（華南理工大學(xué)a.軟件學(xué)院；b.計算機(jī)科學(xué)與工程學(xué)院， 廣州 510006）

摘 要：分析當(dāng)前DNS系統(tǒng)安全在服務(wù)監(jiān)控統(tǒng)計方面的進(jìn)展及問題，設(shè)計一種基于Netfilter的多層次構(gòu)架實時監(jiān)控統(tǒng)計系統(tǒng)DRMSS。其利用Netfilter在Linux內(nèi)核空間實現(xiàn)DNS數(shù)據(jù)的實時過濾與解析，開發(fā)misc文件設(shè)備驅(qū)動模塊以提供內(nèi)核空間與用戶空間之間內(nèi)存映射，并結(jié)合讀寫同步算法，實現(xiàn)兩種空間之間數(shù)據(jù)的快速交換。實驗表明，DRMSS顯著提高了域名監(jiān)控統(tǒng)計的服務(wù)性能，增強(qiáng)了域名服務(wù)的安全性。

關(guān)鍵詞：域名服務(wù)；Netfilter；內(nèi)存映射；實時監(jiān)控

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A

文章編號：1001-3695(2009)04-1487-04

Design of DNS real-time monitor and statistics system based on Netfilter

WANG Zhen-yua，DENG Jin-fub

(a.School of Software Engineering，b.School of Computer Science Engineering， South China University of Technology， Guangzhou510006， China)

Abstract:By analyzing the current research status and problems of DNS security services in monitor and statistics fields， this paper designed and implemented a multi-level framework DNS real-time monitor system(DRMSS) based on Netfilter.It made use of netfilter to filter and analyze DNS services data in Linux kernel space， developed a misc file device driver module to provide memory mapping between kernel space and user space， and realized data exchange between two spaces by combining read-write synchronization algorithm.Experimental results indicate that DRMSS enhances the security of domain name services，and optimize performance of services.

Key words:DNS；Netfilter；memory mapping；real-time monitor

0 引言

域名服務(wù)系統(tǒng)（domain name system）是一種廣泛用于TCP/IP網(wǎng)絡(luò)的分布式域名服務(wù)，完成從主機(jī)域名到IP地址的映射關(guān)系的查詢。ISC BIND[1]及Foundation CNS[2]作為當(dāng)前主流域名服務(wù)軟件，由于開發(fā)著重點的局限，在服務(wù)統(tǒng)計監(jiān)控方面存在很多不足[3]。DNS服務(wù)器的實時監(jiān)控及異常自動處理等功能對于提高網(wǎng)絡(luò)的安全性和服務(wù)質(zhì)量非常必要，而服務(wù)數(shù)據(jù)的統(tǒng)計整合也能為企業(yè)的產(chǎn)品規(guī)劃戰(zhàn)略提供準(zhǔn)確的業(yè)務(wù)數(shù)據(jù)支持。

1 當(dāng)前研究進(jìn)展及問題

目前有許多軟件被用于限制惡性攻擊，但都是被動式的，在輸入DNS黑名單前需要人工辨別。Dnstop[4]、Des［5］等工具只能提供DNS數(shù)據(jù)中某一方面的計數(shù)，因此缺少相關(guān)的調(diào)查分析能力，也不能簡單地分辨出感興趣的趨勢。

通用DNS應(yīng)用軟件BIND、CNS提供的日志數(shù)據(jù)包含很多關(guān)鍵信息，這些信息能夠幫助定位一部分安全問題。但是，手工處理這些日志文件是個很繁瑣而低效的工作。擴(kuò)展的日志監(jiān)視工具僅將重心放在處理具體領(lǐng)域，或者用于查看特定域名的手工列表，而特定的日志事件要實現(xiàn)成功處理，其先決條件是監(jiān)視系統(tǒng)能夠理解哪些操作信息需要考慮。然而，許多安全事務(wù)會影響這種監(jiān)測。

