CN116016220B - 基于dns流量预测业务流量的方法、装置和设备 - Google Patents

基于dns流量预测业务流量的方法、装置和设备 Download PDF

Info

Publication number
CN116016220B
CN116016220B CN202211662873.XA CN202211662873A CN116016220B CN 116016220 B CN116016220 B CN 116016220B CN 202211662873 A CN202211662873 A CN 202211662873A CN 116016220 B CN116016220 B CN 116016220B
Authority
CN
China
Prior art keywords
dns
traffic
flow
influence
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211662873.XA
Other languages
English (en)
Other versions
CN116016220A (zh
Inventor
边占朝
周涛
贾晋康
张敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tianyi Safety Technology Co Ltd
Original Assignee
Tianyi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tianyi Safety Technology Co Ltd filed Critical Tianyi Safety Technology Co Ltd
Priority to CN202211662873.XA priority Critical patent/CN116016220B/zh
Publication of CN116016220A publication Critical patent/CN116016220A/zh
Application granted granted Critical
Publication of CN116016220B publication Critical patent/CN116016220B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了基于DNS流量预测业务流量的方法、装置和设备,该方法中,获取目标网络中多个位置点的分布式流量,分布式流量包括DNS流量和业务流量;基于DNS流量的行为特征和业务流量的行为特征,构建DNS影响力模型;其中,DNS影响力模型用于指示目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息;根据第一节点的DNS查询行为和DNS影响力模型,获取目标网络的业务流量模型的预测结果,业务流量模型用于指示每个DNS服务器产生的业务流量。这样,基于分布式全局流量采集,可以实现更准确的业务流量预测。

