摘 要：從研究攻擊的角度出發(fā)，提出了全光網(wǎng)絡安全管理框架。針對常見網(wǎng)絡中的攻擊，分析了網(wǎng)絡中易受攻擊的器件，分別采用參數(shù)比較檢測法和綜合監(jiān)測器件檢測法，準確地檢測出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。運用兩種新的檢測方法，結合攻擊的定位算法，就能有效地查找到整個網(wǎng)絡的攻擊源，且定位于被攻擊的器件。

關鍵詞：全光網(wǎng)絡；攻擊；攻擊檢測;攻擊源定位

中圖分類號：TN9291 文獻標識碼：B 文章編號：1004373X(2008)1501803

Attack Detection and Localization in All-optical Network

LI Wei，WANG Fang，ZHAO Feng

(Xi′an Communication Institute，Xi′an，710106，China)

Abstract：Research from perspective of the attack，all-optical network security management framework is proposed.Aimed at attacking of common network，the vulnerable devices in the network are analysed，comparing parameters measurement and integrated monitoring devices are used relatively，the attacking interference inside bandwith outside bandwith，eavesdropping and broken fiber are accurately detected.Using of two kinds of new detection methods，with location algorithm，the source of network attack can be effectively found and the targeted on the device.

Keywords：all-optical network;attack;attack detection;location of attack source

1 引 言

全光網(wǎng)絡(AON)是指在網(wǎng)絡中信號不需電/光和光/電轉(zhuǎn)換，傳輸和交換過程中始終以光的形式存在。由于節(jié)點的交換使用大容量和高度靈活的波長上/下光分插復用器(OADM)和光交叉連接設備(OXC)，進而實現(xiàn)透明傳輸，一旦商用將極大提高傳輸速率和網(wǎng)絡容量。然而，與現(xiàn)有電/光/電網(wǎng)絡和傳統(tǒng)電網(wǎng)絡相比，易受惡意攻擊，其安全問題更應該被引起重視，具體原因如下^［1］：

(1) 攻擊者更易接近光器件，網(wǎng)絡易攻擊性高。例如，通過微彎光纖注入某一波長的攻擊光信號或利用其輻射出的光信號可進行竊聽，用光纖夾持器加以改進或光泄漏檢測器就能實現(xiàn)上述功能；

(2) 光網(wǎng)絡的物理結構為攻擊提供了機會。例如，在網(wǎng)絡遠端注入攻擊信號，在傳輸過程中可影響整個網(wǎng)絡；

(3) 某些光技術恰成漏洞被攻擊所利用。例如，光開關中的串擾水平引起的一部分泄漏信號，這對于正常信號不會造成危害，但當攻擊者注入強干擾信號時，足以讓攻擊者檢測到它的存在，很有可能從流量中恢復出一部分數(shù)據(jù)。

本文的目標是研究攻擊的類型和方法，介紹全光網(wǎng)中易受攻擊的器件，探討幾種有效的攻擊的檢測方法和定位算法。

2 攻擊的類型和方法

從應對攻擊角度出發(fā)，提出全光網(wǎng)絡安全管理框架，如圖1所示。

2.1 攻擊的類型

攻擊是指人為的惡意破壞。攻擊大致有六類：通信流量分析、竊聽、數(shù)據(jù)延遲、服務拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性；光網(wǎng)絡沒有光存儲器，不會受到數(shù)據(jù)延遲攻擊；欺騙可以用加密來防止；服務拒絕是QoS下降的極限結果，兩者統(tǒng)稱為服務破壞。從物理層看，全光網(wǎng)絡中主要考慮的攻擊有兩類：竊聽與通信流量分析和服務破壞。

2.2 攻擊的方法

為實現(xiàn)上述兩種攻擊，攻擊者必須設計攻擊方法，原則是：易于實現(xiàn)和效果明顯。常見的攻擊方法有四種：帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

