CN106027516B - 一种域名服务安全事件评价方法及系统 - Google Patents

一种域名服务安全事件评价方法及系统 Download PDF

Info

Publication number
CN106027516B
CN106027516B CN201610325845.7A CN201610325845A CN106027516B CN 106027516 B CN106027516 B CN 106027516B CN 201610325845 A CN201610325845 A CN 201610325845A CN 106027516 B CN106027516 B CN 106027516B
Authority
CN
China
Prior art keywords
domain name
evaluation index
security incident
inquiry
service security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610325845.7A
Other languages
English (en)
Other versions
CN106027516A (zh
Inventor
李晓东
尉迟学彪
耿光刚
延志伟
潘蓝兰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Internet Network Information Center
Original Assignee
China Internet Network Information Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Internet Network Information Center filed Critical China Internet Network Information Center
Priority to CN201610325845.7A priority Critical patent/CN106027516B/zh
Publication of CN106027516A publication Critical patent/CN106027516A/zh
Application granted granted Critical
Publication of CN106027516B publication Critical patent/CN106027516B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Abstract

本发明公开了一种域名服务安全事件评价方法及系统。本方法为:1)选取一待评价的域名服务安全事件,并为该域名服务安全事件选取对应的若干评价指标;2)对于每一评价指标i,计算该评价指标i的变化程度ei;3)根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi以及该评价指标i的变化程度ei计算该域名服务安全事件的量化评价值E;4)根据该域名服务安全事件的量化评价值E确定该域名服务安全事件对该域名服务器的影响程度。本发明能够针对多种域名服务安全事件实现量化评价,能够面向不同的对象(权威域名服务器、递归域名服务器)进行域名服务安全事件的量化评价。

