对唯一机器标识符的欺骗的确定.pdf

上传人：a3

文档编号：664712

上传时间：2018-03-02

格式：PDF

页数：14

大小：885.42KB

《对唯一机器标识符的欺骗的确定.pdf》由会员分享，可在线阅读，更多相关《对唯一机器标识符的欺骗的确定.pdf（14页完整版）》请在专利查询网上搜索。

1、10申请公布号CN104067649A43申请公布日20140924CN104067649A21申请号201280068645822申请日20120131H04W12/0820090171申请人惠普发展公司，有限责任合伙企业地址美国德克萨斯州72发明人CA布拉克DE福德74专利代理机构中国专利代理香港有限公司72001代理人谢攀徐红燕54发明名称对唯一机器标识符的欺骗的确定57摘要在一个实施例中，边缘网络设备可以监视在网络服务设备处所提供的网络服务。与所监视的网络服务相关的信息可以暂时存储在边缘网络设备处并且被发送到远程网络设备。在一个实施例中，管理设备可以将当前的提取信息与存储的历史信息进行。

2、比较，以确定终端用户设备的唯一机器标识符是否已被欺骗。85PCT国际申请进入国家阶段日2014073186PCT国际申请的申请数据PCT/US2012/0234032012013187PCT国际申请的公布数据WO2013/115807EN2013080851INTCL权利要求书2页说明书6页附图5页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图5页10申请公布号CN104067649ACN104067649A1/2页21一种方法，包括从边缘网络设备接收当前信息，所接收的当前信息与终端用户设备的介质访问控制（MAC）地址相关联；将所接收的信息与所存储的与所述终端用户。

3、设备的MAC地址相关联的历史信息进行比较；以及基于所述比较来确定所述终端用户设备的MAC地址是否已被欺骗。2根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括接收与所述终端用户设备的浏览信息相关的当前信息。3根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括接收标识所述终端用户设备已访问的服务的当前信息。4根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括接收标识所述终端用户设备的物理位置的当前信息。5根据权利要求1所述的方法，还包括如果确定所述终端用户设备的MAC地址已被欺骗，则执行修复。6根据权利要求5所述的方法，其中执行修复包括拒绝网络访问所述终。

4、端用户设备、限制网络的一部分访问所述终端用户设备、以及发布所述终端用户设备的地址已被欺骗的警告中的至少一个。7根据权利要求1所述的方法，其中确定所述终端用户设备的MAC地址是否已被欺骗还包括向所述终端用户设备上的欺骗保护模块发送确认请求；确定是否接收到响应于所述确认请求的确认；以及如果未接收到确认，则确定所述终端用户设备的MAC地址已被欺骗。8一种装置，包括存储器，存储一组指令；以及处理器，用以执行所存储的一组指令，所述处理器用以分析与终端用户设备的唯一机器标识符相关联的历史和当前信息；将由分析器所分析的与唯一机器标识符相关联的当前信息和与该唯一机器标识符相关联的历史信息进行比较，以基于所述比。

5、较的结果来确定所述终端用户设备的唯一机器标识符是否已被欺骗。9根据权利要求8所述的装置，所述处理器还用以向所述终端用户设备发送请求欺骗保护模块的确认的确认请求；确定是否接收到响应于所述确认请求的确认；以及如果未接收到确认，则确定所述终端用户设备的唯一机器标识符已被欺骗。10根据权利要求8所述的装置，所述处理器还用以如果确定唯一机器标识符已被欺骗，则进行拒绝网络访问所述终端用户设备、限制网络的一部分访问所述终端用户设备、以及发布所述终端用户设备的地址已被欺骗的警告中的至少一个。11根据权利要求8所述的装置，还包括接收器，用以周期性地从边缘网络设备接收信息，所述信息与所述终端用户设备的唯权利要求书。

6、CN104067649A2/2页3一机器标识符相关联。12根据权利要求8所述的装置，其中当所述处理器用以比较当前信息与历史信息时，所述处理器还用以确定所述比较结果是否超出预定的阈值，从而确定所述终端用户设备的唯一机器标识符已被欺骗。13一种非临时计算机可读介质，存储可由处理器执行以执行一种方法的一组指令，所述方法用以在边缘网络设备处接收来自终端用户设备的请求；提取与所述请求相关的信息；将所提取的信息与所述终端用户设备的唯一机器标识符相关联；将所提取的信息存储在存储中；以及将接收到的请求发送到远程网络设备以供处理。14根据权利要求13所述的非临时计算机可读介质，所述方法还用以将与唯一机器标识符相。

7、关联的所存储的提取信息发送到管理网络设备；以及从存储移除所存储的提取信息。15根据权利要求13所述的非临时计算机可读介质，其中所提取的信息是所述终端用户设备的浏览信息、标识由所述终端用户设备所访问的服务的信息、以及所述终端用户设备的物理位置中的至少一个。权利要求书CN104067649A1/6页4对唯一机器标识符的欺骗的确定背景技术0001网络通常具有在其中操作的多个设备，包括终端用户设备、边缘网络设备、管理网络的管理设备、以及其他网络设备。终端用户设备可以通过边缘网络设备访问网络内的网络设备。0002网络设备上的网络接口具有唯一机器标识符，例如介质访问控制（MAC）地址。当终端用户设备在网络。

8、中注册时，某些权利、服务、资源等可以被分配给终端用户设备并与唯一机器标识符相关联。因而，当终端用户设备访问网络时，终端用户设备具有到被分配给终端用户设备的唯一机器标识符的并与其相关联的那些权利、服务、资源等的访问。附图说明0003图1是根据本公开的示例性实施例的系统环境的示例性示图；图2是根据本公开的示例性实施例的边缘网络设备的示例性示图；图3是根据本公开的示例性实施例的管理设备的示例性示图；图4是根据本公开的示例性实施例的用以确定终端用户设备的唯一机器标识符是否已被欺骗的方法的示例性流程图；图5是根据本公开的示例性实施例的用以提取边缘网络设备处的信息的方法的示例性流程图。具体实施方式0004。