通過DNS查詢?nèi)罩舅鶛z測到的異?？赡苁钦嬲陌踩怨?，也可能只是一個配制錯誤。因此，在許多情況下，僅僅利用DNS查詢?nèi)罩具M(jìn)行數(shù)據(jù)視圖化分析，遠(yuǎn)不能發(fā)現(xiàn)視圖顯示異常的真正原因。DNS服務(wù)報文[6]（又稱為消息）是 DNS所有域協(xié)議通信的載體，其格式如圖1所示，其報文類型、狀態(tài)等底層特征及回應(yīng)報文數(shù)據(jù)反映了DNS服務(wù)狀態(tài)，在分析服務(wù)監(jiān)控異常中起關(guān)鍵作用。然而，由于應(yīng)用軟件日志實現(xiàn)的限制以及數(shù)據(jù)的敏感性，這些在監(jiān)控分析時起關(guān)鍵作用的數(shù)據(jù)卻無法得到。

DNS應(yīng)用軟件BIND、CNS及Dnstop、Des等工具均利用DNS的日志查詢機(jī)制進(jìn)行統(tǒng)計分析，但是日志機(jī)制對查詢?nèi)罩径歼M(jìn)行I/O存儲， 因此I/O成為了影響性能的主要瓶頸之一。此外，當(dāng)域名訪問頻率過快時，日志記錄無法及時寫入，導(dǎo)致服務(wù)數(shù)據(jù)丟失。針對開源的BIND，文獻(xiàn)[7]采用了修改查詢的統(tǒng)計方式來解決性能問題，但其無法對回應(yīng)數(shù)據(jù)進(jìn)行統(tǒng)計，更無法進(jìn)行異常的實時處理。

2 基于Netfilter的域名實時監(jiān)控統(tǒng)計系統(tǒng)總體設(shè)計

Netfilter[8]是Linux內(nèi)核2.6.x系列中可選安裝的一套功能強(qiáng)大而靈活的防火墻架構(gòu)。其嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口，根據(jù)網(wǎng)絡(luò)報文的流向為多種協(xié)議定義五種鉤子，設(shè)置報文處理路徑，能夠提供快速的數(shù)據(jù)獲取解析服務(wù)。

系統(tǒng)基于Netfilter能進(jìn)行實時DNS應(yīng)用數(shù)據(jù)過濾解析，分析處理，為DNS域名服務(wù)實時監(jiān)控提供了完整的實時監(jiān)控方案?？傮w構(gòu)架設(shè)計如圖2所示：前臺應(yīng)用管理層、數(shù)據(jù)庫數(shù)據(jù)統(tǒng)計整合層、后臺DNS服務(wù)器組監(jiān)控層。各層通過TCP/IP socket進(jìn)行數(shù)據(jù)通信。

前臺應(yīng)用管理層為系統(tǒng)表現(xiàn)層，采用B/S構(gòu)架，安裝在應(yīng)用服務(wù)器中，集中管理配制及展示各項服務(wù)。程序包括前臺管理層和前臺代理層。前臺管理層包括系統(tǒng)管理服務(wù)、數(shù)據(jù)統(tǒng)計整合服務(wù)、統(tǒng)計展示管理服務(wù)和監(jiān)控管理服務(wù)。統(tǒng)計整合服務(wù)通過控制數(shù)據(jù)庫整合服務(wù)將數(shù)據(jù)按需求進(jìn)行整合挖掘分析；統(tǒng)計展示管理服務(wù)采用Flying Term算法[9]，對DNS服務(wù)數(shù)據(jù)進(jìn)行趨勢特征分析，實現(xiàn)圖表形式的展現(xiàn)；監(jiān)控管理服務(wù)用于配制DNS服務(wù)器監(jiān)控層，包括黑名單管理、自動異常處理管理和服務(wù)失敗監(jiān)控管理，并對各功能進(jìn)行可視化方式的及時展示，以便快速地查找異常及趁勢，進(jìn)行即時處理。前臺代理層包括遠(yuǎn)程控制代理、數(shù)據(jù)庫代理，通過socket通信傳遞XML數(shù)據(jù)實現(xiàn)與后臺DNS服務(wù)器組監(jiān)控層（部署于各DNS應(yīng)用服務(wù)器），以及數(shù)據(jù)庫統(tǒng)計整合層（部署于數(shù)據(jù)庫服務(wù)器）的通信，三層之間協(xié)同合作完成各種操作控制。 

