一种网络共享行为检测方法及装置与流程

1.本技术属于网络技术领域，具体涉及一种网络共享行为检测方法及装置。


背景技术：

2.现有技术中，在超文本传输协议(hyper text transfer protocol，http)中定义了一个user-agent字段，简称ua，该字段标识了终端操作系统及版本、中央处理器(central processing unit，cpu)类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。由于ua字段中携带了终端个体特征，因此目前主流的网络共享行为检测方式是基于ua进行的。
3.基于ua的检测方式需要全量收集业务流量进行拆解检测，检测采集和分析设备要求性能要求高，且花费时间长，检测效率低。此外，还需额外占用与网络出口级别相当的镜像物理端口资源或分光设备，以将业务数据包全量引导到采集服务器，硬件要求高。进一步地，对于基于ua的检测方式，其检测效果随业务的变化发展而改变，后续需要持续投入大量的人力分析业务行为及业务变化趋势，以此不断更新检测规则，有效性持续时间短。并且，共享与防共享攻防对抗发展至今，共享黑路由商也相应有针对性的反检测机制，如通过篡改ua，达到欺瞒检测的目的，该检测方式的可靠性有待提高。


技术实现要素：

4.本技术实施例的目的是提供一种网络共享行为检测方法及装置，以解决现有技术中的网络共享行为检测方式存在硬件要求高、检测效率低、有效性持续时间短以及检测可靠性低等检测效果差的问题。
5.第一方面，本技术实施例提供了一种网络共享行为检测方法，应用于无网络地址转换需求的网络接入系统中的服务器端，所述方法包括：
6.接收终端设备发送的网络接入请求；
7.在所述网络接入请求中，获取所述终端设备的第一ip地址；
8.确定所述第一ip地址是否为经过网络地址转换的ip地址；
9.在所述第一ip地址为经过网络地址转换的ip地址的情况下，确定所述终端设备存在网络共享行为。
10.第二方面，本技术实施例提供了一种网络共享行为检测方法，应用于无网络地址转换需求的网络接入系统中的终端设备，所述方法包括：
11.在发送网络接入请求至所述网络接入系统中的服务器端的情况下，在预设插件的作用下，触发获取所述终端设备的第二ip地址的操作；其中，所述第二ip地址为所述终端设备的真实ip地址；
12.在所述预设插件的作用下，将所述第二ip地址发送至所述服务器端。
13.第三方面，本技术实施例提供一种网络共享行为检测装置，应用于无网络地址转换需求的网络接入系统中的服务器端，所述装置包括：
14.接收模块，用于接收终端设备发送的网络接入请求；
15.第一获取模块，用于在所述网络接入请求中，获取所述终端设备的第一ip地址；
16.第一确定模块，用于确定所述第一ip地址是否为经过网络地址转换的ip地址；
17.第二确定模块，用于在所述第一ip地址为经过网络地址转换的ip地址的情况下，确定所述终端设备存在网络共享行为。
18.第四方面，本技术实施例提供一种网络共享行为检测装置，应用于无网络地址转换需求的网络接入系统中的终端设备，所述装置包括：
19.触发模块，用于在发送网络接入请求至所述网络接入系统中的服务器端的情况下，在预设插件的作用下，触发获取所述终端设备的第二ip地址的操作；其中，所述第二ip地址为所述终端设备的真实ip地址；
20.发送模块，用于在所述预设插件的作用下，将所述第二ip地址发送至所述服务器端。
21.第五方面，本技术实施例提供一种电子设备，该电子设备包括处理器和存储器，所述存储器存储可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面或第二方面所述的网络共享行为检测方法中的步骤。
22.第六方面，本技术实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面或第二方面所述的网络共享行为检测方法中的步骤。
