ICS 35.100.70 CCS L79 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T XXXX—202X 域名服务安全事件评价指标要求 Specifications for DNS security incident assessment （报批稿） 202×-××-××发布 202×-××-××实施 中华人民共和国工业和信息化部 发布YD/T XXXX—202X I目 次 前 言 ............................................................................... II 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语和定义 ............................................................................ 1 4 缩略语 ................................................................................ 1 5 概述 .................................................................................. 1 6 域名服务安全事件细化评价指标 .......................................................... 1 6.1 DNS查询流量 ...................................................................... 2 6.2 DNS查询成功比率 .................................................................. 2 6.3 DNS查询响应时间 .................................................................. 3 6.4 域名服务器接入带宽消耗 ............................................................ 3 6.5 DNS查询请求类型变化 .............................................................. 4 6.6 DNS查询请求来源变化 .............................................................. 4 6.7 DNS查询请求重复比率 .............................................................. 5 6.8 DNS查询请求无效比率 .............................................................. 5 6.9 DNS查询应答错误比率 .............................................................. 6 7 域名服务安全事件综合评价指标 .......................................................... 7 7.1 受影响时长 ........................................................................ 7 7.2 受影响用户比例 .................................................................... 7 7.3 受影响区域比例 .................................................................... 8 YD/T 2016—1910 II前 言 本文件按照 GB/T 1.1-2020 《标准化工作导则 第1部分：标准化文件的结构和起草规则》给出的规 则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国互联网络信息中心、暨南大学、互联网域名系统北京市工程研究中心有限公 司、国家计算机网络应急技术处理协调中心 、中国科学院计算技术研究所 、北京天融信网络安全技术有 限公司。 本文件主要起草人 ：尉迟学彪，李洪涛，董科军，延志伟，耿光刚、邢志杰、马迪、苑卫国、张志 勇、陈勇、张思睿、李海灵、王翠翠、王龑。 YD/T XXXX—202X 1域名服务安全事件评价指标要求 1　范围 本文件规定了公众电信网和互联网相关域名服务安全事件的评价指标 ，以实现对域名服务安全事件 影响程度的事后评价，其中涉及的域名服务包括权威域名服务和递归域名服务。 本文件适用于互联网域名服务机构，为其域名服务安全事件评价工作提供参考。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于 本文件；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 YD/T 2135-2010 域名系统运行总体技术要求 3　术语和定义 YD/T 2135-2010 界定的以及下列术语和定义适用于本文件。 3.1　 域名安全事件 DNS security incidents 直接或间接对域名服务的正常运转带来不利影响的各类网络攻击或网络故障等安全事件。 4　缩略语 下列缩略语适用于本文件。 DNS：域名服务系统（ Domain Name System） DDoS：分布式拒绝服务（ Distributed Denial of Service） IP：互联网协议（ Internet Protocol ） NS：名字服务器（ Name Server） SOA：起始授权记录（ Start of Authority ） TLD：顶级域（ Top Level Domain） 5　概述 根据评价维度的不同 ，域名服务安全事件评价指标主要分为两大类 ，即细化类评价指标和综合类评 价指标。 其中，细化类评价指标包括： a) DNS查询流量； b) DNS查询成功比率； c) DNS查询响应时间； d) 域名服务器接入带宽消耗； e) DNS查询请求类型变化； f) DNS查询请求来源变化； g) DNS查询请求重复比率； h) DNS查询请求无效比率； i) DNS查询应答错误比率。 综合类评价指标包括： a) 受影响时长； YD/T 2016—1910 2b) 受影响用户比例； c) 受影响区域比例。 6　域名服务安全事件细化评价指标 6.1　DNS查询流量 指标编号： 5.1-Query-Rate 指标名称： DNS查询流量 适用对象：权威域名服务器、递归域名服务器 适用场景： DDoS攻击等 指标描述： 统计该域名服务器所接收到的 DNS查询流量在该安全事件期间的变化情况，并与历史值 作对比。 指标含义： 1） 若DNS查询流量相对于历史同期稳定状态的变化程度不高于预先设定 的阈值（例 如20%），表明该域名服务器的 DNS查询流量相对稳定，该 安全事件对该域名服务的影响 较小。 2） 若DNS查询流量相对于历史同期稳定状态的变化程度高于预先设定的阈值 ，表明 该安全事件对该域名服务的影响较大。 6.2　DNS查询成功比率 指标编号： 5.2-Query-Success-Rate 指标名称： DNS查询成功比率 适用对象：权威域名服务器、递归域名服务器 适用场景： DDoS攻击等 指标描述： 统计该域名服务器的 DNS查询成功比率在该安全事件期间的变化情况，并与历史值作对比 。 YD/T XXXX—202X 3指标含义： 1） 若DNS查询成功比率不低于预先设定的阈值（例如 95%），表明该域名服务器的 DNS查询成功比率相对稳定，该安全事件对该域名服务的影响较小。 2） 若DNS查询成功比率低于预先设定的阈值，表明该域名服务器的 DNS查询成功比 率存在异常，该安全事件对该域名服务的影响较大。 6.3　DNS查询响应时间 指标编号： 5.3-Average-Response-Time 指标名称： DNS查询响应时间 适用对象：权威域名服务器、递归域名服务器 适用场景： DDoS攻击等 指标描述： 统计该域名服务器的 DNS查询平均响应时间在该安全事件期间的变化情况