數(shù)據(jù)庫統(tǒng)計整合層部署于數(shù)據(jù)庫服務(wù)器，提供數(shù)據(jù)接收整合分析服務(wù)。數(shù)據(jù)庫代理服務(wù)為守護(hù)進(jìn)程，通過與應(yīng)用前臺總代理的通信，控制數(shù)據(jù)入庫及整合分析。數(shù)據(jù)整合分析服務(wù)則調(diào)用系統(tǒng)cron服務(wù)定時啟動對服務(wù)數(shù)據(jù)的整合分析，移除過期數(shù)據(jù)，并提供擴(kuò)展的數(shù)據(jù)挖掘功能接口。數(shù)據(jù)入庫服務(wù)接收各DNS服務(wù)器監(jiān)控統(tǒng)計服務(wù)發(fā)送的數(shù)據(jù)，并對這些數(shù)據(jù)進(jìn)行適當(dāng)?shù)霓D(zhuǎn)換、去噪操作后存入數(shù)據(jù)庫中。數(shù)據(jù)統(tǒng)計整合減少了數(shù)據(jù)庫存量，滿足歷史數(shù)據(jù)的分析，提高了檢索性能，通過擴(kuò)展數(shù)據(jù)挖掘接口，方便發(fā)現(xiàn)具有商業(yè)價值的數(shù)據(jù)趁勢。

DNS服務(wù)器組監(jiān)控層部署在多臺DNS服務(wù)器中，采用C/S構(gòu)架，是系統(tǒng)服務(wù)的核心處理層。程序分為內(nèi)核空間和用戶空間兩部分，通過MISC設(shè)備驅(qū)動模塊內(nèi)存映射實現(xiàn)內(nèi)核空間與用戶空間空間的數(shù)據(jù)交換[10]?；贜etfilter實現(xiàn)了DNS服務(wù)數(shù)據(jù)的獲取、監(jiān)控以及服務(wù)異常的實時處理。主要模塊有：后臺代理服務(wù)、數(shù)據(jù)過濾解析服務(wù)、數(shù)據(jù)分析服務(wù)、服務(wù)監(jiān)控處理服務(wù)、處理分發(fā)服務(wù)和設(shè)備驅(qū)動模塊。

3 DNS服務(wù)器組監(jiān)控層詳細(xì)設(shè)計

基于Netfilter的監(jiān)控層結(jié)構(gòu)如圖3所示。采用Netfilter快速完整的過濾解析DNS服務(wù)數(shù)據(jù)，支持任何粒度及類型分析，解決日志方式信息不全面的問題；IP協(xié)議棧中完成數(shù)據(jù)的過濾解析，重組信息幀，減少傳輸數(shù)據(jù)量；設(shè)置內(nèi)核緩沖區(qū)以解決傳輸不及時導(dǎo)致丟包問題。內(nèi)核空間與用戶空間數(shù)據(jù)傳輸使用內(nèi)存映射方式讀寫，減少系統(tǒng)狀態(tài)切換及數(shù)據(jù)多次復(fù)制時間。用戶空間內(nèi)存緩沖文件存儲相關(guān)統(tǒng)計及監(jiān)控信息，首先解決了I/O瓶頸問題；其次，因為域名訪問具有局部性，其提高了數(shù)據(jù)查詢更改的效率。一定時間內(nèi)數(shù)據(jù)緩存在內(nèi)存也為對網(wǎng)絡(luò)訪問的實時監(jiān)控提供了條件。

