基于云的信息安全攻防实践及竞赛平台开发

马李翠, 黎妹红, 柳贤洙

(北京交通大学 计算机与信息技术学院, 北京　100044)



基于云的信息安全攻防实践及竞赛平台开发

马李翠, 黎妹红, 柳贤洙

(北京交通大学 计算机与信息技术学院, 北京100044)

分析了信息安全实践教学的技术现状,提出了建设基于云的信息安全攻防实践及竞赛平台,并给出了具体的建设方案。该平台架构分为教育应用层、应用接口层和基础设施层,主要实训内容包括漏洞测试、手机安全、安全防护、持续控制目标。该方案转变了传统实验模式和管理模式,解决了目前高校信息安全实践环节建设成本高、管理维护效率低、实验室利用率低、优质资源共享程度低等问题。

网络信息安全； 云计算； 攻防实验； 信息安全竞赛

1　研究的意义

近年来,随着网络技术的创新发展,信息化已经成为全球经济社会发展的显著特征,但同时,计算机系统漏洞问题和病毒、网络窃密、网络攻击等违法犯罪问题也日渐突出，培养信息安全技术人才十分重要。在高校传统的信息安全实验实践教学系统中,由于实验存在一定的对抗性和破坏性[1],所以大多是在独立的网络环境下进行的,而且实验设备也都在物理隔离区域内,借助许多专用网络安全设备、安装有相应的特别工具软件,并采用硬件保护[2],因此带来了以下一些不容忽视的问题。

(1) 建设成本高[3]。实验室的服务器、存储设备、计算机、操作系统等软硬件设备采购需要大量资金,而且硬件配置和软件系统的更新换代非常快,存在资源使用周期过短,维护成本不断升高的问题。

(2) 管理维护效率低。实验教学系统是采用C/S结构,需要根据实验内容在每一台客户机上安装虚拟机、攻防工具、客户端程序等。由于学生实验课程会有所改变,在维护升级服务器端的同时还要维护升级客户端,管理维护效率不高。

(3) 实验室利用率低[4]。学生自行安装或者卸载部分软件、修改设置和系统服务,导致计算机运行速度慢。另外，实验室的管理维护跟不上软硬件的更新换代,导致学生使用实验资源不方便,造成实验室闲置率高。

(4) 优质资源共享程度低。信息安全实验室一般只在规定的时间面向特定的用户开放,资源共享程度不高。

(5) 实验环境可扩展性差。不同课程教师会选择安装本课程实验的软件系统和服务,而机房固定的操作系统和各种应用程序并不能满足一些课程的需求,无法实现跨领域共享以及灵活的调度和分配[5]。

基于云的信息安全攻防实践及竞赛平台利用云计算技术,把实验用到的复杂网络拓扑、所有的计算和存储任务都集中在服务器端,客户端只使用B/S结构即可以使用和管理,甚至只要在联网的地方使用笔记本电脑、平板电脑和手机等,也可以接入到平台中。当计算性能不足时只需要增加服务器,更新换代也只需要更新一台瘦客户端或者显示器即可,而且自带笔记本电脑的学生可以无线或有线自动接入。除了可以进行信息攻防实训之外,学生还可以在竞赛平台组队进行分组对抗实训。通过基于云的信息安全攻防实践及竞赛平台,学生可以更深入地学习网络安全基本理论,更真实地体验实用技术,掌握信息安全防护的基本方法,提高网络安全意识,增强网络安全保障能力[6]。

2　云架构

云计算虚拟化平台通过云计算管理平台为计算机教学虚拟各种实验操作环境,学生只需要有能够接入互联网的终端,即可进行计算机、网络设备和安全设备的实际操作,了解它们的原理,掌握网络安全知识和实际操作技能,真实体验计算机系统、网络和安全信息知识和实际操作演练过程。该平台的云架构[7]分为教育应用层、应用接口层和基础设施层(见图1)。

图1　信息安全攻防实践及竞赛平台的云架构图

教育应用层提供各类教育教学应用软件,即面向教育的SaaS[8]。本层主要包含:(1)用于教学与管理的教学平台、实验平台、监控分析平台、资源共享平台；(2)用于教学资源开发共享的文档、课件制作软件和演示软件；(3)虚拟计算环境,即为教师和学生提供的较底层的虚拟计算资源,学生只需有终端和浏览器,就可以使用云平台提供的海量存储和计算能力；(4)基于云的虚拟计算实验室。

应用接口层构建在基础设施层之上,面向开发人员,为开发各类基于云计算的教育应用软件提供开发环境和公用API等,即提供PaaS[8]。公用API以Web Service的形式提供给开发人员,从而减少了开发人员许多系统管理的操作。开发人员也可以使用公用API开发自己的Web Service.

