(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211122529.1 (22)申请日 2022.09.15 (71)申请人 中债金科信息技 术有限公司 地址 101118 北京市通州区宋庄镇 壁富路 与徐尹路交叉口(汇天云端产业园8号 楼) (72)发明人 马奇辰　范皓　焦伟　高浩浩　 常宗　艾娜　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 赵春华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 异常外联行为的检测方法及装置、 存储介质 及电子设备 (57)摘要 本发明提供了一种异常外联行为的检测方 法及装置、 存储介质及电子设备， 该方法包括： 在 需要对目标域名进行外联行为检测的情况下， 确 定目标域名对应的外联时间序列； 外联时间序列 包括该目标域名对应的多个外联时间点； 确定外 联时间序列对应的时间间隔序列； 时间间隔序列 包括多个时间间隔； 依据时间间隔序列， 确定目 标域名对应的访问波动度； 依据访问波动度， 判 断目标域名是否符合预设的异常条件； 若目标域 名符合预设的异常条件， 则将目标域名对应的外 联行为确定为异常外联行为。 应用本发明的方 法， 依赖于外联行为呈现的时间特征进行异常检 测， 可用于识别各类域名的异常外联行为， 有利 于提高检测准确率， 保障服 务器安全运行。 权利要求书2页 说明书10页 附图3页 CN 115499205 A 2022.12.20 CN 115499205 A 1.一种异常外联 行为的检测方法， 其特 征在于， 包括： 在需要对目标域名进行外联行为检测的情况下， 确定所述目标域名对应的外联时间序 列； 所述外联时间序列包括该目标域名对应的多个外联时间点； 确定所述外联时间序列对应的时间 间隔序列； 所述时间 间隔序列包括多个时间 间隔； 依据所述时间 间隔序列， 确定所述目标域名对应的访问波动度； 依据所述访问波动度， 判断所述目标域名是否符合预设的异常条件； 若所述目标域名符合所述预设的异常条件， 则将所述目标域名对应的外联行为确定为 异常外联 行为。 2.根据权利要求1所述的方法， 其特征在于， 所述确定所述目标域名对应的外联时间序 列， 包括： 从域名系统中获取多个目标时间点； 每个所述目标时间点为对所述目标域名进行外联 访问的时间点； 将每个所述目标时间点作为所述目标域名对应的外联时间点， 并按照各个所述目标时 间点的时间先后顺序， 将所述目标域名对应的各个外联时间点组成所述外联时间序列。 3.根据权利要求1所述的方法， 其特征在于， 所述确定所述外联时间序列对应的时间间 隔序列， 包括： 将所述外联时间序列中最后一个外联时间点之外的每个外联时间点作为目标外联时 间点； 确定每个所述目标外联时间点对应的相邻时间点； 每个所述目标外联时间点对应的相 邻时间点 为所述外联时间序列中， 该目标外联时间点的下一个外联时间点； 对于每个所述目标外联时间点， 计算该目标外联时间点与其对应的相邻时间点之间的 时间间隔， 并将计算结果作为该目标外联时间点对应的时间 间隔； 按照各个所述目标外联时间点的时间先后顺序， 将各个所述目标外联时间点对应的时 间间隔组成所述时间 间隔序列。 4.根据权利要求1所述的方法， 其特征在于， 所述依据所述时间间隔序列， 确定所述目 标域名对应的访问波动度， 包括： 确定所述时间 间隔序列对应的序列长度； 依据所述序列长度， 确定所述时间 间隔序列对应的平均间隔时间； 依据所述序列长度和所述平均间隔时间， 确定所述时间 间隔序列对应的标准差； 计算所述标准差与所述平均间隔时间的商， 并将计算结果作为所述访问波动度。 5.根据权利要求4所述的方法， 其特征在于， 所述依据所述序列长度， 确定所述时间间 隔序列对应的平均间隔时间， 包括： 对所述时间 间隔序列中的所有时间 间隔进行求和运 算， 得到时间 间隔总和； 计算所述时间 间隔总和与所述序列长度的商， 并将计算结果作为所述平均间隔时间。 6.根据权利要求4所述的方法， 其特征在于， 所述依据所述序列长度和所述平均间隔时 间， 确定所述时间 间隔序列对应的标准差， 包括： 依据所述时间间隔序列中的各个时间间隔、 所述序列长度、 所述平均间隔时间以及预 设的样本标准差计算策略， 计算所述各个时间间隔对应的样本标准差， 并将计算结果作为 所述时间 间隔序列对应的标准差 。权　利　要　求　书 1/2 页 2 CN 115499205 A 27.根据权利要求1所述的方法， 其特征在于， 所述依据所述访 问波动度， 判断所述目标 域名是否符合预设的异常条件， 包括： 判断所述访问波动度是否处于预设的阈值范围内； 若所述访问波动度处于所述预设的阈值范围内， 则确定所述目标域名符合所述预设的 异常条件。 8.一种异常外联 行为的检测装置， 其特 征在于， 包括： 第一确定单元， 用于在需要对目标域名进行外联行为检测的情况下， 确定所述目标域 名对应的外联时间序列； 所述外联时间序列包括该目标域名对应的多个外联时间点； 第二确定单元， 用于确定所述外联时间序列对应的时间间隔序列； 所述时间间隔序列 包括多个时间 间隔； 第三确定单 元， 用于依据所述时间 间隔序列， 确定所述目标域名对应的访问波动度； 判断单元， 用于依据所述访问波动度， 判断所述目标域名是否符合预设的异常条件； 第四确定单元， 用于若所述目标域名符合所述预设的异常条件， 则将所述目标域名对 应的外联 行为确定为异常外联 行为。 9.一种存储介质， 其特征在于， 所述存储介质包括存储的指令， 其中， 在所述指令运行 时控制所述存储介质所在的设备执行如权利要求1～7任意一项所述的异常外联行为的检 测方法。 10.一种电子设备， 其特征在于， 包括存储器， 以及一个或者一个以上的指令， 其中一个 或者一个以上指令存储于存储器中， 且经配置以由一个 或者一个以上 处理器执行如权利要 求1～7任意 一项所述的异常外联 行为的检测方法。权　利　要　求　书 2/2 页 3 CN 115499205 A 3