基于多代理的信息安全技术竞赛过程监控方法与流程

本发明涉及一种在信息安全技术竞赛中进行过程监控的方法，属于计算机与信息科学技术领域。

背景技术：

随着信息技术的快速发展，网络在世界范围内飞速普及。一方面伴随着网络的发展，各类针对信息系统的攻击也日渐增多。各站点也在遭受钓鱼网站、木马病毒攻击的“围追堵截”，从网上银行被克隆、用户资金被盗取到蠕虫、木马、钓鱼网站、恶意软件的侵扰，各种网络犯罪层出不穷，根据中国国家信息安全漏洞库cnnvd统计，2015年新增漏洞7754个，其中新增应用软件漏洞达5142个，约占总数的2/3，应用软件漏洞成为“互联网+”主要的安全威胁。相关机构统计显示，国内大中型企业一年内因信息安全事件平均每家损失达240万美元。而每年计算机及网络犯罪活动带来的损失超过4450亿美元。充分重视我互联网安全问题已迫在眉睫。

另一方面，专业安全人才缺失等问题也成为企业网络安全普遍性的问题。据统计，中国每一年需要信息安全人才高达60万，而现实是每年信息安全毕业生培养人数仅8000余个。专业安全人才的缺失已成为企业网络安全的短板，国家和企业需加强对网络安全人才的培养。在网络安全人才培养过程中，网络安全技术竞赛是一种通过网络安全实战演练培养人才的重要手段。网络安全竞赛对安全人才的理论基础和实践能力都能有所提高。因此现在各大高校，企业都会举办各种的网络安全竞赛，用来培养网络安全技术人才。但安全竞赛中经常会出现各种参赛人员恶意的攻击竞赛系统，致使其他人无法正常的参与竞赛，本发明的目的就是通过过程监控来保障竞赛可以顺利地进行。

技术实现要素：

本发明的目的是：针对目前信息安全技术竞赛中会有部分选手恶意攻击竞赛系统，进行违规操作等问题，提出一种信息安全技术竞赛过程监控方法，达到对选手的违规操作进行报警响应，记录选手在虚拟机中的行为，为事后追查提供有力证据等目的，从而能够广泛适用于各种网络安全技术竞赛中。

本发明的设计原理为：通过虚拟化云平台管理网络安全技术竞赛系统，在云平台环境中搭建竞赛所需虚拟机以部署竞赛管理系统及考核题目，并根据需要构建竞赛所需的虚拟网络供竞赛选手接入并答题。在此基础上，通过在网关、竞赛所需的虚拟机、计算节点实体物理机上安装监控代理，实现多代理过程监控，对竞赛系统实行实时监控，保障竞赛顺利进行。本发明的技术方案是通过如下步骤实现的：

步骤1，搭建云平台系统，根据网络安全技术竞赛需求配置虚拟机并部署管理系统和竞赛题目，具体实现方法为：

步骤1.1，在实体物理计算机设备上搭建云平台管理系统，并配置虚拟化云环境所需的物理设备。

步骤1.2，根据竞赛需求，通过云平台管理系统创建对应虚拟机，并在虚拟机中部署竞赛管理系统和考核题目。

步骤1.3，根据竞赛需求，配置虚拟网络环境，将竞赛虚拟机连接形成竞赛网络。

步骤2，在步骤1的基础上，根据竞赛需要，在竞赛系统的网关上安装监控代理：

步骤2.1，根据竞赛需要，在网关上部署监控代理，对在网关上通过的数据进行监控。

步骤2.2，对通过网关的网络数据包的进行捕获，保存比赛运行期间的所有数据包，用于事后追查。

步骤3，基于步骤一所建立的竞赛系统，在竞赛所使用的虚拟机内部安装代理进行监控，具体实现方法为：

步骤3.1，建立构建虚拟机与实体机的通信代理组件，便于虚拟机与实体机进行信息交换。

步骤3.2，在虚拟机内部安装监控代理，监控并记录选手操作，并通过虚实通信代理将处理结果返回管控中心，便于管理员查看。

步骤3.3，分析监控代理所返回的信息，如虚拟机遭到选手破坏及时报警。

步骤4，在步骤一的基础上，在云平台的计算节点上安装监控agent，对该节点上部署的虚拟机靶机进行监控。

步骤4.1，在计算节点上安装监控agent，监控各个虚拟机的虚拟网卡，分析通过虚拟网卡的数据，监控网络流量。

步骤4.2，对通过各个虚拟网卡的重要网络数据进行备份，用于事后追查取证。

有益效果

本发明提出的一种信息安全竞赛过程监控方法，可以实时，准确，多方面的监控整个竞赛系统。一旦选手出现恶意攻击竞赛系统，进行违规操作，可以及时报警，竞赛管理人员可以及时进行事故处理，保障竞赛可以正常进行，并且保留了选手恶意，违规操作的证据，便于后期违规处理。该方法可以广泛的适用于各种信息安全竞赛。

附图说明

图1为网络层面监控流程图；

图2为网络层面数据包截获流程图；

图3为答题系统监控流程图；

图4为虚拟机内部监控流程图；

图5为过程监控逻辑拓扑图。

具体实施方式

为了更好的说明本发明的目的和优点，下面结合附图和实施用例对本发明方法的实施方式做进一步详细说明。在此，本发明的示意性实施用例及其中说明用于解释本发明，但并不作为对本发明的限定。

实施用例中包括5台服务器，实施过程中1台作为虚拟化云平台管理终端，2台服务器作为云平台的计算节点，1台服务器作为选手答题服务器，1台作为网关服务器，连接管理节点，计算节点，和选手答题服务器，服务器和虚拟机均采用linuxubuntu操作系统。

第一环节

本环节的目的是构建网络安全技术竞赛所需的虚拟网络。具体实施步骤如下：

步骤1.1，在服务器a中搭建cloudstack云平台管理服务端和竞赛数据库，并将服务器b、服务器c作为云平台计算节点。

步骤1.2，通过服务器a中的cloudstack云平台管理服务端，在服务器b中搭建虚拟机1和虚拟机2，在服务器c中搭建虚拟机3和虚拟机4；然后在虚拟机1，2、3中部署竞赛题目，作为竞赛靶机。虚拟机4安装竞赛管理系统。

步骤1.3，在服务器d上部署选手答题系统。

步骤1.4，在服务器e上构建网关，通过服务器a中的cloudstack云平台管理计算节点，将4台虚拟机连入同一虚拟网络，使之彼此互连。并使选手答题服务器和虚拟机可以相互通信。

第二环节

本环节的目的是实现在整个网络层面进行监控并保存所有网络通信的数据包。具体实施步骤如下：

步骤2.1，在选手服务器上安装zabbix开源监控软件，对选手服务器进行监控，对选手发动的ddos、arp等攻击进行报警和身份审查，保证比赛正常运行。

步骤2.2，在网关服务器上安装zabbix开源监控软件，对通过网关服务器的流量进行监控，发现异常流量及时报警。

步骤2.3，在计算节点和网关服务器上运行tcpdump脚本，网络数据包的捕获，保存比赛运行期间的所有数据包，用于事后追查，可利用shell脚本进行tcpdump自动控制。

步骤2.4，在竞赛管理系统上利用shell脚本定时检测答题系统服务是否正常运行，并定时通知管控中心。

第三环节

本环节目的是在计算节点上安装agent，监控选手的操作：

步骤3.1，构建虚拟机1，2，3与计算节点实体机的通信代理。

步骤3.2，在虚拟机1，2，3上安装agent，检测虚拟机的实时状态，并将检测的结果发送给管理服务器。

步骤3.3，管理服务器分析agent所返回的结果，如出现异常，产生警报，通知管理员处理。

下面以选手在选手服务器上对靶机进行恶意进攻为例，阐述该方法工作原理：

1.参赛选手1在答题时对网关服务器进行ddos攻击。

2.网关服务器和选手服务器中的zabbix软件，检测到正在进行的ddos攻击，并将攻击者的ip地址记录下来，产生警报，通知管理员。

3.参赛选手2在靶机上运行违规的攻击程序致使虚拟机1破坏。

4.虚拟机1的agent检测到虚拟机遭到破坏，通过虚实通信代理，将信息发送给管理节点。

5.管理节点收到信息后分析出虚拟机1遭到破坏，产生警报，通知管理员处理。