CN111698234A - 一种dns防御系统中异构体的调用方法 - Google Patents

一种dns防御系统中异构体的调用方法 Download PDF

Info

Publication number
CN111698234A
CN111698234A CN202010503177.9A CN202010503177A CN111698234A CN 111698234 A CN111698234 A CN 111698234A CN 202010503177 A CN202010503177 A CN 202010503177A CN 111698234 A CN111698234 A CN 111698234A
Authority
CN
China
Prior art keywords
isomer
isomers
weight
current
dns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010503177.9A
Other languages
English (en)
Other versions
CN111698234B (zh
Inventor
王立俊
贺磊
孙萍
张若鸿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Runstone Technology Inc
Original Assignee
Beijing Runstone Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Runstone Technology Inc filed Critical Beijing Runstone Technology Inc
Priority to CN202010503177.9A priority Critical patent/CN111698234B/zh
Publication of CN111698234A publication Critical patent/CN111698234A/zh
Application granted granted Critical
Publication of CN111698234B publication Critical patent/CN111698234B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Stored Programmes (AREA)
  • Organic Low-Molecular-Weight Compounds And Preparation Thereof (AREA)

Abstract

本发明公开了一种DNS防御系统中异构体的调用方法,包括:步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。极大地提高了拟态DNS防御系统的安全性、可用性、稳定性。