Description

一种域名服务安全事件评价方法及系统
技术领域
本发明涉及一种域名服务安全事件评价方法及系统,属于计算机网络技术领域。
背景技术
域名服务系统(Domain Name System,DNS)负责提供域名和IP地址之间的映射和解析,是维持互联网正常运转的核心基础服务。由于DNS在互联网中的这种重要地位,加之DNS协议本身固有的局限性,针对DNS的各类网络攻击行为(例如DDoS攻击、域名劫持、缓存中毒等)层出不穷,且呈现愈演愈烈之势,使得DNS乃至整个互联网的安全形势面临着严峻考验。
因此,对各类域名服务安全事件进行事后的量化评价是域名服务运维和安全保障工作中的一项重要而紧迫的任务,它可以针对域名服务安全事件给域名服务系统造成的影响实现量化评估,从而有助于客观了解该事件的影响性和破坏性,提高域名服务安全管理水平。
传统的域名服务安全状况检测技术主要着眼于检查系统存在的漏洞,一般通过系统脆弱性扫描来实现;而域名服务安全事件评价技术则侧重于评估某安全事件对于域名服务安全性能的影响,需通过相关安全性能指标来度量该事件发生前后网络安全性能的变化情况。目前,在域名服务安全事件评价方法领域并不存在相关技术。
发明内容
针对上述情况,本发明旨在提供一种域名服务安全事件评价方法和系统,以此实现对域名服务安全事件的量化评价。
本发明的技术方案为:
一种域名服务安全事件评价方法,其步骤为:
1)选取一待评价的域名服务安全事件,并为该域名服务安全事件选取对应的若干评价指标;
2)对于每一评价指标i,计算该评价指标i的变化程度ei
3)根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi以及该评价指标i的变化程度ei计算该域名服务安全事件的量化评价值E;
4)根据该域名服务安全事件的量化评价值E确定该域名服务安全事件对该域名服务器的影响程度。
进一步的,根据公式计算评价指标i的变化程度ei;其中,V′i是评价指标i在该域名服务安全事件监测期间的平均数值,Vi是评价指标i在历史稳定时期的平均数值。
进一步的,计算该域名服务安全事件的量化评价值E的方法为:首先根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi创建一对比矩阵A,该矩阵A的元素表示评价指标i相对于评价指标j的重要程度;然后根据该矩阵A计算出每个评价指标i的权重因子wi,然后根据公式计算得到该域名服务安全事件的量化评价值E。
进一步的,根据公式计算出每个评价指标i的权重因子wi;n为所选取的评价指标的个数。
进一步的,所述评价指标包括但不限于:域名查询流量、域名查询成功比率、域名查询响应时间、域名服务器接入带宽消耗、域名查询请求类型分布、域名查询请求来源分布、域名查询请求重复比率、域名查询请求无效比率、受影响时长、受影响用户比例、受影响区域比例。
进一步的,所述域名服务器为权威域名服务器或递归域名服务器。
一种域名服务安全事件评价系统,其特征在于,包括评价指标集合、评价指标量化模块、评价指标权重分配模块和量化评价结果计算模块;其中,
评价指标集合,用于存储待评价的域名服务安全事件的若干评价指标;
评价指标量化模块,用于每一评价指标i,计算该评价指标i的变化程度ei
评价指标权重分配模块,用于根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi计算出每个评价指标i的权重因子wi
量化评价结果计算模块,用于根据评价指标i的变化程度ei及其权重因子wi计算该域名服务安全事件的量化评价值E,并量化评价值E确定该域名服务安全事件对该域名服务器的影响程度。
本发明给出了一种完整的域名服务安全事件评价方法及系统,具体内容包括:
(1)域名服务安全事件评价指标的选取——根据安全事件的类别及面向的对象选取能够合理有效反映域名服务完整性、可用性、可靠性等方面变化的评价指标;
(2)域名服务安全事件评价指标的量化——通过对这些评价指标的量化,将这些评价指标在安全事件发生前后的变化程度作为评价该安全事件的基本依据;
(3)域名服务安全事件评价指标间的权重分配——通过分析安全事件对于域名服务的影响程度,分配各评价指标的权值因子。
(4)基于上述评价指标及权值因子,最终计算得出该事件的量化评价结果。
与现有技术相比,本发明的积极效果为:
本发明基于域名服务安全事件评价指标的选取、量化及权重分配过程,并最终实现域名服务安全事件的量化评价;能够针对多种域名服务安全事件实现量化评价,能够面向不同的对象(权威域名服务器、递归域名服务器)进行域名服务安全事件的量化评价。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图对本发明进行进一步详细描述:
本发明所面向的对象包括权威域名服务器和递归域名服务器,其中:
权威域名服务器是指对于某个或多个区具有权威的域名服务器,其保存着所拥有权威的区的原始域名资源记录信息,负责对来自递归域名服务器的域名查询请求进行权威应答。
递归域名服务器负责接收用户端(解析器)发来的域名查询请求,并向权威域名服务器发起相应的域名查询请求并获得应答,最终将该应答结果返回给用户端(解析器)。递归域名服务器可以将权威域名服务器返回的各种记录进行缓存以减少查询次数,提高查询效率,因此也被称为缓存域名服务器。
本发明的方法流程图如图1所示,首先根据安全事件的类别及所面向的对象不同,可分别选取不同的评价指标集合。这些评价指标包括但不限于:
(1)域名查询流量——安全事件期间该域名服务器所接收到的域名查询流量相对于历史稳定时期的变化程度。
(2)域名查询成功比率——安全事件期间该域名服务器的域名查询成功比率相对于历史稳定时期的变化程度。
(3)域名查询响应时间——安全事件期间该域名服务器的平均域名查询响应时间相对于历史稳定时期的变化程度。
(4)域名服务器接入带宽消耗——安全事件期间该域名服务器的接入带宽消耗相对于历史稳定时期的变化程度。
(5)域名查询请求类型分布——安全事件期间该域名服务器的各种域名查询请求类型(例如A、NS、MX等)的比例分布相对于历史稳定时期的变化程度。
(6)域名查询请求来源分布——安全事件期间该域名服务器的域名查询请求的来源(例如国家、省份、运营商等)比例分布相对于历史稳定时期的变化程度。
(7)域名查询请求重复比率——安全事件期间该域名服务器的域名查询请求重复比率相对于历史稳定时期的变化程度。
(8)域名查询请求无效比率——安全事件期间该域名服务器的域名查询请求无效比率相对于历史稳定时期的变化程度。
(9)受影响时长——统计该域名服务器受到该域名服务安全事件影响的时长相对于历史均值的变化程度。
(10)受影响用户比例——统计受到该域名服务安全事件影响的用户比例相对于历史均值的变化程度。
(11)受影响区域比例——统计受到该域名服务安全事件影响的区域(例如国家、省份、运营商等)比例相对于历史均值的变化程度。
对于某一个具体的评价指标i的量化过程,即该指标的变化程度ei,通过以下公式计算得出,即:
其中,V′i是该评价指标i在该安全事件期间的平均数值,Vi是该评价指标i在历史稳定时期的平均数值。显然,若ei=0,表明该评价指标在该安全事件发生前后未发生任何变化;相反,若ei值越大,表明该安全事件对该域名服务器的影响越大。
对于评价指标的权重因子的分配过程,通过考虑评价指标的两个不同方面最终计算得出。即:
评价指标i对于用户的重要程度——αi
评价指标i对于域名服务器的重要程度——βi
由此得出对比矩阵QUOTEA(i j),该矩阵由元素aij组成,表示评价指标i相对于评价指标j的重要程度:
其中,n为所选取的评价指标的个数。显然,当i=j时,aij=1;相反地,
根据上述矩阵QUOTEA(i j),可计算出每个评价指标i的权重因子wi(1≤i≤n):
最后,得出该安全事件的量化评价值为:
E值越大,表明该安全事件对该域名服务器的影响越严重,从而实现了对该域名服务安全事件的量化评价过程。

