大規(guī)模災(zāi)難性DNS安全事件智能防護(hù)系統(tǒng)設(shè)計(jì)研究

陳曾勝

（中國(guó)移動(dòng)通信集團(tuán)安徽有限公司，合肥 230009）

大規(guī)模災(zāi)難性DNS安全事件智能防護(hù)系統(tǒng)設(shè)計(jì)研究

陳曾勝

（中國(guó)移動(dòng)通信集團(tuán)安徽有限公司，合肥 230009）

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，基于域名解析的應(yīng)用問(wèn)題層出不窮，DNS作為互聯(lián)網(wǎng)最重要的基礎(chǔ)服務(wù)，其安全隱患也日益突出，本文設(shè)計(jì)了一種大規(guī)模災(zāi)難性DNS安全事件智能防護(hù)系統(tǒng)，通過(guò)建立大型容災(zāi)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)單個(gè)及大規(guī)模域名解析故障時(shí)，及時(shí)恢復(fù)業(yè)務(wù)，同時(shí)通過(guò)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，建立疑似攻擊源自動(dòng)發(fā)現(xiàn)和處置機(jī)制，系統(tǒng)可實(shí)現(xiàn)大幅提升DNS解析正確率、安全性及投訴處理效率。

DNS；攻擊；安全防護(hù)；域名監(jiān)控；容災(zāi)容錯(cuò)

1 引言

DNS作為互聯(lián)網(wǎng)最重要的基礎(chǔ)服務(wù)，其安全隱患也日益突出。DNS服務(wù)一般分為緩存、遞歸和授權(quán)，緩存服務(wù)器主要承擔(dān)用戶的解析請(qǐng)求，遞歸服務(wù)器負(fù)責(zé)向外部進(jìn)行域名的遞歸查詢，授權(quán)服務(wù)器則承擔(dān)其他DNS服務(wù)對(duì)本地域名的查詢服務(wù)。DNS是全球最分散的數(shù)據(jù)庫(kù)，域名信息遍布在無(wú)數(shù)授權(quán)服務(wù)器上，易受網(wǎng)絡(luò)故障、惡意攻擊等事件的影響。作為一個(gè)開(kāi)放系統(tǒng)，DNS主要面臨著個(gè)別域名授權(quán)服務(wù)器攻擊、根DNS系統(tǒng)攻擊、網(wǎng)絡(luò)故障、域名劫持、疑似攻擊源等5類安全威脅與風(fēng)險(xiǎn)，而對(duì)DNS系統(tǒng)而言，傳統(tǒng)的防護(hù)方法主要是通過(guò)防火墻、流量清洗等方式實(shí)現(xiàn)攻擊防護(hù)，或通過(guò)深度數(shù)據(jù)分組檢測(cè)對(duì)應(yīng)用層協(xié)議進(jìn)行檢查過(guò)濾的方法實(shí)現(xiàn)對(duì)DNS架構(gòu)安全的進(jìn)一步防護(hù)。但對(duì)于斷網(wǎng)、封鎖以及根服務(wù)器故障等各種大規(guī)模災(zāi)難性DNS解析事件，目前運(yùn)營(yíng)商DNS系統(tǒng)尚無(wú)完整的自動(dòng)發(fā)現(xiàn)、恢復(fù)域名解析的系統(tǒng)。為進(jìn)一步加強(qiáng)DNS系統(tǒng)安全及容災(zāi)能力，有效應(yīng)對(duì)突發(fā)的災(zāi)難性DNS安全事件，本文提出了一種DNS安全智能防護(hù)系統(tǒng)的設(shè)計(jì)方案，通過(guò)建立大型容災(zāi)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)單個(gè)及大規(guī)模域名解析故障時(shí)，及時(shí)恢復(fù)業(yè)務(wù)，同時(shí)通過(guò)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，建立疑似攻擊源自動(dòng)發(fā)現(xiàn)和處置機(jī)制。

