本申请公开了一种非法外联行为的检测方法、装置、电子设备及介质,包括监听待检测链路上所产生的DNS流量,并对DNS流量进行解析得到待检测设备对应的外网域名访问行为,根据外网域名访问行为确定待检测设备是否发生非法外联行为。由此,无需安装客户端软件,通过监听到的待检测链路上的DNS流量,并进行解析得到待检测设备对应的外网域名访问行为,最后依据外网域名访问行为确定待检测设备是否发生非法外联行为,相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境,并不能确定待检测设备是否发生非法外联行为的方式,本方案可以直接确定是否发生非法外联行为,提高检测的效率和准确性。提高检测的效率和准确性。提高检测的效率和准确性。
【技术实现步骤摘要】
一种非法外联行为的检测方法、装置、电子设备及介质
[0001]本申请涉及计算机领域,特别是涉及一种非法外联行为的检测方法、装置、电子设备及介质。
技术介绍
[0002]随着互联网的不断发展,人们越来越关注网络的安全性,因此,如何维护网络安全变得至关重要。在国家机关和某些企业单位等场景中,为了保证网络的安全,确保机密文件和重要信息不被泄露,将网络划分为内网和互联网,通过禁止内网主机连接互联网实现对工作人员的上网行为进行检测和限制。
[0003]非法外联指的是设备在未授权的情况下,非法通过第三方上网通道(例如,私接WIFI和连接移动热点等)连接不允许访问的网络(比如互联网)。
[0004]目前,对非法外联行为进行检测时,通常在被检测设备上安装客户端软件,以便获取被检测设备的实时网络访问行为,从而判断该设备是否非法外联。或者,在待扫描内网和外网分别部署发送设备和接收设备,发送设备发送伪造数据包至被检测设备,若被检测设备可以访问互联网,则被检测设备将返回相应的数据至接收设备,接收设备接收到数据后完成对被检测设备的非法外联确认。
[0005]上述提到的两种方式,在被检测设备上安装客户端软件进行非法外联检测时,安装客户端软件成本高,且需要开发适配于各个操作系统的客户端软件,实现难度大,对于无法安装客户端软件的场景则无法进行非法外联检测。部署发送设备和接收设备进行非法外联检测时,由于只能适用于检测某个特定的网络流量(例如,HTTP流量),因此使用范围较小,且该方法只能证明被检测设备具备非法外联的网络环境,并不能确定被检测设备是否发生非法外联的行为,因此,基于数据响应进行非法行为检测的适用范围窄且无法实时检测非法外联行为发生。
[0006]由此可见,在不安装客户端软件的情况下,提高检测非法外联行为的适用范围以及实现实时非法外联行为检测,是本领域技术人员亟待解决的问题。
技术实现思路
[0007]本申请的目的是提供一种非法外联行为的检测方法、装置、电子设备及介质,无需安装客户端软件,通过监听待检测链路上的DNS流量,并对DNS流量进行解析获得外网域名访问行为,根据获得的外网域名访问行为确定待检测设备是否发生非法外联行为,避免部署发送设备和接收设备进行非法外联行为检测带来的适用范围窄和无法实时检测非法外联行为发生的技术问题,进而提高网络安全性。
[0008]为解决上述技术问题,本申请提供一种非法外联行为的检测方法,包括:
[0009]监听待检测链路上产生的DNS流量;
[0010]解析所述DNS流量,得到待检测设备对应的外网域名访问行为;
[0011]根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为。
[0012]优选地,所述外网域名访问行为包括:在预设时长内的外网域名访问行为;
[0013]相应地,所述解析所述DNS流量,得到待检测设备对应的外网域名访问行为,包括:
[0014]解析所述DNS流量,得到所述待检测设备在预设时长内对应的外网域名访问行为。
[0015]优选地,所述根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为包括:
[0016]在发生所述外网域名访问的情况下,根据在访问所述外网域名之后的所述预设时长内,是否访问所述外网域名对应的子域名,确定所述待检测设备是否发生非法外联行为。
[0017]优选地,所述根据在访问所述外网域名之后的所述预设时长内,是否访问所述外网域名对应的子域名,确定所述待检测设备是否发生非法外联行为包括:
[0018]若第一预设时长内访问了所述外网域名对应的子域名,确定所述待检测设备发生所述非法外联行为;
[0019]若第一预设时长内未访问所述外网域名对应的子域名,且第二预设时长内访问了所述外网域名对应的子域名时,则确定所述待检测设备发生所述非法外联行为;其中,所述第二预设时长大于所述第一预设时长。
[0020]优选地,所述根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为包括:
