CN103701810A - 一种网络攻防实验的自动评分系统 - Google Patents
一种网络攻防实验的自动评分系统 Download PDFInfo
- Publication number
- CN103701810A CN103701810A CN201310739972.8A CN201310739972A CN103701810A CN 103701810 A CN103701810 A CN 103701810A CN 201310739972 A CN201310739972 A CN 201310739972A CN 103701810 A CN103701810 A CN 103701810A
- Authority
- CN
- China
- Prior art keywords
- packet
- server
- network
- experiment
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络攻防实验的自动评分系统,该系统是基于数据包来分析并自动评分的,其由攻击方,防御方,核心交换机,抓包服务器和评分服务器组成。本发明适用于在高校信息安全综合实训实验室中的网络攻防实验,在网络攻防双方进行完实验的时候,本系统会根据抓包服务器和评分服务器自动进行评分,判定输赢。这样不仅会对双方更加公平,同时也提高了整体实验的效率,同时也降低了对任课老师的技术要求,满足不同群体的实验需要。
Description
技术领域
本发明涉及网络信息技术领域,尤其涉及一种网络攻防实验的自动评分系统。
背景技术
随着计算机技术的发展与互联网的普及,信息安全问题日益严重,其作为一种新兴的产业,越来越受到重视,同时,在许多院校中信息安全作为一门新兴的学科,信息安全实验室的建设和推广正处于发展阶段。利用信息安全实验室进行网络攻防实验是主要的课题之一,攻防实验注重的是实验实操,而且攻击和防御的手段是多种多样的,怎么高效地判定攻防双方之间的输赢或者分数成为一个关键问题的所在。
目前在信息安全实验室中进行攻防实验,传统的评分方式是攻防双方通过对攻防操作后实验画面截图,然后写上攻击方法,最后让老师或第三方进行评分或判定输赢。
对于实操实验,传统的评分方式普遍适用,但网络攻防实验具有灵活多变的特性,不同的攻击手段可能会出现同一个实验结果,不同的防御手段也可能会出现同样的实验效果。所以,不能只根据攻防双方的截图和方法来准确地进行评分或判断。而且,人工的评分方式浪费很多时间而且对评分人员的网络攻防技术要求高,往往会造成在一个实验课时里不能给出相应的结果。
发明内容
本发明的目的是为了克服现有技术的缺陷,提供一种网络攻防实验的自动评分系统,利用网络攻击与防御的过程中产生的数据包,对其进行分析,配对等操作,从而对攻防实验中的双方进行自动评分,这样既体验公平性,也提高实操中的评分效率。
一种网络攻防实验的自动评分系统,其基于数据包来分析并自动评分的,由攻击方,防御方,核心交换机,抓包服务器和评分服务器组成。
攻击方,在网络攻防实验中的攻击者,在攻击方的PC里集成各种攻击工具。
防御方,在网络攻防实验中的防御者,在防御方的PC里集成了各种服务器,例如数据库服务器,web服务器,同时也挂载了一些具有漏洞的网站,供攻击方来攻击。
核心交换机,作为所有攻击方和防御方数据包必须经过的地方,也是抓包服务器抓包核心场所,必须保证交换机不会有掉包现场。
抓包服务器,是整个评分系统的核心,其连接在核心交换机的镜像口,让所有经过交换机的数据包能被抓到,抓包服务器对抓到的所有数据包传送到评分服务器上,让评分服务器进行评分操作。
评分服务器,根据抓包服务器传送的数据包进行分析,从而剥离出一些与入侵特征相关的标志,然后再将这些标志同现有的标准入侵数据包进行模式匹配,从而能够对相应的入侵行为进行评分。
本发明技术方案带来的有益效果:
本发明方案适用于在高校信息安全综合实训实验室中的网络攻防实验,在网络攻防双方进行完实验的时候,本系统会根据抓包服务器和评分服务器自动进行评分,判定输赢。这样不仅会对双方更加公平,同时也提高了整体实验的评分效率,同时也降低了对任课老师的技术要求,满足不同群体的实验需要。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的一种网络攻防实验的自动评分系统体系架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的一种网络攻防实验的自动评分系统,是基于数据包来分析并自动评分的,用于高校网络专业信息安全专业以及相关专业的攻防实验课程,该系统能够为高校攻防实验课程提供公平、高效的评分和判断服务,该系统由攻击方,防御方,核心交换机,抓包服务器和评分服务器组成。
攻击方,在网络攻防实验中的攻击者,在攻击方的PC里集成了很多攻击工具,例如nmap扫描器,ddos攻击工具,sniffer嗅探工具等。
防御方,在网络攻防实验中的防御者,在防御方的PC里集成了各种服务器,如数据库服务器,web服务器等,同时也挂载了一些具有漏洞的网站,供攻击方来攻击。
核心交换机,作为所有攻击方和防御方数据包必须经过的地方,也是抓包服务器抓包核心场所,必须保证交换机不会有掉包现场。
