陳曾勝

（中國移動通信集團安徽有限公司，合肥 230009）

大規(guī)模災(zāi)難性DNS安全事件智能防護系統(tǒng)設(shè)計研究

陳曾勝

（中國移動通信集團安徽有限公司，合肥 230009）

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，基于域名解析的應(yīng)用問題層出不窮，DNS作為互聯(lián)網(wǎng)最重要的基礎(chǔ)服務(wù)，其安全隱患也日益突出，本文設(shè)計了一種大規(guī)模災(zāi)難性DNS安全事件智能防護系統(tǒng)，通過建立大型容災(zāi)數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復(fù)業(yè)務(wù)，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制，系統(tǒng)可實現(xiàn)大幅提升DNS解析正確率、安全性及投訴處理效率。

DNS；攻擊；安全防護；域名監(jiān)控；容災(zāi)容錯

1 引言

DNS作為互聯(lián)網(wǎng)最重要的基礎(chǔ)服務(wù)，其安全隱患也日益突出。DNS服務(wù)一般分為緩存、遞歸和授權(quán)，緩存服務(wù)器主要承擔用戶的解析請求，遞歸服務(wù)器負責向外部進行域名的遞歸查詢，授權(quán)服務(wù)器則承擔其他DNS服務(wù)對本地域名的查詢服務(wù)。DNS是全球最分散的數(shù)據(jù)庫，域名信息遍布在無數(shù)授權(quán)服務(wù)器上，易受網(wǎng)絡(luò)故障、惡意攻擊等事件的影響。作為一個開放系統(tǒng)，DNS主要面臨著個別域名授權(quán)服務(wù)器攻擊、根DNS系統(tǒng)攻擊、網(wǎng)絡(luò)故障、域名劫持、疑似攻擊源等5類安全威脅與風(fēng)險，而對DNS系統(tǒng)而言，傳統(tǒng)的防護方法主要是通過防火墻、流量清洗等方式實現(xiàn)攻擊防護，或通過深度數(shù)據(jù)分組檢測對應(yīng)用層協(xié)議進行檢查過濾的方法實現(xiàn)對DNS架構(gòu)安全的進一步防護。但對于斷網(wǎng)、封鎖以及根服務(wù)器故障等各種大規(guī)模災(zāi)難性DNS解析事件，目前運營商DNS系統(tǒng)尚無完整的自動發(fā)現(xiàn)、恢復(fù)域名解析的系統(tǒng)。為進一步加強DNS系統(tǒng)安全及容災(zāi)能力，有效應(yīng)對突發(fā)的災(zāi)難性DNS安全事件，本文提出了一種DNS安全智能防護系統(tǒng)的設(shè)計方案，通過建立大型容災(zāi)數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復(fù)業(yè)務(wù)，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。

2 DNS安全防護的現(xiàn)狀與理論

當前，DNS面臨的風(fēng)險很多，如DoS/DDoS攻擊、緩沖投毒攻擊、放大式攻擊、互聯(lián)網(wǎng)域名攻擊等。這些風(fēng)險中引發(fā)的事件，多數(shù)由于管理環(huán)節(jié)的疏漏，以及DNS配置復(fù)雜性、缺乏一個有效的快速更新機制等原因引起，使得運營商DNS系統(tǒng)無法正常運行，最終導(dǎo)致Internet通信受到嚴重影響。DNS在設(shè)計之初并沒有系統(tǒng)考慮安全問題，作為一個開放系統(tǒng)，DNS明顯存在未授權(quán)信息的泄漏問題，同時也缺乏有效的接入控制。歷史上幾次典型的攻擊事件，如暴風(fēng)影音事件、百度域名劫持、瑞典頂級域名“.se”故障等等，對當時的互聯(lián)網(wǎng)安全都產(chǎn)生了嚴峻的挑戰(zhàn)。為確保DNS系統(tǒng)的安全性，需要及時為系統(tǒng)添加補丁，并進一步完善配置。同時針對因遞歸攻擊等導(dǎo)致的服務(wù)響應(yīng)遲緩甚至服務(wù)癱瘓等問題，需要采用高可用性的安全架構(gòu)保證DNS服務(wù)的安全性和穩(wěn)定性。

