基于异构信息网络的域名服务器安全威胁分析方法及装置

摘要

本发明提供一种基于异构信息网络的域名服务器安全威胁分析方法及装置，所述方法包括：提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及相关要素之间的依赖关系，构建异构信息网络模型；从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式；计算区域依赖邻接矩阵，计算区域的重要性；计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果。根据本发明的方案，使得域名服务器安全威胁计算结果更具合理性和准确性。

说明书

技术领域

本发明涉及安全领域，尤其涉及一种基于异构信息网络的域名服务器安全威胁分析方法及装置。

背景技术

域名系统是互联网重要的基础设施，其安全性和可用性直接影响着互联网的正常运行。由于域名系统在互联网上的重要作用，域名系统自问世以来就一直成为恶意攻击者攻击的目标和发动攻击利用的对象；同时，域名系统自身存在着协议脆弱性、实现脆弱性和操作脆弱性等安全问题。因此，域名系统面临着许多方面的安全威胁。域名服务器存储着域名空间的信息，监听网络上的DNS查询并按照DNS协议进行响应，域名服务器的安全运行决定着其负责域名的正常解析。因此，研究域名服务器安全威胁分析方法，对于优化域名系统安全防御策略、增强网络安全预警能力，提升互联网的安全性具有重要意义。

传统的针对域名服务器的安全威胁分析方法有基于信息传递和基于节点去除的方法。

基于信息传递的方法将域名系统中域名、区域和域名服务器根据相互依赖关系构建成域名解析依赖关系结构图，在图中应用信息传递方法计算节点权重，得到节点的重要程度。基于节点去除的方法，同样在构建的域名解析依赖关系结构图中，移除部分节点来模拟部分域名服务器遭受网络攻击的情况，通过比较不同服务器遭受攻击后域名系统性能下降程度来评估域名服务器的重要程度。基于信息传递的方法在一定程度上评估了域名服务器的重要性，但是这种度量仅仅考虑了域名服务器在域名系统网络结构中的重要程度，并没有考虑到域名服务器自身脆弱性带来的安全风险。

基于节点去除的方法是一种面向结果的评价方法，移除节点只能模拟节点被完全破坏（如受到DOS攻击无法正常提供服务）时的场景，而无法描述域名服务器被渗透、控制时的场景，模型的应用场景十分有限，可扩展性较差。而且，在重要性计算上，现有方法本质上都是统计其能影响到的域名的数量来衡量域名服务器重要性，并没有对不同区域的重要性和依赖关系进行区分，而这显然与实际是不相符的。

发明内容

为解决上述技术问题，本发明提出了一种基于异构信息网络的域名服务器安全威胁分析方法及装置，所述方法及装置，提供一种科学的域名服务器安全威胁评估方法，用以解决现有技术中未考虑域名服务器自身脆弱性和未区分不同域名节点重要性的问题。

根据本发明的第一方面，提供一种基于异构信息网络的域名服务器安全威胁分析方法，所述方法包括以下步骤：

步骤S101：提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，构建异构信息网络模型；

步骤S102：从所述异构信息网络模型中提取区域节点以及由区域节点之间的依赖关系构成的多关系网络模式；根据所述多关系网络模式，计算区域节点依赖邻接矩阵，计算区域节点的重要性；

步骤S103：从所述异构信息网络模型中提取区域节点、域名服务器和漏洞节点以及其关系，调整所述异构信息网络模型；计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果。

进一步地，所述相关要素之间的依赖关系，包括域内授权、兄弟授权、无关授权；所述域内授权包括本级区域授权和子孙区域授权；所述域内授权为授权记录所对应的域名在本区域之内；所述兄弟授权为授权记录所对应的域名不在本区域之内，但是在父域之内；所述无关授权为授权记录对应的域名既不在本区域之内，也不在父域之内。

进一步地，所述异构信息网络模型，所述异构信息网络模型，是一个带有对象类型映射函数

进一步地，根据域名解析探测到的数据，获取每个区域节点的依赖关系邻接矩阵，所述依赖关系邻接矩阵分别为

进一步地，所述步骤S102中，计算区域节点的重要性，包括：

按照如下公式计算每个区域节点的重要性：

其中，u为待计算区域节点，ZR(u)为待计算区域的重要性评分，

进一步地，所述步骤S103中，计算区域节点给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，包括：

所述区域节点的重要性作为给所述域名服务器传递的重要性信息的初始值，从网页爬取的漏洞评分作为漏洞节点给所述域名服务器传递的脆弱性信息的初始值；

按如下公式分别计算各个区域节点传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值：

其中，

进一步地，所述步骤S103中，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果，即综合重要性信息估计值及脆弱性信息估计值，得到域名服务器的安全威胁计算公式：

其中，

根据本发明第二方面，提供一种基于异构信息网络的域名服务器安全威胁分析装置，所述装置包括：

模型建立模块：配置为提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，构建异构信息网络模型；

重要性计算模块：配置为从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式；根据所述多关系网络模式，计算区域依赖邻接矩阵，计算区域的重要性；

计算模块：配置为从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系，调整所述异构信息网络模型；计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果。

根据本发明第三方面，提供一种基于异构信息网络的域名服务器安全威胁分析系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。

根据本发明第四方面，提供一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。

根据本发明的上述方案，通过设置域名服务器安全威胁评估的目标，目标包括：构建域名系统网络表征清晰地描述区域之间的相互依赖关系；根据区域之间的多重依赖关系迭代计算区域的重要性初始值；利用区域和域名服务器的关系计算域名服务器的重要性，关联域名服务器软件和漏洞信息，对域名服务器的脆弱性进行计算，结合重要性和脆弱性得到域名服务器安全威胁，具有以下技术效果：（1）既考虑了域名服务器在网络中的重要性，又考虑了域名服务器自身属性带来的安全风险，制定出的防护策略具备更强的性价比。（2）域名系统异构信息网络模型具备较强的可扩展性，可以对关注的节点和关系进行细分，对不太关注的节点和关系进行合并；也可以方便地修改网络模式，添加和删除网络要素，使得模型能适应多种应用场景，具备良好的可扩展性。（3）利用异构信息网络模型，将域名系统中区域之间的多重依赖关系及其与域名服务器的代理关系表征成为清晰的网络模式，具备较强的依赖关系表征能力，不同域名节点重要程度由其依赖节点传递而来，使得域名服务器安全威胁计算结果更具合理性和准确性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，并可依照说明书的内容予以实施，以下以本发明的较佳实施例并配合附图详细说明如后。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明提供如下附图进行说明。在附图中：

图1为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法流程图；

图2为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法的细节实现的流程图；

图3为本发明一个实施方式的example.com区域文件记录示意图；

图4为本发明一个实施方式的域名服务器安全威胁评估整体网络模式示意图；

图5为本发明一个实施方式的域名服务器安全威胁计算网络模型示意图；

图6为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析装置结构框图。

具体实施方式

首先结合图1说明为本发明一个实施方式的基于异构信息网络的域名服务器安全威胁分析方法。如图1-2所示，所述方法包括以下步骤：

步骤S101：提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，构建异构信息网络模型；

步骤S102：从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式；根据所述多关系网络模式，计算区域依赖邻接矩阵，计算区域的重要性；

步骤S103：从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系，调整所述异构信息网络模型；计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果。

所述步骤S101：提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，构建异构信息网络模型，其中：

基于域名解析查询和网页爬虫获取结构化的原始数据，通过正则匹配提取域名系统的网络要素实体及实体间关系，例如，网络要素实体包括但不限于：区域、域名服务器、服务软件、漏洞，实体间关系包括但不限于：域内授权、兄弟授权、无关授权、具有权威、存在于。

域名系统的层次结构以及解析代理机制，不可避免地在区域之间引入了依赖关系。DNS父域向子域包含了子域依赖父域提供解析。另外，除了层次结构导致的父子依赖，区域之间的依赖关系还包括间接授权方式下的其他授权记录对应的区域。总的来说，由于区域授权导致的依赖关系即所述相关要素之间的依赖关系，包括域内授权、兄弟授权、无关授权三类。

所述相关要素之间的依赖关系，包括域内授权(in-domain delegation)、兄弟授权(sibling delegation)、无关授权(unrelated delegation)；所述域内授权包括本级区域授权和子孙区域授权；所述域内授权为授权记录所对应的域名在本区域之内；所述兄弟授权为授权记录所对应的域名不在本区域之内，但是在父域之内；所述无关授权为授权记录对应的域名既不在本区域之内，也不在父域之内。

在本实施例中，如图3所示，区域example.com的授权记录dns.example.com属于本级区域内授权；授权记录dns.sub.example.com属于子孙区域内授权；区域example.com的授权记录dns.other.com属于example.com的兄弟区域other.com；区域example.com的授权记录dns.example.net已经超出了父区域com的范围，为无关授权。

本实施例中，通过梳理域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，基于所述相关要素及所述相关要素之间的依赖关系，构建异构信息网络模型，所述异构信息网络模型，是一个带有对象类型映射函数

通过域名解析查询可以获取区域Zone依赖的区域以及区域的域名服务器NS；通过网页爬取可以得到域名服务器漏洞Vul及其影响的软件版本software、漏洞评分等相关信息；域名服务器的软件版本可以通过指纹探测获得。对以上的实体要素和关系进行梳理可以构建出异构信息网络如图4所示。本实施例所构建的异构信息网络模型清晰展示了域名系统网络中的多种依赖关系，同时具备良好的可扩展性，可以根据应用场景随时扩充网络中的节点和关系。

所述步骤S102：从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式；根据所述多关系网络模式，计算区域依赖邻接矩阵，计算区域的重要性，其中：

