網(wǎng)絡安全攻防實訓平臺的建設思路

劉奇　劉洋　呂天昊　楊成

【摘要】以Internet為代表的信息化浪潮席卷全球，信息網(wǎng)絡技術的應用日益普及和深入。伴隨著網(wǎng)絡技術的高速發(fā)展，各種各樣的安全問題也相繼出現(xiàn)，網(wǎng)絡信息資源的安全備受關注。保證網(wǎng)絡系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面就顯得非常重要。

【關鍵詞】網(wǎng)絡安全;攻防技術

目前，因為網(wǎng)絡的開放性、黑客的攻擊和系統(tǒng)本身的缺陷導致網(wǎng)絡內(nèi)的計算機并不安全，網(wǎng)絡入侵也經(jīng)常發(fā)生，往往造成嚴重的后果，為了盡早恢復網(wǎng)絡或系統(tǒng)的正常運轉(zhuǎn)，降低入侵的風險成為了急待解決的問題。由于攻防實驗技術以入侵技術為前提，因此防御實驗存在著時間滯后性。使得攻防成為一堆對立且統(tǒng)一的矛盾體，攻防實驗也成螺旋狀態(tài)不斷地發(fā)展變化。

近年來，“奪旗賽”作為攻防技術能力的檢驗手段，已逐漸成為安全從業(yè)人員進行技術實踐的主要平臺，開始應用于網(wǎng)絡安全教育的實踐環(huán)節(jié)中。Capture The Flag（簡稱CTF），翻譯為“奪旗比賽”，起源于1996年舉辦的DEF CON全球黑客大會，最早是交流安全技術的重要途徑，發(fā)展至今已有21年的歷史，是目前全球最高技術水平和影響力的CTF競賽，類似于CTF賽場中的“世界杯”。

隨著安全攻防技術的發(fā)展，CTF比賽也逐漸演變成為信息安全技術競賽的一種形式，發(fā)展成為全球網(wǎng)絡安全圈最流行的一種競賽模式，其比賽形式與內(nèi)容擁有濃厚的黑客精神和黑客文化。

近年來，CTF比賽的數(shù)量與規(guī)模發(fā)展迅猛，國內(nèi)外各類高質(zhì)量的CTF競賽層出不窮，如國際著名的XCTF大賽、國內(nèi)各級網(wǎng)絡安全主管機構(gòu)主辦的各項網(wǎng)絡安全技能大賽等。CTF已經(jīng)成為了學習提升信息安全技術，展現(xiàn)安全能力和水平的絕佳平臺。

1 攻防技術基礎

1.1語言運用

計算機語言可以大致分為機器語言，匯編語言，高級語言，計算機每進行的一次動作，一個步驟，都是按照計算機語言編好的程序來執(zhí)行。而在CTF比賽中，計算機語言的了解與掌握會有事半功倍的效果，進程的動態(tài)調(diào)試、防護腳本的編寫、源代碼審計等工作都是建立在對計算機語言有所掌握的基礎上進行的。

1.2Web安全

目前國內(nèi)大多數(shù)CTF比賽都以Web安全為主，但是Web安全涉及的內(nèi)容非常廣泛，就典型的Web服務來說，其安全問題可能來自于Web服務器、數(shù)據(jù)庫、Web程序本身與開發(fā)語言等。了解一個Web應用的組成架構(gòu)、裝載與配置、指令操作及組件缺陷，是參賽者知識儲備環(huán)節(jié)中不可或缺的部分。

1.3安全加固

安全領域的精髓在于攻防，在CTF比賽也是同樣的道理，比賽成績不僅取決于在有效的時間內(nèi)拿下多少flag，還取決于能抵御多少次外來攻擊。有一些比賽隊伍不注重或者不善于漏洞加固，即使得到很多分數(shù)，但是優(yōu)勢還是會被慢慢的蠶食掉。所以，了解漏洞的產(chǎn)生原因、減小漏洞的影響范圍以及行之有效的安全加固也是一個成功隊伍的重要能力。

1.4密碼算法

參賽者需要了解主流的密碼算法，如對稱密碼、公鑰密碼、流密碼、哈希密碼算法等。在不斷的攻防對抗中，一些關鍵信息或者突破口，往往會通過算法的加解密將它們“隱藏”起來增加解題難度。此外還會伴隨著弱口令嘗試，密碼字典的暴力猜解等。

1.5網(wǎng)絡取證

對于網(wǎng)絡攻擊行為的溯源分析、漏洞挖掘過程中的抓包分析往往是很多參賽隊伍在攻防對抗中忽略的問題，能夠在最短的時間內(nèi)抓到線索并做出行之有效的響應，這方面的能力也就成為了高手和頂尖高手之間的分水嶺，古人常說的：“天下大事，必作于細;天下難事，必成于易”。

2 攻防平臺設計思路

平臺集成包括網(wǎng)絡設備、安全設備、主機設備和應用系統(tǒng)的全方位信息化設備。通過虛擬真實應用環(huán)境，并且涵蓋網(wǎng)絡技術。在主操作系統(tǒng)上虛擬出不同的虛擬服務器，每個應用層的實驗程序運行在獨立的軟件環(huán)境中，同時啟動多項安全實驗，發(fā)揮系統(tǒng)資源的使用率，提高設備的性價比，如圖1所示。

平臺提供了靶機虛擬化模板自定義功能，并提供主機系統(tǒng)、WEB應用、用戶業(yè)務應用系統(tǒng)級漏洞虛擬化模板。系統(tǒng)提供監(jiān)控平臺調(diào)度靶機模板，根據(jù)不同的實戰(zhàn)任務下發(fā)進行自動調(diào)度靶機虛擬化模板功能。

攻防平臺在功能上規(guī)劃主要分為管理員及操作員兩個環(huán)境，管理員端功能主要分為云環(huán)境管理、用戶管理、靶場管理、成績管理。操作員端端可分為三個層次，分別為攻防實訓、靶場實戰(zhàn)、紅藍對抗，如圖2所示。

攻防平臺的價值主要體現(xiàn)在實訓和競技兩個方面。在實訓方面，通過開發(fā)教學視頻、文檔等學習資源，實現(xiàn)在線教育的功能。同時，通過搭建模擬環(huán)境，配合課程的實踐，鍛煉學員的實際操作能力。競技平臺通過內(nèi)置攻關題目，搭建題目環(huán)境，學員可采用個人過關、分組對抗、網(wǎng)絡靶場的方式參與實戰(zhàn)，如圖3所示。

3 結(jié)論

本文闡述了攻防能力建設的技術呼出，探索了攻防平臺建設的思路，提出了平臺軟硬件環(huán)境的搭建和軟件功能框架。平臺的建設將對攻防團隊和攻防技術儲備提供基礎支撐，為團隊提升技術能力提供抓手。網(wǎng)絡安全技術發(fā)展日新月異，以CTF為代表的攻防競賽也會隨著技術的革新而不斷發(fā)展，未來人工智能、大數(shù)據(jù)、擬態(tài)安全等新技術也將成為競賽的技術能力核心，因此，平臺本身也應具有高度迭代性，不斷完善方能適應網(wǎng)絡安全技術的發(fā)展。

參考文獻：

[1]李晶.基于Web2.0網(wǎng)站實現(xiàn)與設計研究——“東軟杯”高校網(wǎng)絡攻防大賽網(wǎng)站為例[J].科技廣場，2015（5）：46-49.

[2]楊延慶.網(wǎng)絡攻防平臺的分析與設計[J].西安電子科技大學，2005.