CN113852495A - 一种基于海量探针监测dns服务器异常的方法 - Google Patents
一种基于海量探针监测dns服务器异常的方法 Download PDFInfo
- Publication number
- CN113852495A CN113852495A CN202111067800.1A CN202111067800A CN113852495A CN 113852495 A CN113852495 A CN 113852495A CN 202111067800 A CN202111067800 A CN 202111067800A CN 113852495 A CN113852495 A CN 113852495A
- Authority
- CN
- China
- Prior art keywords
- dns
- delay
- analysis
- time window
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 239000000523 sample Substances 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012544 monitoring process Methods 0.000 title claims abstract description 21
- 238000012360 testing method Methods 0.000 claims abstract description 45
- 230000002159 abnormal effect Effects 0.000 claims abstract description 28
- 238000007621 cluster analysis Methods 0.000 claims abstract description 6
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 9
- 230000001934 delay Effects 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于海量探针监测DNS服务器异常的方法和***。通过向网关中的探针部署拨测任务以对热门网站进行拨测,提取探针拨测的数据中DNS解析时延值,根据多因子时间序列模型估算当前时间窗口内DNS解析时延期望值,若某单次DNS解析时延值不属于当前时间窗口内DNS解析时延期望值,则判断该单次DNS时延为异常,识别该单次DNS时延异常所归属的DNS服务节点,统计该节点当前时间窗口内DNS服务器集群解析异常率,并在解析异常率超过预定阈值时发出故障预警。本发明能及时发现DNS服务器集群节点的潜在故障并准确定位具体节点位置。
Description
技术领域
本发明涉及互联网领域,尤其涉及一种基于海量探针监测DNS服务器异常的方法和***。
背景技术
DNS服务器异常会导致DNS解析时延甚至失败。DNS解析时延是指从客户端向DNS服务器发出域名解析请求到DNS服务器将解析结果反馈到客户端的时间间隔。DNS解析慢、即解析时延较长会增加网页打开时间,影响上网体验。而如果DNS解析失败则会则直接导致网站无法访问。
现有家庭网络环境下,DNS域名解析采用主备模式,某个DNS服务器集群节点存在的单点故障(如解析成功率低、解析报文流量拥塞等异常情况)甚至个别元素DNS解析失败时,由于网页上有很多页面元素,个别元素获取异常不易被察觉也不影响用户整体业务体验,除非超出现有DNS解析成功率阈值。一些服务器节点上联交换机存在QOS限速,出现流量拥塞丢弃、DNS解析时延偏大等问题。现有的DNS服务器侧异常监测技术手段很难发现此类潜在故障并定位具体节点位置。而实际上,潜在故障在超出现有DNS解析成功率阈值之前已经存在。此外,传统DNS服务器解析异常监测阈值相对静态配置,靠手动调整,也是难以发现潜在故障的原因。
CN102694696A公开的DNS服务器异常检测方法通过获取预设时间段内访问DNS服务器的各检测参数(如IP地址或域名)的访问时间和访问频率,根据各访问时间和各访问频率获取卡方统计值,其主要是根据所获取的卡方统计值和历史卡方值判断DNS服务器是否出现异常。该方法不涉及DNS解析的时延问题。
CN106649099A公开的DNS监测服务自动化测试方法根据测试用例区分不同测试场景编写测试用例文件;根据测试用例文件编写监测项配置文件,以指定各用例的监测场景;根据各用例的监测项配置文件编写其对应的期望结果文件;通过自动化测试程序逐条执行测试用例,向待监测的DNS服务器发送查询包,并将反馈结果与期望结果进行比对;在全部用例执行完毕后,根据前序步骤得到的比对结果生成测试报告。但没有提出如何进行具体测试结果的异常判断。
因此,亟须一种能够及时发现DNS服务器集群节点的潜在故障并准确定位具体节点位置的方法和***,充分考虑DNS解析时延移动平均值、忙时因素、波动项等多重因素,实现DNS服务器集群异常实时性精确监测,判断真实测试结果中DNS解析时延是否异常,从而提升运营商网络运维水平。
发明内容
提供本发明内容以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本发明内容并不旨在标识出所要求保护的主题的关键特征或必要特征;也不旨在用于确定或限制所要求保护的主题的范围。
本发明基于家庭网关上的海量探针,部署拨测热门互联网网站(如最热门的50个)的拨测任务,通过对探针的测试结果中某网站URL相关页面元素级DNS解析报文的大数据分析,提取该网站相关页面元素的DNS解析时延及当前测试的时间戳,在当前测试结果中时间戳所在的时间窗口内,采用多因子时间序列模型对相关DNS解析时延进行预测,判断该页面元素实际DNS解析时延是否异常,结合运营商的网络拓扑,设定时间窗口内统计在设定时间窗口内DNS服务器集群节点解析异常率,从而及时准确地发现DNS服务器集群节点的潜在故障。
本发明的一种监测DNS服务器异常的方法,包括以下步骤:
