[发明专利]提高DNS系统安全性的方法及装置

说明书

本发明涉及网络通信技术领域，具体的涉及一种提高DNS系统安全性的方法及装置，包括控制器、一定数量的异构DNS等价执行体和输出判决器，所述控制器包括参数配置模块、策略生成模块、监控模块、输入代理模块以及调度执行模块，其中：所述策略生成模块用于为调度执行模块生成调度执行策略；所述调度执行模块用于为域名解析请求确定执行解析任务的多个异构DNS等价执行体；所述输出判决器根据多个异构DNS等价执行体的解析结果输出多数一致的解析结果，有效降低了由DNS欺骗、漏洞或后门等未知攻击成功的概率。与现有技术相比，本发明的方法及装置由于增加系统的动态性和不确定性，可以大大提高DNS系统的安全性能。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种提高DNS系统安全性的方法及装置。

背景技术

域名系统(Domain Name System, DNS)负责提供域名和IP地址之间的映射，是当前全球最大最复杂的分布式层次数据库系统。由于其开放、庞大、复杂的特性以及设计之初对于安全性的考虑不足，再加上认为破坏和攻击，DNS系统面临着非常严重的安全威胁。

DNS面临的安全威胁主要有DDoS（Distributed Denial of Service）攻击、DNS欺骗以及系统漏洞和后门。DDoS攻击通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源，造成被攻击网络无法处理合法用户的请求。DNS欺骗是由DNS服务器本身的设计导致的，DNS服务器只负责解析域名，不保证域名或者IP地址的正确，也就是说如果DNS接收了错误的信息，那么DNS就会作出错误的域名解析，从而引起安全问题。常见的DNS欺骗主要有缓存污染、DNS信息劫持和DNS重定向。DNS面临的另外一个威胁是由系统漏洞或后门引起的，系统漏洞或后门往往是未知的，面对这些未知的威胁，如何提高DNS系统的安全性成为亟待解决的问题。

DDoS攻击是网络面临的一个普遍问题，关于如何预防DDoS攻击目前已有许多研究成果，本发明主要针对DNS面临的另外两种安全威胁：DNS欺骗和系统漏洞与后门。传统的针对这两种DNS安全威胁的防御方法是增加DNS防火墙、入侵检测系统和漏洞修复策略等，这些方法都是被动的进行防御，对未知的攻击或者系统漏洞与后门显得无能为力。

发明内容

传统的针对这两种DNS安全威胁的防御方法是增加DNS防火墙、入侵检测系统和漏洞修复策略等，这些方法都是被动的进行防御，对未知的攻击或者系统漏洞与后门显得无能为力，本发明针对现有被动防御技术存在的这些问题，提出了一种提高DNS系统安全性的方法及装置。

本发明的技术方案是：一种提高DNS系统安全性的方法，主要包括为域名解析请求提供域名解析方法，该域名解析方法主要包括以下步骤：

步骤1：域名解析请求发送到控制器的调度执行模块；

步骤2：调度执行模块根据策略生成模块生成的调度策略，为该域名解析请求分配一定数量的异构DNS等价执行体执行域名解析任务；

步骤3：异构DNS等价执行体同时独立地执行域名解析任务；

步骤4：异构DNS等价执行体的输出结果同时发送到输出判决器，输出判决器比对异构DNS等价执行体的输出结果，依据多数一致的原则确定最终解析结果；

步骤5：将最终确定的域名解析结果反馈给域名解析请求者。

所述的提高DNS系统安全性的方法，所述策略生成模块生成的调度策略具体为：

步骤 201：策略生成模块首先要生成调度策略，并下发给调度执行模块；

步骤202：调度执行模块根据调度策略将域名解析请求分发给异构DNS等价执行体；

步骤203：被选择的异构DNS等价执行体独立执行域名解析；

步骤204：输出判决器对异构DNS执行体的解析结果进行择多判决；