本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種提高DNS系統(tǒng)安全性的方法及裝置。
背景技術(shù):
域名系統(tǒng)(Domain Name System, DNS)負責提供域名和IP地址之間的映射,是當前全球最大最復雜的分布式層次數(shù)據(jù)庫系統(tǒng)。由于其開放、龐大、復雜的特性以及設(shè)計之初對于安全性的考慮不足,再加上認為破壞和攻擊,DNS系統(tǒng)面臨著非常嚴重的安全威脅。
DNS面臨的安全威脅主要有DDoS(Distributed Denial of Service)攻擊、DNS欺騙以及系統(tǒng)漏洞和后門。DDoS攻擊通過僵尸網(wǎng)絡(luò)利用各種服務請求耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源,造成被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。DNS欺騙是由DNS服務器本身的設(shè)計導致的,DNS服務器只負責解析域名,不保證域名或者IP地址的正確,也就是說如果DNS接收了錯誤的信息,那么DNS就會作出錯誤的域名解析,從而引起安全問題。常見的DNS欺騙主要有緩存污染、DNS信息劫持和DNS重定向。DNS面臨的另外一個威脅是由系統(tǒng)漏洞或后門引起的,系統(tǒng)漏洞或后門往往是未知的,面對這些未知的威脅,如何提高DNS系統(tǒng)的安全性成為亟待解決的問題。
DDoS攻擊是網(wǎng)絡(luò)面臨的一個普遍問題,關(guān)于如何預防DDoS攻擊目前已有許多研究成果,本發(fā)明主要針對DNS面臨的另外兩種安全威脅:DNS欺騙和系統(tǒng)漏洞與后門。傳統(tǒng)的針對這兩種DNS安全威脅的防御方法是增加DNS防火墻、入侵檢測系統(tǒng)和漏洞修復策略等,這些方法都是被動的進行防御,對未知的攻擊或者系統(tǒng)漏洞與后門顯得無能為力。
技術(shù)實現(xiàn)要素:
傳統(tǒng)的針對這兩種DNS安全威脅的防御方法是增加DNS防火墻、入侵檢測系統(tǒng)和漏洞修復策略等,這些方法都是被動的進行防御,對未知的攻擊或者系統(tǒng)漏洞與后門顯得無能為力,本發(fā)明針對現(xiàn)有被動防御技術(shù)存在的這些問題,提出了一種提高DNS系統(tǒng)安全性的方法及裝置。
本發(fā)明的技術(shù)方案是:一種提高DNS系統(tǒng)安全性的方法,主要包括為域名解析請求提供域名解析方法,該域名解析方法主要包括以下步驟:
步驟1:域名解析請求發(fā)送到控制器的調(diào)度執(zhí)行模塊;
步驟2:調(diào)度執(zhí)行模塊根據(jù)策略生成模塊生成的調(diào)度策略,為該域名解析請求分配一定數(shù)量的異構(gòu)DNS等價執(zhí)行體執(zhí)行域名解析任務;
步驟3:異構(gòu)DNS等價執(zhí)行體同時獨立地執(zhí)行域名解析任務;
步驟4:異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果同時發(fā)送到輸出判決器,輸出判決器比對異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果,依據(jù)多數(shù)一致的原則確定最終解析結(jié)果;
步驟5:將最終確定的域名解析結(jié)果反饋給域名解析請求者。
所述的提高DNS系統(tǒng)安全性的方法,所述策略生成模塊生成的調(diào)度策略具體為:
步驟 201:策略生成模塊首先要生成調(diào)度策略,并下發(fā)給調(diào)度執(zhí)行模塊;
步驟202:調(diào)度執(zhí)行模塊根據(jù)調(diào)度策略將域名解析請求分發(fā)給異構(gòu)DNS等價執(zhí)行體;
步驟203:被選擇的異構(gòu)DNS等價執(zhí)行體獨立執(zhí)行域名解析;
步驟204:輸出判決器對異構(gòu)DNS執(zhí)行體的解析結(jié)果進行擇多判決;
步驟205:輸出多數(shù)一致的域名解析結(jié)果。
一種提高DNS系統(tǒng)安全性的方法的硬件裝置,包括控制器、一定數(shù)量的異構(gòu)DNS等價執(zhí)行體和輸出判決器,控制器與異構(gòu)DNS等價體相連接,所述控制器包括參數(shù)配置模塊、策略生成模塊、監(jiān)控模塊、輸入代理模塊和調(diào)度執(zhí)行模塊,所述策略生成模塊為調(diào)度執(zhí)行模塊生成調(diào)度執(zhí)行策略;所述調(diào)度執(zhí)行模塊為域名解析請求,確定執(zhí)行解析任務的異構(gòu)DNS等價執(zhí)行體;所述輸出判決器根據(jù)異構(gòu)DNS等價執(zhí)行體的解析結(jié)果進行擇多判決,并輸出多數(shù)一致的解析結(jié)果。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述參數(shù)配置模塊對策略生成模塊進行配置,策略生成模塊生成隨機策略或者根據(jù)參數(shù)配置模塊配置的參數(shù)生成動態(tài)策略。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述策略生成模塊生成異構(gòu)DNS等價執(zhí)行體的調(diào)度執(zhí)行策略,策略生成模塊能夠預先定義好策略或根據(jù)參數(shù)確定調(diào)度策略。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述監(jiān)控模塊負責監(jiān)控控制器中的各個模塊和異構(gòu)DNS等價執(zhí)行體的工作狀態(tài),并根據(jù)監(jiān)測情況進行報警或發(fā)送相關(guān)操作指令,各個模塊和異構(gòu)DNS等價執(zhí)行體能夠根據(jù)監(jiān)控模塊反饋的指令對自身的工作狀態(tài)進行調(diào)整。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述輸入代理模塊能夠過濾非法請求,并把接收到的合法請求發(fā)送到調(diào)度執(zhí)行模塊。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述調(diào)度執(zhí)行模塊接收策略生成模塊下發(fā)的調(diào)度策略,并根據(jù)此策略為域名解析請求分配異構(gòu)DNS等價執(zhí)行體進行域名解析。
所述的提高DNS系統(tǒng)安全性的方法的硬件裝置,所述輸出判決器包括接受代理模塊、結(jié)果比對模塊、結(jié)果統(tǒng)計模塊和輸出模塊,其中接收代理模塊從異構(gòu)DNS等價執(zhí)行體接收域名解析結(jié)果,接收代理模塊將接收到的域名解析結(jié)果發(fā)送到結(jié)果比對模塊;結(jié)果比對模塊對各個結(jié)果進行比對,并把比對結(jié)果發(fā)送到結(jié)果統(tǒng)計模塊;結(jié)果統(tǒng)計模塊將比對結(jié)果進行統(tǒng)計,選擇多數(shù)一致的結(jié)果發(fā)送到輸出模塊;輸出模塊最終將多數(shù)一致的結(jié)果發(fā)送給請求者。
本發(fā)明的有益效果是:本發(fā)明所述的方法及裝置具有動態(tài)、異構(gòu)和冗余的特性,正是動態(tài)異構(gòu)冗余的特性使得所述裝置內(nèi)部結(jié)構(gòu)具有不確定性,這使得DNS欺騙或者漏洞后門攻擊成功的概率大大降低,提高了DNS系統(tǒng)的安全性能。解決了現(xiàn)有技術(shù)針對DNS安全威脅只能采用被動防御的問題,通過增加系統(tǒng)的動態(tài)性和不確定性,使得通過DNS欺騙或者利用DNS系統(tǒng)漏洞和后門實施攻擊變得困難,提高了DNS系統(tǒng)的安全性能。
附圖說明
圖1為本發(fā)明的軟硬件裝置的系統(tǒng)功能結(jié)構(gòu)示意圖;
圖2為本發(fā)明系統(tǒng)解析方法的流程示意圖;
圖3為本發(fā)明控制器內(nèi)部功能結(jié)構(gòu)示意圖;
圖4為本發(fā)明異構(gòu)DNS等價執(zhí)行體調(diào)度方法流程圖;
圖5為本發(fā)明輸出結(jié)果判決器功能結(jié)構(gòu)示意圖。
具體實施方式
實施例1:結(jié)合圖1-圖5,一種提高DNS系統(tǒng)安全性的方法,主要包括為域名解析請求提供域名解析方法,該域名解析方法主要包括以下步驟:
步驟1:域名解析請求發(fā)送到控制器的調(diào)度執(zhí)行模塊;
步驟2:調(diào)度執(zhí)行模塊根據(jù)策略生成模塊生成的調(diào)度策略,為該域名解析請求分配一定數(shù)量的異構(gòu)DNS等價執(zhí)行體執(zhí)行域名解析任務;