抓包服务器,是整个评分系统的核心,这服务器连接在核心交换机的镜像口,让所有经过交换机的数据包能被抓到,目前常用的抓包工具有MiniSniffer、SnifferPro、Wireshark和协议分析仪等。
除了在抓包服务器安装必要的抓包工具以外,还可以通过以下途径去进行数据包的抓取。
1、搭建网桥抓取数据包,具有两个网卡的计算机可以作为一个透明网桥进行使用。因此可以接入一个双网卡的计算机到链路中,在该技术端机中安装抓包工具,对流经该计算机的所有数据包进行抓取。网桥对IP层是完全透明的,且对数据链路层也几乎是透明的,只会产生轻微的延迟,且两个网卡也对一些广播包进行回应。
2、利用Network Tap抓取数据包,Network Tap即网络分流器,是一个可以接入到链路中的硬件设备。它有4个接口:两个连接被测链路的两端,另外两个端口输出双向数据流到安装转包工具的计算机。
抓包服务器对抓到的所有数据包传送到评分服务器上,让评分服务器进行评分操作。
评分服务器,就是根据抓包服务器传送的数据包进行分析,从而剥离出一些与入侵特征相关的标志,然后再将这些标志同现有的入侵特征(即标准入侵数据包)进行模式匹配,从而能够对相应的入侵行为进行评分。
根据目前网络攻防实验的频发程序和所掌握的入侵特征,这个基于数据包的自动评分系统能对以下几种网络攻防攻击进行自动评分:
1、SYN Flood攻击,这是当前最流行的Dos(拒绝服务工具)与DDos(分布式拒绝服务攻击)的方式之一,这是一个利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
2、Land攻击,这是一个很经典的拒绝服务攻击(Dos)手段。
3、UDP Flood攻击,各种各样的假冒攻击利用简单的TCP/IP服务。如Chargen和Echo来传送毫无用处的数据来占用所有的带宽。通过伪造与某一主机的Chargen服务之间的一次的UDP链接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽被大量的占用,从而导致拒绝服务。
4、Port scan(端口扫描),端口扫描本身并没有对被扫描的主机造成严重后果,然而通过端口扫描能够侦测出系统的漏洞,从而给攻击者进一步的入侵活动带来便利。
5、Teardrop攻击,这种被国人称为“泪滴”攻击的攻击方法是一种典型的IP碎片攻击手段。这个攻击方式利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息实现自己的攻击,由于IP分段中含有指示该分段所包含的是原包哪一段的信息,所有一些操作系统下的TCP/IP协议在收到含有重叠偏移的伪造分段时将崩溃。
本发明根据数据包特征并匹配现有数据包特征进行自动评分,其中数据包的抓取是很重要的一环,现有的抓包工具不能保证能抓取到网络攻防双方进行实验时的所有数据包,这样可能会造成评分结果有误差,如果在本发明上在加上一个截图自动匹配系统,根据攻防双方试验后的截图进行自动匹配,那样会使实验结果更加正确,评分更加合理。
以上对本发明实施例所提供的一种网络攻防实验的自动评分系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (7)
1.一种网络攻防实验的自动评分系统,其特征在于,该系统基于数据包来分析并自动评分的,由攻击方,防御方,核心交换机,抓包服务器和评分服务器组成;
攻击方,在网络攻防实验中的攻击者,在攻击方的PC里集成各种攻击工具;
防御方,在网络攻防实验中的防御者,在防御方的PC里集成了各种服务器,例如数据库服务器,web服务器,同时也挂载了一些具有漏洞的网站,供攻击方来攻击;
核心交换机,作为所有攻击方和防御方数据包必须经过的地方,也是抓包服务器抓包核心场所,必须保证交换机不会有掉包现场;
抓包服务器,是整个评分系统的核心,其连接在核心交换机的镜像口,让所有经过交换机的数据包能被抓到,抓包服务器对抓到的所有数据包传送到评分服务器上,让评分服务器进行评分操作;
评分服务器,根据抓包服务器传送的数据包进行分析,从而剥离出一些与入侵特征相关的标志,然后再将这些标志同现有的标准入侵数据包进行模式匹配,从而能够对相应的入侵行为进行评分。
2.根据权利要求1所述的系统,其特征在于,攻击工具包括nmap扫描器,ddos攻击工具,sniffer嗅探工具。
3.根据权利要求1所述的系统,其特征在于,抓包工具包括MiniSniffer、SnifferPro、Wireshark和协议分析仪。
4.根据权利要求1或3所述的系统,其特征在于,除了在抓包服务器安装必要的抓包工具以外,还能够通过搭建网桥进行数据包的抓取,具体为通过搭建网桥抓取数据包,具有两个网卡的计算机可以作为一个透明网桥进行使用,因此接入一个双网卡的计算机到链路中,在该技术端机中安装抓包工具,对流经该计算机的所有数据包进行抓取,网桥对IP层是完全透明的,且对数据链路层也几乎是透明的,只会产生轻微的延迟,且两个网卡也对一些广播包进行回应。
5.根据权利要求1或3所述的系统,其特征在于,除了在抓包服务器安装必要的抓包工具以外,还能够利用Network Tap抓取数据包,Network Tap即网络分流器,是一个可以接入到链路中的硬件设备,它有4个接口:两个连接被测链路的两端,另外两个端口输出双向数据流到安装转包工具的计算机。