1)向网关中的探针部署拨测任务以对最热门的50个网站进行拨测,提取探针拨测的数据中DNS解析时延值;
2)根据多因子时间序列模型基于历史拨测数据,结合忙时因子以及波动量,估算当前时间窗口内DNS解析时延期望值;
3)若单次DNS解析时延值不属于当前时间窗口(例如,五分钟)内DNS解析时延期望值,则判断单次DNS时延为异常;
4)结合网络拓扑,识别单次DNS时延异常所归属的DNS服务节点,并基于公式“解析异常率=解析异常次数/全部DNS解析请求数”统计该节点当前时间窗口内DNS服务器集群解析异常率:以及
5)在当前时间窗口内某DNS服务器节点DNS解析异常率超过预定阈值时,发出故障预警。
本发明的一种监测DNS服务器异常的***,包括:
被部署在网关中的海量探针,用于对热门网站进行拨测,并提取探针拨测的数据中DNS解析时延值;
DNS解析时延期望值估算模块,与海量探针通信地连接,用于接收上述DNS解析时延值,并根据多因子时间序列模型基于历史拨测数据,结合忙时因子以及波动量,估算当前时间窗口内DNS解析时延期望值;
DNS解析时延异常判断模块,与海量探针和DNS解析时延期望值估算模块通信地连接,用于收来自海量探针的单次DNS解析时延值,并来自DNS解析时延期望值估算模块的接收DNS解析时延期望值,并在单次DNS解析时延值不属于当前时间窗口内DNS解析时延期望值时,将该单次DNS时延判断为异常;
DNS解析时延异常率,与DNS解析时延异常判断模块通信地连接,用于结合网络拓扑,识别单次DNS时延异常所归属的DNS服务节点,统计该DNS服务节点当前时间窗口内DNS服务器集群解析异常率;以及
故障预警模块,与DNS解析时延异常率计算模块通信地连接,在上述DNS解析异常率超过预定阈值时,发出故障预警。
通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。
附图说明
以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。
图1是根据本发明的一种基于海量探针监测DNS服务器异常的方法的流程图;
图2是一种基于海量探针监测DNS服务器异常的***的框图。
附图中的流程图和框图显示了根据本申请的实施例的***、方法可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。
具体实施方式
以下将通过参考附图中示出的具体实施例来对本发明进行更具体描述。通过阅读下文具体实施方式的详细描述,本发明的各种优点和益处对于本领域普通技术人员将变得清楚明了。然而应当理解,可以以各种形式实现本发明而不应被这里阐述的各实施方式所限制。提供以下实施方式是为了能够更透彻地理解本发明。除非另有说明,本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。
目前在智能家庭网关中部署有海量的探针(亦称软探针),其具备进行网关状态检测、网关信息采集、家庭网络在线时长流量等信息检测、拨测等多种功能。本发明提出的方法和***基于家庭网关中部署的海量探针,使用“多因子时间序列模型”来预测DNS解析时延并进行异常监测。具体如下:
图1是根据本发明的监测DNS服务器异常的方法的流程图。
在步骤S110,向家庭网关中海量的探针部署拨测任务,使其主动对多个热门互联网网站(如最热门的50个)进行拨测,集中采集探针拨测数据,提取探针单次拨测数据中DNS解析时延值。本领域技术人员可以理解,热门网站个数是可以根据需要选取和调整的,可以是最热门的50个,也可以更多。
在步骤S120,根据多因子时间序列模型估算DNS解析时延期望值,包括:
根据历史拨测数据,结合忙时因子以及波动量,计算当前时间窗口内DNS解析时延期望值Yt,包括解析时延上限和下限值。
多因子时间序列模型公式如下:Yt=Rt+Bt+εt
其中,Rt为若干日内DNS解析时延移动平均值,Bt为忙时偏移量,在设定时间窗口(如5分钟,本领域技术人员可以理解,颗粒度可以配置,亦可构想其它时长的时间窗口)内,公式中各项计算方法如下:
·Rt=EMA(DNS时延日均值,N),指N日内DNS解析时延指数移动平均值;
·Bt=忙时DNS解析时延偏移量,反映日内忙时、闲时、平时的波动偏移量;
·εt=波动项,指在设定时间窗口内DNS解析时延波动阈值。
在步骤S130,判断单次DNS解析时延是否异常:
在设定时间窗口内,探针测试结果中某个页面元素的单次DNS解析时延Tdns是否异常判断标准是:
即,根据单次DNS解析时延不属于Yt,则判断该次测试结果为异常。
在步骤S140,进行DNS服务器集群解析异常率统计:
结合网络拓扑,识别单次异常结果所归属的DNS服务节点,并统计该节点设定时间窗口内,DNS解析时延异常率(Failure rate),计算公式为:
解析异常率=解析异常次数/全部DNS解析请求数。
在步骤S150,发出DNS服务器集群故障预警:
在设定时间窗口内,若某DNS服务器节点DNS解析异常率超过预定阈值,则发出故障预警。
图2是根据本发明的监测DNS服务器异常的***的框图。
该***包括,海量探针210、DNS解析时延期望值估算模块220、DNS解析时延异常判断模块230、DNS解析时延异常率计算模块240,以及故障预警模块250。
家庭网关中的海量探针210执行拨测任务,将集中采集的海量拨测数据提供给与之通信地连接的DNS解析时延期望值估算模块220,后者根据多因子时间序列模型(Yt=Rt+Bt+εt)估算DNS解析时延期望值Yt,并将所估算得到的期望值提供给与之通信地连接的DNS解析时延异常判断模块230。
海量探针210也与DNS解析时延异常判断模块230通信地连接,将提取探针单次拨测数据中DNS解析时延值Tdns发送给DNS解析时延异常判断模块230。
DNS解析时延异常判断模块230基于
判断该单次拨测数据中DNS解析时延为异常,交由与之通信地连接的DNS解析时延异常率计算模块240根据公式“解析异常率=解析异常次数/全部DNS解析请求数”进行DNS服务器集群解析异常率统计。