步驟3:異構(gòu)DNS等價執(zhí)行體同時獨立地執(zhí)行域名解析任務;
步驟4:異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果同時發(fā)送到輸出判決器,輸出判決器比對異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果,依據(jù)多數(shù)一致的原則確定最終解析結(jié)果;
步驟5:將最終確定的域名解析結(jié)果反饋給域名解析請求者。
策略生成模塊生成的調(diào)度策略具體為:
步驟 201:策略生成模塊首先要生成調(diào)度策略,并下發(fā)給調(diào)度執(zhí)行模塊;
步驟202:調(diào)度執(zhí)行模塊根據(jù)調(diào)度策略將域名解析請求分發(fā)給異構(gòu)DNS等價執(zhí)行體;
步驟203:被選擇的異構(gòu)DNS等價執(zhí)行體獨立執(zhí)行域名解析;
步驟204:輸出判決器對異構(gòu)DNS執(zhí)行體的解析結(jié)果進行擇多判決;
步驟205:輸出多數(shù)一致的域名解析結(jié)果。
一種提高DNS系統(tǒng)安全性的方法的硬件裝置,包括控制器、一定數(shù)量的異構(gòu)DNS等價執(zhí)行體和輸出判決器,控制器與異構(gòu)DNS等價體相連接,所述控制器包括參數(shù)配置模塊、策略生成模塊、監(jiān)控模塊、輸入代理模塊和調(diào)度執(zhí)行模塊,所述策略生成模塊為調(diào)度執(zhí)行模塊生成調(diào)度執(zhí)行策略;所述調(diào)度執(zhí)行模塊為域名解析請求,確定執(zhí)行解析任務的異構(gòu)DNS等價執(zhí)行體;所述輸出判決器根據(jù)異構(gòu)DNS等價執(zhí)行體的解析結(jié)果進行擇多判決,并輸出多數(shù)一致的解析結(jié)果。
參數(shù)配置模塊對策略生成模塊進行配置,策略生成模塊生成隨機策略或者根據(jù)參數(shù)配置模塊配置的參數(shù)生成動態(tài)策略。策略生成模塊生成異構(gòu)DNS等價執(zhí)行體的調(diào)度執(zhí)行策略,策略生成模塊能夠預先定義好策略或根據(jù)參數(shù)確定調(diào)度策略。監(jiān)控模塊負責監(jiān)控控制器中的各個模塊和異構(gòu)DNS等價執(zhí)行體的工作狀態(tài),并根據(jù)監(jiān)測情況進行報警或發(fā)送相關(guān)操作指令,各個模塊和異構(gòu)DNS等價執(zhí)行體能夠根據(jù)監(jiān)控模塊反饋的指令對自身的工作狀態(tài)進行調(diào)整。輸入代理模塊能夠過濾非法請求,并把接收到的合法請求發(fā)送到調(diào)度執(zhí)行模塊。調(diào)度執(zhí)行模塊接收策略生成模塊下發(fā)的調(diào)度策略,并根據(jù)此策略為域名解析請求分配異構(gòu)DNS等價執(zhí)行體進行域名解析。
輸出判決器包括接受代理模塊、結(jié)果比對模塊、結(jié)果統(tǒng)計模塊和輸出模塊,其中接收代理模塊從異構(gòu)DNS等價執(zhí)行體接收域名解析結(jié)果,接收代理模塊將接收到的域名解析結(jié)果發(fā)送到結(jié)果比對模塊;結(jié)果比對模塊對各個結(jié)果進行比對,并把比對結(jié)果發(fā)送到結(jié)果統(tǒng)計模塊;結(jié)果統(tǒng)計模塊將比對結(jié)果進行統(tǒng)計,選擇多數(shù)一致的結(jié)果發(fā)送到輸出模塊;輸出模塊最終將多數(shù)一致的結(jié)果發(fā)送給請求者。
實施例2,結(jié)合圖1-圖5,本發(fā)明實施例提供的一種提高DNS系統(tǒng)安全性的裝置,該裝置包括控制器、一定數(shù)量異構(gòu)DNS等價執(zhí)行體和輸出判決器,控制器、異構(gòu)DNS等價執(zhí)行體和輸出判決器相連接。
控制器包含策略生成模塊、調(diào)度執(zhí)行模塊和監(jiān)控模塊,策略生成模塊用于生成異構(gòu)DNS等價執(zhí)行體的調(diào)度執(zhí)行策略,策略生成模塊可以預先定義好策略,也可以根據(jù)參數(shù)確定調(diào)度策略。該調(diào)度策略用于決定如何選擇異構(gòu)DNS等價執(zhí)行體,例如選擇幾個異構(gòu)DNS等價執(zhí)行體和按照何種順序進行選擇。
控制器中的調(diào)度執(zhí)行模塊接收策略生成模塊下發(fā)的調(diào)度策略,并根據(jù)此策略為域名解析請求分配多個異構(gòu)DNS等價執(zhí)行體進行域名解析。
控制器中的監(jiān)控模塊負責監(jiān)控控制器中的各個模塊和異構(gòu)DNS等價執(zhí)行體的工作狀態(tài),并根據(jù)監(jiān)測情況進行報警或發(fā)送相關(guān)操作指令,各個模塊和異構(gòu)DNS等價執(zhí)行體可以根據(jù)監(jiān)控模塊反饋的指令對自身的工作狀態(tài)進行調(diào)整。
異構(gòu)DNS等價執(zhí)行體負責執(zhí)行域名解析任務,這些異構(gòu)DNS等價執(zhí)行體可以通過采用不同架構(gòu)的服務器、不同的軟硬件實現(xiàn)方式以及這些方式的不同組合實現(xiàn)。
輸出判決器用于對異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果進行擇多判決,使輸出結(jié)果為多數(shù)一致的結(jié)果。
一種提高DNS系統(tǒng)安全性的裝置遵循以下域名解析方法,具體域名解析流程驟如下:
步驟1:域名解析請求發(fā)送到控制器的調(diào)度執(zhí)行模塊;
步驟2:調(diào)度執(zhí)行模塊根據(jù)策略生成模塊生成的調(diào)度策略為該域名解析請求分配執(zhí)行域名解析的多個異構(gòu)DNS等價執(zhí)行體,調(diào)度執(zhí)行模塊還要確保所分配的異構(gòu)DNS等價執(zhí)行體能夠正常工作;
步驟3:多個異構(gòu)DNS等價執(zhí)行體同時獨立地執(zhí)行域名解析任務;
步驟4:多個異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果同時發(fā)送到輸出判決器,輸出結(jié)果判決器比對異構(gòu)DNS等價執(zhí)行體的輸出結(jié)果,依據(jù)多數(shù)一致的原則確定最終解析結(jié)果;
步驟5:將最終確定的域名解析結(jié)果反饋給域名解析請求者。
控制器內(nèi)部功能結(jié)構(gòu)包括參數(shù)配置模塊、策略生成模塊、監(jiān)控模塊、請求接收代理模塊和調(diào)度執(zhí)行模塊。
參數(shù)配置模塊用于對策略生成模塊進行配置,策略生成模塊可以生成隨機策略,也可以根據(jù)參數(shù)配置模塊配置的參數(shù)生成動態(tài)策略;請求接收代理模塊用于過濾非法請求,并把接收到的合法請求發(fā)送到調(diào)度執(zhí)行模塊;監(jiān)控模塊負責監(jiān)控控制器中各個模塊的工作狀態(tài),并將監(jiān)控結(jié)果或相應指令反饋到各個模塊,各個模塊根據(jù)監(jiān)控模塊反饋的信息調(diào)整自身的工作狀態(tài),以更好適應系統(tǒng)的要求。
異構(gòu)DNS等價執(zhí)行體的調(diào)度流程圖,具體步驟如下:
步驟 201:策略生成模塊首先要生成調(diào)度策略,并下發(fā)給調(diào)度執(zhí)行模塊;
步驟202:調(diào)度執(zhí)行模塊根據(jù)調(diào)度策略將域名解析請求分發(fā)給多個異構(gòu)DNS等價執(zhí)行體,調(diào)度策略用于選擇異構(gòu)DNS等價執(zhí)行體;
步驟203:被選擇的多個異構(gòu)DNS等價執(zhí)行體獨立執(zhí)行域名解析;
步驟204:輸出判決器對多個異構(gòu)DNS執(zhí)行體的解析結(jié)果進行擇多判決;
步驟205:輸出多數(shù)一致的域名解析結(jié)果。
輸出判決器的內(nèi)部功能結(jié)果如下:
接收代理負責從異構(gòu)DNS等價執(zhí)行體接收域名解析結(jié)果,每個接收代理分別對應不同的異構(gòu)DNS等價執(zhí)行體;接收代理將接收到的域名解析結(jié)果發(fā)送到結(jié)果比對模塊,結(jié)果比對模塊負責對各個結(jié)果進行比對,并把比對結(jié)果發(fā)送到結(jié)果統(tǒng)計模塊;結(jié)果統(tǒng)計模塊對比對結(jié)果進行統(tǒng)計,選擇多數(shù)一致的結(jié)果發(fā)送到輸出模塊,輸出模塊最終將多數(shù)一致的結(jié)果發(fā)送給請求者。