Claims (5)

1.一种域名服务安全事件评价方法,其步骤为:
1)选取一待评价的域名服务安全事件,并为该域名服务安全事件选取对应的若干评价指标;
2)对于每一评价指标i,根据公式计算该评价指标i的变化程度ei;其中,V′i是评价指标i在该域名服务安全事件监测期间的平均数值,Vi是评价指标i在历史稳定时期的平均数值;
3)根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi创建一对比矩阵A,该矩阵A的元素表示评价指标i相对于评价指标j的重要程度;然后根据该矩阵A计算出每个评价指标i的权重因子wi,然后根据公式计算得到该域名服务安全事件的量化评价值E;其中,根据公式计算出每个评价指标i的权重因子wi,n为所选取的评价指标的个数;
4)根据该域名服务安全事件的量化评价值E确定该域名服务安全事件对该域名服务器的影响程度。
2.如权利要求1所述的方法,其特征在于,所述评价指标包括但不限于:域名查询流量、域名查询成功比率、域名查询响应时间、域名服务器接入带宽消耗、域名查询请求类型分布、域名查询请求来源分布、域名查询请求重复比率、域名查询请求无效比率、受影响时长、受影响用户比例、受影响区域比例。
3.如权利要求1所述的方法,其特征在于,所述域名服务器为权威域名服务器或递归域名服务器。
4.一种域名服务安全事件评价系统,其特征在于,包括评价指标集合、评价指标量化模块、评价指标权重分配模块和量化评价结果计算模块;其中,
评价指标集合,用于存储待评价的域名服务安全事件的若干评价指标;
评价指标量化模块,用于对于每一评价指标i,根据公式计算该评价指标i的变化程度ei;其中,Vi′是评价指标i在该域名服务安全事件监测期间的平均数值,Vi是评价指标i在历史稳定时期的平均数值;
评价指标权重分配模块,用于根据评价指标i对于用户的重要程度αi、评价指标i对于域名服务器的重要程度βi创建一对比矩阵A,该矩阵A的元素表示评价指标i相对于评价指标j的重要程度;然后根据公式计算出每个评价指标i的权重因子wi;n为所选取的评价指标的个数;
量化评价结果计算模块,用于根据评价指标i的变化程度ei及其权重因子wi计算该域名服务安全事件的量化评价值E,并量化评价值E确定该域名服务安全事件对该域名服务器的影响程度,其中
5.如权利要求4所述的系统,其特征在于,所述评价指标包括但不限于:域名查询流量、域名查询成功比率、域名查询响应时间、域名服务器接入带宽消耗、域名查询请求类型分布、域名查询请求来源分布、域名查询请求重复比率、域名查询请求无效比率、受影响时长、受影响用户比例、受影响区域比例。
CN201610325845.7A 2016-05-17 2016-05-17 一种域名服务安全事件评价方法及系统 Active CN106027516B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610325845.7A CN106027516B (zh) 2016-05-17 2016-05-17 一种域名服务安全事件评价方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610325845.7A CN106027516B (zh) 2016-05-17 2016-05-17 一种域名服务安全事件评价方法及系统

