0 引言

域名解析系統(Domain Name System，DNS)是互聯網中最為基礎的網絡設施，為廣大網民提供著不可缺少的域名解析服務，并且是眾多網絡應用開始的第一步。DNS采用分布式架構，基于客戶端/服務器(C/S)模式工作，使得域名與IP地址之間的映射與解析信息遍布在世界各地的授權服務器中，且DNS體系在設計之初未考慮到數據加密等安全性因素，容易受惡意攻擊、人為配置錯誤等問題的影響[1-2]。隨著DNSSEC[3]、惡意域名過濾[4-5]、ACL、黑白名單控制[6]等DNS安全防護技術的不斷進步，多數網絡運營商、電力、金融、政府機構等行業領域傾向于采用安全性更高、兼容性更好、硬件性能更加突出的專業DNS服務器[7]，實現IP地址與域名之間的解析，保證關鍵領域內DNS服務的可靠性。然而，由于DNS安全防護方法眾多，各服務供應商提供的DNS產品配置與容災部署方案不一，如何對DNS系統的安全狀態作出準確的衡量，成為對DNS安全性要求較高的關鍵業務領域的網絡運維人員尤為關心的問題。

事實上，前人在DNS系統的安全評估上已有過比較深入、有價值的研究，其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)項目提出了域名系統狀態評估的思路[8]：首先要確定評估角度，其次要在特定的安全威脅場景中針對DNS運行問題和安全隱患制定特定的監測項，最后要根據多個監測項的值，綜合量化得到DNS相關指標作為參考。在此思路的指導下，文獻[9]提出采用層次分析法(Analytic Hierarchy Process，AHP)解決DNS系統安全狀態監測項的權重計算問題。該方法通過集合低層的監控項的值得到高層的安全指標的值，且實驗證實在各種監控項不斷增加的情況下依然有效，具有良好的擴展性。然而文中在應用AHP方法時僅僅采用某一位專家的人為經驗，對各監控指標進行兩兩對比，從而得到相對權重比，這一過程較難擺脫人為主觀判斷所帶來的偏差。

本文詳細內容請下載:http://m.xxav2194.com/resource/share/2000003557

作者信息:

姜  燕1，李  露1，胡  博2，許元斌3，楊  超4，董世丹傑3，楊澤坡1，李龍媚1

(1.北京中電飛華通信有限公司，北京100071；2.國網遼寧省電力有限公司，遼寧 沈陽110006；

3.國網信息通信產業集團有限公司，北京102209；4.國網大連供電公司，遼寧 大連116001)