《電子技術應用》
您所在的位置:首頁 > 其他 > 設計應用 > 基于群組層次分析法的DNS安全狀態(tài)多級評估
基于群組層次分析法的DNS安全狀態(tài)多級評估
信息技術與網絡安全
姜 燕1,李 露1,胡 博2,許元斌3,楊 超4,董世丹傑3,楊澤坡1,李龍媚1
(1.北京中電飛華通信有限公司,北京100071;2.國網遼寧省電力有限公司,遼寧 沈陽110006; 3.國網信息通信產業(yè)集團有限公司,北京102209;4.國網大連供電公司,遼寧 大連116001)
摘要: 提出一種基于群組層次分析法的多級評估體系,全面考察當下主流的DNSSEC、惡意域名過濾等DNS安全策略以及系統(tǒng)容災部署方式、配置界面容錯性等指標對于DNS系統(tǒng)安全性的影響,具備監(jiān)測項廣泛的優(yōu)點?;谌航M層次分析法,設置各級指標的權重系數,得到量化的安全狀態(tài)綜合指標,有效評估以不同形式搭建的DNS系統(tǒng)的安全狀態(tài)。以某電力公司DNS系統(tǒng)改造實例說明該方法的應用過程及評估結果,為DNS服務相關的改造項目提供可行性論證。
中圖分類號: TP393.08
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.015
引用格式: 姜燕,李露,胡博,等. 基于群組層次分析法的DNS安全狀態(tài)多級評估[J].信息技術與網絡安全,2021,40(5):86-93.
Multistage evaluation for the health of DNS based on group analytic hierarchy process
Jiang Yan1,Li Lu1,Hu Bo2,Xu Yuanbin3,Yang Chao4,Dong Shidanjie3,Yang Zepo1,Li Longmei1
(1.Beijing Fibrlink Communications Co.,Ltd.,Beijing 100071,China; 2.State Grid Liaoning Electric Power Co.,Ltd.,Shenyang 110006,China; 3.State Grid Information & Telecommunication Group Co.,Ltd.,Beijing 102209,China; 4.State Grid Liaoning Electric Power Co.,Ltd.,Dalian Electric Power Co.,Ltd.,Dalian 116001,China)
Abstract: A multistage evaluation method based on group analytic hierarchy process is proposed to determine the effectiveness of security policies such as DNSSEC, malicious domain name filtering, and the influence of system fault tolerance including disaster deployment and fault tolerant configuration, which investigates extensive indexes. Group analytic hierarchy process is used to determine the weights of every index and a scientific quantized indicator is worked out to evaluate the health of domain name system which could be built in different ways. The multistage evaluation method is proved to be rational with the example of DNS improvement for an electric power company and is valuable for the feasibility demonstration of DNS operation and maintenance projects.
Key words : DNS security evaluation;group analytic hierarchy process;system fault tolerance;DNS security policy

0 引言

域名解析系統(tǒng)(Domain Name System,DNS)是互聯網中最為基礎的網絡設施,為廣大網民提供著不可缺少的域名解析服務,并且是眾多網絡應用開始的第一步。DNS采用分布式架構,基于客戶端/服務器(C/S)模式工作,使得域名與IP地址之間的映射與解析信息遍布在世界各地的授權服務器中,且DNS體系在設計之初未考慮到數據加密等安全性因素,容易受惡意攻擊、人為配置錯誤等問題的影響[1-2]。隨著DNSSEC[3]、惡意域名過濾[4-5]、ACL、黑白名單控制[6]等DNS安全防護技術的不斷進步,多數網絡運營商、電力、金融、政府機構等行業(yè)領域傾向于采用安全性更高、兼容性更好、硬件性能更加突出的專業(yè)DNS服務器[7],實現IP地址與域名之間的解析,保證關鍵領域內DNS服務的可靠性。然而,由于DNS安全防護方法眾多,各服務供應商提供的DNS產品配置與容災部署方案不一,如何對DNS系統(tǒng)的安全狀態(tài)作出準確的衡量,成為對DNS安全性要求較高的關鍵業(yè)務領域的網絡運維人員尤為關心的問題。

事實上,前人在DNS系統(tǒng)的安全評估上已有過比較深入、有價值的研究,其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)項目提出了域名系統(tǒng)狀態(tài)評估的思路[8]:首先要確定評估角度,其次要在特定的安全威脅場景中針對DNS運行問題和安全隱患制定特定的監(jiān)測項,最后要根據多個監(jiān)測項的值,綜合量化得到DNS相關指標作為參考。在此思路的指導下,文獻[9]提出采用層次分析法(Analytic Hierarchy Process,AHP)解決DNS系統(tǒng)安全狀態(tài)監(jiān)測項的權重計算問題。該方法通過集合低層的監(jiān)控項的值得到高層的安全指標的值,且實驗證實在各種監(jiān)控項不斷增加的情況下依然有效,具有良好的擴展性。然而文中在應用AHP方法時僅僅采用某一位專家的人為經驗,對各監(jiān)控指標進行兩兩對比,從而得到相對權重比,這一過程較難擺脫人為主觀判斷所帶來的偏差。



本文詳細內容請下載:http://m.ihrv.cn/resource/share/2000003557



作者信息:

姜  燕1,李  露1,胡  博2,許元斌3,楊  超4,董世丹傑3,楊澤坡1,李龍媚1

(1.北京中電飛華通信有限公司,北京100071;2.國網遼寧省電力有限公司,遼寧 沈陽110006;

3.國網信息通信產業(yè)集團有限公司,北京102209;4.國網大連供電公司,遼寧 大連116001)


此內容為AET網站原創(chuàng),未經授權禁止轉載。