23.本技术实施例中，在无网络地址转换需求的网络接入环境中，基于nat检测机制，确定终端设备是否存在网络共享行为。该检测方法采集ip地址数据即可进行，相比于现有技术中先采集拆解全量业务数据再进行检测的ua检测机制，能够减少检测时间，提升检测效率，且由于检测所需数据较少，分析处理操作简单，因此相比于ua检测机制硬件性能要求较低。此外，为保障正常通信，用户难以对ip层数据进行篡改，因此基于成熟的ip网络协议进行检测，相比于ua检测机制能够提高检测的可靠性，提升破解和反检测难度。进一步地，本技术实施例中的检测规则稳定，不随业务变化而改变，相比于ua检测机制有效性持续时间长。
附图说明
24.图1为本技术实施例提供的网络共享行为检测方法的流程示意图之一；
25.图2为本技术实施例提供的警告页面示意图；
26.图3为本技术实施例提供的登录页面示意图；
27.图4为本技术实施例提供的网络接入系统的网络构架示意图之一；
28.图5为本技术实施例提供的网络接入交互流程示意图；
29.图6为本技术实施例提供的网络接入系统的网络构架示意图之二；
30.图7为本技术实施例提供的网络共享行为检测方法的流程示意图之二；
31.图8为本技术实施例提供的网络共享行为检测装置的示意框图之一；
32.图9为本技术实施例提供的网络共享行为检测装置的示意框图之二。
具体实施方式
33.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，均属于本技术保护的范围。
34.应理解，说明书中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本技术的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
35.在本技术的各种实施例中，应理解，步骤的序号并不意味着绝对的先后执行顺序，各步骤的执行顺序应以其功能和内在逻辑进行确定，因此，各步骤的序号不应对本技术实施例的实施过程构成绝对的限定。
36.下面结合附图，通过具体的实施例及其应用场景对本技术实施例提供的网络共享行为检测方法进行详细地说明。
37.本技术实施例提供了一种网络共享行为检测方法，应用于无网络地址转换需求的网络接入系统中的服务器端，该网络接入系统还可以包括请求接入网络的终端设备。
38.如图1所示，该网络共享行为检测方法可以包括：
39.步骤101：接收终端设备发送的网络接入请求。
40.这里所述的网络接入请求可以是请求接入需要输入用户名和用户密码进行身份认证的网络，如公司内部的局域网、校园内的校园网等。该网络接入请求也可以称为网络访问请求。
41.步骤102：在网络接入请求中，获取终端设备的第一ip地址。
42.服务器端在接收到终端设备发送的网络接入请求后，获取该网络接入请求中包括的终端设备的网际互连协议(internet protocol，ip)地址，即第一ip地址。
43.步骤103：确定第一ip地址是否为经过网络地址转换的ip地址。
44.服务器端在获得网络接入请求中包括的第一ip地址后，判断第一ip地址是否发生过网络地址转换(network address translation，nat)，也就是确定第一ip地址是否为经过网络地址转换的ip地址。
45.步骤104：在第一ip地址为经过网络地址转换的ip地址的情况下，确定终端设备存在网络共享行为。
46.在无网络地址转换需求的网络接入环境下，若请求接入网络的终端设备的ip地址发生了网络地址转换，则说明该终端设备存在网络共享行为。与此同时，可记录该网络共享行为的发生时间、第一ip地址等信息。
47.本技术实施例中，在无网络地址转换需求的网络接入环境中，基于nat检测机制，确定终端设备是否存在网络共享行为。该检测方法采集ip地址数据即可进行，相比于先采集拆解全量业务数据再进行检测的ua检测机制，能够缩短检测时间，提升检测效率，且由于检测所需数据较少，分析处理操作简单，因此相比于ua检测机制硬件性能要求较低。此外，为保障正常通信，用户难以对ip层数据进行篡改，因此基于成熟的ip网络协议进行检测，相比于ua检测机制能够提高检测的可靠性，提升破解和反检测难度。进一步地，本技术实施例
中的检测规则稳定，不随业务变化而改变，相比于ua检测机制有效性持续时间长。最后，本技术实施例提供的技术方案，能在非nat环境中的局域网、园区网等应用场景下，阻断有nat行为的终端设备进行网络接入，具有普适性。
48.作为一种可选实施例，在步骤104“确定终端设备存在网络共享行为”之后，该网络共享行为检测方法还可以包括：
49.阻断终端设备的网络接入请求，并发送第一警告信息至终端设备。
50.本技术实施例中，服务器端在确定终端设备存在网络共享行为的情况下，可以阻断终端设备的网络接入请求，禁止终端设备接入网络，防止网络共享行为，从而提升网络安全性。此外，还可以发送警告信息(即第一警告信息)至终端设备，以对终端设备用户进行警告。进一步地，基于ua的检测方式由于要先全量采集拆解业务数据再进行检测，检测过程很可能发生在终端设备接入网络后，此时已影响网络安全，而本技术实施例可以在网络接入前进行阻断，提高了阻断效率，提升了网络安全性。
51.可选地，可以通过推送警告页面的方式，发送第一警告信息至终端设备。其中，该警告页面中包括第一警告信息，如图2所示的警告页面示意图。
52.作为一种可选实施例，在步骤103“确定所述第一ip地址是否为经过网络地址转换的ip地址”之后，该网络共享行为检测方法还可以包括：
53.在第一ip地址不是经过网络地址转换的ip地址的情况下，确定终端设备不存在网络共享行为，并发送身份认证页面至终端设备。
54.本技术实施例中，服务器端在确定第一ip地址未经过网络地址转换的情况下，确定终端设备不存在网络共享行为，则可以继续网络接入流程，发送身份认证页面(即登录页面)至终端设备，如图3所示的身份认证页面示意图。在身份认证页面，终端设备用户可以输入用户名和用户密码，以进行身份认证。
55.作为一种可选实施例，本技术实施例提供的网络共享行为检测方法可以应用于网络接入时进行身份认证的portal接入认证过程中，也就是在portal接入认证过程中插入nat检测机制，执行本技术实施例提供的网络共享行为检测方法。下面以图4和图5为例，对基于portal接入认证的网络接入流程进行说明。
56.图4示意了该网络接入流程对应的网络构架图，包括：nat检测服务器401、portal认证服务器402、radius服务器403、核心交换机404、汇聚层交换机405、接入层交换机406、终端设备407。
57.图5示意的交互流程主要以nat检测服务器401、portal认证服务器402、radius服务器403和终端设备407为对象进行描述。
58.该网络接入流程可以包括如下步骤：
59.(1)终端设备407发送网络接入请求至宽带接入服务器。其中，宽带接入服务器设置在核心交换机404上，图中未示出。
60.(2)宽带接入服务器根据接收到的网络接入请求，发送portal重定向指令至终端设备407。
61.(3)终端设备407根据接收到的portal重定向指令，发送portal重定向请求至nat检测服务器401，即发送网络接入请求至nat检测服务器401。
62.(4)nat检测服务器401接收终端设备407发送的网络接入请求(对应步骤101)，根
据接收到的网络接入请求，对请求中的ip地址进行nat检测，确定该ip地址是否经过网络地址转换(对应步骤102和步骤03)。
63.(5)若nat检测服务器401确定该ip地址经过网络地址转换，确定终端设备407存在网络共享行为(对应步骤104)，则检测不通过，推送警告页面至终端设备407。
64.(6)若nat检测服务器401确定该ip地址未经过网络地址转换，确定终端设备407不存在网络共享行为，则检测通过，向portal认证服务器402请求重定向页面。
65.(7)portal认证服务器402根据nat检测服务器401发送的请求，进行portal重定向推送，推送登录页面至终端设备407。
66.(8)终端设备用户在登录页面输入账号、密码等身份认证信息后，终端设备407将身份认证信息发送至portal认证服务器402。
67.(9)portal认证服务器402将接收到的身份认证信息推送至宽带接入服务器。