Description

基于DNS流量预测业务流量的方法、装置和设备
技术领域
本申请涉及网络安全技术领域,尤其涉及基于DNS流量预测业务流量的方法、装置和设备。
背景技术
域名***(Domain Name System,DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS协议指一种应用层网络协议,使用传输控制协议(Transmission Control Protocol,TCP)/用户数据报协议(User Datagram Protocol,UDP)的53号端口通信,定义了一种供网络设备实现IP地址和域名之间进行映射的协议标准。在有些场景下,域名服务器(Domain Name Server,DNS),表示为用户提供DNS服务的设备和***。
DNS流量,是指DNS协议的流量,通常但不限于为使用UDP/TCP的并且端口号为53的字节流。根据DNS流量走向,可以将从用户向服务器进行查询的流量统称为DNS查询流量,从DNS服务器向终端DNS用户返回的响应或应答信息统称为DNS响应流量。业务流量,是指终端用户与业务服务器之间的非DNS流量通信,可以为任意协议,是用户获知服务器的网际互连协议(Internet Protocol,IP)地址之后,与服务器之间通信的IP流量。业务流量与DNS查询流量一般是多对一的情况,即多次访问可以来源于一次DNS查询。
基于DNS流量与业务流量的密切关联,可以通过DNS流量预测线性网络的业务流量。目前,一种是通过DNS流量在总流量的占比,来预估未来的特定区域的流量总量;另一种则是通过对DNS服务进行监控,通过分析DNS查询行为来预测业务流量。然而,这两种方式都无法实现对流量的精准预测。因此,如何提升基于DNS流量预测业务流量的准确性是值得研究的。
发明内容
本申请提供了一种基于DNS流量预测业务流量的方法、装置、设备和介质,用以提升基于DNS流量预测业务流量的准确性。
第一方面,本申请提供了一种基于DNS流量预测业务流量的方法,所述方法包括:
获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量;
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备;
根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。
通过该方法,基于全局的分布式流量采集,可以实现对目标网络中的全局流量分析,从而可以构建更能反映目标网络的全局流量情况的DNS影响力模型,进而可以基于DNS影响力模型实现更准确的业务流量预测。因此,本申请提供的方法,可以提供基于DNS流量预测业务流量的准确性。
在一种可选的实施例中,所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型之前,所述方法还包括:
获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色;
所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,包括:
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。
该实施例中,通过初始化DNS影响力模型,可以提升DNS影响力模型的构建效率。
在一种可选的实施例中,所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,包括:
统计第二节点向第一DNS服务器的查询次数;
根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率;其中,所述查询次数为第一次数时,所述概率为第一概率值,所述查询次数为第二次数时,所述概率为第二概率值,所述第二次数大于所述第一次数,所述第二概率值大于所述第一概率值。
在一种可选的实施例中,所述行为特征包括以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
在一种可选的实施例中,所述获取所述目标网络的业务流量模型的预测结果之后,所述方法还包括:
当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。
在一种可选的实施例中,所述获取目标网络中多个位置点的分布式流量,包括:
获取来自不同位置点的流量采集组件采集的流量信息;
筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息;
从所述目标流量信息中分离出DNS流量,并将所述目标流量信息中的剩余流量信息确定为所述业务流量。
在一种可选的实施例中,所述方法还包括:
基于所述业务流量的行为特征,识别关联域名;
根据所述关联域名,更新所述感兴趣域名。
在一种可选的实施例中,所述影响力信息包括以下信息中的一种或多种:
业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。
在一种可选的实施例中,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
第二方面,本申请提供了一种基于DNS流量预测业务流量的装置,所述装置包括:
获取模块,用于获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量;
