姜 燕 ，李 露 ，胡 博 ，許元斌 ，楊 超 ，董世丹傑 ，楊澤坡 ，李龍媚

(1.北京中電飛華通信有限公司，北京100071；2.國網(wǎng)遼寧省電力有限公司，遼寧 沈陽110006；3.國網(wǎng)信息通信產(chǎn)業(yè)集團有限公司，北京102209；4.國網(wǎng)大連供電公司，遼寧 大連116001)

0 引言

域名解析系統(tǒng)(Domain Name System，DNS)是互聯(lián)網(wǎng)中最為基礎的網(wǎng)絡設施，為廣大網(wǎng)民提供著不可缺少的域名解析服務，并且是眾多網(wǎng)絡應用開始的第一步。DNS 采用分布式架構，基于客戶端/服務器(C/S)模式工作，使得域名與IP 地址之間的映射與解析信息遍布在世界各地的授權服務器中，且DNS 體系在設計之初未考慮到數(shù)據(jù)加密等安全性因素，容易受惡意攻擊、人為配置錯誤等問題的影響[1-2]。隨著DNSSEC[3]、惡意域名過濾[4-5]、ACL、黑白名單控制[6]等DNS 安全防護技術的不斷進步，多數(shù)網(wǎng)絡運營商、電力、金融、政府機構等行業(yè)領域傾向于采用安全性更高、兼容性更好、硬件性能更加突出的專業(yè)DNS 服務器[7]，實現(xiàn)IP 地址與域名之間的解析，保證關鍵領域內(nèi)DNS 服務的可靠性。然而，由于DNS 安全防護方法眾多，各服務供應商提供的DNS 產(chǎn)品配置與容災部署方案不一，如何對DNS 系統(tǒng)的安全狀態(tài)作出準確的衡量，成為對DNS 安全性要求較高的關鍵業(yè)務領域的網(wǎng)絡運維人員尤為關心的問題。

事實上，前人在DNS 系統(tǒng)的安全評估上已有過比較深入、有價值的研究，其中CASALICCHIO E 等人基于Measuring the Naming System(MeNSa)項目提出了域名系統(tǒng)狀態(tài)評估的思路[8]：首先要確定評估角度，其次要在特定的安全威脅場景中針對DNS運行問題和安全隱患制定特定的監(jiān)測項，最后要根據(jù)多個監(jiān)測項的值，綜合量化得到DNS 相關指標作為參考。在此思路的指導下，文獻[9]提出采用層次分析法(Analytic Hierarchy Process，AHP)解決DNS系統(tǒng)安全狀態(tài)監(jiān)測項的權重計算問題。該方法通過集合低層的監(jiān)控項的值得到高層的安全指標的值，且實驗證實在各種監(jiān)控項不斷增加的情況下依然有效，具有良好的擴展性。然而文中在應用AHP 方法時僅僅采用某一位專家的人為經(jīng)驗，對各監(jiān)控指標進行兩兩對比，從而得到相對權重比，這一過程較難擺脫人為主觀判斷所帶來的偏差。

本文在前人的研究基礎上，提出一種針對DNS系統(tǒng)安全性的改進的評估方法，根據(jù)近幾年來的DNS系統(tǒng)發(fā)展現(xiàn)狀，首先進一步劃分評估層級并增加監(jiān)測項，然后綜合不同崗位DNS 業(yè)務專家的知識、經(jīng)驗，提升評估過程的科學性因素，從而得到可靠的、量化的安全狀態(tài)綜合評判指標，為DNS 服務使用者提供有參考價值的DNS 系統(tǒng)安全狀態(tài)審查。

1 DNS 安全狀態(tài)多級評估體系

文獻[9]中采用的DNS 系統(tǒng)安全評估框架總體包含三個方面內(nèi)容：一是域名系統(tǒng)安全的評估視角，二是域名系統(tǒng)安全的評估指標，三是域名系統(tǒng)安全指標權重的設置算法。隨著DNS 防護技術及部署方式的進步，這三個方面均存在著進一步改進的空間。

首先，在以名字服務器作為PoV 視角進行安全評估時，不再局限于master、slave 兩種類型的名字服務器。事實上，當前電力、金融等多數(shù)業(yè)務領域DNS系統(tǒng)的主流建設方案中，通常配置master、slave、cache三級服務器，其中master 服務器會直接負責DNS 的查詢與zone 管理，slave 服務器僅涉及DNS 的區(qū)傳輸過程，cache 服務器的加入能夠在提高訪問效率的同時起到隱藏master 服務器的作用，使得此三級架構DNS 系統(tǒng)的安全防護效果更佳。

第二，基于對DNS 安全防護技術發(fā)展與系統(tǒng)建設趨勢的研究，本文將域名系統(tǒng)安全評估的指標擴展為三級：總體指標為DNS 系統(tǒng)安全狀態(tài)；一級指標分為DNS 安全策略、系統(tǒng)容差性；二級指標具體包含DNSSEC、TSIG 更新[10]、惡意域名過濾、ACL、非標協(xié)議過濾、 遞歸服務器端口隨機性、IP/IP 段限速、域名/區(qū)限速、查詢時延、容災部署方式、配置界面的容錯性。

第三，各級指標的權重設置可基于群組層次分析法(群組AHP)，充分發(fā)揮由不同崗位、背景的業(yè)務專家所組成的群體的優(yōu)勢，弱化由某一位專家的個人主觀知識經(jīng)驗帶來的判斷偏差，從而增加指標權重的科學性。

綜上所述，本文提出了一種基于群組層次分析法的DNS 系統(tǒng)安全狀態(tài)多級評估體系，如表1 所示。這一體系在關注傳統(tǒng)的DNSSEC、惡意域名過濾、ACL 等DNS 安全防護策略之外，還創(chuàng)新性地將DNS系統(tǒng)的容差性也納入考察、評估范圍。這一考慮比較貼合近幾年DNS 服務供應商為進一步提高系統(tǒng)安全性，在服務器容災部署、配置界面優(yōu)化以減少人為失誤等方面所做出的推進工作。

2 群組AHP 的原理

2.1 層次分析法的基本原理

層次分析法是由美國學者SAATY T L[11]為解決多目標決策問題而提出的定性與定量相結合的解決方法，其優(yōu)勢在于能夠系統(tǒng)化、層次化地確定復雜系統(tǒng)中多項指標的權重系數(shù)，從而形成一個綜合的量化指標，幫助指導決策。

對于一個包含k項評價指標的待評估系統(tǒng)，可以依據(jù)表2[12]構造一個評估矩陣A(aij)，其中，1 ≤i≤k，1 ≤j≤k，aij表 示 第i個 指 標 相 對 于 第j個 指標的重要程度，即有：

在確定上述評估矩陣并驗證其一致性比率CR＜0.1 的基礎上，進一步計算指標的權重向量，即評估矩陣的最大特征根及其對應的特征向量，將其設為w，w=[w1，w2，…，wi，…，wk]，其中wi(1 ≤i≤k)代表第i個指標的權重系數(shù)。

假設最終得到的綜合指標為P，則P=w×V，其中V=[v1，v2，…，vi，…，vk]T，vi(1 ≤i≤k)代表對第i個指標進行歸一化后的數(shù)值。

表1 基于群組層次分析法的DNS 系統(tǒng)安全狀態(tài)多級評估體系

表2 AHP 評估尺度表

2.2 群組AHP 的原理

群組AHP 方法的核心在于不再單純依據(jù)某一位專家的評估矩陣A(aij)計算權重w，而是進一步綜合考慮多位不同崗位的業(yè)務專家的知識、經(jīng)驗[13-15]，進行多個評估矩陣的聚類分析，從而得到一個最終的權重指標，減少人為主觀判斷所帶來的偏差，增加評估過程的客觀性。

dxy越接近1，代表權重向量wx與wy之間越相似；dxy越接近0，代表權重向量wx與wy之間越疏遠。參照文獻[12]和文獻[13]中的步驟，可以根據(jù)相容度矩陣對專家的評估矩陣進行聚類分析，將評估意見相近的專家劃為一類，并且認為：越多專家的評估信息接近，說明專家之間知識、經(jīng)驗的共識程度越高，其評價的可靠性越強，此類別中專家意見的權重系數(shù)設置越大。

對于最終劃分至同一類中的不同專家，雖然所有專家的置信因子都是相同的，但是由于各位專家的評估矩陣不同，其一致性程度CR 也不相同，且CR值越小，表示專家自身的邏輯性越強。因此在同一類中，可將評估矩陣一致性系數(shù)最小的專家所給出的權重向量賦予更大的權重系數(shù)。

3 基于群組AHP 的DNS 安全評估在電力領域的應用

3.1 待評估樣本與數(shù)據(jù)預處理

近年來應用AHP 原理開展電力行業(yè)內(nèi)不同專業(yè)系統(tǒng)的綜合評估與方案決策已經(jīng)取得了比較突出的成果[16-19]，在此基礎上，本文以國網(wǎng)某省電力公司信息內(nèi)網(wǎng)域名解析系統(tǒng)的運行現(xiàn)狀與后續(xù)改造方案作為對比樣本，說明所提出的基于群組AHP的DNS 系統(tǒng)安全評估體系的應用過程及效果。