9、当终端用户设备在网络中注册时，某些权利可以被分配给终端用户设备并与终端用户设备的唯一机器标识符相关联。因而，当终端用户设备访问网络时，终端用户设备可以基于终端用户设备的唯一机器标识符而利用被分配的权利。0005终端用户设备的唯一机器标识符（例如，MAC地址）的欺骗发生在改变被分配给设备的特定网络接口的MAC地址来获取权利、访问另一终端用户设备的资源等时。这可以被完成以便例如消除服务器或路由器上的访问控制列表，从而隐藏网络上的设备、访问将以其他方式不可访问的网络的部分、或者允许设备模仿另一网络设备。0006本文讨论欺骗设备的确定，该欺骗设备欺骗终端用户设备的唯一机器标识符。通常，终端用户设备的用。

10、户具有某些网络访问习惯，例如在同一天或一天的特定时间期间访问相同的网站、在特定的位置在特定的时间登录到网络上、在登入到网络中时访问相同的服务等等。因而，欺骗事件的确定可以基于可以例如从来自终端用户设备的请求提取的、或与其相关的信息而发生。信息可以在边缘网络设备处提取并存储。所提取的信息可以发送到管理设备并存储。所提取的信息可以与所提取的终端用户设备的历史信息相比较。可以基于最新或当前的提取信息与历史信息的比较来做出终端用户设备的唯一机器标识符是否已经被欺骗的确定。0007系统环境图1是根据本公开的示例性实施例的示例性系统环境100。如图1中所示，系统环境说明书CN104067649A2/6页5。

11、100包括终端用户设备102、边缘网络设备104、网络设备106和管理设备108。系统环境还可以包括边缘网络设备110和欺骗设备112。图1中所描绘的设备操作在网络中，其中网络可以实现为根据本文所讨论的功能的任何广域网（WAN）或局域网（LAN）中的一个或多个。例如，一个或多个网络可以实现为任何有线或无线网络，包括企业网络、全球移动通信系统（GSM）网络、宽带码分多址（WCDMA）、通用分组无线服务（GPRS）、个人通信服务（PCS）、全球微波接入互操作性（WIMAX）、局域网（LAN）、WAN，例如因特网等。可以理解，附加的设备可以并入系统环境100中。0008边缘网络设备104、边缘网络设。

12、备106和管理设备108可以通过包括机器可读指令的软件、包括机器可读指令的固件、和/或硬件的任何合适的组合来实现。如本文所讨论的，边缘网络设备104、边缘网络设备106和管理设备108可以包括主和次级存储器，其可以是可配置成存储可由处理器执行的机器可读指令的计算机可读介质。主和/或次级存储器还可以可配置成从例如便携式计算机可读介质（例如，光盘/数字视频盘）等的外部存储器接收安装包。边缘网络设备104和管理设备108可以包括次级存储器，其可以实现在设备内和/或可以实现为外部数据存储。0009终端用户设备102和欺骗设备112可以实现为任何计算设备，例如膝上型计算机、台式计算机、移动计算设备、个人。

13、数字助理（PDA）等。终端用户设备102可以通信链接到边缘网络设备104，并且可以通过边缘网络设备104访问网络。欺骗设备112可以是欺骗终端用户设备的唯一机器标识符的终端用户设备，并且可以实现为任何计算设备，例如膝上型计算机、台式计算机、移动计算设备、个人数字助理（PDA）、平板计算设备等。欺骗设备112可以通信链接到边缘网络设备110，并且可以通过边缘网络设备110访问网络。可以理解，环境100可以包括附加的终端用户设备、欺骗设备和边缘网络设备。0010在一个实施例中，如以下更全面地讨论的，终端用户设备102可以可选地包括欺骗保护模块（未示出）。在该实施例中，欺骗设备112可以不包括欺骗保。

14、护模块。0011边缘网络设备104和边缘网络设备110可以实现为例如边缘网络交换机、边缘网络路由器、边缘控制器、无线边缘接入点、无线边缘路由器等。边缘网络设备104和边缘网络设备110可以被视为边缘网络设备，原因在于它们位于网络的边缘上，即它们直接通信链接到终端用户设备102或欺骗设备112，其中不存在促进边缘网络设备与终端用户设备或欺骗设备之间的通信的中间计算设备。0012边缘网络设备104可以直接通信链接到终端用户设备102。边缘网络设备104可以是终端用户设备102进入网络中的点。边缘网络设备104可以通信链接到网络设备106。0013边缘网络设备110可以直接通信链接到欺骗设备112。。

15、边缘网络设备110可以是欺骗设备112进入网络中的点。边缘网络设备110可以通信链接到网络设备。0014可以理解，附加的网络设备可以驻存于边缘网络设备104、110和网络设备106之间的通信路径中，例如一个或多个路由器、交换机等。边缘网络设备104、110可以通信链接到管理设备108。可以理解，附加的网络设备可以驻存于边缘网络设备104和管理设备108之间的通信路径中，例如路由器、交换机等。0015边缘网络设备104可以包括当前信息存储114，以存储与终端用户设备102及其请求相关的、并且与终端用户设备102的唯一机器标识符相关联的当前信息。这在下文更全面地讨论。说明书CN104067649A。

16、3/6页60016边缘网络设备110可以包括当前信息存储116，以存储与欺骗设备112相关的并且与欺骗设备112的唯一机器标识符相关联的当前信息。这在下文更全面地讨论。0017管理设备108可以通信链接到边缘网络设备104、网络设备106和边缘网络设备110。如下文更全面地讨论的，管理设备可以包括欺骗确定模块118和分析模块120。如下文更全面地讨论的，管理设备108还可以包括分析器模块120。管理设备可以包括或者通信链接到存储122。如下文更全面地讨论的，存储122可以包括历史信息124。0018如本文所讨论的，系统环境100中的每个设备可以包括唯一机器标识符，例如介质访问控制（MAC）地址。

