本发明专利技术公开了一种DNS防御系统中异构体的调用方法,包括:步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。极大地提高了拟态DNS防御系统的安全性、可用性、稳定性。
【技术实现步骤摘要】
一种DNS防御系统中异构体的调用方法
本专利技术属于网络技术、拟态DNS防御系统
,具体涉及一种选调模块的优选方法。
技术介绍
随着信息化的高速发展,网络空间安全问题日益严峻,各种各类的信息安全事件层出不穷。域名系统DNS,作为互联网最重要的基础设施之一,维护着域名体系和IP地址空间的映射关系,由于其与生俱来的互联网开放特性,近年来不可避免地受到未知漏洞和后门的影响,易受攻击。拟态安全防御系统采用动态异构冗余架构以及多模表决机制,极大地提高了系统地安全性和稳定性。拟态DNS防御系统利用多个服务器、多次查询和动态调度策略来增加整体的随机性。拟态安全防御系统由选调模块和异构体模块组成,异构体模块由若干运行不同DNS软件的服务器构成,选调模块完成数据分发功能和负责异构体选择和判决。异构体模块冗余性增加了攻击者漏洞挖掘的成本,而选调模块动态性则增加了攻击者系统探测时的不确定性,极大地降低了攻击者的成功率。选调模块是拟态DNS防御系统的核心模块,其中负责异构体选择和判决的算法是整个拟态DNS防御系统核心中的核心。在现有技术中,选调器按照策略从m个功能等价的异构构件中选取n个异构构件作为一个执行体集(A1,A2,…,An),每个执行体集中的各个执行体接收来自输入代理的输入请求,处理后的结果提交给选调器进行判决,裁决结果一致,则将结果给输出代理,若存在异常,则判决是否多数一致(多数情况下采用多模表决,也可结合策略表决进行再裁决),若满足将结果输出代理,若不满足,将随机选取一个结果输出代理。然而,现有技术方案的缺点:第一,选择异构构件的策略可能会有更新异常的问题,整个异构池中的异构构件有些一直在工作状态,而有些一直在等待状态,造成异构池资源分配不均,当遇到较大流量查询时,难以实现异构池中的负载均衡;第二,选调器的策略中没有过多的考虑异构构件的时延,异构体的时延直接影响客户的使用体验,也是体现DNS系统优劣的一个关键参数;第三,不同异构体会选取不同的DNS解析软件,这些软件自身的解析能力和时延具有很大的差别,如果采用同样的选调策略,极有可能造成某种解析软件的异构体总是被选调采用。
技术实现思路
本专利技术所要解决的技术问题是一种DNS防御系统中异构体的调用方法,极大地提高了拟态DNS防御系统的安全性、可用性、稳定性。本专利技术解决上述技术问题所采取的技术方案如下:一种DNS防御系统中异构体的调用方法,包括:步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。优选的是,步骤4)中,当异构体的当前权重值小于异构体池中的平均权重值时,则判定为失效异构体。优选的是,步骤1)中,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,包括:根据DNS解析软件本身的解析性能和时延给出一个初始权重值weight,这个值是固定不变的。优选的是,步骤2)中,总权重值计算方式如下:总权重w总=weight+current_weight;其中,异构池中异构体的当前权重值current_weight,其包括:异构体选取系数f与异构体可信度drelia的和,即current_weight=f+drelia,一开始为定义0,之后动态调整;其中,选取系数f的计算方法如下:首先定义参数:y1为异构体解析结果的采纳率,xn为RTT的往返延时时间,被采纳的解析条数为n0,进行的总的解析次数为n,α为一个常值,β为上一个数据的实际往返时间,在计算时可以当作一个常值处理;令xn=(1-α)*xn-1+α*β(2)根据(1)、(2)式,可以求得异构体的相关系数,即选取系数f=xn/y1;可信度drelia的计算方法如下:设异构体的集合为A,d∈A,d的可信度计算式如下:s的计算式如下,其中dnoa表示d解析的结果准确的次数:参数z取值为(0,1),反映了选调器对可疑异构体的敏感程度,即当异构体出现异常后,其可信度的下降程度;z值越小,异构体出现异常后可信度越低,下一个周期选取它的概率越小,系统安全性能也就越高。优选的是,步骤2)中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中,具体包括:遍历异构体池中所有异构体,获得每个异构体的当前权重值current_weight,并据此计算总权重w总;累加所有异构体的w总,并保存为tOtal;遍历完所有异构体之后,如果该异构体的当前权重值current_weight较大,就有更大的概率被选择到处理本次请求。本专利技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明下面结合附图对本专利技术进行详细的描述,以使得本专利技术的上述优点更加明确。其中,图1是本专利技术一种DNS防御系统中异构体的调用方法的流程示意图。具体实施方式以下将结合附图及实施例来详细说明本专利技术的实施方式,借此对本专利技术如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本专利技术中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本专利技术的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。具体来说,如图1所示,一种DNS防御系统中异构体的调用方法,包括:步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。其中,本专利技术旨在增加异构构件的解析时延作为选调策略的组成部分,同时考虑到不同异构体选取的不同DNS解析软件自身解析能力和时延的本文档来自技高网...
【技术保护点】
1.一种DNS防御系统中异构体的调用方法,其特征在于,包括:/n步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;/n步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;/n步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;/n步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。/n
【技术特征摘要】
1.一种DNS防御系统中异构体的调用方法,其特征在于,包括:
步骤1)在异构体初始化的时候,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,并据此形成异构体池;
步骤2)在异构体池中,选择当前权重值排在前面的特定多个异构体作为生效异构体,参与到拟态分发裁决中;
步骤3)定期对异构体上的特定域名进行解析,得出解析成功率和解析时延,并将这两种数据参与到当前权重值的计算中,不断更新异构体的总权重;
步骤4)当某一个异构体失效后,在异构体池中选择一个当前权重值最大的异构体作为生效异构体,继续参与到拟态分发裁决中。
2.根据权利要求1所述的DNS防御系统中异构体的调用方法,其特征在于,步骤4)中,当异构体的当前权重值小于异构体池中的平均权重值时,则判定为失效异构体。
3.根据权利要求1或2所述的DNS防御系统中异构体的调用方法,其特征在于,步骤1)中,根据异构体上安装的DNS解析软件种类,给异构体设定一个初始权重值,包括:
根据DNS解析软件本身的解析性能和时延给出一个初始权重值weight,这个值是固定不变的。
4.根据权利要求3所述的DNS防御系统中异构体的调用方法,其特征在于,步骤2)中,总权重值计算方式如下:
总权重w总=weight+current_weight;
其中,异构池中异构体的当前权重值current_weight,其包括:异构体选取系数f与异构体可信度drelia的和,即current_wei...
【专利技术属性】
技术研发人员:王立俊,贺磊,孙萍,张若鸿,
申请(专利权)人:北京润通丰华科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。