文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.015
引用格式: 姜燕,,李露,胡博,,等. 基于群組層次分析法的DNS安全狀態(tài)多級評估[J].信息技術與網(wǎng)絡安全,,2021,40(5):86-93.
0 引言
域名解析系統(tǒng)(Domain Name System,DNS)是互聯(lián)網(wǎng)中最為基礎的網(wǎng)絡設施,,為廣大網(wǎng)民提供著不可缺少的域名解析服務,,并且是眾多網(wǎng)絡應用開始的第一步。DNS采用分布式架構(gòu),,基于客戶端/服務器(C/S)模式工作,,使得域名與IP地址之間的映射與解析信息遍布在世界各地的授權服務器中,且DNS體系在設計之初未考慮到數(shù)據(jù)加密等安全性因素,,容易受惡意攻擊,、人為配置錯誤等問題的影響[1-2]。隨著DNSSEC[3],、惡意域名過濾[4-5],、ACL、黑白名單控制[6]等DNS安全防護技術的不斷進步,,多數(shù)網(wǎng)絡運營商,、電力,、金融,、政府機構(gòu)等行業(yè)領域傾向于采用安全性更高,、兼容性更好、硬件性能更加突出的專業(yè)DNS服務器[7],,實現(xiàn)IP地址與域名之間的解析,,保證關鍵領域內(nèi)DNS服務的可靠性。然而,,由于DNS安全防護方法眾多,,各服務供應商提供的DNS產(chǎn)品配置與容災部署方案不一,如何對DNS系統(tǒng)的安全狀態(tài)作出準確的衡量,,成為對DNS安全性要求較高的關鍵業(yè)務領域的網(wǎng)絡運維人員尤為關心的問題,。
事實上,前人在DNS系統(tǒng)的安全評估上已有過比較深入,、有價值的研究,,其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)項目提出了域名系統(tǒng)狀態(tài)評估的思路[8]:首先要確定評估角度,其次要在特定的安全威脅場景中針對DNS運行問題和安全隱患制定特定的監(jiān)測項,,最后要根據(jù)多個監(jiān)測項的值,,綜合量化得到DNS相關指標作為參考。在此思路的指導下,,文獻[9]提出采用層次分析法(Analytic Hierarchy Process,,AHP)解決DNS系統(tǒng)安全狀態(tài)監(jiān)測項的權重計算問題。該方法通過集合低層的監(jiān)控項的值得到高層的安全指標的值,,且實驗證實在各種監(jiān)控項不斷增加的情況下依然有效,,具有良好的擴展性。然而文中在應用AHP方法時僅僅采用某一位專家的人為經(jīng)驗,,對各監(jiān)控指標進行兩兩對比,,從而得到相對權重比,這一過程較難擺脫人為主觀判斷所帶來的偏差,。
本文詳細內(nèi)容請下載:http://forexkbc.com/resource/share/2000003557
作者信息:
姜 燕1,,李 露1,胡 博2,,許元斌3,,楊 超4,董世丹傑3,,楊澤坡1,,李龍媚1
(1.北京中電飛華通信有限公司,北京100071,;2.國網(wǎng)遼寧省電力有限公司,,遼寧 沈陽110006,;
3.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司,北京102209,;4.國網(wǎng)大連供電公司,,遼寧 大連116001)