劉 穎，唐建強，張宏科

（北京交通大學(xué) 電子信息工程學(xué)院，北京100044）

0 引 言

傳統(tǒng)互聯(lián)網(wǎng)體系結(jié)構(gòu)中，IP地址在語義上承載了雙重含義，一方面標識用戶身份信息，用于端到端的通信連接，例如TCP協(xié)議使用雙方的＜IP地址，端口號＞來唯一標識一個TCP連接；另一方面標識用戶的拓撲位置信息，用于對數(shù)據(jù)包進行路由，這通常稱為IP地址的二義性或雙重屬性［1］。研究發(fā)現(xiàn)，IP地址的這種雙重屬性以及互聯(lián)網(wǎng)開放、信任、自治的設(shè)計思想在互聯(lián)網(wǎng)路由擴展性、移動性和安全性等方面引發(fā)了嚴重問題［2－3］。因此，將節(jié)點身份信息與位置信息進行分離成為未來互聯(lián)網(wǎng)絡(luò)理論與技術(shù)研究的重要內(nèi)容之一。目前，具有代表性的實現(xiàn)方案包括：思科公司 提 出 的 LISP 協(xié) 議［4］； 針 對 LISP 的 改 進 協(xié) 議 Ivip［5－6］；TIDR協(xié)議［7］以及國家 “973”項目 “一體化可信網(wǎng)絡(luò)和普適服務(wù)研究”提出了一種全新的一體化標識網(wǎng)絡(luò)體系［8－9］等。

身份與位置分離網(wǎng)絡(luò)（以下簡稱分離映射網(wǎng)絡(luò)）中節(jié)點身份標識和位置標識的分離以及它們之間的映射使得該網(wǎng)絡(luò)的通信機制發(fā)生了改變。這種通信機制的變化，使得網(wǎng)絡(luò)的安全性也相應(yīng)受到了改變。對分離映射網(wǎng)絡(luò)的研究，目前還僅限于該機制的網(wǎng)絡(luò)協(xié)議體系、映射解析機制、移動性和過渡方案等。如TIDR主要討論了如何解決全局路由表膨脹以及多家鄉(xiāng)等問題。LISP主要在映射機制、數(shù)據(jù)封裝格式以及移動性擴展等方面提出了相應(yīng)草案。關(guān)于分離映射網(wǎng)絡(luò)整體上的安全性研究，目前國內(nèi)外還沒有廣泛展開。在當前網(wǎng)絡(luò)安全形式越來越嚴峻的情況下，為了保證未來互聯(lián)網(wǎng)絡(luò)的可持續(xù)發(fā)展，迫切需要對分離映射網(wǎng)絡(luò)的安全性進行研究。本文在研究分離映射網(wǎng)絡(luò)基本架構(gòu)模型的基礎(chǔ)上，提出了一種基于損失期望的攻擊圖建模評估方法，對傳統(tǒng)網(wǎng)絡(luò)和分離映射網(wǎng)絡(luò)中權(quán)限提升攻擊造成的威脅進行建模分析對比，證明了分離映射網(wǎng)絡(luò)對權(quán)限提升攻擊具有良好的緩解作用。

