《电子技术应用》
您所在的位置:首页 > 其他 > 设计应用 > 基于群组层次分析法的DNS安全状态多级评估
基于群组层次分析法的DNS安全状态多级评估
信息技术与网络安全
姜 燕1,李 露1,胡 博2,许元斌3,杨 超4,董世丹傑3,杨泽坡1,李龙媚1
(1.北京中电飞华通信有限公司,北京100071;2.国网辽宁省电力有限公司,辽宁 沈阳110006; 3.国网信息通信产业集团有限公司,北京102209;4.国网大连供电公司,辽宁 大连116001)
摘要: 提出一种基于群组层次分析法的多级评估体系,全面考察当下主流的DNSSEC、恶意域名过滤等DNS安全策略以及系统容灾部署方式、配置界面容错性等指标对于DNS系统安全性的影响,具备监测项广泛的优点。基于群组层次分析法,设置各级指标的权重系数,得到量化的安全状态综合指标,有效评估以不同形式搭建的DNS系统的安全状态。以某电力公司DNS系统改造实例说明该方法的应用过程及评估结果,为DNS服务相关的改造项目提供可行性论证。
中图分类号: TP393.08
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2021.05.015
引用格式: 姜燕,李露,胡博,等. 基于群组层次分析法的DNS安全状态多级评估[J].信息技术与网络安全,2021,40(5):86-93.
Multistage evaluation for the health of DNS based on group analytic hierarchy process
Jiang Yan1,Li Lu1,Hu Bo2,Xu Yuanbin3,Yang Chao4,Dong Shidanjie3,Yang Zepo1,Li Longmei1
(1.Beijing Fibrlink Communications Co.,Ltd.,Beijing 100071,China; 2.State Grid Liaoning Electric Power Co.,Ltd.,Shenyang 110006,China; 3.State Grid Information & Telecommunication Group Co.,Ltd.,Beijing 102209,China; 4.State Grid Liaoning Electric Power Co.,Ltd.,Dalian Electric Power Co.,Ltd.,Dalian 116001,China)
Abstract: A multistage evaluation method based on group analytic hierarchy process is proposed to determine the effectiveness of security policies such as DNSSEC, malicious domain name filtering, and the influence of system fault tolerance including disaster deployment and fault tolerant configuration, which investigates extensive indexes. Group analytic hierarchy process is used to determine the weights of every index and a scientific quantized indicator is worked out to evaluate the health of domain name system which could be built in different ways. The multistage evaluation method is proved to be rational with the example of DNS improvement for an electric power company and is valuable for the feasibility demonstration of DNS operation and maintenance projects.
Key words : DNS security evaluation;group analytic hierarchy process;system fault tolerance;DNS security policy

0 引言

域名解析系统(Domain Name System,DNS)是互联网中最为基础的网络设施,为广大网民提供着不可缺少的域名解析服务,并且是众多网络应用开始的第一步。DNS采用分布式架构,基于客户端/服务器(C/S)模式工作,使得域名与IP地址之间的映射与解析信息遍布在世界各地的授权服务器中,且DNS体系在设计之初未考虑到数据加密等安全性因素,容易受恶意攻击、人为配置错误等问题的影响[1-2]。随着DNSSEC[3]、恶意域名过滤[4-5]、ACL、黑白名单控制[6]等DNS安全防护技术的不断进步,多数网络运营商、电力、金融、政府机构等行业领域倾向于采用安全性更高、兼容性更好、硬件性能更加突出的专业DNS服务器[7],实现IP地址与域名之间的解析,保证关键领域内DNS服务的可靠性。然而,由于DNS安全防护方法众多,各服务供应商提供的DNS产品配置与容灾部署方案不一,如何对DNS系统的安全状态作出准确的衡量,成为对DNS安全性要求较高的关键业务领域的网络运维人员尤为关心的问题。

事实上,前人在DNS系统的安全评估上已有过比较深入、有价值的研究,其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)项目提出了域名系统状态评估的思路[8]:首先要确定评估角度,其次要在特定的安全威胁场景中针对DNS运行问题和安全隐患制定特定的监测项,最后要根据多个监测项的值,综合量化得到DNS相关指标作为参考。在此思路的指导下,文献[9]提出采用层次分析法(Analytic Hierarchy Process,AHP)解决DNS系统安全状态监测项的权重计算问题。该方法通过集合低层的监控项的值得到高层的安全指标的值,且实验证实在各种监控项不断增加的情况下依然有效,具有良好的扩展性。然而文中在应用AHP方法时仅仅采用某一位专家的人为经验,对各监控指标进行两两对比,从而得到相对权重比,这一过程较难摆脱人为主观判断所带来的偏差。



本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003557



作者信息:

姜  燕1,李  露1,胡  博2,许元斌3,杨  超4,董世丹傑3,杨泽坡1,李龙媚1

(1.北京中电飞华通信有限公司,北京100071;2.国网辽宁省电力有限公司,辽宁 沈阳110006;

3.国网信息通信产业集团有限公司,北京102209;4.国网大连供电公司,辽宁 大连116001)


此内容为AET网站原创,未经授权禁止转载。

相关内容