本发明实施例公开了一种恶意软件通讯活动检测方法、系统及存储介质，该方法包括：获取目标环境内的每一台主机的网络通讯数据；对网络通讯数据进行处理，获取每一台主机分别对应的标准字段；当确定第i台主机对应的第j个IP对为第一类型IP对时，根据相邻两次通讯发起时间间隔确定其是否为恶意软件beacon通讯活动；或者，当确定第i台主机对应的第j个IP对为第二类型IP对时，统计第二预设时间段内第i台主机对应的第j个IP对中本地IP和远程IP之间的第一平均通讯次数，以及第一实际通讯次数；根据第一平均通讯次数和第一实际通讯次数，确定其是否为恶意软件beacon通讯活动；当确定为恶意软件beacon通讯活动时，发出告警信息。