全光網(wǎng)絡(luò)中攻擊的檢測與定位

3 易受攻擊的器件

全光網(wǎng)絡(luò)中易受攻擊的器件主要包括：光纖、發(fā)送器、接收器、(解)復(fù)用器、光交叉連接設(shè)備(OXC)、光濾波器、光開關(guān)、耦合器、光放大器等。

下面以O(shè)XC結(jié)點為例，分析易受攻擊的光器件，將攻擊點編號，如圖4所示。

攻擊點1――光纖 光纖的易接近性以及其自身的串?dāng)_、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機(jī)會。

攻擊點2――測試接入端口 用于測試或需要時方便連接的測試接入端口卻成為攻擊者利用的對象：可用于竊聽，還可以在端口處人為改變傳輸信號的功率、偏振等指標(biāo)，信號再通過對這些指標(biāo)比較敏感的器件時(比如放大器對偏振較敏感)，服務(wù)質(zhì)量就會降低。

攻擊點3――EDFA EDFA存在兩個不容忽視的問題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個波道光功率相等，通過EDFA，輸出的光功率也會出現(xiàn)波動起伏現(xiàn)象，再通過下一級EDFA時將產(chǎn)生更加嚴(yán)重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。

攻擊點4――分光器／合光器 解復(fù)用器是由一個分光器和一個濾波器組成。它所面臨的危險與濾波器的易攻擊性相同。

攻擊點5――濾波器 在全光網(wǎng)絡(luò)中，各個波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號就會發(fā)生串?dāng)_，為非授權(quán)侵入提供機(jī)會，此種攻擊很難檢測和定位。

攻擊點6――光開關(guān) 若光開關(guān)行性能不理想，會導(dǎo)致串?dāng)_，且具有傳播性，一階串?dāng)_引起二階串?dāng)_，再引起三階串?dāng)_等，如圖5所示。合法用戶間也可能存在串?dāng)_，可怕的是，一旦攻擊者發(fā)送惡意攻擊信號，將產(chǎn)生嚴(yán)重的帶內(nèi)干擾，同時也能通過串?dāng)_竊聽。

4 攻擊的檢測方法

4.1 現(xiàn)有的檢測方法

常用的攻擊檢測方法有：寬帶功率檢測法、光譜分析法、監(jiān)控信號分析法、光時域反射法，它們能初步檢測出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測法是測量光信號在較大譜寬內(nèi)的功率并與期望值比較來檢測攻擊的方法。需要時間長，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補(bǔ)等)。

光譜分析法是用光譜分析儀測量光信號的頻譜的變化來檢測的攻擊方法。但同樣比較取樣平均和統(tǒng)計平均，需要時間長，反應(yīng)慢，而且對不改變光譜形狀的攻擊則無法檢測。

監(jiān)控信號分析法是利用傳送監(jiān)控信號來檢測傳輸中斷，但監(jiān)控信號并不能完全代表通信信息的質(zhì)量，而且對通信信號質(zhì)量有影響。

光時域反射法是用OTDR監(jiān)控信號和分析監(jiān)控信號的反射信號來檢測的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無法檢測到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測方法。