對DNS系統(tǒng)安全而言，傳統(tǒng)的方法只考慮系統(tǒng)本身的安全防護，如通過防火墻、流量清洗等方式實現(xiàn)攻擊防護，或通過深度數(shù)據(jù)分組檢測對應(yīng)用層協(xié)議進行檢查過濾的方法實現(xiàn)對DNS架構(gòu)安全的進一步防護。但是對于大規(guī)模斷網(wǎng)、封鎖以及大型注冊代理商系統(tǒng)崩潰等各種影響域名系統(tǒng)安全和穩(wěn)定的事件，上述方法無法完全確保DNS系統(tǒng)服務(wù)的安全性、可靠性。此外對于某個特定域名出現(xiàn)解析異常時，目前DNS系統(tǒng)無法自動發(fā)現(xiàn)、恢復(fù)域名解析結(jié)果，從而影響互聯(lián)網(wǎng)用戶感知，因此具有一定的缺失性。

本文提出的大規(guī)模災(zāi)難性DNS安全事件智能防護系統(tǒng)，旨在及時發(fā)現(xiàn)和自動處理個別、大批量域名解析失敗問題以保證DNS服務(wù)的穩(wěn)定性、可靠性。本系統(tǒng)可解決不同安全事件造成域名解析失敗的問題，一是應(yīng)對復(fù)雜的域名安全形勢，自動處理異常域名避免域名系統(tǒng)故障，提高用戶體驗；二是解決大規(guī)模故障時，自動接管全部遞歸查詢，直接返回用戶結(jié)果，保證省內(nèi)互聯(lián)網(wǎng)業(yè)務(wù)的正常運行。此外還可以提升疑似攻擊源的預(yù)判手段，自動化識別釣魚類網(wǎng)站，通過規(guī)范化、流程化、系統(tǒng)化手段，建立釣魚類網(wǎng)站事前預(yù)警、事中管控、事后防范的閉環(huán)管理流程，實現(xiàn)釣魚網(wǎng)站的識別、審核、屏蔽。本系統(tǒng)可以保證全網(wǎng)域名的正常訪問，降低互聯(lián)網(wǎng)用戶的業(yè)務(wù)投訴率，提高了互聯(lián)網(wǎng)業(yè)務(wù)感知。

3 DNS安全事件智能防護系統(tǒng)總體方案設(shè)計

3.1 系統(tǒng)設(shè)計的總體思路

本系統(tǒng)通過建立大型容災(zāi)數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復(fù)業(yè)務(wù)，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。系統(tǒng)主要應(yīng)對以下幾類安全事件。

3.1.1 大規(guī)模解析異常事件

發(fā)生根服務(wù)器及大規(guī)模斷網(wǎng)事件時，DNS遞歸請求受阻，可采用人工方式將容災(zāi)數(shù)據(jù)庫中的數(shù)據(jù)全部回注至緩存系統(tǒng)，供正常域名解析請求使用。并設(shè)定特定TTL值，待故障恢復(fù)后緩存系統(tǒng)可自動發(fā)起遞歸請求獲取網(wǎng)絡(luò)上的實際數(shù)據(jù)，從而有效保證DNS業(yè)務(wù)的穩(wěn)定性、可靠性。圖1為系統(tǒng)應(yīng)對大規(guī)模解析異常事件示意圖。

圖1 系統(tǒng)應(yīng)對大規(guī)模解析異常事件示意圖

3.1.2 域名劫持事件

通過預(yù)置重點域名清單，當清單內(nèi)域名發(fā)生單個或多個域名解析異常，如緩存污染、配置錯誤、域名過期等現(xiàn)象時，系統(tǒng)探針可偵測到異常情況，并自動清除當前緩存內(nèi)的解析結(jié)果，將該域名解析請求轉(zhuǎn)發(fā)至容災(zāi)數(shù)據(jù)庫獲取最近的正確數(shù)據(jù)。針對清單以外的域名，上述過程可通過手工切換。

3.1.3 疑似攻擊源預(yù)判處置

當用戶訪問包含釣魚網(wǎng)站等疑似攻擊源的鏈接時，系統(tǒng)對請求域名按照預(yù)先設(shè)置的反釣魚識別流程進行掃描，當域名被釣魚黑名單直接命中時，直接轉(zhuǎn)發(fā)用戶的請求至容災(zāi)數(shù)據(jù)庫，返回正確結(jié)果給用戶，并利用嵌入DNS系統(tǒng)的域名解析糾錯功能向用戶推送訪問警示頁面。當域名在釣魚黑、白名單都未命中的情況下，通過域名字符串相似度匹配算法進行釣魚網(wǎng)站初步辨別，再借助人工審核、域名/IP封堵方式實現(xiàn)釣魚網(wǎng)站主動攔截，限制釣魚網(wǎng)站擴散范圍。