17、、网际协议（IP）地址等。0019边缘网络设备图2描绘了示例性边缘网络设备。如关于图2所讨论的，可以实现边缘网络设备104和110。如图2中所示，除了用以促进联网操作的组件（未示出）之外，边缘网络设备包括控制器202、存储器206、当前信息存储管理模块208、以及当前信息存储210。当前信息存储管理模块208可以在软件中以存储于计算机可读存储介质中的计算机可执行指令的形式来实现，当所述指令被处理器执行时，实现如本文所讨论的功能。0020当前信息存储管理模块208可以促进从终端用户设备接收一个或多个请求以访问网络中的设备。当前信息存储管理模块208可以提取与一个或多个请求相关的信息。该信息可以包。

18、括浏览信息，例如关于网络中的WEB（网）站的信息，例如主机名、WEB页等；以统一资源定位（URL）地址的形式的所提取的数据；与由终端用户设备所访问的服务/应用（例如邮件服务器、代理服务器、在网络中的服务器上运行的应用等）相关的信息，以例如传输控制（TCP）端口数、用户数据报协议（UDP）端口数等的形式的所提取的数据；以及标识以边缘网络设备的形式的终端用户设备的位置的位置信息，例如网际协议（IP）地址等，和/或终端用户设备从其访问网络的端口等。0021所提取的信息可以与发送请求的终端用户设备的唯一机器标识符相关联，并且存储在当前信息存储210中。可以理解，可以提取并存储与终端用户设备相关的其他信。

19、息。0022当前信息存储210可以实现在边缘网络设备内，其中可以存储与终端用户设备的唯一机器标识符相关联的当前信息。与终端用户设备的唯一机器标识符相关联的浏览信息、服务/应用信息、位置信息等可以被存储在当前信息存储210中的一个或多个表中。0023可以理解，位置信息可以单独地发送到管理设备108，其中管理设备108可以将信息存储在存储124中。例如，当终端用户设备第一次访问网络时，边缘网络设备然后可以将位置信息发送到管理设备。0024当前信息存储管理模块208可以将存储在当前信息存储210中的当前信息发送到管理设备108。该信息可以在提取时、以预定的时间间隔（例如每分钟、每五分钟、每小时等）发。

20、送。所存储的当前信息的发送可以通过边缘网络设备处、管理设备108处等的用户接口（未示出）而可配置。一旦当前信息被发送到管理设备108，则可以从当前信息存储210删除当前信息。0025控制器202可以控制从终端用户设备到网络中的其他设备的请求的接收和发送，并且可以促进由当前信息存储管理模块208对当前信息的提取和存储。说明书CN104067649A4/6页70026网络设备网络设备106可以实现为放置在一起或彼此远离放置的一个或多个计算设备。网络服务设备106可以位于网络中的任何地方，包括网络的边缘、数据中心、区（CAMPUS）、分支等。网络服务设备可以实现为包括名称服务器的一个多个设备，例如动。

21、态主机配置协议（DHCP）服务器、域名系统（DNS）、WEB服务器、因特网服务提供商服务器、电子邮件服务器、打印机服务器、远程认证拨号用户服务（RADIUS）服务器、ORACLE（甲骨文）数据库、SAP、IRONMOUNTAIN（铁山）PC备份服务器、诺顿反病毒服务器、轻量目录访问协议（LDAP）等。网络服务设备106可以直接地或者通过一个或多个中间网络设备（例如路由器、交换机等）通信链接到边缘网络设备104。可以理解，可以根据本文所讨论的特征来监视网络中所提供的任何服务。0027管理设备图3描绘示例性管理设备。如关于图3所讨论的，可以实现管理设备108。如图3中所示，管理设备包括控制器302。

22、、网络通信304、分析模块306、欺骗确定模块308、存储器310、次级存储器312、和输入/输出设备314。管理设备可以可选地包括修复模块316。0028如本文所讨论的，控制器302可以促进关于管理设备所讨论的功能。0029除其他之外，网络通信304还可以接收与终端用户设备的唯一机器标识符相关联的当前信息。0030次级存储器312可以存储与唯一机器标识符相关联的、如从边缘网络设备所接收的当前信息。0031次级存储器312可以进一步存储与唯一机器标识符相关联的历史信息。历史信息可以是从边缘网络设备接收到的当前信息，但是基于如下而已经变成历史信息例如经过预定的时间段、接收到与相同的唯一机器标识符。

23、相关联的新的当前信息、由具有该唯一机器标识符的终端用户设备发起新的网络会话、由具有该唯一机器标识符的终端用户设备结束网络会话、在分析和/或比较当前信息与历史信息之后等等。0032分析模块306可以访问与唯一机器标识符相关联的且存储在次级存储312中的包括当前和历史信息的信息，并且执行统计分析以便确定当前与历史数据之间的相似性。所述分析可以包括确定两组数据之间的方差、标准差等。0033可替代地，当前信息可以存储在存储器310中，并且可由分析模块306访问，以便在被存储于次级存储312中之前，对当前信息执行分析并与历史信息进行比较。这可以有助于确保历史数据是与终端用户设备而不是欺骗设备相关的数据。。

24、0034欺骗确定模块308可以从分析模块306接收对信息的分析的结果，并且确定唯一机器标识符是否被欺骗。该确定可以例如通过设定阈值来完成，以使得当分析模块的结果超出预定义的阈值时，其可以确定欺骗操作可能已经发生。0035可替代地，如下文更全面地讨论的，欺骗确定模块可以包括附加的检查，以通过尝试与终端用户设备处的欺骗保护模块通信来确定欺骗操作是否已经发生。0036管理设备可以包括修复模块316。修复模块316可以实现措施，以基于对欺骗唯一机器标识符的终端用户设备的确定来限制或拒绝对网络的一个或多个部分的访问。这些措施可以包括向网络内的一个或多个设备发布包括与欺骗确定相关的信息（例如欺骗事件、欺骗。

