[发明专利]一种基于被动DNS流量的递归域名服务器用户量估计方法

权利要求书

1.一种基于被动DNS流量的递归域名服务器用户量估计方法，其特征在于，包括以下步骤：

1)获取某个递归域名服务器RDNS发往其他域名服务器的DNS请求包，以及其他域名服务器发往RDNS的DNS响应包；

2)根据DNS请求包的目的IP地址和DNS响应包的源IP地址，区分经过和未经过RDNS缓存压缩的DNS请求包和DNS响应包；

3)解析经过和未经过RDNS缓存压缩的所有DNS请求包，提取DNS请求包时间戳和请求域名字段，根据时间戳统计每段时间内的域名及其出现次数，根据所述域名及其出现次数对所有DNS请求包进行聚类，得到类别个数，把类别个数作为RDNS的用户量估计值下界；

4)解析经过RDNS缓存压缩的DNS响应包，提取每个域名的请求时间戳和对应资源记录的TTL失效时间，统计每个域名在RDNS中的缓存更新间隔时间差序列，基于请求间隔时间差序列和缓存更新间隔时间差序列满足相似累计分布函数假设，得到RDNS内部用户针对每个域名的请求间隔时间差序列的累积分布函数及其参数；

5)根据经过RDNS缓存压缩的DNS请求包，生成模拟请求包的起始时间和终止时间，根据步骤4)得到的每个域名的请求间隔时间差序列的累积分布函数，随机生成满足终止时间范围内的每个域名的模拟请求包的请求间隔时间差序列，根据每个域名的模拟请求包的请求间隔时间差序列得到内部用户发往RDNS的模拟DNS请求包；

6)解析未经过RDNS缓存压缩的DNS请求包和步骤5)得到的模拟DNS请求包，提取请求包时间戳和请求域名字段，根据该时间戳统计每段时间内的域名及其出现次数，根据所述域名及其出现次数对未经过RDNS缓存压缩的DNS请求包和模拟DNS请求包进行聚类，得到类别个数，把类别个数作为RDNS的用户量估计值上界；

7)根据用户量估计值下界和用户量估计值上界，对使用RDNS的内部用户量进行估计。

2.如权利要求1所述的方法，其特征在于，步骤2)中根据DNS请求包的目的IP地址和DNS响应包的源IP地址是否在递归域名服务器的IP地址列表上，区分经过和未经过缓存压缩的DNS请求包和DNS响应包。

3.如权利要求1所述的方法，其特征在于，步骤4)中解析经过RDNS缓存压缩的DNS响应包，提取每个域名出现在DNS响应包的请求域名字段的开始时间戳和DNS响应包中域名对应解析结果资源记录的TTL存活时间，把开始时间戳加上TTL存活时间得到每个域名对应资源记录的TTL失效时间。

4.如权利要求1所述的方法，其特征在于，步骤4)中构建RDNS在每个域名上的模拟缓存，将每个域名从开始时间戳到TTL失效时间戳的每个时间区间作为一个缓存时间区间，每个模拟缓存时间区间含有一个缓存起始时间和缓存结束时间；将域名的一次缓存时间区间的缓存起始时间减去上一次缓存时间区间的缓存结束时间，得到一次缓存更新间隔时间差；计算域名的所有模拟缓存时间区间的缓存更新间隔时间差，按时间线排序得到缓存更新间隔时间差序列。

5.如权利要求1所述的方法，其特征在于，步骤4)中根据域名的缓存更新间隔时间差序列，估计每个域名的缓存更新间隔时间差序列的累计分布函数及其参数；根据请求间隔时间差序列与缓存更新间隔时间差序列满足相似累计分布函数假设，计算RDNS内部用户针对某个域名发起连续请求的请求间隔时间差序列的累积分布函数及其参数。

6.如权利要求5所述的方法，其特征在于，步骤4)中估计每个域名的缓存更新间隔时间差序列的累计分布函数及其参数的方法为：针对每个域名的缓存更新间隔时间差序列的累积分布函数满足的不同分布假设，采用最大期望估计算法分别估计不同的累积分布函数及其参数，或者基于每个域名的缓存更新间隔时间差序列的累积分布函数满足超指数分布函数参数，采用智能分量最大期望估计算法动态调整累积分布函数的超参数值，得到最合适的累积分布函数及其参数。