3.2 系統(tǒng)主要功能模塊

系統(tǒng)拓撲圖如圖2所示，DNS安全事件智能防護系統(tǒng)，通過與DNS緩存系統(tǒng)聯(lián)動實現(xiàn)智能防護功能。在緩存服務(wù)器端安裝探針，定時將域名解析的緩存結(jié)果保存至采集服務(wù)器，采集服務(wù)器對數(shù)據(jù)進行匹配，整理后入庫留存。當域名解析出現(xiàn)異常時，及時發(fā)揮容錯功能，糾正異常解析結(jié)果。系統(tǒng)主要包括大型容災(zāi)、疑似攻擊源處置模塊。

圖2 系統(tǒng)拓撲圖

3.2.1 大型容災(zāi)容錯模塊

為實現(xiàn)域名解析的容災(zāi)容錯功能，該模塊主要包括數(shù)據(jù)采集、數(shù)據(jù)整理、數(shù)據(jù)分析及日志分析四類子模塊。大型容災(zāi)容錯模塊如圖3所示。

數(shù)據(jù)采集：通過探針采集的方式將DNS緩存服務(wù)器內(nèi)的解析數(shù)據(jù)傳送給容災(zāi)系統(tǒng)，容災(zāi)系統(tǒng)獨立分析每一次DNS查詢請求與應(yīng)答結(jié)果，只在分析結(jié)果觸發(fā)容災(zāi)功能激活條件時，容災(zāi)系統(tǒng)才會向現(xiàn)網(wǎng)DNS緩存服務(wù)器發(fā)起回注請求，避免影響現(xiàn)網(wǎng)DNS正常運行。

數(shù)據(jù)整理：容災(zāi)系統(tǒng)將采集到的DNS解析數(shù)據(jù)通過數(shù)據(jù)處理，按照統(tǒng)一格式保存在容災(zāi)數(shù)據(jù)庫內(nèi)。在數(shù)據(jù)保存前，需要進行重復(fù)數(shù)據(jù)清理、新舊數(shù)據(jù)對比更新、增量數(shù)據(jù)保存、垃圾數(shù)據(jù)清理、備份策略制定等步驟，保證容災(zāi)數(shù)據(jù)庫中保存的數(shù)據(jù)是最新的、準確的解析結(jié)果。

數(shù)據(jù)分析：數(shù)據(jù)分析模塊比照容災(zāi)功能激活條件，對數(shù)據(jù)采集模塊獲取的數(shù)據(jù)進行實時分析處理。當滿足條件時，數(shù)據(jù)分析模塊向DNS緩存服務(wù)器進行數(shù)據(jù)回注操作，從而確保及時向用戶提供正確的解析結(jié)果。

日志分析：系統(tǒng)實時記錄容災(zāi)系統(tǒng)的存取記錄，并入庫保存3個月以上，便于事后跟蹤分析。

為解決查詢、回注等操作等操作，容錯容災(zāi)系統(tǒng)設(shè)計了專門的采集、存儲、處理、查詢模塊，與現(xiàn)網(wǎng)DNS為旁路結(jié)構(gòu)，并互相打通解析數(shù)據(jù)采集、查詢、回注接口。

3.2.2 疑似攻擊源發(fā)現(xiàn)與處置模塊

圖3 大型容災(zāi)容錯模塊

圖4 疑似攻擊源發(fā)現(xiàn)與處置模塊

該模塊主要包括釣魚網(wǎng)站一次識別、釣魚網(wǎng)站自動審核、人工審核管制等3個重要環(huán)節(jié)。其中一次識別是基礎(chǔ)，需要從每日300億條DNS日志中鎖定疑似釣魚網(wǎng)站清單，用于后續(xù)的二次自動篩選、三次人工審核。疑似攻擊源發(fā)現(xiàn)與處置模塊如圖4所示。

