《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > 基于群組層次分析法的DNS安全狀態(tài)多級(jí)評估
基于群組層次分析法的DNS安全狀態(tài)多級(jí)評估
信息技術(shù)與網(wǎng)絡(luò)安全
姜 燕1,李 露1,胡 博2,許元斌3,楊 超4,董世丹傑3,楊澤坡1,李龍媚1
(1.北京中電飛華通信有限公司,北京100071;2.國網(wǎng)遼寧省電力有限公司,遼寧 沈陽110006; 3.國網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)有限公司,北京102209;4.國網(wǎng)大連供電公司,遼寧 大連116001)
摘要: 提出一種基于群組層次分析法的多級(jí)評估體系,全面考察當(dāng)下主流的DNSSEC、惡意域名過濾等DNS安全策略以及系統(tǒng)容災(zāi)部署方式、配置界面容錯(cuò)性等指標(biāo)對于DNS系統(tǒng)安全性的影響,具備監(jiān)測項(xiàng)廣泛的優(yōu)點(diǎn)?;谌航M層次分析法,設(shè)置各級(jí)指標(biāo)的權(quán)重系數(shù),得到量化的安全狀態(tài)綜合指標(biāo),有效評估以不同形式搭建的DNS系統(tǒng)的安全狀態(tài)。以某電力公司DNS系統(tǒng)改造實(shí)例說明該方法的應(yīng)用過程及評估結(jié)果,為DNS服務(wù)相關(guān)的改造項(xiàng)目提供可行性論證。
中圖分類號(hào): TP393.08
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.015
引用格式: 姜燕,李露,胡博,等. 基于群組層次分析法的DNS安全狀態(tài)多級(jí)評估[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(5):86-93.
Multistage evaluation for the health of DNS based on group analytic hierarchy process
Jiang Yan1,Li Lu1,Hu Bo2,Xu Yuanbin3,Yang Chao4,Dong Shidanjie3,Yang Zepo1,Li Longmei1
(1.Beijing Fibrlink Communications Co.,Ltd.,Beijing 100071,China; 2.State Grid Liaoning Electric Power Co.,Ltd.,Shenyang 110006,China; 3.State Grid Information & Telecommunication Group Co.,Ltd.,Beijing 102209,China; 4.State Grid Liaoning Electric Power Co.,Ltd.,Dalian Electric Power Co.,Ltd.,Dalian 116001,China)
Abstract: A multistage evaluation method based on group analytic hierarchy process is proposed to determine the effectiveness of security policies such as DNSSEC, malicious domain name filtering, and the influence of system fault tolerance including disaster deployment and fault tolerant configuration, which investigates extensive indexes. Group analytic hierarchy process is used to determine the weights of every index and a scientific quantized indicator is worked out to evaluate the health of domain name system which could be built in different ways. The multistage evaluation method is proved to be rational with the example of DNS improvement for an electric power company and is valuable for the feasibility demonstration of DNS operation and maintenance projects.
Key words : DNS security evaluation;group analytic hierarchy process;system fault tolerance;DNS security policy

0 引言

域名解析系統(tǒng)(Domain Name System,DNS)是互聯(lián)網(wǎng)中最為基礎(chǔ)的網(wǎng)絡(luò)設(shè)施,為廣大網(wǎng)民提供著不可缺少的域名解析服務(wù),并且是眾多網(wǎng)絡(luò)應(yīng)用開始的第一步。DNS采用分布式架構(gòu),基于客戶端/服務(wù)器(C/S)模式工作,使得域名與IP地址之間的映射與解析信息遍布在世界各地的授權(quán)服務(wù)器中,且DNS體系在設(shè)計(jì)之初未考慮到數(shù)據(jù)加密等安全性因素,容易受惡意攻擊、人為配置錯(cuò)誤等問題的影響[1-2]。隨著DNSSEC[3]、惡意域名過濾[4-5]、ACL、黑白名單控制[6]等DNS安全防護(hù)技術(shù)的不斷進(jìn)步,多數(shù)網(wǎng)絡(luò)運(yùn)營商、電力、金融、政府機(jī)構(gòu)等行業(yè)領(lǐng)域傾向于采用安全性更高、兼容性更好、硬件性能更加突出的專業(yè)DNS服務(wù)器[7],實(shí)現(xiàn)IP地址與域名之間的解析,保證關(guān)鍵領(lǐng)域內(nèi)DNS服務(wù)的可靠性。然而,由于DNS安全防護(hù)方法眾多,各服務(wù)供應(yīng)商提供的DNS產(chǎn)品配置與容災(zāi)部署方案不一,如何對DNS系統(tǒng)的安全狀態(tài)作出準(zhǔn)確的衡量,成為對DNS安全性要求較高的關(guān)鍵業(yè)務(wù)領(lǐng)域的網(wǎng)絡(luò)運(yùn)維人員尤為關(guān)心的問題。

事實(shí)上,前人在DNS系統(tǒng)的安全評估上已有過比較深入、有價(jià)值的研究,其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)項(xiàng)目提出了域名系統(tǒng)狀態(tài)評估的思路[8]:首先要確定評估角度,其次要在特定的安全威脅場景中針對DNS運(yùn)行問題和安全隱患制定特定的監(jiān)測項(xiàng),最后要根據(jù)多個(gè)監(jiān)測項(xiàng)的值,綜合量化得到DNS相關(guān)指標(biāo)作為參考。在此思路的指導(dǎo)下,文獻(xiàn)[9]提出采用層次分析法(Analytic Hierarchy Process,AHP)解決DNS系統(tǒng)安全狀態(tài)監(jiān)測項(xiàng)的權(quán)重計(jì)算問題。該方法通過集合低層的監(jiān)控項(xiàng)的值得到高層的安全指標(biāo)的值,且實(shí)驗(yàn)證實(shí)在各種監(jiān)控項(xiàng)不斷增加的情況下依然有效,具有良好的擴(kuò)展性。然而文中在應(yīng)用AHP方法時(shí)僅僅采用某一位專家的人為經(jīng)驗(yàn),對各監(jiān)控指標(biāo)進(jìn)行兩兩對比,從而得到相對權(quán)重比,這一過程較難擺脫人為主觀判斷所帶來的偏差。



本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000003557



作者信息:

姜  燕1,李  露1,胡  博2,許元斌3,楊  超4,董世丹傑3,楊澤坡1,李龍媚1

(1.北京中電飛華通信有限公司,北京100071;2.國網(wǎng)遼寧省電力有限公司,遼寧 沈陽110006;

3.國網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)有限公司,北京102209;4.國網(wǎng)大連供電公司,遼寧 大連116001)


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。