基础设施层为上层提供计算、数据存储和网络通信等资源,即提供IaaS。分为物理硬件子层和虚拟化子层,是整个架构的基础。其中,物理硬件子层由各种真实的物理硬件组成,包括服务器、存储器和网络设备。虚拟化子层构建在物理硬件子层之上,利用虚拟化技术对底层硬件设备进行管理,向上提供计算、数据存储和网络通信等虚拟资源,由各类虚拟机组成。当前系统使用的虚拟化技术为KVM。

3　基于云的信息安全平台拓扑结构

基于云的信息安全攻防实践及竞赛平台的网络拓扑结构如图2所示,分为5部分。

图2　网络拓扑结构图

夺旗靶场区:主要包括MAIL服务器和DB服务器,金、银、铜牌服务器。其中金、银、铜牌服务器提供靶机虚拟化模板自定义功能,如主机系统、Web应用、用户业务应用系统级漏洞虚拟化模板。系统监控平台调度靶机模板,根据不同的实战任务自动调度相应任务所需要的靶机虚拟化模板功能。

数据区、开发测试区和内网服务区:通过多台专用信息安全虚拟化设备(Sandbox)虚拟出信息安全所需的场景,如Web攻防平台、应用攻防平台、威胁分析平台、数据挖掘平台、基线扫描平台、漏洞分析平台、木马分析平台等，实现红、蓝对抗实战,并对实战过程进行监控,实时记录对抗信息并给出排名。

终端竞赛区:学生通过B/S使用信息安全攻防和竞赛平台。

互联网接入区:满足学生远程接入信息安全实验室,方便学习并充分利用实验室资源。

竞赛渗透区:发现和挖掘竞赛区中存在的漏洞,解决存在的安全隐患和问题,确保终端用户可以正常参与实验。

3.1功能模块

信息安全攻防实践及竞赛平台主要由两大模块构成,即选手攻防模块和服务器模块,如图3所示。

图3　功能模块图

选手登录平台后,可以根据自己的知识水平选择基础关、脚本关、破解关、内核关、溢出关和综合关,每个关卡都有指导文档和部分操作视频。通过闯关,学生可以评估自己的基础网络知识、脚本攻击知识、操作系统原理、内核理解以及底层的相关知识,获得竞赛成绩和分析报告,弥补知识漏洞。

管理人员在服务器端可以自主新增、导入、导出和审核选手；可以利用虚拟化技术,在多个主映像上安装能满足不同实验需求的系统软件和应用软件。安装操作与使用物理主机一样,但发布和部署到客户端所用的时间却很短。主镜像以多用户共享的机制给参加实训的用户同时使用。学生在虚拟桌面上完成的设置和修改,在云主机或虚拟桌面重启后可以得到保留[9]。根据关卡需求,管理人员在平台上可以生成具有不同操作系统漏洞和应用软件漏洞的虚拟靶机,并在靶机上安装相应的防护工具,平台会对竞赛过程中的目标机和靶机进行实时监控并记录攻击轨迹。利用云平台修改虚拟机配置、网络拓扑、关卡文档等[10],不断改进关卡,扩充竞赛内容。在竞赛完成后,可以查看选手成绩,系统分析整体竞赛情况,并导出分析文档。

3.2实训内容

信息安全攻防实践平台的实训内容依据学校特色课程和教师擅长的专业合理制定,并密切结合信息安全的热点问题、研究趋势和现实应用,紧跟行业发展,最大限度地再现真实的网络安全环境,让学生能够在虚实结合的环境中不断探索、不断总结,提高学生兴趣和实践技能。平台针对信息安全攻防方向,设置了4大类实训内容,包括漏洞测试、手机安全、安全防护和持续控制目标。

(1) 漏洞测试。包括网络渗透、操作系统渗透、Web应用渗透和数据库渗透,掌握网络渗透相关的使用工具、IPsec安全技术及一些共享漏洞利用。

(2) 手机安全。包括Android手机权限控制、木马程序设计和分析、通讯录、短信窃取,理解安全模型、实现对手机行为控制。

(3) 安全防护。包括Windows、Linux下系统日志清除、系统安全、综合扫描和安全评估,熟悉物理安全、网络结构、系统安全和管理安全分析技术。

(4) 持续控制目标。包括远程入侵、堆栈缓冲区溢出、冰河木马攻击测试、DNS漏洞、FTP漏洞,理解入侵者控制操作系统的方法,并防止入侵者重返。

3.3竞赛内容

学生在学习了信息安全理论知识、夯实基础的前提下开展信息安全对抗赛,可以利用掌握的知识,灵活变动、挑战自己,既可以活学活用已有的知识,又可以丰富信息安全实战手段。信息安全对抗赛内容如图4所示。

