劉 穎，唐建強(qiáng)，張宏科

（北京交通大學(xué) 電子信息工程學(xué)院，北京100044）

0 引 言

傳統(tǒng)互聯(lián)網(wǎng)體系結(jié)構(gòu)中，IP地址在語義上承載了雙重含義，一方面標(biāo)識(shí)用戶身份信息，用于端到端的通信連接，例如TCP協(xié)議使用雙方的＜IP地址，端口號(hào)＞來唯一標(biāo)識(shí)一個(gè)TCP連接；另一方面標(biāo)識(shí)用戶的拓?fù)湮恢眯畔?，用于?duì)數(shù)據(jù)包進(jìn)行路由，這通常稱為IP地址的二義性或雙重屬性［1］。研究發(fā)現(xiàn)，IP地址的這種雙重屬性以及互聯(lián)網(wǎng)開放、信任、自治的設(shè)計(jì)思想在互聯(lián)網(wǎng)路由擴(kuò)展性、移動(dòng)性和安全性等方面引發(fā)了嚴(yán)重問題［2－3］。因此，將節(jié)點(diǎn)身份信息與位置信息進(jìn)行分離成為未來互聯(lián)網(wǎng)絡(luò)理論與技術(shù)研究的重要內(nèi)容之一。目前，具有代表性的實(shí)現(xiàn)方案包括：思科公司 提 出 的 LISP 協(xié) 議［4］； 針 對(duì) LISP 的 改 進(jìn) 協(xié) 議 Ivip［5－6］；TIDR協(xié)議［7］以及國家 “973”項(xiàng)目 “一體化可信網(wǎng)絡(luò)和普適服務(wù)研究”提出了一種全新的一體化標(biāo)識(shí)網(wǎng)絡(luò)體系［8－9］等。

身份與位置分離網(wǎng)絡(luò)（以下簡稱分離映射網(wǎng)絡(luò)）中節(jié)點(diǎn)身份標(biāo)識(shí)和位置標(biāo)識(shí)的分離以及它們之間的映射使得該網(wǎng)絡(luò)的通信機(jī)制發(fā)生了改變。這種通信機(jī)制的變化，使得網(wǎng)絡(luò)的安全性也相應(yīng)受到了改變。對(duì)分離映射網(wǎng)絡(luò)的研究，目前還僅限于該機(jī)制的網(wǎng)絡(luò)協(xié)議體系、映射解析機(jī)制、移動(dòng)性和過渡方案等。如TIDR主要討論了如何解決全局路由表膨脹以及多家鄉(xiāng)等問題。LISP主要在映射機(jī)制、數(shù)據(jù)封裝格式以及移動(dòng)性擴(kuò)展等方面提出了相應(yīng)草案。關(guān)于分離映射網(wǎng)絡(luò)整體上的安全性研究，目前國內(nèi)外還沒有廣泛展開。在當(dāng)前網(wǎng)絡(luò)安全形式越來越嚴(yán)峻的情況下，為了保證未來互聯(lián)網(wǎng)絡(luò)的可持續(xù)發(fā)展，迫切需要對(duì)分離映射網(wǎng)絡(luò)的安全性進(jìn)行研究。本文在研究分離映射網(wǎng)絡(luò)基本架構(gòu)模型的基礎(chǔ)上，提出了一種基于損失期望的攻擊圖建模評(píng)估方法，對(duì)傳統(tǒng)網(wǎng)絡(luò)和分離映射網(wǎng)絡(luò)中權(quán)限提升攻擊造成的威脅進(jìn)行建模分析對(duì)比，證明了分離映射網(wǎng)絡(luò)對(duì)權(quán)限提升攻擊具有良好的緩解作用。

1 分離映射基本網(wǎng)絡(luò)模型

通過分析和研究，可以歸納LISP、Ivip、TIDR和一體化標(biāo)識(shí)網(wǎng)絡(luò)等各種實(shí)現(xiàn)機(jī)制的共性包括：①根據(jù)拓?fù)浣Y(jié)構(gòu)將網(wǎng)絡(luò)分為接入網(wǎng)部分和核心網(wǎng)部分。其中接入網(wǎng)實(shí)現(xiàn)各種類型的終端或者子網(wǎng)（如固定、移動(dòng)、傳感網(wǎng)絡(luò)等）的接入；核心網(wǎng)負(fù)責(zé)位置管理和全局路由。將網(wǎng)絡(luò)依據(jù)拓?fù)湮恢眠M(jìn)行劃分是身份與位置分離機(jī)制的本質(zhì)要求，這樣，不論何時(shí)何地，一個(gè)標(biāo)識(shí)都不會(huì)同時(shí)具有身份和位置兩種功能。②從數(shù)據(jù)轉(zhuǎn)發(fā)平面劃分出兩類標(biāo)識(shí)空間：身份標(biāo)識(shí)（identifier，ID）和位置標(biāo)識(shí)（locator，LOC）。身份標(biāo)識(shí)代表終端的身份信息，在接入網(wǎng)中使用。位置標(biāo)識(shí)在核心網(wǎng)中使用，用于全局路由。另外，身份標(biāo)識(shí)與位置標(biāo)識(shí)不能直接互通，數(shù)據(jù)包穿越標(biāo)識(shí)空間時(shí)必須進(jìn)行映射。③需要有特定設(shè)備完成標(biāo)識(shí)解析映射服務(wù)。通常情況下，由位于接入網(wǎng)與核心網(wǎng)連接處的接入路由器（access router，AR）負(fù)責(zé)完成ID與LOC之間的解析映射。全網(wǎng)映射信息通常以分布或者集中的方式存儲(chǔ)在核心網(wǎng)的特定設(shè)備中，本文將負(fù)責(zé)映射信息維護(hù)的除接入路由器以外的所有核心網(wǎng)設(shè)備統(tǒng)稱為映射服務(wù)器（mapping server，MS）。因此，為不失一般性，不考慮各個(gè)方案的具體實(shí)現(xiàn)機(jī)制，分離映射網(wǎng)絡(luò)的基本網(wǎng)絡(luò)模型如圖1所示。

圖1 分離映射基本網(wǎng)絡(luò)模型

2 基于損失期望的攻擊圖建模評(píng)估方法

在網(wǎng)絡(luò)安全分析方法研究中，通過攻擊圖建模分析得出定性或定量的網(wǎng)絡(luò)安全性結(jié)果是一種有效方法。攻擊圖模型根據(jù)網(wǎng)絡(luò)拓?fù)?、狀態(tài)和脆弱性信息建模，分析得到攻擊者從攻擊起點(diǎn)到達(dá)其攻擊目標(biāo)的所有路徑的有向圖，為攻擊場景提供了一種可視化分析方法。通過對(duì)文獻(xiàn) ［12－14］的分析可以看出，攻擊圖本質(zhì)都是根據(jù)網(wǎng)絡(luò)狀態(tài)和脆弱性信息，分析得到攻擊者對(duì)網(wǎng)絡(luò)脆弱性的可能利用序列，并將這些序列組成一張有向圖，即為攻擊圖。因此，對(duì)攻擊圖及其組成要素定義如下：

攻擊圖G＝（As，At，T，E）由節(jié)點(diǎn)和有向邊組成，其中E為有向邊集合；節(jié)點(diǎn)分為兩類：屬性節(jié)點(diǎn)集合（包括初始屬性節(jié)點(diǎn)集合As以及可達(dá)屬性節(jié)點(diǎn)集合At）和原子攻擊節(jié)點(diǎn)集合T。屬性節(jié)點(diǎn)代表目標(biāo)主機(jī)及其所在網(wǎng)絡(luò)（簡稱目標(biāo)網(wǎng)絡(luò)）信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和主機(jī)狀態(tài)，以及攻擊者的能力條件；原子攻擊節(jié)點(diǎn)代表攻擊者能夠造成一定攻擊效果的不可繼續(xù)細(xì)分的最基本的攻擊過程［12］。攻擊圖G滿足：

根據(jù)上述攻擊圖定義，可以得到生成攻擊圖的基本思路：以屬性節(jié)點(diǎn)之間的遷移為核心，單個(gè)原子攻擊作為屬性節(jié)點(diǎn)之間遷移的驅(qū)動(dòng)行為，而遷移到達(dá)的屬性節(jié)點(diǎn)又成為下一個(gè)原子攻擊的前提條件。由初始屬性節(jié)點(diǎn)層層遞進(jìn)，直到遍歷完所有可達(dá)屬性節(jié)點(diǎn)。屬性節(jié)點(diǎn)通過原子攻擊遷移的過程就形成了攻擊圖。攻擊圖生成之后，可以通過它對(duì)網(wǎng)絡(luò)的安全性進(jìn)行定量分析。文獻(xiàn) ［13，15］中提出了計(jì)算攻擊路徑上所有弱點(diǎn)的攻擊復(fù)雜度乘積，用以表達(dá)攻擊者通過此路徑成功到達(dá)目標(biāo)節(jié)點(diǎn)的概率。本文在上述方法的基礎(chǔ)上，提出的了一種計(jì)算損失期望得到定量分析結(jié)果的方法，具體方案如下：

（1）根據(jù)攻擊圖定義中描述的約束條件，設(shè)一個(gè)攻擊序列pathm為Am，0→tm，0→ Am，1→tm，1…Am，n－1→tm，n－1→Am，n，其中tm，i為攻擊序 列 中 的 原 子 攻 擊 節(jié) 點(diǎn)，Am，i＝｛am，i，0，am，i，1，…am，i，k｝為攻擊 序 列 中 的 屬 性 節(jié) 點(diǎn) 集 合（n ≥1，0≤i≤n，k≥1），am，i，0，am，i，1…am，i，k為Am，i中的屬性節(jié)點(diǎn)。

（2）屬性節(jié)點(diǎn)代表了攻擊過程中目標(biāo)網(wǎng)絡(luò)或主機(jī)受到的損失狀況，因此給攻擊圖中的屬性節(jié)點(diǎn)賦予相應(yīng)的損失值，設(shè)包含有k個(gè)屬性節(jié)點(diǎn)的集合Am，i的損失值為L（Am，i），屬 性 節(jié) 點(diǎn) am，i，j的 損 失 值 為 Lm，i，j， 于 是 有 L（Am，i）＝為了避免重復(fù)計(jì)算屬性節(jié)點(diǎn)的損失值，設(shè)如果Am，i中已包含某屬性節(jié)點(diǎn)，則該攻擊序列pathm中Am，i的后續(xù)屬性節(jié)點(diǎn)集合 Am，i＋1…Am，n均不包含該屬性節(jié)點(diǎn)，即：有

（3）設(shè)原子攻擊tm，i單獨(dú)成功概率為pm，i，即屬性節(jié)點(diǎn)集合Am，i到屬性 節(jié) 點(diǎn) 集 合Am，i＋1的 轉(zhuǎn) 移 成 功 概 率 為 pm，i，于是攻擊序列pathm中，從初始屬性節(jié)點(diǎn)集合Am，0到屬性節(jié)點(diǎn)集合Am，i＋1的可達(dá)概率為

（4）由以上設(shè)定可得攻擊圖中一條包含n＋1個(gè)屬性節(jié)點(diǎn)集合的攻擊序列pathm的損失期望為

（5）攻擊者根據(jù)其攻擊能力和攻擊目的，會(huì)按照攻擊圖中所有攻擊序列中的1條或多條對(duì)目標(biāo)進(jìn)行攻擊，設(shè)攻擊者選擇的攻擊序列為pathm0，pathm1…pathmx－1，可以得到攻擊對(duì)目標(biāo)網(wǎng)絡(luò)造成的損失期望為

