本申请涉及信息安全技术领域,提供一种数据泄露检测方法及装置。该方法包括:获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及二级域名的子域名;将获得的多个子域名分成多个分组,其中,同一分组内的子域名具有相同的源IP地址以及二级域名,每一分组对应局域网内的一个主机;对同一分组内的子域名进行拼接,以获得待检测字符串;根据每一分组的待检测字符串构造对应的特征向量;利用异常检测模型分别对每一分组的特征向量进行异常检测,以根据每一分组的检测结果确定局域网内存在数据泄露的主机。
【技术实现步骤摘要】
一种数据泄露检测方法及装置
本专利技术涉及信息安全
,具体而言,涉及一种数据泄露检测方法及装置。
技术介绍
DNS(DomainNameSystem,域名系统)协议是大多数企业网络环境中必不可少的网络通信协议之一。DNS可以提供域名解析服务,将域名和IP地址进行转换,以访问互联网和内网资源。出于使用场景考虑,边界防护设备一般很少对DNS数据包进行过滤、分析或屏蔽,因此,DNS协议常被攻击者用来窃取数据或实现其他恶意目的,从而给企业带来巨大的安全风险。DNS通过递归或迭代的查询方式来获取目的域名的IP地址,攻击者会利用DNS的这种查询机制来进行数据的窃取。在出现DNS数据泄露时,局域网中受感染主机将数据嵌入在二级域名的子域名中进行DNS查询,例如发起对域名data.malicious.com的查询,从malicious.com对应的二级名称服务器处查询data.malicious.com对应的信息,而攻击者控制了malicious.com对应的二级名称服务器,就可以获取到data中所含有的内容。目前,针对DNS数据泄露的检测方法主要有如下两种:(1)建立域名黑名单。通过域名的威胁情报数据建立域名黑名单,但攻击者可以通过注册新域名来绕过检测,而且由于域名黑名单的更新具有滞后性,对新的恶意域名存在检测盲点。(2)通过域名特征进行检测。选取的特征一般为子域名中的大写字母、小写字母、数字字符个数的统计特征,攻击者可以通过把子域名缩短或者分多次传输的方式来绕过检测。专利技术内容本申请实施例的目的在于提供一种数据泄露检测方法及装置,以改善上述技术问题。为实现上述目的,本申请提供如下技术方案:第一方面,本申请实施例提供一种数据泄露检测方法,包括:获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名;将获得的多个子域名分成多个分组,其中,同一分组内的子域名具有相同的源IP地址以及二级域名,每一分组对应局域网内的一个主机;对同一分组内的子域名进行拼接,以获得待检测字符串;根据每一分组的待检测字符串构造对应的特征向量;利用异常检测模型分别对每一分组的特征向量进行异常检测,以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。本技术方案通过解析DNS请求中的源IP地址及域名信息,将具有相同源IP地址及相同二级域名的子域名分到同一分组中,从而将单个主机到某个二级域名对应的域名服务器之间的DNS请求的子域名分到同一个组内,对同组内的子域名进行拼接得到待检测字符串,并对拼接后的待检测字符串进行检测,从而可不依赖于单个子域名的特征,对于子域名过短、分多次传输或多次查询等数据泄露场景十分有效。而且,即便攻击者注册新的恶意域名,也可以通过异常检测模型将其准确检测出来。在一种可选的实施方式中,所述获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名,包括:获取局域网内的各个主机发出的多个DNS数据包,并解析获得每一DNS数据包中的DNS请求;基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选,以获得多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名。在一种可选的实施方式中,所述基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选,以获得多个目标DNS请求,包括:将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名进行匹配,将未命中所述域名黑名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求;或者,将每一所述DNS请求中的二级域名分别与所述域名白名单中的每一域名进行匹配,将未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求;或者,将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名以及所述域名白名单中的每一域名进行匹配,将未命中所述域名黑名单中任一域名且也未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求。结合域名的黑白名单对局域网内的DNS数据包进行筛选,对于位于黑白名单中的二级域名,可以不必进行检测,以提升检测效率。在一种可选的实施方式中,在利用异常检测模型分别对每一分组的特征向量进行异常检测之后,所述方法还包括:若任一所述分组的检测结果为异常,则将所述分组对应的二级域名添加到域名黑名单中。通过本技术方案获得任一分组的检测结果后,及时将存在问题的二级域名添加到域名黑名单中,实现黑名单更新,这样一来,在之后进行新一轮的检测时,可以先通过黑名单将恶意的二级域名检测出来,于是,对该二级域名的DNS请求无需再进行子域名分组、子域名拼接等过程,可以避免非必要的特征提取与检测步骤,进而提升检测效率。在一种可选的实施方式中,所述根据每一分组的待检测字符串构造对应的特征向量,包括:获取所述待检测字符串的至少一个特征值,每个特征值的高低反映组成所述待检测字符串的各子域名中含有被泄露数据的概率大小;根据所述至少一个特征值以及所述异常检测模型的数据输入规则构造所述特征向量。在一种可选的实施方式中,所述至少一个特征值包括至少一个如下特征的值:所述待检测字符串的长度;所述待检测字符串所对应分组中子域名的总个数;所述待检测字符串所对应分组中经去重的子域名的个数;所述待检测字符串的熵;所述待检测字符串中大写字母的占比;所述待检测字符串中数字字符的占比。第二方面,本申请实施例提供一种数据泄露检测装置,包括:DNS协议解析模块,用于获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名;DNS数据分组模块,用于将获得的多个子域名分成多个分组,其中,同一分组内的子域名具有相同的源IP地址以及二级域名,每一分组对应局域网内的一个主机;子域名拼接模块,用于对同一分组内的子域名进行拼接,以获得待检测字符串;特征向量构造模块,用于根据每一分组的待检测字符串构造对应的特征向量;检测模块,用于利用异常检测模型分别对每一分组的特征向量进行异常检测,以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。第三方面,本申请实施例提供一种存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如第一方面、第一方面中任一可选实施方式所述的方法。第四方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当所述电子设备运行时,所述处理器与所述存储器之间通过所述总线通信,所述机器可读指令被所述处理器执行时执行如第一方面、第一方面中任一可选实施方式所述的方法。附图说明为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的本文档来自技高网...
【技术保护点】
1.一种数据泄露检测方法,其特征在于,包括:/n获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名;/n将获得的多个子域名分成多个分组,其中,同一分组内的子域名具有相同的源IP地址以及二级域名,每一分组对应局域网内的一个主机;/n对同一分组内的子域名进行拼接,以获得待检测字符串;/n根据每一分组的待检测字符串构造对应的特征向量;/n利用异常检测模型分别对每一分组的特征向量进行异常检测,以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。/n
【技术特征摘要】
1.一种数据泄露检测方法,其特征在于,包括:
获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名;
将获得的多个子域名分成多个分组,其中,同一分组内的子域名具有相同的源IP地址以及二级域名,每一分组对应局域网内的一个主机;
对同一分组内的子域名进行拼接,以获得待检测字符串;
根据每一分组的待检测字符串构造对应的特征向量;
利用异常检测模型分别对每一分组的特征向量进行异常检测,以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。
2.根据权利要求1所述的方法,其特征在于,所述获取多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名,包括:
获取局域网内的各个主机发出的多个DNS数据包,并解析获得每一DNS数据包中的DNS请求;
基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选,以获得多个目标DNS请求,并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名。
3.根据权利要求2所述的方法,其特征在于,所述基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选,以获得多个目标DNS请求,包括:
将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名进行匹配,将未命中所述域名黑名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求;或者,
将每一所述DNS请求中的二级域名分别与所述域名白名单中的每一域名进行匹配,将未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求;或者,
将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名以及所述域名白名单中的每一域名进行匹配,将未命中所述域名黑名单中任一域名且也未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求。
4.根据权利要求2所述的方法,其特征在于,在利用异常检测模型分别对每一分组的特征向量进行异常检测之后,所述方法还包括:
若任一所...
【专利技术属性】
技术研发人员:唐通,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。