[0021]根据在所述预设时长内是否访问了多个所述外网域名,且多个所述外网域名中至少有两个两两不同,确定所述待检测设备是否发生非法外联行为。
[0022]优选地,所述外网域名访问行为包括:在访问外网的情况下,所访问的外网域名类型;
[0023]相应地,所述解析所述DNS流量,得到待检测设备对应的外网域名访问行为,包括:
[0024]解析所述DNS流量,得到待检测设备在访问外网的情况下,所访问的外网域名类型;
[0025]相应地,所述根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为包括:
[0026]根据所访问的所述外网域名类型,确定所述待检测设备是否发生非法外联行为。
[0027]优选地,在确定所述待检测设备发生非法外联行为之后还包括:
[0028]累计发生所述非法外联行为的次数;
[0029]在所述非法外联行为的所述次数达到预设次数的情况下,发送提示信息至指定设备。
[0030]为了解决上述技术问题,本申请还提供了一种非法外联行为的检测装置,包括:
[0031]监听模块,用于监听待检测链路上产生的DNS流量;
[0032]解析模块,用于解析所述DNS流量,得到待检测设备对应的外网域名访问行为;
[0033]确定模块,用于根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为。
[0034]为了解决上述技术问题,本申请还提供了一种电子设备,包括存储器,用于存储计算机程序;
[0035]处理器,用于执行所述计算机程序时实现如所述的非法外联行为的检测方法的步骤。
[0036]为了解决上述技术问题,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如所述的非法外联行为的检测方法的步骤。
[0037]本专利技术所提供的非法外联行为的检测方法,包括监听待检测链路上所产生的DNS流量,并对监听的DNS流量进行解析得到待检测设备对应的外网域名访问行为,根据外网域名访问行为确定待检测设备是否发生非法外联行为(本申请所述的“外网”是指不允许访问的网络,比如互联网)。由此可见,本专利技术提供的技术方案,无需安装客户端软件,直接通过监听到的待检测链路上的DNS流量,并对该DNS流量解析获取待检测设备对应的外网域名访问行为,最后依据外网域名访问行为确定待检测设备是否发生非法外联行为,相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境,并不能确定待检测设备是否发生非法外联行为的方式,本技术方案可以直接确定是否正在发生非法外联行为,且不局限于特定的HTTP网络流量,进而提升网络安全性。
[0038]此外,本申请还提供一种非法外联行为的检测装置、电子设备及介质,与上述的非法外联行为的检测方法相对应,效果同上。
附图说明
[00本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种非法外联行为的检测方法,其特征在于,包括:监听待检测链路上产生的DNS流量;解析所述DNS流量,得到待检测设备对应的外网域名访问行为;根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为。2.根据权利要求1所述的非法外联行为检测方法,其特征在于,所述外网域名访问行为包括:在预设时长内的外网域名访问行为;相应地,所述解析所述DNS流量,得到待检测设备对应的外网域名访问行为,包括:解析所述DNS流量,得到所述待检测设备在所述预设时长内对应的外网域名访问行为。3.根据权利要求2所述的非法外联行为的检测方法,其特征在于,所述根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为包括:在发生外网域名访问的情况下,根据在访问所述外网域名之后的所述预设时长内,是否访问所述外网域名对应的子域名,确定所述待检测设备是否发生非法外联行为。4.根据权利要求3所述的非法外联行为的检测方法,其特征在于,所述根据在访问所述外网域名之后的所述预设时长内,是否访问所述外网域名对应的子域名,确定所述待检测设备是否发生非法外联行为包括:若第一预设时长内访问了所述外网域名对应的子域名,确定所述待检测设备发生所述非法外联行为;若第一预设时长内未访问所述外网域名对应的子域名,且第二预设时长内访问了所述外网域名对应的子域名时,则确定所述待检测设备发生所述非法外联行为;其中,所述第二预设时长大于所述第一预设时长。5.根据权利要求2所述的非法外联行为的检测方法,其特征在于,所述根据所述外网域名访问行为,确定所述待检测设备是否发生非法外联行为包括:根据在所述预设时长内是否访...
【专利技术属性】
技术研发人员:彭雷,张志良,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。