基于分布式PCE的多域光网络多点串扰攻击检测与定位方法技术

本发明专利技术属于多域光网络技术领域，公开了一种基于分布式PCE的多域光网络多点串扰攻击检测与定位方法。通过利用对告警节点的BER检测比对，得出其状态信息值S

【技术实现步骤摘要】
基于分布式PCE的多域光网络多点串扰攻击检测与定位方法


[0001]本专利技术属于多域光网络多点串扰攻击检测与定位
，具体涉及一种基于分布式PCE的多域光网络多点串扰攻击检测与定位方法。

技术介绍

[0002]在大规模、大容量、高速率的光网络中，恶意用户很容易利用网络传输的透明特性对域内和域间链路进行高功率串扰攻击，这些有可能发生在任意时刻、任意位置的大功率串扰攻击会在网络中引发攻击传播效应，甚至将导致整个网络的瘫痪，带来不可估计的损失。因此，如何对多域光网络中的大功率串扰攻击做到精准检测和快速定位，是保证网络安全，提高光网络生存性的一项重要研究内容。
[0003]由于多域光网络的各个域是由不同的服务提供者来管理的，域和域之间互不交换内部信息，这就为跨域的串扰攻击定位带来了难度。基于分布式PCE的多域光网络架构可以很好地解决这个问题，PCE的算路结构和通信机制可以支持对域间链路的攻击定位，同时PCE之间是要求严格同步的，它们不仅掌握本域如拓扑结构和资源信息等方面的网络状态，而且其计算出来的路径集合和预留资源是实时的。
[0004]在多域光网络中，由于大功率串扰攻击会引起LP的攻击传播，一旦一条链路遭到大功率串扰攻击，不仅所有经过它的LP都将受到串扰攻击的影响，而且串扰攻击传播会使网络中出现大量的SALP和DALP。因此，一段受到串扰攻击的光路很可能引发光网络中大量告警，传统的网络攻击检测与定位方法根本无法定位串扰攻击源的位置。

技术实现思路

[0005]本专利技术的目的在于提供一种基于分布式PCE的多域光网络多点串扰攻击检测与定位方法，用以解决现有技术中针对大功率串扰攻击的攻击传播进而引发光网络中产生大量告警，导致的攻击定位阶段工作量大，定位速度低的问题。
[0006]为了实现上述任务，本专利技术采用以下技术方案：
[0007]基于分布式PCE的多域光网络多点串扰攻击检测方法，包括如下步骤：
[0008]步骤1：采集每个告警节点处的所有攻击光路的BER信息，所述攻击光路的BER信息包括攻击光路的检测BER值，基准BER值和阈值；
[0009]步骤2：根据每个告警节点处的所有攻击光路的BER信息，获得攻击光路的状态信息集合Z
n
＝{S
nk
}；
[0010]其中，Br
nk
为第n个告警节点的第k个攻击光路的检测BER值，Bb
nk
第n个告警节点的第k个攻击光路的的基准BER，Bt
nk
表示第n个告警节点的第k个攻击光路的阈值，dBr
nk
＝|Br
nk-Bb
nk
|，Br
nk
、Bb
nk
和Bt
nk
的取值范围均为(0,1)；
[0011]步骤3：将每个告警节点处状态信息为2的攻击光路判定为原始攻击光路，获取所
有告警节点处的原始攻击光路作为原始攻击光路集。
[0012]基于分布式PCE的多域光网络多点串扰攻击检定位方法，包括如下步骤：
[0013]步骤1：将多域光网络中每个域的边界节点和每条光路的目的节点作为告警节点，采集每个告警节点处的所有攻击光路的BER信息，根据如权利要求1所述的基于分布式PCE的多域光网络多点串扰攻击检测方法获得原始攻击光路集；
[0014]根据原始攻击光路集中每条原始攻击光路中包括原始攻击光路的目的节点DN和原始攻击光路的域边界节点BN，获得DN集和BN集；
[0015]步骤2：令DN集和BN集发送信令，根据DN集和BN集的收发信令关系获得多域光网络中所有的串扰攻击域，包括如下子步骤：
[0016]步骤2.1：DN集中每个DN向所在域的域内PCE和所在域的所有节点发送域内告警信令，所述域内告警信令包括发送节点的域ID、节点ID以及所有通过该节点的被攻击光路的ID和长度；
[0017]BN集中每个BN的入口向所在域的域内PCE、域内所有节点、上游域的PCE和上游域的BN发送发送域间告警信令，还向上游DN和上游BN发送监测信号，所述域间告警信令包括发送节点的域ID、节点ID以及所有通过该节点的被攻击光路的ID和长度；
[0018]BN集中每个BN的出口向所在域的域内PCE、域内所有节点、下游域的PCE和下游域的BN发送发送域间告警信令，还向下游DN和下游BN发送监测信号；
[0019]步骤2.2：获取多域光网络中不属于BN集的边界节点收到的信令，若任一不属于BN集的边界节点收到了包含本域的域ID的域间告警信令，则向该任一不属于BN集的边界节点的下游BN发送控制信令，所述控制信令包含发送节点的节点ID，执行步骤2.3；否则，执行步骤2.3；
[0020]步骤2.3：获取每个域内DN和BN数量，以及BN集中每个BN收到的信令，根据判断准则进行判断，获取多域光网络中所有的串扰攻击域，所述判断准则包括：
[0021]若域内只含有DN而没有BN，则该域被判定为串扰攻击域；
[0022]若任一域内没有BN收到控制信令且所有的DN和BN都收到了监测信号，则判定该域内无串扰攻击；否则，该域被判定为串扰攻击域；
[0023]若任一BN收到了非本域的域ID的域间告警信令，则将该BN与信令发送节点构成的域间链路加入串扰攻击域；
[0024]步骤3：判断串扰攻击域内DN和BN的数量关系，若只含有DN而没有BN，则进行域内串扰攻击定位，获得受到串扰攻击的域内链路；否则，进行域间串扰攻击定位，获得受到串扰攻击的域间链路。
[0025]进一步的，步骤3中串扰攻击定位方法采用MD-PLVM算法。
[0026]本专利技术与现有技术相比具有以下技术特点：
[0027](1)本专利技术的检测方法利用对告警处OXC端口ALP的BER检测比对，得出其状态信息值S
nk
，根据实际值和阈值的关系计算ALP的状态信息值并进行ALP的攻击判别分类，经过攻击判别得到一个OALP集，达到排除干扰告警的目的。减少了攻击定位阶段工作量，提高了定位速度。
[0028](2)本专利技术针对大功率串扰攻击引发光路攻击传播，从而导致光网络中产生大量告警的问题，在PLVM算法思想的基础上，以分布式PCE的网络架构和攻击检测模块输出的
OALP集为前提，提出了一种适用于多域光网络多点串扰攻击定位的算法MD-PLVM，实现了对域间和域内的多点串扰攻击源的快速定位。最后，通过仿真实验对基于分布式PCE的多域光网络多点串扰攻击检测与定位方法(DP-CADL)进行验证，实验结果证明，DP-CADL方案能够对多域光网络的多点串扰攻击进行精准检测与快速定位，并且具有较高的定位准确率。
附图说明
[0029]图1为实施例中拓扑构成的多域光网络；
[0030]图2为OXC端口光路的结构示意图；
[0031]图3为实施例中各ALP的检测BER比较图；
[0032本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于分布式PCE的多域光网络多点串扰攻击检测方法，其特征在于，包括如下步骤：步骤1：采集每个告警节点处的所有攻击光路的BER信息，所述攻击光路的BER信息包括攻击光路的检测BER值，基准BER值和阈值；步骤2：根据每个告警节点处的所有攻击光路的BER信息，获得攻击光路的状态信息集合Z
n
＝{S
nk
}；其中，Br
nk
为第n个告警节点的第k个攻击光路的检测BER值，Bb
nk
第n个告警节点的第k个攻击光路的的基准BER，Bt
nk
表示第n个告警节点的第k个攻击光路的阈值，dBr
nk
＝|Br
nk-Bb
nk
|，Br
nk
、Bb
nk
和Bt
nk
的取值范围均为(0,1)；步骤3：将每个告警节点处状态信息为2的攻击光路判定为原始攻击光路，获取所有告警节点处的原始攻击光路作为原始攻击光路集。2.基于分布式PCE的多域光网络多点串扰攻击检定位方法，其特征在于，包括如下步骤：步骤1：将多域光网络中每个域的边界节点和每条光路的目的节点作为告警节点，采集每个告警节点处的所有攻击光路的BER信息，根据如权利要求1所述的基于分布式PCE的多域光网络多点串扰攻击检测方法获得原始攻击光路集；根据原始攻击光路集中每条原始攻击光路中包括原始攻击光路的目的节点DN和原始攻击光路的域边界节点BN，获得DN集和BN集；步骤2：令DN集和BN集发送信令，根据DN集和BN集的收发信令关系获得多域光网络中所有的串扰攻击域，包括如下子步骤：步骤2.1：DN集中每个DN向所在域...

【专利技术属性】
技术研发人员：吴启武，刘雪玥，姜灵芝，姜姗，
申请(专利权)人：中国人民武装警察部队工程大学，
类型：发明
国别省市：