[发明专利]一种数据泄露检测方法及装置

权利要求书

1.一种数据泄露检测方法，其特征在于，包括：

获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名；

将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源IP地址以及二级域名，每一分组对应局域网内的一个主机；

对同一分组内的子域名进行拼接，以获得待检测字符串；

根据每一分组的待检测字符串构造对应的特征向量；

利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。

2.根据权利要求1所述的方法，其特征在于，所述获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名，包括：

获取局域网内的各个主机发出的多个DNS数据包，并解析获得每一DNS数据包中的DNS请求；

基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选，以获得多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名。

3.根据权利要求2所述的方法，其特征在于，所述基于域名黑名单和/或域名白名单对获得的多个DNS请求进行筛选，以获得多个目标DNS请求，包括：

将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求；或者，

将每一所述DNS请求中的二级域名分别与所述域名白名单中的每一域名进行匹配，将未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求；或者，

将每一所述DNS请求中的二级域名分别与所述域名黑名单中的每一域名以及所述域名白名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名且也未命中所述域名白名单中任一域名的二级域名所对应的DNS请求作为目标DNS请求。

4.根据权利要求2所述的方法，其特征在于，在利用异常检测模型分别对每一分组的特征向量进行异常检测之后，所述方法还包括：

若任一所述分组的检测结果为异常，则将所述分组对应的二级域名添加到域名黑名单中。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述根据每一分组的待检测字符串构造对应的特征向量，包括：

获取所述待检测字符串的至少一个特征值，每个特征值的高低反映组成所述待检测字符串的各子域名中含有被泄露数据的概率大小；

根据所述至少一个特征值以及所述异常检测模型的数据输入规则构造所述特征向量。

6.根据权利要求5所述的方法，其特征在于，所述至少一个特征值包括至少一个如下特征的值：

所述待检测字符串的长度；

所述待检测字符串所对应分组中子域名的总个数；

所述待检测字符串所对应分组中经去重的子域名的个数；

所述待检测字符串的熵；

所述待检测字符串中大写字母的占比；

所述待检测字符串中数字字符的占比。

7.一种数据泄露检测装置，其特征在于，包括：

DNS协议解析模块，用于获取多个目标DNS请求，并获得每一目标DNS请求中的源IP地址、二级域名及所述二级域名的子域名；

DNS数据分组模块，用于将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源IP地址以及二级域名，每一分组对应局域网内的一个主机；

子域名拼接模块，用于对同一分组内的子域名进行拼接，以获得待检测字符串；

特征向量构造模块，用于根据每一分组的待检测字符串构造对应的特征向量；

检测模块，用于利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。

8.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如权利要求1-6任一项所述的方法。

9.一种电子设备，其特征在于，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过所述总线通信，所述机器可读指令被所述处理器执行时执行如权利要求1-6任一项所述的方法。