在设定时间窗口内,若某DNS服务器节点DNS解析异常率超过预定阈值,则DNS解析时延异常率计算模块240通知与之通信地连接的故障预警模块250发出故障预警。
本发明提出了一种多因子时间序列模型方法对DNS解析时延进行预测并进行异常监测:包括DNS解析时延移动平均值、忙时因素、波动项等因素,基于家庭网关上的海量探针,判断真实测试结果中DNS解析时延是否异常,从而可及时发现DNS服务器集群节点的潜在故障,提升运营商网络运维水平。
以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围,其均应涵盖在本申请的权利要求和说明书的范围当中。
Claims (10)
1.一种监测DNS服务器异常的方法,包括:
向网关中的探针部署拨测任务以对热门网站进行拨测,提取所述探针拨测的数据中DNS解析时延值;
根据多因子时间序列模型估算当前时间窗口内DNS解析时延期望值;以及
若单次DNS解析时延值不属于当前时间窗口内所述DNS解析时延期望值,则判断所述单次DNS时延为异常。
2.如权利要求1所述的方法,其特征在于,所述多因子时间序列模型基于历史拨测数据,结合忙时因子以及波动量,计算当前时间窗口内DNS解析时延期望值Yt如下:
Yt=Rt+Bt+εt
其中,Rt为若干日内DNS解析时延移动平均值,Bt为忙时DNS解析时延偏移量,εt为当前时间窗口内DNS解析时延波动阈值。
3.如权利要求1所述的方法,其特征在于,进一步包括:
结合网络拓扑,识别单次DNS时延异常所归属的DNS服务节点,并基于以下公式统计该节点当前时间窗口内DNS服务器集群解析异常率:
解析异常率=解析异常次数/全部DNS解析请求数。
4.如权利要求3所述的方法,其特征在于,进一步包括:
在当前时间窗口内某DNS服务器节点DNS解析异常率超过预定阈值时,发出故障预警。
5.如权利要求1所述的方法,其特征在于,部署所述拨测任务包括选择最热门的50个网站进行拨测。
6.如权利要求1所述的方法,其特征在于,所述当前时间窗口为五分钟。
7.如权利要求2所述的方法,其特征在于,DNS解析时延期望值Yt包括解析时延上限和下限值。
8.一种监测DNS服务器异常的***,包括:
海量探针,所述海量探针被部署在网关中,用于对热门网站进行拨测,并提取所述探针拨测的数据中DNS解析时延值;
与所述海量探针通信地连接的DNS解析时延期望值估算模块,所述DNS解析时延期望值估算模块接收来自所述海量探针的DNS解析时延值,并根据多因子时间序列模型估算当前时间窗口内DNS解析时延期望值;
与所述海量探针和所述DNS解析时延期望值估算模块通信地连接的DNS解析时延异常判断模块,DNS解析时延异常判断模块接收来自所述海量探针的单次DNS解析时延值,并接收所述DNS解析时延期望值,并在所述单次DNS解析时延值不属于当前时间窗口内所述DNS解析时延期望值时,所述单次DNS时延判断为异常;
与所述DNS解析时延异常判断模块通信地连接的DNS解析时延异常率计算模块;以及
与所述DNS解析时延异常率计算模块通信地连接的故障预警模块。
9.如权利要求8所述的***,其特征在于:
所述DNS解析时延期望值估算模块基于多因子时间序列模型根据历史拨测数据,结合忙时因子以及波动量,计算当前时间窗口内DNS解析时延期望值Yt如下:
Yt=Rt+Bt+εt
其中,Rt为若干日内DNS解析时延移动平均值,Bt为忙时DNS解析时延偏移量,εt为当前时间窗口内DNS解析时延波动阈值。
10.如权利要求8所述的***,其特征在于:
所述DNS解析时延异常率计算模块结合网络拓扑,识别单次DNS时延异常所归属的DNS服务节点,并基于以下公式统计该节点当前时间窗口内DNS服务器集群解析异常率:
解析异常率=解析异常次数/全部DNS解析请求数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111067800.1A CN113852495B (zh) | 2021-09-13 | 2021-09-13 | 一种基于海量探针监测dns服务器异常的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111067800.1A CN113852495B (zh) | 2021-09-13 | 2021-09-13 | 一种基于海量探针监测dns服务器异常的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113852495A true CN113852495A (zh) | 2021-12-28 |
| CN113852495B CN113852495B (zh) | 2024-04-30 |
Family
ID=78973755
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111067800.1A Active CN113852495B (zh) | 2021-09-13 | 2021-09-13 | 一种基于海量探针监测dns服务器异常的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113852495B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和*** |
| CN103491202A (zh) * | 2013-09-09 | 2014-01-01 | 中国科学院计算机网络信息中心 | 一种基于网络测量的dns节点选址方法 |
| CN107015900A (zh) * | 2016-01-27 | 2017-08-04 | 中国科学院声学研究所 | 一种视频网站的服务性能预测方法 |
| CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
| US20190266076A1 (en) * | 2018-02-26 | 2019-08-29 | The Ultimate Software Group, Inc. | System for autonomously testing a computer system |
-
2021
- 2021-09-13 CN CN202111067800.1A patent/CN113852495B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924776A (zh) * | 2010-09-16 | 2010-12-22 | 网宿科技股份有限公司 | 域名解析服务器的抵御dns请求报文泛洪攻击的方法和*** |
| CN103491202A (zh) * | 2013-09-09 | 2014-01-01 | 中国科学院计算机网络信息中心 | 一种基于网络测量的dns节点选址方法 |
| CN107015900A (zh) * | 2016-01-27 | 2017-08-04 | 中国科学院声学研究所 | 一种视频网站的服务性能预测方法 |
| US20190266076A1 (en) * | 2018-02-26 | 2019-08-29 | The Ultimate Software Group, Inc. | System for autonomously testing a computer system |
| CN110086649A (zh) * | 2019-03-19 | 2019-08-02 | 深圳壹账通智能科技有限公司 | 异常流量的检测方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113852495B (zh) | 2024-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3379419B1 (en) | Situation analysis | |
| EP3326330B1 (en) | Methods, systems, and apparatus to generate information transmission performance alerts | |
| KR100561628B1 (ko) | 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽감지 방법 | |
| US10601688B2 (en) | Method and apparatus for detecting fault conditions in a network | |
| US9491285B2 (en) | Technique for performance management in a mobile communications network | |
| US10153950B2 (en) | Data communications performance monitoring | |
| US20060047807A1 (en) | Method and system for detecting a network anomaly in a network | |
| US20150195154A1 (en) | Creating a Knowledge Base for Alarm Management in a Communications Network | |
| KR20090041198A (ko) | 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 | |
| US20160283307A1 (en) | Monitoring system, monitoring device, and test device | |
| US20210184940A1 (en) | Prediction of a performance indicator | |
| JP2008283621A (ja) | ネットワーク輻輳状況監視装置、ネットワーク輻輳状況監視方法及びプログラム | |
| CN111585819B (zh) | 一种配网通信设备故障分析方法和*** | |
| EP2887578A1 (en) | Network fault detection and location | |
| CN113852495B (zh) | 一种基于海量探针监测dns服务器异常的方法 | |
| CN114268567A (zh) | 异常终端的识别方法、分析装置及设备、存储介质 | |
| EP2887579A1 (en) | Data communications performance monitoring using principal component analysis | |
| Proença et al. | Anomaly detection for network servers using digital signature of network segment | |
| EP3607767A1 (en) | Network fault discovery | |
| CN113726808A (zh) | 一种网站监测方法、装置、设备及存储介质 | |
| CN115225455B (zh) | 异常设备检测方法及装置、电子设备、存储介质 | |
| Yan et al. | Combining adaptive filtering and IF flows to detect DDOS attacks within a router | |
| Oprea et al. | Traffic anomaly detection using a distributed measurement network | |
| CN114513432A (zh) | 上网异常离线的检测方法、装置、介质及设备 | |
| GB2523629A (en) | Network faul detection and location |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |