CN110855500A - 网络信息攻防竞赛下的试题出题系统及其方法 - Google Patents

网络信息攻防竞赛下的试题出题系统及其方法 Download PDF

Info

Publication number
CN110855500A
CN110855500A CN201911145135.6A CN201911145135A CN110855500A CN 110855500 A CN110855500 A CN 110855500A CN 201911145135 A CN201911145135 A CN 201911145135A CN 110855500 A CN110855500 A CN 110855500A
Authority
CN
China
Prior art keywords
industrial control
protocol
difficulty
network information
control protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201911145135.6A
Other languages
English (en)
Inventor
傅涛
邓勇
郑轶
王力
王路路
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bozhi Safety Technology Co Ltd
Original Assignee
Bozhi Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bozhi Safety Technology Co Ltd filed Critical Bozhi Safety Technology Co Ltd
Priority to CN201911145135.6A priority Critical patent/CN110855500A/zh
Publication of CN110855500A publication Critical patent/CN110855500A/zh
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09BEDUCATIONAL OR DEMONSTRATION APPLIANCES; APPLIANCES FOR TEACHING, OR COMMUNICATING WITH, THE BLIND, DEAF OR MUTE; MODELS; PLANETARIA; GLOBES; MAPS; DIAGRAMS
    • G09B7/00Electrically-operated teaching apparatus or devices working with questions and answers
    • G09B7/02Electrically-operated teaching apparatus or devices working with questions and answers of the type wherein the student is expected to construct an answer to the question which is presented or wherein the machine gives an answer to the question presented by a student
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Educational Technology (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种网络信息攻防竞赛下的试题出题系统及其方法,包括判断模块、数据篡改模块和难度增设模块。所述判断模块用于通过工业控制环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量。所述数据篡改模块用于通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改。所述难度增设模块用于通过设置多层管卡进行试题难度的增加。结合其它结构或方法有效避免了现有技术中工控协议流量类解题赛试题种类不丰富、比赛试题不符合工控生产环境或工艺流程被攻击等情景、大量重复类原题出现、未对流量报文进行过修改、题目难度不大、关卡较少以及容易被快速解出的缺陷。