25、设备的位置等）的警告；切断欺骗设备对网络的访问；限制欺骗设备对网络的一个或多说明书CN104067649A5/6页8个部分的访问；等等。0037分析模块306、欺骗确定模块308和修复模块316可以实现为存储在管理设备处的机器可读介质中的机器可读指令，所述指令可由控制器执行以执行如利用那些模块中的每个所讨论的功能。0038终端用户设备终端用户设备可以包括存储在其上的欺骗保护模块，并且可以与终端用户设备的唯一机器标识符相关联。欺骗保护模块可以实现为存储在机器可读介质中的、可由控制器执行的一个或多个机器可读指令。0039管理设备可能已经在其中存储了与终端用户设备的唯一机器标识符相关联的信息，其中信。

26、息与存储在终端用户设备处的欺骗保护模块相关。0040欺骗保护模块可以由管理设备可访问，以使得如果在修复之前由管理设备处的欺骗确定模块确定欺骗事件，则欺骗确定模块可以尝试与终端用户设备处的欺骗确定模块进行通信。这可以例如通过管理设备向欺骗保护模块发送确认请求而完成。如果与欺骗保护模块进行成功通信，则欺骗保护模块可以发送针对确认请求的响应。当接收到确认请求时，管理设备在已经证实唯一机器标识符未被欺骗的情况下可以不采取任何修复措施。然而，如果管理设备未接收到针对确认请求的响应，那么可以针对欺骗设备采取修复措施。0041边缘网络设备处的当前信息存储边缘网络设备处的当前信息存储可以实现为例如存储与终端用。

27、的户设备102的唯一机器标识符相关联的当前信息的表。例如，每个唯一机器标识符可能已经在那与存储从接收自具有唯一机器标识符的终端用户设备的请求所提取的信息的表相关联。该表可以被配置成使得一个轴包括与终端用户设备请求访问的网络设备或网络服务相关的信息。另一个轴可以包括时间。时间可以包括日期、星期几、小时、分钟等。0042当从终端用户设备接收到请求时，可以提取关于该请求的信息。该信息可以包括网站的地址、主机名、WEB页等等。当提取信息时，更新与唯一机器标识符相关联的表，从而指示终端用户设备已经请求对该网络设备的访问。该指示可以以计数器的形式做出，该计数器对在特定时间段期间针对特定网站、主机名、WEB。

28、页等请求访问的次数进行计数。0043周期性地，将如与唯一机器标识符相关联的表中的信息发送到管理设备，并且删除计数器信息。这可以是基于时间的（例如在预定义的时间间隔期间），或者基于事件的（例如基于用户网络访问会话）等。0044在表中存储从接收自终端用户设备的新请求所提取的信息，并且重复该过程。0045欺骗确定过程图4描绘了根据示例性实施例的用于确定终端用户设备的唯一机器标识符是否已被欺骗的方法的示例性流程图。如关于图4所讨论的，该方法可以实现在管理设备处。如图4中所示，从边缘网络设备接收当前信息，所接收的当前信息与终端用户设备的介质访问控制（MAC）地址相关联（402）。当前信息可以以来自具有唯。

29、一机器标识符的终端用户设备的请求的形式被接收。所接收的信息可以与所存储的与终端用户设备的唯一机器标识符相关联的历史信息进行比较（404）。可以基于该比较来做出终端用户设备的唯一机器标识符是否已被欺骗的确定（406）。0046在一个实施例中，终端用户设备的唯一机器标识符是否已被欺骗的确定可以包括说明书CN104067649A6/6页9从管理设备向终端用户设备的查询。查询可以例如是向终端用户设备处的欺骗保护模块的确认请求。如果接收到针对该确认请求的响应，那么可以确定唯一机器标识符未被欺骗。如果未接收到响应，那么可以确定唯一机器标识符已被欺骗并且可以采用修复措施，例如拒绝网络访问终端用户设备、限制网。

30、络的一部分访问终端用户设备、以及发布终端用户设备的地址已被欺骗的警告。0047所接收的信息可以涉及终端用户设备的浏览信息，可以标识终端用户设备已访问的服务，可以标识关于终端用户设备的物理位置等。0048如果做出确定终端用户设备已被欺骗，则可以执行修复，包括拒绝网络访问终端用户设备、限制网络的一部分访问终端用户设备、以及发布终端用户设备的地址已被欺骗的警告中的至少一个。0049可以理解，关于图4所描述的方法可以在从边缘网络设备接收到任何当前信息时（在之前已经收集了历史信息之后）执行；并且可以周期性地、随机地等等经由图形用户界面而配置。0050当前信息可以作为历史信息存储在次级存储中。0051在一。

31、个实施例中，在任何当前信息被存储为历史信息之前，可以执行当前信息与历史信息的分析和/或比较，以确定终端用户设备的唯一机器标识符是否已被欺骗。如果确定终端用户设备的唯一机器标识符未被欺骗，那么当前信息可以存储为历史信息并与唯一机器标识符相关联，因而确保历史信息的完整性。如果唯一机器标识符已被欺骗，那么当前信息可能不存储为历史信息而与被欺骗的唯一机器标识符相关联。0052图5描绘了根据示例性实施例的用于提取与请求相关的信息的方法的示例性流程图。如关于图5所讨论的方法可以实现在边缘网络设备处。如图5中所示，可以在边缘网络设备处接收来自终端用户设备的请求（502）。可以从请求提取与该请求相关的信息（5。

32、04）。所提取的信息可以与终端用户设备的唯一机器标识符相关联（506）。可以在边缘网络设备处存储所提取的信息（508）。可以将接收到的请求发送到远程网络设备以供处理（510）。0053可以将与唯一机器标识符相关联的所存储的提取信息发送到管理设备。一旦将所存储的提取信息发送到管理设备，则可以删除存储中的信息。与唯一机器标识符相关联的新提取的信息可以存储在存储中并且可以重复该过程。0054可以理解，关于图5所描述的方法可以在从终端用户设备接收到所有的请求时执行；周期性地、随机地等等。0055可以将与唯一机器标识符相关联的所存储的提取信息发送到管理设备，并且从当前信息存储移除或删除。说明书CN104067649A1/5页10图1说明书附图CN104067649A102/5页11图2说明书附图CN104067649A113/5页12图3说明书附图CN104067649A124/5页13图4说明书附图CN104067649A135/5页14图5说明书附图CN104067649A14。

