DNS服务抗毁性关键技术研究

DNS作为互联网的基础服务，起着重要作用。然而，目前的DNS设计远远满足不了互联网的飞速发展，包括互联网新应用的增长和攻击行为的多样化、普遍化。本课题在现有DNS协议基础上，研究轻量级的DNS服务抗毁性关键技术，包括通过分析现有针对DNS攻击的行为特征，从协议层面研究基于DNS客户端信誉的主动流量控制技术、具有高抗毁性的生存期和更新分离的缓存技术；从软件实现层面研究DNS自动错误诊断技术和自适应服务器选择技术；从部署层面研究基于网络拓扑动态感知的分级缓存部署策略。研究目标是在兼容现有DNS环境的基础上设计一套提高DNS抗毁性的综合解决方案，为构建安全、可靠、高效的DNS解析服务提供技术和理论支持。.基于本课题的研究成果，我们将研发提升DNS服务抗毁性的原型系统，并在真实DNS环境中应用示范。

在DNS 流量分析方面，利用排队理论对DNS解析进行建模，得到分布式拒绝服务攻击下DNS缓存服务器性能的定量描述，从理论上阐明了DNS缓存服务器性能下降的机理；提出一种利用错误域名的查询有效“穿透”DNS缓存服务器的洪泛拒绝服务攻击，并通过建模分析和实验得到这种攻击对DNS缓存服务器和权威服务器的影响；提出适合于检测DNS流量异常的权重K-means（W-Kmeans）算法和利用固定时间片的相关分析方法，并通过CN顶级域名服务器的查询日志验证，进一步研究优化方法和参数选择问题；基于DNS查询共现的聚类分析，提出DNS查询发现的统一理论框架，提出其在两个方面的应用。在DNS错误诊断和自适应服务器选择技术方面，提出一种新的DNS反向解析和自验证机制，提供DNS反向解析验证的完备性，有效减少解析时延和网络开销；提出一种高效的DNSSEC区域遍历算法，在查询次数和存储空间两方面同时达到最优；提出一种DNS授权错误的自动识别和校正方法，构造DNS授权错误判别树，通过对多个大顶级域域名的实验，验证了该方法的有效性；提出一种自适应服务器选择方法，根据查询性能的带内测量机制选择最优的权威服务器，改善DNS查询性能；提出一种轻量级的远程DNS方案，在DNS请求的域名中嵌入源地址信息，不需要递归服务器升级的支持，更有利于部署推广。在DNS自适应部署技术和缓存部署策略方面，提出DNS服务器负载分布的分析模型，对多台DNS服务器之间的负载分布做出预测，从而可以根据流量的动态变化做出适当的调整；提出DNS查询的分析模型，并利用缓存的更新过程建模，得到缓存对DNS查询分布影响的显式表达，对DNS服务器负载规划和用户查询模式分析有着重要的意义；针对为未排序的数据找到排序后曲线的最大拐点的问题,提出一种利用步进top-k排序的时间复杂度最小的高效拐点查找算法，并成功应用到DNS DoS攻击源的检测上，验证了算法的有效性。在DNS服务及其安全标准化方面，提出符合我国域名服务的实际情况的域名服务业务连续性管理要求；提出域名服务系统安全扩展协议（DNSSEC）的功能、协议和工作原理，并提出实现DNSSEC的部署要求；制定一整套域名注册系统的标准规范；规定在互联网体系上使用中文域名的总体技术要求、解析体系要求、注册管理规范。