构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备;
预测模块,用于根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。
在一种可选的实施例中,所述获取模块,还用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型之前,用于:
获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色;
所述构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。
在一种可选的实施例中,所述构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
统计第二节点向第一DNS服务器的查询次数;
根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率;其中,所述查询次数为第一次数时,所述概率为第一概率值,所述查询次数为第二次数时,所述概率为第二概率值,所述第二次数大于所述第一次数,所述第二概率值大于所述第一概率值。
在一种可选的实施例中,所述行为特征包括以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
在一种可选的实施例中,所述装置还包括:
预测纠偏模块,用于获取所述目标网络的业务流量模型的预测结果之后,当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。
在一种可选的实施例中,所述获取模块,用于获取目标网络中多个位置点的分布式流量时,具体用于:
获取来自不同位置点的流量采集组件采集的流量信息;
筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息;
从所述目标流量信息中分离出DNS流量,并将所述目标流量信息中的剩余流量信息确定为所述业务流量。
在一种可选的实施例中,所述装置还包括:
识别模块,用于基于所述业务流量的行为特征,识别关联域名;
更新模块,用于根据所述关联域名,更新所述感兴趣域名。
在一种可选的实施例中,所述影响力信息包括以下信息中的一种或多种:
业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。
在一种可选的实施例中,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
第三方面,本申请提供了一种电子设备,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器实现上述基于DNS流量预测业务流量的方法中任一所述方法的步骤。
相应地,本申请提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现上述基于DNS流量预测业务流量的方法中任一所述方法的步骤。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于DNS流量预测业务流量方法的流程示意图;
图2为本申请实施例提供的获取分布式流量的流程示意图;
图3为本申请实施例提供的构建DNS影响力模型的流程示意图;
图4为本申请实施例提高的一种基于DNS流量预测业务流量方法的另一流程示意图;
图5为本申请实施例提供的一种基于DNS流量预测业务流量的装置的结构示意图;
图6为本申请实施例提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
目前,基于DNS流量与业务流量的密切关联,可以通过DNS流量预测线性网络的业务流量。第一种可能实现方式是通过DNS流量在总流量的占比,来预估未来的特定区域的流量总量。然而,该实现方式仅从流量占比作为预测依据,无法实现准确预测;并且,对于有限域名空间内的流量预测则更是难于预测,仅能对局部区域的整体流量进行粗略的计算。
第二种可能的实现方式是通过对DNS服务进行监控,通过分析DNS查询行为来预测业务流量。然而,该实现方式相比于第一种实现方式,虽然将DNS服务行为进行了一些数据处理,但是对于多级缓存的DNS***,无法感知被中间缓存设备截流的流量,没有能对于不同角色区别处理,而且局限于DNS服务器,无法对流量全生命周期进行感知,从而无法对流量进行精准预测。
其中,多级缓存的DNS***可以具有多种不同角色的DNS服务器,例如可以包括但不限于以下几种角色:
(1)、根DNS服务器,用于存储顶级域名信息。
(2)、权威DNS服务器:经上一级授权对域名进行解析的服务器,同时可以将授权向下传递。
(3)、递归DNS服务器:接受用户DNS查询,并返回结果给用户,可以缓存查询结果避免重复向上查询。对公众开放,由网络运营商提供,常常配置到个人电脑的网络地址信息中。
(4)、转发DNS:或者叫DNS中继,接受用户查询,并将结果返回,该结果是简单转发自递归DNS,而不是代替用户去查询,该角色也有DNS缓存的能力。例如,日常的家用无线路由器通常为转发DNS。
(5)、DNS用户,即真正需要将域名转换为IP的装置或***,如个人电脑。
(6)、DNS缓存,泛指具有DNS缓存能力的DNS服务角色。