根據(jù)R值評(píng)估攻擊對(duì)目標(biāo)造成的損失情況，完成對(duì)網(wǎng)絡(luò)安全性的定量分析。下面將根據(jù)上述攻擊圖建模評(píng)估方法對(duì)兩種網(wǎng)絡(luò)環(huán)境中權(quán)限提升攻擊進(jìn)行分析對(duì)比。

3 傳統(tǒng)網(wǎng)絡(luò)建模分析

首先建立網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖2所示。A、B、C、D1、D2…Dn均為普通主機(jī)，其中，主機(jī)A、B、C在路由器R2連接的同一個(gè)接入網(wǎng)中。為了簡化模型主機(jī)T，D1…Dn所在的接入網(wǎng)都只有他們自身一臺(tái)主機(jī)。為便于分析，設(shè)定如下約束條件：主機(jī)A上開放Telnet服務(wù)，主機(jī)B為SSH服務(wù)器，主機(jī)C為IIS Web服務(wù)器。它們所在的接入網(wǎng)外的主機(jī)只允許訪問主機(jī)A上的服務(wù)，不允許直接訪問主機(jī)B和主機(jī)C上的服務(wù)。接入網(wǎng)內(nèi)的主機(jī)允許互相訪問。T為攻擊主機(jī)，攻擊者的攻擊目標(biāo)是主機(jī)C，目的是在主機(jī)C上獲得root權(quán)限［16］。

圖2 權(quán)限提升攻擊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

由于攻擊者只能訪問主機(jī)A，因此攻擊者將首先利用主機(jī)A上運(yùn)行的服務(wù)和存在的漏洞，提升自己在主機(jī)A上的權(quán)限，繼而通過主機(jī)A對(duì)主機(jī)B、C的訪問權(quán)限，以及主機(jī)B、C上運(yùn)行的服務(wù)和存在的漏洞，逐步提升自己在主機(jī)C上的權(quán)限。根據(jù)上述條件，得到傳統(tǒng)網(wǎng)絡(luò)中權(quán)限提升攻擊屬性節(jié)點(diǎn)和原子攻擊節(jié)點(diǎn)如下所示。

3.1 屬性節(jié)點(diǎn)

（1）Plvl（A）＝｛none，user，root｝：表示攻擊者在主機(jī)A上的權(quán)限級(jí)別，none代表無任何權(quán)限，user代表user權(quán)限，root代表root權(quán)限。它們滿足全序關(guān)系：none＜user＜root。同樣，還有Plvl（B）＝｛none，user，root｝等。由于攻擊者具有攻擊主機(jī)T的root權(quán)限，所以Plvl（T）的初值為root。攻擊發(fā)生前，攻擊者在其他主機(jī)上無任何權(quán)限，因此該屬性的其余初值均為none。

（2）R（T，A）＝｛0，1｝：表示主機(jī)T是否能訪問主機(jī)A，0代表否，1代表是。同樣的，還有R（T，B）＝｛0，1｝等。該屬性的初值分別為：R（T，A）＝1，R（T，B）＝0，R（T，C）＝0，R（A，B）＝1，R（A，C）＝1，R（B，C）＝1。

（3）Telnet（A）＝｛0，1｝：表示主機(jī)A上是否運(yùn)行著Telnet服務(wù)，0代表否，1代表是。Telnet（A）初值為1，其余處置均為0

（4）ssh（B）＝｛0，1｝：表示主機(jī)B上是否運(yùn)行著ssh服務(wù)，0代表否，1代表是。ssh（B）屬性初值為1，其余屬性初值均為0。

（5）IIS（C）＝｛0，1｝：表示主機(jī)C上是否運(yùn)行著IIS服務(wù)，0代表否，1代表是。IIS（C）初值為1，其余屬性初值均為0。

3.2 原子攻擊節(jié)點(diǎn)