數(shù)據(jù)過濾解析服務(wù)包括應(yīng)答數(shù)據(jù)過濾解析模塊和請求數(shù)據(jù)過濾解析模塊。請求數(shù)據(jù)過濾解析模塊是在NF_IP_LOCAL_IN參考點注冊的回調(diào)函數(shù)，設(shè)置其優(yōu)先級最低，從而保證只有那些已經(jīng)通過所有防火墻過濾規(guī)則的數(shù)據(jù)包才被截獲。其處理流程如圖4(a)所示，數(shù)據(jù)包被截獲后，依據(jù)設(shè)定規(guī)則進(jìn)行解析過濾分析，并將數(shù)據(jù)組合成信息幀寫入內(nèi)核緩沖區(qū)Qust_DataGram_Table。符合規(guī)則的數(shù)據(jù)返回NF_ACCEPT，發(fā)送給域名服務(wù)器軟件處理；不符合規(guī)則的數(shù)據(jù)則返回NF_DROP，報文被丟棄。應(yīng)答數(shù)據(jù)過濾解析模塊是在NF_IP_LOCAL_OUT參考點注冊的回調(diào)函數(shù)，設(shè)置其優(yōu)先級最低。其處理流程如圖4(b)所示，本機(jī)發(fā)出的DNS回應(yīng)數(shù)據(jù)被截獲后，依據(jù)設(shè)定規(guī)則進(jìn)行解析分析，將處理數(shù)據(jù)發(fā)送至內(nèi)核緩沖區(qū)Ack_DataGram_Table，返回ACCEPT，發(fā)送給請求客戶。

虛擬文件系統(tǒng)將用戶虛擬內(nèi)存區(qū)映射到內(nèi)核空間緩沖區(qū)頁面，數(shù)據(jù)分析服務(wù)從映射內(nèi)存中按低位到高位順序讀取數(shù)據(jù)并進(jìn)行分析，甄別異常服務(wù)（超出設(shè)定閾值等異常特征）。若發(fā)現(xiàn)異常服務(wù)，系統(tǒng)將異常信息事件報告給監(jiān)控程序，監(jiān)控程序根據(jù)事件信息調(diào)用相應(yīng)方式生成控制命令，通過Netlink[11]方式傳送至內(nèi)核空間運(yùn)行的處理分發(fā)服務(wù)，并將異常事件信息及處理結(jié)果寫入異常內(nèi)存表，最后通過后臺代理，將異常事件及時在前臺展現(xiàn)。處理分發(fā)服務(wù)接受并解釋命令，更改請求應(yīng)答規(guī)則表，實現(xiàn)實時事件處理。處理方式有：a)改變內(nèi)核過濾解析服務(wù)的解析策略；b)改變內(nèi)核過濾解析服務(wù)的過濾策略：如對相同源IP一定時間內(nèi)頻繁查詢（可能是DNS拒絕服務(wù)攻擊），丟棄報文，拒絕服務(wù)；c)改變分析服務(wù)策略；d)通過后臺代理，遠(yuǎn)程控制DNS應(yīng)用軟件處理。

數(shù)據(jù)轉(zhuǎn)發(fā)程序由一個稱為檢驗進(jìn)程的守護(hù)進(jìn)程控制。當(dāng)定時器超時或者內(nèi)存數(shù)據(jù)表數(shù)據(jù)值達(dá)到一定大小時，檢驗進(jìn)程將調(diào)用數(shù)據(jù)轉(zhuǎn)發(fā)程序，通過與服務(wù)器數(shù)據(jù)入庫程序協(xié)作將各內(nèi)存緩沖數(shù)據(jù)表寫入數(shù)據(jù)庫，為將來審計提供原始數(shù)據(jù)。

4 用戶空間與內(nèi)核空間內(nèi)存映射

傳統(tǒng)用戶空間與內(nèi)核空間的數(shù)據(jù)傳遞通過中斷方式，且多次數(shù)據(jù)拷貝，影響性能。共享內(nèi)存機(jī)制只支持用戶空間的內(nèi)存共享。本系統(tǒng)采用虛擬文件系統(tǒng)技術(shù)開發(fā)一個MISC字符設(shè)備驅(qū)動模塊drmssmmap，為用戶空間程序訪問內(nèi)核緩沖區(qū)提供內(nèi)存映射支持，并結(jié)合同步讀寫算法使兩種空間讀寫操作實現(xiàn)內(nèi)存共享，減少狀態(tài)切換及數(shù)據(jù)拷備時間，提高數(shù)據(jù)傳輸性能。

首先在/dev目錄下創(chuàng)建一個字符設(shè)備文件drmssmmap，主設(shè)備號為10；編寫設(shè)備描述文件，并定義設(shè)備文件操作結(jié)構(gòu)drmssmmap_fops如下：

static struct file_operations drmssmmap_fops ={

open:drmssmmap_open， /* 定義open的實現(xiàn)函數(shù)，為空操作*/

release:drmssmmap_close，

/*定義release的實現(xiàn)函數(shù)，為空操作*/

mmap:drmssmmap_mmap /* 定義mmap的實現(xiàn)函數(shù)，在drmssmmap_mmap函數(shù)中實現(xiàn)內(nèi)存映射 */

};

Drmssmmap_mmap函數(shù)是mmap系統(tǒng)調(diào)用的在內(nèi)核中的實現(xiàn)函數(shù)， 其核心是調(diào)用核心態(tài)內(nèi)存頁面映射函數(shù)remap_page_range實現(xiàn)將用戶空間進(jìn)程請求的虛擬內(nèi)存(用struct vm_area表示)映射到內(nèi)核緩沖區(qū)。Drmssmmap模塊加載時注冊設(shè)備文件，用戶空間程序打開設(shè)備文件drmssmmap，執(zhí)行系統(tǒng)調(diào)用mmap，即調(diào)用內(nèi)核驅(qū)動模塊中的drmssmmap_mmap函數(shù)，實現(xiàn)用戶空間虛擬內(nèi)存區(qū)與內(nèi)核緩沖區(qū)的映射。

5 用戶空間與內(nèi)核空間數(shù)據(jù)傳輸

用戶空間與內(nèi)核空間之間的數(shù)據(jù)傳輸方式有兩種：a)通過Netlink傳輸用戶空間的監(jiān)控處理服務(wù)數(shù)據(jù)到內(nèi)核空間的處理分發(fā)服務(wù)；b)通過drmssmmap文件設(shè)備驅(qū)動模塊提供的內(nèi)存映射傳輸內(nèi)核態(tài)的數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)到用戶態(tài)的數(shù)據(jù)分析服務(wù)。

Netlink協(xié)議為用戶空間進(jìn)程與內(nèi)核模塊之間的通信提供了一種靈活而高級的通信機(jī)制：全雙工、帶緩存的I/O、組播和異步通信［11］。由于Netlink使用軟中斷而不是內(nèi)核線程來接收數(shù)據(jù)，這樣就可以保證數(shù)據(jù)接收的實時性。Netlink傳輸數(shù)據(jù)格式如圖5(a)所示。

Linux內(nèi)核2.6中，內(nèi)存頁面為4 KB，緩沖區(qū)大小為4 KB的整倍數(shù)的兩個頁表：Quest_DataGram_Table存放請求數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)交換區(qū)；Ack_DataGram_Table存放應(yīng)答數(shù)據(jù)過濾解析服務(wù)數(shù)據(jù)交換區(qū)。通過設(shè)備驅(qū)動映射，程序建立用戶空間和內(nèi)核空間的統(tǒng)一偏移間接尋址地址轉(zhuǎn)換，兩個頁表區(qū)實現(xiàn)從偏移0到最高地址偏移MaxOffset的順序讀寫控制。內(nèi)核空間的數(shù)據(jù)過濾解析服務(wù)在緩沖區(qū)中根據(jù)寫指針不斷寫入生成規(guī)則數(shù)據(jù)；同時用戶空間分析程序根據(jù)讀指針從緩沖區(qū)中不斷讀出數(shù)據(jù)進(jìn)行分析，因此需要同步兩者之間的讀寫。必須保證寫指針當(dāng)前所指向的地址數(shù)據(jù)是空的或已經(jīng)被讀取，讀指針當(dāng)前所指向的地址數(shù)據(jù)有實際數(shù)據(jù)并且尚未被讀取，并保證讀指針和寫指針不能同時操作同一個地址。在系統(tǒng)中，對內(nèi)核緩沖區(qū)的讀寫同步算法主要通過利用報頭設(shè)置同步字節(jié)實現(xiàn)。

