[发明专利]一种数据泄露检测方法及装置

说明书

本申请涉及信息安全技术领域，提供一种数据泄露检测方法及装置。该方法包括：获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及二级域名的子域名；将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源IP地址以及二级域名，每一分组对应局域网内的一个主机；对同一分组内的子域名进行拼接，以获得待检测字符串；根据每一分组的待检测字符串构造对应的特征向量；利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定局域网内存在数据泄露的主机。

技术领域

本发明涉及信息安全技术领域，具体而言，涉及一种数据泄露检测方法及装置。

背景技术

DNS(Domain Name System，域名系统)协议是大多数企业网络环境中必不可少的网络通信协议之一。DNS可以提供域名解析服务，将域名和IP地址进行转换，以访问互联网和内网资源。出于使用场景考虑，边界防护设备一般很少对DNS数据包进行过滤、分析或屏蔽，因此，DNS协议常被攻击者用来窃取数据或实现其他恶意目的，从而给企业带来巨大的安全风险。

DNS通过递归或迭代的查询方式来获取目的域名的IP地址，攻击者会利用DNS的这种查询机制来进行数据的窃取。在出现DNS数据泄露时，局域网中受感染主机将数据嵌入在二级域名的子域名中进行DNS查询，例如发起对域名data.malicious.com的查询，从malicious.com对应的二级名称服务器处查询data.malicious.com对应的信息，而攻击者控制了malicious.com对应的二级名称服务器，就可以获取到data中所含有的内容。

目前，针对DNS数据泄露的检测方法主要有如下两种：

(1)建立域名黑名单。通过域名的威胁情报数据建立域名黑名单，但攻击者可以通过注册新域名来绕过检测，而且由于域名黑名单的更新具有滞后性，对新的恶意域名存在检测盲点。

(2)通过域名特征进行检测。选取的特征一般为子域名中的大写字母、小写字母、数字字符个数的统计特征，攻击者可以通过把子域名缩短或者分多次传输的方式来绕过检测。

发明内容

本申请实施例的目的在于提供一种数据泄露检测方法及装置，以改善上述技术问题。

为实现上述目的，本申请提供如下技术方案：

第一方面，本申请实施例提供一种数据泄露检测方法，包括：获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名；将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源IP地址以及二级域名，每一分组对应局域网内的一个主机；对同一分组内的子域名进行拼接，以获得待检测字符串；根据每一分组的待检测字符串构造对应的特征向量；利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。

本技术方案通过解析DNS请求中的源IP地址及域名信息，将具有相同源IP地址及相同二级域名的子域名分到同一分组中，从而将单个主机到某个二级域名对应的域名服务器之间的DNS请求的子域名分到同一个组内，对同组内的子域名进行拼接得到待检测字符串，并对拼接后的待检测字符串进行检测，从而可不依赖于单个子域名的特征，对于子域名过短、分多次传输或多次查询等数据泄露场景十分有效。而且，即便攻击者注册新的恶意域名，也可以通过异常检测模型将其准确检测出来。

在一种可选的实施方式中，所述获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名，包括：获取局域网内的各个主机发出的多个DNS数据包，并解析获得每一DNS数据包中的DNS请求；基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选，以获得多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名。