（1）telnetd＿bof（T，A）：表示攻擊者對(duì)主機(jī)A發(fā)起telnetd緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（T，A）＝1，Plvl（T）＝root且Telnet（A）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（A）＝root，即攻擊者獲得主機(jī)A的root權(quán)限。

（2）sshd＿bof（A，B）：表示攻擊者利用主機(jī)A對(duì)主機(jī)B發(fā)起sshd緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（A，B）＝1，Plvl（A）＞＝user且ssh（B）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（B）＝root，即攻擊者獲得主機(jī)B的root權(quán)限。

（3）IIS＿bof（A，C）：表示攻擊者利用主機(jī)A對(duì)主機(jī)C發(fā)起IIS緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（A，C）＝1，Plvl（A）＞＝user且IIS（C）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（C）＝root，即攻擊者獲得主機(jī)C的root權(quán)限。

3.3 生成攻擊圖

由以上初始屬性節(jié)點(diǎn)、原子攻擊節(jié)點(diǎn)以及原子攻擊發(fā)生后的屬性改變，遍歷所有初始屬性節(jié)點(diǎn)，得到由初始屬性節(jié)點(diǎn)通過原子攻擊能達(dá)到可達(dá)屬性節(jié)點(diǎn)的路徑，生成傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊的攻擊圖，如圖3所示。

圖3 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊

圖3中一共有2條攻擊序列，分別用path0和path1表示。path0是先通過telnetd緩沖區(qū)溢出攻擊獲得主機(jī)A的root權(quán)限，之后利用主機(jī)A可以訪問主機(jī)B的屬性，對(duì)主機(jī)B發(fā)起sshd緩沖區(qū)溢出攻擊，獲得主機(jī)B的root權(quán)限，最后利用主機(jī)B對(duì)主機(jī)C發(fā)起IIS緩沖區(qū)溢出攻擊，獲得主機(jī)C的root權(quán)限。path1是先通過telnetd緩沖區(qū)溢出攻擊獲得主機(jī)A的root權(quán)限，之后利用主機(jī)A可以訪問主機(jī)C的條件，對(duì)主機(jī)C發(fā)起IIS緩沖區(qū)溢出攻擊，獲得主機(jī)C的root權(quán)限。

3.4 攻擊損失期望

根據(jù)圖3，對(duì)傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊造成的損失期望R進(jìn)行分析，相關(guān)設(shè)定如下：

（1）原子攻擊成功概率

path0和path1包含的原子攻擊的成功概率如表1所示。其中p0，0＝p1，0，為便于分析，設(shè)同類型原子攻擊成功概率相同，即p0，2＝p1，1。對(duì)于屬性Plvl（C）＝root，path0中的可 達(dá) 概 率 為p0，0，2＝p0，0＊p0，1＊p0，2，path1中的可達(dá)概率為p1，0，1＝p1，0＊p1，1，可得p1，0，1＞p0，0，2。攻擊者的攻擊目標(biāo)是獲得主機(jī)C的root權(quán)限，即達(dá)到屬性Plvl（C）＝root，此時(shí)選取攻擊序列path1成功概率更大，因此攻擊者會(huì)選取path1進(jìn)行攻擊，于是根據(jù)公式（2）有R＝R（path1）。

表1 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊原子攻擊成功概率

（2）屬性的損失值

由于只需要計(jì)算R（path1），于是設(shè)圖3中path1包含的屬性節(jié)點(diǎn)及屬性節(jié)點(diǎn)對(duì)應(yīng)的損失值如表2所示。由于攻擊者的目標(biāo)是獲得主機(jī)C的root權(quán)限，因此除了屬性Plvl（C）＝root對(duì)應(yīng)的損失值L1，2，0＞0之外，其它屬性的損失值 L1，0，0＝L1，0，1＝L1，0，2＝L1，1，0＝L1，1，1＝L1，1，2＝0。根據(jù)公式（1）和（2），得到傳統(tǒng)網(wǎng)絡(luò)中攻擊者對(duì)主機(jī)C發(fā)起權(quán)限提升攻擊造成的損失值期望是

