[发明专利]异常外联行为的检测方法及装置、存储介质及电子设备

说明书

本发明提供了一种异常外联行为的检测方法及装置、存储介质及电子设备，该方法包括：在需要对目标域名进行外联行为检测的情况下，确定目标域名对应的外联时间序列，其中包括该目标域名对应的多个外联时间点；确定外联时间序列对应的时间间隔序列，其中包括多个时间间隔；确定时间间隔序列对应的子序列组集合，其中包括至少一个子序列组；确定每个子序列组对应的相关系数；依据各个相关系数，判断目标域名是否符合预设的异常条件；若目标域名符合预设的异常条件，则将目标域名对应的外联行为确定为异常外联行为。应用本发明的方法，可通过外联行为的时间特征进行异常检测，可识别各类域名的异常外联行为，可提高检测准确率。

技术领域

本发明涉及互联网安全技术领域，特别是涉及一种异常外联行为的检测方法及装置、存储介质及电子设备。

背景技术

服务器是信息化体系中的重要基础资源之一，亦是网络中常见的攻击对象。当服务器在受到木马、蠕虫等恶意样本攻击后，会发起对恶意域名外联访问请求，故在服务器运行过程中，需要对服务器外联行为进行异常检测，以判定是否存在异常外联行为，以便于进行安全防护。

目前，对于服务器异常外联行为的检测，通常是设定了异常的域名地址，当产生外联行为时，将访问的域名地址与预设的异常域名地址进行匹配，若是匹配到了异常的域名地址，则将当前的外联行为识别为异常外联行为。

在现有的异常外联行为的检测过程中，依赖于预设的异常域名的匹配实现异常检测。而异常域名的配置通常具有滞后性，难以实时对所有恶意的域名进行配置，当对未设定为异常域名的恶意域名进行外联访问时，则无法对该异常外联行为进行准确识别，使得异常外联行为的检测准确率较低，导致服务器的安全性较差。

发明内容

有鉴于此，本发明实施例提供了一种异常外联行为的检测方法，以解决现有异常外联行为的检测依赖于预先设置的异常域名，难以对所有恶意域名的异常外联行为进行准确识别的问题。

本发明实施例还提供了一种异常外联行为的检测装置，用以保证上述方法实际中的实现及应用。

为实现上述目的，本发明实施例提供如下技术方案：

一种异常外联行为的检测方法，包括：

在需要对目标域名进行外联行为检测的情况下，确定所述目标域名对应的外联时间序列；所述外联时间序列包括该目标域名对应的多个外联时间点；

确定所述外联时间序列对应的时间间隔序列；所述时间间隔序列包括多个时间间隔；

确定所述时间间隔序列对应的子序列组集合；所述子序列组集合包括至少一个子序列组，每个所述子序列组包括所述时间间隔序列中的两个连续子序列，所述两个连续子序列的序列长度相等；

确定每个所述子序列组对应的相关系数；

依据各个所述相关系数，判断所述目标域名是否符合预设的异常条件；

若所述目标域名符合所述预设的异常条件，则将所述目标域名对应的外联行为确定为异常外联行为。

上述的方法，可选的，所述确定所述时间间隔序列对应的子序列组集合，包括：

确定所述时间间隔序列对应的目标序列长度；

确定所述目标序列长度对应的参考数值范围；

将所述参考数值范围内的每个正整数作为参考数值；

对于每个所述参考数值，在所述时间间隔序列中确定该参考数值对应的第一连续子序列和第二连续子序列，并将所述第一连续子序列和所述第二连续子序列组成该参考数值对应的子序列组；

将各个所述参考数值对应的子序列组组成所述子序列组集合。