網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

周　敏

(重慶理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院, 重慶　400054)

?

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

周敏

(重慶理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院, 重慶400054)

為解決網(wǎng)絡(luò)攻防實(shí)驗(yàn)的環(huán)境難以維護(hù)、實(shí)驗(yàn)的真實(shí)性較差等問(wèn)題,設(shè)計(jì)了一個(gè)專業(yè)的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)。系統(tǒng)采用真實(shí)的網(wǎng)絡(luò)安全設(shè)備搭建典型的網(wǎng)絡(luò)攻防環(huán)境,提供了網(wǎng)絡(luò)攻防技能訓(xùn)練和滲透測(cè)試的實(shí)戰(zhàn)平臺(tái)。硬件平臺(tái)主要有管理控制設(shè)備、實(shí)驗(yàn)靶機(jī)、訪問(wèn)控制及網(wǎng)絡(luò)交換設(shè)備；軟件平臺(tái)由基礎(chǔ)考核系統(tǒng)、技能訓(xùn)練系統(tǒng)、滲透測(cè)試系統(tǒng)和管理系統(tǒng)組成。該系統(tǒng)性能穩(wěn)定,能夠很好地滿足教學(xué)和科研的需求。

網(wǎng)絡(luò)攻擊實(shí)驗(yàn)； 網(wǎng)絡(luò)安全； 實(shí)驗(yàn)平臺(tái)

計(jì)算機(jī)網(wǎng)絡(luò)安全課程是信息安全及其相關(guān)專業(yè)的核心課程,其主要特點(diǎn)是實(shí)踐性強(qiáng)。目前,高校開(kāi)設(shè)的網(wǎng)絡(luò)安全課程主要包括入侵檢測(cè)、防火墻、網(wǎng)絡(luò)攻擊與防護(hù)、網(wǎng)絡(luò)應(yīng)用服務(wù)安全等內(nèi)容[1-2]。網(wǎng)絡(luò)攻擊與防護(hù)是其中綜合性與實(shí)踐性最強(qiáng)的教學(xué)內(nèi)容,學(xué)生要掌握好這部分內(nèi)容,光靠課堂學(xué)習(xí)遠(yuǎn)遠(yuǎn)不夠,必須依靠一系列實(shí)際操作來(lái)加深理解。只有通過(guò)綜合性的網(wǎng)絡(luò)攻防實(shí)驗(yàn),將零散的知識(shí)運(yùn)用到實(shí)際的攻防案例當(dāng)中,才能得到較好的網(wǎng)絡(luò)安全課程教學(xué)效果。因此,設(shè)計(jì)一個(gè)專業(yè)的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)是十分必要的[3-5]。

本文根據(jù)網(wǎng)絡(luò)攻擊與防御知識(shí)在真實(shí)網(wǎng)絡(luò)環(huán)境中的應(yīng)用及其特點(diǎn),設(shè)計(jì)了一個(gè)專業(yè)性、綜合性的網(wǎng)絡(luò)攻防實(shí)戰(zhàn)系統(tǒng),為學(xué)生提供全面、系統(tǒng)的網(wǎng)絡(luò)攻防原理學(xué)習(xí)和技能測(cè)試的平臺(tái),可以顯著提高學(xué)生的網(wǎng)絡(luò)攻防和綜合滲透測(cè)試能力[6-12]。

1　系統(tǒng)設(shè)計(jì)

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)參考了《信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》中的知識(shí)體系與實(shí)踐能力要求,分析了網(wǎng)絡(luò)安全管理、滲透測(cè)試、信息安全等實(shí)際工作崗位的專業(yè)技能要求,提供全方位的信息安全知識(shí)考核、攻防技術(shù)訓(xùn)練、真實(shí)網(wǎng)絡(luò)環(huán)境的滲透實(shí)驗(yàn)等實(shí)訓(xùn)環(huán)境。實(shí)戰(zhàn)系統(tǒng)的框架圖如圖1所示。

圖1　實(shí)踐系統(tǒng)框架圖

1.1系統(tǒng)結(jié)構(gòu)

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)采用真實(shí)的網(wǎng)絡(luò)安全設(shè)備、搭建典型的網(wǎng)絡(luò)攻防環(huán)境,系統(tǒng)主要分為服務(wù)區(qū)和客戶區(qū)兩部分。服務(wù)區(qū)主要放置管理控制設(shè)備、靶機(jī)服務(wù)設(shè)備以及網(wǎng)絡(luò)安全設(shè)備等與系統(tǒng)相關(guān)的硬件設(shè)備,為系統(tǒng)提供硬件支撐環(huán)境；客戶區(qū)主要是用戶操作區(qū),用戶可以通過(guò)訪問(wèn)管理控制設(shè)備來(lái)獲取實(shí)驗(yàn)題目、在線實(shí)驗(yàn)操作并提交答案。系統(tǒng)的邏輯結(jié)構(gòu)圖如圖2所示。3臺(tái)靶機(jī)分別運(yùn)行不同的服務(wù)；防火墻對(duì)每個(gè)不同的靶機(jī)使用不同的規(guī)則；管理控制設(shè)備為系統(tǒng)提供硬件支撐和實(shí)操環(huán)境；防火墻確保系統(tǒng)的安全。

圖2　實(shí)踐系統(tǒng)邏輯結(jié)構(gòu)圖

1.2系統(tǒng)功能

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)系統(tǒng)最主要的功能有:

(1) 提供信息安全基礎(chǔ)知識(shí)訓(xùn)練庫(kù)和攻防技術(shù)訓(xùn)練庫(kù),培養(yǎng)學(xué)生的攻防技能及其綜合運(yùn)用能力；

(2) 通過(guò)對(duì)防火墻的規(guī)則配置和不同網(wǎng)絡(luò)區(qū)域的靶機(jī),提供一個(gè)典型的企業(yè)網(wǎng)絡(luò)環(huán)境,并且可以利用其他的網(wǎng)絡(luò)安全設(shè)備進(jìn)行環(huán)境的擴(kuò)充,滿足對(duì)學(xué)生滲透能力的培養(yǎng)；

(3) 可以不斷添加新的實(shí)驗(yàn)內(nèi)容、針對(duì)不同的需求搭建不同的滲透測(cè)試環(huán)境,以適應(yīng)網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展；

(4) 系統(tǒng)提供題庫(kù)管理和實(shí)驗(yàn)內(nèi)容管理等多種可擴(kuò)展的接口,可以方便地添加實(shí)驗(yàn)、支持二次開(kāi)發(fā)；

(5) 系統(tǒng)不但可以滿足網(wǎng)絡(luò)安全相關(guān)課程的課程設(shè)計(jì)、實(shí)驗(yàn)教學(xué)、考核以及綜合實(shí)訓(xùn),還可以支持各種網(wǎng)絡(luò)安全技能大賽。

1.3系統(tǒng)的硬件組成

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)主要由硬件系統(tǒng)和軟件系統(tǒng)兩部分組成,對(duì)不同的網(wǎng)絡(luò)區(qū)域提供了對(duì)應(yīng)的靶機(jī)供實(shí)驗(yàn)使用,為網(wǎng)絡(luò)攻防實(shí)驗(yàn)教學(xué)提供必要的網(wǎng)絡(luò)環(huán)境,同時(shí)還提供考核系統(tǒng)和管理系統(tǒng)。

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)系統(tǒng)的硬件平臺(tái)主要包括實(shí)驗(yàn)管理控制設(shè)備、實(shí)驗(yàn)銅牌靶機(jī)、實(shí)驗(yàn)銀牌靶機(jī)、實(shí)驗(yàn)金牌靶機(jī)、實(shí)驗(yàn)訪問(wèn)控制設(shè)備及網(wǎng)絡(luò)交換設(shè)備,組建一個(gè)典型的企業(yè)網(wǎng)絡(luò)環(huán)境，并且可以與入侵防御和安全審計(jì)等網(wǎng)絡(luò)安全設(shè)備相結(jié)合,構(gòu)建更加復(fù)雜的企業(yè)網(wǎng)絡(luò)環(huán)境,從而實(shí)現(xiàn)攻防實(shí)驗(yàn)環(huán)境的擴(kuò)展。

(1) 實(shí)驗(yàn)管理控制設(shè)備。實(shí)驗(yàn)管理控制設(shè)備是高可靠性的硬件設(shè)備,為實(shí)驗(yàn)系統(tǒng)提供軟、硬件支撐平臺(tái)和后臺(tái)服務(wù)支持,同時(shí)提供實(shí)驗(yàn)數(shù)據(jù)的統(tǒng)一存儲(chǔ)、在線服務(wù)和在線答題、后臺(tái)管理等系統(tǒng)功能。

(2) 實(shí)驗(yàn)靶機(jī)。實(shí)驗(yàn)銅牌靶機(jī)模擬防火墻的DMZ系統(tǒng),內(nèi)置了電子商務(wù)系統(tǒng)等攻防過(guò)關(guān)文件和設(shè)備的權(quán)限；實(shí)驗(yàn)銀牌靶機(jī)模擬防火墻的內(nèi)網(wǎng)區(qū)系統(tǒng),內(nèi)置了Web系統(tǒng)的過(guò)關(guān)文件與設(shè)備權(quán)限；實(shí)驗(yàn)金牌靶機(jī)模擬防火墻的內(nèi)網(wǎng)區(qū)系統(tǒng),內(nèi)置了Linux系統(tǒng)過(guò)關(guān)文件及設(shè)備權(quán)限。實(shí)驗(yàn)銅牌靶機(jī)、實(shí)驗(yàn)銀牌靶機(jī)和實(shí)驗(yàn)金牌靶機(jī)都提供可以定制的虛擬攻擊目標(biāo)、對(duì)應(yīng)的攻防所需權(quán)限及漏洞(用來(lái)進(jìn)行掃描、滲透),模擬了真實(shí)的網(wǎng)絡(luò)環(huán)境,用交互方式來(lái)體現(xiàn)網(wǎng)絡(luò)攻防的實(shí)驗(yàn)過(guò)程。

(3) 實(shí)驗(yàn)訪問(wèn)控制設(shè)備。主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊與防御實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)拓?fù)鋭澐?制定相應(yīng)的訪問(wèn)控制策略來(lái)實(shí)現(xiàn)對(duì)管理控制設(shè)備和金、銀、銅牌實(shí)驗(yàn)靶機(jī)的區(qū)域劃分和保護(hù)。

(4) 網(wǎng)絡(luò)交換設(shè)備。為用戶提供接入系統(tǒng)服務(wù)區(qū)的能力,為系統(tǒng)各個(gè)硬件平臺(tái)提供快速通信支持。

1.4系統(tǒng)的軟件組成

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)的軟件平臺(tái)主要由實(shí)驗(yàn)的基礎(chǔ)考核系統(tǒng)、技能訓(xùn)練系統(tǒng)、滲透測(cè)試系統(tǒng)和管理系統(tǒng)等組成,構(gòu)建了網(wǎng)絡(luò)攻防的技能訓(xùn)練和滲透測(cè)試的綜合管理平臺(tái),為實(shí)驗(yàn)系統(tǒng)訓(xùn)練和考核提供軟件支持。

(1) 實(shí)驗(yàn)基礎(chǔ)考核系統(tǒng)。提供網(wǎng)絡(luò)攻防知識(shí)題庫(kù)、配套的答題系統(tǒng)(對(duì)在線考核的答題進(jìn)行實(shí)時(shí)評(píng)分)、配套的題庫(kù)管理模塊(對(duì)題庫(kù)進(jìn)行增、刪、改等管理操作)。

(2) 實(shí)驗(yàn)技能訓(xùn)練系統(tǒng)。涉及常用的網(wǎng)絡(luò)攻防技術(shù)(包括密碼破解、Cookie注入、緩沖區(qū)溢出、SQL注入、欺騙技術(shù)、逆向工程等),訓(xùn)練學(xué)生利用相關(guān)工具或手動(dòng)進(jìn)行攻防的實(shí)驗(yàn)?zāi)芰Α?/p>

(3) 實(shí)驗(yàn)滲透測(cè)試系統(tǒng)。用系統(tǒng)配套的硬件設(shè)備和軟件系統(tǒng)搭建一個(gè)真實(shí)的網(wǎng)絡(luò)環(huán)境,幫助學(xué)生掌握真實(shí)網(wǎng)絡(luò)環(huán)境中的攻防技術(shù)(如注入、社會(huì)工程學(xué)等)。系統(tǒng)可以根據(jù)難易程度設(shè)置滲透目標(biāo)、根據(jù)前面滲透的結(jié)果得到后續(xù)滲透目標(biāo)的有關(guān)信息,并提供在線提交滲透結(jié)果的接口,及時(shí)統(tǒng)計(jì)、驗(yàn)證滲透測(cè)試的成績(jī)。學(xué)生可以根據(jù)滲透測(cè)試的目的自主設(shè)計(jì)滲透實(shí)驗(yàn)項(xiàng)目、進(jìn)行有關(guān)部署,系統(tǒng)可以在滲透測(cè)試后快速還原。

(4) 實(shí)驗(yàn)管理系統(tǒng)。它為網(wǎng)絡(luò)攻防實(shí)驗(yàn)提供一系列服務(wù)支持(包括系統(tǒng)訪問(wèn)控制、題目管理、比賽統(tǒng)計(jì)、團(tuán)隊(duì)管理、公告管理、留言反饋等模塊),可以利用實(shí)驗(yàn)管理系統(tǒng)進(jìn)行在線答題、積分排名、團(tuán)隊(duì)注冊(cè)、在線反饋等操作,實(shí)現(xiàn)網(wǎng)絡(luò)攻防實(shí)驗(yàn)的在線管理。

2　實(shí)驗(yàn)項(xiàng)目

網(wǎng)絡(luò)安全及其相關(guān)課程具有實(shí)踐性強(qiáng)的特點(diǎn),如果沒(méi)有真實(shí)的網(wǎng)絡(luò)環(huán)境、案例的支撐,只能了解網(wǎng)絡(luò)攻防的一些獨(dú)立、簡(jiǎn)單的工具和方法,很難真正培養(yǎng)學(xué)生的學(xué)習(xí)興趣和綜合實(shí)踐能力。網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)提供真實(shí)的網(wǎng)絡(luò)環(huán)境和滲透測(cè)試項(xiàng)目,可以全面培養(yǎng)學(xué)生的網(wǎng)絡(luò)攻防能力,涉及到的主要實(shí)驗(yàn)項(xiàng)目[3-12]如表1所示。

表1　主要實(shí)驗(yàn)項(xiàng)目表

3　系統(tǒng)測(cè)試

3.1測(cè)試環(huán)境

(1) 硬件要求:實(shí)驗(yàn)用戶PC機(jī)CPU是P4 2.0 GHz以上,內(nèi)存大于512 MB、10 MB/100 MB網(wǎng)卡；

(2) 軟件要求:實(shí)驗(yàn)用戶PC機(jī)安裝主流操作系統(tǒng)及應(yīng)用軟件、IE等瀏覽器；

(3) 網(wǎng)絡(luò)環(huán)境:PC機(jī)通過(guò)交換機(jī)實(shí)現(xiàn)網(wǎng)絡(luò)連通；

(4) 系統(tǒng)配置:實(shí)驗(yàn)管理控制設(shè)備、金牌/銀牌/銅牌靶機(jī)、網(wǎng)絡(luò)交換設(shè)備、實(shí)驗(yàn)系統(tǒng)(基礎(chǔ)考核、技能訓(xùn)練、滲透測(cè)試)和實(shí)驗(yàn)管理系統(tǒng)各一套。

3.2實(shí)驗(yàn)案例

在實(shí)驗(yàn)案例中,需要用到日志分析、Web漏洞攻擊知識(shí),用戶通過(guò)日志來(lái)分析攻擊者怎樣通過(guò)Web漏洞攻擊系統(tǒng)，找到攻擊者的IP。首先,找到存在漏洞的頁(yè)面,分析攻擊者的攻擊方法；然后,按照攻擊者的思路來(lái)定位關(guān)鍵文件、根據(jù)下載的代碼包找到對(duì)應(yīng)的頁(yè)面和過(guò)關(guān)KEY；最后,提交找到的過(guò)關(guān)KEY。

通過(guò)對(duì)網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)的所有功能模塊、所有攻防項(xiàng)目等的測(cè)試和長(zhǎng)達(dá)2年的教學(xué)實(shí)踐檢驗(yàn),證明該系統(tǒng)運(yùn)行穩(wěn)定,達(dá)到了預(yù)期的效果。

4　結(jié)語(yǔ)

網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)可以適應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展、滿足不同層次的教學(xué)和實(shí)驗(yàn)要求,能提供全面和真實(shí)的網(wǎng)絡(luò)攻擊與防護(hù)實(shí)訓(xùn)環(huán)境,沒(méi)有實(shí)驗(yàn)步驟、工具和實(shí)驗(yàn)方式的限制。學(xué)生能夠通過(guò)由淺入深的一系列實(shí)驗(yàn),掌握網(wǎng)絡(luò)攻擊與防護(hù)的有關(guān)知識(shí)和操作技能,既能提高學(xué)生的學(xué)習(xí)興趣,又能全面、系統(tǒng)地提升學(xué)生的網(wǎng)絡(luò)攻防綜合實(shí)戰(zhàn)能力,提升實(shí)踐教學(xué)水平。另外,還可以以該網(wǎng)絡(luò)攻防實(shí)戰(zhàn)教學(xué)系統(tǒng)為依托,方便地組織校內(nèi)外信息安全技術(shù)競(jìng)賽。

References)

[1] 武曉飛.網(wǎng)絡(luò)攻防技術(shù)[M].北京:清華大學(xué)出版社,2014.

[2] 賴小卿,楊育斌,李強(qiáng),等.網(wǎng)絡(luò)攻防技術(shù)實(shí)訓(xùn)教程[M].北京:清華大學(xué)出版社,2014.

[3] 張梁斌，俞華豐，高昆.單機(jī)環(huán)境中網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練平臺(tái)的設(shè)計(jì)與研究 [J].實(shí)驗(yàn)技術(shù)與管理,2014,31(10):144-147.

[4] 崔陽(yáng)華.基于Openstack的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[J].山東工業(yè)技術(shù),2015(4):130.

[5] 洪家軍,周原.基于vSphere的網(wǎng)絡(luò)攻防虛擬實(shí)驗(yàn)平臺(tái)建設(shè)與實(shí)踐[J].榆林學(xué)院學(xué)報(bào),2015(2):41-45.

[6] 康辰,朱志祥.基于云計(jì)算技術(shù)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)[J].西安郵電大學(xué)學(xué)報(bào),2013,18(3):87-91.

[7] 何增穎.基于虛擬機(jī)的入侵檢測(cè)實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)技術(shù)與管理.2011,28(1):84-87.

[8] 董輝,馬建.基于虛擬蜜網(wǎng)的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺(tái)的構(gòu)建[J].齊齊哈爾大學(xué)學(xué)報(bào):自然科學(xué)版,2012,28(2):67-72.

[9] 孔軼艷.網(wǎng)絡(luò)攻防模擬實(shí)驗(yàn)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[J].通信技術(shù),2012(11):37-39,43.

[10] 徐川,唐建,唐紅.網(wǎng)絡(luò)攻防對(duì)抗虛擬實(shí)驗(yàn)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2011(4):1268-1271.

[11] 謝慧,邵瑋,聶峰.基于B/S架構(gòu)的遠(yuǎn)程網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的研究與開(kāi)發(fā)[J].天津理工大學(xué)學(xué)報(bào)，2012,28(6):44-47.

[12] 潘麗敏,羅森林,柯萌.網(wǎng)絡(luò)動(dòng)態(tài)攻防實(shí)踐平臺(tái)研制[J].實(shí)驗(yàn)技術(shù)與管理,2012,29(9):89-92.

DOI:10.16791/j.cnki.sjg.2016.06.044

Design and realization of network attack and defense actual combat teaching system

Zhou Min

(School of Computer Science and Engineering, Chongqing University of Technology, Chongqing 400054, China)

In order to solve the problems that the experimental environment of network attack and defense is difficult to be maintained and the authenticity of experiments is bad, a professional network attack and defense combat teaching system is designed. The real network security equipment is adopted to build typical network attack and defense environment, actual combat platform which can be used to the network attack and defense skill training, and the penetration testing is provided also. Hardware platform mainly includes control equipment, experiment target, access control equipment and network exchange equipment.Software platform includes the basic experiment inspection system, skills training system, penetration testing system, management system, etc.The system performance is stable, and it can meet the requirements of teaching and research well.

network attack experiment; network security; experimental platform

DOI:10.16791/j.cnki.sjg.2016.06.039

2015-12-01

2014國(guó)家社科基金項(xiàng)目(14BTQ053)；全國(guó)高等學(xué)校計(jì)算機(jī)教育研究會(huì)項(xiàng)目(ER2014016)

周敏(1971—),女,湖南祁東,碩士,講師,主要研究方向?yàn)樾畔踩?

E-mail：zhoumin@cqut.edu.cn

TP391.9

A

1002-4956(2016)6-0154-03