[发明专利]一种DNS递归服务器的拟态安全方法及装置

说明书

本发明公开了一种DNS递归服务器的拟态安全方法及装置，克服了DNS递归服务器面临安全威胁的问题。该发明含有步骤1：接收用户查询请求，经SDN交换机将其引流至安全服务链，对其进行筛选、过滤及攻击检测，参数管理器获取攻击检测数据后向选调器下发对应的参数信息；步骤2：对选调器查询请求队列中的每个查询请求，选调模块依据参数管理器下发的参数、各个DNS服务器状态信息以及选调策略，选取若干DNS服务器发送查询请求；步骤3：判决模块接收DNS服务器的响应信息，对结果进行大数判决，并更新DNS服务器池中各个服务器的状态信息。本发明无需改变DNS协议和DNS查询响应流程，解决了递归服务器的缓存中毒。

技术领域

该发明涉及网络安全技术领域，特别是涉及一种DNS递归服务器的拟态安全方法及装置。

背景技术

域名系统（Domain Name System，DNS）是互联网上最为关键的基础设施之一，其主要作用是实现域名和IP地址的对应映射关系以及提供电子邮件的选路信息。因特网发展之初只有几百台主机，故只需一个主机文件即可包含所有主机和域名的映射信息。随着互联网的迅速发展，互联网用户的增加，网络规模大幅度扩大，流量负荷陡增使得该方法无法及时和正确地响应所有的查询请求。而后发展的域名系统则提供了域名与IP地址的映射服务，为网络用户提供了便利，这也使之成为互联网大量应用与服务运转正常的首要前提。

然而，人们在享受DNS服务器提供的便利的同时，也面临着巨大的安全风险。针对DNS服务器的攻击事件逐年增多，其中DNS递归服务器（本地服务器）成为攻击首要目标。由于DNS递归服务器的缓存机制，使其易受DNS缓存下毒攻击，一旦攻击者成功实施此类攻击，返回给网络用户攻击者预先设定的IP地址（钓鱼网站等），将会对网络用户的财产、信息安全造成极大的挑战。因此，急需一种能够保证DNS递归服务器安全、高效运作的安全框架。

发明内容

本发明克服了现有技术中，DNS递归服务器面临安全威胁的问题，提供一种安全性能高的DNS递归服务器的拟态安全方法及装置。

本发明的技术解决方案是，提供一种具有以下步骤的DNS递归服务器的拟态安全方法，含有步骤1：接收用户查询请求，经SDN交换机将其引流至安全服务链，对其进行筛选、过滤及攻击检测，参数管理器获取攻击检测数据后向选调器下发对应的参数信息；

步骤2：对选调器查询请求队列中的每个查询请求，选调模块依据参数管理器下发的参数、各个DNS服务器状态信息以及选调策略，选取若干DNS服务器发送查询请求；

步骤3：判决模块接收DNS服务器的响应信息，对结果进行大数判决，若通过判决，则将结果返回用户，反之，重新查询，并更新DNS服务器池中各个服务器的状态信息。

所述步骤1包含如下步骤：

步骤101：SDN控制器依据安全策略，通过流表管理器下发流表信息至SDN交换机将查询请求引流至响应安全服务链；

步骤102：请求依次通过防火墙，深度包检测，DNS攻击检测，进行筛选、过滤，然后将查询请求发往选调器，加入查询请求队列，并且参数管理器从DNS攻击检测服务获取数据处理后下发至选调器。

所述参数信息为DNS服务器状态信息的系数，即计算选取因子时可信度、负载量的系数及各种阈值。

选调模块包含如下步骤：

步骤201：获取各个DNS服务器的选取因子；

步骤202：判断所有选取因子超过阈值的DNS服务器个数是否大于等于3个：如果少于3个，则进入步骤203：随机模式下，随机选取一个DNS服务器发送查询请求；反之，则进入步骤204：异构冗余模式下，随机选取一个大于等于3的奇数n，从超过阈值的DNS服务器中依选取因子为概率选取出n个发送查询请求。