表2 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊屬性節(jié)點(diǎn)及損失值

4 分離映射網(wǎng)絡(luò)建模分析

分離映射網(wǎng)絡(luò)采用和傳統(tǒng)網(wǎng)絡(luò)類似的拓?fù)浣Y(jié)構(gòu)，如圖2所示。主要區(qū)別在于分離映射網(wǎng)絡(luò)用接入路由器AR代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)的路由器R。網(wǎng)絡(luò)中主機(jī)的訪問權(quán)限、主機(jī)中存在的服務(wù)和攻擊者的攻擊目標(biāo)均與傳統(tǒng)網(wǎng)絡(luò)相同。

由于權(quán)限提升攻擊是基于主機(jī)存在服務(wù)和漏洞進(jìn)行的，而分離映射網(wǎng)絡(luò)結(jié)構(gòu)并不影響主機(jī)存在的服務(wù)和漏洞，因此在分離映射網(wǎng)絡(luò)權(quán)限提升攻擊分析中，對(duì)屬性和原子攻擊的定義和傳統(tǒng)網(wǎng)絡(luò)中的相同，所以生成的攻擊圖也相同，如圖3所示。二者的區(qū)別主要是原子攻擊的成功概率以及攻擊對(duì)網(wǎng)絡(luò)造成的損失期望。下面將對(duì)分離映射網(wǎng)絡(luò)權(quán)限提升攻擊造成的損失期望進(jìn)行分析。與傳統(tǒng)網(wǎng)絡(luò)的分析類似，分離映射網(wǎng)絡(luò)中權(quán)限提升攻擊造成的損失期望為R′＝R′（path1），相關(guān)設(shè)定如下：

（1）原子攻擊成功概率

由于只要考慮path1，于是分析時(shí)只考慮path1包含的原子攻擊成功概率，如表3所示。

表3 分離映射網(wǎng)絡(luò)權(quán)限提升攻擊原子攻擊成功概率

傳統(tǒng)網(wǎng)絡(luò)中，攻擊者能夠了解網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，可以通過ping，IP網(wǎng)段掃描等方式獲得主機(jī)C所在接入網(wǎng)中的主機(jī)信息。因此當(dāng)攻擊者要提升自己在目標(biāo)主機(jī)C上的權(quán)限，但是又不能直接訪問主機(jī)C時(shí)，它就會(huì)在與主機(jī)C處在同一個(gè)接入網(wǎng)的主機(jī)中尋找能夠利用的主機(jī)，圖2中的主機(jī)A、B就是這樣的主機(jī)。攻擊者找到主機(jī)A進(jìn)行攻擊，提升在主機(jī)A的權(quán)限，進(jìn)而攻擊目標(biāo)主機(jī)C。而在分離映射網(wǎng)絡(luò)中，由于采用了身份與位置分離機(jī)制，ID和LOC分離，攻擊者不能得到網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息，因此便無法知道網(wǎng)絡(luò)中哪些主機(jī)與主機(jī)C處在同一接入網(wǎng)中。這時(shí)，在尋找能夠利用的主機(jī)（即主機(jī)A）時(shí)，與在傳統(tǒng)網(wǎng)絡(luò)中只需要攻擊主機(jī)A和B不同，攻擊者需要在網(wǎng)絡(luò)中除了主機(jī)C以外的所有主機(jī)里尋找可以利用的主機(jī)。因此，在圖2所示的分離映射網(wǎng)絡(luò)中，它找到并成功攻擊主機(jī)A的概率為p′1，0，與在傳統(tǒng)網(wǎng)絡(luò)中找到并成功攻擊主機(jī)A的概率p1，0之間的關(guān)系為p′1，0＝2＊p1，0/（n＋2）。當(dāng)攻擊目標(biāo)主機(jī)C所需的屬性都已經(jīng)滿足，則可直接發(fā)起對(duì)主機(jī)C的攻擊，不需要再尋找可以利用的中間主機(jī)，這時(shí)攻擊成功的概率在兩種網(wǎng)絡(luò)中相同，即p′1，1＝p1，1。

