异常外联行为的检测方法及装置、存储介质及电子设备制造方法及图纸

本发明专利技术提供了一种异常外联行为的检测方法及装置、存储介质及电子设备，该方法包括：在需要对目标域名进行外联行为检测的情况下，确定目标域名对应的外联时间序列；外联时间序列包括该目标域名对应的多个外联时间点；确定外联时间序列对应的时间间隔序列；时间间隔序列包括多个时间间隔；依据时间间隔序列，确定目标域名对应的访问波动度；依据访问波动度，判断目标域名是否符合预设的异常条件；若目标域名符合预设的异常条件，则将目标域名对应的外联行为确定为异常外联行为。应用本发明专利技术的方法，依赖于外联行为呈现的时间特征进行异常检测，可用于识别各类域名的异常外联行为，有利于提高检测准确率，保障服务器安全运行。保障服务器安全运行。保障服务器安全运行。

【技术实现步骤摘要】
异常外联行为的检测方法及装置、存储介质及电子设备


[0001]本专利技术涉及互联网安全
，特别是涉及一种异常外联行为的检测方法及装置、存储介质及电子设备。

技术介绍

[0002]服务器是信息化体系中的重要基础资源之一，亦是网络中常见的攻击对象。当服务器在受到木马、蠕虫等恶意样本攻击后，会发起对恶意域名外联访问请求，故在服务器运行过程中，需要对服务器外联行为进行异常检测，以判定是否存在异常外联行为，以便于进行安全防护。
[0003]目前，对于服务器异常外联行为的检测，通常是设定了异常的域名地址，当产生外联行为时，将访问的域名地址与预设的异常域名地址进行匹配，若是匹配到了异常的域名地址，则将当前的外联行为识别为异常外联行为。
[0004]在现有的异常外联行为的检测过程中，依赖于预设的异常域名的匹配实现异常检测。而异常域名的配置通常具有滞后性，难以实时对所有恶意的域名进行配置，当对未设定为异常域名的恶意域名进行外联访问时，则无法对该异常外联行为进行准确识别，使得异常外联行为的检测准确率较低，导致服务器的安全性较差。