有鉴于此,本申请实施例提供一种基于DNS流量预测业务流量的方法。该方法中,通过采集目标网络中的分布式流量,可以构造目标网络的DNS影响力模型,从而可以实现通过DNS影响力模型实现业务流量的预测。因此,通过该方法,通过基于采集到的流量信息构建影响力模型,可以实现对业务流量的更加准确地预测,并且,通过业务流量的准确预测,还是可以防止网络中的异常流量攻击等。
参阅图1,为本申请实施例提供的一种基于DNS流量预测业务流量的方法的流程示意图。该流程可以包括以下步骤:
步骤101、获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量。其中,目标网络的多个位置点包括但不限于:客户接入层核心网络出口,运营商接入层网络,运营商汇聚层网络、客户端设备等。
一种可选的实施例中,可以通过现在的流量采集组件或***或设备,获取得到分布式流量;或者,也可以通过专门的流量采集组件或***或设备,获取分布式流量。示例性的,流量采集组件或***或设备例如可以包括但不限于:现有具有采集网络流量监测功能(netflow)的网络设备,专门用于采集网络流量的设备或探针等。这样,本申请实施例中,在采集流量的过程中,通过复用现有的流量采集设备等,可以降低成本。并且,采集流量时无需侵入业务,从而不会增加DNS运维人员的工作量,可以避免对实际业务产生影响。
示例性的,参阅图2,为本申请实施例提供的获取分布式流量的流程示意图。可以包括以下步骤:
步骤1011、获取来自不同位置点的流量采集组件采集的流量信息。其中,此时的流量信息可以包括流量采集组件对通信链路中收发的流量数据的统计。
步骤1012、判断流量信息是否属于预设的感兴趣域名的目标流量信息。若属于,则继续执行步骤1013。通过步骤1012可以筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息。其中,预设的感兴趣域名用于指示需要关注的域名,例如可以为用户预先配置的初始化的感兴趣域名,也可以为对初始化的感兴趣域名进行更新之后当前维护的感兴趣域名,本申请对此不进行限定。
步骤1013、判断目标流量信息是否属于DNS流量。若是,则继续执行步骤1014a;若否,则继续执行步骤1014b。其中,目标流量信息可以为在不同时刻、由不同的流量采集设备采集的多条流量信息,例如可以为多条流量的行为日志信息。
步骤1014a、获取到DNS流量信息。
步骤1014b、获取到业务流量信息。
此外,基于所述业务流量的行为特征,还可以识别出关联域名;根据所述关联域名,更新所述感兴趣域名。可以理解,根据业务流量中记载的源IP地址信息、目标IP地址信息等,还可能存在不属于感兴趣域名的域名信息。可选的,可以将此类域名信息添加到感兴趣域名中。另一可选的,当此类域名信息的出现次数大于或等于预设次数阈值时,将此类域名信息添加到感兴趣域名中,以便于可以及时的、准确的分离出DNS流量和业务流量,从而可以提升基于DNS流量预测业务流量的准确性。这样,通过维护感兴趣域名信息,可以实现及时地关注到目标网络中的业务变化,从而可以保证业务流量预测的准确性。
在一种可能的实施方式中,在基于步骤1014a得到DNS流量和基于步骤1014b得到业务流量之后,为了便于后续数据处理和数据分析,还可以对DNS流量信息和业务流量信息分别进行数据整理,得到结构化的DNS流量信息和结构化的业务流量信息。
本申请实施例中,基于对目标网络中的流量信息的分布式采集,并且对采集的流量信息参照感兴趣域名进行过滤、筛选和实现DNS流量和业务流量的分离,从而可以得到更加精确的、重点关注的目标网络中的DNS流量和业务流量的数据传输状态,从而可以便于后续基于处理得到的分布式流量,构建更准确的DNS影响力模型,进而可以进行更精确的业务流量预测。
并且,本申请实施例中,不仅关注DNS流量,还关注业务流量,从而可以实现对DNS流量和业务流量的全生命周期感知,从而可以支撑实现更精准的基于DNS流量预测业务流量。
步骤102、基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备。
在一种可选的实施例中,在构建DNS影响力模型之前,为了提升构建效率,还可以获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色。例如,可以获取并存储用户上传的关于目标网络中的DNS服务器的角色信息,这样可以便于在构建DNS影响力模型的过程中的模型收敛速率。其中,所述影响力信息可以包括但不限于以下信息中的一种或多种:业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。这样,通过影响力信息可以在DNS角色的基础上,更有效率得确定DNS服务器之间的关联关系,从而可以便于得到目标网络中的DNS服务器的部署架构。
基于上述实施例,所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,可实施为基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。例如,参阅图3,为本申请实施例提供的构建DNS影响力模型的流程示意图。该流程可以包括以下步骤:
步骤1021、获取初始化DNS影响力模型。
步骤1022a、提取DNS流量的行为特征。其中,DNS流量的行为特征可以包括但不限于以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