1 分離映射基本網(wǎng)絡(luò)模型

通過分析和研究，可以歸納LISP、Ivip、TIDR和一體化標識網(wǎng)絡(luò)等各種實現(xiàn)機制的共性包括：①根據(jù)拓撲結(jié)構(gòu)將網(wǎng)絡(luò)分為接入網(wǎng)部分和核心網(wǎng)部分。其中接入網(wǎng)實現(xiàn)各種類型的終端或者子網(wǎng)（如固定、移動、傳感網(wǎng)絡(luò)等）的接入；核心網(wǎng)負責位置管理和全局路由。將網(wǎng)絡(luò)依據(jù)拓撲位置進行劃分是身份與位置分離機制的本質(zhì)要求，這樣，不論何時何地，一個標識都不會同時具有身份和位置兩種功能。②從數(shù)據(jù)轉(zhuǎn)發(fā)平面劃分出兩類標識空間：身份標識（identifier，ID）和位置標識（locator，LOC）。身份標識代表終端的身份信息，在接入網(wǎng)中使用。位置標識在核心網(wǎng)中使用，用于全局路由。另外，身份標識與位置標識不能直接互通，數(shù)據(jù)包穿越標識空間時必須進行映射。③需要有特定設(shè)備完成標識解析映射服務(wù)。通常情況下，由位于接入網(wǎng)與核心網(wǎng)連接處的接入路由器（access router，AR）負責完成ID與LOC之間的解析映射。全網(wǎng)映射信息通常以分布或者集中的方式存儲在核心網(wǎng)的特定設(shè)備中，本文將負責映射信息維護的除接入路由器以外的所有核心網(wǎng)設(shè)備統(tǒng)稱為映射服務(wù)器（mapping server，MS）。因此，為不失一般性，不考慮各個方案的具體實現(xiàn)機制，分離映射網(wǎng)絡(luò)的基本網(wǎng)絡(luò)模型如圖1所示。

圖1 分離映射基本網(wǎng)絡(luò)模型

2 基于損失期望的攻擊圖建模評估方法

在網(wǎng)絡(luò)安全分析方法研究中，通過攻擊圖建模分析得出定性或定量的網(wǎng)絡(luò)安全性結(jié)果是一種有效方法。攻擊圖模型根據(jù)網(wǎng)絡(luò)拓撲、狀態(tài)和脆弱性信息建模，分析得到攻擊者從攻擊起點到達其攻擊目標的所有路徑的有向圖，為攻擊場景提供了一種可視化分析方法。通過對文獻 ［12－14］的分析可以看出，攻擊圖本質(zhì)都是根據(jù)網(wǎng)絡(luò)狀態(tài)和脆弱性信息，分析得到攻擊者對網(wǎng)絡(luò)脆弱性的可能利用序列，并將這些序列組成一張有向圖，即為攻擊圖。因此，對攻擊圖及其組成要素定義如下：

攻擊圖G＝（As，At，T，E）由節(jié)點和有向邊組成，其中E為有向邊集合；節(jié)點分為兩類：屬性節(jié)點集合（包括初始屬性節(jié)點集合As以及可達屬性節(jié)點集合At）和原子攻擊節(jié)點集合T。屬性節(jié)點代表目標主機及其所在網(wǎng)絡(luò)（簡稱目標網(wǎng)絡(luò)）信息，包括網(wǎng)絡(luò)拓撲結(jié)構(gòu)和主機狀態(tài)，以及攻擊者的能力條件；原子攻擊節(jié)點代表攻擊者能夠造成一定攻擊效果的不可繼續(xù)細分的最基本的攻擊過程［12］。攻擊圖G滿足：

根據(jù)上述攻擊圖定義，可以得到生成攻擊圖的基本思路：以屬性節(jié)點之間的遷移為核心，單個原子攻擊作為屬性節(jié)點之間遷移的驅(qū)動行為，而遷移到達的屬性節(jié)點又成為下一個原子攻擊的前提條件。由初始屬性節(jié)點層層遞進，直到遍歷完所有可達屬性節(jié)點。屬性節(jié)點通過原子攻擊遷移的過程就形成了攻擊圖。攻擊圖生成之后，可以通過它對網(wǎng)絡(luò)的安全性進行定量分析。文獻 ［13，15］中提出了計算攻擊路徑上所有弱點的攻擊復(fù)雜度乘積，用以表達攻擊者通過此路徑成功到達目標節(jié)點的概率。本文在上述方法的基礎(chǔ)上，提出的了一種計算損失期望得到定量分析結(jié)果的方法，具體方案如下：

（1）根據(jù)攻擊圖定義中描述的約束條件，設(shè)一個攻擊序列pathm為Am，0→tm，0→ Am，1→tm，1…Am，n－1→tm，n－1→Am，n，其中tm，i為攻擊序 列 中 的 原 子 攻 擊 節(jié) 點，Am，i＝｛am，i，0，am，i，1，…am，i，k｝為攻擊 序 列 中 的 屬 性 節(jié) 點 集 合（n ≥1，0≤i≤n，k≥1），am，i，0，am，i，1…am，i，k為Am，i中的屬性節(jié)點。

（2）屬性節(jié)點代表了攻擊過程中目標網(wǎng)絡(luò)或主機受到的損失狀況，因此給攻擊圖中的屬性節(jié)點賦予相應(yīng)的損失值，設(shè)包含有k個屬性節(jié)點的集合Am，i的損失值為L（Am，i），屬 性 節(jié) 點 am，i，j的 損 失 值 為 Lm，i，j， 于 是 有 L（Am，i）＝為了避免重復(fù)計算屬性節(jié)點的損失值，設(shè)如果Am，i中已包含某屬性節(jié)點，則該攻擊序列pathm中Am，i的后續(xù)屬性節(jié)點集合 Am，i＋1…Am，n均不包含該屬性節(jié)點，即：有

（3）設(shè)原子攻擊tm，i單獨成功概率為pm，i，即屬性節(jié)點集合Am，i到屬性 節(jié) 點 集 合Am，i＋1的 轉(zhuǎn) 移 成 功 概 率 為 pm，i，于是攻擊序列pathm中，從初始屬性節(jié)點集合Am，0到屬性節(jié)點集合Am，i＋1的可達概率為

（4）由以上設(shè)定可得攻擊圖中一條包含n＋1個屬性節(jié)點集合的攻擊序列pathm的損失期望為

（5）攻擊者根據(jù)其攻擊能力和攻擊目的，會按照攻擊圖中所有攻擊序列中的1條或多條對目標進行攻擊，設(shè)攻擊者選擇的攻擊序列為pathm0，pathm1…pathmx－1，可以得到攻擊對目標網(wǎng)絡(luò)造成的損失期望為

根據(jù)R值評估攻擊對目標造成的損失情況，完成對網(wǎng)絡(luò)安全性的定量分析。下面將根據(jù)上述攻擊圖建模評估方法對兩種網(wǎng)絡(luò)環(huán)境中權(quán)限提升攻擊進行分析對比。

3 傳統(tǒng)網(wǎng)絡(luò)建模分析

首先建立網(wǎng)絡(luò)的拓撲結(jié)構(gòu)如圖2所示。A、B、C、D1、D2…Dn均為普通主機，其中，主機A、B、C在路由器R2連接的同一個接入網(wǎng)中。為了簡化模型主機T，D1…Dn所在的接入網(wǎng)都只有他們自身一臺主機。為便于分析，設(shè)定如下約束條件：主機A上開放Telnet服務(wù)，主機B為SSH服務(wù)器，主機C為IIS Web服務(wù)器。它們所在的接入網(wǎng)外的主機只允許訪問主機A上的服務(wù)，不允許直接訪問主機B和主機C上的服務(wù)。接入網(wǎng)內(nèi)的主機允許互相訪問。T為攻擊主機，攻擊者的攻擊目標是主機C，目的是在主機C上獲得root權(quán)限［16］。

圖2 權(quán)限提升攻擊的網(wǎng)絡(luò)拓撲結(jié)構(gòu)

由于攻擊者只能訪問主機A，因此攻擊者將首先利用主機A上運行的服務(wù)和存在的漏洞，提升自己在主機A上的權(quán)限，繼而通過主機A對主機B、C的訪問權(quán)限，以及主機B、C上運行的服務(wù)和存在的漏洞，逐步提升自己在主機C上的權(quán)限。根據(jù)上述條件，得到傳統(tǒng)網(wǎng)絡(luò)中權(quán)限提升攻擊屬性節(jié)點和原子攻擊節(jié)點如下所示。

3.1 屬性節(jié)點

（1）Plvl（A）＝｛none，user，root｝：表示攻擊者在主機A上的權(quán)限級別，none代表無任何權(quán)限，user代表user權(quán)限，root代表root權(quán)限。它們滿足全序關(guān)系：none＜user＜root。同樣，還有Plvl（B）＝｛none，user，root｝等。由于攻擊者具有攻擊主機T的root權(quán)限，所以Plvl（T）的初值為root。攻擊發(fā)生前，攻擊者在其他主機上無任何權(quán)限，因此該屬性的其余初值均為none。

（2）R（T，A）＝｛0，1｝：表示主機T是否能訪問主機A，0代表否，1代表是。同樣的，還有R（T，B）＝｛0，1｝等。該屬性的初值分別為：R（T，A）＝1，R（T，B）＝0，R（T，C）＝0，R（A，B）＝1，R（A，C）＝1，R（B，C）＝1。

（3）Telnet（A）＝｛0，1｝：表示主機A上是否運行著Telnet服務(wù)，0代表否，1代表是。Telnet（A）初值為1，其余處置均為0

（4）ssh（B）＝｛0，1｝：表示主機B上是否運行著ssh服務(wù)，0代表否，1代表是。ssh（B）屬性初值為1，其余屬性初值均為0。

（5）IIS（C）＝｛0，1｝：表示主機C上是否運行著IIS服務(wù)，0代表否，1代表是。IIS（C）初值為1，其余屬性初值均為0。

3.2 原子攻擊節(jié)點

（1）telnetd＿bof（T，A）：表示攻擊者對主機A發(fā)起telnetd緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（T，A）＝1，Plvl（T）＝root且Telnet（A）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（A）＝root，即攻擊者獲得主機A的root權(quán)限。

（2）sshd＿bof（A，B）：表示攻擊者利用主機A對主機B發(fā)起sshd緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（A，B）＝1，Plvl（A）＞＝user且ssh（B）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（B）＝root，即攻擊者獲得主機B的root權(quán)限。

（3）IIS＿bof（A，C）：表示攻擊者利用主機A對主機C發(fā)起IIS緩沖區(qū)溢出攻擊。該原子攻擊發(fā)生的前提條件為：R（A，C）＝1，Plvl（A）＞＝user且IIS（C）＝1。原子攻擊發(fā)生后的屬性變化為Plvl（C）＝root，即攻擊者獲得主機C的root權(quán)限。

3.3 生成攻擊圖

由以上初始屬性節(jié)點、原子攻擊節(jié)點以及原子攻擊發(fā)生后的屬性改變，遍歷所有初始屬性節(jié)點，得到由初始屬性節(jié)點通過原子攻擊能達到可達屬性節(jié)點的路徑，生成傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊的攻擊圖，如圖3所示。

圖3 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊

圖3中一共有2條攻擊序列，分別用path0和path1表示。path0是先通過telnetd緩沖區(qū)溢出攻擊獲得主機A的root權(quán)限，之后利用主機A可以訪問主機B的屬性，對主機B發(fā)起sshd緩沖區(qū)溢出攻擊，獲得主機B的root權(quán)限，最后利用主機B對主機C發(fā)起IIS緩沖區(qū)溢出攻擊，獲得主機C的root權(quán)限。path1是先通過telnetd緩沖區(qū)溢出攻擊獲得主機A的root權(quán)限，之后利用主機A可以訪問主機C的條件，對主機C發(fā)起IIS緩沖區(qū)溢出攻擊，獲得主機C的root權(quán)限。

3.4 攻擊損失期望

根據(jù)圖3，對傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊造成的損失期望R進行分析，相關(guān)設(shè)定如下：

（1）原子攻擊成功概率

path0和path1包含的原子攻擊的成功概率如表1所示。其中p0，0＝p1，0，為便于分析，設(shè)同類型原子攻擊成功概率相同，即p0，2＝p1，1。對于屬性Plvl（C）＝root，path0中的可 達 概 率 為p0，0，2＝p0，0＊p0，1＊p0，2，path1中的可達概率為p1，0，1＝p1，0＊p1，1，可得p1，0，1＞p0，0，2。攻擊者的攻擊目標是獲得主機C的root權(quán)限，即達到屬性Plvl（C）＝root，此時選取攻擊序列path1成功概率更大，因此攻擊者會選取path1進行攻擊，于是根據(jù)公式（2）有R＝R（path1）。