Description

一种DNS防御系统中异构体的调用方法
技术领域
本发明属于网络技术、拟态DNS防御系统技术领域,具体涉及一种选调模块的优选方法。
背景技术
随着信息化的高速发展,网络空间安全问题日益严峻,各种各类的信息安全事件层出不穷。域名系统DNS,作为互联网最重要的基础设施之一,维护着域名体系和IP地址空间的映射关系,由于其与生俱来的互联网开放特性,近年来不可避免地受到未知漏洞和后门的影响,易受攻击。拟态安全防御系统采用动态异构冗余架构以及多模表决机制,极大地提高了系统地安全性和稳定性。
拟态DNS防御系统利用多个服务器、多次查询和动态调度策略来增加整体的随机性。拟态安全防御系统由选调模块和异构体模块组成,异构体模块由若干运行不同DNS软件的服务器构成,选调模块完成数据分发功能和负责异构体选择和判决。异构体模块冗余性增加了攻击者漏洞挖掘的成本,而选调模块动态性则增加了攻击者系统探测时的不确定性,极大地降低了攻击者的成功率。
选调模块是拟态DNS防御系统的核心模块,其中负责异构体选择和判决的算法是整个拟态DNS防御系统核心中的核心。
在现有技术中,选调器按照策略从m个功能等价的异构构件中选取n个异构构件作为一个执行体集(A1,A2,…,An),每个执行体集中的各个执行体接收来自输入代理的输入请求,处理后的结果提交给选调器进行判决,裁决结果一致,则将结果给输出代理,若存在异常,则判决是否多数一致(多数情况下采用多模表决,也可结合策略表决进行再裁决),若满足将结果输出代理,若不满足,将随机选取一个结果输出代理。
然而,现有技术方案的缺点:
第一,选择异构构件的策略可能会有更新异常的问题,整个异构池中的异构构件有些一直在工作状态,而有些一直在等待状态,造成异构池资源分配不均,当遇到较大流量查询时,难以实现异构池中的负载均衡;第二,选调器的策略中没有过多的考虑异构构件的时延,异构体的时延直接影响客户的使用体验,也是体现DNS系统优劣的一个关键参数;第三,不同异构体会选取不同的DNS解析软件,这些软件自身的解析能力和时延具有很大的差别,如果采用同样的选调策略,极有可能造成某种解析软件的异构体总是被选调采用。
发明内容
本发明所要解决的技术问题是一种DNS防御系统中异构体的调用方法,极大地提高了拟态DNS防御系统的安全性、可用性、稳定性。
本发明解决上述技术问题所采取的技术方案如下:
一种DNS防御系统中异构体的调用方法,包括:
步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;
步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;
步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;
步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。
优选的是,步骤4)中,当异构体的当前权重值小于异构体池中的平均权重值时,则判定为失效异构体。
优选的是,步骤1)中,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,包括:
根据DNS解析软件本身的解析性能和时延给出一个初始权重值weight,这个值是固定不变的。
优选的是,步骤2)中,总权重值计算方式如下:
总权重w=weight+current_weight;
其中,异构池中异构体的当前权重值current_weight,其包括:异构体选取系数f与异构体可信度drelia的和,即current_weight=f+drelia,一开始为定义0,之后动态调整;
其中,选取系数f的计算方法如下:
首先定义参数:y1为异构体解析结果的采纳率,xn为RTT的往返延时时间,被采纳的解析条数为n0,进行的总的解析次数为n,α为一个常值,β为上一个数据的实际往返时间,在计算时可以当作一个常值处理;
Figure BSA0000210753310000031
xn=(1-α)*xn-1+α*β (2)
根据(1)、(2)式,可以求得异构体的相关系数,即选取系数f=xn/y1
可信度drelia的计算方法如下:设异构体的集合为A,d∈A,d的可信度计算式如下:
Figure BSA0000210753310000032
s的计算式如下,其中dnoa表示d解析的结果准确的次数:
Figure BSA0000210753310000033
参数z取值为(0,1),反映了选调器对可疑异构体的敏感程度,即当异构体出现异常后,其可信度的下降程度;
z值越小,异构体出现异常后可信度越低,下一个周期选取它的概率越小,系统安全性能也就越高。
优选的是,步骤2)中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中,具体包括:
遍历异构体池中所有异构体,获得每个异构体的当前权重值current_weight,并据此计算总权重w
累加所有异构体的w,并保存为tOtal;
遍历完所有异构体之后,如果该异构体的当前权重值current_weight较大,就有更大的概率被选择到处理本次请求。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
下面结合附图对本发明进行详细的描述,以使得本发明的上述优点更加明确。其中,
图1是本发明一种DNS防御系统中异构体的调用方法的流程示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
具体来说,如图1所示,一种DNS防御系统中异构体的调用方法,包括:
步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;
步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;
步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;
步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。
其中,本发明旨在增加异构构件的解析时延作为选调策略的组成部分,同时考虑到不同异构体选取的不同DNS解析软件自身解析能力和时延的影响,针对不同解析软件有不同的权重基数,设计出一种平滑的加权轮询算法作为选调模块的优选算法,进而实现快速的调用。
其中,本发明中,其算法的原理如下:
每个异构构件都有两个权重变量:
1)weight,异构池中不同DNS解析软件异构体的权重,这个值是固定不变的,根据DNS解析软件本身的解析性能和时延给出;