步骤1022b、提取业务流量的行为特征。其中,业务流量的行为特征也可以包括但不限于以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。可以理解,基于DNS流量的行为特征和业务流量的行为特征,可以实现DNS流量与业务流量的匹配关系,可以获知DNS流量和业务流量涉及到的DNS服务器,从而可以在构建DNS影响力模型时,可以更加准确地反映出目标网络中的业务状态,进而可以便于基于DNS流量实现更精准地预测业务流量。
步骤1023a、基于DNS的行为特征和业务流量的行为特征,更新DNS角色信息。示例性的,基于DNS的行为特征和业务流量的行为特征,可以进行聚类分析,从而可以根据聚类结果确定目标网络中涉及节点的DNS角色。例如,若基于聚类结果分析到一个节点受理的DNS查询多,而自身发起的DNS查询较少,则可以认为该节点的DNS角色为具有DNS缓存功能的DNS服务器。可以理解,若根据聚类结果分析得到的DNS角色信息与初始化DNS角色信息不一致,则可以根据聚类结果对初始化DNS角色进行更新。
步骤1023b、基于DNS的行为特征和业务流量的行为特征,更新DNS服务器之间的关联关系。示例性的,基于DNS的行为特征和业务流量的行为特征,可以分析得到每条DNS流量的DNS查询源节点、查询目标节点和中间转发节点等等,以及还可以分析得到业务流量的源节点、目标节点和中间转发节点等等。这样,针对目标网络中的节点,可以统计该节点需要处理的流量信息以及流量信息的走向,从而可以实现确定该节点的流量影响力,以便于可以及时地预测出流量异常场景等,流量异常场景例如可以为流量超过预期振幅要求等。
步骤1024、基于DNS角色信息和DNS服务器之间的关联关系,构建DNS影响力模型。可以理解,基于DNS角色信息可以确定目标网络中的DNS服务器的角色,基于DNS服务器的关联关系可以确定流量信息在多个DNS服务器上的流量走向。这样,可以基于DNS服务器的角色和流量走向,确定目标网络中的每个DNS服务器上处理的流量总量,从而可以确定DNS服务器的影响力。
示例性的,构建DNS影响力模型可实施为统计第二节点向第一DNS服务器的查询次数;根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率。其中,第二节点例如可以为向第一DNS服务器进行查询的每一个DNS查询源设备。可以理解,当查询次数越高,则产生影响的概率越大,则可以增加概率值。
示例性的,构建DNS影响力模型可实施为构建DNS影响力加权图,例如可表示为G=(V,E,W);其中,DNS查询源设备可作为点Vi,DNS服务器可作为点Vj,有向边Eij用于表示DNS查询源设备向DNS服务器进行DNS查询,W用于表示查询计数;加权分布可表示为Q(w),Q(w)可用于表示基于流量状态确定的权重,权重越大表示DNS影响力越大。这样,通过DNS影响力加权图可以确定目标网络中的DNS服务器的流量情况,通过Q(w)可以实现对异常流量场景的预测。
步骤103、根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。其中,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
示例性的,可以将第一节点的DNS查询行为作为DNS影响力模型的输入,确定所述DNS影响力模型中的DNS服务器的影响力概率,从而可以输出业务流量模型的预测结果。
另外,本申请实施例中,基于得到的业务流量模型的预测结果,还可以进行预测纠偏处理。可选的,当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。可以理解,分布式流量中得到的业务流量是基于对目标网络中的采集得到的,若预测结果与采集结果偏差较大,则构建的DNS影响力模型可能存在一定的偏差,可以基于预测结果与采集结果的偏差情况,返回重新构建DNS影响力模型。这样,通过预测纠偏处理,可以提升基于DNS流量预测业务流量的准确性。
通过本申请实施例提供的方法,基于分布式采集目标网络中流量情况,可以更准确地反映DNS查询的路径,当DNS查询需要中间节点进行转发场景下,通过分布式的流量采集,也可以更准确地通过DNS影响力模型反映出来。这样,可以更加全面的采集DNS流量信息,从而可以更加准确地评估DNS服务器的影响力。并且,本申请实施例通过构建DNS影响力模型,可以更加及时地预测出目标网络中的DNS查询行为对网络中的DNS服务器的影响力,从而可以在流量异常场景时,更加迅速的进行异常处理。
为便于理解本申请实施例提供的方法,参阅图4,为本申请实施例提供的一种基于DNS流量预测业务流量的方法另一流程示意图。该流程可以包括以下步骤:
步骤400a、获取初始化DNS角色。示例性的,初始化DNS角色可以为用户配置的,可以提升DNS构建影响力模型的效率。
步骤400b、获取初始化感兴趣域名。其中,通过感兴趣域名可以更加精准地关注目标流量,从而可以提升预测效率。
步骤401、获取目标网络的流量信息。本申请实施例中,可以基于分布式流量探针在目标网络中的多个位置点进行分布式采集。其中,流量探针可以复用现有的流量采集设备或***等。
步骤402a、从所述目标网络的流量信息中分离得到DNS流量信息。示例性的,通过对采集得到的流量信息进行筛选和分离,可以基于采集的流量信息筛选得到本申请重点关注的感兴趣域名对应的DNS流量信息和业务流量信息。