摘要
申请专利号：	CN201280068645.8	申请日：	2012.01.31
公开号：	CN104067649A	公开日：	2014.09.24
当前法律状态：	实审	有效性：	审中
法律详情：	专利申请权的转移IPC(主分类):H04W 12/08登记生效日:20161221变更事项:申请人变更前权利人:惠普发展公司，有限责任合伙企业变更后权利人:慧与发展有限责任合伙企业变更事项:地址变更前权利人:美国德克萨斯州变更后权利人:美国德克萨斯州\|\|\|实质审查的生效IPC(主分类):H04W 12/08申请日:20120131\|\|\|公开
IPC分类号：	H04W12/08(2009.01)I	主分类号：	H04W12/08
申请人：	惠普发展公司，有限责任合伙企业
发明人：	C.A.布拉克; D.E.福德
地址：	美国德克萨斯州
优先权：
专利代理机构：	中国专利代理(香港)有限公司 72001	代理人：	谢攀;徐红燕
PDF完整版下载：	PDF下载

内容摘要

在一个实施例中，边缘网络设备可以监视在网络服务设备处所提供的网络服务。与所监视的网络服务相关的信息可以暂时存储在边缘网络设备处并且被发送到远程网络设备。在一个实施例中，管理设备可以将当前的提取信息与存储的历史信息进行比较，以确定终端用户设备的唯一机器标识符是否已被欺骗。

权利要求书

1.  一种方法，包括：
从边缘网络设备接收当前信息，所接收的当前信息与终端用户设备的介质访问控制（MAC）地址相关联；
将所接收的信息与所存储的与所述终端用户设备的MAC地址相关联的历史信息进行比较；以及
基于所述比较来确定所述终端用户设备的MAC地址是否已被欺骗。

2.  根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括：
接收与所述终端用户设备的浏览信息相关的当前信息。

3.  根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括：
接收标识所述终端用户设备已访问的服务的当前信息。

4.  根据权利要求1所述的方法，其中从所述边缘网络设备接收当前信息包括：
接收标识所述终端用户设备的物理位置的当前信息。

5.  根据权利要求1所述的方法，还包括：
如果确定所述终端用户设备的MAC地址已被欺骗，则执行修复。

6.  根据权利要求5所述的方法，其中执行修复包括拒绝网络访问所述终端用户设备、限制网络的一部分访问所述终端用户设备、以及发布所述终端用户设备的地址已被欺骗的警告中的至少一个。

7.  根据权利要求1所述的方法，其中确定所述终端用户设备的MAC地址是否已被欺骗还包括：
向所述终端用户设备上的欺骗保护模块发送确认请求；
确定是否接收到响应于所述确认请求的确认；以及
如果未接收到确认，则确定所述终端用户设备的MAC地址已被欺骗。

8.  一种装置，包括：
存储器，存储一组指令；以及
处理器，用以执行所存储的一组指令，所述处理器用以：
分析与终端用户设备的唯一机器标识符相关联的历史和当前信息；
将由分析器所分析的与唯一机器标识符相关联的当前信息和与该唯一机器标识符相关联的历史信息进行比较，以基于所述比较的结果来确定所述终端用户设备的唯一机器标识符是否已被欺骗。

9.  根据权利要求8所述的装置，所述处理器还用以：
向所述终端用户设备发送请求欺骗保护模块的确认的确认请求；
确定是否接收到响应于所述确认请求的确认；以及
如果未接收到确认，则确定所述终端用户设备的唯一机器标识符已被欺骗。

10.  根据权利要求8所述的装置，所述处理器还用以：
如果确定唯一机器标识符已被欺骗，则进行拒绝网络访问所述终端用户设备、限制网络的一部分访问所述终端用户设备、以及发布所述终端用户设备的地址已被欺骗的警告中的至少一个。

11.  根据权利要求8所述的装置，还包括：
接收器，用以周期性地从边缘网络设备接收信息，所述信息与所述终端用户设备的唯一机器标识符相关联。

12.  根据权利要求8所述的装置，其中当所述处理器用以比较当前信息与历史信息时，所述处理器还用以确定所述比较结果是否超出预定的阈值，从而确定所述终端用户设备的唯一机器标识符已被欺骗。

13.  一种非临时计算机可读介质，存储可由处理器执行以执行一种方法的一组指令，所述方法用以：
在边缘网络设备处接收来自终端用户设备的请求；
提取与所述请求相关的信息；
将所提取的信息与所述终端用户设备的唯一机器标识符相关联；
将所提取的信息存储在存储中；以及
将接收到的请求发送到远程网络设备以供处理。

14.  根据权利要求13所述的非临时计算机可读介质，所述方法还用以：
将与唯一机器标识符相关联的所存储的提取信息发送到管理网络设备；以及
从存储移除所存储的提取信息。

15.  根据权利要求13所述的非临时计算机可读介质，其中所提取的信息是所述终端用户设备的浏览信息、标识由所述终端用户设备所访问的服务的信息、以及所述终端用户设备的物理位置中的至少一个。