（2）屬性損失值

分離映射網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)的權(quán)限提升攻擊圖相同，有相同的屬性節(jié)點(diǎn)，因此，設(shè)path1包含的屬性節(jié)點(diǎn)及屬性節(jié)點(diǎn)對(duì)應(yīng)的損失值如表4所示。為了和傳統(tǒng)網(wǎng)絡(luò)對(duì)比分析，設(shè) L′1，2，0＝L1，2，0＞0，L′1，0，0＝L′1，0，1＝L′1，0，2＝L′1，1，0＝L′1，1，1＝L′1，1，2＝0。根據(jù)式（1）和（2），得到分離映射網(wǎng)絡(luò)中攻擊者對(duì)主機(jī)C發(fā)起權(quán)限提升攻擊造成的損失值期望是

表4 分離映射網(wǎng)絡(luò)屬性節(jié)點(diǎn)及其損失值

5 結(jié)果分析對(duì)比

根據(jù)式（3）和（4），對(duì)上述兩種網(wǎng)絡(luò)環(huán)境中權(quán)限提升攻擊造成的損失情況進(jìn)行分析對(duì)比。假設(shè)式（3）和（4）中的p1，0＊p1，1＊L1，2，0＝1，得到隨著外地鏈路主機(jī)數(shù)量的增多，傳統(tǒng)網(wǎng)絡(luò)和分離映射網(wǎng)絡(luò)中損失期望R和R′值的變化情況，如圖4所示。

圖4 權(quán)限提升攻擊造成的損失期望對(duì)比分析

從圖4中可以看出，權(quán)限提升攻擊對(duì)分離映射網(wǎng)絡(luò)造成的損失期望始終小于傳統(tǒng)網(wǎng)絡(luò)。并且隨著網(wǎng)絡(luò)拓?fù)涞臄U(kuò)大（即外地鏈路的增多），分離映射網(wǎng)絡(luò)中的損失期望R′值逐漸減小而傳統(tǒng)網(wǎng)絡(luò)中的損失期望R值始終保持不變。也就是說，在實(shí)際的大規(guī)模網(wǎng)絡(luò)拓?fù)洵h(huán)境中，權(quán)限提升攻擊對(duì)分離映射網(wǎng)絡(luò)造成的損失期望值接近于0。因此可以看出，分離映射網(wǎng)絡(luò)能夠在很大程度上緩解權(quán)限提升攻擊。

6 結(jié)束語

分離映射網(wǎng)絡(luò)將節(jié)點(diǎn)身份信息與位置信息進(jìn)行了分離，改變了網(wǎng)絡(luò)的通信機(jī)制，從而使得網(wǎng)絡(luò)安全性也相應(yīng)得到了改變。本文提出了一種基于網(wǎng)絡(luò)損失期望的攻擊圖評(píng)估方法，對(duì)兩種網(wǎng)絡(luò)環(huán)境中的權(quán)限提升攻擊情況進(jìn)行了建模分析對(duì)比。結(jié)果表明，相比于傳統(tǒng)網(wǎng)絡(luò)，標(biāo)識(shí)分離映射網(wǎng)絡(luò)對(duì)權(quán)限提升攻擊具有良好的緩解作用，增強(qiáng)了該網(wǎng)絡(luò)的安全性。對(duì)于將來工作，將基于該方法分析分布式拒絕服務(wù)（DDoS，Distributed Denial of service）以及蠕蟲等攻擊在分離映射網(wǎng)絡(luò)體系中的變化情況。

［1］LIU Ying，WAN Ming，ZHANG Hongke，et al.Research on the data reconstruction method based on Identifier/Locator separation architecture［J］.Journal of Internet Technology，2011，12（4）：531－539.

