該發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種dns遞歸服務(wù)器的擬態(tài)安全方法及裝置。

背景技術(shù)：

域名系統(tǒng)（domainnamesystem，dns）是互聯(lián)網(wǎng)上最為關(guān)鍵的基礎(chǔ)設(shè)施之一，其主要作用是實現(xiàn)域名和ip地址的對應(yīng)映射關(guān)系以及提供電子郵件的選路信息。因特網(wǎng)發(fā)展之初只有幾百臺主機(jī)，故只需一個主機(jī)文件即可包含所有主機(jī)和域名的映射信息。隨著互聯(lián)網(wǎng)的迅速發(fā)展，互聯(lián)網(wǎng)用戶的增加，網(wǎng)絡(luò)規(guī)模大幅度擴(kuò)大，流量負(fù)荷陡增使得該方法無法及時和正確地響應(yīng)所有的查詢請求。而后發(fā)展的域名系統(tǒng)則提供了域名與ip地址的映射服務(wù)，為網(wǎng)絡(luò)用戶提供了便利，這也使之成為互聯(lián)網(wǎng)大量應(yīng)用與服務(wù)運(yùn)轉(zhuǎn)正常的首要前提。

然而，人們在享受dns服務(wù)器提供的便利的同時，也面臨著巨大的安全風(fēng)險。針對dns服務(wù)器的攻擊事件逐年增多，其中dns遞歸服務(wù)器（本地服務(wù)器）成為攻擊首要目標(biāo)。由于dns遞歸服務(wù)器的緩存機(jī)制，使其易受dns緩存下毒攻擊，一旦攻擊者成功實施此類攻擊，返回給網(wǎng)絡(luò)用戶攻擊者預(yù)先設(shè)定的ip地址（釣魚網(wǎng)站等），將會對網(wǎng)絡(luò)用戶的財產(chǎn)、信息安全造成極大的挑戰(zhàn)。因此，急需一種能夠保證dns遞歸服務(wù)器安全、高效運(yùn)作的安全框架。

技術(shù)實現(xiàn)要素：

本發(fā)明克服了現(xiàn)有技術(shù)中，dns遞歸服務(wù)器面臨安全威脅的問題，提供一種安全性能高的dns遞歸服務(wù)器的擬態(tài)安全方法及裝置。

本發(fā)明的技術(shù)解決方案是，提供一種具有以下步驟的dns遞歸服務(wù)器的擬態(tài)安全方法，含有步驟1：接收用戶查詢請求，經(jīng)sdn交換機(jī)將其引流至安全服務(wù)鏈，對其進(jìn)行篩選、過濾及攻擊檢測，參數(shù)管理器獲取攻擊檢測數(shù)據(jù)后向選調(diào)器下發(fā)對應(yīng)的參數(shù)信息；

步驟2：對選調(diào)器查詢請求隊列中的每個查詢請求，選調(diào)模塊依據(jù)參數(shù)管理器下發(fā)的參數(shù)、各個dns服務(wù)器狀態(tài)信息以及選調(diào)策略，選取若干dns服務(wù)器發(fā)送查詢請求；

步驟3：判決模塊接收dns服務(wù)器的響應(yīng)信息，對結(jié)果進(jìn)行大數(shù)判決，若通過判決，則將結(jié)果返回用戶，反之，重新查詢，并更新dns服務(wù)器池中各個服務(wù)器的狀態(tài)信息。

所述步驟1包含如下步驟：

步驟101：sdn控制器依據(jù)安全策略，通過流表管理器下發(fā)流表信息至sdn交換機(jī)將查詢請求引流至響應(yīng)安全服務(wù)鏈；

步驟102：請求依次通過防火墻，深度包檢測，dns攻擊檢測，進(jìn)行篩選、過濾，然后將查詢請求發(fā)往選調(diào)器，加入查詢請求隊列，并且參數(shù)管理器從dns攻擊檢測服務(wù)獲取數(shù)據(jù)處理后下發(fā)至選調(diào)器。

所述參數(shù)信息為dns服務(wù)器狀態(tài)信息的系數(shù)，即計算選取因子時可信度、負(fù)載量的系數(shù)及各種閾值。

選調(diào)模塊包含如下步驟：

步驟201：獲取各個dns服務(wù)器的選取因子；

步驟202：判斷所有選取因子超過閾值的dns服務(wù)器個數(shù)是否大于等于3個：如果少于3個，則進(jìn)入步驟203：隨機(jī)模式下，隨機(jī)選取一個dns服務(wù)器發(fā)送查詢請求；反之，則進(jìn)入步驟204：異構(gòu)冗余模式下，隨機(jī)選取一個大于等于3的奇數(shù)n，從超過閾值的dns服務(wù)器中依選取因子為概率選取出n個發(fā)送查詢請求。