68.(10)宽带接入服务器将接收到的身份认证信息发送至radius服务器403进行拨号认证。在认证通过的情况下，radius服务器403发送认证通过通知消息至宽带接入服务器，从而在宽带接入服务器的作用下使得终端设备407接入网络。
69.需要说明的是：
70.1、前述宽带接入服务器为broadband access server或broadband remote access server的中文译名，英文缩写为bas。
71.2、前述radius为remote authentication dial in user service的英文缩写，中文名称为远程用户拨号认证服务。
72.3、执行前述步骤101至步骤104的服务器端具体可以是指nat检测服务器401。
73.4、nat检测服务器401与portal认证服务器402可以是同一服务器，这样可以减少网络设备的部署。当然，nat检测服务器401与portal认证服务器402也可以是不同服务器，这样，两个服务器彼此独立，各自执行不同功能，一个设备故障后，不影响另一个设备所要执行的功能。
74.5、nat检测服务器401可以是amp(apache-mysql-php)网站架构。
75.本技术实施例通过在portal接入认证流程中插入nat检测机制，采用主动检测的方式，仅采集必要的数据进行检测，相对于全量业务数据先采集拆解再检测阻断的业务方式，有利于提升检测阻断机制的效率。
76.并且，本技术实施例是以nat检测结果作为网络共享行为判断依据，来阻断portal登录，这种基于成熟ip网络协议的检测机制，使得共享者为保障正常通信需要而难以对ip层数据进行篡改，提高了检测的可靠性。
77.最后，本技术实施例提供的技术方案，能在非nat环境下使用portal接入认证的局域网、园区网等应用场景中，阻断有nat行为的终端接入，具有普适性。
78.作为一种可选实施例，步骤103：确定第一ip地址是否为经过网络地址转换的ip地址，可以具体包括：
79.步骤a1：接收终端设备发送的第二ip地址。
80.这里所述的第二ip地址为终端设备的真实ip地址，该第二ip地址可以是终端设备在预设插件的作用下获取并发送的。具体可以是在预设插件检测到终端设备发送网络接入请求的情况下，终端设备在预设插件的作用下获取第二ip地址并发送第二ip地址至服务器
端。
81.可选地，本技术实施例在通过portal接入认证流程对终端设备发送的网络接入请求进行身份认证的情况下，一般基于浏览器进行，因此，终端设备可以使用rtcpeerconnection协议进行自请求连接，以在交互数据中获取本机ip地址；或通过浏览器activex控件调用系统插件(windows management instrumentation，wmi)接口，获取本机ip地址；再或是通过预设插件进行网络连接嗅探，分析用户网络行为的实际出口，确定出口ip地址，从而获取本机ip地址。
82.步骤a2：将第一ip地址与第二ip地址进行对比。
83.步骤a3：在第一ip地址与第二ip地址不同的情况下，确定第一ip地址为经过网络地址转换的ip地址。
84.本技术实施例中，可以通过对比第一ip地址与第二ip地址是否相同，从而确定第一ip地址是否经过网络地址转换。若第一ip地址与第二ip地址相同，说明第一ip地址为终端设备的真实地址，即第一ip地址未经过网络地址转换。若第一ip地址与第二ip地址不同，说明第一ip地址不是终端设备的真实地址，即第一ip地址经过了网络地址转换。
85.本技术实施例中，终端设备可以在预设插件的作用下主动发送自身真实ip地址至服务器端。服务器端可以对终端设备的真实ip地址进行保存，以用于判断终端设备发送的网络接入请求中的ip地址是否经过网络地址转换。
86.其中，在通过portal接入认证流程对终端设备发送的网络接入请求进行身份认证的情况下，该预设插件可以是随浏览器应用安装至终端设备中的，当然也可以是通过其他方式安装于终端设备中的。
87.可选地，终端设备在发送第二ip地址之前，可以对第二ip地址进行加密，以提升信息安全性以及检测可靠性。
88.在第二ip地址已加密的情况下，该网络共享行为检测方法还可以包括：
89.对第二ip地址进行解密；在解密失败的情况下，阻断终端设备的网络接入请求，并发送第二警告信息至终端设备。
90.本技术实施例中，服务器端与终端设备之间可以预先协商、约定加解密规则，终端设备通过预设加密规则对第二ip地址进行加密，服务器端通过对应的预设解密规则对第二ip地址进行解密。若服务器端解密失败，说明第二ip地址可能被篡改，则将终端设备的网络接入请求判为无效接入请求，且为保证网络安全，可以阻断终端设备的网络接入请求，并发送第二警告信息至终端设备，以对终端设备用户进行警告。
91.可选地，本技术实施例可以预设若干种加解密规则，并通过排列组合方式，组成一个规则组集合，该规则组集合内的规则排序、规则内容、规则数量，均可动态调整。
92.其中，终端设备可以使用特定的方式确定加密规则序号，利用对应的加密规则对第二ip地址进行加密，而加密规则可在终端设备与服务器端之间通过特定方式加密传递。服务器端按照与终端设备之间传递的加密规则进行解密，从而获得解密后的第二ip地址。具体地，可以由终端设备中的预设插件使用特定的方式确定加密规则序号，并将本次使用的加密规则通过特定方式加密发送至服务器端。
93.作为一种可选实施例，本技术实施例中，在检测到终端设备存在网络共享行为的情况下，可以通过预设程序，模仿维护人员仿真登录网络设备，逐级递归，对第一ip地址进
行溯源，定位网络共享行为的接入位置，确定第一ip地址来源于哪个实体设备的哪个物理端口。其具体实现方式如下所述：
94.在步骤104“确定终端设备存在网络共享行为”之后，该网络共享行为检测方法还可以包括：
95.步骤b1：按照从服务器端到终端设备的方向，逐级登录服务器端与终端设备之间的交换机。
96.本技术实施例中，可按照由上级到下级的顺序，逐级登录服务器端与终端设备之间的交换机，进行第一ip地址的溯源。
97.步骤b2：确定每次登录的交换机中记录的目标mac地址的来源端口。
98.每级交换机中记录有目标mac地址的来源端口，该来源端口是当前交换机的下级设备的端口。
99.其中，可以使用查看设备mac地址表的方式，获取目标mac地址来源端口。
100.步骤b3：基于预设网络构架信息，确定目标mac地址的来源端口是否为终端设备的物理端口。
101.在获得当前交换机中记录的目标mac地址的来源端口信息后，可以基于预设网络构架信息，确定该来源端口是否为末端端口，即确定该来源端口是否为终端设备的物理端口。
102.这里所述的预设网络构架信息中包括网络接入系统中的网络设备信息以及网络设备的端口信息。该预设网络构架信息可以是网络设备维护资料，在搭建网络的过程中生成。
103.步骤b4：在目标mac地址的来源端口为终端设备的物理端口的情况下，记录该来源端口和当前登录的交换机信息。
104.在确定目标mac地址的来源端口为终端设备的物理端口的情况下，则溯源完成，并记录该来源端口信息和当前登录的交换机信息，还可以将其显示出来，以便管理员查看。这里所述的当前登录的交换机为末端接入交换机，是与终端设备连接的交换机。
105.此外，还可以记录获得溯源结果时间，以此区分网络共享行为发生时间，为可能出现的因ip地址重新分配而产生的无效记录，提供回溯依据。例如，终端设备a利用自身真实的第一ip地址请求接入网络，终端设备b通过网络地址转换，将自身的ip地址转换为第一ip地址，进行网络共享行为。服务器端发现终端设备b的网络共享行为时间为10：00，对终端设备b溯源，获得溯源结果的时间为10：10。在10：00至10：10期间，第一ip地址可能会重新分配给终端设备c，使得终端设备c利用第一ip地址请求网络接入，这样可能导致溯源结果为终端设备c的物理端口，使得服务器端发送第一警告信息至终端设备c。此时，记录的溯源结果获得时间则可以成为终端设备c的回溯依据。
106.其中，在确定目标mac地址的来源端口不是终端设备的物理端口的情况下，则继续登录下一级交换机。
107.其中，执行步骤b1至步骤b4的服务器可以与执行步骤101至步骤104的服务器为同一服务器，如均是nat检测服务器，也可以是不同服务器，如步骤b1至步骤b4由单独的溯源服务器执行。