該省電力公司信息內(nèi)網(wǎng)DNS 系統(tǒng)在改造前采用的是基于BIND 的傳統(tǒng)DNS 服務架構，原系統(tǒng)自2012 年建設投運以來，隨著運行周期的增加，在安全性、可用性方面存在較大的不足：不具備DNSSEC、TSIG 更新等功能，缺少有效的安全防護機制；另一方面隨著設備老化，運行性能降低，存在安全隱患。本次改造項目計劃采用兼容IPv4 和IPv6 雙棧協(xié)議的軟硬件一體智能DNS 系統(tǒng)替換基于BIND 的傳統(tǒng)DNS 服務架構。本文從DNS 系統(tǒng)安全狀態(tài)評估的角度出發(fā)，綜合省內(nèi)多位專家意見，驗證此次改造能否為DNS 系統(tǒng)安全狀態(tài)帶來改善。

根據(jù)表1 所示的DNS 系統(tǒng)安全狀態(tài)多級評估體系，現(xiàn)存在兩個待評估樣本，一為該網(wǎng)改造前的基于BIND 的傳統(tǒng)DNS 服務架構，二為計劃采取的改造后的軟硬件一體智能DNS 系統(tǒng)，依據(jù)兩種模式在DNS 安全策略和系統(tǒng)容差性兩個方面的表現(xiàn)，整理得出如表3 所示的原始評估樣本與歸一化數(shù)值。

表3 待評估樣本與歸一化數(shù)值

3.2 基于群組AHP 的DNS 安全評估計算

3.2.1 一級指標DNS 安全策略的綜合評價數(shù)值計算

首先為一級指標DNS 安全策略下屬的9 個二級指標構建群組評估矩陣。在本次項目評估中共有5 位專家依據(jù)AHP 算法的基本原理參與打分，他們針對DNS 安全策略下屬的9 個二級指標分別給出了如表4 所示的評估矩陣A1，A2，A3，A4，A5。本文先算出5 個評估矩陣對應的權重向量w與一致性指標CR，也列入表4 中。

根據(jù)式(3)可進一步計算得到A1～A55 個權重向量的相容度矩陣D(dxy)：

表4 群組評估矩陣

由式(4)可看出最接近1 的是d23，表示第2 位、第3 位專家的指標權重向量w2與w3最相似，因此可以將第2 位、第3 位專家合并為一個新類，并轉入新一輪的聚類迭代分析[12-13]。最終得到如圖1 所示的5 位專家聚類譜系圖[14]。

根據(jù)文獻[14]中的計算步驟以及圖1 的結果，本文將5 位專家分為兩個類別，其中E1={A2，A3，A4}，代表將第2、3、4 三位專家劃至第1 類；E2={A1，A5}，代表將第1、5 兩位專家劃至第2 類。

根據(jù)群組AHP 算法的原理，第1 類專家數(shù)量多于第2 類專家，說明2、3、4 三位專家之間知識、經(jīng)驗的共識程度更高，這三位專家的指標權重設置更高。另外考慮到第1 類中第2 位專家的評估矩陣CR2最小，表明第2 位專家自身的邏輯性更強，其權重也相應地高于同一類別中的另外兩位專家。

結合文獻[13]中的公式(3.9)及文獻[14]中的公式 (7)，可算得本文所舉5 位專家的權重指標θ：

進一步得到DNS 安全策略下屬的9 個二級指標的綜合權重系數(shù)：

圖1 專家聚類譜系圖

根據(jù)公式P=w×V，以式(5)中給出的DNSSEC、TSIG、惡意域名過濾等9 個二級指標的綜合權重系數(shù)w，乘以表3 中對應指標的歸一化樣本值，可以得到如表5 所示的DNS 安全策略綜合評價數(shù)值P。

對比表5 中0.367 2 與0.799 4 兩個數(shù)值可以看出，基于BIND 的傳統(tǒng)DNS 服務架構在安全策略上的評價數(shù)值明顯低于軟硬件一體的智能DNS 系統(tǒng)，其原因在于：前者雖具備ACL、非標協(xié)議過濾、IP/IP 段限速等安全防護功能，但本次參與評估的5位專家在這幾項功能上給出的權重指標偏小，即對比而言，DNSSEC、TSIG、 惡意域名過濾等功能的安全防護作用更為關鍵。

表5 一級指標DNS 安全策略綜合評價數(shù)值

3.2.2 一級指標系統(tǒng)容差性的綜合評價數(shù)值計算

相比于包含9 個二級指標的DNS 安全策略，一級指標系統(tǒng)容差性的綜合評價數(shù)值計算比較簡單，僅需綜合5 位專家在容災部署方式、配置界面的容差性這兩項二級指標上的權重分配意見即可。

本次參與評估的5 位專家針對容災部署方式、配置界面的容差性給出了如表6 所示的權重指標，可以直接依據(jù)式(2)計算相容度矩陣并對專家進行分類，并將第1、3、4 三位專家劃歸一類，第2、第5位專家各歸一類。同樣參考文獻[13]中的公式(3.9)的計算方法，得到綜合權重系數(shù)為0.494 3、0.505 7，即多數(shù)專家認為容災部署方式與配置界面的容錯性這兩項指標對于DNS 系統(tǒng)安全性評估的重要程度比較接近。

