(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111679398.2 (22)申请日 2021.12.31 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 孟翔　王绪寒　金星　曾才非　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 代理人 林志鹏 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种域名检测方法、 系统、 设备及计算机可 读存储介质 (57)摘要 本申请公开了一种域名检测方法、 系统、 设 备及计算机可读存储介质， 获取目标设备对各个 域名的访问时间序列； 在访问时间序列中， 根据 预设时间段将访问时间序列划分为至少一访问 子时间序列； 对访问子时间序列进行访问特征分 析， 确定对应的时序特征； 基于时序特征分析域 名是否为恶意域名， 得到对应的检测结果。 本申 请中， 可以根据目标设备对域名的访问时间序列 的分析结果， 来确定目标设备在各个时间段下访 问域名的时序特征， 并基于该时序特征分析域名 是否为恶意域名， 扩充了恶意域名的检测方式， 因为设备访问恶意域名的时序特征在各个时间 段下具有共性， 所以基于各个时间段下时序特征 进行域名检测的话， 能够提高域名检测的准确 性。 权利要求书2页 说明书13页 附图4页 CN 114363062 A 2022.04.15 CN 114363062 A 1.一种域名检测方法， 其特 征在于， 包括： 获取目标设备对各个域名的访问时间序列； 在所述访 问时间序列中， 针对每一所述访 问时间序列， 根据预设时间段将所述访 问时 间序列划分为至少一访问子时间序列； 对所述访问子时间序列进行访问特 征分析， 确定对应的时序特 征； 基于所述时序特 征分析所述域名是否为恶意 域名， 得到对应的检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述访问子时间序列进行访问特征 分析， 确定对应的时序特 征， 包括： 将所述访问子时间序列中时间戳的总数量作为所述目标设备在所述时间段下访问所 述域名的总次数值； 和/或， 将所述访问子时间序列拆分为各个第 一连续时间区间， 将各个所述第 一连续时 间区间下时间戳的总数量与所述第一连续时间区间的时长的比值， 作为所述目标设备在所 述第一连续时间区间下访问所述 域名的第一频率 值； 和/或， 以单位时长作为连续 时间区间的拆分阈值， 将所述访问子时间序列拆分为各个 第二连续时间区间， 将各个所述第二连续时间区间下时间戳的总数量与所述第二连续时间 区间的时长的比值， 作为所述目标设备在所述第二连续时间区间下访问所述域名的第二频 率值； 若所述总次数值大于第一预设值， 和/或大于预设时长的所述第一连续时间区间的所 述第一频率值超过第一预设频率值， 和/或所述第二频率值的最大值超过第二预设频率值， 则确定在所述访问子时间序列对应的所述时间段下， 所述时序特征为所述目标设备持续高 频访问域名； 其中， 所述连续时间区间为： 由时间间隔在所述拆分阈值内的所有相邻时间戳组成的 时间区间。 3.根据权利要求1所述的方法， 其特征在于， 所述对所述访问子时间序列进行访问特征 分析， 确定对应的时序特 征， 包括： 对所述访问子时间序列进行去重处 理， 得到去重访问子时间序列； 确定所述去重访问子时间序列对应的连续时间区间的拆分阈值； 按照所述拆分阈值， 将所述去重访问子时间序列拆分为各个第三连续时间区间； 若时间序列长度超过第 二预设值的所述第 三连续时间区间满足时间周期性， 则确定在 所述访问子时间序列对应的所述时间段下， 所述时序特征为所述目标设备局部周期性访问 域名； 其中， 连续时间区间为： 由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间 区间。 4.根据权利要求3所述的方法， 其特 征在于， 所述拆分阈值 通过以下 方式确定： 对所述去重访问子时间序列进行拟合， 得到第一拟合 函数； 将所述第一拟合 函数的斜 率与预设值的乘积值作为所述拆分阈值。 5.根据权利要求1所述的方法， 其特征在于， 所述对所述访问子时间序列进行访问特征 分析， 确定对应的时序特 征， 包括： 将所述访问子时间序列拆分为各个第四连续 时间区间， 将各个所述第四连续 时间区间权　利　要　求　书 1/2 页 2 CN 114363062 A 2下时间戳的总数量与所述第四连续时间区间的时长的比值， 作为所述目标设备在所述第四 连续时间区间下访问所述 域名的第三频率 值； 确定各个所述第四连续 时间区间的平均时间戳值， 将所有的所述平均时间戳值组成第 五连续时间区间； 若存在时间戳数量值大于第四预设值且所述第三频率值超过第三预设频率值的所述 第四连续时间区间， 且所述第 五连续时间区间满足时间周期性， 则判定在所述访问子时间 序列对应的所述时间段下， 所述时序特征为所述目标设备整体周期性且局部高频性访问域 名； 其中， 连续时间区间为： 由时间间隔在所述拆分阈值内的所有相邻时间戳组成的时间 区间。 6.根据权利要求3至5任一项所述的方法， 其特征在于， 判断所述连续时间区间是否满 足时间周期性， 包括： 对所述连续时间区间进行拟合， 得到目标拟合函数， 并基于所述目标拟合函数计算时 间戳的目标 标准差值； 若所述目标标准差值大于目标预设值， 则确定所述连续 时间区间不满足所述 时间周期 性， 若所述 目标标准差值小于等于所述 目标预设值， 则确定所述连续时间区间满足所述时 间周期性。 7.根据权利要求1所述的方法， 其特征在于， 所述基于所述 时序特征分析所述域名是否 为恶意域名， 得到对应的检测结果， 包括： 若所述目标设备在各个所述 时间段下对同一所述域名的所述 时序特征均相同， 则得到 表征所述域名为恶意 域名的所述检测结果。 8.一种域名检测系统， 其特 征在于， 包括： 时间序列获取模块， 用于获取目标设备对各个域名的访问时间序列； 子时间序列获取模块， 用于在所述访问时间序列中， 针对每一所述访问时间序列， 根据 预设时间段将所述访问时间序列划分为至少一访问子时间序列； 时序特征分析模块， 用于对所述访 问子时间序列进行访 问特征分析， 确定对应的时序 特征； 检测模块， 用于基于所述时序特征分析所述域名是否为恶意域名， 得到对应的检测结 果。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述域名检测方法的 步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述域名检测方法的步 骤。权　利　要　求　书 2/2 页 3 CN 114363062 A 3