网络攻防实战教学系统的设计与实现

周　敏

(重庆理工大学 计算机科学与工程学院, 重庆　400054)



网络攻防实战教学系统的设计与实现

周敏

(重庆理工大学 计算机科学与工程学院, 重庆400054)

为解决网络攻防实验的环境难以维护、实验的真实性较差等问题,设计了一个专业的网络攻防实战教学系统。系统采用真实的网络安全设备搭建典型的网络攻防环境,提供了网络攻防技能训练和渗透测试的实战平台。硬件平台主要有管理控制设备、实验靶机、访问控制及网络交换设备；软件平台由基础考核系统、技能训练系统、渗透测试系统和管理系统组成。该系统性能稳定,能够很好地满足教学和科研的需求。

网络攻击实验； 网络安全； 实验平台

计算机网络安全课程是信息安全及其相关专业的核心课程,其主要特点是实践性强。目前,高校开设的网络安全课程主要包括入侵检测、防火墙、网络攻击与防护、网络应用服务安全等内容[1-2]。网络攻击与防护是其中综合性与实践性最强的教学内容,学生要掌握好这部分内容,光靠课堂学习远远不够,必须依靠一系列实际操作来加深理解。只有通过综合性的网络攻防实验,将零散的知识运用到实际的攻防案例当中,才能得到较好的网络安全课程教学效果。因此,设计一个专业的网络攻防实战教学系统是十分必要的[3-5]。

本文根据网络攻击与防御知识在真实网络环境中的应用及其特点,设计了一个专业性、综合性的网络攻防实战系统,为学生提供全面、系统的网络攻防原理学习和技能测试的平台,可以显著提高学生的网络攻防和综合渗透测试能力[6-12]。

1　系统设计

网络攻防实战教学系统参考了《信息安全专业指导性专业规范》中的知识体系与实践能力要求,分析了网络安全管理、渗透测试、信息安全等实际工作岗位的专业技能要求,提供全方位的信息安全知识考核、攻防技术训练、真实网络环境的渗透实验等实训环境。实战系统的框架图如图1所示。

图1　实践系统框架图

1.1系统结构

网络攻防实战教学系统采用真实的网络安全设备、搭建典型的网络攻防环境,系统主要分为服务区和客户区两部分。服务区主要放置管理控制设备、靶机服务设备以及网络安全设备等与系统相关的硬件设备,为系统提供硬件支撑环境；客户区主要是用户操作区,用户可以通过访问管理控制设备来获取实验题目、在线实验操作并提交答案。系统的逻辑结构图如图2所示。3台靶机分别运行不同的服务；防火墙对每个不同的靶机使用不同的规则；管理控制设备为系统提供硬件支撑和实操环境；防火墙确保系统的安全。

图2　实践系统逻辑结构图

1.2系统功能

网络攻防实战系统最主要的功能有:

(1) 提供信息安全基础知识训练库和攻防技术训练库,培养学生的攻防技能及其综合运用能力；

(2) 通过对防火墙的规则配置和不同网络区域的靶机,提供一个典型的企业网络环境,并且可以利用其他的网络安全设备进行环境的扩充,满足对学生渗透能力的培养；

(3) 可以不断添加新的实验内容、针对不同的需求搭建不同的渗透测试环境,以适应网络安全技术的不断发展；

(4) 系统提供题库管理和实验内容管理等多种可扩展的接口,可以方便地添加实验、支持二次开发；

(5) 系统不但可以满足网络安全相关课程的课程设计、实验教学、考核以及综合实训,还可以支持各种网络安全技能大赛。

1.3系统的硬件组成

网络攻防实战教学系统主要由硬件系统和软件系统两部分组成,对不同的网络区域提供了对应的靶机供实验使用,为网络攻防实验教学提供必要的网络环境,同时还提供考核系统和管理系统。