所述選取因子由可信度，負(fù)載量與參數(shù)管理器下發(fā)的系數(shù)相乘后相加確定。

所述步驟3包含如下步驟：

步驟301：判斷是否為異構(gòu)冗余模式，如果不是，則進(jìn)入步驟302：將dns服務(wù)器相應(yīng)結(jié)果直接返回用戶；反之，進(jìn)入303：對n個dns服務(wù)器的響應(yīng)結(jié)果進(jìn)行大數(shù)判決；

步驟304：判斷是否通過大數(shù)判決，即判斷某一響應(yīng)結(jié)果的統(tǒng)計個數(shù)是否大于等于(n/2)，如果未通過，則進(jìn)入步驟305：重新查詢；如果通過，則進(jìn)入步驟306：將判決結(jié)果返回用戶；

步驟307：更新dns服務(wù)器池各個dns服務(wù)器狀態(tài)信息。

一種實現(xiàn)dns遞歸服務(wù)器的擬態(tài)安全方法的裝置：含有以下裝置：

sdn交換機(jī)，將用戶查詢請求，引流至安全服務(wù)鏈，對其進(jìn)行篩選、過濾及攻擊檢測，在數(shù)據(jù)平面進(jìn)行路由、轉(zhuǎn)發(fā)，并將統(tǒng)計數(shù)據(jù)上傳sdn控制器；

sdn控制器，將上層安全策略得相應(yīng)的流表項，下發(fā)至sdn交換機(jī)，向選調(diào)器下發(fā)狀態(tài)信息的系數(shù)；

選調(diào)器，用于處理用戶查詢請求。

sdn控制器，其包括：參數(shù)管理器和流表管理器；參數(shù)管理器，用于獲取安全服務(wù)鏈中dns攻擊檢測等模塊的攻擊特征數(shù)據(jù)，計算并將狀態(tài)信息的系數(shù)下發(fā)至選調(diào)器，參數(shù)管理器根據(jù)具體的攻擊特征，動態(tài)調(diào)整相關(guān)參數(shù)，對性的有效應(yīng)對相應(yīng)的攻擊；流表管理器，用于依據(jù)上層安全策略，參考從參數(shù)管理器獲取的攻擊特征數(shù)據(jù)，為查詢請求選擇安全服務(wù)鏈的路徑，管理和下發(fā)出入口sdn交換機(jī)的流表項。

所述選調(diào)器包括選調(diào)模塊和判決模塊；選調(diào)模塊，接收用戶請求后，依據(jù)選調(diào)策略及參數(shù)管理器下發(fā)的參數(shù)選取dns服務(wù)器，并發(fā)送查詢請求；判決模塊，接收dns服務(wù)器響應(yīng)后，依據(jù)判決策略進(jìn)行判決處理，將結(jié)果返回給對應(yīng)用戶，并更新各個dns服務(wù)器的狀態(tài)信息。

所述dns服務(wù)器池，用于響應(yīng)選調(diào)器的查詢請求。

與現(xiàn)有技術(shù)相比，本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置具有以下優(yōu)點：在遞歸服務(wù)器前增設(shè)選調(diào)器的安全代理，無需改變dns協(xié)議和dns查詢響應(yīng)流程，對遞歸服務(wù)器和用戶透明無感，具有非侵入性，同時用異構(gòu)冗余模型實現(xiàn)主動防御，使其有效地解決針對遞歸服務(wù)器的緩存中毒等攻擊，保證了dns遞歸服務(wù)器的可靠性和穩(wěn)定性。

附圖說明

圖1是本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置的流程示意圖；

圖2是本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置的安全服務(wù)鏈模塊示意圖；

圖3是本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置的選調(diào)模塊示意圖；

圖4是本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置的判決模塊示意圖。

具體實施方式

下面結(jié)合附圖和具體實施方式對本發(fā)明dns遞歸服務(wù)器的擬態(tài)安全方法及裝置作進(jìn)一步說明：

實施例一，參見圖1所示，一種dns遞歸服務(wù)器的擬態(tài)安全方法及裝置，包含如下步驟：

步驟1：接收用戶查詢請求，經(jīng)sdn交換機(jī)引流至安全服務(wù)鏈進(jìn)行篩選、過濾，以及攻擊檢測，參數(shù)管理器獲取攻擊檢測數(shù)據(jù)后向選調(diào)器下發(fā)對應(yīng)的參數(shù)信息；

步驟2：對選調(diào)器查詢請求隊列中的每個查詢請求，選調(diào)模塊依據(jù)參數(shù)管理器下發(fā)的參數(shù)，各個dns服務(wù)器狀態(tài)信息，以及選調(diào)策略，選取若干dns服務(wù)器發(fā)送查詢請求；

步驟3：判決模塊接收dns服務(wù)器的響應(yīng)信息，對結(jié)果進(jìn)行大數(shù)判決，若通過判決，則將結(jié)果返回用戶；反之，重新查詢。并更新各個dns服務(wù)器的狀態(tài)信息。

實施例二，實施例一中的步驟1可以以下述方式得到實現(xiàn)：

參見圖2所示，圖2為安全服務(wù)鏈模塊的流程示意圖，包含如下步驟：

步驟101：sdn控制器依據(jù)安全策略，通過流表管理器下發(fā)流表信息至sdn交換機(jī)將查詢請求引流至響應(yīng)安全服務(wù)鏈；

步驟102：請求依次通過防火墻，深度包檢測，dns攻擊檢測，進(jìn)行篩選、過濾，然后將查詢請求發(fā)往選調(diào)器，加入查詢請求隊列，并且參數(shù)管理器從dns攻擊檢測服務(wù)獲取數(shù)據(jù)處理后下發(fā)至選調(diào)器；

具體地，參數(shù)信息為dns服務(wù)器狀態(tài)信息的系數(shù)（即計算選取因子時可信度，負(fù)載量的系數(shù)），以及各種閾值的選??；

實施例三，實施例一中的步驟2可以以下述方式得到實現(xiàn)：

參見圖3所示，圖3為選調(diào)模塊的流程示意圖，包含如下步驟：

步驟201：獲取各個dns服務(wù)器的選取因子；

具體地，選取因子由可信度，負(fù)載量與參數(shù)管理器下發(fā)的系數(shù)相乘后相加確定；

步驟202：判斷所有選取因子超過閾值的dns服務(wù)器個數(shù)大于等于3個：如果少于3個，則進(jìn)入步驟203：隨機(jī)模式，隨機(jī)選取一個dns服務(wù)器發(fā)送查詢請求；反之，則進(jìn)入步驟204：異構(gòu)冗余模式，隨機(jī)選取一個大于等于3的奇數(shù)n，從超過閾值的dns服務(wù)器中依選取因子為概率選取出n個發(fā)送查詢請求。

實施例四，實施例一中的步驟3可以以下述方式得到實現(xiàn)：

參見圖4所示，圖4為判決模塊的流程示意圖，包含如下步驟：

步驟301：判斷是否為異構(gòu)冗余模式，如果不是，則進(jìn)入步驟302：將dns服務(wù)器相應(yīng)結(jié)果直接返回用戶；反之，進(jìn)入303，對n個dns服務(wù)器的響應(yīng)結(jié)果進(jìn)行大數(shù)判決；

具體地，這里的n由選調(diào)模塊可知，并且設(shè)置超時機(jī)制，若規(guī)定時間內(nèi)為收到n個相應(yīng)結(jié)果，仍然對已接收的結(jié)果進(jìn)行大數(shù)判決；

步驟304：判斷是否通過大數(shù)判決，即某一響應(yīng)結(jié)果的統(tǒng)計個數(shù)是否大于等于(n/2)，如果未通過，則進(jìn)入步驟305：重新查詢；如果通過，則進(jìn)入步驟306：則將判決結(jié)果返回用戶；

步驟307：更新各個dns服務(wù)器狀態(tài)信息；

具體地，若選調(diào)模塊選取的dns服務(wù)器的響應(yīng)結(jié)果與判決結(jié)果相同則不做修改；若結(jié)果不一致，則判定遭受了攻擊，并降低該dns服務(wù)器的可信度值；同時，周期地獲取各個dns服務(wù)器的負(fù)載情況，對負(fù)載量進(jìn)行更新，具體為向各個dns服務(wù)器發(fā)送根服務(wù)器地址查詢，得到各自返回時延，對時延進(jìn)行歸一化處理，結(jié)果即作為dns服務(wù)器負(fù)載量信息的考量。

本發(fā)明并不局限于上述具體實施方式，本領(lǐng)域技術(shù)人員還可據(jù)此做出多種變化，但任何與本發(fā)明等同或者類似的變化都應(yīng)涵蓋在本發(fā)明權(quán)利要求的范圍內(nèi)。