全光網(wǎng)絡(luò)中攻擊的檢測(cè)與定位
掃描二維碼
隨時(shí)隨地手機(jī)看文章
1 引 言
全光網(wǎng)絡(luò)(AON)是指在網(wǎng)絡(luò)中信號(hào)不需電/光和光/電轉(zhuǎn)換,傳輸和交換過程中始終以光的形式存在。由于節(jié)點(diǎn)的交換使用大容量和高度靈活的波長(zhǎng)上/下光分插復(fù)用器(OADM)和光交叉連接設(shè)備(OXC),進(jìn)而實(shí)現(xiàn)透明傳輸,一旦商用將極大提高傳輸速率和網(wǎng)絡(luò)容量。然而,與現(xiàn)有電/光/電網(wǎng)絡(luò)和傳統(tǒng)電網(wǎng)絡(luò)相比,易受惡意攻擊,其安全問題更應(yīng)該被引起重視,具體原因如下:
(1)攻擊者更易接近光器件,網(wǎng)絡(luò)易攻擊性高。例如,通過微彎光纖注入某一波長(zhǎng)的攻擊光信號(hào)或利用其輻射出的光信號(hào)可進(jìn)行竊聽,用光纖夾持器加以改進(jìn)或光泄漏檢測(cè)器就能實(shí)現(xiàn)上述功能;
(2)光網(wǎng)絡(luò)的物理結(jié)構(gòu)為攻擊提供了機(jī)會(huì)。例如,在網(wǎng)絡(luò)遠(yuǎn)端注入攻擊信號(hào),在傳輸過程中可影響整個(gè)網(wǎng)絡(luò);
(3)某些光技術(shù)恰成漏洞被攻擊所利用。例如,光開關(guān)中的串?dāng)_水平引起的一部分泄漏信號(hào),這對(duì)于正常信號(hào)不會(huì)造成危害,但當(dāng)攻擊者注入強(qiáng)干擾信號(hào)時(shí),足以讓攻擊者檢測(cè)到它的存在,很有可能從流量中恢復(fù)出一部分?jǐn)?shù)據(jù)。
本文的目標(biāo)是研究攻擊的類型和方法,介紹全光網(wǎng)中易受攻擊的器件,探討幾種有效的攻擊的檢測(cè)方法和定位算法。
2 攻擊的類型和方法
從應(yīng)對(duì)攻擊角度出發(fā),提出全光網(wǎng)絡(luò)安全管理框架,如圖1所示。
2.1 攻擊的類型
攻擊是指人為的惡意破壞。攻擊大致有六類:通信流量分析、竊聽、數(shù)據(jù)延遲、服務(wù)拒絕、QoS下降和欺騙。通信分析和竊聽有相似特性;光網(wǎng)絡(luò)沒有光存儲(chǔ)器,不會(huì)受到數(shù)據(jù)延遲攻擊;欺騙可以用加密來防止;服務(wù)拒絕是QoS下降的極限結(jié)果,兩者統(tǒng)稱為服務(wù)破壞。從物理層看,全光網(wǎng)絡(luò)中主要考慮的攻擊有兩類:竊聽與通信流量分析和服務(wù)破壞。
2.2 攻擊的方法
為實(shí)現(xiàn)上述兩種攻擊,攻擊者必須設(shè)計(jì)攻擊方法,原則是:易于實(shí)現(xiàn)和效果明顯。常見的攻擊方法有四種:帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。
帶內(nèi)干擾攻擊是注入一個(gè)光信號(hào)專門來降低接收機(jī)正確解譯數(shù)據(jù)的能力,它不但破壞攻擊源所在鏈路上的信號(hào),而且也影響與該鏈路節(jié)點(diǎn)相連的其他鏈路上的信號(hào)質(zhì)量,如圖2所示。這是信號(hào)不需再生而直接在鏈路中傳播造成的。
帶外干擾攻擊是利用器件的泄漏或交叉調(diào)制效應(yīng)降低信號(hào)能量,攻擊者注入一個(gè)與通信波段不同波長(zhǎng)但又在放大器放大帶寬內(nèi)的信號(hào),攻擊信號(hào)就會(huì)掠奪其他信號(hào)的增益,如圖3所示。
竊聽是攻擊者監(jiān)聽從鄰近信道泄漏的串?dāng)_來獲得有關(guān)鄰近信號(hào)的信息。
斷纖就是認(rèn)為切斷光纜的攻擊。
3 易受攻擊的器件
全光網(wǎng)絡(luò)中易受攻擊的器件主要包括:光纖、發(fā)送器、接收器、(解)復(fù)用器、光交叉連接設(shè)備(OXC)、光濾波器、光開關(guān)、耦合器、光放大器等。
下面以O(shè)XC結(jié)點(diǎn)為例,分析易受攻擊的光器件,將攻擊點(diǎn)編號(hào),如圖4所示。
攻擊點(diǎn)1——光纖 光纖的易接近性以及其自身的串?dāng)_、非線性、彎曲輻射特性為斷纖和竊聽攻擊提供了機(jī)會(huì)。
攻擊點(diǎn)2——測(cè)試接入端口 用于測(cè)試或需要時(shí)方便連接的測(cè)試接入端口卻成為攻擊者利用的對(duì)象:可用于竊聽,還可以在端口處人為改變傳輸信號(hào)的功率、偏振等指標(biāo),信號(hào)再通過對(duì)這些指標(biāo)比較敏感的器件時(shí)(比如放大器對(duì)偏振較敏感),服務(wù)質(zhì)量就會(huì)降低。
攻擊點(diǎn)3——EDFA EDFA存在兩個(gè)不容忽視的問題:增益競(jìng)爭(zhēng)和增益譜不平坦。如果增益譜不平坦,即使每個(gè)波道光功率相等,通過EDFA,輸出的光功率也會(huì)出現(xiàn)波動(dòng)起伏現(xiàn)象,再通過下一級(jí)EDFA時(shí)將產(chǎn)生更加嚴(yán)重的增益競(jìng)爭(zhēng),使得光信噪比下降,因此攻擊者可采用帶外干擾攻擊降低或破壞通信質(zhì)量。
攻擊點(diǎn)4——分光器/合光器 解復(fù)用器是由一個(gè)分光器和一個(gè)濾波器組成。它所面臨的危險(xiǎn)與濾波器的易攻擊性相同。
攻擊點(diǎn)5——濾波器 在全光網(wǎng)絡(luò)中,各個(gè)波道間隔非常小,而濾波器的帶寬要求非常窄,但又必須滿足通帶平坦和邊帶陡峭條件,否則,相鄰波道信號(hào)就會(huì)發(fā)生串?dāng)_,為非授權(quán)侵入提供機(jī)會(huì),此種攻擊很難檢測(cè)和定位。
攻擊點(diǎn)6——光開關(guān) 若光開關(guān)行性能不理想,會(huì)導(dǎo)致串?dāng)_,且具有傳播性,一階串?dāng)_引起二階串?dāng)_,再引起三階串?dāng)_等,如圖5所示。合法用戶間也可能存在串?dāng)_,可怕的是,一旦攻擊者發(fā)送惡意攻擊信號(hào),將產(chǎn)生嚴(yán)重的帶內(nèi)干擾,同時(shí)也能通過串?dāng)_竊聽。
4 攻擊的檢測(cè)方法
4.1 現(xiàn)有的檢測(cè)方法
常用的攻擊檢測(cè)方法有:寬帶功率檢測(cè)法、光譜分析法、監(jiān)控信號(hào)分析法、光時(shí)域反射法,它們能初步檢測(cè)出帶內(nèi)干擾攻擊、帶外干擾攻擊、竊聽和斷纖。
寬帶功率檢測(cè)法是測(cè)量光信號(hào)在較大譜寬內(nèi)的功率并與期望值比較來檢測(cè)攻擊的方法。需要時(shí)間長(zhǎng),且測(cè)到較小的功率變化不一定是攻擊所致(可能是器件老化,光纖修補(bǔ)等)。
光譜分析法是用光譜分析儀測(cè)量光信號(hào)的頻譜的變化來檢測(cè)的攻擊方法。但同樣比較取樣平均和統(tǒng)計(jì)平均,需要時(shí)間長(zhǎng),反應(yīng)慢,而且對(duì)不改變光譜形狀的攻擊則無法檢測(cè)。
監(jiān)控信號(hào)分析法是利用傳送監(jiān)控信號(hào)來檢測(cè)傳輸中斷,但監(jiān)控信號(hào)并不能完全代表通信信息的質(zhì)量,而且對(duì)通信信號(hào)質(zhì)量有影響。
光時(shí)域反射法是用OTDR監(jiān)控信號(hào)和分析監(jiān)控信號(hào)的反射信號(hào)來檢測(cè)的攻擊方法。然而,只要有不大于1%光泄漏,OTDR無法檢測(cè)到這種攻擊。
鑒于它們的局限性,提出了兩種新的檢測(cè)方法。
4.2 參數(shù)比較檢測(cè)法
參數(shù)比較法基于被檢測(cè)器件的輸入、輸出端信號(hào)應(yīng)滿足一定的數(shù)學(xué)關(guān)系而得。從器件的兩端提取用于比較的光信號(hào),其中提取的輸入端信號(hào)加上被檢測(cè)器件的固有延時(shí)τ,然后將光信號(hào)通過光電轉(zhuǎn)換后變成電信號(hào),再送到參數(shù)比較器中得出輸出函數(shù)K。根據(jù)需要比較的參數(shù)類型(光信號(hào)的幅度、相位、波長(zhǎng)等)以及被檢測(cè)器件的固有特性,在沒有攻擊的情況下,比較器的輸出函數(shù)K=f(S1…Sn,R1…Rn),是輸入和輸出信號(hào)的復(fù)合函數(shù),一旦有攻擊存在是,比較器的輸出函數(shù)K'=f'(S1'…Sn',R1'…Rn')。將K'和K比較,超過設(shè)定的閾值,說明攻擊存在,則將結(jié)果送到網(wǎng)管,由網(wǎng)管統(tǒng)一處理,比較過程如圖6所示。
參數(shù)比較法不改變被檢測(cè)器件結(jié)構(gòu),和傳輸鏈路的比特率無關(guān)。由于要光電轉(zhuǎn)換,所以檢測(cè)速度依賴于光電轉(zhuǎn)換時(shí)間,同時(shí)要提取信號(hào),可能會(huì)影響信號(hào)功率。
4.3 綜合監(jiān)測(cè)器件檢測(cè)法
網(wǎng)絡(luò)中監(jiān)測(cè)器件主要負(fù)責(zé)對(duì)傳輸器件性能的監(jiān)控。用V表示監(jiān)控器件的集合,包括以下4類:V0,V1,V2,V3,即V={V0,V1,V2,V3},如表1。
下面用具體實(shí)例說明攻擊檢測(cè)的方法,圖7是一段DWDM線路,假如Fiber-1處發(fā)生了攻擊,在①,②,③,④處分別放置V0,V3,V1,V2類器件來檢測(cè)攻擊。
監(jiān)控通道若收到V器件發(fā)出報(bào)警信號(hào),用1表示,沒收到則用0表示。發(fā)生攻擊時(shí),四個(gè)V器件發(fā)出的報(bào)警信號(hào)(0或1)排成一列,組成一個(gè)四位二進(jìn)制數(shù),并將其轉(zhuǎn)化為十進(jìn)制數(shù),由于不同攻擊方法的報(bào)警值不同,所以能檢測(cè)出不同的攻擊。
5 攻擊的定位算法
當(dāng)檢測(cè)出攻擊方法后,接著就要定位攻擊源的位置,下面是分布式定位算法原理。
假設(shè)網(wǎng)絡(luò)結(jié)點(diǎn)報(bào)警狀態(tài)參量為S,正常狀態(tài)時(shí)令S=0,受到攻擊時(shí)令S=1,上游結(jié)點(diǎn)報(bào)警狀態(tài)參量為S',下游節(jié)點(diǎn)報(bào)警參量為S",分布式定位算法的主要流程如圖8所示。
結(jié)點(diǎn)S首先檢測(cè)來自上游結(jié)點(diǎn)的報(bào)警狀態(tài)參量S',如果S'=1,則說明上游結(jié)點(diǎn)是攻擊源,不讓本結(jié)點(diǎn)報(bào)警;如果S'=0,說明上游結(jié)點(diǎn)不是攻擊源,于是對(duì)本地結(jié)點(diǎn)進(jìn)行攻擊判斷,一旦判斷受到攻擊,就令本地結(jié)點(diǎn)報(bào)警狀態(tài)參量S=1,如果判斷沒有受到攻擊,就令S=0,然后將本地報(bào)警狀態(tài)參量S下傳給下游結(jié)點(diǎn),下游結(jié)點(diǎn)依次按照這樣的方法進(jìn)行分布重復(fù)判斷,直到查找到整個(gè)網(wǎng)絡(luò)的攻擊源為止。
6 結(jié) 語
國(guó)內(nèi)對(duì)全光網(wǎng)絡(luò)中攻擊研究還不是很深入,鑒于此提出了全光網(wǎng)絡(luò)安全管理框架,得出了兩種新的攻擊檢測(cè)方法和一種有效的攻擊定位算法,這將有助于人們提高網(wǎng)絡(luò)安全意識(shí),防范惡意攻擊的發(fā)生。