4 DNS安全事件智能防護系統(tǒng)實現(xiàn)

4.1 系統(tǒng)實現(xiàn)的技術(shù)手段

智能防護系統(tǒng)通過記錄和保存用戶查詢的全部正確結(jié)果，構(gòu)建一個可管理、可使用的大型數(shù)據(jù)庫，在域名授權(quán)體系部分或全部出現(xiàn)故障時，自動引導(dǎo)用戶使用備份數(shù)據(jù)獲取查詢結(jié)果，保證區(qū)域內(nèi)互聯(lián)網(wǎng)正常運行。

目前，系統(tǒng)主要通過以下幾種手段加以實現(xiàn)。

4.1.1 大型容災(zāi)備份

（1）個別域名容錯機制

針對個別域名的容錯，預(yù)先設(shè)置監(jiān)控時間間隔、糾錯時間間隔等容錯功能參數(shù)。

第一步：針對個別域名，自動實時監(jiān)控DNS服務(wù)器上用戶的請求應(yīng)答狀態(tài)。第二步：對于不能獲得請求結(jié)果的域名或域，自動切換至容錯數(shù)據(jù)庫查詢結(jié)果，若存在則自動將容錯數(shù)據(jù)返回給用戶。第三步：若容錯數(shù)據(jù)庫也沒有相應(yīng)記錄，則根據(jù)預(yù)定策略進行本地攔截，避免此類查詢造成DNS系統(tǒng)崩潰。第四步：當上述查詢恢復(fù)正常時，自動取消本地攔截功能，實現(xiàn)流程閉環(huán)。

（2）大型容錯數(shù)據(jù)庫

因域名數(shù)量之大直接決定容錯數(shù)據(jù)的模塊，本系統(tǒng)按照DNS解析結(jié)果數(shù)據(jù)特征構(gòu)建支持大容量數(shù)據(jù)存儲和更新機制的數(shù)據(jù)庫系統(tǒng)，自動保存采集過來的域名解析數(shù)據(jù)。所有解析數(shù)據(jù)根據(jù)預(yù)定策略進行處理和更新，包括：TTL值修訂、無結(jié)果數(shù)據(jù)數(shù)據(jù)處理、過期數(shù)據(jù)清理等。

（3）數(shù)據(jù)加速器技術(shù)

建立數(shù)據(jù)加速器，為提高效率和保證數(shù)據(jù)庫系統(tǒng)負載，采用預(yù)裝載和高速緩存技術(shù)，提高數(shù)據(jù)讀取效率，可以滿足大規(guī)模網(wǎng)絡(luò)需要。

（4）域名解析接管功能

授權(quán)域名系統(tǒng)既分散又關(guān)聯(lián)，任何部分的故障或缺失都可能引發(fā)連鎖反應(yīng)，當網(wǎng)絡(luò)故障、注冊代理機構(gòu)授權(quán)系統(tǒng)癱瘓、重要應(yīng)用域名故障等情況導(dǎo)致無法與上級域名系統(tǒng)通信時，極端情況下系統(tǒng)可以接管整個互聯(lián)網(wǎng)域名解析功能。

4.1.2 疑似攻擊源發(fā)現(xiàn)與處置

（1）釣魚網(wǎng)站一次識別

釣魚網(wǎng)站一次識別通過對容災(zāi)數(shù)據(jù)庫中海量數(shù)據(jù)的分析，通過模糊匹配算法，高效識別、過濾與目標網(wǎng)站可能相似的釣魚網(wǎng)站。一次識別功能主要涉及域名匹配算法、命中參數(shù)配置及黑白名單管理等技術(shù)關(guān)鍵點，直接影響釣魚網(wǎng)站一次識別效率與準確性。

疑似域名匹配算法：根據(jù)目標分析網(wǎng)站（一般為極有可能被釣魚者仿冒設(shè)計的金融理財、網(wǎng)銀和運營商網(wǎng)站）域名特征，開發(fā)釣魚網(wǎng)站識別模式，我們方案中包括簡單匹配、復(fù)雜匹配兩種匹配識別算法。以www.10086.cn網(wǎng)站為例，對該網(wǎng)站進行反釣魚監(jiān)控，簡單匹配直接通過真實網(wǎng)站域名的關(guān)鍵字符串進行模糊或精準查詢；針對某些釣魚網(wǎng)站利用相似字符（例如0代替O）達到以假亂真的情況，采用復(fù)雜匹配方式，從海量DNS請求中識別出更多可疑對象。