108.为了更好地理解上述方案，下面以图6为例进行进一步的解释说明。
109.图6示意了一种网络接入系统的网络构架示意图，该网络接入系统可以包括：溯源服务器408、nat检测服务器401、数据库服务器409、核心交换机404、汇聚层交换机405、接入层交换机406和终端设备407。
110.nat检测服务器401对于检测到的网络共享行为，会记录网络共享行为发生时间、网络共享行为对应的第一ip地址等信息，形成网络共享行为记录。
111.溯源服务器408可以定期从nat检测服务器401获取网络共享行为记录，判断是否有新增的网络共享行为。在发现新增网络共享行为后，获取对应的第一ip地址。其中，nat检测服务器401的access.log中有警告页面推送访问日志(即网络共享行为记录)，溯源服务器408通过读取access.log中的信息，可以读取新增网络共享行为对应的第一ip地址。
112.溯源服务器408在获得第一ip地址后，可以使用visual basic脚本语言(visual basic script，vbscript)作为命令执行脚本模板，调用securecrt作为命令执行平台，仿真人工登录操作。
113.对于图6所示的网络构架，首先仿真人工登录核心交换机404。在核心交换机404上，可以通过动态主机配置协议(dynamic host configuration protocol，dhcp)分配日志中ip地址与mac地址的对应关系，确定与第一ip地址对应的目标mac地址，以及通过设备arp(address resolution protocol，地址解析协议)表或设备mac地址表，确定核心交换机404中记录的目标mac地址的来源端口。溯源服务器408可以从数据库服务器409获取网络设备维护资料，基于网络设备维护资料可以确定核心交换机404中记录的目标mac地址的来源端口是否为目标mac地址的末端端口。溯源服务器408获取的网络设备维护资料主要为规范格式后入库的mysql数据库资料，对于数据库中缺失的设备资料，溯源服务器408可以通过读取excel原始表格进行获取，规范格式化后再补充入库。
114.对于图6所示的网络构架，显然核心交换机404中记录的目标mac地址的来源端口不是目标mac地址的末端端口，则继续仿真人工登录汇聚层交换机405，依次类推，通过逐级仿真人工登录核心交换机404、汇聚层交换机405，直至仿真人工登录接入层交换机406后，确定了接入层交换机606中记录的目标mac地址的来源端口为末端端口。之后，将末端接入交换机(即接入层交换机406)信息、目标mac地址的末端端口信息写入mysql数据库，并记录获得溯源结果时间。在有需要的情况下，对于记录的信息可以提供页面展示，为行政执法提供精准定位。
115.其中，图6中的410为网络共享设备黑路由，可以将终端设备的ip地址进行网络地址转换。
116.其中，每级交换机的登录账号和密码，可以在网络设备维护资料中获取。
117.本技术实施例还提供了一种网络共享行为检测方法，应用于无网络地址转换需求的网络接入系统中的终端设备。
118.如图7所示，该网络共享行为检测方法可以包括：
119.步骤701：在发送网络接入请求至网络接入系统中的服务器端的情况下，在预设插件的作用下，触发获取终端设备的第二ip地址的操作。
120.其中，第二ip地址为终端设备的真实ip地址。
121.步骤702：在预设插件的作用下，将第二ip地址发送至服务器端。
122.本技术实施例中，安装于终端设备中的预设插件在检测到终端设备发送网络接入
请求至服务器端的情况下，可以触发获取终端设备真实ip地址(即第二ip地址)的处理操作，以及将真实ip地址发送至服务器端的发送操作。
123.这里所述的预设插件可以是终端设备系统自带的插件。若是通过portal接入认证流程，对终端设备发送的网络接入请求进行身份认证，该预设插件也可以是随浏览器应用安装至终端设备中的，当然，也可以是通过其他方式安装于终端设备中的。
124.通过该预设插件，终端设备可以主动将自身的真实ip地址发送至服务器端，便于服务器端进行nat检测，也有利于减少终端设备将虚假ip地址作为真实ip地址发送的情况。
125.作为一种可选实施例，步骤702“在预设插件的作用下，将第二ip地址发送至服务器端”可以包括：
126.在多个预设加密规则中，确定目标加密规则；利用所述目标加密规则，对所述第二ip地址进行加密；在预设插件的作用下，将加密后的所述第二ip地址发送至服务器端。
127.本技术实施例中，终端设备在发送第二ip地址之前，可以对第二ip地址进行加密，以提升信息安全性以及检测可靠性。
128.本技术实施例可以预设若干种加解密规则，并通过排列组合方式，组成一个规则组集合，该规则组集合内的规则排序、规则内容、规则数量，均可动态调整。
129.其中，终端设备可以使用特定的方式确定加密规则序号，利用对应的加密规则对第二ip地址进行加密，而加密规则可在终端设备与服务器端之间通过特定方式加密传递。服务器端按照与终端设备之间传递的加密规则进行解密，从而获得解密后的第二ip地址。若服务器端解密失败，说明第二ip地址可能被篡改，则将终端设备的网络接入请求判为无效接入请求且为保证网络安全，可以阻断终端设备的网络接入请求，并发送第二警告信息至终端设备，以对终端设备用户进行警告。
130.具体地，可以由终端设备中的预设插件使用特定的方式确定加密规则序号，并将本次使用的加密规则通过特定方式加密发送至服务器端。
131.以上即为对本技术实施例提供的网络共享行为检测方法的描述。
132.综上所述，本技术实施例中，在无网络地址转换需求的网络接入环境中，基于nat检测机制，确定终端设备是否存在网络共享行为。该检测方法采集ip地址数据即可进行，相比于先采集拆解全量业务数据再进行检测的ua检测机制，能够缩短检测时间，提升检测效率，且由于检测所需数据较少，分析处理操作简单，因此相比于ua检测机制硬件性能要求较低。此外，为保障正常通信，用户难以对ip层数据进行篡改，因此基于成熟的ip网络协议进行检测，相比于ua检测机制能够提高检测的可靠性，提升破解和反检测难度。进一步地，本技术实施例中的检测规则稳定，不随业务变化而改变，相比于ua检测机制有效性持续时间长。最后，本技术实施例提供的技术方案，能在非nat环境中的局域网、园区网等应用场景下，阻断有nat行为的终端设备进行网络接入，具有普适性。
133.此外，通过预设插件，终端设备可以主动将自身的真实ip地址发送至服务器端，便于服务器端进行nat检测，也有利于减少终端设备将虚假ip地址作为真实ip地址发送的情况。
134.以上介绍了本技术实施例提供的网络共享行为检测方法，下面将结合附图介绍本技术实施例提供的网络共享行为检测装置。
135.如图8所示，本技术实施例还提供了一种网络共享行为检测装置，应用于无网络地
址转换需求的网络接入系统中的服务器端。
136.其中，所述网络共享行为检测装置可以包括：
137.接收模块801，用于接收终端设备发送的网络接入请求。
138.第一获取模块802，用于在所述网络接入请求中，获取所述终端设备的第一ip地址。
139.第一确定模块803，用于确定所述第一ip地址是否为经过网络地址转换的ip地址。
140.第二确定模块804，用于在所述第一ip地址为经过网络地址转换的ip地址的情况下，确定所述终端设备存在网络共享行为。
141.可选地，所述装置还可以包括：
142.第一处理模块，用于阻断所述网络接入请求，并发送第一警告信息至所述终端设备。
143.可选地，所述第一确定模块803可以包括：
144.接收单元，用于接收所述终端设备发送的第二ip地址。
145.其中，所述第二ip地址为所述终端设备的真实ip地址，且为所述终端设备在预设插件的作用下获取并发送的。
146.对比单元，用于将所述第一ip地址与所述第二ip地址进行对比。
147.第一确定单元，用于在所述第一ip地址与所述第二ip地址不同的情况下，确定所述第一ip地址为经过网络地址转换的ip地址。
148.可选地，所述终端设备发送的所述第二ip地址已加密。
149.所述装置还可以包括：
150.解密模块，用于对所述第二ip地址进行解密。