表1 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊原子攻擊成功概率

（2）屬性的損失值

由于只需要計算R（path1），于是設(shè)圖3中path1包含的屬性節(jié)點及屬性節(jié)點對應(yīng)的損失值如表2所示。由于攻擊者的目標是獲得主機C的root權(quán)限，因此除了屬性Plvl（C）＝root對應(yīng)的損失值L1，2，0＞0之外，其它屬性的損失值 L1，0，0＝L1，0，1＝L1，0，2＝L1，1，0＝L1，1，1＝L1，1，2＝0。根據(jù)公式（1）和（2），得到傳統(tǒng)網(wǎng)絡(luò)中攻擊者對主機C發(fā)起權(quán)限提升攻擊造成的損失值期望是

表2 傳統(tǒng)網(wǎng)絡(luò)權(quán)限提升攻擊屬性節(jié)點及損失值

4 分離映射網(wǎng)絡(luò)建模分析

分離映射網(wǎng)絡(luò)采用和傳統(tǒng)網(wǎng)絡(luò)類似的拓撲結(jié)構(gòu)，如圖2所示。主要區(qū)別在于分離映射網(wǎng)絡(luò)用接入路由器AR代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)的路由器R。網(wǎng)絡(luò)中主機的訪問權(quán)限、主機中存在的服務(wù)和攻擊者的攻擊目標均與傳統(tǒng)網(wǎng)絡(luò)相同。

由于權(quán)限提升攻擊是基于主機存在服務(wù)和漏洞進行的，而分離映射網(wǎng)絡(luò)結(jié)構(gòu)并不影響主機存在的服務(wù)和漏洞，因此在分離映射網(wǎng)絡(luò)權(quán)限提升攻擊分析中，對屬性和原子攻擊的定義和傳統(tǒng)網(wǎng)絡(luò)中的相同，所以生成的攻擊圖也相同，如圖3所示。二者的區(qū)別主要是原子攻擊的成功概率以及攻擊對網(wǎng)絡(luò)造成的損失期望。下面將對分離映射網(wǎng)絡(luò)權(quán)限提升攻擊造成的損失期望進行分析。與傳統(tǒng)網(wǎng)絡(luò)的分析類似，分離映射網(wǎng)絡(luò)中權(quán)限提升攻擊造成的損失期望為R′＝R′（path1），相關(guān)設(shè)定如下：

（1）原子攻擊成功概率

由于只要考慮path1，于是分析時只考慮path1包含的原子攻擊成功概率，如表3所示。

表3 分離映射網(wǎng)絡(luò)權(quán)限提升攻擊原子攻擊成功概率

傳統(tǒng)網(wǎng)絡(luò)中，攻擊者能夠了解網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，可以通過ping，IP網(wǎng)段掃描等方式獲得主機C所在接入網(wǎng)中的主機信息。因此當攻擊者要提升自己在目標主機C上的權(quán)限，但是又不能直接訪問主機C時，它就會在與主機C處在同一個接入網(wǎng)的主機中尋找能夠利用的主機，圖2中的主機A、B就是這樣的主機。攻擊者找到主機A進行攻擊，提升在主機A的權(quán)限，進而攻擊目標主機C。而在分離映射網(wǎng)絡(luò)中，由于采用了身份與位置分離機制，ID和LOC分離，攻擊者不能得到網(wǎng)絡(luò)的拓撲結(jié)構(gòu)信息，因此便無法知道網(wǎng)絡(luò)中哪些主機與主機C處在同一接入網(wǎng)中。這時，在尋找能夠利用的主機（即主機A）時，與在傳統(tǒng)網(wǎng)絡(luò)中只需要攻擊主機A和B不同，攻擊者需要在網(wǎng)絡(luò)中除了主機C以外的所有主機里尋找可以利用的主機。因此，在圖2所示的分離映射網(wǎng)絡(luò)中，它找到并成功攻擊主機A的概率為p′1，0，與在傳統(tǒng)網(wǎng)絡(luò)中找到并成功攻擊主機A的概率p1，0之間的關(guān)系為p′1，0＝2＊p1，0/（n＋2）。當攻擊目標主機C所需的屬性都已經(jīng)滿足，則可直接發(fā)起對主機C的攻擊，不需要再尋找可以利用的中間主機，這時攻擊成功的概率在兩種網(wǎng)絡(luò)中相同，即p′1，1＝p1，1。