2)current_weight,异构池中异构体目前的权重,即异构体选取系数f与异构体可信度drelia的和,即current_weight=f+drelia。一开始为定义0,之后会动态调整。
选取系数f的计算方法如下:首先定义一些参数:y1为异构体解析结果的采纳率,xn为RTT的往返延时时间,被采纳的解析条数为n0,进行的总的解析次数为n,α为一个常值,一般取0.125,β为上一个数据的实际往返时间,在计算时可以当作一个常值处理。
Figure BSA0000210753310000061
xn=(1-α)*xn-1+α*β (2)
根据(1)、(2)式,可以求得异构体的相关系数,即选取系数f=xn/y1
可信度drelia的计算方法如下:设异构体的集合为A,d∈A,d的可信度计算式如下:
Figure BSA0000210753310000062
s的计算式如下,其中dnoa表示d解析的结果准确的次数:
Figure BSA0000210753310000063
参数z取值为(0,1),反映了选调器对可疑异构体的敏感程度,即当异构体出现异常后,其可信度的下降程度。z值越小,异构体出现异常后可信度越低,下一个周期选取它的概率越小,系统安全性能也就越高(拟态防御边界以内时).当然z值也不宜过小,否则可能导致其他异构体负载相应增加。所以z的取值应当综合考虑系统的安全性能和工作效率.
最后再计算一个它的总权重w=weight+current_weight。
每次选调器选取异构体时,会遍历异构体池中所有异构体,对于每个异构体当前的权重current_weight会影响它的总权重w;同时累加所有异构体的w,并保存为total。遍历完所有异构体之后,如果该异构体的当前权重current_weight较大,就有更大的概率被选择到处理本次请求。
根据本方法,异构体池中的异构体,因为当前权重值较高被选为生效异构体,但是当该异构体不断参与决策,解析成功率和解析时延不断使自身的权重值越来越小,当其权重值小于异构体池中的平均权重值时,就会被网管判定为失效异构体,从而重新回到异构池的等待区,本算法合理的实现了异构体轮询的初衷,使得网管的异构体调用更为合理而且安全。
并且,异构体采用不同的DNS解析软件,异构体的时延以及异构体的解析结果一致性都将作为选调异构体的策略,采用本发明介绍这种平滑的加权轮询算法使得异构体的选择更为科学更为准确,同时在拟态DNS防御系统的日常运转中,也有利于异构体动态运行池的负载均衡,使得拟态DNS防御系统的运行更为稳定和安全。
需要说明的是,对于上述方法实施例而言,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。
而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种DNS防御系统中异构体的调用方法,其特征在于,包括:
步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;
步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;
步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;
步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。
2.根据权利要求1所述的DNS防御系统中异构体的调用方法,其特征在于,步骤4)中,当异构体的当前权重值小于异构体池中的平均权重值时,则判定为失效异构体。
3.根据权利要求1或2所述的DNS防御系统中异构体的调用方法,其特征在于,步骤1)中,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,包括:
根据DNS解析软件本身的解析性能和时延给出一个初始权重值weight,这个值是固定不变的。
4.根据权利要求3所述的DNS防御系统中异构体的调用方法,其特征在于,步骤2)中,总权重值计算方式如下:
总权重w=weight+current_weight;
其中,异构池中异构体的当前权重值current_weight,其包括:异构体选取系数f与异构体可信度drelia的和,即current_weight=f+drelia,一开始为定义0,之后动态调整;
其中,选取系数f的计算方法如下:
首先定义参数:y1为异构体解析结果的采纳率,xn为RTT的往返延时时间,被采纳的解析条数为n0,进行的总的解析次数为n,α为一个常值,β为上一个数据的实际往返时间,在计算时可以当作一个常值处理;
Figure FSA0000210753300000021
xn=(1-α)*xn-1+α*β (2)
根据(1)、(2)式,可以求得异构体的相关系数,即选取系数f=xn/y1
可信度drelia的计算方法如下:设异构体的集合为A,d∈A,d的可信度计算式如下:
Figure FSA0000210753300000022
s的计算式如下,其中dnoa表示d解析的结果准确的次数:
Figure FSA0000210753300000023
参数z取值为(0,1),反映了选调器对可疑异构体的敏感程度,即当异构体出现异常后,其可信度的下降程度;
z值越小,异构体出现异常后可信度越低,下一个周期选取它的概率越小,系统安全性能也就越高。
5.根据权利要求3所述的DNS防御系统中异构体的调用方法,其特征在于,步骤2)中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中,具体包括:
遍历异构体池中所有异构体,获得每个异构体的当前权重值current_weight,并据此计算总权重w
累加所有异构体的w,并保存为total;
遍历完所有异构体之后,如果该异构体的当前权重值current_weight较大,就有更大的概率被选择到处理本次请求。
CN202010503177.9A 2020-06-03 2020-06-03 一种dns防御系统中异构体的调用方法 Active CN111698234B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010503177.9A CN111698234B (zh) 2020-06-03 2020-06-03 一种dns防御系统中异构体的调用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010503177.9A CN111698234B (zh) 2020-06-03 2020-06-03 一种dns防御系统中异构体的调用方法

Publications (2)

Publication Number Publication Date
CN111698234A true CN111698234A (zh) 2020-09-22
CN111698234B CN111698234B (zh) 2022-11-25

Family

ID=72479410

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010503177.9A Active CN111698234B (zh) 2020-06-03 2020-06-03 一种dns防御系统中异构体的调用方法

Country Status (1)

Country Link
CN (1) CN111698234B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112600859A (zh) * 2021-01-08 2021-04-02 北京润通丰华科技有限公司 一种拟态dns防御系统异常检测处理方法
CN115086447A (zh) * 2022-04-30 2022-09-20 河南信大网御科技有限公司 一种基于前后台呈现模式的拟态系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065611A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. Analyzing dns requests for anomaly detection
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法
CN110535843A (zh) * 2019-08-20 2019-12-03 之江实验室 一种拟态裁决参数消息同步的装置和方法
CN110557437A (zh) * 2019-08-05 2019-12-10 上海拟态数据技术有限公司 基于自定义协议的普适性拟态分发表决调度装置及方法
CN110830462A (zh) * 2019-10-30 2020-02-21 南京理工大学 一种面向拟态防御架构的安全性分析方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160065611A1 (en) * 2011-07-06 2016-03-03 Nominum, Inc. Analyzing dns requests for anomaly detection
CN109525418A (zh) * 2018-10-11 2019-03-26 浙江工商大学 一种拟态防御下服务部署执行体集合异构度保证的调度方法
CN110557437A (zh) * 2019-08-05 2019-12-10 上海拟态数据技术有限公司 基于自定义协议的普适性拟态分发表决调度装置及方法
CN110535843A (zh) * 2019-08-20 2019-12-03 之江实验室 一种拟态裁决参数消息同步的装置和方法
CN110830462A (zh) * 2019-10-30 2020-02-21 南京理工大学 一种面向拟态防御架构的安全性分析方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
王禛鹏: ""一种基于拟态安全防御的DNS框架设计"", 《电子学报》 *
王禛鹏: ""一种基于拟态安全防御的DNS框架设计"", 《电子学报》, vol. 45, no. 11, 15 November 2017 (2017-11-15), pages 2705 - 2712 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112600859A (zh) * 2021-01-08 2021-04-02 北京润通丰华科技有限公司 一种拟态dns防御系统异常检测处理方法
CN112600859B (zh) * 2021-01-08 2023-03-31 北京润通丰华科技有限公司 一种拟态dns防御系统异常检测处理方法
CN115086447A (zh) * 2022-04-30 2022-09-20 河南信大网御科技有限公司 一种基于前后台呈现模式的拟态系统
CN115086447B (zh) * 2022-04-30 2023-11-17 河南信大网御科技有限公司 一种基于前后台呈现模式的拟态系统

Also Published As

Publication number Publication date
CN111698234B (zh) 2022-11-25

Similar Documents

Publication Publication Date Title
CN110489447B (zh) 数据查询方法、装置、计算机设备和存储介质
US9813445B2 (en) Taint injection and tracking
CN110166436B (zh) 采用随机选择进行动态调度的拟态Web网关系统及方法
US8621480B2 (en) Load balancer with starvation avoidance
CN111698234B (zh) 一种dns防御系统中异构体的调用方法
US7444538B2 (en) Fail-over cluster with load-balancing capability
US20130081134A1 (en) Instruction set adapted for security risk monitoring
US20130024937A1 (en) Intrusion detection using taint accumulation
US20020166052A1 (en) System and methods for caching in connection with authorization in a computer system
US20190108332A1 (en) Taint injection and tracking
US20150128262A1 (en) Taint vector locations and granularity
US20120254996A1 (en) Dns resolution, policies, and views for large volume systems
US20130024939A1 (en) Conditional security response using taint vector monitoring
US8112758B2 (en) Methods and apparatus for resource allocation in partial fault tolerant applications
EP3221797B1 (en) Testing systems and methods
CN110611672B (zh) 网络空间安全防护方法、服务器设备、节点设备及系统
US11263107B2 (en) Application development support system and application development support method
CN108512768B (zh) 一种访问量的控制方法及装置
US7788201B2 (en) Method, system, and program product for dispatching an event to a rule using key-value pair
Zongyu et al. A predictive modified round robin scheduling algorithm for web server clusters
CN111786946B (zh) 拟态云服务异构执行体调度方法和装置
US20180343320A1 (en) Data request multiplexing
US20030023824A1 (en) NUMA page selection using coloring
Zhang et al. PrestigeBFT: Revolutionizing view changes in BFT consensus algorithms with reputation mechanisms
US20230076810A1 (en) Rule Violation Detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant