一种非法外联行为的检测方法、装置、电子设备及介质与流程

1.本技术涉及计算机领域，特别是涉及一种非法外联行为的检测方法、装置、电子设备及介质。


背景技术：

2.随着互联网的不断发展，人们越来越关注网络的安全性，因此，如何维护网络安全变得至关重要。在国家机关和某些企业单位等场景中，为了保证网络的安全，确保机密文件和重要信息不被泄露，将网络划分为内网和互联网，通过禁止内网主机连接互联网实现对工作人员的上网行为进行检测和限制。
3.非法外联指的是设备在未授权的情况下，非法通过第三方上网通道(例如，私接wifi和连接移动热点等)连接不允许访问的网络(比如互联网)。
4.目前，对非法外联行为进行检测时，通常在被检测设备上安装客户端软件，以便获取被检测设备的实时网络访问行为，从而判断该设备是否非法外联。或者，在待扫描内网和外网分别部署发送设备和接收设备，发送设备发送伪造数据包至被检测设备，若被检测设备可以访问互联网，则被检测设备将返回相应的数据至接收设备，接收设备接收到数据后完成对被检测设备的非法外联确认。
5.上述提到的两种方式，在被检测设备上安装客户端软件进行非法外联检测时，安装客户端软件成本高，且需要开发适配于各个操作系统的客户端软件，实现难度大，对于无法安装客户端软件的场景则无法进行非法外联检测。部署发送设备和接收设备进行非法外联检测时，由于只能适用于检测某个特定的网络流量(例如，http流量)，因此使用范围较小，且该方法只能证明被检测设备具备非法外联的网络环境，并不能确定被检测设备是否发生非法外联的行为，因此，基于数据响应进行非法行为检测的适用范围窄且无法实时检测非法外联行为发生。
6.由此可见，在不安装客户端软件的情况下，提高检测非法外联行为的适用范围以及实现实时非法外联行为检测，是本领域技术人员亟待解决的问题。


技术实现要素：

7.本技术的目的是提供一种非法外联行为的检测方法、装置、电子设备及介质，无需安装客户端软件，通过监听待检测链路上的dns流量，并对dns流量进行解析获得外网域名访问行为，根据获得的外网域名访问行为确定待检测设备是否发生非法外联行为，避免部署发送设备和接收设备进行非法外联行为检测带来的适用范围窄和无法实时检测非法外联行为发生的技术问题，进而提高网络安全性。
8.为解决上述技术问题，本技术提供一种非法外联行为的检测方法，包括：
9.监听待检测链路上产生的dns流量；
10.解析所述dns流量，得到待检测设备对应的外网域名访问行为；
11.根据所述外网域名访问行为，确定所述待检测设备是否发生非法外联行为。
12.优选地，所述外网域名访问行为包括：在预设时长内的外网域名访问行为；
13.相应地，所述解析所述dns流量，得到待检测设备对应的外网域名访问行为，包括：
14.解析所述dns流量，得到所述待检测设备在预设时长内对应的外网域名访问行为。
15.优选地，所述根据所述外网域名访问行为，确定所述待检测设备是否发生非法外联行为包括：
16.在发生所述外网域名访问的情况下，根据在访问所述外网域名之后的所述预设时长内，是否访问所述外网域名对应的子域名，确定所述待检测设备是否发生非法外联行为。
17.优选地，所述根据在访问所述外网域名之后的所述预设时长内，是否访问所述外网域名对应的子域名，确定所述待检测设备是否发生非法外联行为包括：
18.若第一预设时长内访问了所述外网域名对应的子域名，确定所述待检测设备发生所述非法外联行为；
19.若第一预设时长内未访问所述外网域名对应的子域名，且第二预设时长内访问了所述外网域名对应的子域名时，则确定所述待检测设备发生所述非法外联行为；其中，所述第二预设时长大于所述第一预设时长。
20.优选地，所述根据所述外网域名访问行为，确定所述待检测设备是否发生非法外联行为包括：
21.根据在所述预设时长内是否访问了多个所述外网域名，且多个所述外网域名中至少有两个两两不同，确定所述待检测设备是否发生非法外联行为。
22.优选地，所述外网域名访问行为包括：在访问外网的情况下，所访问的外网域名类型；
23.相应地，所述解析所述dns流量，得到待检测设备对应的外网域名访问行为，包括：
24.解析所述dns流量，得到待检测设备在访问外网的情况下，所访问的外网域名类型；
25.相应地，所述根据所述外网域名访问行为，确定所述待检测设备是否发生非法外联行为包括：
26.根据所访问的所述外网域名类型，确定所述待检测设备是否发生非法外联行为。
27.优选地，在确定所述待检测设备发生非法外联行为之后还包括：
28.累计发生所述非法外联行为的次数；
29.在所述非法外联行为的所述次数达到预设次数的情况下，发送提示信息至指定设备。
30.为了解决上述技术问题，本技术还提供了一种非法外联行为的检测装置，包括：
31.监听模块，用于监听待检测链路上产生的dns流量；
32.解析模块，用于解析所述dns流量，得到待检测设备对应的外网域名访问行为；
33.确定模块，用于根据所述外网域名访问行为，确定所述待检测设备是否发生非法外联行为。
34.为了解决上述技术问题，本技术还提供了一种电子设备，包括存储器，用于存储计算机程序；
35.处理器，用于执行所述计算机程序时实现如所述的非法外联行为的检测方法的步骤。
36.为了解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如所述的非法外联行为的检测方法的步骤。
37.本发明所提供的非法外联行为的检测方法，包括监听待检测链路上所产生的dns流量，并对监听的dns流量进行解析得到待检测设备对应的外网域名访问行为，根据外网域名访问行为确定待检测设备是否发生非法外联行为(本技术所述的“外网”是指不允许访问的网络，比如互联网)。由此可见，本发明提供的技术方案，无需安装客户端软件，直接通过监听到的待检测链路上的dns流量，并对该dns流量解析获取待检测设备对应的外网域名访问行为，最后依据外网域名访问行为确定待检测设备是否发生非法外联行为，相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境，并不能确定待检测设备是否发生非法外联行为的方式，本技术方案可以直接确定是否正在发生非法外联行为，且不局限于特定的http网络流量，进而提升网络安全性。
38.此外，本技术还提供一种非法外联行为的检测装置、电子设备及介质，与上述的非法外联行为的检测方法相对应，效果同上。
附图说明
39.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
40.图1为本发明实施例所提供的一种非法外联行为的检测方法的硬件架构示意图；
41.图2为本发明实施例所提供的一种非法外联行为的检测方法的流程图；
42.图3为本发明实施例所提供的一种非法外联行为的检测装置的结构图；
43.图4为本发明另一实施例提供的电子设备的结构图。
具体实施方式
44.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
45.本技术的核心是提供一种非法外联行为的检测方法、装置、电子设备及介质，通过监听待检测链路上的域名系统(domain name system，简称dns)流量，并对dns流量进行解析获取待检测设备对应的外网域名访问行为，依据该外网域名访问行为确定待检测设备是否发生非法外联行为，避免安装客户端软件带来的高成本，扩大了适用范围，同时避免部署发送设备和接收设备带来的适用范围窄和无法检测正在发生中的非法外联行为的问题，进而提高网络的安全性。
46.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
47.非法外联指的是设备在未授权的情况下，非法通过第三方上网通道(例如，私接wifi和连接移动热点等)连接禁止访问的网络(比如互联网)。随着互联网的不断发展，人们
对网络信息的安全性越来越重视，在国家单位和很多企业中，为了避免机密信息的泄露，通常将网络划分为允许访问的网络(即内网)和禁止访问的网络(即外网，比如互联网)，通过禁止工作人员通过内网主机连接外网实现对上网行为的监控和限制，进而提高网络信息的安全性，因此，如何检测待检测设备是否发生非法外联变得至关重要。
48.目前，对非法外联行为进行检测时，通常在被检测设备上安装客户端软件，以便获取被检测设备的实时网络访问行为，从而判断该设备是否非法外联。或者，在待扫描内网和外网分别部署发送设备和接收设备，发送设备发送伪造数据包至被检测设备，若被检测设备可以访问互联网，则被检测设备将返回相应的数据至接收设备，接收设备接收到数据后完成对被检测设备的非法外联确认。
49.上述两种方式，在被检测设备上安装客户端软件进行非法外联检测时，安装客户端软件成本高，且需要开发适配于各个操作系统的客户端软件，实现难度大，对于无法安装客户端软件的场景则无法进行非法外联检测。而部署发送设备和接收设备进行非法外联检测时，由于只能适用于检测某个特定的网络流量(例如，http流量)，因此使用范围较小，且该方法只能证明被检测设备具备非法外联的网络环境，并不能确定被检测设备是否发生了非法外联的行为，因此，基于数据响应进行非法行为检测的检测效率较低，检测结果不准确。
50.为了实现在不安装客户端软件的情况下，提高检测非法外联行为准确性的目的，本发明提供了一种非法外联行为的检测方法，通过监听待检测链路上产生的域名系统dns流量，并对dns流量进行解析获得待检测设备对应的外网域名访问行为，最后依据该外网域名访问行为确定待检测设备是否发生外联行为。图1为本发明实施例所提供的一种非法外联行为的检测方法的硬件架构示意图，为了便于理解，下面将结合图1对本发明提供的技术方案所适用的硬件架构进行介绍，如图1所示，非法外联检测设备1与多台待检测设备2通信连接，当待检测设备2中的任意一台待检测设备2发生非法外联行为时，相应的，该待检测设备2会产生dns流量，此时，非法外联检测设备1检测到dns流量时，对dns流量进行解析得到外网域名访问行为，并依据该外网域名访问行为确定发生非法外联行为的目标设备。值得注意的是，非法外联检测设备1可以是与待检测设备2一样的计算机，也可以是存储了检测非法外联行为程序的任何电子设备，例如，手机，平板等，对此本发明不作限定。
51.如图1所述，非法外联检测设备1可部署在客户可访问的内网，而当有待检测设备2访问禁止访问的外网(比如互联网)时，dns请求流量会通过图1中的“其他网卡”发出。然而，目前对于windows10版本的pc机来说，其支持将dns请求流量镜像给其余所有的网卡以加快dns解析速度，因此，本技术正是基于该dns镜像特性，使得部署在内网的非法外联检测设备1可以获取到待检测设备2发出的dns流量(本技术所述的dns流量即是dns请求流量)。
52.可以理解的是，各待检测设备2中存在使用内网的网卡，非法外联检测设备1与各待检测设备2进行通信连接，非法外联检测设备1对各待检测设备2的网络均有待检测的链路，当待检测设备2使用无线网络、以太网或移动网络发生非法外联时，均会产生相应的dns流量，产生的dns流量会被系统镜像到内网的网卡中，此时，在待检测的链路上产生对应的dns流量，由此非法外联检测设备1即可监听到该dns流量，并对dns流量进行分析确定是否发生了非法外联。
53.图2为本发明实施例所提供的一种非法外联行为的检测方法的流程图，如图2所
示，该方法包括：
54.s10：监听待检测链路上产生的dns流量。
55.s11：解析dns流量，得到待检测设备对应的外网域名访问行为。
56.s12：根据外网域名访问行为，确定待检测设备是否发生非法外联行为。
57.在具体实施例中，本发明提供的技术方案，不需要在待检测设备2中部署任何客户端软件，通过非法外联检测设备1直接监听待检测链路上的dns流量，并对监听到的dns流量进行解析得到待检测设备2对应的外网域名访问行为，依据该外网域名访问行为即可确定是否发生了非法外联，需要说明的是，外网域名访问行为指的是访问外网域名时所具备的行为特征。比如，在访问了外网域名后，立即对该外网域名对应的子域名也进行了访问，此种行为即可被认为是外网域名访问行为(步骤s11所描述的“外网域名访问行为”中的“外网域名”为泛指，也即是只要是“外网的域名”即认为是外网域名，比如外网域名baidu.com，则该baidu.com的子域名a.baidu.com也属于外网域名)。因此，在确定待检测设备2是否发生非法外联行为时，根据待检测设备2的外网域名访问情况确定是否发生了非法外联行为。
58.在实施例中，根据外网域名访问情况确定是否发生了非法外联行为时，若某一待检测设备的外网域名访问行为是：在访问某一外网域名之后的预设时长后，又访问了该外网域名的子域名，则认为该待检测设备正在非法外联。请本领域技术人员注意：所谓访问了某一外网域名，是指基于该外网域名的发起了dns流量。
59.在本技术中，s12具体可以包括：根据预设时长内的外网域名访问行为，来确定是否发生非法外联。当然，s12还可以具体包括：根据所访问的外网域名类型，来确定是否发生非法外联。
60.此外，“根据预设时长内的外网域名访问行为，来确定是否发生非法外联”还可以包括：在发生外网域名访问的情况下，根据在访问该外网域名之后的所述预设时长内，是否访问了该外网域名对应的子域名，确定所述待检测设备是否发生非法外联行为。
61.也就是，当待检测设备访问了向某一外网域名发起了dns请求，并在发起该dns请求之后的预设时长内(比如3s)，又向该外网域名的子域名发起了dns请求，则在某种程度上可以认为该待检测设备能够成功访问外网，即正在发生非法外联行为。以下以访问www.qq.com这一外网域名为例解释说明：
62.当待检测设备向www.qq.com这一外网域名发起dns请求时，如果该待检测设备能够成功外联，则系统会短时间内自动对imgcache.qq.com、joke.qq.com发起dns查询，并且在后续用户点击网页链接之后，还可能会继续访问pingfore.qq.com、trace.qq.com、news.qq.com等。
