买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

龙图腾网获悉南京烽火星空通信发展有限公司申请的专利基于域名访问的用户离群行为识别与相似行为推荐方法获国家发明授权专利权，本发明授权专利权由国家知识产权局授予，授权公告号为：CN119254538B 。

龙图腾网通过国家知识产权局官网在2025-06-20发布的发明授权授权公告中获悉：该发明授权的专利申请号/专利号为：202411765925.5，技术领域涉及：H04L9/40；该发明授权基于域名访问的用户离群行为识别与相似行为推荐方法是由邱秀连;冯晨;梁丁;王晨;汪洋;彭艳兵设计研发完成，并于2024-12-04向国家知识产权局提交的专利申请。

本基于域名访问的用户离群行为识别与相似行为推荐方法在说明书摘要公布了：本发明公开了一种基于域名访问的用户离群行为识别与相似行为推荐方法，属于涉及网络安全技术领域，具体包含：根据用户访问域名频次、访问域名频繁度等行为特征构建域名评价指标体系，从多维特征量化全域用户访问域名行为的集中程度与离散程度；以域名评价体系为基础，通过离群检测方法量化用户访问域名行为的离群程度，以此搭建用户访问域名极端离群行为识别系统；以域名为桥梁关联具有共同域名访问行为的用户，以离群程度特征矩阵刻画用户访问域名的行为特征，结合机器学习算法针对用户行为进行深入的相似度分析；从而识别出潜在的异常行为模式和相似行为用户。