［2］China computing network technology coordinate emergency center.China Internet network security report in 2010 ［EB/OL］.［2011－04－22］.http：//www.cert.org.cn/articles/docs/common/2011042225342.shtml（in Chinese）.［國家計(jì)算網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告［EB/OL］.［2011－04－22］.http：//www.cert.org.cn/articles/docs/common/2011042225342.shtml.］

［3］RFC 4882，IP address location privacy and mobile IPv6：Problem statement［S］.Koodli R，2007.

［4］Draft－farinacci－lisp－15，Locator/ID separation protocol（LISP）［S］.Farinacci D，F(xiàn)uller V，Meyer D，et al.2011.

［5］Draft－whittle－ivip－db－fast－push－04，Ivip mapping database fast push［S］.Whittle R，2010.

［6］Draft－whittle－ivip－drtm－01，DRTM－Distributed real time mapping for Ivip and LISP［S］.Whittle R，2010.

［7］Draft－adan－idr－tidr－01，Tunneled inter－domain routing（TIDR）［S］.Adan J J，2006.

［8］ZHANG Hongke，SU Wei.Fundamental research on the architecture of new network—universal network and pervasive services［J］.Acta Electronica Sinica，2007，35（4）：593－598（in Chinese）.［張宏科，蘇偉.新網(wǎng)絡(luò)體系基礎(chǔ)研究——一體化網(wǎng)絡(luò)與普適服務(wù)［J］.電子學(xué)報(bào)，2007，35（4）：593－598.］

［9］DONG Ping，QIN Yajuan，ZHANG Hongke.Research on universal network supporting pervasive services ［J］.Acta Electronica Sinica，2007，35（4）：599－606.（in Chinese）.［董平，秦雅娟，張宏科.支持普適服務(wù)的一體化網(wǎng)絡(luò)研究 ［J］.電子學(xué)報(bào)，2007，35（4）：599－606.］

［10］Murase T，F(xiàn)ukushima Y，Kobayashi M，et al.Performance evaluation of a multi－stage network event detection scheme against DDoS attacks［C］.7th Asia－Pacific Symposium on Information and Telecommunication Technologies.Piscataway：IEEE Publisher，2008：58－63.

［11］WANG Yingmei，LIU Zengliang，CHENG Xiangyun，et al.An analysis approach for multi－stage network attacks ［C］.Proceedings of International Conference on Machine Learning and Cybernetics. Piscataway： IEEE Publisher， 2005：3949－3954.

［12］CHEN Feng，ZHANG Yi，SU Jinshu，et al.Two formal analyses of attack graphs［J］.Journal of Software，2010，21（4）：838－848（in Chinese）.［陳鋒，張怡，蘇金樹，等.攻擊圖的兩種形式化分析 ［J］.軟件學(xué)報(bào)，2010，21（4）：838－848.］

［13］WANG Yongjie，XIAN Ming，LIU Jin，et al.Study of network security evaluation based on attack graph model［J］.Journal on Communications，2007，28（3）：29－34（in Chinese）.［王永杰，鮮明，劉進(jìn)，等.基于攻擊圖模型的網(wǎng)絡(luò)安全評(píng)估研究 ［J］.通信學(xué)報(bào)，2007，28（3）：29－34.］

［14］Idika N，Bhargava B.Extending attack graph－based security metrics and aggregating their application ［J］.IEEE Transactions on Dependable and Secure Computing.2012，9（1）：75－85.

［15］Mehta V，Bartzis C，ZHU H，et al.Ranking attack graphs［J］.Lecture Notes in Computer Science，2006，4219：127－144.

［16］CHEN Xiuzhen，LI Jianhua，ZHANG Shaojun.Study of generating attack graph based on privilege escalation for computer networks ［C］.11th IEEE Singapore International Conference on Communication Systems.Piscataway：IEEE Publisher，2008：1213－1217.