2 DNS安全防護(hù)的現(xiàn)狀與理論

當(dāng)前，DNS面臨的風(fēng)險(xiǎn)很多，如DoS/DDoS攻擊、緩沖投毒攻擊、放大式攻擊、互聯(lián)網(wǎng)域名攻擊等。這些風(fēng)險(xiǎn)中引發(fā)的事件，多數(shù)由于管理環(huán)節(jié)的疏漏，以及DNS配置復(fù)雜性、缺乏一個(gè)有效的快速更新機(jī)制等原因引起，使得運(yùn)營(yíng)商DNS系統(tǒng)無(wú)法正常運(yùn)行，最終導(dǎo)致Internet通信受到嚴(yán)重影響。DNS在設(shè)計(jì)之初并沒(méi)有系統(tǒng)考慮安全問(wèn)題，作為一個(gè)開(kāi)放系統(tǒng)，DNS明顯存在未授權(quán)信息的泄漏問(wèn)題，同時(shí)也缺乏有效的接入控制。歷史上幾次典型的攻擊事件，如暴風(fēng)影音事件、百度域名劫持、瑞典頂級(jí)域名“.se”故障等等，對(duì)當(dāng)時(shí)的互聯(lián)網(wǎng)安全都產(chǎn)生了嚴(yán)峻的挑戰(zhàn)。為確保DNS系統(tǒng)的安全性，需要及時(shí)為系統(tǒng)添加補(bǔ)丁，并進(jìn)一步完善配置。同時(shí)針對(duì)因遞歸攻擊等導(dǎo)致的服務(wù)響應(yīng)遲緩甚至服務(wù)癱瘓等問(wèn)題，需要采用高可用性的安全架構(gòu)保證DNS服務(wù)的安全性和穩(wěn)定性。

對(duì)DNS系統(tǒng)安全而言，傳統(tǒng)的方法只考慮系統(tǒng)本身的安全防護(hù)，如通過(guò)防火墻、流量清洗等方式實(shí)現(xiàn)攻擊防護(hù)，或通過(guò)深度數(shù)據(jù)分組檢測(cè)對(duì)應(yīng)用層協(xié)議進(jìn)行檢查過(guò)濾的方法實(shí)現(xiàn)對(duì)DNS架構(gòu)安全的進(jìn)一步防護(hù)。但是對(duì)于大規(guī)模斷網(wǎng)、封鎖以及大型注冊(cè)代理商系統(tǒng)崩潰等各種影響域名系統(tǒng)安全和穩(wěn)定的事件，上述方法無(wú)法完全確保DNS系統(tǒng)服務(wù)的安全性、可靠性。此外對(duì)于某個(gè)特定域名出現(xiàn)解析異常時(shí)，目前DNS系統(tǒng)無(wú)法自動(dòng)發(fā)現(xiàn)、恢復(fù)域名解析結(jié)果，從而影響互聯(lián)網(wǎng)用戶感知，因此具有一定的缺失性。

本文提出的大規(guī)模災(zāi)難性DNS安全事件智能防護(hù)系統(tǒng)，旨在及時(shí)發(fā)現(xiàn)和自動(dòng)處理個(gè)別、大批量域名解析失敗問(wèn)題以保證DNS服務(wù)的穩(wěn)定性、可靠性。本系統(tǒng)可解決不同安全事件造成域名解析失敗的問(wèn)題，一是應(yīng)對(duì)復(fù)雜的域名安全形勢(shì)，自動(dòng)處理異常域名避免域名系統(tǒng)故障，提高用戶體驗(yàn)；二是解決大規(guī)模故障時(shí)，自動(dòng)接管全部遞歸查詢，直接返回用戶結(jié)果，保證省內(nèi)互聯(lián)網(wǎng)業(yè)務(wù)的正常運(yùn)行。此外還可以提升疑似攻擊源的預(yù)判手段，自動(dòng)化識(shí)別釣魚(yú)類網(wǎng)站，通過(guò)規(guī)范化、流程化、系統(tǒng)化手段，建立釣魚(yú)類網(wǎng)站事前預(yù)警、事中管控、事后防范的閉環(huán)管理流程，實(shí)現(xiàn)釣魚(yú)網(wǎng)站的識(shí)別、審核、屏蔽。本系統(tǒng)可以保證全網(wǎng)域名的正常訪問(wèn)，降低互聯(lián)網(wǎng)用戶的業(yè)務(wù)投訴率，提高了互聯(lián)網(wǎng)業(yè)務(wù)感知。

3 DNS安全事件智能防護(hù)系統(tǒng)總體方案設(shè)計(jì)

3.1 系統(tǒng)設(shè)計(jì)的總體思路

本系統(tǒng)通過(guò)建立大型容災(zāi)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)單個(gè)及大規(guī)模域名解析故障時(shí)，及時(shí)恢復(fù)業(yè)務(wù)，同時(shí)通過(guò)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，建立疑似攻擊源自動(dòng)發(fā)現(xiàn)和處置機(jī)制。系統(tǒng)主要應(yīng)對(duì)以下幾類安全事件。

3.1.1 大規(guī)模解析異常事件

發(fā)生根服務(wù)器及大規(guī)模斷網(wǎng)事件時(shí)，DNS遞歸請(qǐng)求受阻，可采用人工方式將容災(zāi)數(shù)據(jù)庫(kù)中的數(shù)據(jù)全部回注至緩存系統(tǒng)，供正常域名解析請(qǐng)求使用。并設(shè)定特定TTL值，待故障恢復(fù)后緩存系統(tǒng)可自動(dòng)發(fā)起遞歸請(qǐng)求獲取網(wǎng)絡(luò)上的實(shí)際數(shù)據(jù)，從而有效保證DNS業(yè)務(wù)的穩(wěn)定性、可靠性。圖1為系統(tǒng)應(yīng)對(duì)大規(guī)模解析異常事件示意圖。

圖1 系統(tǒng)應(yīng)對(duì)大規(guī)模解析異常事件示意圖

3.1.2 域名劫持事件

通過(guò)預(yù)置重點(diǎn)域名清單，當(dāng)清單內(nèi)域名發(fā)生單個(gè)或多個(gè)域名解析異常，如緩存污染、配置錯(cuò)誤、域名過(guò)期等現(xiàn)象時(shí)，系統(tǒng)探針可偵測(cè)到異常情況，并自動(dòng)清除當(dāng)前緩存內(nèi)的解析結(jié)果，將該域名解析請(qǐng)求轉(zhuǎn)發(fā)至容災(zāi)數(shù)據(jù)庫(kù)獲取最近的正確數(shù)據(jù)。針對(duì)清單以外的域名，上述過(guò)程可通過(guò)手工切換。

3.1.3 疑似攻擊源預(yù)判處置

當(dāng)用戶訪問(wèn)包含釣魚(yú)網(wǎng)站等疑似攻擊源的鏈接時(shí)，系統(tǒng)對(duì)請(qǐng)求域名按照預(yù)先設(shè)置的反釣魚(yú)識(shí)別流程進(jìn)行掃描，當(dāng)域名被釣魚(yú)黑名單直接命中時(shí)，直接轉(zhuǎn)發(fā)用戶的請(qǐng)求至容災(zāi)數(shù)據(jù)庫(kù)，返回正確結(jié)果給用戶，并利用嵌入DNS系統(tǒng)的域名解析糾錯(cuò)功能向用戶推送訪問(wèn)警示頁(yè)面。當(dāng)域名在釣魚(yú)黑、白名單都未命中的情況下，通過(guò)域名字符串相似度匹配算法進(jìn)行釣魚(yú)網(wǎng)站初步辨別，再借助人工審核、域名/IP封堵方式實(shí)現(xiàn)釣魚(yú)網(wǎng)站主動(dòng)攔截，限制釣魚(yú)網(wǎng)站擴(kuò)散范圍。