技术实现思路

[0005]有鉴于此，本专利技术实施例提供了一种异常外联行为的检测方法，以解决现有异常外联行为的检测依赖于预先设置的异常域名，难以对所有恶意域名的异常外联行为进行准确识别的问题。
[0006]本专利技术实施例还提供了一种异常外联行为的检测装置，用以保证上述方法实际中的实现及应用。
[0007]为实现上述目的，本专利技术实施例提供如下技术方案：<br/>[0008]一种异常外联行为的检测方法，包括：
[0009]在需要对目标域名进行外联行为检测的情况下，确定所述目标域名对应的外联时间序列；所述外联时间序列包括该目标域名对应的多个外联时间点；
[0010]确定所述外联时间序列对应的时间间隔序列；所述时间间隔序列包括多个时间间隔；
[0011]依据所述时间间隔序列，确定所述目标域名对应的访问波动度；
[0012]依据所述访问波动度，判断所述目标域名是否符合预设的异常条件；
[0013]若所述目标域名符合所述预设的异常条件，则将所述目标域名对应的外联行为确定为异常外联行为。
[0014]上述的方法，可选的，所述确定所述目标域名对应的外联时间序列，包括：
[0015]从域名系统中获取多个目标时间点；每个所述目标时间点为对所述目标域名进行外联访问的时间点；
[0016]将每个所述目标时间点作为所述目标域名对应的外联时间点，并按照各个所述目标时间点的时间先后顺序，将所述目标域名对应的各个外联时间点组成所述外联时间序列。
[0017]上述的方法，可选的，所述确定所述外联时间序列对应的时间间隔序列，包括：
[0018]将所述外联时间序列中最后一个外联时间点之外的每个外联时间点作为目标外联时间点；
[0019]确定每个所述目标外联时间点对应的相邻时间点；每个所述目标外联时间点对应的相邻时间点为所述外联时间序列中，该目标外联时间点的下一个外联时间点；
[0020]对于每个所述目标外联时间点，计算该目标外联时间点与其对应的相邻时间点之间的时间间隔，并将计算结果作为该目标外联时间点对应的时间间隔；
[0021]按照各个所述目标外联时间点的时间先后顺序，将各个所述目标外联时间点对应的时间间隔组成所述时间间隔序列。
[0022]上述的方法，可选的，所述依据所述时间间隔序列，确定所述目标域名对应的访问波动度，包括：
[0023]确定所述时间间隔序列对应的序列长度；
[0024]依据所述序列长度，确定所述时间间隔序列对应的平均间隔时间；
[0025]依据所述序列长度和所述平均间隔时间，确定所述时间间隔序列对应的标准差；
[0026]计算所述标准差与所述平均间隔时间的商，并将计算结果作为所述访问波动度。
[0027]上述的方法，可选的，所述依据所述序列长度，确定所述时间间隔序列对应的平均间隔时间，包括：
[0028]对所述时间间隔序列中的所有时间间隔进行求和运算，得到时间间隔总和；
[0029]计算所述时间间隔总和与所述序列长度的商，并将计算结果作为所述平均间隔时间。
[0030]上述的方法，可选的，所述依据所述序列长度和所述平均间隔时间，确定所述时间间隔序列对应的标准差，包括：
[0031]依据所述时间间隔序列中的各个时间间隔、所述序列长度、所述平均间隔时间以及预设的样本标准差计算策略，计算所述各个时间间隔对应的样本标准差，并将计算结果作为所述时间间隔序列对应的标准差。
[0032]上述的方法，可选的，所述依据所述访问波动度，判断所述目标域名是否符合预设的异常条件，包括：
[0033]判断所述访问波动度是否处于预设的阈值范围内；
[0034]若所述访问波动度处于所述预设的阈值范围内，则确定所述目标域名符合所述预设的异常条件。
[0035]一种异常外联行为的检测装置，包括：
[0036]第一确定单元，用于在需要对目标域名进行外联行为检测的情况下，确定所述目标域名对应的外联时间序列；所述外联时间序列包括该目标域名对应的多个外联时间点；
[0037]第二确定单元，用于确定所述外联时间序列对应的时间间隔序列；所述时间间隔序列包括多个时间间隔；
[0038]第三确定单元，用于依据所述时间间隔序列，确定所述目标域名对应的访问波动
度；
[0039]判断单元，用于依据所述访问波动度，判断所述目标域名是否符合预设的异常条件；
[0040]第四确定单元，用于若所述目标域名符合所述预设的异常条件，则将所述目标域名对应的外联行为确定为异常外联行为。
[0041]一种存储介质，所述存储介质包括存储的指令，其中，在所述指令运行时控制所述存储介质所在的设备执行如上述的异常外联行为的检测方法。
[0042]一种电子设备，包括存储器，以及一个或者一个以上的指令，其中一个或者一个以上指令存储于存储器中，且经配置以由一个或者一个以上处理器执行如上述的异常外联行为的检测方法。
[0043]基于上述本专利技术实施例提供的一种异常外联行为的检测方法，包括：在需要对目标域名进行外联行为检测的情况下，确定目标域名对应的外联时间序列；外联时间序列包括该目标域名对应的多个外联时间点；确定外联时间序列对应的时间间隔序列；时间间隔序列包括多个时间间隔；依据时间间隔序列，确定目标域名对应的访问波动度；依据访问波动度，判断目标域名是否符合预设的异常条件；若目标域名符合预设的异常条件，则将目标域名对应的外联行为确定为异常外联行为。应用本专利技术实施例提供的方法，可基于外联访问的时间间隔呈现的波动度对外联行为进行异常检测。专利技术人经研究发现，服务器在受到木马、蠕虫等恶意样本攻击后，会持续性地发起对恶意域名的外联访问请求，并且这些外联访问相邻的时间间隔通常呈现出较小的波动性，故据此可以及时发现服务器的异常外联行为，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常外联行为的检测方法，其特征在于，包括：在需要对目标域名进行外联行为检测的情况下，确定所述目标域名对应的外联时间序列；所述外联时间序列包括该目标域名对应的多个外联时间点；确定所述外联时间序列对应的时间间隔序列；所述时间间隔序列包括多个时间间隔；依据所述时间间隔序列，确定所述目标域名对应的访问波动度；依据所述访问波动度，判断所述目标域名是否符合预设的异常条件；若所述目标域名符合所述预设的异常条件，则将所述目标域名对应的外联行为确定为异常外联行为。2.根据权利要求1所述的方法，其特征在于，所述确定所述目标域名对应的外联时间序列，包括：从域名系统中获取多个目标时间点；每个所述目标时间点为对所述目标域名进行外联访问的时间点；将每个所述目标时间点作为所述目标域名对应的外联时间点，并按照各个所述目标时间点的时间先后顺序，将所述目标域名对应的各个外联时间点组成所述外联时间序列。3.根据权利要求1所述的方法，其特征在于，所述确定所述外联时间序列对应的时间间隔序列，包括：将所述外联时间序列中最后一个外联时间点之外的每个外联时间点作为目标外联时间点；确定每个所述目标外联时间点对应的相邻时间点；每个所述目标外联时间点对应的相邻时间点为所述外联时间序列中，该目标外联时间点的下一个外联时间点；对于每个所述目标外联时间点，计算该目标外联时间点与其对应的相邻时间点之间的时间间隔，并将计算结果作为该目标外联时间点对应的时间间隔；按照各个所述目标外联时间点的时间先后顺序，将各个所述目标外联时间点对应的时间间隔组成所述时间间隔序列。4.根据权利要求1所述的方法，其特征在于，所述依据所述时间间隔序列，确定所述目标域名对应的访问波动度，包括：确定所述时间间隔序列对应的序列长度；依据所述序列长度，确定所述时间间隔序列对应的平均间隔时间；依据所述序列长度和所述平均间隔时间，确定所述时间间隔序列对应的标准差；计算所述标准差与所述平均间隔时间的商，并将计算结果作为所述访问波动度。5.根据权利要求4所述的方法，其...

【专利技术属性】
技术研发人员：马奇辰，范皓，焦伟，高浩浩，常宗，艾娜，
申请(专利权)人：中债金科信息技术有限公司，
类型：发明
国别省市：