(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210930014.8 (22)申请日 2022.08.03 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 刘东鑫　汪来富　史国水　温展鹏　 肖宇峰　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 域名反射攻击检测方法及装置、 电子设备、 存储介质 (57)摘要 本申请的实施例公开了一种域名反射攻击 检测方法及装置、 电子设备、 存储介质， 该方法包 括： 获取待检测请求对象在 多个时间窗口内发起 域名解析请求的请求数量； 根据预设时间关系对 多个时间窗口的请求数量进行构建， 得到至少两 个请求序列； 计算至少两个请求序列之间的相关 系数； 根据至少两个请求序列之间的相关系数， 确定待检测请求对象是否发起域名反射攻击。 本 申请实施例的技术方案能够准确、 及时检测到待 检测请求对象是否发起 域名反射 攻击。 权利要求书2页 说明书13页 附图6页 CN 115296904 A 2022.11.04 CN 115296904 A 1.一种域名反射 攻击检测方法， 其特 征在于， 包括： 获取待检测请求对象在多个时间窗口内发起 域名解析请求的请求数量； 根据预设时间关系对所述多个时间窗口的请求数量进行构建， 得到至少两个请求序 列； 计算所述至少两个请求序列之间的相关系数； 根据所述至少两个请求序列之间的相关系数， 确定所述待检测请求对象是否发起域名 反射攻击。 2.如权利要求1所述的方法， 其特征在于， 所述根据 预设时间关系 对所述多个时间窗口 的请求数量进行构建， 得到 至少两个请求序列， 包括： 根据预设时间关系， 将所述多个时间窗口划分为多个第 一时间窗口和多个第 二时间窗 口； 根据所述多个第 一时间窗口的请求数量构建得到第 一请求序列， 以及根据所述多个第 二时间窗口 的请求数量构建得到第二请求序列。 3.如权利要求2所述的方法， 其特征在于， 所述多个时间窗口是连续的时间窗口； 所述 根据预设时间关系， 将所述多个时间窗口划分为多个第一时间窗口和多个第二时间窗口， 包括： 在多个连续的时间窗口中， 确定指定数量个连续的时间窗口作为所述多个第 一时间窗 口； 在除所述第 一时间窗口之外的其他 时间窗口中， 确定所述指定数量个时间窗口作为所 述多个第二时间窗口； 其中， 所述多个第一时间窗口中最 晚的第一时间窗口早于所述多个 第二时间窗口中最 早的第二时间窗口。 4.如权利要求1所述的方法， 其特征在于， 所述至少两个请求序列包括第 一请求序列和 第二请求序列； 所述计算所述至少两个请求序列之间的相关系数， 包括： 对所述第一请求序列中含有的各个请求数量进行求平均值运算， 得到第一均值， 以及 对所述第二请求序列中含有的各个请求数量进行求平均值 运算， 得到第二均值； 根据所述第一均值、 所述第二均值、 所述第一请求序列， 以及所述第二请求序列， 计算 所述第一请求序列和所述第二请求序列之间的相关系数。 5.如权利要求4所述的方法， 其特征在于， 所述根据 所述第一均值、 所述第 二均值、 所述 第一请求序列， 以及所述第二请求序列， 计算所述第一请求序列和所述第二请求序列的相 关系数， 包括： 将所述第一请求序列中含有的各个请求数量分别与所述第 一均值进行求差值运算， 得 到多个第一差值， 以及将所述第二请求序列中含有的各个请求数量分别与所述第二均值进 行求差值 运算， 得到多个第二差值； 根据所述多个第 一差值和所述多个第 二差值， 计算所述第 一请求序列和所述第 二请求 序列之间的相关系数。 6.如权利要求1至5中任一项所述的方法， 其特征在于， 在获取待检测请求对象在多个 时间窗口内发起 域名解析请求的请求数量之前， 所述方法还 包括： 获取指定时间窗口内发起域名解析请求的请求对象， 并统计所述请求对象在所述指定 时间窗口内发起 域名解析请求的请求数量；权　利　要　求　书 1/2 页 2 CN 115296904 A 2根据所述请求数量和预设数量阈值的关系， 从所述请求对象中确定所述待检测请求对 象。 7.如权利要求1至5中任一项所述的方法， 其特征在于， 所述根据所述至少两个请求序 列之间的相关系数， 确定所述待检测请求对象是否发起 域名反射 攻击， 包括： 检测所述至少两个请求序列的相关系数与预设阈值的关系， 得到检测结果； 若所述检测结果表征所述相关系数大于等于所述预设阈值， 则确定所述待检测请求对 象发起域名反射 攻击； 若所述检测结果表征所述相关系数小于所述预设阈值， 则确定所述待检测请求对象未 发起域名反射 攻击。 8.一种域名反射 攻击检测装置， 其特 征在于， 包括： 获取模块， 配置为获取待检测请求对象在多个时间窗口内发起域名解析请求的请求数 量； 构建模块， 配置为根据预设时间关系对所述多个时间窗口的请求数量进行构建， 得到 至少两个请求序列； 计算模块， 配置为计算所述至少两个请求序列之间的相关系数； 确定模块， 配置为根据所述至少两个请求序列之间的相关系数， 确定所述待检测请求 对象是否发起 域名反射 攻击。 9.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 存储装置， 用于存储一个或多个程序， 当所述一个或多个程序被所述一个或多个处理 器执行时， 使得所述电子设备实现如权利要求1至7中任一项所述的域名反射攻击检测方 法。 10.一种计算机可读存储介质， 其特征在于， 其上存储有计算机可读指令， 当所述计算 机可读指 令被计算机的处理器执行时， 使计算机执行权利要求1至7中任一项 所述的域名反 射攻击检测方法。权　利　要　求　书 2/2 页 3 CN 115296904 A 3