1、TSINGHUA基于 DNS日志分析的用户在线检测算法与应用清华大学 常得量目录问题背景现有方法概述基于 DNS方法的特点算法描述算法验证讨论与应用总结和未来工作参考文献问题背景 不同的研究 1-4从不同的角度测量用户在线的行为特征。 这些研究都 涉及 了一个问题 : 如何判断设备或用户到达、离开网络的时间,如何识别用户或设备的在线状态。 了解设备的在线状态,了解用户的 网络特征 , 被广泛使用在网络管理、网络建模、模拟上。对于网络管理者、研究者和开发者 来说 都有十分重要的意义。 在大规模网络中, 如何通用地测量大量网络设备的基本信息?现有方法 基于认证系统 :使用用户认证方法来确定用户在线
2、规模。只有在要求认证的环境下才有效,适用范围不广。同时会有隐私问题。 基于 DHCP:使用 DHCP租约系统当作设备在线系统。不适用于静态 IP,无法准确判断设备离线时间,同时有 IPv6迁移问题。 基于各类数据采集 :必须拥有网关处的管理权限。这对于一些网络研究者比较困难。 其他方法 :网络游戏服务器端数据采集 4、基于基站数据的方法 5等等。限制太多,不能为日常的网络研究和管理提供太多帮助。Why DNS log analysis? 通用性 : DNS是网络的基础设施,被几乎所有网络服务所应用。同时,使用 DNS的方法也没有 IPv6迁移问题。 方便部署 :基于 DNS日志分析,不需要更改
3、现有网络或增设大量的测量节点。方便增量部署。 约束更小 :基于 DNS的方法 不 需要拥有网关的管理权限。只需要设备使用提供的 DNS服务即可。 适用于大规模网络 : DNS日志数据量小,处理起来方便快捷。在线检测算法描述 基于时间间隔的模型 当相邻 的 DNS请求 时间 间隔 小于 T时,则视作从同一个设备发出 , 之前设备 仍然在线 。反之,如果相邻请求间隔大于 T,则视 作 设备 下线 。算法的验证 (1) 依据 DHCP日志记载的设备 “切换 ”信息作为真实值,来检测用户上下线的时间判断是否准确。 使用 精确率 (precision rate)、 召回 率(recall rate)和
4、F1-score来评价效果。 在阈值 T较小时,召回率保持在一个很高的水准,而精确率上升很快。这是因为在 DNS分割策略激进的情况下, DHCP的判定结果被很好的概括了,但是却出现了大量的误分段现象 。DNS用户在线检测算法效果 PR曲线算法的验证 (2) 随着 T变大,精确率一直在升高 。 而召回率出现了缓慢的下降,意味着时间阈值 T可能开始接近并超过 IP释放的时间。 在判断阈值 T=40分钟时,精确率和召回率都达到最优。约为 90%。 清洗 DHCP数据标定 , 消除 以下的情况, 最终召回率最终能达到96.3%。 设备拿到 IP地址后未继续使用网络。 设备 未使用 DHCP提供的 DN
5、S服务,因而未被 DNS日志记录。DNS用户在线检测算法效果 PR曲线无线网的时域信息 右图的数据采集自是 2014年 11月某日(星期三)凌晨 4:00至第二天凌晨 4:00的无线网络。 红色点线是 1min内新加入用户的 数量,使用左边的纵轴;蓝色实线是用户的在线数量,使用右边的纵轴。 无线网络的时域分析非常明显地显示出了清华大学校园生活的特点。 上 课时人数增加,下课后减少。 夜间、午饭和晚饭是大的低谷,课间是小的低谷。 无线网络还未覆盖食堂 。 用户 不喜欢在吃饭时间上网。有线 和 无线网络的对比 右图的数据采集同样时段的校园有线网络。 有 线网络和无线网络显著不同。 总体 来说,也是日间用户多,夜间用户少。但有线网络整体而言更平缓。 由于有大量彻夜不关的设备,有线网夜间的用户数量远多于无线网。 有线 网用户的每分钟加入数量显著得更低,变化频率也更小。 早晨 6:00,有一个用户加入的高峰。这是由于送电瞬间,很多设备(如 NAT路由)会访问网络。这一现象在无线网络中不会出现。