3.2 系統(tǒng)主要功能模塊

系統(tǒng)拓?fù)鋱D如圖2所示，DNS安全事件智能防護(hù)系統(tǒng)，通過(guò)與DNS緩存系統(tǒng)聯(lián)動(dòng)實(shí)現(xiàn)智能防護(hù)功能。在緩存服務(wù)器端安裝探針，定時(shí)將域名解析的緩存結(jié)果保存至采集服務(wù)器，采集服務(wù)器對(duì)數(shù)據(jù)進(jìn)行匹配，整理后入庫(kù)留存。當(dāng)域名解析出現(xiàn)異常時(shí)，及時(shí)發(fā)揮容錯(cuò)功能，糾正異常解析結(jié)果。系統(tǒng)主要包括大型容災(zāi)、疑似攻擊源處置模塊。

圖2 系統(tǒng)拓?fù)鋱D

3.2.1 大型容災(zāi)容錯(cuò)模塊

為實(shí)現(xiàn)域名解析的容災(zāi)容錯(cuò)功能，該模塊主要包括數(shù)據(jù)采集、數(shù)據(jù)整理、數(shù)據(jù)分析及日志分析四類子模塊。大型容災(zāi)容錯(cuò)模塊如圖3所示。

數(shù)據(jù)采集：通過(guò)探針采集的方式將DNS緩存服務(wù)器內(nèi)的解析數(shù)據(jù)傳送給容災(zāi)系統(tǒng)，容災(zāi)系統(tǒng)獨(dú)立分析每一次DNS查詢請(qǐng)求與應(yīng)答結(jié)果，只在分析結(jié)果觸發(fā)容災(zāi)功能激活條件時(shí)，容災(zāi)系統(tǒng)才會(huì)向現(xiàn)網(wǎng)DNS緩存服務(wù)器發(fā)起回注請(qǐng)求，避免影響現(xiàn)網(wǎng)DNS正常運(yùn)行。

數(shù)據(jù)整理：容災(zāi)系統(tǒng)將采集到的DNS解析數(shù)據(jù)通過(guò)數(shù)據(jù)處理，按照統(tǒng)一格式保存在容災(zāi)數(shù)據(jù)庫(kù)內(nèi)。在數(shù)據(jù)保存前，需要進(jìn)行重復(fù)數(shù)據(jù)清理、新舊數(shù)據(jù)對(duì)比更新、增量數(shù)據(jù)保存、垃圾數(shù)據(jù)清理、備份策略制定等步驟，保證容災(zāi)數(shù)據(jù)庫(kù)中保存的數(shù)據(jù)是最新的、準(zhǔn)確的解析結(jié)果。

數(shù)據(jù)分析：數(shù)據(jù)分析模塊比照容災(zāi)功能激活條件，對(duì)數(shù)據(jù)采集模塊獲取的數(shù)據(jù)進(jìn)行實(shí)時(shí)分析處理。當(dāng)滿足條件時(shí)，數(shù)據(jù)分析模塊向DNS緩存服務(wù)器進(jìn)行數(shù)據(jù)回注操作，從而確保及時(shí)向用戶提供正確的解析結(jié)果。

日志分析：系統(tǒng)實(shí)時(shí)記錄容災(zāi)系統(tǒng)的存取記錄，并入庫(kù)保存3個(gè)月以上，便于事后跟蹤分析。

為解決查詢、回注等操作等操作，容錯(cuò)容災(zāi)系統(tǒng)設(shè)計(jì)了專門的采集、存儲(chǔ)、處理、查詢模塊，與現(xiàn)網(wǎng)DNS為旁路結(jié)構(gòu)，并互相打通解析數(shù)據(jù)采集、查詢、回注接口。

3.2.2 疑似攻擊源發(fā)現(xiàn)與處置模塊

圖3 大型容災(zāi)容錯(cuò)模塊

圖4 疑似攻擊源發(fā)現(xiàn)與處置模塊

該模塊主要包括釣魚(yú)網(wǎng)站一次識(shí)別、釣魚(yú)網(wǎng)站自動(dòng)審核、人工審核管制等3個(gè)重要環(huán)節(jié)。其中一次識(shí)別是基礎(chǔ)，需要從每日300億條DNS日志中鎖定疑似釣魚(yú)網(wǎng)站清單，用于后續(xù)的二次自動(dòng)篩選、三次人工審核。疑似攻擊源發(fā)現(xiàn)與處置模塊如圖4所示。