说明书

对唯一机器标识符的欺骗的确定
背景技术
网络通常具有在其中操作的多个设备，包括终端用户设备、边缘网络设备、管理网络的管理设备、以及其他网络设备。终端用户设备可以通过边缘网络设备访问网络内的网络设备。
网络设备上的网络接口具有唯一机器标识符，例如介质访问控制（MAC）地址。当终端用户设备在网络中注册时，某些权利、服务、资源等可以被分配给终端用户设备并与唯一机器标识符相关联。因而，当终端用户设备访问网络时，终端用户设备具有到被分配给终端用户设备的唯一机器标识符的并与其相关联的那些权利、服务、资源等的访问。
附图说明
图1是根据本公开的示例性实施例的系统环境的示例性示图；
图2是根据本公开的示例性实施例的边缘网络设备的示例性示图；
图3是根据本公开的示例性实施例的管理设备的示例性示图；
图4是根据本公开的示例性实施例的用以确定终端用户设备的唯一机器标识符是否已被欺骗的方法的示例性流程图；
图5是根据本公开的示例性实施例的用以提取边缘网络设备处的信息的方法的示例性流程图。
具体实施方式
当终端用户设备在网络中注册时，某些权利可以被分配给终端用户设备并与终端用户设备的唯一机器标识符相关联。因而，当终端用户设备访问网络时，终端用户设备可以基于终端用户设备的唯一机器标识符而利用被分配的权利。
终端用户设备的唯一机器标识符（例如，MAC地址）的欺骗发生在改变被分配给设备的特定网络接口的MAC地址来获取权利、访问另一终端用户设备的资源等时。这可以被完成以便例如消除服务器或路由器上的访问控制列表，从而隐藏网络上的设备、访问将以其他方式不可访问的网络的部分、或者允许设备模仿另一网络设备。
本文讨论欺骗设备的确定，该欺骗设备欺骗终端用户设备的唯一机器标识符。通常，终端用户设备的用户具有某些网络访问习惯，例如在同一天或一天的特定时间期间访问相同的网站、在特定的位置在特定的时间登录到网络上、在登入到网络中时访问相同的服务等等。因而，欺骗事件的确定可以基于可以例如从来自终端用户设备的请求提取的、或与其相关的信息而发生。信息可以在边缘网络设备处提取并存储。所提取的信息可以发送到管理设备并存储。所提取的信息可以与所提取的终端用户设备的历史信息相比较。可以基于最新或当前的提取信息与历史信息的比较来做出终端用户设备的唯一机器标识符是否已经被欺骗的确定。
系统环境
图1是根据本公开的示例性实施例的示例性系统环境100。如图1中所示，系统环境100包括终端用户设备102、边缘网络设备104、网络设备106和管理设备108。系统环境还可以包括边缘网络设备110和欺骗设备112。图1中所描绘的设备操作在网络中，其中网络可以实现为根据本文所讨论的功能的任何广域网（WAN）或局域网（LAN）中的一个或多个。例如，一个或多个网络可以实现为任何有线或无线网络，包括企业网络、全球移动通信系统（GSM）网络、宽带码分多址（WCDMA）、通用分组无线服务（GPRS）、个人通信服务（PCS）、全球微波接入互操作性（WiMAX）、局域网（LAN）、WAN，例如因特网等。可以理解，附加的设备可以并入系统环境100中。
边缘网络设备104、边缘网络设备106和管理设备108可以通过包括机器可读指令的软件、包括机器可读指令的固件、和/或硬件的任何合适的组合来实现。如本文所讨论的，边缘网络设备104、边缘网络设备106和管理设备108可以包括主和次级存储器，其可以是可配置成存储可由处理器执行的机器可读指令的计算机可读介质。主和/或次级存储器还可以可配置成从例如便携式计算机可读介质（例如，光盘/数字视频盘）等的外部存储器接收安装包。边缘网络设备104和管理设备108可以包括次级存储器，其可以实现在设备内和/或可以实现为外部数据存储。
终端用户设备102和欺骗设备112可以实现为任何计算设备，例如膝上型计算机、台式计算机、移动计算设备、个人数字助理（PDA）等。终端用户设备102可以通信链接到边缘网络设备104，并且可以通过边缘网络设备104访问网络。欺骗设备112可以是欺骗终端用户设备的唯一机器标识符的终端用户设备，并且可以实现为任何计算设备，例如膝上型计算机、台式计算机、移动计算设备、个人数字助理（PDA）、平板计算设备等。欺骗设备112可以通信链接到边缘网络设备110，并且可以通过边缘网络设备110访问网络。可以理解，环境100可以包括附加的终端用户设备、欺骗设备和边缘网络设备。
在一个实施例中，如以下更全面地讨论的，终端用户设备102可以可选地包括欺骗保护模块（未示出）。在该实施例中，欺骗设备112可以不包括欺骗保护模块。
边缘网络设备104和边缘网络设备110可以实现为例如边缘网络交换机、边缘网络路由器、边缘控制器、无线边缘接入点、无线边缘路由器等。边缘网络设备104和边缘网络设备110可以被视为边缘网络设备，原因在于它们位于网络的边缘上，即它们直接通信链接到终端用户设备102或欺骗设备112，其中不存在促进边缘网络设备与终端用户设备或欺骗设备之间的通信的中间计算设备。
边缘网络设备104可以直接通信链接到终端用户设备102。边缘网络设备104可以是终端用户设备102进入网络中的点。边缘网络设备104可以通信链接到网络设备106。
边缘网络设备110可以直接通信链接到欺骗设备112。边缘网络设备110可以是欺骗设备112进入网络中的点。边缘网络设备110可以通信链接到网络设备。
可以理解，附加的网络设备可以驻存于边缘网络设备104、110和网络设备106之间的通信路径中，例如一个或多个路由器、交换机等。边缘网络设备104、110可以通信链接到管理设备108。可以理解，附加的网络设备可以驻存于边缘网络设备104和管理设备108之间的通信路径中，例如路由器、交换机等。
边缘网络设备104可以包括当前信息存储114，以存储与终端用户设备102及其请求相关的、并且与终端用户设备102的唯一机器标识符相关联的当前信息。这在下文更全面地讨论。
边缘网络设备110可以包括当前信息存储116，以存储与欺骗设备112相关的并且与欺骗设备112的唯一机器标识符相关联的当前信息。这在下文更全面地讨论。
管理设备108可以通信链接到边缘网络设备104、网络设备106和边缘网络设备110。如下文更全面地讨论的，管理设备可以包括欺骗确定模块118和分析模块120。如下文更全面地讨论的，管理设备108还可以包括分析器模块120。管理设备可以包括或者通信链接到存储122。如下文更全面地讨论的，存储122可以包括历史信息124。
如本文所讨论的，系统环境100中的每个设备可以包括唯一机器标识符，例如介质访问控制（MAC）地址、网际协议（IP）地址等。
边缘网络设备
图2描绘了示例性边缘网络设备。如关于图2所讨论的，可以实现边缘网络设备104和110。如图2中所示，除了用以促进联网操作的组件（未示出）之外，边缘网络设备包括控制器202、存储器206、当前信息存储管理模块208、以及当前信息存储210。当前信息存储管理模块208可以在软件中以存储于计算机可读存储介质中的计算机可执行指令的形式来实现，当所述指令被处理器执行时，实现如本文所讨论的功能。
当前信息存储管理模块208可以促进从终端用户设备接收一个或多个请求以访问网络中的设备。当前信息存储管理模块208可以提取与一个或多个请求相关的信息。该信息可以包括：
浏览信息，例如关于网络中的web（网）站的信息，例如主机名、web页等；以统一资源定位（URL）地址的形式的所提取的数据；
与由终端用户设备所访问的服务/应用（例如邮件服务器、代理服务器、在网络中的服务器上运行的应用等）相关的信息，以例如传输控制（TCP）端口数、用户数据报协议（UDP）端口数等的形式的所提取的数据；以及
标识以边缘网络设备的形式的终端用户设备的位置的位置信息，例如网际协议（IP）地址等，和/或终端用户设备从其访问网络的端口等。
所提取的信息可以与发送请求的终端用户设备的唯一机器标识符相关联，并且存储在当前信息存储210中。可以理解，可以提取并存储与终端用户设备相关的其他信息。
当前信息存储210可以实现在边缘网络设备内，其中可以存储与终端用户设备的唯一机器标识符相关联的当前信息。与终端用户设备的唯一机器标识符相关联的浏览信息、服务/应用信息、位置信息等可以被存储在当前信息存储210中的一个或多个表中。
可以理解，位置信息可以单独地发送到管理设备108，其中管理设备108可以将信息存储在存储124中。例如，当终端用户设备第一次访问网络时，边缘网络设备然后可以将位置信息发送到管理设备。
当前信息存储管理模块208可以将存储在当前信息存储210中的当前信息发送到管理设备108。该信息可以在提取时、以预定的时间间隔（例如每分钟、每五分钟、每小时等）发送。所存储的当前信息的发送可以通过边缘网络设备处、管理设备108处等的用户接口（未示出）而可配置。一旦当前信息被发送到管理设备108，则可以从当前信息存储210删除当前信息。
控制器202可以控制从终端用户设备到网络中的其他设备的请求的接收和发送，并且可以促进由当前信息存储管理模块208对当前信息的提取和存储。
网络设备
网络设备106可以实现为放置在一起或彼此远离放置的一个或多个计算设备。网络服务设备106可以位于网络中的任何地方，包括网络的边缘、数据中心、区（campus）、分支等。网络服务设备可以实现为包括名称服务器的一个多个设备，例如动态主机配置协议（DHCP）服务器、域名系统（DNS）、web服务器、因特网服务提供商服务器、电子邮件服务器、打印机服务器、远程认证拨号用户服务（RADIUS）服务器、Oracle（甲骨文）数据库、SAP、Iron Mountain（铁山）PC备份服务器、诺顿反病毒服务器、轻量目录访问协议（LDAP）等。网络服务设备106可以直接地或者通过一个或多个中间网络设备（例如路由器、交换机等）通信链接到边缘网络设备104。可以理解，可以根据本文所讨论的特征来监视网络中所提供的任何服务。
管理设备
图3描绘示例性管理设备。如关于图3所讨论的，可以实现管理设备108。如图3中所示，管理设备包括控制器302、网络通信304、分析模块306、欺骗确定模块308、存储器310、次级存储器312、和输入/输出设备314。管理设备可以可选地包括修复模块316。
如本文所讨论的，控制器302可以促进关于管理设备所讨论的功能。
除其他之外，网络通信304还可以接收与终端用户设备的唯一机器标识符相关联的当前信息。
次级存储器312可以存储与唯一机器标识符相关联的、如从边缘网络设备所接收的当前信息。
次级存储器312可以进一步存储与唯一机器标识符相关联的历史信息。历史信息可以是从边缘网络设备接收到的当前信息，但是基于如下而已经变成历史信息：例如经过预定的时间段、接收到与相同的唯一机器标识符相关联的新的当前信息、由具有该唯一机器标识符的终端用户设备发起新的网络会话、由具有该唯一机器标识符的终端用户设备结束网络会话、在分析和/或比较当前信息与历史信息之后等等。
分析模块306可以访问与唯一机器标识符相关联的且存储在次级存储312中的包括当前和历史信息的信息，并且执行统计分析以便确定当前与历史数据之间的相似性。所述分析可以包括确定两组数据之间的方差、标准差等。
可替代地，当前信息可以存储在存储器310中，并且可由分析模块306访问，以便在被存储于次级存储312中之前，对当前信息执行分析并与历史信息进行比较。这可以有助于确保历史数据是与终端用户设备而不是欺骗设备相关的数据。
欺骗确定模块308可以从分析模块306接收对信息的分析的结果，并且确定唯一机器标识符是否被欺骗。该确定可以例如通过设定阈值来完成，以使得当分析模块的结果超出预定义的阈值时，其可以确定欺骗操作可能已经发生。
