一種網絡攻防實驗的自動評分系統的制作方法

一種網絡攻防實驗的自動評分系統的制作方法
【專利摘要】本發明公開了一種網絡攻防實驗的自動評分系統，該系統是基于數據包來分析并自動評分的，其由攻擊方，防御方，核心交換機，抓包服務器和評分服務器組成。本發明適用于在高校信息安全綜合實訓實驗室中的網絡攻防實驗，在網絡攻防雙方進行完實驗的時候，本系統會根據抓包服務器和評分服務器自動進行評分，判定輸贏。這樣不僅會對雙方更加公平，同時也提高了整體實驗的效率，同時也降低了對任課老師的技術要求，滿足不同群體的實驗需要。
【專利說明】一種網絡攻防實驗的自動評分系統
【技術領域】
[0001]本發明涉及網絡信息【技術領域】，尤其涉及一種網絡攻防實驗的自動評分系統。
【背景技術】
[0002]隨著計算機技術的發展與互聯網的普及，信息安全問題日益嚴重，其作為一種新興的產業，越來越受到重視，同時，在許多院校中信息安全作為一門新興的學科，信息安全實驗室的建設和推廣正處于發展階段。利用信息安全實驗室進行網絡攻防實驗是主要的課題之一，攻防實驗注重的是實驗實操，而且攻擊和防御的手段是多種多樣的，怎么高效地判定攻防雙方之間的輸贏或者分數成為一個關鍵問題的所在。
[0003]目前在信息安全實驗室中進行攻防實驗，傳統的評分方式是攻防雙方通過對攻防操作后實驗畫面截圖，然后寫上攻擊方法，最后讓老師或第三方進行評分或判定輸贏。
[0004]對于實操實驗，傳統的評分方式普遍適用，但網絡攻防實驗具有靈活多變的特性，不同的攻擊手段可能會出現同一個實驗結果，不同的防御手段也可能會出現同樣的實驗效果。所以，不能只根據攻防雙方的截圖和方法來準確地進行評分或判斷。而且，人工的評分方式浪費很多時間而且對評分人員的網絡攻防技術要求高，往往會造成在一個實驗課時里不能給出相應的結果。

【發明內容】

[0005]本發明的目的是為了克服現有技術的缺陷，提供一種網絡攻防實驗的自動評分系統，利用網絡攻擊與防御的過程中產生的數據包，對其進行分析，配對等操作，從而對攻防實驗中的雙方進行自動評分，這樣既體驗公平性，也提高實操中的評分效率。
[0006]一種網絡攻防實驗的自動評分系統，其基于數據包來分析并自動評分的，由攻擊方，防御方，核心交換機，抓包服務器和評分服務器組成。
[0007]攻擊方，在網絡攻防實驗中的攻擊者，在攻擊方的PC里集成各種攻擊工具。
[0008]防御方，在網絡攻防實驗中的防御者，在防御方的PC里集成了各種服務器，例如數據庫服務器，web服務器，同時也掛載了一些具有漏洞的網站，供攻擊方來攻擊。
[0009]核心交換機，作為所有攻擊方和防御方數據包必須經過的地方，也是抓包服務器抓包核心場所，必須保證交換機不會有掉包現場。
[0010]抓包服務器，是整個評分系統的核心，其連接在核心交換機的鏡像口，讓所有經過交換機的數據包能被抓到，抓包服務器對抓到的所有數據包傳送到評分服務器上，讓評分服務器進行評分操作。
[0011]評分服務器，根據抓包服務器傳送的數據包進行分析，從而剝離出一些與入侵特征相關的標志，然后再將這些標志同現有的標準入侵數據包進行模式匹配，從而能夠對相應的入侵行為進行評分。
[0012]本發明技術方案帶來的有益效果:
[0013]本發明方案適用于在高校信息安全綜合實訓實驗室中的網絡攻防實驗，在網絡攻防雙方進行完實驗的時候，本系統會根據抓包服務器和評分服務器自動進行評分，判定輸贏。這樣不僅會對雙方更加公平，同時也提高了整體實驗的評分效率，同時也降低了對任課老師的技術要求，滿足不同群體的實驗需要。
【專利附圖】

【附圖說明】
[0014]為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其它的附圖。
[0015]圖1是本發明的一種網絡攻防實驗的自動評分系統體系架構圖。
【具體實施方式】
[0016]下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。
[0017]本發明的一種網絡攻防實驗的自動評分系統，是基于數據包來分析并自動評分的，用于高校網絡專業信息安全專業以及相關專業的攻防實驗課程，該系統能夠為高校攻防實驗課程提供公平、高效的評分和判斷服務，該系統由攻擊方，防御方，核心交換機，抓包服務器和評分服務器組成。
[0018]攻擊方，在網絡攻防實驗中的攻擊者，在攻擊方的PC里集成了很多攻擊工具，例如nmap掃描器，ddos攻擊工具，sniffer嗅探工具等。
[0019]防御方，在網絡攻防實驗中的防御者，在防御方的PC里集成了各種服務器，如數據庫服務器，web服務器等，同時也掛載了一些具有漏洞的網站，供攻擊方來攻擊。
[0020]核心交換機，作為所有攻擊方和防御方數據包必須經過的地方，也是抓包服務器抓包核心場所，必須保證交換機不會有掉包現場。
[0021]抓包服務器，是整個評分系統的核心，這服務器連接在核心交換機的鏡像口，讓所有經過交換機的數據包能被抓到，目前常用的抓包工具有MiniSniffer、SnifferPro,Wireshark和協議分析儀等。
[0022]除了在抓包服務器安裝必要的抓包工具以外，還可以通過以下途徑去進行數據包的抓取。
[0023]1、搭建網橋抓取數據包，具有兩個網卡的計算機可以作為一個透明網橋進行使用。因此可以接入一個雙網卡的計算機到鏈路中，在該技術端機中安裝抓包工具，對流經該計算機的所有數據包進行抓取。網橋對IP層是完全透明的，且對數據鏈路層也幾乎是透明的，只會產生輕微的延遲，且兩個網卡也對一些廣播包進行回應。
[0024]2、利用Network Tap抓取數據包,Network Tap即網絡分流器,是一個可以接入到鏈路中的硬件設備。它有4個接口:兩個連接被測鏈路的兩端，另外兩個端口輸出雙向數據流到安裝轉包工具的計算機。
[0025]抓包服務器對抓到的所有數據包傳送到評分服務器上，讓評分服務器進行評分操作。
[0026]評分服務器，就是根據抓包服務器傳送的數據包進行分析，從而剝離出一些與入侵特征相關的標志，然后再將這些標志同現有的入侵特征(即標準入侵數據包)進行模式匹配，從而能夠對相應的入侵行為進行評分。
[0027]根據目前網絡攻防實驗的頻發程序和所掌握的入侵特征，這個基于數據包的自動評分系統能對以下幾種網絡攻防攻擊進行自動評分:
[0028]1、SYN Flood攻擊，這是當前最流行的Dos (拒絕服務工具)與DDos (分布式拒絕服務攻擊)的方式之一，這是一個利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
[0029]2、Land攻擊，這是一個很經典的拒絕服務攻擊(Dos)手段。
[0030]3,UDP Flood攻擊，各種各樣的假冒攻擊利用簡單的TCP/IP服務。如Chargen和Echo來傳送毫無用處的數據來占用所有的帶寬。通過偽造與某一主機的Chargen服務之間的一次的UDP鏈接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬被大量的占用，從而導致拒絕服務。
[0031]4、Port scan (端口掃描),端口掃描本身并沒有對被掃描的主機造成嚴重后果,然而通過端口掃描能夠偵測出系統的漏洞，從而給攻擊者進一步的入侵活動帶來便利。
[0032]5、Teardrop攻擊，這種被國人稱為“淚滴”攻擊的攻擊方法是一種典型的IP碎片攻擊手段。這個攻擊方式利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息實現自己的攻擊，由于IP分段中含有指示該分段所包含的是原包哪一段的信息，所有一些操作系統下的TCP/IP協議在收到含有重疊偏移的偽造分段時將崩潰。
[0033]本發明根據數據包特征并匹配現有數據包特征進行自動評分，其中數據包的抓取是很重要的一環，現有的抓包工具不能保證能抓取到網絡攻防雙方進行實驗時的所有數據包，這樣可能會造成評分結果有誤差，如果在本發明上在加上一個截圖自動匹配系統，根據攻防雙方試驗后的截圖進行自動匹配，那樣會使實驗結果更加正確，評分更加合理。
[0034]以上對本發明實施例所提供的一種網絡攻防實驗的自動評分系統進行了詳細介紹，本文中應用了具體個例對本發明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發明的方法及其核心思想；同時，對于本領域的一般技術人員，依據本發明的思想，在【具體實施方式】及應用范圍上均會有改變之處，綜上所述，本說明書內容不應理解為對本發明的限制。
【權利要求】
1.一種網絡攻防實驗的自動評分系統，其特征在于，該系統基于數據包來分析并自動評分的，由攻擊方，防御方，核心交換機，抓包服務器和評分服務器組成； 攻擊方，在網絡攻防實驗中的攻擊者，在攻擊方的PC里集成各種攻擊工具； 防御方，在網絡攻防實驗中的防御者，在防御方的PC里集成了各種服務器，例如數據庫服務器，Web服務器，同時也掛載了一些具有漏洞的網站，供攻擊方來攻擊； 核心交換機，作為所有攻擊方和防御方數據包必須經過的地方，也是抓包服務器抓包核心場所，必須保證交換機不會有掉包現場； 抓包服務器，是整個評分系統的核心，其連接在核心交換機的鏡像口，讓所有經過交換機的數據包能被抓到，抓包服務器對抓到的所有數據包傳送到評分服務器上，讓評分服務器進行評分操作； 評分服務器，根據抓包服務器傳送的數據包進行分析，從而剝離出一些與入侵特征相關的標志，然后再將這些標志同現有的標準入侵數據包進行模式匹配，從而能夠對相應的入侵行為進行評分。
2.根據權利要求1所述的系統，其特征在于，攻擊工具包括nmap掃描器，ddos攻擊工具，sniffer嗅探工具。
3.根據權利要求1所述的系統,其特征在于,抓包工具包括MiniSniffer、SnifferPro、Wireshark和協議分析儀。
4.根據權利要求1或3所述的系統，其特征在于，除了在抓包服務器安裝必要的抓包工具以外，還能夠通過搭建網橋進行數據包的抓取，具體為通過搭建網橋抓取數據包，具有兩個網卡的計算機可以作為一個透明網橋進行使用，因此接入一個雙網卡的計算機到鏈路中，在該技術端機中安裝抓包工具，對流經該計算機的所有數據包進行抓取，網橋對IP層是完全透明的，且對數據鏈路層也幾乎是透明的，只會產生輕微的延遲，且兩個網卡也對一些廣播包進行回應。
5.根據權利要求1或3所述的系統，其特征在于，除了在抓包服務器安裝必要的抓包工具以外，還能夠利用Network Tap抓取數據包，Network Tap即網絡分流器,是一個可以接入到鏈路中的硬件設備，它有4個接口:兩個連接被測鏈路的兩端，另外兩個端口輸出雙向數據流到安裝轉包工具的計算機。
6.根據權利要求1所述的系統，其特征在于，根據網絡攻防實驗的頻發程序和所掌握的入侵特征，基于數據包的自動評分系統能對SYN Flood攻擊、Land攻擊、UDP Flood攻擊、Port scan、Teardrop攻擊進行自動評分。
7.根據權利要求1所述的系統，其特征在于，本發明還能夠再加上一個截圖自動匹配系統，根據攻防雙方實驗后的截圖進行自動匹配，這樣會使實驗結果更加正確，評分更加合理。
【文檔編號】H04L29/06GK103701810SQ201310739972
【公開日】2014年4月2日 申請日期:2013年12月26日 優先權日:2013年12月26日
【發明者】柯宗貴, 楊育斌, 李文杰, 馮斌斌, 黎權友 申請人:藍盾信息安全技術股份有限公司