（2）屬性損失值

分離映射網(wǎng)絡(luò)和傳統(tǒng)網(wǎng)絡(luò)的權(quán)限提升攻擊圖相同，有相同的屬性節(jié)點，因此，設(shè)path1包含的屬性節(jié)點及屬性節(jié)點對應(yīng)的損失值如表4所示。為了和傳統(tǒng)網(wǎng)絡(luò)對比分析，設(shè) L′1，2，0＝L1，2，0＞0，L′1，0，0＝L′1，0，1＝L′1，0，2＝L′1，1，0＝L′1，1，1＝L′1，1，2＝0。根據(jù)式（1）和（2），得到分離映射網(wǎng)絡(luò)中攻擊者對主機C發(fā)起權(quán)限提升攻擊造成的損失值期望是

表4 分離映射網(wǎng)絡(luò)屬性節(jié)點及其損失值

5 結(jié)果分析對比

根據(jù)式（3）和（4），對上述兩種網(wǎng)絡(luò)環(huán)境中權(quán)限提升攻擊造成的損失情況進行分析對比。假設(shè)式（3）和（4）中的p1，0＊p1，1＊L1，2，0＝1，得到隨著外地鏈路主機數(shù)量的增多，傳統(tǒng)網(wǎng)絡(luò)和分離映射網(wǎng)絡(luò)中損失期望R和R′值的變化情況，如圖4所示。

圖4 權(quán)限提升攻擊造成的損失期望對比分析

從圖4中可以看出，權(quán)限提升攻擊對分離映射網(wǎng)絡(luò)造成的損失期望始終小于傳統(tǒng)網(wǎng)絡(luò)。并且隨著網(wǎng)絡(luò)拓撲的擴大（即外地鏈路的增多），分離映射網(wǎng)絡(luò)中的損失期望R′值逐漸減小而傳統(tǒng)網(wǎng)絡(luò)中的損失期望R值始終保持不變。也就是說，在實際的大規(guī)模網(wǎng)絡(luò)拓撲環(huán)境中，權(quán)限提升攻擊對分離映射網(wǎng)絡(luò)造成的損失期望值接近于0。因此可以看出，分離映射網(wǎng)絡(luò)能夠在很大程度上緩解權(quán)限提升攻擊。

6 結(jié)束語

分離映射網(wǎng)絡(luò)將節(jié)點身份信息與位置信息進行了分離，改變了網(wǎng)絡(luò)的通信機制，從而使得網(wǎng)絡(luò)安全性也相應(yīng)得到了改變。本文提出了一種基于網(wǎng)絡(luò)損失期望的攻擊圖評估方法，對兩種網(wǎng)絡(luò)環(huán)境中的權(quán)限提升攻擊情況進行了建模分析對比。結(jié)果表明，相比于傳統(tǒng)網(wǎng)絡(luò)，標識分離映射網(wǎng)絡(luò)對權(quán)限提升攻擊具有良好的緩解作用，增強了該網(wǎng)絡(luò)的安全性。對于將來工作，將基于該方法分析分布式拒絕服務(wù)（DDoS，Distributed Denial of service）以及蠕蟲等攻擊在分離映射網(wǎng)絡(luò)體系中的變化情況。

［1］LIU Ying，WAN Ming，ZHANG Hongke，et al.Research on the data reconstruction method based on Identifier/Locator separation architecture［J］.Journal of Internet Technology，2011，12（4）：531－539.