帶內(nèi)干擾攻擊是注入一個光信號專門來降低接收機正確解譯數(shù)據(jù)的能力，它不但破壞攻擊源所在鏈路上的信號，而且也影響與該鏈路節(jié)點相連的其他鏈路上的信號質(zhì)量^［2］，如圖2所示。這是信號不需再生而直接在鏈路中傳播造成的。

帶外干擾攻擊是利用器件的泄漏或交叉調(diào)制效應降低信號能量，攻擊者注入一個與通信波段不同波長但又在放大器放大帶寬內(nèi)的信號，攻擊信號就會掠奪其他信號的增益，如圖3所示。

竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串擾來獲得有關鄰近信號的信息。

斷纖就是認為切斷光纜的攻擊。

3 易受攻擊的器件

全光網(wǎng)絡中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復用器、光交叉連接設備(OXC)、光濾波器、光開關、耦合器、光放大器等。

下面以 OXC結點為例，分析易受攻擊的光器件，將攻擊點編號，如圖4所示。

攻擊點1光纖 光纖的易接近性以及其自身的串擾、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機會。

攻擊點2測試接入端口 用于測試或需要時方便連接的測試接入端口卻成為攻擊者利用的對象：可用于竊聽，還可以在端口處人為改變傳輸信號的功率、偏振等指標，信號再通過對這些指標比較敏感的器件時(比如放大器對偏振較敏感)，服務質(zhì)量就會降低。

攻擊點3EDFA EDFA存在兩個不容忽視的問題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個波道光功率相等，通過EDFA，輸出的光功率也會出現(xiàn)波動起伏現(xiàn)象，再通過下一級EDFA時將產(chǎn)生更加嚴重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點4分光器/合光器 解復用器是由一個分光器和一個濾波器組成。它所面臨的危險與濾波器的易攻擊性相同。

攻擊點5濾波器 在全光網(wǎng)絡中，各個波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號就會發(fā)生串擾，為非授權侵入提供機會，此種攻擊很難檢測和定位。

攻擊點6光開關 若光開關行性能不理想，會導致串擾，且具有傳播性^［3］，一階串擾引起二階串擾，再引起三階串擾等，如圖5所示。合法用戶間也可能存在串擾，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號，將產(chǎn)生嚴重的帶內(nèi)干擾，同時也能通過串擾竊聽。

4 攻擊的檢測方法

4.1 現(xiàn)有的檢測方法

常用的攻擊檢測方法有^［4］：寬帶功率檢測法、光譜分析法、監(jiān)控信號分析法、光時域反射法，它們能初步檢測出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測法是測量光信號在較大譜寬內(nèi)的功率并與期望值比較來檢測攻擊的方法。需要時間長，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補等)。

光譜分析法是用光譜分析儀測量光信號的頻譜的變化來檢測的攻擊方法。但同樣比較取樣平均和統(tǒng)計平均，需要時間長，反應慢，而且對不改變光譜形狀的攻擊則無法檢測。

監(jiān)控信號分析法是利用傳送監(jiān)控信號來檢測傳輸中斷，但監(jiān)控信號并不能完全代表通信信息的質(zhì)量，而且對通信信號質(zhì)量有影響。

光時域反射法是用OTDR監(jiān)控信號和分析監(jiān)控信號的反射信號來檢測的攻擊方法。然而，只要有不大于1%光泄漏，OTDR無法檢測到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測方法。

4.2 參數(shù)比較檢測法

參數(shù)比較法基于被檢測器件的輸入、輸出端信號應滿足一定的數(shù)學關系而得。從器件的兩端提取用于比較的光信號，其中提取的輸入端信號加上被檢測器件的固有延時τ，然后將光信號通過光電轉(zhuǎn)換后變成電信號，再送到參數(shù)比較器中得出輸出函數(shù)K。根據(jù)需要比較的參數(shù)類型(光信號的幅度、相位、波長等)以及被檢測器件的固有特性，在沒有攻擊的情況下，比較器的輸出函數(shù)K= f (S₁…S_n，R₁…R_n)，是輸入和輸出信號的復合函數(shù)，一旦有攻擊存在是，比較器的輸出函數(shù)K′=f′(S₁′…S_n′，R₁′…R_n′)。將K′和K比較，超過設定的閾值，說明攻擊存在，則將結果送到網(wǎng)管，由網(wǎng)管統(tǒng)一處理，比較過程如圖6所示。