6.根据权利要求1所述的系统,其特征在于,根据网络攻防实验的频发程序和所掌握的入侵特征,基于数据包的自动评分系统能对SYN Flood攻击、Land攻击、UDP Flood攻击、Port scan、Teardrop攻击进行自动评分。
7.根据权利要求1所述的系统,其特征在于,本发明还能够再加上一个截图自动匹配系统,根据攻防双方实验后的截图进行自动匹配,这样会使实验结果更加正确,评分更加合理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310739972.8A CN103701810A (zh) | 2013-12-26 | 2013-12-26 | 一种网络攻防实验的自动评分系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310739972.8A CN103701810A (zh) | 2013-12-26 | 2013-12-26 | 一种网络攻防实验的自动评分系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701810A true CN103701810A (zh) | 2014-04-02 |
Family
ID=50363207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310739972.8A Pending CN103701810A (zh) | 2013-12-26 | 2013-12-26 | 一种网络攻防实验的自动评分系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701810A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789233A (zh) * | 2016-12-16 | 2017-05-31 | 华北电力科学研究院有限责任公司 | 一种网络攻防实验平台的自动评分方法及装置 |
| CN111144172A (zh) * | 2018-11-02 | 2020-05-12 | 杭州海康威视数字技术股份有限公司 | 一种基于视频的评分方法、装置及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564536A (zh) * | 2004-03-18 | 2005-01-12 | 上海交通大学 | 基于攻防和视频组播技术的网络化交互式教学实验方法 |
| US7315801B1 (en) * | 2000-01-14 | 2008-01-01 | Secure Computing Corporation | Network security modeling system and method |
| CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
| CN103218257A (zh) * | 2013-04-28 | 2013-07-24 | 蓝盾信息安全技术股份有限公司 | 基于攻防教学实训平台上统一管理虚拟机的装置 |
-
2013
- 2013-12-26 CN CN201310739972.8A patent/CN103701810A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7315801B1 (en) * | 2000-01-14 | 2008-01-01 | Secure Computing Corporation | Network security modeling system and method |
| CN1564536A (zh) * | 2004-03-18 | 2005-01-12 | 上海交通大学 | 基于攻防和视频组播技术的网络化交互式教学实验方法 |
| CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
| CN103218257A (zh) * | 2013-04-28 | 2013-07-24 | 蓝盾信息安全技术股份有限公司 | 基于攻防教学实训平台上统一管理虚拟机的装置 |
Non-Patent Citations (3)
| Title |
|---|
| 康辰等: "基于云计算技术的网络攻防实验平台", 《西安邮电大学学报》 * |
| 张光: "网络攻击与防御仿真平台的设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
| 百度文库XIONGYI2: "蓝盾信息安全实验室建设方案", 《HTTP://WENKU.BAIDU.COM/VIEW/333A908CD0D233D4B14E69B7.HTML》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106789233A (zh) * | 2016-12-16 | 2017-05-31 | 华北电力科学研究院有限责任公司 | 一种网络攻防实验平台的自动评分方法及装置 |
| CN106789233B (zh) * | 2016-12-16 | 2020-07-24 | 华北电力科学研究院有限责任公司 | 一种网络攻防实验平台的自动评分方法及装置 |
| CN111144172A (zh) * | 2018-11-02 | 2020-05-12 | 杭州海康威视数字技术股份有限公司 | 一种基于视频的评分方法、装置及电子设备 |
| CN111144172B (zh) * | 2018-11-02 | 2023-04-18 | 杭州海康威视数字技术股份有限公司 | 一种基于视频的评分方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hellemons et al. | SSHCure: a flow-based SSH intrusion detection system | |
| CN106034056B (zh) | 一种业务安全分析的方法和系统 | |
| Bhuyan et al. | Towards Generating Real-life Datasets for Network Intrusion Detection. | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| CN108111482A (zh) | 一种智能电网工业控制网络安全测试系统和测试方法 | |
| CN103916384A (zh) | 一种面向gap隔离交换设备的渗透测试方法 | |
| Santos | Network Security with NetFlow and IPFIX: Big Data Analytics for Information Security | |
| Matoušek et al. | Flow based monitoring of ICS communication in the smart grid | |
| CN104219221A (zh) | 一种网络安全流量生成方法和系统 | |
| CN103701810A (zh) | 一种网络攻防实验的自动评分系统 | |
| CN108881315A (zh) | 一种基于nfv的检测和恢复双lsa攻击ospf协议的方法及系统 | |
| Kumar et al. | Traffic forensics for ipv6-based wireless sensor networks and the internet of things | |
| Wang et al. | DDoS attacks traffic and Flash Crowds traffic simulation with a hardware test center platform | |
| Rajam et al. | A novel traceback algorithm for DDoS attack with marking scheme for online system | |
| Fukuda et al. | Correlation among piecewise unwanted traffic time series | |
| Ghasabi et al. | Using optimized statistical distances to confront distributed denial of service attacks in software defined networks | |
| CN102025739B (zh) | 基于主机行为的多维度协议识别方法 | |
| CN110366170A (zh) | 一种基于软件定义安全的无线网络安全防御办法 | |
| Winter | Measuring and circumventing Internet censorship | |
| Hove | Automated DDoS Attack Fingerprinting by Mimicking the Actions of a Network Operator | |
| Vizvary | Mitigation of DDoS attacks in software defined networks | |
| Liu et al. | Extendable ICS honeypot design with modbus/TCP | |
| Odoni | Design and Implementation of a Distributed Denial-of-Service Data Simulator | |
| Falter | Emulator for Distributed DDoS Datasets (EDDD) | |
| Miao et al. | Extracting Internet Background Radiation from raw traffic using greynet |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140402 |