可替代地，如下文更全面地讨论的，欺骗确定模块可以包括附加的检查，以通过尝试与终端用户设备处的欺骗保护模块通信来确定欺骗操作是否已经发生。
管理设备可以包括修复模块316。修复模块316可以实现措施，以基于对欺骗唯一机器标识符的终端用户设备的确定来限制或拒绝对网络的一个或多个部分的访问。这些措施可以包括：向网络内的一个或多个设备发布包括与欺骗确定相关的信息（例如欺骗事件、欺骗设备的位置等）的警告；切断欺骗设备对网络的访问；限制欺骗设备对网络的一个或多个部分的访问；等等。
分析模块306、欺骗确定模块308和修复模块316可以实现为存储在管理设备处的机器可读介质中的机器可读指令，所述指令可由控制器执行以执行如利用那些模块中的每个所讨论的功能。
终端用户设备
终端用户设备可以包括存储在其上的欺骗保护模块，并且可以与终端用户设备的唯一机器标识符相关联。欺骗保护模块可以实现为存储在机器可读介质中的、可由控制器执行的一个或多个机器可读指令。
管理设备可能已经在其中存储了与终端用户设备的唯一机器标识符相关联的信息，其中信息与存储在终端用户设备处的欺骗保护模块相关。
欺骗保护模块可以由管理设备可访问，以使得如果在修复之前由管理设备处的欺骗确定模块确定欺骗事件，则欺骗确定模块可以尝试与终端用户设备处的欺骗确定模块进行通信。这可以例如通过管理设备向欺骗保护模块发送确认请求而完成。如果与欺骗保护模块进行成功通信，则欺骗保护模块可以发送针对确认请求的响应。当接收到确认请求时，管理设备在已经证实唯一机器标识符未被欺骗的情况下可以不采取任何修复措施。然而，如果管理设备未接收到针对确认请求的响应，那么可以针对欺骗设备采取修复措施。
边缘网络设备处的当前信息存储
边缘网络设备处的当前信息存储可以实现为例如存储与终端用的户设备102的唯一机器标识符相关联的当前信息的表。例如，每个唯一机器标识符可能已经在那与存储从接收自具有唯一机器标识符的终端用户设备的请求所提取的信息的表相关联。该表可以被配置成使得一个轴包括与终端用户设备请求访问的网络设备或网络服务相关的信息。另一个轴可以包括时间。时间可以包括日期、星期几、小时、分钟等。
当从终端用户设备接收到请求时，可以提取关于该请求的信息。该信息可以包括网站的地址、主机名、web页等等。当提取信息时，更新与唯一机器标识符相关联的表，从而指示终端用户设备已经请求对该网络设备的访问。该指示可以以计数器的形式做出，该计数器对在特定时间段期间针对特定网站、主机名、web页等请求访问的次数进行计数。
周期性地，将如与唯一机器标识符相关联的表中的信息发送到管理设备，并且删除计数器信息。这可以是基于时间的（例如在预定义的时间间隔期间），或者基于事件的（例如基于用户网络访问会话）等。
在表中存储从接收自终端用户设备的新请求所提取的信息，并且重复该过程。
欺骗确定过程
图4描绘了根据示例性实施例的用于确定终端用户设备的唯一机器标识符是否已被欺骗的方法的示例性流程图。如关于图4所讨论的，该方法可以实现在管理设备处。如图4中所示，从边缘网络设备接收当前信息，所接收的当前信息与终端用户设备的介质访问控制（MAC）地址相关联（402）。当前信息可以以来自具有唯一机器标识符的终端用户设备的请求的形式被接收。所接收的信息可以与所存储的与终端用户设备的唯一机器标识符相关联的历史信息进行比较（404）。可以基于该比较来做出终端用户设备的唯一机器标识符是否已被欺骗的确定（406）。
在一个实施例中，终端用户设备的唯一机器标识符是否已被欺骗的确定可以包括从管理设备向终端用户设备的查询。查询可以例如是向终端用户设备处的欺骗保护模块的确认请求。如果接收到针对该确认请求的响应，那么可以确定唯一机器标识符未被欺骗。如果未接收到响应，那么可以确定唯一机器标识符已被欺骗并且可以采用修复措施，例如拒绝网络访问终端用户设备、限制网络的一部分访问终端用户设备、以及发布终端用户设备的地址已被欺骗的警告。
所接收的信息可以涉及终端用户设备的浏览信息，可以标识终端用户设备已访问的服务，可以标识关于终端用户设备的物理位置等。
如果做出确定终端用户设备已被欺骗，则可以执行修复，包括拒绝网络访问终端用户设备、限制网络的一部分访问终端用户设备、以及发布终端用户设备的地址已被欺骗的警告中的至少一个。
可以理解，关于图4所描述的方法可以在从边缘网络设备接收到任何当前信息时（在之前已经收集了历史信息之后）执行；并且可以周期性地、随机地等等经由图形用户界面而配置。
当前信息可以作为历史信息存储在次级存储中。
在一个实施例中，在任何当前信息被存储为历史信息之前，可以执行当前信息与历史信息的分析和/或比较，以确定终端用户设备的唯一机器标识符是否已被欺骗。如果确定终端用户设备的唯一机器标识符未被欺骗，那么当前信息可以存储为历史信息并与唯一机器标识符相关联，因而确保历史信息的完整性。如果唯一机器标识符已被欺骗，那么当前信息可能不存储为历史信息而与被欺骗的唯一机器标识符相关联。
图5描绘了根据示例性实施例的用于提取与请求相关的信息的方法的示例性流程图。如关于图5所讨论的方法可以实现在边缘网络设备处。如图5中所示，可以在边缘网络设备处接收来自终端用户设备的请求（502）。可以从请求提取与该请求相关的信息（504）。所提取的信息可以与终端用户设备的唯一机器标识符相关联（506）。可以在边缘网络设备处存储所提取的信息（508）。可以将接收到的请求发送到远程网络设备以供处理（510）。
可以将与唯一机器标识符相关联的所存储的提取信息发送到管理设备。一旦将所存储的提取信息发送到管理设备，则可以删除存储中的信息。与唯一机器标识符相关联的新提取的信息可以存储在存储中并且可以重复该过程。
可以理解，关于图5所描述的方法可以在从终端用户设备接收到所有的请求时执行；周期性地、随机地等等。
可以将与唯一机器标识符相关联的所存储的提取信息发送到管理设备，并且从当前信息存储移除或删除。