［2］China computing network technology coordinate emergency center.China Internet network security report in 2010 ［EB/OL］.［2011－04－22］.http：//www.cert.org.cn/articles/docs/common/2011042225342.shtml（in Chinese）.［國家計算網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2010年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告［EB/OL］.［2011－04－22］.http：//www.cert.org.cn/articles/docs/common/2011042225342.shtml.］

［3］RFC 4882，IP address location privacy and mobile IPv6：Problem statement［S］.Koodli R，2007.

［4］Draft－farinacci－lisp－15，Locator/ID separation protocol（LISP）［S］.Farinacci D，F(xiàn)uller V，Meyer D，et al.2011.

［5］Draft－whittle－ivip－db－fast－push－04，Ivip mapping database fast push［S］.Whittle R，2010.

［6］Draft－whittle－ivip－drtm－01，DRTM－Distributed real time mapping for Ivip and LISP［S］.Whittle R，2010.

［7］Draft－adan－idr－tidr－01，Tunneled inter－domain routing（TIDR）［S］.Adan J J，2006.

［8］ZHANG Hongke，SU Wei.Fundamental research on the architecture of new network—universal network and pervasive services［J］.Acta Electronica Sinica，2007，35（4）：593－598（in Chinese）.［張宏科，蘇偉.新網(wǎng)絡(luò)體系基礎(chǔ)研究——一體化網(wǎng)絡(luò)與普適服務(wù)［J］.電子學(xué)報，2007，35（4）：593－598.］

［9］DONG Ping，QIN Yajuan，ZHANG Hongke.Research on universal network supporting pervasive services ［J］.Acta Electronica Sinica，2007，35（4）：599－606.（in Chinese）.［董平，秦雅娟，張宏科.支持普適服務(wù)的一體化網(wǎng)絡(luò)研究 ［J］.電子學(xué)報，2007，35（4）：599－606.］

［10］Murase T，F(xiàn)ukushima Y，Kobayashi M，et al.Performance evaluation of a multi－stage network event detection scheme against DDoS attacks［C］.7th Asia－Pacific Symposium on Information and Telecommunication Technologies.Piscataway：IEEE Publisher，2008：58－63.

［11］WANG Yingmei，LIU Zengliang，CHENG Xiangyun，et al.An analysis approach for multi－stage network attacks ［C］.Proceedings of International Conference on Machine Learning and Cybernetics. Piscataway： IEEE Publisher， 2005：3949－3954.

［12］CHEN Feng，ZHANG Yi，SU Jinshu，et al.Two formal analyses of attack graphs［J］.Journal of Software，2010，21（4）：838－848（in Chinese）.［陳鋒，張怡，蘇金樹，等.攻擊圖的兩種形式化分析 ［J］.軟件學(xué)報，2010，21（4）：838－848.］

［13］WANG Yongjie，XIAN Ming，LIU Jin，et al.Study of network security evaluation based on attack graph model［J］.Journal on Communications，2007，28（3）：29－34（in Chinese）.［王永杰，鮮明，劉進，等.基于攻擊圖模型的網(wǎng)絡(luò)安全評估研究 ［J］.通信學(xué)報，2007，28（3）：29－34.］

［14］Idika N，Bhargava B.Extending attack graph－based security metrics and aggregating their application ［J］.IEEE Transactions on Dependable and Secure Computing.2012，9（1）：75－85.

［15］Mehta V，Bartzis C，ZHU H，et al.Ranking attack graphs［J］.Lecture Notes in Computer Science，2006，4219：127－144.

［16］CHEN Xiuzhen，LI Jianhua，ZHANG Shaojun.Study of generating attack graph based on privilege escalation for computer networks ［C］.11th IEEE Singapore International Conference on Communication Systems.Piscataway：IEEE Publisher，2008：1213－1217.