參數(shù)比較法不改變被檢測器件結構，和傳輸鏈路的比特率無關。由于要光電轉(zhuǎn)換，所以檢測速度依賴于光電轉(zhuǎn)換時間，同時要提取信號，可能會影響信號功率。

4.3 綜合監(jiān)測器件檢測法

網(wǎng)絡中監(jiān)測器件主要負責對傳輸器件性能的監(jiān)控。用V表示監(jiān)控器件的集合，包括以下4類^［5］：V_O，V₁，V₂，V₃，即V ={V_O，V₁，V₂，V₃}，如表1。

下面用具體實例說明攻擊檢測的方法，圖7是一段DWDM線路，假如Fiber-1處發(fā)生了攻擊，在①，②，③，④處分別放置V_O，V₃，V₁，V₂類器件來檢測攻擊。

監(jiān)控通道若收到V器件發(fā)出報警信號，用1表示，沒收到則用0表示。發(fā)生攻擊時，四個V器件發(fā)出的報警信號(0或1)排成一列，組成一個四位二進制數(shù)，并將其轉(zhuǎn)化為十進制數(shù)，由于不同攻擊方法的報警值不同，所以能檢測出不同的攻擊。

5 攻擊的定位算法

當檢測出攻擊方法后，接著就要定位攻擊源的位置，下面是分布式定位算法原理。

假設網(wǎng)絡結點報警狀態(tài)參量為S，正常狀態(tài)時令S=0，受到攻擊時令S=1，上游結點報警狀態(tài)參量為S′，下游節(jié)點報警參量為S″，分布式定位算法的主要流程如圖8所示。

結點S首先檢測來自上游結點的報警狀態(tài)參量S′，如果S′=1，則說明上游結點是攻擊源，不讓本結點報警；如果S′＝0，說明上游結點不是攻擊源，于是對本地結點進行攻擊判斷，一旦判斷受到攻擊，就令本地結點報警狀態(tài)參量S=1，如果判斷沒有受到攻擊，就令S＝0，然后將本地報警狀態(tài)參量S下傳給下游結點，下游結點依次按照這樣的方法進行分布重復判斷，直到查找到整個網(wǎng)絡的攻擊源為止。

6 結 語

國內(nèi)對全光網(wǎng)絡中攻擊研究還不是很深入，鑒于此提出了全光網(wǎng)絡安全管理框架，得出了兩種新的攻擊檢測方法和一種有效的攻擊定位算法，這將有助于人們提高網(wǎng)絡安全意識，防范惡意攻擊的發(fā)生。

參 考 文 獻

［1］Jigesh K Patel，Sung U Kim，David H Su，et al.A Framework for Managing Faults and Attacks in WDM Optical Network\\.Optical Network Magazine，2002.

［2］Technical Information Bulletin 007-All-optical Networks National Communications System of National Communication System，2000.

［3］Ruth Bergman，Muriel Medard S Chan.Distributed Algorithms for Attack Localization in All-Optical Networks\\.Networks and Distributed System Security Symposium，1998.

［4］Muriel Medard，Douglas Marquis，Stephen R Chinn.Attack Detection Methods for All-optical Networks\\.Technical Digest of Optical Fiber Conference (OFC)，1998.

［5］Carmen Mass，Ioannis Tomkos，Ozan K.Tonguz.Optical Networks Security:A Failure Management Framework\\.Proc.of SPIE，2003:230-241.

作者簡介 李 衛(wèi) 男，1972年出生，江蘇豐縣人，西安通信學院副教授。主要研究方向為光纖通信。