本發(fā)明提出一種基于被動DNS流量的遞歸域名服務(wù)器用戶量估計方法，涉及網(wǎng)絡(luò)測量技術(shù)領(lǐng)域，通過分析被動DNS流量，能夠?qū)崿F(xiàn)在經(jīng)過NAT地址轉(zhuǎn)換無法獲取用戶真實源IP地址，以及經(jīng)過遞歸域名服務(wù)器RDNS緩存壓縮后用戶原始DNS請求包數(shù)量減少的真實網(wǎng)絡(luò)場景下，估計使用該遞歸域名服務(wù)器的所有用戶量范圍。利用RDNS緩存壓縮后的DNS請求包計算RDNS內(nèi)部用戶量下界。利用RDNS緩存壓縮后的DNS請求包和響應(yīng)包，把由該RDNS緩存壓縮后的DNS請求包變成內(nèi)部用戶發(fā)起的模擬DNS請求包，然后利用生成的模擬DNS請求包計算RDNS內(nèi)部用戶量上界。通過本方法得到的估計用戶量與真實用戶量的偏差范圍較小，效果優(yōu)異。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)測量技術(shù)領(lǐng)域，具體為一種基于被動DNS流量的遞歸域名服務(wù)器用戶量估計方法。

背景技術(shù)

當(dāng)前測量遞歸域名服務(wù)器(Recursive Domain Name Servers,RDNS)用戶量的方法，主要可以分為被動測量和主動測量兩種方式：

被動測量主要是通過直接獲取用戶發(fā)往該RDNS的原始DNS請求包，從原始DNS請求包中生成基于DNS的指紋信息，并使用提取的指紋來將原始DNS請求包匹配到具體的單個用戶，然后對每個用戶進行識別和跟蹤，最終計算用戶量。而根據(jù)具體實現(xiàn)的算法類型可以分為監(jiān)督學(xué)習(xí)算法和無監(jiān)督學(xué)習(xí)算法?；诒O(jiān)督學(xué)習(xí)的方法[1,2]需要使用帶有標(biāo)記用戶的大量DNS請求包來為每個用戶生成指紋標(biāo)記數(shù)據(jù)集，但在真實網(wǎng)絡(luò)中，獲取此類預(yù)先標(biāo)記的數(shù)據(jù)集極具挑戰(zhàn)性，從根本上限制了這類研究方法的實際應(yīng)用效果。而基于無監(jiān)督學(xué)習(xí)的方法[3-7]要么需要一開始預(yù)定義聚類的組類別個數(shù)[3]，即用戶量，不太現(xiàn)實；要么需要用戶真實源IP地址作為標(biāo)識標(biāo)簽才能進行聚類[4-7]，對輸入的DNS請求包要求較高。

主動測量主要是利用構(gòu)建針對該RDNS的主動緩存探針來探測訪問該RDNS的緩存行為策略，通過建立每個域名的緩存更新間隔時間差序列來表征RDNS內(nèi)部的緩存情況，進一步計算用戶發(fā)往該RDNS的原始DNS請求包中每個域名的請求時間差序列，最終計算用戶量[9-12]。為了計算用戶發(fā)往該RDNS的原始DNS請求包中每個域名的請求時間差序列，主動測量需要考慮到用戶發(fā)往該RDNS的原始DNS請求包，其對應(yīng)的DNS響應(yīng)包構(gòu)成了該RDNS的緩存，而該RDNS的緩存會對用戶發(fā)往該RDNS的后續(xù)原始DNS請求包進行壓縮，只有沒有命中緩存的原始DNS請求包才能夠由該RDNS發(fā)往其他權(quán)威域名服務(wù)器，命中了該RDNS緩存的原始DNS請求包，就直接由該RDNS緩存構(gòu)建對應(yīng)的DNS響應(yīng)包返回給用戶。同時，這些采用主動測量得到緩存更新間隔時間差序列的方法[9-12]，需要滿足主動緩存探針與該RDNS的網(wǎng)絡(luò)可達條件，并且由于主動緩存探針需要針對特定的域名發(fā)起請求，最終估計得到的數(shù)量并不是使用該RDNS的所有用戶，僅僅是使用特定域名服務(wù)的用戶量。

綜上所述，已有方法均無法完全很好的解決，在經(jīng)過NAT地址轉(zhuǎn)換后無法獲取用戶真實源IP地址，以及經(jīng)過該RDNS緩存壓縮后用戶原始DNS請求包數(shù)量減少的真實網(wǎng)絡(luò)場景下，估計該RDNS所有用戶量的問題。

參考文獻：

[1]Dominik Herrmann,Christian Banse,and HannesFederrath.2013.Behaviorbased tracking:exploiting characteristic patterns inDNS traffic.ComputersSecurity 39(2013),17–33.