邏輯上，緩沖區(qū)是由許多數(shù)據(jù)記錄構(gòu)成的多個連續(xù)頁，每條數(shù)據(jù)記錄是一個數(shù)據(jù)幀，數(shù)據(jù)幀格式如圖5（b）所示，分為幀頭和幀體兩部分。幀頭由4個字節(jié)構(gòu)成。首字節(jié)為同步字節(jié)Syn，鎖定位1表示幀正處理讀寫指針操作，否則開放鎖。有效位1表示幀數(shù)據(jù)有意義，而非格式化數(shù)據(jù)、讀寫位1表示數(shù)據(jù)被寫入，否則表示數(shù)據(jù)無效或已被讀取，重編位1表示此幀為數(shù)據(jù)重編碼幀，到達(dá)有效數(shù)據(jù)緩沖區(qū)最高位，重新從緩沖區(qū)最低處開始寫入數(shù)據(jù)。其中：類型type表示幀體類型；數(shù)據(jù)數(shù)目num表示主體數(shù)據(jù)個數(shù)；幀長度len表示數(shù)據(jù)幀所占字節(jié)個數(shù)。

寫數(shù)據(jù)流程如圖6所示：先將緩沖區(qū)格式化為0x00，W表示寫指針偏移，預(yù)寫指針PW與W之間形成數(shù)據(jù)可寫區(qū)，管理預(yù)寫入數(shù)據(jù)所用空間，防止讀寫導(dǎo)致的數(shù)據(jù)覆蓋、碎片數(shù)據(jù)問題。當(dāng)數(shù)據(jù)可寫區(qū)連續(xù)空間足夠容納寫入幀data，區(qū)內(nèi)已讀或已格式化，且未鎖定時，才可以進(jìn)行寫入操作。當(dāng)預(yù)寫指針到達(dá)緩沖區(qū)最高偏移區(qū)且可寫區(qū)無足夠空間寫入幀data時，寫入重編幀通知讀指針，下一條有效數(shù)據(jù)幀開始于寫指針最低偏移位0，然后將寫指針和預(yù)寫指針置為0。重編幀如圖5(c)所示，只含有幀頭，置同步字節(jié)Syn中有效位和重編位為1，其余全為0。

讀流程如圖7所示，從最緩沖區(qū)最低偏移0開始讀寫，當(dāng)預(yù)讀定的幀同步幀Syn鎖定位、重編位為0，有效位、讀寫位為1時讀取幀數(shù)據(jù)。當(dāng)預(yù)讀幀同步字節(jié)Syn重編位為1，或讀指針距緩沖區(qū)最高偏移小于4 Byte時，表示下一幀開始于緩沖區(qū)最低位0，讀指針置為0，重新讀取過程。

6 實驗結(jié)果

實驗的運(yùn)行硬件環(huán)境：CPU為Intel Pentium(R)4 3.06 GHz，內(nèi)存為0.99 GB的PC機(jī)，100 Mbps網(wǎng)絡(luò)。軟件系統(tǒng):Fedora Linux，內(nèi)核2.6.21，DNS應(yīng)用軟件為BIND 9.3.1。測試客戶端禁用DNS緩存，BIND禁用緩存服務(wù)。所有查詢域名在DNS服務(wù)器存在相應(yīng)域名解析文件。程序調(diào)用Java的InetAddress.getAllByName()函數(shù)，運(yùn)行于兩臺PC機(jī)上，產(chǎn)生多個線程，同時向DNS服務(wù)器請求域名解析。請求域名隨機(jī)地從40個域名中選取產(chǎn)生，一共向DNS服務(wù)器發(fā)出100 000 次域名的請求。圖8顯示了在不同的域名查詢速度條件下，使用開啟日志統(tǒng)計功能的BIND域名訪問、關(guān)閉日志統(tǒng)計功能BIND域名訪問和使用無日志功能的BIND加DRMSS后域名訪問的平均時間比較。