网络攻防实战系统的硬件平台主要包括实验管理控制设备、实验铜牌靶机、实验银牌靶机、实验金牌靶机、实验访问控制设备及网络交换设备,组建一个典型的企业网络环境，并且可以与入侵防御和安全审计等网络安全设备相结合,构建更加复杂的企业网络环境,从而实现攻防实验环境的扩展。

(1) 实验管理控制设备。实验管理控制设备是高可靠性的硬件设备,为实验系统提供软、硬件支撑平台和后台服务支持,同时提供实验数据的统一存储、在线服务和在线答题、后台管理等系统功能。

(2) 实验靶机。实验铜牌靶机模拟防火墙的DMZ系统,内置了电子商务系统等攻防过关文件和设备的权限；实验银牌靶机模拟防火墙的内网区系统,内置了Web系统的过关文件与设备权限；实验金牌靶机模拟防火墙的内网区系统,内置了Linux系统过关文件及设备权限。实验铜牌靶机、实验银牌靶机和实验金牌靶机都提供可以定制的虚拟攻击目标、对应的攻防所需权限及漏洞(用来进行扫描、渗透),模拟了真实的网络环境,用交互方式来体现网络攻防的实验过程。

(3) 实验访问控制设备。主要实现对网络攻击与防御实验环境的网络拓扑划分,制定相应的访问控制策略来实现对管理控制设备和金、银、铜牌实验靶机的区域划分和保护。

(4) 网络交换设备。为用户提供接入系统服务区的能力,为系统各个硬件平台提供快速通信支持。

1.4系统的软件组成

网络攻防实战教学系统的软件平台主要由实验的基础考核系统、技能训练系统、渗透测试系统和管理系统等组成,构建了网络攻防的技能训练和渗透测试的综合管理平台,为实验系统训练和考核提供软件支持。

(1) 实验基础考核系统。提供网络攻防知识题库、配套的答题系统(对在线考核的答题进行实时评分)、配套的题库管理模块(对题库进行增、删、改等管理操作)。

(2) 实验技能训练系统。涉及常用的网络攻防技术(包括密码破解、Cookie注入、缓冲区溢出、SQL注入、欺骗技术、逆向工程等),训练学生利用相关工具或手动进行攻防的实验能力。

(3) 实验渗透测试系统。用系统配套的硬件设备和软件系统搭建一个真实的网络环境,帮助学生掌握真实网络环境中的攻防技术(如注入、社会工程学等)。系统可以根据难易程度设置渗透目标、根据前面渗透的结果得到后续渗透目标的有关信息,并提供在线提交渗透结果的接口,及时统计、验证渗透测试的成绩。学生可以根据渗透测试的目的自主设计渗透实验项目、进行有关部署,系统可以在渗透测试后快速还原。

(4) 实验管理系统。它为网络攻防实验提供一系列服务支持(包括系统访问控制、题目管理、比赛统计、团队管理、公告管理、留言反馈等模块),可以利用实验管理系统进行在线答题、积分排名、团队注册、在线反馈等操作,实现网络攻防实验的在线管理。

2　实验项目

网络安全及其相关课程具有实践性强的特点,如果没有真实的网络环境、案例的支撑,只能了解网络攻防的一些独立、简单的工具和方法,很难真正培养学生的学习兴趣和综合实践能力。网络攻防实战教学系统提供真实的网络环境和渗透测试项目,可以全面培养学生的网络攻防能力,涉及到的主要实验项目[3-12]如表1所示。

表1　主要实验项目表

3　系统测试

3.1测试环境

(1) 硬件要求:实验用户PC机CPU是P4 2.0 GHz以上,内存大于512 MB、10 MB/100 MB网卡；

(2) 软件要求:实验用户PC机安装主流操作系统及应用软件、IE等浏览器；

(3) 网络环境:PC机通过交换机实现网络连通；

(4) 系统配置:实验管理控制设备、金牌/银牌/铜牌靶机、网络交换设备、实验系统(基础考核、技能训练、渗透测试)和实验管理系统各一套。

3.2实验案例

在实验案例中,需要用到日志分析、Web漏洞攻击知识,用户通过日志来分析攻击者怎样通过Web漏洞攻击系统，找到攻击者的IP。首先,找到存在漏洞的页面,分析攻击者的攻击方法；然后,按照攻击者的思路来定位关键文件、根据下载的代码包找到对应的页面和过关KEY；最后,提交找到的过关KEY。

通过对网络攻防实战教学系统的所有功能模块、所有攻防项目等的测试和长达2年的教学实践检验,证明该系统运行稳定,达到了预期的效果。

4　结语

网络攻防实战教学系统可以适应计算机网络技术的发展、满足不同层次的教学和实验要求,能提供全面和真实的网络攻击与防护实训环境,没有实验步骤、工具和实验方式的限制。学生能够通过由浅入深的一系列实验,掌握网络攻击与防护的有关知识和操作技能,既能提高学生的学习兴趣,又能全面、系统地提升学生的网络攻防综合实战能力,提升实践教学水平。另外,还可以以该网络攻防实战教学系统为依托,方便地组织校内外信息安全技术竞赛。

References)

[1] 武晓飞.网络攻防技术[M].北京:清华大学出版社,2014.

[2] 赖小卿,杨育斌,李强,等.网络攻防技术实训教程[M].北京:清华大学出版社,2014.

[3] 张梁斌，俞华丰，高昆.单机环境中网络攻防实战演练平台的设计与研究 [J].实验技术与管理,2014,31(10):144-147.

[4] 崔阳华.基于Openstack的网络攻防实验平台设计与实现[J].山东工业技术,2015(4):130.

[5] 洪家军,周原.基于vSphere的网络攻防虚拟实验平台建设与实践[J].榆林学院学报,2015(2):41-45.

[6] 康辰,朱志祥.基于云计算技术的网络攻防实验平台[J].西安邮电大学学报,2013,18(3):87-91.

[7] 何增颖.基于虚拟机的入侵检测实验设计[J].实验技术与管理.2011,28(1):84-87.

[8] 董辉,马建.基于虚拟蜜网的网络攻防实验平台的构建[J].齐齐哈尔大学学报:自然科学版,2012,28(2):67-72.

[9] 孔轶艳.网络攻防模拟实验平台的设计与实现[J].通信技术,2012(11):37-39,43.

[10] 徐川,唐建,唐红.网络攻防对抗虚拟实验系统的设计与实现[J].计算机工程与设计,2011(4):1268-1271.

[11] 谢慧,邵玮,聂峰.基于B/S架构的远程网络攻防实验室的研究与开发[J].天津理工大学学报，2012,28(6):44-47.

[12] 潘丽敏,罗森林,柯萌.网络动态攻防实践平台研制[J].实验技术与管理,2012,29(9):89-92.

DOI:10.16791/j.cnki.sjg.2016.06.044

Design and realization of network attack and defense actual combat teaching system

Zhou Min

(School of Computer Science and Engineering, Chongqing University of Technology, Chongqing 400054, China)

In order to solve the problems that the experimental environment of network attack and defense is difficult to be maintained and the authenticity of experiments is bad, a professional network attack and defense combat teaching system is designed. The real network security equipment is adopted to build typical network attack and defense environment, actual combat platform which can be used to the network attack and defense skill training, and the penetration testing is provided also. Hardware platform mainly includes control equipment, experiment target, access control equipment and network exchange equipment.Software platform includes the basic experiment inspection system, skills training system, penetration testing system, management system, etc.The system performance is stable, and it can meet the requirements of teaching and research well.

network attack experiment; network security; experimental platform

DOI:10.16791/j.cnki.sjg.2016.06.039

2015-12-01

2014国家社科基金项目(14BTQ053)；全国高等学校计算机教育研究会项目(ER2014016)

周敏(1971—),女,湖南祁东,硕士,讲师,主要研究方向为信息安全.

E-mail：zhoumin@cqut.edu.cn

TP391.9

A

1002-4956(2016)6-0154-03