第一章 方案背景
1.1 政策分析
近幾年绪囱,隨著移動互聯(lián)網(wǎng)另假、大數(shù)據(jù)绪抛、云計算资铡、人工智能等新一代信息技術(shù)的快速發(fā)展,圍繞網(wǎng)絡(luò)和數(shù)據(jù)的服務(wù)與應(yīng)用呈現(xiàn)爆發(fā)式增長幢码,豐富的應(yīng)用場景下暴露出越來越多的網(wǎng)絡(luò)安全風(fēng)險和問題笤休,并在全球范圍內(nèi)產(chǎn)生廣泛而深遠的影響,例如近幾年頻繁發(fā)生的勒索病毒攻擊症副、跨國電信詐騙店雅、數(shù)據(jù)泄露、網(wǎng)絡(luò)暴力等事件贞铣,給各國的互聯(lián)網(wǎng)發(fā)展與治理帶來巨大的挑戰(zhàn)闹啦。
近幾年來,我國政府推動了一系列網(wǎng)絡(luò)安全管理的法律法規(guī)辕坝、標準和政策的落地窍奋。2015年7月1日,《國家安全法》公布施行酱畅,其中首次以法律形式提出“維護國家網(wǎng)絡(luò)空間主權(quán)”琳袄,并明確提出國家建設(shè)網(wǎng)絡(luò)與信息安全保障體系。2015年7月6日纺酸,《中國人民共和國網(wǎng)絡(luò)安全法(草案)》發(fā)布窖逗,于2017年6月1日正式實施。并且我國還先后提出或頒布了多個配套法律法規(guī)和規(guī)范性文件吁峻,包括《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》滑负、《國家網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》用含、《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》帮匾、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》啄骇、《個人信息和重要數(shù)據(jù)出境安全評估辦法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等等瘟斜。
隨著網(wǎng)絡(luò)安全相關(guān)政策推出缸夹,企業(yè)痪寻、高校和相關(guān)地方、部門組織開展了不同形式和規(guī)模的網(wǎng)絡(luò)安全競賽活動虽惭,在提升全社會網(wǎng)絡(luò)安全意識橡类、促進網(wǎng)絡(luò)安全技術(shù)交流、培養(yǎng)和發(fā)現(xiàn)網(wǎng)絡(luò)安全人才等方面發(fā)揮了重要作用芽唇。
1.2 高泄嘶現(xiàn)狀
網(wǎng)絡(luò)安全人才的培養(yǎng)是隨著網(wǎng)絡(luò)的快速普及而展開的。2000年匆笤,我國高校開始設(shè)置信息安全本科專業(yè)研侣,標志著我國將網(wǎng)絡(luò)安全人才的培養(yǎng)正式納入高等教育體系中,目前各個高校采取的方式和方法也不盡相同炮捧,體現(xiàn)出不同的辦學(xué)思路庶诡。例如有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在安全工程系,以安全為教學(xué)內(nèi)容的重點咆课;有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在計算機系末誓,以計算機和網(wǎng)絡(luò)知識為重點;有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在數(shù)學(xué)系书蚪,以數(shù)學(xué)基显、物理等基礎(chǔ)知識為其側(cè)重點;無論隸屬任何院系善炫,各大院校輸出的網(wǎng)絡(luò)安全人才與企業(yè)所需的網(wǎng)絡(luò)安全人才都有一定的不對等性撩幽,這也直接導(dǎo)致了其不能直接勝任企業(yè)和其他用人單位的工作需要。
部分高校的網(wǎng)絡(luò)安全專業(yè)中現(xiàn)有基本的基礎(chǔ)實驗室設(shè)備落后箩艺,課程內(nèi)容太過基礎(chǔ)窜醉。也沒有專業(yè)的競賽系統(tǒng)。導(dǎo)致許多高校無法開展課程體系中所要求的實驗艺谆,學(xué)生的學(xué)習(xí)只能是從理論到理論榨惰,極大的削弱了教學(xué)效果。網(wǎng)絡(luò)安全學(xué)科不僅具有很強的理論性静汤,同時也具有非常強的實踐性琅催,許多安全技術(shù)與手段需要在實踐過程中去認識、去體會虫给。當前設(shè)有網(wǎng)絡(luò)安全專業(yè)的高校藤抡,能夠為學(xué)生提供實踐的機會很少。許多高校無法為學(xué)生提供實踐鍛煉的機會抹估,更不用說建設(shè)網(wǎng)絡(luò)安全競賽系統(tǒng)了缠黍,這樣培養(yǎng)出來的人才其解決實際問題的能力可想而知。
第二章 建設(shè)理念
2.1 建設(shè)目的
2.1.1 推動產(chǎn)教融合药蜻、校企合作
《國務(wù)院辦公廳關(guān)于深化產(chǎn)教融合的若干意見》國辦〔2017〕95號指出“用10年左右時間瓷式,教育和產(chǎn)業(yè)統(tǒng)籌融合替饿、良性互動的發(fā)展格 局總體形成,需求導(dǎo)向的人才培養(yǎng)模式健全完善贸典,人才教育供給與產(chǎn)業(yè)需求重大結(jié)構(gòu)性矛盾基本解決视卢,職業(yè)教育、高等教育對經(jīng)濟發(fā)展和產(chǎn)業(yè)升級的貢獻顯著增強”廊驼。
網(wǎng)絡(luò)安全競賽賽項選取網(wǎng)絡(luò)安全行業(yè)企業(yè)真實場景据过,圍繞攻擊與防守設(shè)計競賽內(nèi)容。通過本賽項推動了課程內(nèi)容與職業(yè)標準對接蔬充,教學(xué)過程與生產(chǎn)過程對接蝶俱,專業(yè)與產(chǎn)業(yè)對接,實現(xiàn)教育鏈饥漫、人才鏈與產(chǎn)業(yè)鏈榨呆、創(chuàng)新鏈有機銜接,促進產(chǎn)教融合庸队、校企合作积蜻、產(chǎn)業(yè)發(fā)展。實現(xiàn)以賽促教彻消、以賽促學(xué)竿拆、以賽促改的教產(chǎn)合作賽事創(chuàng)新。
2.1.2 促進專業(yè)建設(shè)與課程改革
根據(jù)教育部辦公廳關(guān)于印發(fā)《2019年教育信息化和網(wǎng)絡(luò)安全工作要點》的通知中要求宾尚,推動數(shù)字資源服務(wù)普及丙笋、不斷擴大優(yōu)質(zhì)教育資源覆蓋面、提升教育服務(wù)供給能力煌贴,以及教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會頒發(fā)的《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》中指出的學(xué)生學(xué)習(xí)的基本網(wǎng)絡(luò)安全理論御板、技術(shù)、應(yīng)用等要求牛郑,通過網(wǎng)絡(luò)安全競賽完善網(wǎng)絡(luò)安全領(lǐng)域課程建設(shè)怠肋,使人才培養(yǎng)更貼近崗位實際,提升專業(yè)培養(yǎng)服務(wù)社會和行業(yè)發(fā)展的能力淹朋;通過網(wǎng)絡(luò)安全競賽的建設(shè)可加快專業(yè)的發(fā)展笙各,提高高校建設(shè)網(wǎng)絡(luò)安全專業(yè)的能力,提高教師的專業(yè)水平與素質(zhì)础芍,培養(yǎng)學(xué)生的專業(yè)技能和動手實踐能力杈抢。
2.2 建設(shè)意義
競賽平臺的建設(shè),旨在有效促進高校網(wǎng)絡(luò)安全者甲、信息安全等專業(yè)教學(xué)模式的探索性改良春感,推進相關(guān)專業(yè)課程體系、教學(xué)內(nèi)容和教學(xué)方法等教學(xué)資源的質(zhì)量提升和豐富完善虏缸,進而推動網(wǎng)絡(luò)安全相關(guān)專業(yè)教育上層建筑體系質(zhì)的飛躍鲫懒。
通過競賽教學(xué)模式,能夠激發(fā)學(xué)員的自主學(xué)習(xí)熱情刽辙,樹立正確積極的職業(yè)價值觀和人生觀窥岩。聯(lián)合高校之間舉辦競賽,可以提高實踐教學(xué)課時量宰缤,模擬網(wǎng)絡(luò)安全攻防的真實場景颂翼,提高學(xué)生的專業(yè)技能,并逐步實踐“理實一體化”慨灭、“做學(xué)教一體化”的教學(xué)模式朦乏,同時可以提高本校在本省甚至全國的知名度,打造網(wǎng)絡(luò)安全競賽示范性品牌氧骤。
以網(wǎng)絡(luò)安全競賽為紐帶呻疹,搭建校企合作的平臺,提升高校網(wǎng)絡(luò)安全專業(yè)及其他信息技術(shù)類專業(yè)學(xué)生的技能水平筹陵,滿足企業(yè)用人需求刽锤,實現(xiàn)行業(yè)資源、企業(yè)資源與教學(xué)資源的有機融合朦佩,使高校在專業(yè)建設(shè)并思、課程建設(shè)、人才培養(yǎng)方案和人才培養(yǎng)模式等方面緊跟行業(yè)及社會發(fā)展的需求语稠,縮小學(xué)生能力與行業(yè)需求之間的差距宋彼,促進專業(yè)教學(xué)建設(shè)和教學(xué)改革。
第三章 平臺介紹
網(wǎng)絡(luò)安全競賽平臺支持CTF解題賽和AWD對抗賽兩種類型的網(wǎng)絡(luò)安全競賽形式仙畦。
CTF解題賽:CTF解題賽主要通過模擬各種業(yè)務(wù)應(yīng)用系統(tǒng)漏洞输涕、構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境來訓(xùn)練學(xué)員的各項網(wǎng)絡(luò)安全技能、考核學(xué)員的CTF實戰(zhàn)能力议泵,系統(tǒng)提供的目標靶場為多個虛擬機組成的網(wǎng)絡(luò)環(huán)境占贫,學(xué)員利用系統(tǒng)提供的滲透主機,對目標主機進行攻擊先口,并獲得相關(guān)的FLAG信息型奥。平臺包括各類線上CTF比賽類型題,如Web碉京、密碼學(xué)厢汹、逆向、雜項谐宙、隱寫烫葬、編程等,題目內(nèi)容涵蓋有嗅探、掃描搭综、密碼算法垢箕、防火墻条获、逆向工程帅掘、緩沖區(qū)溢出、拒絕服務(wù)攻擊堂油、惡意代碼修档、SQL注入、網(wǎng)絡(luò)欺騙府框、日志清除吱窝、操作系統(tǒng)漏洞、操作系統(tǒng)安全策略配置、網(wǎng)絡(luò)設(shè)備攻擊與安全配置袜香、常用DOS命令等知識點撕予。
AWD對抗賽:AWD對抗賽在封閉的真實環(huán)境中展開攻防角逐,可以充分的鍛煉和考察各選手的個人水平和小組間的協(xié)同合作能力蜈首,其核心思想是在確保防御的基礎(chǔ)上展開進攻吆寨,既相互攻擊、也承擔相互的攻擊踩寇。與傳統(tǒng)主流的網(wǎng)絡(luò)安全競賽CTF(奪旗賽)的人機攻防不同的是這種攻防是人人攻防啄清,這也是得名AWD(Attack With Defence,攻防兼?zhèn)洌┑挠蓙戆乘铩T贏WD的競賽環(huán)境中辣卒,每支隊伍有一個小型的虛擬網(wǎng)絡(luò),在虛擬網(wǎng)絡(luò)的邊界上會放一個虛擬的防火墻睛榄,一臺防守機荣茫、一臺FLAG機。其中防守機上開有有十幾個服務(wù)场靴。在攻防對戰(zhàn)中啡莉,防守的一方要保護自己防守機的上的業(yè)務(wù)能夠正常打開港准,也就是開設(shè)的端口要能夠正常訪問。攻擊時則是要通過各種攻擊手段奪取對手FLAG機上的權(quán)限咧欣。相對于CTF競賽浅缸,AWD競賽更可以培養(yǎng)學(xué)員的思維跳躍能力、專業(yè)技術(shù)能力以及團隊協(xié)作的能力该押。
3.1 架構(gòu)介紹
網(wǎng)絡(luò)安全競賽平臺采用私有云系統(tǒng)建設(shè)疗杉,基于私有云環(huán)境架構(gòu)建設(shè)網(wǎng)絡(luò)安全競賽系統(tǒng)阵谚,結(jié)合當今網(wǎng)絡(luò)安全形勢蚕礼、主流競賽設(shè)備、攻防技術(shù)等方向為學(xué)校提供全面的競賽環(huán)境梢什。通過動手實際操作奠蹬,強化學(xué)員對網(wǎng)絡(luò)安全技術(shù)知識的理解,提高網(wǎng)絡(luò)安全的攻防能力嗡午。整個平臺的運行依托于云計算系統(tǒng)囤躁,將云計算系統(tǒng)的計算資源與各種教學(xué)資源整合在一起,向用戶提供各種服務(wù)荔睹。具體說明如下:
底層IaaS層為整合各種IT資源狸演,包括云資源計算設(shè)備、管理控制設(shè)備僻他、資源調(diào)度設(shè)備資源宵距。統(tǒng)一的云系統(tǒng)將這些設(shè)備資源進行虛擬化管理,向上提供基礎(chǔ)服務(wù)吨拗,包括分布式數(shù)據(jù)存儲满哪、計算服務(wù)、負載管理和備份等劝篷。這一層使用虛擬化技術(shù)哨鸭,將分布式計算資源進行整合,為實驗室的運行提供統(tǒng)一管理和使用娇妓。
中間的PaaS層為云系統(tǒng)業(yè)務(wù)調(diào)度中心像鸡,包括統(tǒng)一身份認證管理、各種管理功能哈恰、競賽考題資源管理只估、統(tǒng)一業(yè)務(wù)訪問控制和數(shù)據(jù)監(jiān)控、采集和分析功能等蕊蝗。這一層將各種競賽環(huán)境需要的開發(fā)支持與管理工具仅乓、實驗教學(xué)管理工具等有機地整合在一起,對上一層資源工具打包整合進行按需分配蓬戚。
SaaS層包含了向最終用戶提供的各種服務(wù)以及各種資源調(diào)用夸楣。方式為通過競賽系統(tǒng),將競賽考題和所需要的實驗環(huán)境進行整合為用戶進行服務(wù)。調(diào)用資源的終端可以為PC豫喧、筆記本電腦石洗、各種云終端和平板電腦。云系統(tǒng)的優(yōu)點是可以通過網(wǎng)絡(luò)進行訪問紧显,可在教室讲衫、辦公室、圖書館孵班、寢室訪問使用涉兽,可有效的提高系統(tǒng)使用率。
3.2 競賽平臺
該模塊為此平臺的核心內(nèi)容篙程,參賽選手在此進行網(wǎng)絡(luò)安全競賽枷畏。當開啟比賽模式后,參賽學(xué)員統(tǒng)一在此頁面下進行登錄虱饿,登錄后拥诡,競賽平臺頁面包含以下主要信息:比賽信息、通知欄氮发、當前成績渴肉、服務(wù)監(jiān)控、靶機信息爽冕、排行榜仇祭、FLAG提交等。
登錄界面
3.2.1 比賽信息
比賽信息展示出當前賬號的基本信息情況扇售,一是讓參賽選手了解比賽的注意事項前塔,二是讓選手驗證身份是否正確。
3.2.2 通知欄
系統(tǒng)實時監(jiān)控全部競賽選手的比賽狀態(tài)承冰,方便選手快速看到大賽整體的得分趨勢华弓。
3.2.3 當前成績
系統(tǒng)實時統(tǒng)計當前學(xué)員的比賽排名、比賽得分及當前步驟用時困乒。讓學(xué)員了解自己在整場比賽中的信息寂屏。
3.2.4 服務(wù)監(jiān)控
服務(wù)監(jiān)控主要目的是展示參賽學(xué)員當前虛擬機的狀態(tài),當被其他隊伍攻擊后娜搂,會顯示被攻陷狀態(tài)迁霎。當學(xué)員做了一些犯規(guī)操作后,服務(wù)會顯示異常百宇,根據(jù)顏色來區(qū)分服務(wù)是否正常考廉,可在后臺監(jiān)控中心中進行設(shè)置,當虛擬機出現(xiàn)異常情況携御,可以快速重置恢復(fù)到正常狀態(tài)繼續(xù)比賽昌粤。服務(wù)監(jiān)控方便學(xué)員實時查看虛擬機的狀態(tài)既绕,做好相關(guān)攻防工作。
3.2.5 靶機信息
靶機信息包含了整場比賽中所有隊伍虛擬機的IP信息涮坐,參賽選手可以根據(jù)其他隊伍的IP進行攻擊以及防守凄贩。
3.2.6 排行榜
系統(tǒng)自動統(tǒng)計每一支隊伍的總體得分情況,以名次從高到低的順序展示袱讹。
3.2.7 FLAG提交
當參賽選手在攻陷他人服務(wù)器并找到FLAG之后疲扎,可以通過平臺的快速FLAG提交窗口進行提交。
3.3 管理平臺
網(wǎng)絡(luò)安全競賽平臺的建設(shè)采用B/S架構(gòu)捷雕,用戶通過瀏覽器進行訪問椒丧,且支持內(nèi)網(wǎng)與外網(wǎng)同時訪問。平臺的管理端是針對前端系統(tǒng)設(shè)置的對應(yīng)的管理功能非区,便于競賽過程中對前端系統(tǒng)的自定義管理瓜挽。后臺管理包括5項功能,包括:控制臺征绸、用戶角色、資源管理俄占、拓撲圖管理管怠、比賽管理功能。
3.3.1 控制臺
控制臺功能是幫助管理人員了解競賽平臺的整體使用狀況缸榄,用戶分布功能是將平臺的人員按照班級進行統(tǒng)計渤弛,活躍用戶能夠統(tǒng)計學(xué)習(xí)時長最多的選手,還可以通過折線圖監(jiān)控設(shè)備的使用情況甚带,最后為了方便管理她肯,可以通過此功能遠程關(guān)閉服務(wù)器。
3.3.2 用戶角色管理
為滿足教師方便的管理班級學(xué)院鹰贵,平臺提供用戶組織管理功能晴氨。其中用戶管理顯示平臺用戶的信息列表,管理端可對平臺用戶信息進行編輯與刪除碉输,根據(jù)信息進行用戶模糊篩選籽前,便于管理平臺用戶;角色管理顯示平臺現(xiàn)有角色敷钾,用戶可編輯新的角色并賦予角色權(quán)限枝哄;組織結(jié)構(gòu)管理顯示平臺現(xiàn)有的組織機構(gòu),管理端可以也可根據(jù)層級分步添加組織阻荒、學(xué)院挠锥、系別、專業(yè)侨赡、班級蓖租,對同級別下的機構(gòu)進行排序纱控。
3.3.3 資源監(jiān)控中心
資源監(jiān)控中心是為用戶提供虛擬化管理功能,通過鏡像管理功能可以實現(xiàn)對比賽環(huán)境的自定義菜秦,自定義內(nèi)容包括操作系統(tǒng)類型黍氮、內(nèi)置各類軟件服務(wù)等信息;虛擬化資源管理功能可以查看比賽隊伍的虛擬機狀態(tài)前域;可知制作監(jiān)測機的鏡像蚕断,自動監(jiān)測學(xué)員虛擬機狀態(tài),典型監(jiān)測內(nèi)容包括文件是否存在主慰、文件內(nèi)容是否正確嚣州、服務(wù)狀態(tài)是否正常等內(nèi)容。
3.3.4 拓撲圖管理
用戶可使用網(wǎng)絡(luò)拓撲管理功能拖動左側(cè)功能圖標并設(shè)置相應(yīng)的信息來創(chuàng)建一個新的拓撲圖共螺,拓撲圖內(nèi)容包括比賽的基礎(chǔ)網(wǎng)絡(luò)该肴、操作機、路由器藐不、交換機匀哄、服務(wù)器等相關(guān)內(nèi)容,并且可根據(jù)用戶的需求修改交換機的網(wǎng)絡(luò)地址池雏蛮,分配參賽學(xué)員的IP地址涎嚼,也可修改操作機的虛擬機鏡像、內(nèi)存挑秉、硬盤等實例內(nèi)容法梯。用戶并且可以修改FLAG值以及FLAG在虛擬機生成的位置,系統(tǒng)會自動在相應(yīng)的虛擬位置生成FLAG并自動刷新確保比賽的多輪次性犀概。
3.3.5 比賽管理
? 隊伍信息管理
管理員可在隊伍信息管理中把已有用戶進行隊伍分配立哑,創(chuàng)建成功后以列表的形式展示。
? 監(jiān)控中心
競賽系統(tǒng)內(nèi)置比賽專用監(jiān)測機姻灶,管理員可對全部參賽虛擬機的各項服務(wù)和內(nèi)容進行監(jiān)控和檢測铛绰,當參賽虛擬機中任何一項服務(wù)存在異常時,專用監(jiān)測機發(fā)出報警機制木蹬,并會在賽參學(xué)員界面和后臺界面進行可視化展示至耻,系統(tǒng)和管理員可自動和手動進行獎懲機制,用戶可以根據(jù)比賽需求設(shè)置比賽專用監(jiān)測及的檢測服務(wù)內(nèi)容如:Tomact服務(wù)镊叁、HTTP服務(wù)尘颓、數(shù)據(jù)庫服務(wù)、網(wǎng)絡(luò)協(xié)議晦譬、FLAG初始值疤苹、FLAG初始目錄等相關(guān)內(nèi)容。
? 測試中心
支持對整個比賽的環(huán)境進行自動化測試敛腌,設(shè)定好選手的網(wǎng)絡(luò)地址卧土、路由狀態(tài)惫皱、虛擬機信息后,便可進行所有網(wǎng)絡(luò)的自動化測試尤莺,測試完畢后展示結(jié)果旅敷,如遇問題,可進行自動提示
? FLAG刷新監(jiān)控
可實現(xiàn)FLAG變化的自動監(jiān)控颤霎,實時監(jiān)每一輪控每個隊伍的FLAG信息媳谁,如遇特殊情況,可進行手動刷新友酱;CTF解題模式晴音,可實現(xiàn)每個隊伍的同一題目的不同F(xiàn)LAG值,以防止作弊缔杉。
? 得分規(guī)則
按照比賽需求锤躁,系統(tǒng)實現(xiàn)了提交得分和按輪得分,提交得分機制是只要參賽隊伍拿到FLAG就會給予響應(yīng)分數(shù)和輪次無關(guān)或详,按輪得分的機制是在一輪比賽中系羞,對于同一Falg,本輪比賽結(jié)束后鸭叙,隊伍本輪得分為此FLAG總分值除以拿到此FLAG的隊伍總數(shù)觉啊,兩種得分規(guī)則可保證比賽成績的合理性;
? 比賽環(huán)境
在新建比賽時沈贝,比賽環(huán)境功能需要管理員來設(shè)置,對于本次比賽所用到的虛擬機直接映射到資源管理中心下的鏡像管理勋乾,選擇對應(yīng)的環(huán)境宋下,同時可以對虛擬機的配置進行調(diào)整,確保選手操作體驗效果良好辑莫。像展示環(huán)境只提供參考信息可以設(shè)置用戶無權(quán)限操作学歧,避免破壞比賽提示信息。
? 得分統(tǒng)計
為了方便統(tǒng)一查看全部隊伍的得分情況各吨,紅亞科技研發(fā)得分排行榜功能枝笨,與之前的得分榜不同的是,該功能能夠展示全部隊伍的每一步得分情況揭蜒,榜單縱向為各參賽隊伍横浑,橫向是全部考核體系的步驟展示,分數(shù)根據(jù)具體得分情況實時變化屉更。
? 成績管理
比賽結(jié)束之后徙融,管理員可在成績管理中查看比賽隊伍的最終得分情況,并可查看詳細數(shù)據(jù)瑰谜,支持下載到本地欺冀,詳細記錄比賽過程中每個隊伍的詳細得分情況树绩,包括獎勵得分、懲罰失分隐轩,以便比賽過程中出現(xiàn)爭論時饺饭,有合理的解釋。
3.4 技術(shù)優(yōu)勢
3.4.1 AI智能監(jiān)控
紅亞科技自主研發(fā)智能監(jiān)控功能职车,以“AI+網(wǎng)絡(luò)安全”技術(shù)實現(xiàn)系統(tǒng)自動監(jiān)控機制瘫俊,管理員在后臺設(shè)置相應(yīng)監(jiān)測虛擬機,選手比賽時提鸟,系統(tǒng)自動檢測虛擬機的服務(wù)狀態(tài)是否正常军援。若服務(wù)異常,系統(tǒng)會在后臺報警并進行扣分称勋,并會根據(jù)參賽學(xué)員使用的工具胸哥、網(wǎng)絡(luò)協(xié)議、攻擊手段等進行監(jiān)控和數(shù)據(jù)可視化展示赡鲜。優(yōu)勢在于腳本的靈活性空厌,可以設(shè)置不同的服務(wù)端開口,其次節(jié)省的手動檢測的時間與精力银酬,最后就是結(jié)果的實時展示嘲更,完美的遵循競賽“公平、公正揩瞪、公開”原則赋朦。
3.4.2 多維數(shù)據(jù)展示
根據(jù)歷屆的競賽進行分析觀眾與裁判只能等待最終的比賽結(jié)果,在比賽過程中耗費了大家的時間李破,而且只通過一個分數(shù)很難判斷出學(xué)員的真實水平與知識漏洞宠哄。
因此,為解決廣大用戶的困擾嗤攻,紅亞科技網(wǎng)絡(luò)安全競賽平臺設(shè)計了選手競賽過程以可視化的形式展現(xiàn)毛嫉,CTF為蜂巢展示,AWD為3D地圖妇菱、2D地圖承粤、排行展示、流量展示四大展示界面闯团。
CTF蜂巢:蜂巢展示界面由多個小的蜂巢組成一個連續(xù)的蜂巢線辛臊,每一個小蜂巢代表一道題目,當參賽選手每解答一道CTF題型時偷俭,蜂巢會有3D的動態(tài)展示浪讳,并語音進行播報,直到所有題目完成涌萤。
AWD-GIS-2D淹遵、GIS-3D:可實時播報參賽選手的攻防狀態(tài)口猜、得分情況、比賽排名等信息透揣,當隊伍之間互相攻擊時济炎,地圖上會根據(jù)不同隊伍的位置發(fā)出射線,效果酷炫辐真,并在隊伍拿到FLAG時须尚,系統(tǒng)會自動語音播報和動畫展示,可觀性極強侍咱。
排行展示耐床、流量展示會顯示所有隊伍名稱、得分及服務(wù)狀態(tài)楔脯。流量峰值監(jiān)控為X軸顯示時間長度撩轰,系統(tǒng)會15秒自動監(jiān)測一次流量,最長監(jiān)測可達20分鐘流量昧廷,Y軸顯示的是攻擊數(shù)量堪嫂,被攻擊TOP10 X軸顯示被攻擊數(shù)量,Y軸被攻擊次數(shù)top10隊伍名稱木柬。
3.4.3 便捷式操作平臺
為了保證選手不受競賽操作設(shè)備的影響皆串,紅亞科技提供了統(tǒng)一的操作環(huán)境,利用Web-Console技術(shù)將虛擬環(huán)境集成在操作頁面內(nèi)眉枕,選手可以直接在競賽平臺下答題恶复,使得必備的工具與虛擬機切換等問題得到完全解決,從根本上解決的競賽自帶設(shè)備的問題速挑。
3.5 賽題設(shè)計
競賽平臺包括CTF題目共計約300個寂玲,包括典型常見的CTF比賽類型題,其中中等以上難度題目數(shù)量占60%以上梗摇;AWD靶場對抗類題目共計30套環(huán)境,70余個靶機想许,包括根據(jù)各類經(jīng)典漏洞及較新的漏洞制作而成的靶機環(huán)境伶授,并可根據(jù)戶需求進行定制。
在解題模式CTF賽制中流纹,參賽隊伍可以通過互聯(lián)網(wǎng)進行參與糜烹,這種模式的CTF競賽與ACM編程競賽、信息學(xué)奧賽比較類似漱凝,以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值來排名疮蹦,通常用于在線選拔賽。題目主要包含逆向茸炒、漏洞挖掘與利用愕乎、Web滲透阵苇、密碼、取證感论、隱寫绅项、安全編程等類別。
在攻防模式AWD賽制中比肄,參賽隊伍在網(wǎng)絡(luò)空間互相進行攻擊和防守快耿,挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分,修補自身服務(wù)漏洞進行防御來避免丟分芳绩。攻防模式AWD賽制可以實時通過得分反映出比賽情況掀亥,最終也以得分直接分出勝負,是一種競爭激烈妥色,具有很強觀賞性和高度透明性的網(wǎng)絡(luò)安全賽制搪花。在這種賽制中,不僅僅是比參賽隊員的智力和技術(shù)垛膝,也比體力鳍侣,同時也比團隊之間的分工配合與合作。
3.6 賽題類型
? WEB(網(wǎng)絡(luò)安全):
WEB是CTF競賽的主要題型吼拥,題目涉及到許多常見的WEB漏洞倚聚,諸如XSS、文件包含凿可、代碼執(zhí)行惑折、上傳漏洞、SQL注入枯跑。也有一些簡單的關(guān)于網(wǎng)絡(luò)基礎(chǔ)知識的考察惨驶,例如返回包、TCP-IP敛助、數(shù)據(jù)包內(nèi)容和構(gòu)造粗卜。可以說題目環(huán)境比較
所需知識:PHP纳击、python续扔、TCP-IP、SQL
? MISC(安全雜項):
MIS即安全雜項焕数,大部分為CTF題型纱昧,題目涉及隱寫術(shù)、流量分析堡赔、電子取證识脆、人肉搜索、數(shù)據(jù)分析、大數(shù)據(jù)統(tǒng)計等等灼捂,覆蓋面比較廣离例,主要考查參賽選手的各種基礎(chǔ)綜合知識∽荻考
所需知識:常見隱寫術(shù)工具粘招、wireshark等流量審查工具、編碼知識偎球。
? Crypto(密碼學(xué)):
密碼學(xué)大部分為CTF題型洒扎,題目考察各種加解密技術(shù),包括古典加密技術(shù)衰絮、現(xiàn)代加密技術(shù)甚至出題者自創(chuàng)加密技術(shù)袍冷,以及一些常見編碼解碼,主要考查參賽選手密碼學(xué)相關(guān)知識點猫牡。通常也會和其他題目相結(jié)合胡诗。
所需知識:矩陣、數(shù)論淌友、古典密碼學(xué)
? Reverse(逆向工程):
逆向工程類大部分為CTF題型煌恢,題目涉及到軟件逆向、破解技術(shù)等震庭,要求有較強的反匯編瑰抵、反編譯扎實功底。主要考查參賽選手的逆向分析能力器联。
所需知識:匯編語言二汛、加密與解密、常見反編譯工具
? PWN(二進制安全):
PWN在黑客俚語中代表著攻破拨拓,多屬于AWD題型中肴颊,取得權(quán)限,在AWD比賽中它代表著溢出類的題目渣磷,其中常見類型溢出漏洞有棧溢出婿着、堆溢出。主要考察參數(shù)選手對漏洞的利用能力醋界。
所需知識:C祟身,OD+IDA,數(shù)據(jù)結(jié)構(gòu)物独,操作系統(tǒng)。