命中參數(shù)配置：在系統(tǒng)性能、處理時間、人工審核工作量等因素約束條件下，系統(tǒng)允許對DNS解析域名的掃描范圍通過參數(shù)設(shè)置方式進行控制，例如可將訪問量較小的域名直接過濾，重點關(guān)注訪問次數(shù)多、影響面廣的網(wǎng)站域名。

黑白名單管理：為提高釣魚網(wǎng)站監(jiān)控系統(tǒng)效率，系統(tǒng)引入黑白名單管理機制。黑名單是前期通過識別、人工審核確認為釣魚網(wǎng)站的域名，直接列入黑名單，減少可疑域名識別環(huán)節(jié)、降低人工審核工作量。白名單是通過官方認證的合法域名清單列表，針對此類域名，系統(tǒng)直接跳過不進行識別，提高釣魚網(wǎng)站監(jiān)測效率。

（2）疑似網(wǎng)站自動審核

基于容災(zāi)數(shù)據(jù)庫分析出的疑似釣魚網(wǎng)站往往比較多，目前系統(tǒng)日平均發(fā)現(xiàn)的疑似釣魚網(wǎng)站在2 000個左右，直接送至人工審核工作量巨大。通過進一步分析研究發(fā)現(xiàn)釣魚網(wǎng)站內(nèi)容往往具備某些特征，例如頁面內(nèi)容中包含“中獎、禮品”等誘導(dǎo)信息的概率較大，通過打通與互聯(lián)網(wǎng)內(nèi)容資源撥測系統(tǒng)接口，利用釣魚網(wǎng)站特征庫，實現(xiàn)對釣魚一次識別結(jié)果的自動化篩選，大幅提高審核工作效率。

（3）人工審核管制

以疑似網(wǎng)站自動審核輸出的非?？梢删W(wǎng)站域名為對象，通過人工方式逐一訪問可疑網(wǎng)站，利用網(wǎng)站備案、網(wǎng)頁內(nèi)容、域名所有者等相關(guān)信息詳細審查、確認，針對最終確認的釣魚網(wǎng)站，通過網(wǎng)絡(luò)IP、域名封堵方式嚴控釣魚網(wǎng)站訪問，同時推送用戶警示信息。

4.2 系統(tǒng)的安全防護效果

對比其他DNS安全防護系統(tǒng)，本系統(tǒng)在實際運用中具有以下幾項優(yōu)勢：

首先，防護數(shù)量級大，安徽移動日均DNS請求量在百億規(guī)模（日均360億次左右），涉及域名達千萬級別，本系統(tǒng)設(shè)計了6 T的容災(zāi)容錯系統(tǒng)存儲，可實現(xiàn)對一個月內(nèi)全部解析結(jié)果的備份，達到上億級別的解析記錄，基本實現(xiàn)90%以上解析數(shù)據(jù)的覆蓋，最大限度滿足容錯解析需求。

本系統(tǒng)還具備自愈能力強的優(yōu)勢，本系統(tǒng)采用分布式架構(gòu)，有效保證了上億數(shù)量級數(shù)據(jù)的處理能力。在發(fā)生大規(guī)模災(zāi)難性DNS安全事件時，通過自動轉(zhuǎn)發(fā)及回注DNS緩存系統(tǒng)的方式，快速響應(yīng)異常域名解析的請求，響應(yīng)時間3 s以內(nèi)。

圖5 疑似網(wǎng)站自動審核

系統(tǒng)具有細粒度異常域名自動保護特點，當單個精細域名解析異常時，系統(tǒng)探針可及時偵測到異常情況，并自動將該域名解析請求轉(zhuǎn)發(fā)至容災(zāi)數(shù)據(jù)庫獲取最近的正確數(shù)據(jù)，全程無需手工干預(yù)。

系統(tǒng)智能預(yù)判準確率高，通過對容災(zāi)數(shù)據(jù)庫中海量數(shù)據(jù)的分析，有效識別疑似攻擊源的釣魚網(wǎng)站，當用戶訪問釣魚網(wǎng)站的鏈接時，當域名被釣魚黑名單直接命中時，直接轉(zhuǎn)發(fā)用戶的請求至容災(zāi)數(shù)據(jù)庫，返回正確結(jié)果給用戶。釣魚網(wǎng)站預(yù)判通過簡單匹配、復(fù)雜匹配兩種識別算法保證結(jié)果的準確性，預(yù)判準確率90%以上。

