0 引言

域名解析系统(Domain Name System，DNS)是互联网中最为基础的网络设施，为广大网民提供着不可缺少的域名解析服务，并且是众多网络应用开始的第一步。DNS采用分布式架构，基于客户端/服务器(C/S)模式工作，使得域名与IP地址之间的映射与解析信息遍布在世界各地的授权服务器中，且DNS体系在设计之初未考虑到数据加密等安全性因素，容易受恶意攻击、人为配置错误等问题的影响[1-2]。随着DNSSEC[3]、恶意域名过滤[4-5]、ACL、黑白名单控制[6]等DNS安全防护技术的不断进步，多数网络运营商、电力、金融、政府机构等行业领域倾向于采用安全性更高、兼容性更好、硬件性能更加突出的专业DNS服务器[7]，实现IP地址与域名之间的解析，保证关键领域内DNS服务的可靠性。然而，由于DNS安全防护方法众多，各服务供应商提供的DNS产品配置与容灾部署方案不一，如何对DNS系统的安全状态作出准确的衡量，成为对DNS安全性要求较高的关键业务领域的网络运维人员尤为关心的问题。

事实上，前人在DNS系统的安全评估上已有过比较深入、有价值的研究，其中CASALICCHIO E等人基于Measuring the Naming System(MeNSa)项目提出了域名系统状态评估的思路[8]：首先要确定评估角度，其次要在特定的安全威胁场景中针对DNS运行问题和安全隐患制定特定的监测项，最后要根据多个监测项的值，综合量化得到DNS相关指标作为参考。在此思路的指导下，文献[9]提出采用层次分析法(Analytic Hierarchy Process，AHP)解决DNS系统安全状态监测项的权重计算问题。该方法通过集合低层的监控项的值得到高层的安全指标的值，且实验证实在各种监控项不断增加的情况下依然有效，具有良好的扩展性。然而文中在应用AHP方法时仅仅采用某一位专家的人为经验，对各监控指标进行两两对比，从而得到相对权重比，这一过程较难摆脱人为主观判断所带来的偏差。

本文详细内容请下载:http://www.chinaaet.com/resource/share/2000003557

作者信息:

姜  燕1，李  露1，胡  博2，许元斌3，杨  超4，董世丹傑3，杨泽坡1，李龙媚1

(1.北京中电飞华通信有限公司，北京100071；2.国网辽宁省电力有限公司，辽宁 沈阳110006；

3.国网信息通信产业集团有限公司，北京102209；4.国网大连供电公司，辽宁 大连116001)