一种基于模糊综合评价模型的DNS健康度评估方法

摘要

本发明公开了一种基于模糊综合评价模型的DNS健康度评估方法，包括以下步骤：步骤1：通过交换机镜像的方式，获得服务器原始流量，采集DNS应答包中所有数据；步骤2：通过DNS流量按时间窗口进行统计分析，构成历史数据，提取DNS健康度影响因素，并计算各影响因素值；步骤3：消除各影响因素间量纲不同产生的影响，获得DNS健康度各影响因素的评价值；步骤4：将各因素按影响程度进行分类，形成多级评价体系，分析和确认各级影响因素的权重；步骤5：根据各影响因素权重和评价值，评估当前DNS的安全状态，获得所述DNS当前健康度的评估结果。本发明充分考虑当前DNS流量的特点，能够有效地检测DNS多种异常状况。

说明书

技术领域

本发明涉及DNS系统的测量和评估领域，特别是一种基于模糊综合评价模型的DNS健康度评估方法。

背景技术

DNS作为互联网的中枢神经系统，是几乎所有互联网应用中的关键节点。通过对DNS进行测量与评估可以有效地应对DNS所面临的问题和变化，保障DNS的系统稳定与安全，维护DNS服务的质量。

现有技术中主要通过对DNS进行负载监控、主动的性能测试、对DNS流量进行分析以检测出DDoS及DNS投毒等的攻击、从客户端对DNS数据来源和完整性认证等方法对于DNS服务器进行测量与评估，其中对性能的测量和评估主要采用的主动探测的方式还存在计算量大且耗时长的问题。而且前述方法主要集中在对DNS性能的测量和评估以及对DNS安全的测量和评估两方面，局限于考虑DNS服务器的部分特定性能或安全问题，且较少考虑DNS服务区域内用户的使用情况，难以从整体上评估DNS运行状况。

基于模糊综合评价模型的DNS健康度评估是通过流量统计数据来描述DNS活动情况的评估技术。由于存在多种可能对DNS健康度造成影响的因素，为从整体上对DNS进行测量和评估，需建立相应的模型对各个部分性能特征进行归纳。随着模糊集理论的提出，大量相关应用出现，其中就包括模糊综合评价法。模糊综合评价的方法是对受到多个因素影响的事物做出全面评价的一种有效的多因素决策方法。其方式主要有两种，基于模糊综合矩阵的方式以及基于模糊积分的方式。目前模糊综合评价这一方法被大量应用于系统测量与评估中，如：帮助对网络安全态势评估方法进行建模和对网络系统进行综合测量和评估。

发明内容

本发明所要解决的技术问题是提供一种基于模糊综合评价模型的DNS健康度评估方法，从DNS本身工作状态、DNS用户、DNS非常规使用状态三个角度全面多维提取影响因素，充分考虑当前DNS流量的特点，能够有效地检测DNS多种异常状况。

为解决上述技术问题，本发明采用的技术方案是：

一种基于模糊综合评价模型的DNS健康度评估方法，包括以下步骤：

步骤1：通过交换机镜像的方式，获得服务器原始流量，采集DNS应答包中所有数据；

步骤2：通过DNS流量按时间窗口进行统计分析，构成历史数据，提取DNS健康度影响因素，并计算各影响因素值；

步骤3：消除各影响因素间量纲不同产生的影响，获得DNS健康度各影响因素的评价值；

步骤4：将各因素按影响程度进行分类，形成多级评价体系，分析和确认各级影响因素的权重；

步骤5：根据各影响因素权重和评价值，评估当前DNS的安全状态，获得所述DNS当前健康度的评估结果。

进一步的，在所述步骤2中，DNS健康度影响因素是根据对校园网真实环境中DNS历史流量进行统计分析，从对DNS服务器工作状态的影响因素、对服务区域内用户的使用状态的影响因素以及对DNS非常规使用状态的影响因素三个角度进行提取。

进一步的，在所述步骤3中，消除各影响因素间量纲不同产生的影响，是利用归一化公式处理所得影响因素值，得到各影响因素评价值。

进一步的，在所述步骤4中，形成多级评价体系，是按影响程度将DNS健康度分为直接影响因素、间接影响因素和DNS辅助数据三个方面。

进一步的，在步骤4中，使用层次分析法AHP对各级影响因素的权重进行定量分析和确认。

与现有技术相比，本发明的有益效果是：1)本发明从DNS本身工作状态、DNS用户、DNS非常规使用状态三个角度全面多维提取影响因素，充分考虑当前DNS流量的特点，能够有效地检测DNS多种异常状况，例如DNS配置错误、DDoS攻击以及人员大规模变化等；2)本发明能够根据当前产生的DNS流量数据，评估DNS的工作状态，相对主动探测的方法提高了分析速度且更能适应复杂多变的网络环境；3)本发明采用的健康度模型并不针对单一攻击方法或异常情况，可以对多种攻击，具有较强的扩展性。

附图说明

图1为本发明中基于模糊综合评价模型的DNS健康度评估方法实施例流程示意图。

图2为本发明中影响因素多级评价体系示意图。

图3为本发明中各层级影响因素的权重示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一下详细的说明。图1为本发明方法流程图，如图所示，该方法主要包括以下步骤：1)通过交换机镜像的方式，获得服务器原始流量，采集了DNS应答包中所有数据；2)通过DNS流量按时间窗口进行统计分析，构成历史数据，提取DNS健康度影响因素，并计算各影响因素值；3)消除各影响因素间量纲不同产生的影响，获得DNS健康度各影响因素的评价值；4)将各因素按影响程度进行分类，形成多级评价体系，分析和确认各级影响因素的权重；5)根据各影响因素权重和评价值，评估当前DNS的安全状态，获得所述DNS当前健康度的评估结果。