4 DNS安全事件智能防護(hù)系統(tǒng)實(shí)現(xiàn)

4.1 系統(tǒng)實(shí)現(xiàn)的技術(shù)手段

智能防護(hù)系統(tǒng)通過(guò)記錄和保存用戶查詢的全部正確結(jié)果，構(gòu)建一個(gè)可管理、可使用的大型數(shù)據(jù)庫(kù)，在域名授權(quán)體系部分或全部出現(xiàn)故障時(shí)，自動(dòng)引導(dǎo)用戶使用備份數(shù)據(jù)獲取查詢結(jié)果，保證區(qū)域內(nèi)互聯(lián)網(wǎng)正常運(yùn)行。

目前，系統(tǒng)主要通過(guò)以下幾種手段加以實(shí)現(xiàn)。

4.1.1 大型容災(zāi)備份

（1）個(gè)別域名容錯(cuò)機(jī)制

針對(duì)個(gè)別域名的容錯(cuò)，預(yù)先設(shè)置監(jiān)控時(shí)間間隔、糾錯(cuò)時(shí)間間隔等容錯(cuò)功能參數(shù)。

第一步：針對(duì)個(gè)別域名，自動(dòng)實(shí)時(shí)監(jiān)控DNS服務(wù)器上用戶的請(qǐng)求應(yīng)答狀態(tài)。第二步：對(duì)于不能獲得請(qǐng)求結(jié)果的域名或域，自動(dòng)切換至容錯(cuò)數(shù)據(jù)庫(kù)查詢結(jié)果，若存在則自動(dòng)將容錯(cuò)數(shù)據(jù)返回給用戶。第三步：若容錯(cuò)數(shù)據(jù)庫(kù)也沒(méi)有相應(yīng)記錄，則根據(jù)預(yù)定策略進(jìn)行本地?cái)r截，避免此類查詢?cè)斐蒁NS系統(tǒng)崩潰。第四步：當(dāng)上述查詢恢復(fù)正常時(shí)，自動(dòng)取消本地?cái)r截功能，實(shí)現(xiàn)流程閉環(huán)。

（2）大型容錯(cuò)數(shù)據(jù)庫(kù)

因域名數(shù)量之大直接決定容錯(cuò)數(shù)據(jù)的模塊，本系統(tǒng)按照DNS解析結(jié)果數(shù)據(jù)特征構(gòu)建支持大容量數(shù)據(jù)存儲(chǔ)和更新機(jī)制的數(shù)據(jù)庫(kù)系統(tǒng)，自動(dòng)保存采集過(guò)來(lái)的域名解析數(shù)據(jù)。所有解析數(shù)據(jù)根據(jù)預(yù)定策略進(jìn)行處理和更新，包括：TTL值修訂、無(wú)結(jié)果數(shù)據(jù)數(shù)據(jù)處理、過(guò)期數(shù)據(jù)清理等。

（3）數(shù)據(jù)加速器技術(shù)

建立數(shù)據(jù)加速器，為提高效率和保證數(shù)據(jù)庫(kù)系統(tǒng)負(fù)載，采用預(yù)裝載和高速緩存技術(shù)，提高數(shù)據(jù)讀取效率，可以滿足大規(guī)模網(wǎng)絡(luò)需要。

（4）域名解析接管功能

授權(quán)域名系統(tǒng)既分散又關(guān)聯(lián)，任何部分的故障或缺失都可能引發(fā)連鎖反應(yīng)，當(dāng)網(wǎng)絡(luò)故障、注冊(cè)代理機(jī)構(gòu)授權(quán)系統(tǒng)癱瘓、重要應(yīng)用域名故障等情況導(dǎo)致無(wú)法與上級(jí)域名系統(tǒng)通信時(shí)，極端情況下系統(tǒng)可以接管整個(gè)互聯(lián)網(wǎng)域名解析功能。

4.1.2 疑似攻擊源發(fā)現(xiàn)與處置

（1）釣魚(yú)網(wǎng)站一次識(shí)別

釣魚(yú)網(wǎng)站一次識(shí)別通過(guò)對(duì)容災(zāi)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，通過(guò)模糊匹配算法，高效識(shí)別、過(guò)濾與目標(biāo)網(wǎng)站可能相似的釣魚(yú)網(wǎng)站。一次識(shí)別功能主要涉及域名匹配算法、命中參數(shù)配置及黑白名單管理等技術(shù)關(guān)鍵點(diǎn)，直接影響釣魚(yú)網(wǎng)站一次識(shí)別效率與準(zhǔn)確性。

疑似域名匹配算法：根據(jù)目標(biāo)分析網(wǎng)站（一般為極有可能被釣魚(yú)者仿冒設(shè)計(jì)的金融理財(cái)、網(wǎng)銀和運(yùn)營(yíng)商網(wǎng)站）域名特征，開(kāi)發(fā)釣魚(yú)網(wǎng)站識(shí)別模式，我們方案中包括簡(jiǎn)單匹配、復(fù)雜匹配兩種匹配識(shí)別算法。以www.10086.cn網(wǎng)站為例，對(duì)該網(wǎng)站進(jìn)行反釣魚(yú)監(jiān)控，簡(jiǎn)單匹配直接通過(guò)真實(shí)網(wǎng)站域名的關(guān)鍵字符串進(jìn)行模糊或精準(zhǔn)查詢；針對(duì)某些釣魚(yú)網(wǎng)站利用相似字符（例如0代替O）達(dá)到以假亂真的情況，采用復(fù)雜匹配方式，從海量DNS請(qǐng)求中識(shí)別出更多可疑對(duì)象。

命中參數(shù)配置：在系統(tǒng)性能、處理時(shí)間、人工審核工作量等因素約束條件下，系統(tǒng)允許對(duì)DNS解析域名的掃描范圍通過(guò)參數(shù)設(shè)置方式進(jìn)行控制，例如可將訪問(wèn)量較小的域名直接過(guò)濾，重點(diǎn)關(guān)注訪問(wèn)次數(shù)多、影響面廣的網(wǎng)站域名。

黑白名單管理：為提高釣魚(yú)網(wǎng)站監(jiān)控系統(tǒng)效率，系統(tǒng)引入黑白名單管理機(jī)制。黑名單是前期通過(guò)識(shí)別、人工審核確認(rèn)為釣魚(yú)網(wǎng)站的域名，直接列入黑名單，減少可疑域名識(shí)別環(huán)節(jié)、降低人工審核工作量。白名單是通過(guò)官方認(rèn)證的合法域名清單列表，針對(duì)此類域名，系統(tǒng)直接跳過(guò)不進(jìn)行識(shí)別，提高釣魚(yú)網(wǎng)站監(jiān)測(cè)效率。

（2）疑似網(wǎng)站自動(dòng)審核

基于容災(zāi)數(shù)據(jù)庫(kù)分析出的疑似釣魚(yú)網(wǎng)站往往比較多，目前系統(tǒng)日平均發(fā)現(xiàn)的疑似釣魚(yú)網(wǎng)站在2 000個(gè)左右，直接送至人工審核工作量巨大。通過(guò)進(jìn)一步分析研究發(fā)現(xiàn)釣魚(yú)網(wǎng)站內(nèi)容往往具備某些特征，例如頁(yè)面內(nèi)容中包含“中獎(jiǎng)、禮品”等誘導(dǎo)信息的概率較大，通過(guò)打通與互聯(lián)網(wǎng)內(nèi)容資源撥測(cè)系統(tǒng)接口，利用釣魚(yú)網(wǎng)站特征庫(kù)，實(shí)現(xiàn)對(duì)釣魚(yú)一次識(shí)別結(jié)果的自動(dòng)化篩選，大幅提高審核工作效率。

（3）人工審核管制

以疑似網(wǎng)站自動(dòng)審核輸出的非?？梢删W(wǎng)站域名為對(duì)象，通過(guò)人工方式逐一訪問(wèn)可疑網(wǎng)站，利用網(wǎng)站備案、網(wǎng)頁(yè)內(nèi)容、域名所有者等相關(guān)信息詳細(xì)審查、確認(rèn)，針對(duì)最終確認(rèn)的釣魚(yú)網(wǎng)站，通過(guò)網(wǎng)絡(luò)IP、域名封堵方式嚴(yán)控釣魚(yú)網(wǎng)站訪問(wèn)，同時(shí)推送用戶警示信息。

4.2 系統(tǒng)的安全防護(hù)效果

對(duì)比其他DNS安全防護(hù)系統(tǒng)，本系統(tǒng)在實(shí)際運(yùn)用中具有以下幾項(xiàng)優(yōu)勢(shì)：

首先，防護(hù)數(shù)量級(jí)大，安徽移動(dòng)日均DNS請(qǐng)求量在百億規(guī)模（日均360億次左右），涉及域名達(dá)千萬(wàn)級(jí)別，本系統(tǒng)設(shè)計(jì)了6 T的容災(zāi)容錯(cuò)系統(tǒng)存儲(chǔ)，可實(shí)現(xiàn)對(duì)一個(gè)月內(nèi)全部解析結(jié)果的備份，達(dá)到上億級(jí)別的解析記錄，基本實(shí)現(xiàn)90%以上解析數(shù)據(jù)的覆蓋，最大限度滿足容錯(cuò)解析需求。

本系統(tǒng)還具備自愈能力強(qiáng)的優(yōu)勢(shì)，本系統(tǒng)采用分布式架構(gòu)，有效保證了上億數(shù)量級(jí)數(shù)據(jù)的處理能力。在發(fā)生大規(guī)模災(zāi)難性DNS安全事件時(shí)，通過(guò)自動(dòng)轉(zhuǎn)發(fā)及回注DNS緩存系統(tǒng)的方式，快速響應(yīng)異常域名解析的請(qǐng)求，響應(yīng)時(shí)間3 s以內(nèi)。

圖5 疑似網(wǎng)站自動(dòng)審核

系統(tǒng)具有細(xì)粒度異常域名自動(dòng)保護(hù)特點(diǎn)，當(dāng)單個(gè)精細(xì)域名解析異常時(shí)，系統(tǒng)探針可及時(shí)偵測(cè)到異常情況，并自動(dòng)將該域名解析請(qǐng)求轉(zhuǎn)發(fā)至容災(zāi)數(shù)據(jù)庫(kù)獲取最近的正確數(shù)據(jù)，全程無(wú)需手工干預(yù)。

系統(tǒng)智能預(yù)判準(zhǔn)確率高，通過(guò)對(duì)容災(zāi)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，有效識(shí)別疑似攻擊源的釣魚(yú)網(wǎng)站，當(dāng)用戶訪問(wèn)釣魚(yú)網(wǎng)站的鏈接時(shí)，當(dāng)域名被釣魚(yú)黑名單直接命中時(shí)，直接轉(zhuǎn)發(fā)用戶的請(qǐng)求至容災(zāi)數(shù)據(jù)庫(kù)，返回正確結(jié)果給用戶。釣魚(yú)網(wǎng)站預(yù)判通過(guò)簡(jiǎn)單匹配、復(fù)雜匹配兩種識(shí)別算法保證結(jié)果的準(zhǔn)確性，預(yù)判準(zhǔn)確率90%以上。

此外，本系統(tǒng)不改變DNS解析模式：本系統(tǒng)保留所有域名授權(quán)體系信息，在域名授權(quán)系統(tǒng)某個(gè)環(huán)節(jié)出現(xiàn)故障時(shí)，DNS系統(tǒng)可以維持與原來(lái)正常工作狀態(tài)相同的工作模式，在災(zāi)備中心獲取授權(quán)信息，通過(guò)正常遞歸獲取遞歸結(jié)果，依然保留了域名授權(quán)體系的倒掛樹(shù)狀結(jié)構(gòu)。

目前DNS智能防護(hù)系統(tǒng)已投入現(xiàn)網(wǎng)使用，日均轉(zhuǎn)發(fā)異常解析域名至容錯(cuò)系統(tǒng)100個(gè)以上，月均發(fā)現(xiàn)疑似釣魚(yú)類網(wǎng)站40個(gè)，大幅提升DNS解析正確率和安全性。在系統(tǒng)未投入使用前，依靠人工分析和用戶投訴，平均因域名解析異常導(dǎo)致的投訴5例/日；系統(tǒng)使用后，通過(guò)問(wèn)題預(yù)發(fā)現(xiàn)，此類投訴降至1例以內(nèi)。此外，很大程度上提升了效率，系統(tǒng)通過(guò)預(yù)發(fā)現(xiàn)解析異常問(wèn)題，單個(gè)域名解析異常投訴處理時(shí)長(zhǎng)由1 h降低至3 min以內(nèi)；系統(tǒng)通過(guò)自動(dòng)發(fā)現(xiàn)和封堵釣魚(yú)網(wǎng)站，將此類投訴處理時(shí)長(zhǎng)由2 h降低至10 min以內(nèi)；系統(tǒng)應(yīng)用后，月平均監(jiān)測(cè)定位40個(gè)釣魚(yú)網(wǎng)站，為未應(yīng)用系統(tǒng)前的5倍以上。本系統(tǒng)初步實(shí)現(xiàn)域名解析安全的集中化管理，已實(shí)現(xiàn)與省內(nèi)集中性能系統(tǒng)對(duì)接，日均派發(fā)預(yù)警工單5張，實(shí)現(xiàn)對(duì)重點(diǎn)DNS安全事件的自動(dòng)預(yù)警、自動(dòng)派發(fā)。

5 結(jié)論

本文提出的DNS安全智能防護(hù)系統(tǒng)的設(shè)計(jì)方案，通過(guò)建立大型容災(zāi)數(shù)據(jù)庫(kù)，實(shí)現(xiàn)單個(gè)及大規(guī)模域名解析故障時(shí)，及時(shí)恢復(fù)業(yè)務(wù)，同時(shí)通過(guò)數(shù)據(jù)庫(kù)中海量數(shù)據(jù)的分析，建立疑似攻擊源自動(dòng)發(fā)現(xiàn)和處置機(jī)制。

系統(tǒng)具備防護(hù)數(shù)量級(jí)大、自愈能力強(qiáng)、細(xì)粒度異常域名自動(dòng)保護(hù)、智能預(yù)判準(zhǔn)確率高、不改變DNS解析模式等優(yōu)勢(shì)，系統(tǒng)投入使用后，大幅提升DNS解析正確率和安全性，以及域名解析異常的發(fā)現(xiàn)及投訴處理效率。

[1] 胡寧， 鄧文平， 姚蘇. 互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào)， 2017，(3)：13-21.

[2] 王利霞. DNS安全現(xiàn)狀[J]. 計(jì)算機(jī)安全， 2011，(8)：65-68.

[3] 彭巍， 曹維華， 賀曉東. 大型運(yùn)營(yíng)商DNS智能解析關(guān)鍵技術(shù)及方案[J]. 電信科學(xué)， 2016，(1)：159-163.

[4] 陳文文， 吳開(kāi)超. 海量域名日志數(shù)據(jù)分析與可視化研究及應(yīng)用[J]. 計(jì)算機(jī)應(yīng)用研究， 2016，(2)：335-338.

Research on intelligent protection system of DNS security for large scale catastrophic

CHEN Zeng-sheng
(China Mobile Group Anhui Co., Ltd., Hefei 230009, China)

With the rapid development of internet services, the application problems about domain names solution continue to appear. As the most important Internet based services, the security risks of DNS have become increasingly prominent. The intelligent protection system of DNS security for large scale catastrophic which presented in this paper, can resume the service by the establishment of large-scale disaster database when single or lots of domain names resolution failure. And at the same time, through the analysis of massive data in database, the system establish the automatic discovery and disposal mechanism for suspected attack source, to achieve substantial increase in DNS parsing accuracy, security and complaint handling ef fi ciency.

DNS; attack; security protection; domain monitor; disaster tolerant

TN915

A

1008-5599（2017）09-0078-06

2017-02-28