進一步對比表6 中0.247 2 與1 兩個數(shù)值可以得知，基于BIND 的傳統(tǒng)DNS 服務架構在系統(tǒng)容錯性這一一級指標上的評價數(shù)值同樣明顯低于軟硬件一體的智能DNS 系統(tǒng)，其原因在于：前者雖具備主輔架構的部署方式，但不具備cache 服務器或容災數(shù)據(jù)庫，且配置界面通常是命令行形式，容易產(chǎn)生人為錯誤，不利于DNS 系統(tǒng)安全性。

3.2.3 總體指標DNS 系統(tǒng)安全狀態(tài)的綜合評價數(shù)值計算

根據(jù)表1，總體指標DNS 系統(tǒng)安全狀態(tài)由一級指標DNS 安全策略與系統(tǒng)容差性組成，進一步組織5 位專家針對DNS 安全策略與系統(tǒng)容差性進行評審，得到如表7 所示的評估矩陣，然后參照3.2.2節(jié)的聚類分析及評估數(shù)值計算，可計算出總體指標DNS 系統(tǒng)安全狀態(tài)綜合評價數(shù)值。

分析表7 中的綜合評價權重系數(shù)0.441 9 與0.558 1 可知，5 位專家的綜合意見認為：系統(tǒng)容錯性指標對于DNS 安全狀態(tài)的重要程度要略高于DNS 安全策略，即綜合評估意見認為DNS 服務器的部署方式、鏈路冗余機制以及界面配置的容錯性這些性能，對于DNS 系統(tǒng)安全狀態(tài)的影響，要略微大于系統(tǒng)本身所具備的DNSSEC、TSIG 等安全策略。

進一步對比表7 中0.300 2 與0.911 4 兩個數(shù)值可以判斷，基于BIND 的傳統(tǒng)DNS 服務架構在DNS系統(tǒng)安全狀態(tài)這一總體指標上的評價數(shù)值明顯低于軟硬件一體的智能DNS 系統(tǒng)。事實上，前者在DNS 安全策略、系統(tǒng)容錯性兩個一級指標的評價數(shù)值均低于后者，即根據(jù)5 位專家的綜合評估意見，基于BIND 的傳統(tǒng)DNS 服務架構在DNS 安全策略、系統(tǒng)容錯性兩個方面的表現(xiàn)均不及軟硬件一體的智能DNS 系統(tǒng)。

這一量化評估結果證明，基于群組層次分析法的原理可以綜合5 位DNS 運維專家的評估意見，得出結論：該省電力公司計劃新建的軟硬件一體智能DNS 系統(tǒng)，其安全性能要明顯優(yōu)于改造前的基于BIND 的傳統(tǒng)DNS 服務架構。采購專業(yè)的DNS 設備搭建內(nèi)網(wǎng)域名解析系統(tǒng)，在改善域名解析服務的可靠性上意義重大。

4 結論

上述國網(wǎng)某省電力公司信息內(nèi)網(wǎng)DNS 系統(tǒng)改造的實例分析過程及評估結果證明，本文提出的基于群組層次分析法的DNS 系統(tǒng)安全狀態(tài)多級評估體系，能夠有效地評估并對比以不同形式搭建的域名解析系統(tǒng)的安全狀態(tài)，并且全面考慮當下主流的DNS 安全防護措施及系統(tǒng)部署方式，具備評估過程客觀、科學且監(jiān)測項廣泛的特點，可以得到可靠的量化的安全狀態(tài)綜合指標，為DNS 服務支撐單位提供有效的參考。

表6 一級指標系統(tǒng)容差性綜合評價數(shù)值與專家評估矩陣

表7 總體指標DNS 系統(tǒng)安全狀態(tài)綜合評價數(shù)值與專家評估矩陣

根據(jù)本文的前期調(diào)研情況，現(xiàn)階段電力行業(yè)內(nèi)部還存在一些采用單臺負載均衡設備提供DNS 服務的工作模式，同樣可以參照本文所提的評估體系與應用實例，利用多位專家評估意見做出綜合分析，為相關改造項目的可行性論證提供依據(jù)。

更進一步，對于DNS 服務的安全性要求較高的電力、金融、政府機構等關鍵行業(yè)領域，建議充分考慮業(yè)務專家的評估意見，多多關注DNS 服務器的部署方式、容災機制等安全防護機制，建設一套擁有完善的DNS 安全策略、較好的系統(tǒng)容差性的智能DNS 系統(tǒng)，進而改善域名解析服務的安全性，確保重要業(yè)務的高可靠度。