本发明授权基于域名访问的用户离群行为识别与相似行为推荐方法在权利要求书中公布了：1.基于域名访问的用户离群行为识别与相似行为推荐方法，其特征在于：具体包含如下步骤；步骤1，根据用户访问域名频次、访问域名频繁度等行为特征构建域名评价指标体系；步骤2，以域名评价指标体系为基础，通过Tukey'sTest离群检测方法量化用户访问域名行为的离群程度，并构建用户访问域名离群特征矩阵；其中，Tukey'sTest为图基检验；步骤3，针对用户行为进行深入的相似度分析，从而识别出潜在的异常行为模式和相似行为用户；在步骤1中，采集报文数据合并为会话通联数据，基于全域超大规模网络流量中的超文本传输协议HTTP和安全超文本传输协议HTTPS应用层协议相关流量，构建域名评价指标体系；对会话通联数据进行过滤，并提取会话域名信息，每一条会话流量表示如下：Flowiauthi,sipi,dipi,sporti,dporti,domaini,captimei其中，authi为第i条会话流量的用户序列；sipi为源IP；dipi为宿IP；sporti为源端口；dporti为宿端口；domaini为域名；captimei为会话捕获时间；域名评价指标体系搭建，具体如下：基于HTTP和HTTPS应用层协议会话数据，从用户访问的每个对端domain出发，考虑任意一个domaini，记在一日内与其通联的用户序列集合为C＝{auth1,auth2,auth3,......,authn}，将authi∈C访问domaini行为特征按大小形成有序的特征序列，从而构建以domaini为对象的15维评价指标体系；域名评价指标体系具体包含如下：1域名整体属性：通过计算指定日期wi内domaini的对端用户数来量化域名的用户访问量，并基于用户访问量设计二级派生指标——域名热门程度，即通过累积分布曲线将domaini按用户访问量划分为超冷门域名、冷门域名、大众域名、热门域名；通过计算域名关联的宿IP数来表示域名的服务端IP分布数量；形成域名整体属性的3维指标；域名被访问用户数：C_udm_naddm,w＝C_u{authi|dm＝domainiw＝wi}域名关联服务端IP数：C_udm_nipdm,w＝C_u{dipi|dm＝domainiw＝wi}域名热门程度：其中，C_u·为非重复计数函数；2域名被访问特征：将指定日期wi内authi∈C访问domaini的频次特征、频繁度特征、关联服务端IP数特征分别按大小形成有序的特征序列，以此量化domaini被用户访问时的会话频次的第一、三分位数、平均值、标准差、变异系数相关统计量，刻画用户访domaini会话频次的总体偏好、集中趋势和离散趋势，形成域名被访问特征的12维指标；用户访问域名的统计特征与域名指标的计算公式如下：访问域名频次：Cfad,dm,w＝C{fi|ad＝authidm＝domainiw＝wi}访问频次分位数：Ffdm,w＝{F0.25Cfad,dm,w,F0.75Cfad,dm,w}访问频次均值：Mfdm,w＝MCfad,dm,w访问频次标准差：Stdfdm,w＝MCfad,dm,w访问频次变异系数：访问域名频繁度：C_ufreqad,dm,w＝C_u{freqi|ad＝authidm＝domainiw＝wi}访问频繁度分位数：Ffreqdm,w＝{F0.25C_ufreqad,dm,w,F0.75C_ufreqad,dm,w}访问频繁度均值：Mfreqdm,w＝MC_ufreqad,dm,w访问频繁度标准差：Stdfreqdm,w＝MCfreqad,dm,w访问频繁度变异系数：访问域名关联IP数：C_udipad,dm,w＝C_u{dipi|ad＝authidm＝domainiw＝wi}关联IP数分位数：Fdipdm,w＝{F0.25C_udipad,dm,w,F0.75C_udipad,dm,w}关联IP数均值：Mdipdm,w＝MC_udipad,dm,w关联IP数标准差：Stddipdm,w＝MCdipad,dm,w关联IP数变异系数：F0.25·为一分位数函数，F0.75·为三分位数函数，C·为计数函数，M·为均值函数，Std·为标准差函数，CV·为离散系数函数；在步骤2中，采用Tukey’stest离群值识别法量化用户的离群程度，其原理是通过计算数据集的四分位数与四分位距IQR即三分位数F0.75·与一分位数F0.25·之差，来判断数据离群程度；结合Tukey离群值识别法和IQR法则，将分布在[F0.75·+1.5*IQR,+∞]的数据视为正向温和离群点，将[F0.75·+3*IQR,+∞]的数据视为正向极端离群点；量化用户访问行为特征的离群程度值，对于任意域名domaini，计算一日内用户authi∈C访问domaini的行为特征的正向极端离群程度值当k正向1时，判定authi访问domaini时具备极端离群行为特征；序列偏态修正：考虑到非实验环境下特征序列存在数据分布偏态问题，对涉及特征序列进行以10为底的对数偏态修正，记为L[x]＝log10x；结合域名评价指标体系，修正后的用户访问域名频次、频繁度、关联服务端IP数的离群程度值计算公式如下：1用户访问域名频次离群程度值： 2用户访问域名频繁度离群程度值： 3用户访问域名关联服务端IP数离群程度值： 对于n个用户authi、m个域名domaini，构造出n*m*3维用户离群特征矩阵；在步骤3中，基于构建的n*m*3维用户访问域名离群特征矩阵，当用户访问域名频次离群程度值、用户访问域名频繁度离群程度值、用户访问域名关联服务端IP数离群程度值存在某一维度上大于指定阈值的情况，即则在这一维度上，该用户访问该域名的行为程度远高于其他访问该域名的用户水平，判定该用户访问该域名时存在极端离群行为；针对馈入用户authi，提取其在指定时间范围内访问的域名集合D及用户离群特征矩阵A，以domaini∈D为桥梁，关联存在访问域名集合D行为的用户{auth1,auth2,......,authn}及对应的用户离群特征矩阵Bi∈{B1,B2,......,Bn}，采用余弦相似度来作为特征相似度的度量标准，通过计算馈入用户离群特征矩阵A与关联用户离群特征矩阵Bi∈{B1,B2,......,Bn}的余弦相似距离，推荐与馈入用户域名访问行为相似度较高的用户。

如需购买、转让、实施、许可或投资类似专利技术，可联系本专利的申请人或专利权人南京烽火星空通信发展有限公司，其通讯地址为：210019 江苏省南京市建邺区云龙山路88号烽火科技大厦A栋26F；或者联系龙图腾网官方客服，联系龙图腾网可拨打电话0551-65771310或微信搜索“龙图腾网”。