通過實驗結(jié)果數(shù)據(jù)對比表明：使用BIND日志統(tǒng)計時，當(dāng)日志丟失率為0時，I/O操作頻繁導(dǎo)致處理域名的平均時間比DRMSS顯著增加。隨著查詢速率增加，日志丟失率逐漸提高，BIND處理時間逐漸減少。當(dāng)查詢速率達(dá)到一定閾值時，處理時間又將增加。而實時監(jiān)控系統(tǒng)DRMSS獨立于BIND本身，在IP協(xié)議棧中實現(xiàn)數(shù)據(jù)過濾解析，對DNS服務(wù)無較大影響，其平均訪問時間隨著訪問速率增加而緩慢增加，平均處理時間僅比BIND無日志方式增加1/2以內(nèi)。在查詢速率較低的情況下，DRMSS的平均處理時間明顯少于日志方式。 

7 結(jié)束語

基于Netfilter的DNS實時監(jiān)控系統(tǒng)在IP協(xié)議棧中快速過濾解析DNS服務(wù)數(shù)據(jù)，利用MISC文件設(shè)備驅(qū)動模塊及同步讀寫算法實現(xiàn)內(nèi)核空間與用戶空間的數(shù)據(jù)快速交換，并進(jìn)行實時監(jiān)控統(tǒng)計處理。系統(tǒng)具有廣泛適應(yīng)性、監(jiān)控異常準(zhǔn)確性、響應(yīng)及時性、服務(wù)數(shù)據(jù)完備性和統(tǒng)計整合有效性，能有效保障域名服務(wù)安全、提高服務(wù)性能，以及分析商業(yè)數(shù)據(jù)提供了技術(shù)保證。后期工作將改進(jìn)數(shù)據(jù)分析服務(wù)，改進(jìn)數(shù)據(jù)分析算法，將數(shù)據(jù)分析服務(wù)放入的內(nèi)核空間處理，減少數(shù)據(jù)傳輸量，進(jìn)一步提高監(jiān)控性能。

參考文獻(xiàn)：

［1］

ALBITZ P，LIU C.DNS and BIND[M].[S.l.]:O’Reilly Associates Inc，2006.

［2］Nominum caching name server(CNS)[EB/OL].http://www.nominum.com/.

［3］RAMASUBRAMANIAN V，SIRER E G.Perils of transitive trust in the domain name system[C]//Proc of the 5th ACM SIGCOMM Confe-rence on Internet Measurement.Berkeley，CA:USENIX Association，2005:35.

［4］KRISTOFF J.An automated incident:the measurement factory:Dnstop tool[EB/OL].(2006)[2008-02-07].http://dns.measurement-factory.com/tools/dnstop/.

［5］The measurement factory:dsc-DNS statistics collector[EB/OL].(2008)[2008-02-07].http://dns.measurement-factory.com/tools/dsc/.

［6］MOCKAPETRIS P.RFC 1035，Domain names-implementation and specification[S].USC/Information Sciences Institute， 1987.

［7］王振宇，施東煒.基于BIND域名解析服務(wù)管理的設(shè)計[J].計算機(jī)工程，2007，33(15):134 -136.

［8］RUSSELL R，WELTE H.Linux Netfilter hacking HOWTO[EB/OL].(2002-07-02)[2008-07-10].http://www.netfilter.org/documentation/HOWTO//netfilter-hacking-HOWTO.html.

［9］REN P，KRISTOFF J，GOOCH B.Visualizing DNS traffic[C]//Proc of the 3rd International Workshop on Visualization for Computer Security.New York:ACM Press，2006:23-30.

［10］CORBET J，KROAH-HARTMAN G，RUBINI A.Linux device drivers[M].3rd ed.[S.l.]:O’Reilly，2005.

［11］SALIM J，KHOSRAVI H，KLEEN A，et al.RFC3549，Linux Netlink as an IP services protocol[S].2003.