本应用的虚拟身份账号的个数加1。当将一个老化时间周期到达时，将本周期获取的虚拟身份账号老化掉，不再作为判断的依据。其中，老化时间周期可根据实际需求进行灵活设置，在本申请实施例中不做限定。

除了上述实施例提供的私接行为检测系统之外，本申请实施例还提供一种私接行为检测方法，下面从网络管理设备的角度，对本申请所提供的私接行为检测方法进行说明。

图2为本申请一示例性实施例提供的一种私接行为检测方法的流程示意图。该方法适用于网络管理设备。如图2所示，该方法包括：

201、从接收到的数据报文中，识别源ip地址相同的数据报文。

202、根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量。

203、若以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定该源ip地址存在私接行为。

在本实施例中，考虑到对于一个ip地址，无论是合法用户还是非法用户的终端设备，当其利用终端设备进行上网时，均为向网络管理设备发送与上网行为相关的数据报文，这些数据报文中含有源ip地址信息，且对于共享同一ip地址的终端设备所发送的数据报文，其源ip地址相同。基于此，在步骤201中，可从接收到的数据报文中，识别源ip地址相同的数据报文。

可选地，可以预设私接行为检测周期，并启动一个定时器或计数器对该私接行为检测周期进行计时。每当私接行为检测周期到达时，从当前周期接收到的数据报文中，识别源ip地址相同的数据报文。在本实施例中，不对私接行为检测周期进行限定。优选地，为了保证私接行为检测的准确度，私接行为检测周期不宜设置过长，例如可以为半小时、5分钟、10分钟等。

当然，为了减小频繁的进行私接行为检测对网络管理设备10a正常运转的影响，可将私接行为检测周期设置时间较长，例如一周、一个月等，这样，为了保证保证私接行为检测的准确度，可在每当私接行为检测周期到达时，从当前周期到达前一段时间内接收到的数据报文中，识别源ip地址相同的数据报文。例如，当前周期到达前半小时、5分钟、10分钟等，但不限于此。

或者，用户可操作网络管理设备上的相关按钮或相应的软件界面的控制组件等，网络管理设备响应用户的相关操作，从该操作之前的一段时间内接收到的数据报文中，识别源ip地址相同的数据报文。例如，响应用户的相关操作前半小时、5分钟、10分钟等，但不限于此。

进一步，由于数据报文中往往会携带与终端设备身份关联的信息，因此，在步骤202和203中，可根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量；且如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定该源ip地址存在私接行为。其中，在步骤202中，确定以同一源ip地址发送数据报文的终端设备数量可以为准确的数量，例如为1台、2台、10台等，也可以为数值范围，即确定出以同一源ip地址发送数据报文的终端设备数量所属的数值范围，该数值范围可以为大于某个已知的数值，例如大于指定终端数量等。

需要说明的是，在本实施例中，为了维护合法用户的上网权益，提高合法用户的上网体验，对于同一个ip地址一般只允许一台终端设备使用，因此，指定终端数量一般设置为1台。当然，指定终端数量也可以根据用户的实际需求而灵活设定，例如对于一个家庭，其可能会想要家庭成员的多个终端设备(手机、电脑等)共用一个ip地址，指定终端数量可根据家庭成员所使用的终端设备的数量进行灵活设置。

还需要说明的是，在本实施例中，对检测出某一ip地址存在私接行为后的处理方式不进行限定，其可以不采取任何惩罚措施。当然，为了便于以后的网络管理和维护合法用户的上网权益，可在检测出某一ip地址存在私接行为时，可采取一定的惩罚措施，例如，可阻断与存在私接行为的源ip地址对应的终端设备的连接；或者限制该存在私接行为的源ip地址对应的终端设备的网速，例如，限制该源ip地址对应的终端设备的上网带宽等，但不限于此。其中，对存在私接行为的源ip地址惩罚的时长可根据实际需求进行灵活设置，例如2个小时、一天、两天等。

在本实施例中，首先，从接收到所管理的终端设备发送的数据报文中，识别源ip地址相同的数据报文；并根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以该源ip地址发送数据报文的终端设备数量；如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定源ip地址存在私接行为。这样，无需在用户终端设备上安装和运行相应的客户端程序，便可识别私接行为，进而可降低用户的终端设备的负担，有助于提高用户上网体验。

在一可选实施例中，考虑到终端设备所发送的数据报文中，存在多种与终端设备身份关联的信息，网络管理设备根据这些与终端设备身份关联的信息，可确定以相同源ip地址发送数据报文的终端设备的身份，以及发送这些数据报文的终端设备的数量。用户利用终端设备进行上网行为不同，其向网络管理设备所发送的数据报文中携带的与终端设备身份关联的信息不同。因此，在步骤202中，可根据不同类型的关联信息来确定以同一源ip地址发送数据报文的终端设备的数量。下面结合不同的上网行为，即不同的应用场景，对步骤202的可选实施方式进行示例性说明。

实施方式1：基于上述应用场景a，可知ua信息与终端设备身份关联。因此，步骤202的一种可选实施方式为：根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量。

进一步，考虑到终端设备上可能安装有一台或多台虚拟机，用户启动终端设备上的虚拟机产生上网行为时，虚拟机也会向网络管理设备发送相应的数据报文，这些数据报文中也会携带与虚拟机身份关联的ua信息。因此，为了提供私接行为检测的准确度，可将接收到的数据报文中虚拟机的ua信息滤除。在本实施例中，虚拟机的ua信息包含有特殊的虚拟机特征字段，基于此，在根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备的数量之前，可先判断源ip地址相同的数据报文中携带的ua信息中，是否存在包含虚拟机特征字段的ua信息；若存在包含虚拟机特征字段的ua信息，则将包含虚拟机特征字段的ua信息滤除。

可选地，可预设对包含虚拟机特征字段的ua信息进行过滤的过滤规则，例如，可预设虚拟机特征字段之间的优先级，并按照预设的虚拟机特征字段之间的优先级，将包含虚拟机特征字段的ua信息依次滤除。其中，优先级的个数可根据虚拟机特征字段的类型进行灵活设置。其中，对于虚拟机特征字段之间的优先级以及过滤规则的相关描述可参见上述系统实施例中的相关内容，在此不再赘述。

进一步，如果一个源ip地址被多台终端设备所共享，这些终端设备所发出的数据报文中的ua信息不同，基于此，根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量的一种可选实施方式为：统计源ip地址相同的数据报文中存在的不同ua信息的数量，并将不同ua信息的数量作为以同一源ip地址发送数据报文的终端设备数量。

可选地，如果一个源ip地址被多台终端设备所共享，如果这些终端设备所采用的操作系统不同或者终端设备的机型不同，其发送的数据报文中的ua信息也就不同。基于此，确定源ip地址相同的数据报文中不同的ua信息的数量的可选实施方式为：根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同操作系统的数量；并将不同操作系统的数量作为源ip地址相同的数据报文中不同ua信息的数量；和/或，根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同机型的数量；并将不同机型的数量作为源ip地址相同的数据报文中不同ua信息的数量。

需要说明的是，对于上述采用不同操作系统和不同机型来确定ua信息的数量的实施方式，不同ua信息的数量等于不同操作系统和不同机型数量较多的数量。例如，如果操作系统只有一种类型，而机型具有大于或等于2种类型，则不同ua信息的数量为不同机型的类型的数量。其中，对于不同操作系统和不同机型的定义以及操作系统存储规则、机型存储规则的相关描述可参见上述系统实施例中的相关内容，在此不再赘述。

进一步，为了避免用户可能存在一些需求，需要临时共享ip地址的情况，在这些情况下，多台终端设备共享同一ip地址时，其中某些终端设备可能只是临时出现，如果在这种情况下检测到某源ip地址存在私接行为，而对该源ip地址对应的终端设备采取惩罚措施，则会不便于用户使用网络。基于此，为了提高对私接行为检测时的鲁棒性和灵活性，在统计源ip地址相同的数据报文中存在的不同操作系统的数量时，可根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同操作系统的出现次数分别进行计数；当某一操作系统的出现次数大于或等于预设的第一阈值时，将该操作系统设置为有效操作系统；并将有效操作系统的数量作为源ip地址相同的数据报文中的ua信息中不同操作系统的数量。其中，第一阈值可根据实际需要进行灵活设置，在本申请实施例中不做限定。可选地，对操作系统的出现次数进行计数后，可按照上述操作系统格式(操作系统存储规则)将其存放于特征库中。

相应地，在统计源ip地址相同的数据报文中存在的不同机型的数量时，也可根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同的机型的出现次数分别进行计数；当某一机型的出现次数大于或等于预设的第二阈值时，则将该机型作为有效机型；并将有效机型的数量作为源ip地址相同的数据报文中的ua信息中不同机型的数量。其中，第二阈值可根据实际需要进行灵活设置，在本申请实施例中不做限定。可选地，对机型的出现次数进行计数后，可按照机型存储格式(机型存储规则)将其存放于特征库中。其中，对于机型存储规则的相关描述可参见上述系统实施例中的相关内容，在此不再赘述。

实施方式2：基于上述应用场景b，可知tcp源端口号的变化规律与终端设备身份关联。步骤202的另一种可选实施方式为：根据源ip地址相同的数据报文中携带的tcp源端口号，确定以源ip地址发送数据报文的终端设备数量。

进一步，可统计源ip地址相同的数据报文中存在的以不同规律变化的tcp源端口号序列的个数；并将以不同规律变化的tcp源端口号序列的个数，作为以同一源ip地址发送数据报文的终端设备的数量。

对于在实施方式2中，设置老化时间周期的相关描述可参见上述系统实施例的相关内容，在此不再赘述。

实施方式3：基于上述应用场景c，可设置允许同一终端设备使用同一应用的可登录的虚拟身份账号的上限个数m，则，假设指定终端数量为n个，则n个终端以相同源ip地址使用该应用的可登陆的虚拟身份账户的上限个数为m*n，可将m*n或大于m*n的某个数值设置为预设账户数量，该预设账户数量能够确定以相同源ip地址发送数据报文的终端数量是否大于指定终端数量。其中，m和n均为正整数。这样，当同一源ip地址中使用该应用的虚拟身份账号的数量超过预设账号数量时，则确定以该源ip地址发送数据报文的终端数量大于预设的指定终端数量。基于此，步骤202的又一种可选实施方式为：统计源ip地址相同的数据报文中存在的相同应用下不同虚拟身份账号的数量，若相同应用下的不同虚拟身份账号的数量大于预设账号数量，确定以该源ip地址发送数据报文的终端设备数量大于上述指定终端数量，即可确定该源ip地址存在私接行为。其中，允许同一终端设备使用同一应用的可登录的虚拟身份账号的上限个数m可根据实际需求进行灵活设置，在本申请实施例中不做限定。值得说明的是，在实施方式3中，确定出的以相同源ip地址发送数据报文的终端数量为一个数值范围，该数值范围为大于指定终端数量。

进一步，为了提高对私接行为进行检测的准确率，可选用误审率较低或用户经常使用的应用的虚拟身份账号进行检测，例如即时通讯软件的虚拟身份账号、网络购物平台的虚拟身份账号等，但不限于此。

对于在实施方式3中，设置老化时间周期的具体描述可参见上述系统实施例中的相关内容，在此不再赘述。

需要说明的是，上述实施例所提供方法的各步骤的执行主体均可以是同一设备，或者，该方法也由不同设备作为执行主体。比如，步骤201和202的执行主体可以为设备a；又比如，步骤201的执行主体可以为设备a，步骤202的执行主体可以为设备b；等等。

另外，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如201、202等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。

图3为本申请实施例提供的一种网络设备的结构示意图。如图3所示，网络管理设备包括：存储器30a、处理器30b和通信组件30c。

其中，存储器30a，用于存储计算机程序，并可被配置为存储其它各种数据以支持在网络管理设备上的操作。其中，处理器30b可执行存储器30a中存储的计算机程序，以实现相应控制逻辑。存储器30a可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

其中，通信组件30c被配置为便于网络管理设备和其他设备之间有线或无线方式的通信。网络管理设备可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件可基于近场通信(nfc)技术，射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

其中，通信组件30c，用于接收数据报文。

存储器30a，用于存储计算机程序；

处理器30b，用于与存储器30a耦合，用于执行相关计算机程序，以用于：从通信组件30c接收到的数据报文中，识别源ip地址相同的数据报文；根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以同一源ip地址发送数据报文的终端设备数量；若以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定该源ip地址存在私接行为。

在一可选实施例中，处理器30b在确定以同一源ip地址发送数据报文的终端设备数量时，具体用于：根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量，该ua信息与终端设备身份关联；和/或根据源ip地址相同的数据报文中携带的tcp源端口号，确定以同一源ip地址发送数据报文的终端设备数量，其中，tcp源端口号的变化规律与终端设备身份关联；和/或根据源ip地址相同的数据报文中携带的虚拟身份账号，确定以同一源ip地址发送数据报文的终端设备数量。

可选地，处理器30c在根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量之前，还用于：判断源ip地址相同的数据报文中携带的ua信息中，是否存在包含虚拟机特征字段的ua信息；若存在，则将包含虚拟机特征字段的ua信息滤除。

进一步，处理器30c在将包含虚拟机特征字段的ua信息滤除包括：根据预设的虚拟机特征字段之间的优先级，将包含虚拟机特征字段的ua信息依次滤除。

在一可选实施例中，处理器30c在根据源ip地址相同的数据报文中携带的ua信息，确定以同一源ip地址发送数据报文的终端设备数量时，具体用于：统计源ip地址相同的数据报文中存在的不同ua信息的数量，并将不同ua信息的数量作为以同一源ip地址发送数据报文的终端设备数量。

进一步，处理器30c在统计源ip地址相同的数据报文中存在的不同ua信息的数量时，具体用于：根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同操作系统的数量；并将不同操作系统的数量作为源ip地址相同的数据报文中不同ua信息的数量；和/或根据源ip地址相同的数据报文中的ua信息，统计源ip地址相同的数据报文中存在的不同机型的数量；并将不同机型的数量作为源ip地址相同的数据报文中不同ua信息的数量。

进一步，处理器30c在统计源ip地址相同的数据报文中存在的不同操作系统的数量时，具体用于：根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同操作系统的出现次数分别进行计数；当操作系统的出现次数大于或等于预设的第一阈值时，该操作系统为有效操作系统；并将有效操作系统的数量作为源ip地址相同的数据报文中的ua信息中不同操作系统的数量。

相应地，处理器30c在统计源ip地址相同的数据报文中存在的不同机型的数量时，具体用于：根据源ip地址相同的数据报文中的ua信息，对源ip地址相同的数据报文中存在的相同的机型的出现次数分别进行计数；当机型的出现次数大于或等于预设的第二阈值时，该机型为有效机型；并将有效机型的数量作为源ip地址相同的数据报文中的ua信息中不同机型的数量。

在另一可选实施例中，处理器30c在根据源ip地址相同的数据报文中携带的tcp源端口号，确定以同一源ip地址发送数据报文的终端设备数量时，具体用于：统计源ip地址相同的数据报文中存在的以不同规律变化的tcp源端口号序列的个数；并将以不同规律变化的tcp源端口号序列的个数，作为以同一源ip地址发送数据报文的终端设备的数量。

在又一可选实施例中，处理器30c在根据源ip地址相同的数据报文中携带的虚拟身份账号，确定以同一源ip地址发送数据报文的终端设备数量时，具体用于：统计源ip地址相同的数据报文中存在的相同应用下不同虚拟身份账号的数量，若相同应用下的不同虚拟身份账号的数量大于预设账号数量，确定以同一源ip地址发送数据报文的终端设备数量大于上述指定终端数量。

在再一可选实施例中，处理器30c在确定源ip地址存在私接行为之后，还用于：阻断与存在私接行为的源ip地址对应的终端设备的连接；或者限制该存在私接行为的源ip地址对应的终端设备的网速。

在一些可选实施方式中，如图3所示，该网络设备还可以包括：电源组件30d等可选组件。图3中仅示意性给出部分组件，并不意味着网络设备必须包含图3所示全部组件，也不意味着网络设备只能包括图3所示组件。

其中，电源组件30d被配置为网络设备的各种组件提供电力。电源组件30d可以包括电源管理系统，一个或多个电源，及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。

需要说明的是，在本实施例中，用于网络管理的硬件设施。其可以为将各个有线或无线网络终端设备连接到一起，然后将有线或无线网络接入以太网的网络设备。例如，可以是集线器、网关、交换机、路由器、光猫、ap等具有路由功能的设备，也可以服务器，但不限于此。

在本实施例中，网络设备从接收到所管理的终端设备发送的数据报文中，识别源ip地址相同的数据报文；并根据源ip地址相同的数据报文中携带的与终端设备身份关联的信息，确定以该源ip地址发送数据报文的终端设备数量；如果以该源ip地址发送数据报文的终端设备数量大于指定终端数量，则确定源ip地址存在私接行为。这样，无需在用户终端设备上安装和运行相应的客户端程序，便可识别私接行为，进而可降低用户的终端设备的负担，有助于提高用户上网体验。

本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，该计算机程序被执行时，可实现上述方法中的步骤。

需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。