上述步骤2)中DNS健康度影响因素是根据对校园网真实环境中DNS历史流量进行统计分析，从对DNS服务器工作状态的影响因素、对服务区域内用户的使用状态的影响因素以及对DNS非常规使用状态的影响因素三个不同角度提取的，如表1所示。

表1三类影响因素

此处需要说明的是：表1所列影响因素仅用作举例，实际上也可以根据不同网络情况增加或者减少影响因素。

其中：DNS服务器工作状态影响因素以“每日DNS查询总次数变化率”为例，该变化率表示DNS当日查询次数与历史数据相比较的结果。每日DNS查询总次数变化率可以体现本地DNS系统的活跃程度，该变化率若很大则可以预计有突发事件出现。理想状态下相对于近期和同时段(星期数相同，例如都是星期一)的历史数据，变化率越大代表着当日DNS查询次数出现了暴跌或暴涨的情况，而此类情况很可能是DNS系统出现了故障或者DNS系统遭受了攻击，例如：对于学校、公司等人员较为稳定的区域较大的DNS查询总次数变化率预示着使用情况发生了重大改变。

用户使用情况影响因素以“用户请求TOP1000变化指数”为例，，该指数描述了当日用户请求TOP1000与历史数据(前七日)进行比较后所得的结果，该指数越大表示用户请求TOP1000变化率越大。通常来说对于同一区域内的用户，其TOP排名由于用户习惯相对固定等原因不会出现太大的变动。因此，该指数越小说明该区域用户使用情况越稳定，反之该区域用户使用情况不稳定。

非常规使用状态中，DNS解析成功率，其直接表述了DNS系统的正常使用状况。在本发明中采用DNS包头中的RCODE字段对解析成功率进行计算。

上述步骤2)中计算各影响因素值，是根据历史和当前DNS流量数据按影响因素描述计算各影响因素值，各影响因素计算公式如表2所示。

具体地：在服务器工作状态影响因素中，以“每日DNS查询总次数变化率”为例。设当日DNS查询总次数为v，近期和同时段n天的历史数据集为H，其中每日历史数据为h_i，历史查询平均值为则DNS查询总次数的变化率定义如公式(1)所示

在用户使用情况影响因素中，以“用户请求TOP1000变化指数”为例。在每日的用户TOP1000排行榜中，包含1000组(IP，Count)键值对，即用户与请求次数键值对，将计算当日的排行榜记为U，历史数据(在实际计算中采用过去七天的数据)记为V，则对任意IP有以下四种情况：

1.该IP在当日和历史数据中均存在；

2.该IP在当日数据中首次出现；

3.该IP仅在历史数据中出现；

4.该IP在历史数据和当日数据中均未出现。

基于上述四种情况，在计算用户排行榜变化数值时，对于1、2两种情况直接计算U、V两集合中IP请求次数的差表示用户的变化c，对于第三种情况筛选出此类IP并以其请求次数的和作为负值表示用户的遗失l，对于第四种情况，由于超出当前和历史数据范围暂不作考虑。最后将计算结果归一化如公式(2)，获得用户排行榜数值。

在非常规使用状态影响因素中，设当日DNS应答记录中RCODE为0的记录数为w，记录总数为n，则DNS解析成功率为公式如公式(3)

S＝w/n×100％(3)

表2各影响因素计算公式

上述步骤3)中消除各影响因素间量纲不同产生的影响，是利用归一化公式处理所得若干影响因素值，得到各影响因素评价值。具体地，采用了反正切函数标准化和离差标准化的方式将影响因素值映射到区间[0,1]。所述反正切函数标准化方法和离差标准化方法分别如下式(4)(5)：

上述步骤4)中根据各影响因素权重和评价值，形成中多级评价体系，是按影响程度将DNS健康度分为直接影响因素、间接影响因素和DNS辅助数据三个方面的影响因素进行考虑。具体地，直接影响因素，指该影响因素的改变将直接影响到DNS健康状况；间接影响因素，指通过每日DNS查询流量统计出的DNS基本状态，这类影响因素可以描述出DNS的使用常态，可以间接体现DNS健康程度；辅助数据，此类数据对DNS的健康度影响力较小，但在极端情况下可以较好的体现DNS的健康情况。

上述步骤4)中分析和确认各级影响因素的权重，是使用AHP(层次分析法)对各级影响因素的权重进行定量分析和确认。具体地，设需要计算权重的层次包含n个影响因素C_i，其构造判断矩阵为W，则对矩阵W进行公式(6)、(7)的操作后，可获得其特征向量公式(8)：

a′_i＝a_i/n(8)

上述步骤5)中根据各影响因素权重和评价值，获得所述DNS当前健康度的评估结果，健康度的评分越高表明DNS运行状况越良好。

本发明评估方式通过一种通过流量数据分析DNS健康度影响因素，评估DNS健康度的方法，利用模糊综合评价模型，最终以健康度的形式展现出来，实现了对DNS健康度的评估，克服了对DNS运行状态评估的片面性，提高了分析速度且更能适应复杂多变的网络环境，解决了复杂环境下难以高效地从整体上评估DNS运行状况的难题。本发明可适应日趋复杂的网络环境，在真实环境中有效测量和评估DNS服务器面临的多种情况。