全光網絡中攻擊的檢測與定位

3 易受攻擊的器件

全光網絡中易受攻擊的器件主要包括：光纖、發送器、接收器、(解)復用器、光交叉連接設備(OXC)、光濾波器、光開關、耦合器、光放大器等。

下面以OXC結點為例，分析易受攻擊的光器件，將攻擊點編號，如圖4所示。

攻擊點1――光纖 光纖的易接近性以及其自身的串擾、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機會。

攻擊點2――測試接入端口 用于測試或需要時方便連接的測試接入端口卻成為攻擊者利用的對象：可用于竊聽，還可以在端口處人為改變傳輸信號的功率、偏振等指標，信號再通過對這些指標比較敏感的器件時(比如放大器對偏振較敏感)，服務質量就會降低。

攻擊點3――EDFA EDFA存在兩個不容忽視的問題：增益競爭和增益譜不平坦。如果增益譜不平坦，即使每個波道光功率相等，通過EDFA，輸出的光功率也會出現波動起伏現象，再通過下一級EDFA時將產生更加嚴重的增益競爭，使得光信噪比下降，因此攻擊者可采用帶外干擾攻擊降低或破壞通信質量。

攻擊點4――分光器／合光器 解復用器是由一個分光器和一個濾波器組成。它所面臨的危險與濾波器的易攻擊性相同。

攻擊點5――濾波器 在全光網絡中，各個波道間隔非常小，而濾波器的帶寬要求非常窄，但又必須滿足通帶平坦和邊帶陡峭條件，否則，相鄰波道信號就會發生串擾，為非授權侵入提供機會，此種攻擊很難檢測和定位。

攻擊點6――光開關 若光開關行性能不理想，會導致串擾，且具有傳播性，一階串擾引起二階串擾，再引起三階串擾等，如圖5所示。合法用戶間也可能存在串擾，可怕的是，一旦攻擊者發送惡意攻擊信號，將產生嚴重的帶內干擾，同時也能通過串擾竊聽。

4 攻擊的檢測方法

4.1 現有的檢測方法

常用的攻擊檢測方法有：寬帶功率檢測法、光譜分析法、監控信號分析法、光時域反射法，它們能初步檢測出帶內干擾攻擊、帶外干擾攻擊、竊聽和斷纖。

寬帶功率檢測法是測量光信號在較大譜寬內的功率并與期望值比較來檢測攻擊的方法。需要時間長，且測到較小的功率變化不一定是攻擊所致(可能是器件老化，光纖修補等)。

光譜分析法是用光譜分析儀測量光信號的頻譜的變化來檢測的攻擊方法。但同樣比較取樣平均和統計平均，需要時間長，反應慢，而且對不改變光譜形狀的攻擊則無法檢測。

監控信號分析法是利用傳送監控信號來檢測傳輸中斷，但監控信號并不能完全代表通信信息的質量，而且對通信信號質量有影響。

光時域反射法是用OTDR監控信號和分析監控信號的反射信號來檢測的攻擊方法。然而，只要有不大于1％光泄漏，OTDR無法檢測到這種攻擊。

鑒于它們的局限性，提出了兩種新的檢測方法。