Publications (2)

Publication Number Publication Date
CN106027516A CN106027516A (zh) 2016-10-12
CN106027516B true CN106027516B (zh) 2019-06-14

Family

ID=57098532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610325845.7A Active CN106027516B (zh) 2016-05-17 2016-05-17 一种域名服务安全事件评价方法及系统

Country Status (1)

Country Link
CN (1) CN106027516B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108075909B (zh) * 2016-11-11 2020-12-18 阿里巴巴集团控股有限公司 一种流量预测方法和装置
CN108881157B (zh) * 2018-05-04 2021-01-22 国家计算机网络与信息安全管理中心 一种基于pc终端行为的个体信息安全能力评价方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567815A (zh) * 2009-05-27 2009-10-28 清华大学 域名服务器dns放大攻击的有效检测与抵御方法
CN101826996A (zh) * 2010-03-19 2010-09-08 中国科学院计算机网络信息中心 域名系统流量检测方法与域名服务器
CN101895591A (zh) * 2010-07-23 2010-11-24 北京邮电大学 提高可信互联网域名服务健壮性的方法和域名服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201230741A (en) * 2011-01-07 2012-07-16 Nat Univ Tsing Hua Method and system for preventing domain name system cache poisoning attacks

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101567815A (zh) * 2009-05-27 2009-10-28 清华大学 域名服务器dns放大攻击的有效检测与抵御方法
CN101826996A (zh) * 2010-03-19 2010-09-08 中国科学院计算机网络信息中心 域名系统流量检测方法与域名服务器
CN101895591A (zh) * 2010-07-23 2010-11-24 北京邮电大学 提高可信互联网域名服务健壮性的方法和域名服务器
CN101895591B (zh) * 2010-07-23 2012-10-31 北京邮电大学 提高可信互联网域名服务健壮性的方法和域名服务器

Also Published As

Publication number Publication date
CN106027516A (zh) 2016-10-12

Similar Documents

Publication Publication Date Title
CN107395683B (zh) 一种回源路径的选择方法及服务器
CN108712426B (zh) 基于用户行为埋点的爬虫识别方法及系统
Chen et al. Detection of dns ddos attacks with random forest algorithm on spark
US11290485B2 (en) Method and system for detecting and blocking data transfer using DNS protocol
CN107342913B (zh) 一种cdn节点的探测方法和装置
WO2011113239A1 (zh) 域名系统流量检测方法与域名服务器
US20130318609A1 (en) Method and apparatus for quantifying threat situations to recognize network threat in advance
WO2022033396A1 (zh) 信用阈值的训练方法及装置、ip地址的检测方法及装置
CN110460608B (zh) 一种包含关联分析的态势感知方法和系统
CN104579782B (zh) 一种热点安全事件的识别方法及系统
Yu et al. Behavior Analysis based DNS Tunneling Detection and Classification with Big Data Technologies.
CN105915621A (zh) 访问数据的方法及预处理服务器
US11115455B2 (en) Technique for monitoring activity in a content delivery network utilizing geohashing indexes
WO2021208570A1 (zh) 一种基于dns缓存探测的物联网终端安全管控方法及装置
US20180139229A1 (en) Profiling domain name system (dns) traffic
CN106027516B (zh) 一种域名服务安全事件评价方法及系统
CN108270778A (zh) 一种dns域名异常访问检测方法及装置
JP2020503775A (ja) DDoS攻撃検出方法およびデバイス
CN1460238A (zh) 电子信息查询方法
CN114363064A (zh) 一种物联网业务适配的动态数据加密策略系统
CN110618977B (zh) 登录异常检测方法、装置、存储介质和计算机设备
CN111314379A (zh) 被攻击域名识别方法、装置、计算机设备和存储介质
CN112839005B (zh) Dns域名异常访问监控方法及装置
WO2000026743B1 (en) Computer network size growth forecasting method and system
CN105871891B (zh) 一种dns隐私泄露风险评估方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant