一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)����,該系統(tǒng)是基于數(shù)據(jù)包來分析并自動評分的�,其由攻擊方,防御方�����,核心交換機�,抓包服務器和評分服務器組成。本發(fā)明適用于在高校信息安全綜合實訓實驗室中的網(wǎng)絡攻防實驗���,在網(wǎng)絡攻防雙方進行完實驗的時候����,本系統(tǒng)會根據(jù)抓包服務器和評分服務器自動進行評分����,判定輸贏。這樣不僅會對雙方更加公平����,同時也提高了整體實驗的效率,同時也降低了對任課老師的技術要求�����,滿足不同群體的實驗需要��。
【專利說明】一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡信息【技術領域】��,尤其涉及一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)����。
【背景技術】
[0002]隨著計算機技術的發(fā)展與互聯(lián)網(wǎng)的普及�����,信息安全問題日益嚴重�,其作為一種新興的產(chǎn)業(yè)��,越來越受到重視�����,同時�,在許多院校中信息安全作為一門新興的學科,信息安全實驗室的建設和推廣正處于發(fā)展階段���。利用信息安全實驗室進行網(wǎng)絡攻防實驗是主要的課題之一�,攻防實驗注重的是實驗實操�,而且攻擊和防御的手段是多種多樣的,怎么高效地判定攻防雙方之間的輸贏或者分數(shù)成為一個關鍵問題的所在�����。
[0003]目前在信息安全實驗室中進行攻防實驗��,傳統(tǒng)的評分方式是攻防雙方通過對攻防操作后實驗畫面截圖��,然后寫上攻擊方法����,最后讓老師或第三方進行評分或判定輸贏。
[0004]對于實操實驗���,傳統(tǒng)的評分方式普遍適用�����,但網(wǎng)絡攻防實驗具有靈活多變的特性����,不同的攻擊手段可能會出現(xiàn)同一個實驗結果�,不同的防御手段也可能會出現(xiàn)同樣的實驗效果。所以�,不能只根據(jù)攻防雙方的截圖和方法來準確地進行評分或判斷。而且���,人工的評分方式浪費很多時間而且對評分人員的網(wǎng)絡攻防技術要求高�,往往會造成在一個實驗課時里不能給出相應的結果����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的目的是為了克服現(xiàn)有技術的缺陷�,提供一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)���,利用網(wǎng)絡攻擊與防御的過程中產(chǎn)生的數(shù)據(jù)包��,對其進行分析��,配對等操作�,從而對攻防實驗中的雙方進行自動評分���,這樣既體驗公平性��,也提高實操中的評分效率��。
[0006]一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)����,其基于數(shù)據(jù)包來分析并自動評分的����,由攻擊方,防御方�,核心交換機��,抓包服務器和評分服務器組成�。
[0007]攻擊方�,在網(wǎng)絡攻防實驗中的攻擊者����,在攻擊方的PC里集成各種攻擊工具。
[0008]防御方����,在網(wǎng)絡攻防實驗中的防御者,在防御方的PC里集成了各種服務器���,例如數(shù)據(jù)庫服務器����,web服務器�����,同時也掛載了一些具有漏洞的網(wǎng)站���,供攻擊方來攻擊�。
[0009]核心交換機,作為所有攻擊方和防御方數(shù)據(jù)包必須經(jīng)過的地方�,也是抓包服務器抓包核心場所,必須保證交換機不會有掉包現(xiàn)場�����。
[0010]抓包服務器��,是整個評分系統(tǒng)的核心�,其連接在核心交換機的鏡像口,讓所有經(jīng)過交換機的數(shù)據(jù)包能被抓到�,抓包服務器對抓到的所有數(shù)據(jù)包傳送到評分服務器上,讓評分服務器進行評分操作��。
[0011]評分服務器���,根據(jù)抓包服務器傳送的數(shù)據(jù)包進行分析��,從而剝離出一些與入侵特征相關的標志���,然后再將這些標志同現(xiàn)有的標準入侵數(shù)據(jù)包進行模式匹配,從而能夠對相應的入侵行為進行評分�����。
[0012]本發(fā)明技術方案帶來的有益效果:
[0013]本發(fā)明方案適用于在高校信息安全綜合實訓實驗室中的網(wǎng)絡攻防實驗,在網(wǎng)絡攻防雙方進行完實驗的時候�,本系統(tǒng)會根據(jù)抓包服務器和評分服務器自動進行評分,判定輸贏�����。這樣不僅會對雙方更加公平�,同時也提高了整體實驗的評分效率�����,同時也降低了對任課老師的技術要求����,滿足不同群體的實驗需要。
【專利附圖】
【附圖說明】
[0014]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案����,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講���,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其它的附圖�。
[0015]圖1是本發(fā)明的一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)體系架構圖。
【具體實施方式】
[0016]下面將結合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術方案進行清楚、完整地描述����,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例��,而不是全部的實施例�。基于本發(fā)明中的實施例�,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍����。
[0017]本發(fā)明的一種網(wǎng)絡攻防實驗的自動評分系統(tǒng),是基于數(shù)據(jù)包來分析并自動評分的����,用于高校網(wǎng)絡專業(yè)信息安全專業(yè)以及相關專業(yè)的攻防實驗課程,該系統(tǒng)能夠為高校攻防實驗課程提供公平、高效的評分和判斷服務��,該系統(tǒng)由攻擊方��,防御方��,核心交換機����,抓包服務器和評分服務器組成。
[0018]攻擊方�����,在網(wǎng)絡攻防實驗中的攻擊者���,在攻擊方的PC里集成了很多攻擊工具,例如nmap掃描器���,ddos攻擊工具�����,sniffer嗅探工具等����。
[0019]防御方,在網(wǎng)絡攻防實驗中的防御者�,在防御方的PC里集成了各種服務器,如數(shù)據(jù)庫服務器�����,web服務器等���,同時也掛載了一些具有漏洞的網(wǎng)站����,供攻擊方來攻擊���。
[0020]核心交換機���,作為所有攻擊方和防御方數(shù)據(jù)包必須經(jīng)過的地方,也是抓包服務器抓包核心場所��,必須保證交換機不會有掉包現(xiàn)場����。
[0021]抓包服務器�����,是整個評分系統(tǒng)的核心��,這服務器連接在核心交換機的鏡像口����,讓所有經(jīng)過交換機的數(shù)據(jù)包能被抓到�,目前常用的抓包工具有MiniSniffer、SnifferPro,Wireshark和協(xié)議分析儀等�。
[0022]除了在抓包服務器安裝必要的抓包工具以外,還可以通過以下途徑去進行數(shù)據(jù)包的抓取�。
[0023]1、搭建網(wǎng)橋抓取數(shù)據(jù)包���,具有兩個網(wǎng)卡的計算機可以作為一個透明網(wǎng)橋進行使用����。因此可以接入一個雙網(wǎng)卡的計算機到鏈路中�����,在該技術端機中安裝抓包工具���,對流經(jīng)該計算機的所有數(shù)據(jù)包進行抓取�����。網(wǎng)橋對IP層是完全透明的�����,且對數(shù)據(jù)鏈路層也幾乎是透明的��,只會產(chǎn)生輕微的延遲��,且兩個網(wǎng)卡也對一些廣播包進行回應�。
[0024]2���、利用Network Tap抓取數(shù)據(jù)包,Network Tap即網(wǎng)絡分流器,是一個可以接入到鏈路中的硬件設備�。它有4個接口:兩個連接被測鏈路的兩端�����,另外兩個端口輸出雙向數(shù)據(jù)流到安裝轉包工具的計算機���。
[0025]抓包服務器對抓到的所有數(shù)據(jù)包傳送到評分服務器上��,讓評分服務器進行評分操作�。
[0026]評分服務器,就是根據(jù)抓包服務器傳送的數(shù)據(jù)包進行分析�,從而剝離出一些與入侵特征相關的標志,然后再將這些標志同現(xiàn)有的入侵特征(即標準入侵數(shù)據(jù)包)進行模式匹配��,從而能夠對相應的入侵行為進行評分����。
[0027]根據(jù)目前網(wǎng)絡攻防實驗的頻發(fā)程序和所掌握的入侵特征,這個基于數(shù)據(jù)包的自動評分系統(tǒng)能對以下幾種網(wǎng)絡攻防攻擊進行自動評分:
[0028]1���、SYN Flood攻擊�����,這是當前最流行的Dos (拒絕服務工具)與DDos (分布式拒絕服務攻擊)的方式之一���,這是一個利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請求����,從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式���。
[0029]2�、Land攻擊,這是一個很經(jīng)典的拒絕服務攻擊(Dos)手段�����。
[0030]3,UDP Flood攻擊�,各種各樣的假冒攻擊利用簡單的TCP/IP服務。如Chargen和Echo來傳送毫無用處的數(shù)據(jù)來占用所有的帶寬�����。通過偽造與某一主機的Chargen服務之間的一次的UDP鏈接���,回復地址指向開著Echo服務的一臺主機���,這樣就生成在兩臺主機之間的足夠多的無用數(shù)據(jù)流,如果足夠多的數(shù)據(jù)流就會導致帶寬被大量的占用����,從而導致拒絕服務。
[0031]4�����、Port scan (端口掃描),端口掃描本身并沒有對被掃描的主機造成嚴重后果,然而通過端口掃描能夠偵測出系統(tǒng)的漏洞,從而給攻擊者進一步的入侵活動帶來便利����。
[0032]5、Teardrop攻擊�,這種被國人稱為“淚滴”攻擊的攻擊方法是一種典型的IP碎片攻擊手段。這個攻擊方式利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息實現(xiàn)自己的攻擊����,由于IP分段中含有指示該分段所包含的是原包哪一段的信息,所有一些操作系統(tǒng)下的TCP/IP協(xié)議在收到含有重疊偏移的偽造分段時將崩潰���。
[0033]本發(fā)明根據(jù)數(shù)據(jù)包特征并匹配現(xiàn)有數(shù)據(jù)包特征進行自動評分�����,其中數(shù)據(jù)包的抓取是很重要的一環(huán)�����,現(xiàn)有的抓包工具不能保證能抓取到網(wǎng)絡攻防雙方進行實驗時的所有數(shù)據(jù)包��,這樣可能會造成評分結果有誤差��,如果在本發(fā)明上在加上一個截圖自動匹配系統(tǒng)���,根據(jù)攻防雙方試驗后的截圖進行自動匹配,那樣會使實驗結果更加正確����,評分更加合理。
[0034]以上對本發(fā)明實施例所提供的一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)進行了詳細介紹�����,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述�����,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想����;同時,對于本領域的一般技術人員��,依據(jù)本發(fā)明的思想�,在【具體實施方式】及應用范圍上均會有改變之處,綜上所述���,本說明書內(nèi)容不應理解為對本發(fā)明的限制�����。
【權利要求】
1.一種網(wǎng)絡攻防實驗的自動評分系統(tǒng)����,其特征在于,該系統(tǒng)基于數(shù)據(jù)包來分析并自動評分的�,由攻擊方,防御方�����,核心交換機����,抓包服務器和評分服務器組成; 攻擊方�,在網(wǎng)絡攻防實驗中的攻擊者,在攻擊方的PC里集成各種攻擊工具�����; 防御方��,在網(wǎng)絡攻防實驗中的防御者,在防御方的PC里集成了各種服務器����,例如數(shù)據(jù)庫服務器,Web服務器��,同時也掛載了一些具有漏洞的網(wǎng)站�,供攻擊方來攻擊�����; 核心交換機�,作為所有攻擊方和防御方數(shù)據(jù)包必須經(jīng)過的地方,也是抓包服務器抓包核心場所�,必須保證交換機不會有掉包現(xiàn)場; 抓包服務器��,是整個評分系統(tǒng)的核心��,其連接在核心交換機的鏡像口����,讓所有經(jīng)過交換機的數(shù)據(jù)包能被抓到,抓包服務器對抓到的所有數(shù)據(jù)包傳送到評分服務器上����,讓評分服務器進行評分操作�; 評分服務器��,根據(jù)抓包服務器傳送的數(shù)據(jù)包進行分析����,從而剝離出一些與入侵特征相關的標志,然后再將這些標志同現(xiàn)有的標準入侵數(shù)據(jù)包進行模式匹配��,從而能夠對相應的入侵行為進行評分��。
2.根據(jù)權利要求1所述的系統(tǒng)����,其特征在于,攻擊工具包括nmap掃描器���,ddos攻擊工具����,sniffer嗅探工具�。
3.根據(jù)權利要求1所述的系統(tǒng),其特征在于,抓包工具包括MiniSniffer、SnifferPro����、Wireshark和協(xié)議分析儀���。
4.根據(jù)權利要求1或3所述的系統(tǒng),其特征在于���,除了在抓包服務器安裝必要的抓包工具以外�,還能夠通過搭建網(wǎng)橋進行數(shù)據(jù)包的抓取����,具體為通過搭建網(wǎng)橋抓取數(shù)據(jù)包�,具有兩個網(wǎng)卡的計算機可以作為一個透明網(wǎng)橋進行使用,因此接入一個雙網(wǎng)卡的計算機到鏈路中����,在該技術端機中安裝抓包工具,對流經(jīng)該計算機的所有數(shù)據(jù)包進行抓取���,網(wǎng)橋對IP層是完全透明的�����,且對數(shù)據(jù)鏈路層也幾乎是透明的���,只會產(chǎn)生輕微的延遲�,且兩個網(wǎng)卡也對一些廣播包進行回應���。
5.根據(jù)權利要求1或3所述的系統(tǒng)����,其特征在于�����,除了在抓包服務器安裝必要的抓包工具以外����,還能夠利用Network Tap抓取數(shù)據(jù)包,Network Tap即網(wǎng)絡分流器,是一個可以接入到鏈路中的硬件設備���,它有4個接口:兩個連接被測鏈路的兩端��,另外兩個端口輸出雙向數(shù)據(jù)流到安裝轉包工具的計算機�。
6.根據(jù)權利要求1所述的系統(tǒng)�����,其特征在于,根據(jù)網(wǎng)絡攻防實驗的頻發(fā)程序和所掌握的入侵特征�,基于數(shù)據(jù)包的自動評分系統(tǒng)能對SYN Flood攻擊、Land攻擊���、UDP Flood攻擊���、Port scan、Teardrop攻擊進行自動評分�。
7.根據(jù)權利要求1所述的系統(tǒng),其特征在于�����,本發(fā)明還能夠再加上一個截圖自動匹配系統(tǒng)���,根據(jù)攻防雙方實驗后的截圖進行自動匹配,這樣會使實驗結果更加正確����,評分更加合理。
【文檔編號】H04L29/06GK103701810SQ201310739972
【公開日】2014年4月2日 申請日期:2013年12月26日 優(yōu)先權日:2013年12月26日
【發(fā)明者】柯宗貴, 楊育斌, 李文杰, 馮斌斌, 黎權友 申請人:藍盾信息安全技術股份有限公司