全光網絡中攻擊的檢測與定位

4.2 參數比較檢測法

參數比較法基于被檢測器件的輸入、輸出端信號應滿足一定的數學關系而得。從器件的兩端提取用于比較的光信號，其中提取的輸入端信號加上被檢測器件的固有延時τ，然后將光信號通過光電轉換后變成電信號，再送到參數比較器中得出輸出函數K。根據需要比較的參數類型(光信號的幅度、相位、波長等)以及被檢測器件的固有特性，在沒有攻擊的情況下，比較器的輸出函數K=f(S1…Sn，R1…Rn)，是輸入和輸出信號的復合函數，一旦有攻擊存在是，比較器的輸出函數K'=f'(S1'…Sn'，R1'…Rn')。將K'和K比較，超過設定的閾值，說明攻擊存在，則將結果送到網管，由網管統一處理，比較過程如圖6所示。

參數比較法不改變被檢測器件結構，和傳輸鏈路的比特率無關。由于要光電轉換，所以檢測速度依賴于光電轉換時間，同時要提取信號，可能會影響信號功率。

4.3 綜合監測器件檢測法

網絡中監測器件主要負責對傳輸器件性能的監控。用V表示監控器件的集合，包括以下4類：V0，V1，V2，V3，即V={V0，V1，V2，V3}，如表1。

下面用具體實例說明攻擊檢測的方法，圖7是一段DWDM線路，假如Fiber-1處發生了攻擊，在①，②，③，④處分別放置V0，V3，V1，V2類器件來檢測攻擊。

監控通道若收到V器件發出報警信號，用1表示，沒收到則用0表示。發生攻擊時，四個V器件發出的報警信號(0或1)排成一列，組成一個四位二進制數，并將其轉化為十進制數，由于不同攻擊方法的報警值不同，所以能檢測出不同的攻擊。

5 攻擊的定位算法

當檢測出攻擊方法后，接著就要定位攻擊源的位置，下面是分布式定位算法原理。

假設網絡結點報警狀態參量為S，正常狀態時令S=0，受到攻擊時令S=1，上游結點報警狀態參量為S'，下游節點報警參量為S，分布式定位算法的主要流程如圖8所示。

結點S首先檢測來自上游結點的報警狀態參量S'，如果S'=1，則說明上游結點是攻擊源，不讓本結點報警；如果S'=0，說明上游結點不是攻擊源，于是對本地結點進行攻擊判斷，一旦判斷受到攻擊，就令本地結點報警狀態參量S=1，如果判斷沒有受到攻擊，就令S=0，然后將本地報警狀態參量S下傳給下游結點，下游結點依次按照這樣的方法進行分布重復判斷，直到查找到整個網絡的攻擊源為止。

6 結 語

國內對全光網絡中攻擊研究還不是很深入，鑒于此提出了全光網絡安全管理框架，得出了兩種新的攻擊檢測方法和一種有效的攻擊定位算法，這將有助于人們提高網絡安全意識，防范惡意攻擊的發生。