63.但是如果用户不能成功外联，当设备向www.qq.com发起dns请求时，后续要么无法收到dns应答，要么无法与dns应答中的ip地址建立连接，从而也不能对imgcache.qq.com、joke.qq.com等子域名发起dns请求。
64.因此，本技术通过在检测到访问某一外网域名(即检测到向某一外网域名发起dns请求流量)，后续预设时长内又向该子域名发起访问(即发起dns请求)，则说明用户可成功访问外网，正在进行非法外联。
65.具体的，在发生外网域名访问的情况下，若在第一预设时长内访问了该外网域名对应的子域名，则确定待检测设备2发生非法外联。若在第一预设时长内未访问该外网域名
对应的子域名，且第二预设时长内访问了该外网域名对应的子域名，则确定待检测设备2发生非法外联，其中，第二预设时长大于第一预设时长。
66.事实上，根据第一预设时长判断是否发生非法外联行为，主要用于检测在发生外网域名访问的情况下，系统是否自动发起该外网域名对应的子域名的访问，可以理解的是，系统自动访问子域名的耗费时长非常短。若第一预设时长内未访问外网域名对应的子域名，说明系统未发生自动访问子域名的行为，此时往往需要用户自主访问子域名，因此若在第二预设时长内访问了外网域名对应的子域名，则确定待检测设备2发生了非法外联行为。可以理解，用户自主访问子域名时，需要耗费的时间较长，故第二预设时长大于第一预设时长。
67.需要说明的是，在第一预设时长内，对外网域名所对应子域名的访问，在进行检测时，可以是检测是否发生了一次子域名访问，也可以是检测是否发生了连续多次的子域名访问，若是“连续多次”的情况时，只有检测到连续多次访问了子域名，才会认为产生非法外联行为。当然，第二预设时长内对外网域名所对应子域名的访问，也可以是一次或连续多次，对此，本技术不作限定。
68.此外，除了上文所述的参考外网域名以及外网子域名的访问行为来确定是否发生非法外联之外，在根据外网域名访问行为确定待检测设备2是否发生非法外联时，若在预设时长内发生了对多个外网域名的访问，且多个外网域名中至少有两个外网域名不同，此时确定待检测设备发生非法外联行为。
69.也即是如果在预设时长内访问了多个外网域名，且这多个外网域名中存在不同的域名，在这种情况下即可认为存在非法外联。比如，在用户能够成功访问网络的情况下，若搜索腾讯视频时，通常会先访问www.baidu.com，然后在百度返回结果之后，会访问腾讯视频v.qq.com。或者用户在网络搜索一些娱乐信息时，会在短时间内在多个不同的域名之间进行跳转查看相关信息。而当用户不能够成功访问网络时，往往在访问某一域名之后发现无法访问网络，不会再继续向其他域名发起访问。
70.所以，在本技术中，如果出现短时间内访问了多个域名，且这多个域名中存在不同的域名的时候，即认为能够成功访问外网，即存在非法外联。此外，本领域技术人员注意，此处所述的“不同域名”含义较为宽泛，对于“域名”和“子域名”的情况，也认为属于不同的域名，也即是“www.qq.com”与“imgcache.qq.com”也认为属于不同域名。
71.此外，还可以根据访问的外网域名类型确定待检测设备2是否发生了非法外联。
72.这是因为，用户只有在能够成功访问网络时，才会发起对某些域名的访问，比如如果访问的域名类型是邮件服务器类型，则认为存在非法外联。之所以这么认为，是因为：通常当大家发送邮件时，都是确定可访问网络的。
73.总之，本技术的发明构思是：通过dns请求流量，得到外网域名访问行为，通过这些行为推测是否出现非法外联。值得注意的是，在获取待检测设备2对应的外网域名访问行为时，对dns流量进行解析得到dns流量中的特征数据，解析时对dns流量中的各字段进行划分，划分后从中提取dns流量对应的特征数据，其中，特征数据包括外网dns请求的域名信息，外网dns请求的时间频度，外网dns请求的请求类型，以及各个外网请求域名间的关联关系。得到特征数据后，根据特征数据确定待检测设备2对应的外网域名访问行为。
74.可以理解的是，除了发生非法外联时，会产生相应的dns流量，待检测设备2使用内
网时也会产生dns流量，或自身自动也会产生一些dns流量，当非法外联检测设备1获取到dns流量时，对获取的dns流量进行解析之前先确定dns流量是否属于待检测设备2，其次，在对dns流量进行解析得到dns流量中的特征数据后，需要根据特征数据对dns流量进行过滤，滤除一些无效数据。
75.进一步的，为了避免用户多次非法外联导致重要信息的泄露，因此，在检测到待检测设备2的非法外联行为的次数达到第二预设次数时间，非法外联检测设备1发送提示信息至指定设备(比如待检测设备2)，以便提醒用户停止非法外联。
76.本发明实施例所提供的非法外联行为的检测方法，包括监听待检测链路上所产生的dns流量，并对监听的dns流量进行解析得到待检测设备对应的外网域名访问行为，根据外网域名访问行为确定待检测设备是否发生非法外联行为。由此可见，本发明提供的技术方案，无需安装客户端软件，直接通过监听到的待检测链路上的dns流量，并对该dns流量解析获取待检测设备对应的外网域名访问行为，最后依据外网域名访问行为确定待检测设备是否发生非法外联行为，相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境，并不能确定待检测设备是否发生非法外联行为的方式，本技术方案可以直接确定是否发生了非法外联行为，提高了非法外联行为检测的效率和准确性，进而提升网络安全性。
77.在具体实施例中，外网域名访问行为指的是访问外网域名时所具备的行为特征在得到待检测设备对应的外网域名访问行为后，根据外网域名访问行为确定待检测设备是否发生非法外联行为。
78.具体的，非法外联检测设备记录待检测设备在运行状态下，监听待检测设备链路上产生的dns流量后，对监听的dns流量进行解析得到待检测设备对应的外网域名访问行为，由此确定dns流量对应的外网域名的访问情况。其中，对于外网域名的访问情况可以是实时进行记录，即当待检测设备处于运行状态下时，时刻记录外网域名的访问情况。当然，也可以是记录预设时长内外网域名的访问情况，例如，在待检测设备处于运行状态时，随着时间的推移，仅记录当前时刻前1小时内待检测设备的外网域名的访问相关信息，清除其余时间段外网域名的访问相关信息，由此，节约非法外联检测设备的存储空间。
79.在待检测设备发生外网域名访问的情况下，需要根据在发生外网域名访问后的预设时长内该外网域名的访问情况以确定待检测设备的非法外联情况。其中，待检测设备在发生外网域名访问的情况下，若第一预设时长内访问了外网域名对应的子域名，则确定待检测设备发生非法外联行为。可以理解的是，发生外网域名访问时，通常仅能说明用户访问了该外网域名对应的主页，并不能确定是否发生了非法外联，因此，需要进一步确定是否访问了该外网域名对应的子域名以确定是否发生了非法外联行为。当然，若未访问外网域名，立即确定待检测设备未发生非法外联。为了便于理解，下面将举例说明。
80.例如，外网域名为https://www.example.com/，外网域名对应的子域名为x.example.com。在待检测设备访问www.example.com主页的情况下，仅能说明用户输入了该网址，并不能确定是否真的访问成功，也就是说，访问了外网域名不能确定是否发生了非法外联行为，需要进一步确定子域名x.example.com在第一预设时长内的访问状态，例如，在0.001秒内，若确定待检测设备访问了x.example.com时，则确定待检测设备发生了非法外联行为。
81.进一步的，若待检测设备在发生外网域名访问的情况下，第一预设时长内未访问外网域名对应的子域名，需要进一步判断第二预设时长内是否访问了外网域名对应的子域名，若在第二预设时长内访问了该子域名，则确定待检测设备发生了非法外联行为。当然，如果未访问，确定未发生非法外联行为，并返回继续记录待检测设备在运行状态下外网域名访问情况。为了便于理解，下面将举例说明。
82.可以理解的是，在具体实施中，当用户访问了某外网域名的主页时，可能出现系统自动访问该外网域名对应的子域名的情况。此时，在发生外网域名访问的情况下，即可根据在发生外网域名访问之后的第一预设时长内外网域名对应子域名的访问情况以确定是否发生了非法外联。事实上，系统自动访问子域名时，耗费的时长非常短，例如，0.01秒。若系统未自动访问外网域名对应子域名，则需要用户自主对外网域名对应子域名进行访问，而用户自主决定访问外网域名对应的哪个子域名耗费的时长相对较长，因此，可根据确定第二预设时长内是否访问了外网域名对应子域名以确定是否发生了非法外联行为，其中，第二预设时长大于第一预设时长。
83.也就是说，在发生外网域名访问的情况下，先确定第一预设时长内是否访问了外网域名对应子域名，即先确定系统是否发生自动访问外网域名对应子域名，若访问了则确定发生非法外联行为。
84.若第一预设时长内未访问外网域名对应的子域名，则确定第二预设时长内是否访问了外网域名对应子域名，即在系统未自动访问外网域名对应的子域名时，通过确定用户是否自主访问了外网域名对应的子域名以确定待检测设备是否发生非法外联。为了使本领域的技术人员，更了解本发明的技术方案，下面将举例说明。
85.例如，外网域名为https://www.example.com/，外网域名对应的子域名为x.example.com。在访问了外网域名https://www.example.com/的情况下，即在待检测设备访问了www.example.com主页的前提下，该待检测设备可能会自动访问某子域名，也可能由使用该待检测设备的用户点击该外网域名对应的子域名进行上网。因此，非法外联检测设备需要先确定在第一预设时长内待检测设备是否自动访问了子域名x.example.com，例如，第一预设时长为0.01秒，若在0.001秒内，访问了x.example.com即可确定待检测设备发生非法外联行为。
86.若未访问x.example.com，则进一步地确定第二预设时长内是否访问了x.example.com，若访问了，则确定用户自主访问了该外网域名对应的子域名，即可确定待检测设备发生非法外联。例如，第二预设时长为2分钟内，若在0.01秒内，未访问x.example.com，但在确定在2分钟内访问了x.example.com，同样可确定待检测设备发生了非法外联行为。需要说明的是，第二预设时长对应的时间可以包括第一预设时长，也可以不包括第一预设时长，对此本技术不作限定。
87.值得注意的是，对外网域名的访问可以是一次，也可以是连续多次，对此本技术不作限定。此外，在第一预设时长或第二预设时长内对外网域名对应的子域名的访问，可以是一次也可以是连续多次，对此本技术也不作限定。
88.本发明实施例所提供的非法外联行为的检测方法，无需安装任何客户端软件，通过非法外联检测设备监听待检测链路上的dns流量，在获取到dns流量后，对dns流量进行解析得到对应的外网域名访问行为，即得到外网域名及其对应的子域名的访问情况，根据外
网域名访问行为确定待检测设备是否发生非法外联。在发生外网域名访问的情况下，若第一预设时间内访问了外网域名对应的子域名，则确定待检测设备发生非法外联行为，否则，继续判断第二预设时长内是否访问了外网域名对应的子域名，其中第二预设时长大于第一预设时长，若在第二预设时长内访问了外网域名对应的子域名，则确定待检测设备发生了非法外联行为。由此，根据外网域名访问行为确定待检测设备是否发生非法外联行为，避免采用发送设备和接收设备进行数据交互对非法外联行为进行检测带来的低效率和低准确率，进而提升网络的安全性。
89.在具体实施中，对监听的dns流量进行解析得到预设时长内的外网域名访问行为后，根据外网域名访问行为确定待检测设备是否发生非法外联行为时，根据预设时长内是否访问了多个外网域名，且多个外网域名中至少有两个外网域名不相同以确定待检测设备是否发生非法外联行为。
90.可以理解的是，在预设时长内，若确定待检测设备访问了多个外网域名，且多个外网域名中至少有两个不同，表征待检测设备在预设时长内多次访问不同的外网域名，即可确定待检测设备发生非法外联行为。
91.需要说明的是，非法外联检测设备在获取到dns流量时，需要对dns流量进行处理分析才能确定待检测设备是否发生了非法外联。在dns流量处理时，先对dns流量进行解析得到dns流量中的特征数据，其中，特征数据包括外网dns请求的域名信息，外网dns请求的时间频度，外网dns请求的请求类型，以及各个外网请求域名间的关联关系。事实上，在进行解析时，通过对dns流量中的各字段进行划分，并根据划分结果从中提取dns流量中的外网dns请求的域名信息，外网dns请求的时间频度，外网dns请求的请求类型，以及各个外网请求域名间的关联关系等信息，然后基于这些特征数据确定待检测设备对应的外网域名访问行为。
92.对dns流量中的各字段进行划分并提取得到dns流量中的特征数据后，依据特征信息即可确定待检测设备发生的外网域名访问情况，最后基于外网域名访问情况确定是否发生非法外联。
93.此外，值得注意的是，在实施中，非法外联检测设备包括了dns流量监听单元，dns流量处理单元，非法外联行为确定单元。dns流量监听单元用于监听待检测链路上的dns流量，dns流量处理单元用于对监听的dns流量进行解析和过滤等处理，处理后的dns流量传输至非法外联行为确定单元，非法外联行为确定单元根据外网域名访问情况及其对应子域名访问情况确定是否产生了非法外联行为。
94.在具体实施中，为了避免非法外联检测设备对内网产生的dns流量或待检测设备自身产生的dns流量进行分析，导致确定非法外联效率低，同时，避免由此产生误判降低检测准确性。因此，在非法外联检测设备监听到待检测链路上的dns流量，并对dns流量进行解析得到外网dns请求的域名信息，外网dns请求的时间频度，外网dns请求的请求类型，以及各个外网请求域名间的关联关系等特征数据后，基于提取的特征数据滤除待检测设备产生的无效数据，其中，无效数据包括内网dns流量对应的外网域名访问行为和待检测设备自身产生的dns流量对应的外网域名访问行为。
95.为了进一步保证检测的效率和准确性，在非法外联检测设备对dns流量进行解析得到待检测设备对应的外网域名访问行为之前，先确定dns流量和待检测设备的对应关系，
即确定获取的dns流量是否属于待检测设备，若为待检测设备，则对dns流量进行解析，否则，不进行解析并继续监听dns流量。
96.本发明实施例所提供的非法外联行为的检测方法，在不安装客户端软件的情况下，通过对监听的dns流量进行分析得到外网域名访问行为，若在预设时长内确定待检测设备访问了多个外网域名，且多个外网域名中至少有两个外网域名不同，则确定待检测设备发生非法外联行为，提升非法外联检测的准确性，进而提升网络安全性。该实施例提供了另一种根据外网域名访问行为，确定是否发生非法外联的技术方案。
97.事实上，对于某些特殊的外网域名，例如，某些邮箱域名，往往需要成功连接网络才能会对邮箱域名发起dns请求。因此，本技术实施例提供的技术方案，在根据外网域名访问行为确定待检测设备是否发生非法外联行为时，在确定访问了外网域名的情况下，根据访问外网域名类型确定是否发生了非法外联行为。
98.本发明实施例所提供的非法外联行为的检测方法，通过外网域名访问行为确定待检测设备是否发生非法外联行为时，在发生外网域名访问的情况下，根据外网域名类型确定待检测设备是否发生非法外联行为，提升非法外联行为的检测效率和准确性。
99.在具体实施中，为了避免用户多次非法外联导致重要网络信息的泄露，因此，在对非法外联行为进行确定之后，累计各待检测设备发生非法外联的次数，若次数超过预设次数，则发送提示信息至指定设备，以便提醒用户停止非法外联行为。需要注意的是，对非法外联行为的累计，可以是在待检测设备每次开机至关机之间进行累计，也可以是累计预设时长的次数，例如，累计三天内的次数，当然，还可以是从发生第一次非法外联时刻开始累计，对此本发明不作限定。
100.本发明实施例所提供的非法外联行为的检测方法，对非法外联行为进行累计，并在非法外联行为次数达到预设次数时，向待检测设备发送提示信息，以便提醒用户停止非法外联，由此，提高网络安全性。
101.在上述实施例中，对于非法外联行为的检测方法进行了详细描述，本技术还提供非法外联行为的检测装置对应的实施例。需要说明的是，本技术从两个角度对装置部分的实施例进行描述，一种是基于功能模块的角度，另一种是基于硬件结构的角度。
102.图3为本发明实施例所提供的一种非法外联行为的检测装置的结构图，如图3所示，该装置包括：
103.监听模块10，用于监听待检测链路上产生的dns流量。
104.解析模块11，用于解析dns流量，得到待检测设备对应的外网域名访问行为。
105.确定模块12，用于根据外网域名访问行为，确定待检测设备是否发生非法外联行为。
106.由于装置部分的实施例与方法部分的实施例相互对应，因此装置部分的实施例请参见方法部分的实施例的描述，这里暂不赘述。
107.上述非法外联行为的检测装置可以是镜像文件形式，该镜像文件被执行后，可以以容器或者虚拟机的形式运行，以实现本技术所述的非法外联行为的检测方法。当然也不局限为镜像文件形式，只要能够实现本技术所述的非法外联行为的检测方法的一些软件形式都在本技术的保护范围之内，比如还可以为云计算平台中hypervi sor(虚拟机监控器)中所实现的软件模块。
108.本发明实施例所提供的非法外联行为的检测装置，包括监听待检测链路上所产生的dns流量，并对监听的dns流量进行解析得到待检测设备对应的外网域名访问行为，根据外网域名访问行为确定待检测设备是否发生非法外联行为。由此可见，本发明提供的技术方案，无需安装客户端软件，直接通过监听到的待检测链路上的dns流量，并对该dns流量解析获取待检测设备对应的外网域名访问行为，最后依据外网域名访问行为确定待检测设备是否发生非法外联行为，相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境，并不能确定待检测设备是否发生非法外联行为的方式，本技术方案可以直接确定是否发生了非法外联行为，提高了非法外联行为检测的效率和准确性，进而提升网络安全性。
109.图4为本发明另一实施例提供的电子设备的结构图，如图4所示，电子设备包括：存储器20，用于存储计算机程序；
110.处理器21，用于执行计算机程序时实现如上述实施例所提到的非法外联行为的检测方法的步骤。
111.本实施例提供的电子设备可以包括但不限于智能手机、平板电脑、笔记本电脑或台式电脑等。
112.其中，处理器21可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器21可以采用数字信号处理器(digital signal processor，简称dsp)、现场可编程门阵列(field－programmable gate array，简称fpga)、可编程逻辑阵列(programmable logic array，简称pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，简称cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以在集成有图像处理器(graphics processing unit，简称gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(artificial intelligence，简称ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
113.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的非法外联行为的检测方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于非法外联行为的检测方法中涉及的数据等。
114.在一些实施例中，电子设备还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
115.本领域技术人员可以理解，图4中示出的结构并不构成对电子设备的限定，可以包括比图示更多或更少的组件。
116.本技术实施例提供的电子设备，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：非法外联行为的检测方法。
117.本发明实施例所提供的电子设备，无需在待检测设备上安装客户端软件，直接该
电子设备通过监听到的待检测链路上的dns流量，并对该dns流量解析获取待检测设备对应的外网域名访问行为，最后依据该外网域名访问行为确定待检测设备是否发生非法外联行为，相比部署发送设备和接收设备进行非法外联检测只能确定待检测设备具备非法外联的网络环境，并不能确定待检测设备是否发生非法外联行为的方式，本技术方案可以直接确定是否发生了非法外联行为，提高了非法外联行为检测的效率和准确性，进而提升网络安全性。
118.本技术所述的电子设备可以是单独的硬件设备，也可以是多个硬件设备组成的集群，比如本技术的电子设备可以是云计算平台。
119.所谓云计算平台，是采用虚拟化技术把多个独立的服务器物理硬件资源组织成池化资源的一种平台产品，可以对外提供所需要的资源和服务。
120.目前的云计算平台支持几种服务模式：
121.saas(software as a service，软件即服务)：云计算平台用户无需购买软件，而改为租用部署于云计算平台的软件，用户无需对软件进行维护，软件服务提供商会全权管理和维护软件；
122.paas(platform as a service，平台即服务)：云计算平台用户(此时通常为软件开发商)可以在云计算平台提供的架构上建设新的应用，或者扩展已有的应用，同时却不必购买开发、质量控制或生产服务器；
123.iaas(infrastructure as a service，基础架构即服务)：云计算平台通过互联网提供了数据中心、基础架构硬件和软件资源，iaas模式下的云计算平台可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。
124.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
125.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，简称rom)、随机存取存储器(random access memory，简称ram)、磁碟或者光盘等各种可以存储程序代码的介质。
126.以上对本技术所提供的一种非法外联行为的检测方法、装置、电子设备及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
127.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作
之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。