图4　信息安全对抗赛内容图

(1) 个人挑战赛。分为基础、脚本、破解、溢出、内核、综合6种题型。关卡考察内容涉及Web知识、ASP/PHP脚本、缓冲区溢出、软件脱壳破解、系统漏洞利用、社会工程学等信息安全知识。

(2) 分组对抗赛。在封闭的真实对抗环境(包括DMZ区、数据区、开发测试区、内网服务区、终端区)中展开攻防角逐,充分展示参赛学生的个人水平和小组的协同能力。

(3) 夺旗赛。夺旗赛(capture the flag,CTF),衍生自古代军事战争模式。两队人马前往对方基地夺旗,每队人马须在保护好己方旗帜的情况下将对方旗帜带回基地。

4　系统实践

目前,平台提供了实训内容和竞赛内容2个模块。在每个模块中,教师可以按照课程需求,自主创建实验课程、搭建实验网络拓扑、进行环境配置,在实践过程中,可以扩展实验内容,充分利用平台。实训内容如表1所示,其中包括目前信息安全领域内诸多热点问题,并结合学生的知识水平,介绍了信息安全理论、安全框架和安全机制[11]。信息安全竞赛内容如表2所示,这些竞赛内容有利于培养学生运用所学知识开发安全的信息系统,或运用、管理和维护信息安全系统。

表1　信息安全实训内容

表2　信息安全竞赛内容

5　结语

信息安全攻防实践及竞赛平台利用云计算虚拟化技术,不但大大降低了教学成本,有效利用了课程资源,并使维护管理工作更加简单,而且促进学生自主学习、转变学习方式。教师能够监控学生虚拟机、轻松分配实验、实现教学互动。由于网络带宽对信息安全攻防实践及竞赛平台稳定性有一定影响,服务器的负载调度[12]正在测试和优化中,后续的工作将着重研究服务器的调度算法,以降低网络对平台的影响,完善云平台中数据的存储和备份机制,改进平台的使用效果。

References)

[1] 底晓强,张宇昕,赵建平.基于云计算和虚拟化的计算机网络攻防实验教学平台建设探索[J].实验技术与管理,2015,32(4):147-151.

[2] 魏强强.网络攻防技术的特点及模拟方法的发展研究[J].数字技术与应用,2013(12):188.

[3] 王峰,黄港.基于云平台的计算机实验教学中心建设[J].实验技术与管理,2014,31(12):121-123.

[4] 李贺华.基于云计算机系统的实训平台研究与实现[J].实验技术与管理,2015,32(3):157-160,202.

[5] 李磊,李小宁,金连文.基于Openstack的科研教学云计算平台的构建与运用[J].实验技术与管理,2014,31(6):127-133，174.

[6] 赵宏,王灵霞.高校计算机网络安全课程教学改革与实践[J].兰州文理学院学报:自然科学版,2015,29(1):113-116.

[7] 章泽昂,邬家炜.基于云计算的教育信息化平台的研究[J].中国远程教育,2010(11):66-69.

[8] 刘鹏.云计算[M].北京:电子工业出版社,2011.

[9] 王宇英,秦兴国.高校开放实验室管理模式探讨[J].教育与职业,2013(3):158-159.

[10] 周世杰,吉家成,王华.虚拟仿真实验教学中心建设与实践[J].计算机教育,2015(9):5-11.

[11] 张涛,尹孟嘉,陈晓文.信息安全实验教学的设计与研究[J].电脑与电信,2015(5):19-21.

[12] 袁新颜.基于云计算平台的虚拟实验室设计与实现探究[J].信息安全与技术,2013,4(6):80-82.

Practice on cloud-based attack and defense training and development of competition platform for information security

Ma Licui, Li Meihong, Liu Xianzhu

(School of computer and information technology, Beijing jiaotong university, Beijing 100044, China)

The main technical status of information security practice teaching is analyzed. It is proposed that the information security attack and defense training and competition platform based on the cloud, and the specific platform construction scheme is presented, at present, this system is in trial operation. This scheme changes the traditional experimental mode and management mode, and solves many current problems, such as high construction cost, inefficient-maintenance and management, low utilization of laboratory, ineffective sharing of excellent resources, moreover, this platform can encourage the students to study hard and improve the teachers’ work enthusiasm.

network information security; cloud computing; attack and defense experiment; information security competition

DOI:10.16791/j.cnki.sjg.2016.04.038

2015- 08- 12

中央高校基本科研业务费专项(2015JBM041)资助；北京交通大学实验室研究课题(15050601)资助

马李翠(1992—),女,陕西渭南,硕士研究生,主要研究方向为信息安全

E-mail：14120412@bjtu.edu.cn

黎妹红(1975—),男,湖北黄梅,博士,讲师,主要研究方向为信息安全.

E-mail：mhli1@bjtu.edu.cn

TP393

A

1002-4956(2016)4- 0138- 05