区域之间由于区域授权引起三种依赖关系，即域内授权、兄弟授权、无关授权，基于所述区域以及上述三种依赖关系，构成多关系网络模式，所述多关系网络模式包括区域Zone一种实体作为节点和上述的三种依赖关系作为边。

根据所述多关系网络模式，得到区域依赖邻接矩阵，由于依赖关系为三种，则所述区域依赖邻接矩阵为三个。本实施例中，根据域名解析探测到的数据，获取每个区域在由于间接授权而引起的三种依赖关系，得到的依赖关系邻接矩阵分别为

本实施例中，假设有4个区域域内依赖关系是：a依赖于d; b依赖于a和c, c依赖于a; d依赖于b,那么

所述计算区域的重要性，即对构建的所述异构信息网络模型计算区域的重要性，在每一轮迭代计算中，分别计算该区域在上述三种关系下所述区域的影响力，再将计算出的影响力与预设权重相乘再求和，得到该区域在网络中的重要性，本实施例中，按照如下公式迭代计算每个区域的重要性：

按照如下公式计算每个区域节点的重要性：

其中，u为待计算区域节点，ZR(u)为待计算区域的重要性评分，

以域内授权为例，对于

本实施例中，使用改进的PageRank算法计算区域在多种依赖关系下的影响力，加权求和得到区域的重要性度量。不同区域重要程度由被其依赖区域传递而来，使得不同的区域在网络中具备不同的重要值，更加符合实际场景。

所述步骤S103：从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系，调整所述异构信息网络模型；计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果，其中：

从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系，所述关系包括域名服务器对区域的拥有权威关系，域名服务器上存在漏洞的存在关系；

所述调整所述异构信息网络模型的方式是通过域名服务器软件版本构建域名服务器和漏洞节点之间的关联关系。

本实施例中，从图4的网络模式中抽取出右半部分，通过软件版本将域名服务器和漏洞节点直接关联起来，调整后的异构信息网络模型如图5所示。调整后的异构信息网络模型是一个包含了3种节点和两种关系的异构信息网络模型。得到图5所示网络模型后，根据前期获取的数据构建区域-服务器关系矩阵

再对所述数据构建区域-服务器关系矩阵

本实施例中，计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，包括：所述区域的重要性作为给所述域名服务器传递的重要性信息的初始值，从网页爬取的漏洞评分作为漏洞节点给所述域名服务器传递的脆弱性信息的初始值；

按如下公式分别计算各个区域传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值：

其中，

本实施例中，迭代计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息。

结合图4的网络模型对所述域名服务器面临的安全威胁进行迭代处理，本实施例中，使用如下的权威排名准则：网络中的区域重要性越高，则负责该区域解析的域名服务器的重要性越高；漏洞节点的脆弱性评分越高，则被该漏洞节点影响的域名服务器的脆弱性越高。

所述结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果，即综合重要性信息估计值及脆弱性信息估计值，得到域名服务器的安全威胁计算公式：

其中，

本实施例中，可以将计算各个区域传递的重要性信息估计值和漏洞节点传递的脆弱性信息估计值的公式、综合重要性信息估计值及脆弱性信息估计值，得到域名服务器的安全威胁计算公式迭代计算，得到最终的收敛值或者前后两次结果差小于某一阈值，例如，优选为10

本实施例的方法弥补了以往方法中不考虑节点自身脆弱性的不足。

本发明实施例进一步给出一种基于异构信息网络的域名服务器安全威胁分析装置，如图6所示，所述装置包括：

模型建立模块：配置为提取域名系统的网络要素实体及实体间关系；确定所述域名系统中影响域名服务器重要性和脆弱性的相关要素以及所述相关要素之间的依赖关系，构建异构信息网络模型；

重要性计算模块：配置为从所述异构信息网络模型中提取区域以及由区域之间的依赖关系构成的多关系网络模式；根据所述多关系网络模式，计算区域依赖邻接矩阵，计算区域的重要性；

计算模块：配置为从所述异构信息网络模型中提取区域、域名服务器和漏洞节点以及其关系，调整所述异构信息网络模型；计算区域给所述域名服务器传递的重要性信息、漏洞节点给所述域名服务器传递的脆弱性信息，结合所述重要性和脆弱性信息，得到所述域名服务器的安全威胁度量结果。

本发明实施例进一步给出一种基于异构信息网络的域名服务器安全威胁分析系统，包括：

处理器，用于执行多条指令；

存储器，用于存储多条指令；

其中，所述多条指令，用于由所述存储器存储，并由所述处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。

本发明实施例进一步给出一种计算机可读存储介质，所述存储介质中存储有多条指令；所述多条指令，用于由处理器加载并执行如前所述的基于异构信息网络的域名服务器安全威胁分析方法。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，实体机服务器，或者网络云服务器等，需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(RandomAccess Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰，均仍属于本发明技术方案的范围内。