当攻击发生时，安全机器人能够在无人值守的情况下，自动识别攻击，主动采取措施，让域名系统免于长时间的攻击威胁。

随着智慧校园信息化建设的高速发展，北京理工大学的权威域名服务范围越来越广，运行复杂度越来越高。目前学校已开通4个权威域名，300余个主机域名，权威域名服务是学校教育信息化工作的重要基础设施。

据互联网相关权威机构的安全报道，面向DNS的攻击频度仅次于网站攻击。但域名安全往往被忽视，这也是近年来网络安全领域最薄弱的环节之一。面对如此严峻的安全态势，北京理工大学的权威域名安全工作迫切需要加强升级。

北京理工大学教育域名安全服务平台

考虑到域名系统的专业性强，传统的域名安全防护专业人才匮乏，学校的域名安全服务平台部署了域名安全机器人，对多节点权威域名服务提供7×24小时、全年无休的实时防护，提升了全校域名的安全稳定性。

域名安全机器人

域名安全机器人是一个基于域名攻击大数据的智能分析和处置引擎，包括攻击流量识别、阻断控制、智能学习等模块。

攻击特征库

基于DNS攻击类型的不同，攻击特征有很大不同，目前已知的攻击类型有四类，包括域名劫持、缓存投毒等，每一类的攻击特征时常发生变化。

域名劫持

通过采用非法的攻击手段控制域名管理密码和管理邮箱，然后将该域名的DNS纪录指向某个DNS服务器，再在该DNS服务器上添加域名纪录。

缓存投毒

控制DNS递归服务器，把原本准备访问某网站的用户在不知不觉中带到攻击者指向的其他网站上。其实现方式有多种，比如，当用户权威域名服务器被同时作为递归服务器使用时，利用权威域名服务器的漏洞实施缓存投毒攻击，将错误的域名纪录存入缓存中，从而使所有使用该递归服务器的用户得到错误的解析结果。

DDoS攻击

通常利用BIND软件中的漏洞，导致DNS服务器崩溃或拒绝服务;另一种攻击的目标不是DNS服务器，而是利用DNS服务器作为中间的“攻击放大器”，去攻击其它互联网上的主机，导致被攻击主机拒绝服务。

DNS欺骗

攻击者冒充域名服务器的一种欺骗行为。在DNS缓存还没有过期之前,如果有客户查询在DNS缓存中已经存在的记录，DNS服务器将会直接返回缓存中的记录。

攻击识别

带有攻击特征的流量出现时，安全机器人开始观察、取证。在一定时间段内攻击流量成型并保持持续状态，安全机器人比对攻击特征库，若特征库中有此攻击定义，则识别为攻击。

阻断控制

安全机器人与各类控制单元（如防火墙、流量控制设备等）建有接口。已识别的攻击者将被送往控制单元进行阻断或采取其他限制措施。阻断控制手段采取后，攻击者将失去影响域名服务和服务平台的能力。针对伪造重要服务器IP的攻击，采取白名单和流量控制措施加以调控，以避免误伤。

智能学习

安全机器人的能力很大程度上取决于攻击特征库的丰富程度。一开始，这个攻击特征库是预设的，随着攻击识别量越来越多，域名攻击的数据集也越来越多，攻击特征存在随时变化和升级的预期，因此安全机器人也需要具备基于攻击数据集的智能学习能力。当多个学校不同设备的数据集构成一个域名攻击大数据时，其智能学习效率将大为提高。

 域名安全机器人配置

北京理工大学共有三台权威域名设备，一个主站，二个辅站，主站与辅站实现统一管理。主站和辅站分别部署一个安全机器人。安全机器人负责对各自的域名服务开展7×24小时不间断的安全值守工作，从攻击识别到阻断控制，实现了完全无人值守。学校的安全服务团队事后进行巡查，评估域名机器人的工作，并对机器人工作进行优化。

域名安全机器人相关实践

学校的域名安全服务平台正处于测试阶段，运行2个月以来，遭遇到多次较大流量的攻击。在未经处理的情况下，攻击流量高达日常流量的50~100倍。

图1为2019年7月30日至8月6日的权威DNS流量图，其中高峰为攻击发生流量，可以看到这一周的工作日经常发生攻击。

图1 北京理工大学2019年7月30日至8月6日的权威DNS流量

通过安全机器人的及时处置，学校的权威域名服务始终保持安全可控状态。攻击流量发生后，即被安全机器人有效控制，一方面峰值流量下降了2/3，另一方面攻击现象在处置后立即消失。

以2019年8月5日的攻击数据为例进行说明（见表1），当天共有4次攻击行为，每次攻击发生时即被有效控制，系统记录了17个攻击相关IP。

表1 2019年8月5日的攻击数据

这些IP大部分分布在国内东部省市不同的运营商，可能是攻击源，也可能是被攻击的受害者。在这些轮番攻击中，通过安全机器人第一时间的及时应对，学校的网络环境始终保持安全和稳定，权威域名服务正常运转，未受到任何影响。

域名安全机器人上线以来的测试运行期数据证明，安全机器人值班，对流量实时监控，并与安全服务团队定期巡检相结合的模式，可以保证学校权威域名服务的安全稳定。当攻击发生时，安全机器人能够在无人值守的情况下，自动识别攻击，主动采取措施，让域名系统免于长时间的攻击威胁。

在这项专业性很强的业务工作中，安全机器人与权威域名安全服务的深度融合是学校DNS工作的一次大胆创新和实践，是智慧校园智能服务升级的一次领先尝试。

（本文刊载于《中国教育网络》杂志2019年10月刊，原标题《北京理工大学域名安全机器人上线》，作者：卢肖，单位为北京理工大学网络信息技术中心）