步骤402b、从所述目标网络的流量信息中分离得到业务流量信息。
步骤402c、基于业务流量信息,进行关联域名的发现,基于关联域名更新感兴趣域名。
步骤403、基于初始化DNS角色、DNS流量信息和业务流量信息,构建DNS影响力模型。本申请实施例中,除了可以初始化DNS角色之外,也可以初始化DNS影响力模型。示例性的,本申请可以基于DNS流量信息和业务流量信息对初始化DNS影响力模型进行更新,以便于通过DNS影响力模型可以更加准确地反映出目标网络中的DNS流量走向情况和业务流量走向情况,以及可以得到DNS流量与业务流量之间的关系。
步骤404、基于DNS影响力模型进行业务流量模型的预测。
步骤405、进行预测纠偏处理。示例性的,可以基于步骤404得到的预测报告与步骤402b得到的业务流量信息进行对此,若偏差较大,则返回步骤403,对构建的DNS影响力模型进行调整。这样,通过预测纠偏处理,可以提升预测的准确性。
通过本申请实施例提供的方法,可以实现对目标网络的全局采集和全局预测。通过该方法,可以基于全局预测可以避免目标网络中的单个网络、局部网络或局部设备的流量误判;还可以应用于DNS投毒处置等场景下,实现对DNS投毒的精准、快速清洗;还可以应用于域名黑白名单的精准定向投放,降低对正常用户的印象概念股。
基于相似的发明构思,图5为本申请实施例提供的一种基于DNS流量预测业务流量的装置的结构示意图,如图5所示,该装置包括:
获取模块501,用于获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量;
构建模块502,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备;
预测模块503,用于根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。
在一种可选的实施例中,所述获取模块501,还用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型之前,用于:
获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色;
所述构建模块502,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。
在一种可选的实施例中,所述构建模块502,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
统计第二节点向第一DNS服务器的查询次数;
根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率;其中,所述查询次数为第一次数时,所述概率为第一概率值,所述查询次数为第二次数时,所述概率为第二概率值,所述第二次数大于所述第一次数,所述第二概率值大于所述第一概率值。
在一种可选的实施例中,所述行为特征包括以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
在一种可选的实施例中,所述装置还包括:
预测纠偏模块,用于获取所述目标网络的业务流量模型的预测结果之后,当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。
在一种可选的实施例中,所述获取模块501,用于获取目标网络中多个位置点的分布式流量时,具体用于:
获取来自不同位置点的流量采集组件采集的流量信息;
筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息;
从所述目标流量信息中分离出DNS流量,并将所述目标流量信息中的剩余流量信息确定为所述业务流量。
在一种可选的实施例中,所述装置还包括:
识别模块,用于基于所述业务流量的行为特征,识别关联域名;
更新模块,用于根据所述关联域名,更新所述感兴趣域名。
在一种可选的实施例中,所述影响力信息包括以下信息中的一种或多种:
业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。
在一种可选的实施例中,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
图6为本申请实施例提供的一种电子设备结构示意图,在上述各实施例的基础上,本申请实施例还提供了一种电子设备,如图6所示,包括:处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信。
所述存储器603中存储有计算机程序,当所述程序被所述处理器601执行时,使得所述处理器601执行上述实施例中的基于DNS流量预测业务流量的方法的步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口602用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
在上述各实施例的基础上,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行时实现上述实施例中的基于DNS流量预测业务流量的方法的步骤。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (20)

1.一种基于DNS流量预测业务流量的方法,其特征在于,所述方法包括:
获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量;
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备;
根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。
2.根据权利要求1所述的方法,其特征在于,所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型之前,所述方法还包括:
获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色;
所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,包括:
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,包括:
统计第二节点向第一DNS服务器的查询次数;
根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率;其中,所述查询次数为第一次数时,所述概率为第一概率值,所述查询次数为第二次数时,所述概率为第二概率值,所述第二次数大于所述第一次数,所述第二概率值大于所述第一概率值。
4.根据权利要求3所述的方法,其特征在于,所述行为特征包括以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
5.根据权利要求1或2所述的方法,其特征在于,所述获取所述目标网络的业务流量模型的预测结果之后,所述方法还包括:
当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。
6.根据权利要求1或2所述的方法,其特征在于,所述获取目标网络中多个位置点的分布式流量,包括:
获取来自不同位置点的流量采集组件采集的流量信息;
筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息;
从所述目标流量信息中分离出DNS流量,并将所述目标流量信息中的剩余流量信息确定为所述业务流量。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
基于所述业务流量的行为特征,识别关联域名;
根据所述关联域名,更新所述感兴趣域名。
8.根据权利要求1或2所述的方法,其特征在于,所述影响力信息包括以下信息中的一种或多种:
业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。
9.根据权利要求1或2所述的方法,其特征在于,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
10.一种基于DNS流量预测业务流量的装置,其特征在于,所述装置包括:
获取模块,用于获取目标网络中多个位置点的分布式流量,所述分布式流量包括DNS流量和业务流量;
构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型;其中,所述DNS影响力模型用于指示所述目标网络包括的DNS服务器之间的关联关系和每个DNS服务器的影响力信息,所述影响力信息用于指示来自第一节点的DNS流量对所述DNS服务器的业务流量产生影响力的概率;所述第一节点为接入所述目标网络中的任一设备;
预测模块,用于根据所述第一节点的DNS查询行为和所述DNS影响力模型,获取所述目标网络的业务流量模型的预测结果,所述业务流量模型用于指示每个DNS服务器产生的业务流量。
11.根据权利要求10所述的装置,其特征在于,所述获取模块,还用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型之前,用于:
获取用户配置的初始化DNS影响力模型,所述初始化DNS影响力模型包括:初始化DNS角色和每个DNS服务器的初始化影响力信息;其中,所述初始化DNS角色用于指示DNS服务器在所述目标网络中的角色;
所述构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,对所述初始化DNS影响力模型进行更新,得到所述DNS影响力模型。
12.根据权利要求10或11所述的装置,其特征在于,所述构建模块,用于基于所述DNS流量的行为特征和所述业务流量的行为特征,构建DNS影响力模型,具体用于:
统计第二节点向第一DNS服务器的查询次数;
根据所述查询次数,确定来自所述第二节点的DNS查询行为对所述第一DNS服务器产生影响的概率;其中,所述查询次数为第一次数时,所述概率为第一概率值,所述查询次数为第二次数时,所述概率为第二概率值,所述第二次数大于所述第一次数,所述第二概率值大于所述第一概率值。
13.根据权利要求12所述的装置,其特征在于,所述行为特征包括以下信息中的一种或多种:时间戳、网络区域标识、网际互连协议IP地址、DNS查询源设备标识、业务流量源设备标识。
14.根据权利要求10或11所述的装置,其特征在于,所述装置还包括:
预测纠偏模块,用于获取所述目标网络的业务流量模型的预测结果之后,当确定所述预测结果与所述分布式流量中包括的业务流量的绝对差值大于或等于第一流量阈值时,返回构建所述DNS影响力模型。
15.根据权利要求10或11所述的装置,其特征在于,所述获取模块,用于获取目标网络中多个位置点的分布式流量时,具体用于:
获取来自不同位置点的流量采集组件采集的流量信息;
筛选出所述流量信息中属于预设的感兴趣域名的目标流量信息;
从所述目标流量信息中分离出DNS流量,并将所述目标流量信息中的剩余流量信息确定为所述业务流量。
16.根据权利要求15所述的装置,其特征在于,所述装置还包括:
识别模块,用于基于所述业务流量的行为特征,识别关联域名;
更新模块,用于根据所述关联域名,更新所述感兴趣域名。
17.根据权利要求10或11所述的装置,其特征在于,所述影响力信息包括以下信息中的一种或多种:
业务流量源的客户端IP列表、路由器IP列表、代理IP列表、负载均衡设备IP列表。
18.根据权利要求10或11所述的装置,其特征在于,所述业务流量模型的预测结果包括以下指标中的一种或多种:流量态势、上下振幅、流量分布预测、流量时段信息、流量偏移量、流量正常振荡区间。
19.一种电子设备,其特征在于,包括:处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
所述存储器中存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1-9任一项所述基于DNS流量预测业务流量的方法的步骤。
20.一种计算机可读存储介质,其特征在于,其存储有可由处理器执行的计算机程序,当所述程序在所述处理器上运行时,使得所述处理器执行权利要求1-9任一项所述基于DNS流量预测业务流量的方法的步骤。
CN202211662873.XA 2022-12-23 2022-12-23 基于dns流量预测业务流量的方法、装置和设备 Active CN116016220B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211662873.XA CN116016220B (zh) 2022-12-23 2022-12-23 基于dns流量预测业务流量的方法、装置和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211662873.XA CN116016220B (zh) 2022-12-23 2022-12-23 基于dns流量预测业务流量的方法、装置和设备

Publications (2)

Publication Number Publication Date
CN116016220A CN116016220A (zh) 2023-04-25
CN116016220B true CN116016220B (zh) 2024-06-18

Family

ID=86031009

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211662873.XA Active CN116016220B (zh) 2022-12-23 2022-12-23 基于dns流量预测业务流量的方法、装置和设备

Country Status (1)

Country Link
CN (1) CN116016220B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108075909A (zh) * 2016-11-11 2018-05-25 阿里巴巴集团控股有限公司 一种流量预测方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8346968B2 (en) * 2009-12-14 2013-01-01 Verizon Patent And Licensing Inc. Proactive DNS query system based on call flow analysis
CN106911536B (zh) * 2017-04-14 2019-08-20 四川大学 一种基于模糊综合评价模型的dns健康度评估方法
CN110912749A (zh) * 2019-11-29 2020-03-24 北京工业大学 一种针对dns数据预测的方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108075909A (zh) * 2016-11-11 2018-05-25 阿里巴巴集团控股有限公司 一种流量预测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于智能DNS的网络流量负载均衡控制研究;李雨泰;来风刚;尚智婕;董希杰;;自动化与仪器仪表;20181125(11);全文 *

Also Published As

Publication number Publication date
CN116016220A (zh) 2023-04-25

Similar Documents

Publication Publication Date Title
Banitalebi Dehkordi et al. The DDoS attacks detection through machine learning and statistical methods in SDN
CN108076019B (zh) 基于流量镜像的异常流量检测方法及装置
EP3652914B1 (en) Cyberanalysis workflow acceleration
CN110519290B (zh) 异常流量检测方法、装置及电子设备
CN105827472B (zh) 网络数据流类型检测方法及装置
Li et al. A supervised machine learning approach to classify host roles on line using sflow
CN107683586A (zh) 用于异常检测中的计算基于小区密度的稀有度的方法和装置
US20160308833A1 (en) Platforms for implementing an analytics framework for dns security
CN107967488B (zh) 一种服务器的分类方法及分类***
US20160294773A1 (en) Behavior analysis based dns tunneling detection and classification framework for network security
US9729563B2 (en) Data transfer for network interaction fraudulence detection
CN113067804B (zh) 网络攻击的检测方法、装置、电子设备及存储介质
Lazaris et al. An LSTM framework for modeling network traffic
Janabi et al. Convolutional neural network based algorithm for early warning proactive system security in software defined networks
US11115455B2 (en) Technique for monitoring activity in a content delivery network utilizing geohashing indexes
KR20140035678A (ko) 학습 가능한 dns 분석기 및 분석 방법
CN111181799A (zh) 一种网络流量监控方法及设备
CN108459908A (zh) 对云计算中的不兼容的共同租户对的识别
CN112101692A (zh) 移动互联网质差用户的识别方法及装置
Kozik et al. Pattern extraction algorithm for NetFlow‐based botnet activities detection
Hajamydeen et al. A detailed description on unsupervised heterogeneous anomaly based intrusion detection framework
CN112953961B (zh) 配电房物联网中设备类型识别方法
CN116016220B (zh) 基于dns流量预测业务流量的方法、装置和设备
Pekar et al. Towards threshold‐agnostic heavy‐hitter classification
CN114860543A (zh) 异常检测方法、装置、设备与计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant