域名解析系统（Domain Name System,DNS）是维持互联网活动的一项核心服务。一旦DNS系统遭受攻击,就可能导致域名解析服务的崩溃。最常见的DNS攻击方法是DNS缓存投毒攻击。一旦DNS服务器缓存记录受到污染,用户通过受害服务器对于被污染域名的访问均会被重定向至攻击者所控制的恶意IP地址。本文应用拟态防御架构开展抗缓存投毒的DNS系统研究。拟态防御是一种基于“动态异构冗余”（Dynamic Heterogeneous Redundancy,DHR）的新型防御架构,属于主动防御机制。拟态系统利用动态调度对自身攻击面进行变换,使攻击者难以通过试错等经验方法获知系统信息,提高攻击难度,并通过多模裁决提高系统容错能力。应用拟态防御可有效抵御网络中的新型攻击和未知威胁,提高网络设备的安全性和稳定性。根据以上思想,本文提出了一种基于拟态防御架构的DNS系统,简称拟态DNS系统。本文首先构建了拟态DNS系统中由多个互相异构的DNS执行体组成的执行体池。在每次调度周期开始时,由动态调度模块从执行体池中根据调度策略抽取部分执行体作为该周期的在线执行体,并由输入输出代理模块进行DNS请求分发。此外,本文提出一种基于改进AHP-FCE模型的多指标拟态表决算法,作为拟态DNS系统的多模裁决策略。该算法将执行体的不同输出结果划分为若干个评价对象,计算这些评价对象的一致度、历史置信度、异构度指标,并利用改进AHP-FCE模型对这些指标进行综合分析评价,得出最优选择。在裁决结束后将异常信息反馈至动态调度模块,动态调度模块对异常执行体实施下线清洗,消除恶意缓存,形成闭环负反馈的调节机制。其中,动态调度模块与执行体间的控制指令采用了混沌压缩加密算法进行加密保护,并进一步结合了RSA加密保障身份认证和混沌压缩加密密钥传输的安全。本文完成该算法的开发工作并应用于拟态DNS系统中。本文对拟态DNS系统对抗DNS缓存投毒攻击的防御性能进行了实验评估。首先采用新型DNS缓存投毒攻击SAD DNS分别针对多种不同的非拟态架构DNS服务器进行防御性能综合评估,然后将基于改进AHP-FCE模型的多指标拟态表决算法与多数表决进行对比,验证其性能,最后基于以上结果选择其中性能相对最优的非拟态架构DNS服务器与拟态DNS系统进行重复对比实验,比较两者对抗缓存投毒攻击的防御性能。实验数据显示,在多次重复实验下,相对性能最优的非拟态架构DNS服务器Bind9应答正确率也仅有42.3%,而在攻击强度最大的情况下,拟态DNS系统仍有60.2%的应答正确率,在攻击强度较低时应答正确率能高达80%以上。实验结果表明,拟态DNS系统能有效降低DNS缓存投毒攻击的成功率,比非拟态架构的DNS服务器具有更高的安全性和鲁棒性。最后,本文对拟态DNS系统的时间性能进行了测试。