此外，本系統(tǒng)不改變DNS解析模式：本系統(tǒng)保留所有域名授權(quán)體系信息，在域名授權(quán)系統(tǒng)某個環(huán)節(jié)出現(xiàn)故障時，DNS系統(tǒng)可以維持與原來正常工作狀態(tài)相同的工作模式，在災(zāi)備中心獲取授權(quán)信息，通過正常遞歸獲取遞歸結(jié)果，依然保留了域名授權(quán)體系的倒掛樹狀結(jié)構(gòu)。

目前DNS智能防護系統(tǒng)已投入現(xiàn)網(wǎng)使用，日均轉(zhuǎn)發(fā)異常解析域名至容錯系統(tǒng)100個以上，月均發(fā)現(xiàn)疑似釣魚類網(wǎng)站40個，大幅提升DNS解析正確率和安全性。在系統(tǒng)未投入使用前，依靠人工分析和用戶投訴，平均因域名解析異常導(dǎo)致的投訴5例/日；系統(tǒng)使用后，通過問題預(yù)發(fā)現(xiàn)，此類投訴降至1例以內(nèi)。此外，很大程度上提升了效率，系統(tǒng)通過預(yù)發(fā)現(xiàn)解析異常問題，單個域名解析異常投訴處理時長由1 h降低至3 min以內(nèi)；系統(tǒng)通過自動發(fā)現(xiàn)和封堵釣魚網(wǎng)站，將此類投訴處理時長由2 h降低至10 min以內(nèi)；系統(tǒng)應(yīng)用后，月平均監(jiān)測定位40個釣魚網(wǎng)站，為未應(yīng)用系統(tǒng)前的5倍以上。本系統(tǒng)初步實現(xiàn)域名解析安全的集中化管理，已實現(xiàn)與省內(nèi)集中性能系統(tǒng)對接，日均派發(fā)預(yù)警工單5張，實現(xiàn)對重點DNS安全事件的自動預(yù)警、自動派發(fā)。

5 結(jié)論

本文提出的DNS安全智能防護系統(tǒng)的設(shè)計方案，通過建立大型容災(zāi)數(shù)據(jù)庫，實現(xiàn)單個及大規(guī)模域名解析故障時，及時恢復(fù)業(yè)務(wù)，同時通過數(shù)據(jù)庫中海量數(shù)據(jù)的分析，建立疑似攻擊源自動發(fā)現(xiàn)和處置機制。

系統(tǒng)具備防護數(shù)量級大、自愈能力強、細粒度異常域名自動保護、智能預(yù)判準確率高、不改變DNS解析模式等優(yōu)勢，系統(tǒng)投入使用后，大幅提升DNS解析正確率和安全性，以及域名解析異常的發(fā)現(xiàn)及投訴處理效率。

[1] 胡寧， 鄧文平， 姚蘇. 互聯(lián)網(wǎng)DNS安全研究現(xiàn)狀與挑戰(zhàn)[J]. 網(wǎng)絡(luò)與信息安全學(xué)報， 2017，(3)：13-21.

[2] 王利霞. DNS安全現(xiàn)狀[J]. 計算機安全， 2011，(8)：65-68.

[3] 彭巍， 曹維華， 賀曉東. 大型運營商DNS智能解析關(guān)鍵技術(shù)及方案[J]. 電信科學(xué)， 2016，(1)：159-163.

[4] 陳文文， 吳開超. 海量域名日志數(shù)據(jù)分析與可視化研究及應(yīng)用[J]. 計算機應(yīng)用研究， 2016，(2)：335-338.

Research on intelligent protection system of DNS security for large scale catastrophic

CHEN Zeng-sheng
(China Mobile Group Anhui Co., Ltd., Hefei 230009, China)

With the rapid development of internet services, the application problems about domain names solution continue to appear. As the most important Internet based services, the security risks of DNS have become increasingly prominent. The intelligent protection system of DNS security for large scale catastrophic which presented in this paper, can resume the service by the establishment of large-scale disaster database when single or lots of domain names resolution failure. And at the same time, through the analysis of massive data in database, the system establish the automatic discovery and disposal mechanism for suspected attack source, to achieve substantial increase in DNS parsing accuracy, security and complaint handling ef fi ciency.

DNS; attack; security protection; domain monitor; disaster tolerant

TN915

A

1008-5599（2017）09-0078-06

2017-02-28