Description

网络信息攻防竞赛下的试题出题系统及其方法
技术领域
本发明涉及计算机安全网络技术领域,具体涉及一种网络信息攻防竞赛下的试题出题系统及其方法,尤其涉及一种网络攻防竞赛工控协议流量类试题的出题系统及其方法。
背景技术
在现场总线技术的基础上发展了工控网络,也就是工业控制网络,它是用具有数字通信能力并能大量分散在生产现场的测量控制仪表作为网络节点而构成的。工控网络具有很高的公开性,对于通信协议的要求也很高。它的运作主要是把现场的设备之间的信息可以自由交流,这样就更容易完成控制系统的任务,完成速度更快,与工业控制网络相比,现场总线就不能很好地完成这个任务。近年来,工控网络安全作为一门新兴热门行业引起了不少人的关注,为了培养更多的工控安全人才,各种层次的工业信息安全竞赛不断的涌现,但是均存在如下问题。
现有技术下的针对工业控制网络的工业信息安全竞赛存在如下缺陷:
1)工控协议流量类解题赛试题种类不丰富,比赛试题不符合工控生产环境或工艺流程被攻击等情景;
2)大量重复类原题出现,未对流量报文进行过修改;
3)题目难度不大,关卡较少,容易被快速解出。
发明内容
为解决上述问题,本发明提供了一种网络信息攻防竞赛下的试题出题系统及其方法,有效避免了现有技术中工控协议流量类解题赛试题种类不丰富、比赛试题不符合工控生产环境或工艺流程被攻击等情景、大量重复类原题出现、未对流量报文进行过修改、题目难度不大、关卡较少以及容易被快速解出的缺陷。
为了克服现有技术中的不足,本发明提供了一种网络信息攻防竞赛下的试题出题系统及其方法的解决方案,具体如下:
一种网络信息攻防竞赛下的试题出题系统,包括判断模块、数据篡改模块和难度增设模块。
所述判断模块用于通过工业控制环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量。
所述数据篡改模块用于通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改。
所述难度增设模块用于通过设置多层管卡进行试题难度的增加。
所述网络信息攻防竞赛下的试题出题系统的方法,包含以下步骤:
步骤1:通过工业控制环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量;
步骤2:通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改;
步骤3:通过设置多层管卡进行试题难度的增加。
所述获取全部工控协议流量的具体方式包括:
步骤1-1:首先判断是否有历史工业协议流量报文;
步骤1-2:如果没有历史工业协议流量报文,则通过工业生产环境或工控安全靶场等相关平台获取工业协议通讯报文流量;
步骤1-3:运用wireshark软件通过协议过滤规则对工控协议报文进行过滤及保存。
所述进行数据篡改的具体方式包括:
步骤2-1:首先对工控协议流量报文中的工控协议进行分析,分析出是 modbus协议、s7common协议还是其它工控协议,并寻找相应的协议规约文档进行研究;
步骤2-2:分析黑客真实攻击工控设备场景;
步骤2-3:对正常写功能码的范围值,修改成不符合协议规约或者超出正常范围值。
所述通过设置多层管卡进行试题难度的增加的方法包括:
对flag的字符串进行通用算法加密,增加获取flag字符串难度;
或者根据每个工控协议都有对应的端口,通过数据包生成器对协议通用端口修改成其它端口;
或者通过数据包生成工具,将其它工控协议正常业务流程流量报文与之前通过数据包生成工具修改过的工控协议报文进行合并。
本发明的有益效果为:
1)通过结合协议规约文档和工艺生产流程,使得试题种类更为丰富,比赛用试题更符合实际工控生产环境或工艺生产流程的需要,由此就解决了试题种类不丰富,比赛试题不符合实际工控生产环境或工艺生产流程的缺陷。
2)通过工具对流量数据包进行篡改,解决了每次都去从真实设备抓取流量,而导致进行题目编制进度缓慢的问题。
3)通过设置多层关卡,以此就能增大题目难度。
附图说明
图1为本发明的网络信息攻防竞赛下的试题出题系统的方法的流程图。
具体实施方式
由于传统网络攻防竞赛协议流量类解题赛试题出题方式未结合真实生产工艺流流程,题目关卡较少,难度不大等问题
要解决以上所有问题,就亟需提出一种网络攻防竞赛工控协议流量类的试题出题系统及其方法。
从现有的工控协议流量类解题赛题目来看,部分比赛采用相同的原题, flag答案也未修改、题目较为简单、以及出的题目与工业环境或工控生产工艺流程不符合等问题。
因此本发明提供的网络信息攻防竞赛下的试题出题系统及其方法。该系统和方法结合工控生产工艺流程,最大程度上模拟黑客攻击工控网络或设备的情景。
下面将结合附图和实施例对本发明做进一步地说明。
如图1所示,网络信息攻防竞赛下的试题出题系统,包括判断模块、数据篡改模块和难度增设模块。所述判断模块用于通过工业控制环境,比如真实生产环境或者工控靶场环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量。所述数据篡改模块用于通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改。所述难度增设模块用于通过设置多层管卡进行试题难度的增加。
所述网络信息攻防竞赛下的试题出题系统的方法,主要通过流量数据包抓取、利用工具对数据包修改等方式进行出题。该方法解决了如下问题:1)通过结合协议规约文档和工艺生产流程,解决试题种类不丰富,比赛试题不符合实际工控生产环境或工艺生产流程。2)通过工具对流量数据包进行篡改,解决每次都去从真实设备抓取流量,进行题目编制进度缓慢问题。3)通过设置多层关卡,增大题目难度;该方法包含以下步骤:
步骤1:通过工业控制环境,比如真实生产环境或者工控靶场环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量;
步骤2:通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改;
步骤3:通过设置多层管卡进行试题难度的增加。
这样的方法,就能做到:
(1)工控协议流量类解题赛试题种类丰富,比赛试题符合工控生产环境或工艺流程被攻击等真实情景。
(2)采用工具直接对历史工艺生产环境的数据流量报文、数据报文通信时间进行修改,避免每次题库都用同样流量报文,达到快速出题的效果。
(3)通过多层管卡机制,增大比赛试题难度。
所述获取全部工控协议流量的具体方式包括:
步骤1-1:首先判断是否有历史工业协议流量报文;
步骤1-2:如果没有历史工业协议流量报文,则通过工业生产环境或工控安全靶场等相关平台获取工业协议通讯报文流量;
步骤1-3:运用wireshark软件通过协议过滤规则对工控协议报文进行过滤及保存,比如输入s7comm、modbus等关键字,并进行pcap文件保存。
所述进行数据篡改的具体方式包括:
步骤2-1:首先对工控协议流量报文中的工控协议进行分析,分析出是modbus协议、s7common协议还是其它工控协议,并寻找相应的协议规约文档进行研究;
步骤2-2:分析黑客真实攻击工控设备场景,比如寻找启停plc工控设备攻击、强制写寄存器等攻击的数据报文功能码等关键报文位置;
步骤2-3:对正常写功能码的范围值,修改成不符合协议规约或者超出正常范围值,设置的值应该是异常奇怪的字符串作为解题赛flag。
所述通过设置多层管卡进行试题难度的增加的方法包括:
对flag的字符串进行通用算法加密,增加获取flag字符串难度;
或者根据每个工控协议都有对应的端口,比如modbud协议对应502端口、S7common协议对应102端口、ehternetip协议对应44818端口等。可以通过数据包生成器对协议通用端口修改成其它端口,增加解题难度;
或者可以通过数据包生成工具,将其它工控协议正常业务流程流量报文与之前通过数据包生成工具修改过的工控协议报文进行合并,增加解题难度。
这样,就能:
1)通过结合协议规约文档和工艺生产流程,解决试题种类不丰富,比赛试题不符合实际工控生产环境或工艺生产流程。
2)通过工具对流量数据包进行篡改,解决每次都去从真实设备抓取流量,进行题目编制进度缓慢问题。
3)通过设置多层关卡,增大题目难度。
该发明的方法。此方法主要分为工业流量数据报文获取、工控协议数据报文修改、工控试题关卡设置等步骤;其解决了传统技术中出现的比赛试题与真实工艺环境或流程不符合、比赛试题关卡较少,容易被快速解出、未对数据报文及flag值进行修改,导致原题再现等问题
以上以用实施例说明的方式对本发明作了描述,本领域的技术人员应当理解,本公开不限于以上描述的实施例,在不偏离本发明的范围的情况下,可以做出各种变化、改变和替换。

Claims (8)

1.一种网络信息攻防竞赛下的试题出题系统,其特征在于,包括判断模块、数据篡改模块和难度增设模块。
2.根据权利要求1所述的网络信息攻防竞赛下的试题出题系统,其特征在于,所述判断模块用于通过工业控制环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量。
3.根据权利要求1所述的网络信息攻防竞赛下的试题出题系统,其特征在于,所述数据篡改模块用于通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改。
4.根据权利要求1所述的网络信息攻防竞赛下的试题出题系统,其特征在于,所述难度增设模块用于通过设置多层管卡进行试题难度的增加。
5.一种网络信息攻防竞赛下的试题出题系统的方法,其特征在于,包含以下步骤:
步骤1:通过工业控制环境,对工艺流程中的工控协议通信报文进行抓包,获取全部工控协议流量;
步骤2:通过数据包生成器,根据真实工控生产环境中容易被黑客利用协议漏洞的关键报文进行数据篡改;
步骤3:通过设置多层管卡进行试题难度的增加。
6.根据权利要求5所述的网络信息攻防竞赛下的试题出题系统的方法,其特征在于,所述获取全部工控协议流量的具体方式包括:
步骤1-1:首先判断是否有历史工业协议流量报文;
步骤1-2:如果没有历史工业协议流量报文,则通过工业生产环境或工控安全靶场等相关平台获取工业协议通讯报文流量;
步骤1-3:运用wireshark软件通过协议过滤规则对工控协议报文进行过滤及保存。
7.根据权利要求5所述的网络信息攻防竞赛下的试题出题系统的方法,其特征在于,所述进行数据篡改的具体方式包括:
步骤2-1:首先对工控协议流量报文中的工控协议进行分析,分析出是modbus协议、s7common协议还是其它工控协议,并寻找相应的协议规约文档进行研究;
步骤2-2:分析黑客真实攻击工控设备场景;
步骤2-3:对正常写功能码的范围值,修改成不符合协议规约或者超出正常范围值。
8.根据权利要求5所述的网络信息攻防竞赛下的试题出题系统的方法,其特征在于,所述通过设置多层管卡进行试题难度的增加的方法包括:
对flag的字符串进行通用算法加密,增加获取flag字符串难度;
或者根据每个工控协议都有对应的端口,通过数据包生成器对协议通用端口修改成其它端口;
或者通过数据包生成工具,将其它工控协议正常业务流程流量报文与之前通过数据包生成工具修改过的工控协议报文进行合并。
CN201911145135.6A 2019-11-21 2019-11-21 网络信息攻防竞赛下的试题出题系统及其方法 Withdrawn CN110855500A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911145135.6A CN110855500A (zh) 2019-11-21 2019-11-21 网络信息攻防竞赛下的试题出题系统及其方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911145135.6A CN110855500A (zh) 2019-11-21 2019-11-21 网络信息攻防竞赛下的试题出题系统及其方法

