文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.05.015
引用格式: 姜燕,,李露,,胡博,等. 基于群組層次分析法的DNS安全狀態(tài)多級(jí)評(píng)估[J].信息技術(shù)與網(wǎng)絡(luò)安全,,2021,,40(5):86-93.
0 引言
域名解析系統(tǒng)(Domain Name System,,DNS)是互聯(lián)網(wǎng)中最為基礎(chǔ)的網(wǎng)絡(luò)設(shè)施,為廣大網(wǎng)民提供著不可缺少的域名解析服務(wù),,并且是眾多網(wǎng)絡(luò)應(yīng)用開(kāi)始的第一步,。DNS采用分布式架構(gòu),基于客戶(hù)端/服務(wù)器(C/S)模式工作,,使得域名與IP地址之間的映射與解析信息遍布在世界各地的授權(quán)服務(wù)器中,,且DNS體系在設(shè)計(jì)之初未考慮到數(shù)據(jù)加密等安全性因素,容易受惡意攻擊,、人為配置錯(cuò)誤等問(wèn)題的影響[1-2],。隨著DNSSEC[3]、惡意域名過(guò)濾[4-5],、ACL,、黑白名單控制[6]等DNS安全防護(hù)技術(shù)的不斷進(jìn)步,多數(shù)網(wǎng)絡(luò)運(yùn)營(yíng)商,、電力,、金融、政府機(jī)構(gòu)等行業(yè)領(lǐng)域傾向于采用安全性更高,、兼容性更好,、硬件性能更加突出的專(zhuān)業(yè)DNS服務(wù)器[7],實(shí)現(xiàn)IP地址與域名之間的解析,,保證關(guān)鍵領(lǐng)域內(nèi)DNS服務(wù)的可靠性,。然而,由于DNS安全防護(hù)方法眾多,,各服務(wù)供應(yīng)商提供的DNS產(chǎn)品配置與容災(zāi)部署方案不一,,如何對(duì)DNS系統(tǒng)的安全狀態(tài)作出準(zhǔn)確的衡量,,成為對(duì)DNS安全性要求較高的關(guān)鍵業(yè)務(wù)領(lǐng)域的網(wǎng)絡(luò)運(yùn)維人員尤為關(guān)心的問(wèn)題。
事實(shí)上,,前人在DNS系統(tǒng)的安全評(píng)估上已有過(guò)比較深入,、有價(jià)值的研究,,其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)項(xiàng)目提出了域名系統(tǒng)狀態(tài)評(píng)估的思路[8]:首先要確定評(píng)估角度,,其次要在特定的安全威脅場(chǎng)景中針對(duì)DNS運(yùn)行問(wèn)題和安全隱患制定特定的監(jiān)測(cè)項(xiàng),最后要根據(jù)多個(gè)監(jiān)測(cè)項(xiàng)的值,,綜合量化得到DNS相關(guān)指標(biāo)作為參考,。在此思路的指導(dǎo)下,文獻(xiàn)[9]提出采用層次分析法(Analytic Hierarchy Process,,AHP)解決DNS系統(tǒng)安全狀態(tài)監(jiān)測(cè)項(xiàng)的權(quán)重計(jì)算問(wèn)題,。該方法通過(guò)集合低層的監(jiān)控項(xiàng)的值得到高層的安全指標(biāo)的值,且實(shí)驗(yàn)證實(shí)在各種監(jiān)控項(xiàng)不斷增加的情況下依然有效,,具有良好的擴(kuò)展性,。然而文中在應(yīng)用AHP方法時(shí)僅僅采用某一位專(zhuān)家的人為經(jīng)驗(yàn),對(duì)各監(jiān)控指標(biāo)進(jìn)行兩兩對(duì)比,,從而得到相對(duì)權(quán)重比,,這一過(guò)程較難擺脫人為主觀判斷所帶來(lái)的偏差。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://forexkbc.com/resource/share/2000003557
作者信息:
姜 燕1,,李 露1,,胡 博2,許元斌3,,楊 超4,,董世丹傑3,楊澤坡1,,李龍媚1
(1.北京中電飛華通信有限公司,,北京100071;2.國(guó)網(wǎng)遼寧省電力有限公司,,遼寧 沈陽(yáng)110006,;
3.國(guó)網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)有限公司,北京102209,;4.國(guó)網(wǎng)大連供電公司,,遼寧 大連116001)