151.第二处理模块，用于在解密失败的情况下，阻断所述网络接入请求，并发送第二警告信息至所述终端设备。
152.可选地，所述装置还可以包括：
153.登录模块，用于按照从所述服务器端到所述终端设备的方向，逐级登录所述服务器端与所述终端设备之间的交换机。
154.第二获取模块，用于获取每次登录的交换机中记录的目标mac地址的来源端口。
155.其中，所述目标mac地址与所述第一ip地址对应。
156.第三确定模块，用于基于预设网络构架信息，确定所述来源端口是否为所述终端设备的物理端口。
157.其中，所述预设网络构架信息中包括所述网络接入系统中的网络设备信息以及网络设备的端口信息。
158.记录模块，用于在所述来源端口为所述终端设备的物理端口的情况下，记录所述来源端口信息和当前登录的交换机信息。
159.本技术实施例提供的网络共享行为检测装置能够实现图1所示方法实施例中网络共享行为检测装置实现的各个过程，为避免重复，这里不再赘述。
160.如图9所示，本技术实施例还提供了一种网络共享行为检测装置，应用于无网络地址转换需求的网络接入系统中的终端设备。
161.其中，所述网络共享行为检测装置可以包括：
162.触发模块901，用于在发送网络接入请求至所述网络接入系统中的服务器端的情况下，在预设插件的作用下，触发获取所述终端设备的第二ip地址的操作。
163.其中，所述第二ip地址为所述终端设备的真实ip地址。
164.发送模块902，用于在所述预设插件的作用下，将所述第二ip地址发送至所述服务器端。
165.可选地，所述发送模块902可以包括：
166.第二确定单元，用于在多个预设加密规则中，确定目标加密规则。
167.加密单元，用于利用所述目标加密规则，对所述第二ip地址进行加密。
168.发送单元，用于在所述预设插件的作用下，将加密后的所述第二ip地址发送至所述服务器端。
169.本技术实施例提供的网络共享行为检测装置能够实现图7所示方法实施例中网络共享行为检测装置实现的各个过程，为避免重复，这里不再赘述。
170.本技术实施例中，在无网络地址转换需求的网络接入环境中，基于nat检测机制，确定终端设备是否存在网络共享行为。该检测方法采集ip地址数据即可进行，相比于先采集拆解全量业务数据再进行检测的ua检测机制，能够缩短检测时间，提升检测效率，且由于检测所需数据较少，分析处理操作简单，因此相比于ua检测机制硬件性能要求较低。此外，为保障正常通信，用户难以对ip层数据进行篡改，因此基于成熟的ip网络协议进行检测，相比于ua检测机制能够提高检测的可靠性，提升破解和反检测难度。进一步地，本技术实施例中的检测规则稳定，不随业务变化而改变，相比于ua检测机制有效性持续时间长。最后，本技术实施例提供的技术方案，能在非nat环境中的局域网、园区网等应用场景下，阻断有nat行为的终端设备进行网络接入，具有普适性。
171.本技术实施例还提供了一种电子设备，包括处理器和存储器，存储器上存储有可在所述处理器上运行的程序或指令，该程序或指令被处理器执行时实现上述网络共享行为检测方法实施例的各个步骤，且能达到相同的技术效果，为避免重复，这里不再赘述。
172.本技术实施例还提供了一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述网络共享行为检测方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。
173.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
174.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom、ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
175.最后应说明的是：以上实施例仅用以说明本技术的技术方案，而非对其限制；尽管
参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的精神和范围。