一种网安人员技能测评系统的制作方法

本发明属于网络空间安全领域，涉及针对网络安全竞赛所提出的一种新型的测评系统，更具体地，是一种同时强调攻击、防御与溯源的新型网安人员技能测评系统。

背景技术：

近年来，全球范围内的重大网络安全事件层出不穷，尤其是2017年5月爆发的wannacry勒索软件事件，成为近几年来为数不多的全球性安全事件之一。且随着物联网设备的激增，网络攻击目标泛化，并成指数级增加，网络安全形势越来越严峻。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。目前安全防护也多是防护系统与安全人员应急处置相结合，并且人的作用也越来越大。然而据公开数据估测，我国网络安全人才总体缺口近百万，而且网安人才每年的需求速度也在逐渐递增。人才荒已成为国际问题，据国际信息系统安全认证协会于2017年2月15日发布的报告表示，网安人才缺口在2022年将会达到180万。

目前，政府、企业、高校及科研院所等都多举措推动网安人才培养，其中网安竞赛成为一种通过网络安全实战演练培养人才的重要手段。通过网络安全技术竞赛，学生可以在模拟真实的演练场景中锤炼理论知识、锻炼安全技术，不仅能提高对理论知识的领悟能力，还能够增加掌握安全技术的熟练程度，弥补了课程理论和动手实践之间的脱节。

ctf(capturetheflag，夺旗赛)是较早的网安竞赛形式，比赛形式有点类似于考试，题目主要包含逆向、漏洞挖掘与利用、web渗透、密码、取证、隐写、安全编程等类别。发展至今，已经成为全球范围网络安全领域较为流行的竞赛形式。传统的竞赛系统比赛形式简单、公平，赛事组织相对较容易。但是ctf也有明显的弊端，ctf解题重技巧、轻实战，类似脑筋急转，但却脱离现实场景，应用性较差；而且ctf方式只强调攻击，很难提升和比较参赛人员的防御能力。

为全面衡量网络安全专业人员的整体水平，一种新的竞赛测评系统awd(attackwithdefence，攻防兼备)出现了，awd更符合实际工作中的防御需求。在这种系统下参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。其体现出来的“注重实战，攻防兼备”的思路，无疑影响和推动了安全人才的选拔模式，引起整个安全行业的关注。

awd竞赛测评系统的出现很好的弥补了传统测评系统的不足，但是面对层出不穷的新型网络入侵技术和频率越来越高的定向网络攻击行为，传统防御策略不能有效识别未知攻击手段，仅进行防御对象本身的修补不能完全抵制该类攻击，对攻击进行追踪溯源，从源头抑制，可以防止网络攻击带来更大的破坏。追踪溯源成为网络主动防御中重要一环，是打击和威慑定向网络攻击的重要手段。虽然awd竞赛测评系统已考虑到实战中的防御需求，但是还远远不够，现有的网安竞赛尚未加入追踪溯源知识技能的考核，而这正是实战型网安人才必备的一种重要技能。

技术实现要素：

为解决上述问题，本发明提出了一种网安人员技能测评系统。该系统将追踪溯源的相关知识和实战技术融入到网安竞赛中，将各种网安实践过程中遇到的困难转化为“考题”，实现对网安人员技能更全面的评测。

为达到上述目的，本发明提出的具体方案是：

一种网安人员技能测评系统，其特征在于，包括一用于测评的网络结构、flag分发器、脚本验证服务器和scoreboard模块；其中，

所述网络结构包括多个私有网络和多个目标网络，每一所述私有网络分别连接一对应的所述目标网络，各所述目标网络通过公网连接；所述目标网络上部署用于考核攻防技能的题目和用于考核追踪溯源能力的题目；所述私有网络的网络节点上部署用于考核攻防技能的题目；每一所述私有网络用于一参赛队伍登录；

所述flag分发器，用于当各参赛队伍的参赛人员完成所部署的题目后，动态更新、配置题目flag信息；

所述脚本验证服务器，用于验证无flag信息的题目的完成情况；

所述scoreboard模块，用于检测所述参赛人员是否完成所部署的题目，如果完成，则获取相应题目的flag信息，并按照评分规则和每一参赛人员对应的题目flag信息，得到对应参赛人员的得分。

进一步的，还包括一攻击模块，用于参赛人员探索所述目标网络的拓扑结构，初步确定攻击目标，进而搜集攻击目标的相关信息，判断攻击目标过程的难易程度；确定攻击目标后通过监听程序、网络工具进一步收集目标主机的确切信息；然后根据攻击目标的相关信息发起攻击，最终获得该目标的控制权。

进一步的，还包括一防御模块，用于参赛人员对已获得控制权的网络节点进行测试，找到网络节点存在的漏洞并修复；然后通过探测网络节点的控制者是否发生变化，如果控制者未发生变化，则每隔一定时间给控制者加分一定数值的分数。

进一步的，还包括一溯源模块，用于参赛人员根据网络节点的异常情况对攻击源从主机终端、文件数据、网络服务、控制信道、行为特征进行多个层次分析，收集攻击源相关信息；然后根据攻击源相关信息溯源找到真正的攻击者。

进一步的，所述目标网络部署各参赛队伍相互攻击和防御的网络节点。

进一步的，不同难度的题目设置对应不同的分值。

进一步的，登录的所述参赛人员通过扫描器探知私有网络的网络结构并确定攻击目标，挖掘和利用攻击目标中的漏洞，完成所部署的题目。

本发明网安人员技能测评系统的技术流程为：

1)竞赛为参赛选手提供私有网络(内网)和目标网络(详见附图1)，通过设置结构复杂的网络结构，并安装多种类型应用的方式，同时考察选手的攻击、防御(这里的防御是指使用传统的安全技术进行防护)和追踪溯源能力。

2)竞赛组织方根据考核参赛选手多方面的技术能力，设计相同的私有网络和目标网络结构，网络结构对于参赛选手都是未知的；探索私有网络可为后续探索目标网络提供更多线索信息。网络中每个网络节点都存在着预置的漏洞，漏洞的难度不尽相同，不同难度的漏洞对应着分值也不一样。

3)在竞赛过程中，参赛选手不仅要对私有网络进行漏洞挖掘，还要对于目标网络进行漏洞挖掘与修复，并对其他选手目标网络的网络漏洞和配置缺陷等发起攻击，选手在攻击时为避免被追踪溯源，还应尽可能不留下攻击痕迹。每一所述私有网络用于一参赛队伍登录，每个参赛选手对应有自己的目标网络(图1中标出来的有8个参赛选手，对应的目标网络有8个，即8朵云)，通过防火墙或交换机设置使不是同一参赛队伍的参赛选手不能进入其他参赛队伍的私有网络，但是可以进入其他参赛选手的目标网络；参赛选手之间的目标网络可以互相到达，互相访问。

4)参赛选手在攻击其他参赛选手目标网络时，需要首先搜索其网络结构，确认攻击目标。当攻占了目标后，还需要加固领地，防御其他选手的攻击行为。

5)当参赛选手已占有的目标网络节点被其他选手攻击时，除相关选手进行加分和减分外，参赛选手还应该进行攻击溯源，从攻击者的本身固有属性、攻击路径及攻击所必需的通信资源等多个途径追踪溯源攻击者关键信息，竞赛会根据参赛选手提取的攻击者关键信息进行给分，同时对该网络节点的占有者对应着的参赛选手进行减分。

6)竞赛结果评价方法采用积分制，不仅与参数选手得到的网络节点的数量有关系，而且不同的比赛题目会根据不同的难度设定不同的分数，难度越高，得到的积分越高；而且相同题目，随着时间推移，网络节点会频繁易主，时间越晚，所得积分越多。而且在此种竞赛系统下的奖惩机制可根据赛事的不同主题自由设置。当得到的节点被其他选手攻击到手时，原有选手的积分减少，现在选手的积分增加，但是积分增加会更多。

7)在竞赛过程中，竞赛组织方会实时展示比赛实况，包括网络节点之间的攻防对抗过程、攻防过程中采用的攻击方法以及选手积分实时排名情况等。

8)最后根据各参赛队伍比赛的最终积分确定排名情况。竞赛组织方也会根据各参赛队伍提交的解题报告等为依据判断作弊等行为。

与现有的解题系统和awd系统相比，本发明具有以下几点优势：

1、题目设置可由实际问题转化，更加逼近真实业务场景，也能够部分解决出题难的问题；

2、考察到的知识面更广，可实现从攻击-防御-溯源三个角度全面考察参赛队伍的网络安全综合实力；

3、由于追踪溯源技术在现实业务中的重要性，在网安竞赛中包含溯源能力考核，能够有效促进追踪溯源技术的发展，提升安全人员的追踪溯源能力，增强竞赛的应用性。

本发明的目的是推出一种新的网安竞赛系统，通过将追踪溯源相关技术能力的考核纳入到网安竞赛之中，使得网安竞赛更加贴近实际应用，实现对参赛选手安全能力的全面考察。

附图说明

图1是本发明一实施例中一种网安竞赛新系统的总体逻辑示意图。

图2是本发明一实施例中基于网安竞赛新系统的网安竞赛系统拓扑图示意图。

图3是本发明一实施例中网安竞赛形式示意图。

图4是本发明一实施例中攻击模块示意图。

图5是本发明一实施例中防御模块示意图。

图6是本发明一实施例中溯源模块示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的目的、特征和优点能够更加明显易懂，下面结合附图和实例对本发明中技术核心作进一步详细的说明。

在本发明中，设计了一种新型的网安竞赛系统，能够解决上述所存在的问题，所述竞赛系统包括如下：

如图1所示，一种网安竞赛新系统的总体逻辑示意图。竞赛部署两种网络结构：私有网络和目标网络。

在竞赛开始时，参赛选手探测自己所属私有网络及目标网络，包括各个网络节点的账号信息、私有网络的拓扑结构以及已配置应用(含防护软件)的权限等。同时，参赛选手可以攻击其他选手的目标网络。私有网络和目标网络对于参赛选手都是未知的，选手需要通过扫描器先探知网络结构，并有针对性地确定攻击目标，再尝试用代码审查、黑盒测试(包括扫描器和模糊测试等工具)等方法挖掘和利用目标网络中可能存在的漏洞，一旦获得网络节点的控制权，参赛选手需要加固目标系统，防止其他选手入侵。当选手攻击获得其他选手已攻获得控制权的网络节点时，被攻破选手可对攻击者进行追踪溯源，从而确认攻击者身份、攻击者实施过程等。为避免选手只攻击、防御，不溯源的情况，竞赛组织者在设计竞赛题目时，应给攻击、防御及溯源等不同题目类型设置合理的分值。

如图2所示，针对上述提出的网安竞赛新系统，本发明进一步提出了一种基于此新模式的网安测评系统，旨在给出其一种应用实例，下文简称本发明系统。

第一环节本环节的目的是竞赛组织者构建网安竞赛所需的网络环境。具体实施步骤如下：

步骤1.1，竞赛组织者根据现实生活中网络结构以及要考核的参赛选手的技能要求，设置结构复杂的网络结构，并部署竞赛实际所使用的演练环境。整个竞赛网络环境使用openstack搭建完成，首先设计竞赛形式及网络拓扑考核参赛选手攻防能力，参赛选手接入到两级网络(即私有网络及目标网络)，网络结构包括但是不限于此。参赛选手需自行探测、攻击各节点收集信息、获取flag。考虑到溯源类题目可能无flag信息，设计验证程序脚本进行题目完成情况的验证。参赛选手通过获得竞赛“预置的漏洞或技术点”，进而获得相应的flag，如果选手获得并提交正确的flag可得分，或者参赛选手在题目特定目录下创建指定文件，然后主动提请系统进行验证，若系统判定存在特定文件则可得分。

此外还需要搭建数据库用于存储团队信息、竞赛情况及题目flag信息等；搭建scoreboard用于按照评分规则计算并实时显示竞赛选手得分情况；搭建flag分发器用于动态更新、配置题目flag信息；搭建脚本验证服务器用于验证无flag题目的完成情况。

步骤1.2，竞赛组织者还需要设计竞赛题目，然后在openstack的虚拟环境中部署竞赛题目(题目vm11、题目vm12……题目vm1q，题目vm21、题目vm22……题目vm2p，题目vm31、题目vm32……题目vm3r等)，并将题目打包成镜像。竞赛题目除了传统的攻防技能外，还加入了追踪溯源能力的考核(题目部署在目标网络中)，如图3所示。私有网络部署题目为“信息点”，即设置漏洞，竞赛选手攻破后能够获取继续渗透的关键信息；而目标网络部署题目为“得分点”，即各参赛队伍相互攻击和防御的节点。各参赛选手的“信息点”和“得分点”节点题目配置略有不同，包括节点文件信息、flag信息、登录密码等。

步骤1.3，当竞赛平台搭建完成后，在正式投入使用前，竞赛组织者还需要对比赛平台进行测试，并验证题目的可靠性和flag正确性，无flag的题目需运行脚本进行验证。保证竞赛平台的可用性和安全性。

第二环节本环节的目的是竞赛选手参加网安竞赛。具体实施步骤如下：

步骤2.1，当参赛选手正式参赛时，会通过扫描器探知私有网络的网络结构，并针对性确定攻击目标，尝试挖掘和利用目标中可能存在的漏洞，完成竞赛所设置的“信息点”考核题目(题目vm21、题目vm22……题目vm2p，题目vm31、题目vm32……题目vm3r等)，如图4所示。

步骤2.2，参赛选手会通过扫描器探知目标网络的网络结构，并针对性确定攻击目标，尝试挖掘和利用目标中可能存在的漏洞，完成竞赛所设置的“得分点”考核题目(题目vm11、题目vm12……题目vm1q，题目vm11'、题目vm12'……题目vm1q'等)，如图4、图5、图6所示。

步骤2.3，当参赛选手解答出虚拟机中题目后，flag分发器会生成flag，写入到数据库flag表格同时返回给虚拟机，需要注意的是，flag分发器会定时更新flag信息。而针对无flag的题目，脚本验证服务器会提取数据库中相应的题目程序脚本进行完成度验证。

步骤2.4，scoreboard会根据参赛选手提交的flag信息与数据库中flag信息的对比情况或者脚本验证情况自动加减分，并实时计算参赛选手的积分情况；同时，scoreboard会实时可视化展示竞赛过程中参赛选手之间的攻防情况以及积分排名情况。当竞赛结束时，参赛选手积分排名情况一般即为最终网安竞赛的名次。

如图3所示，网安竞赛新形式示意图，参赛选手在多种网络结构中探测不同网络节点，完成竞赛所规定的考核技能。主要分为三类：攻击、防御和溯源。

步骤100，参赛选手探测其所属私有网络及目标网络，并对其他参赛选手的目标网络进行攻击。

步骤200，参赛选手测试已获得控制权的网络节点并进行防御。

步骤300，参赛选手对正要失去控制权的网络节点进行攻击者溯源。

如图4所示，攻击模块示意图，包括：

步骤110，参赛选手探索竞赛所设置的目标网络拓扑结构。

步骤120，参赛选手根据步骤110的结果初步确定攻击目标。

步骤130，参赛选手搜集攻击目标相关的信息，包括端口开放情况、操作系统版本等，根据了解到的情况初步判断攻击目标过程的难易程度。

步骤140，确定攻击目标后通过监听程序、网络工具等进一步收集目标主机的确切信息。

步骤150，参赛选手根据攻击目标主机相关信息情况发起攻击，最终获得目标主机网络节点的控制权。设置flag为特殊权限才能访问，若选手能够读取flag文件的内容并提交flag信息，则即可判定选手已经获得该节点的控制权限。

如图5所示，防御模块示意图，包括：

步骤210，防御是攻击的对立面，攻击只需要找到网络节点的一个漏洞就可以。但对于防御来说，参赛选手需要对已获得控制权的网络节点不断进行测试，尽可能地找到网络节点存在的所有漏洞。

步骤220，参赛选手尽可能修复网络节点存在的漏洞，不给其他参赛选手可乘之机。

步骤230，参赛选手根据测试的网络节点安全情况，进行网络防御。通过探测是否进行系统打补丁、权限限制、规则制定、策略设置、服务关闭或者限制等方式判断是否进行目标系统加固及防御。根据目标网络中网络节点的控制者是否发生变化。如果控制者一直未发生变化，则每隔一定时间(例如几分钟)给控制者加分一定数值的分数。

步骤240，参赛选手根据测试的网络节点的情况发现网络节点是否存在异常访问的情况。主要是通过系统日志、网络日志等判断是否存在异常访问的情况。

步骤250，如果参赛选手发现网络节点存在异常访问情况，则需分析入侵者的攻击意图。通过日志分析、进程分析等技术查看哪些文件被访问或者篡改、进程是否有被新增或触发进行恶意操作等，从而了解入侵者或者攻击者的攻击意图。

步骤260，参赛选手根据攻击者的意图等信息进行追踪溯源。如攻击者获得网络节点控制权，则可进行步骤300。

如图6所示，溯源模块示意图，包括：

步骤310，参赛选手根据网络节点的异常情况对攻击源从主机终端、文件数据、网络服务、控制信道、行为特征等多个层次进行分析。

步骤320，参赛选手根据攻击源的分析情况，收集攻击源有关信息。

步骤330，参赛选手从攻击者的本身固有属性、攻击路径及攻击所必需的通信资源等多个途径提取攻击源溯源关键信息。

步骤340，根据已提取的关键信息，参赛选手可溯源找到真正的攻击者，此攻防对抗可发生在网络节点被攻击中或者已失去网络节点的控制权后。

最后所应说明的是，以上实施案例仅用以说明本发明的技术方案而非限制，尽管使用事例对本发明进行了详细说明，本领域的普通技术人员应当理解，可对本发明的技术方案进行修改或者等价替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。