Publications (1)

Publication Number Publication Date
CN110855500A true CN110855500A (zh) 2020-02-28

Family

ID=69603272

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911145135.6A Withdrawn CN110855500A (zh) 2019-11-21 2019-11-21 网络信息攻防竞赛下的试题出题系统及其方法

Country Status (1)

Country Link
CN (1) CN110855500A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040268322A1 (en) * 2001-11-26 2004-12-30 Chow Stanley T. Secure method and system for computer protection
CN104537924A (zh) * 2015-01-26 2015-04-22 中国科学技术大学 一种基于云平台的信息安全攻防教学系统
CN105245403A (zh) * 2015-10-27 2016-01-13 国网智能电网研究院 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法
CN105282170A (zh) * 2015-11-04 2016-01-27 国网山东省电力公司电力科学研究院 一种适应于电力行业的信息安全攻防演练比赛系统
CN109543933A (zh) * 2018-10-08 2019-03-29 中国科学院信息工程研究所 一种网安人员技能测评系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040268322A1 (en) * 2001-11-26 2004-12-30 Chow Stanley T. Secure method and system for computer protection
CN104537924A (zh) * 2015-01-26 2015-04-22 中国科学技术大学 一种基于云平台的信息安全攻防教学系统
CN105245403A (zh) * 2015-10-27 2016-01-13 国网智能电网研究院 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法
CN105282170A (zh) * 2015-11-04 2016-01-27 国网山东省电力公司电力科学研究院 一种适应于电力行业的信息安全攻防演练比赛系统
CN109543933A (zh) * 2018-10-08 2019-03-29 中国科学院信息工程研究所 一种网安人员技能测评系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黄君阳等: ""网络攻防竞赛平台的设计与实现"", 《现代计算机(专业版)》 *

Similar Documents

Publication Publication Date Title
KR101436874B1 (ko) 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법
CN112468347B (zh) 一种云平台的安全管理方法、装置、电子设备及存储介质
CN109525397A (zh) 一种面向sdn网络流规则安全保障的区块链及方法
Luo et al. A novel covert communication method based on bitcoin transaction
CN110933060A (zh) 一种基于流量分析的挖矿木马检测系统
CN109308421A (zh) 一种信息防篡改方法、装置、服务器和计算机存储介质
CN110381055A (zh) 医疗供应链中的rfid系统隐私保护认证协议方法
WO2021227465A1 (zh) 工控系统网络的安全防御方法及系统
CN108712369A (zh) 一种工业控制网多属性约束访问控制决策系统和方法
CN110830456A (zh) 一种基于移位寄存的计算机网络安全系统
CN101552778A (zh) 安全协议自动化检测中的攻击者模型构建方法
CN112489283A (zh) 一种基于区块链和安全多方计算的电子投票选举统计方法
CN110855500A (zh) 网络信息攻防竞赛下的试题出题系统及其方法
Xu et al. Attack identification for software-defined networking based on attack trees and extension innovation methods
Pihelgas Design and implementation of an availability scoring system for cyber defence exercises
CN107239500A (zh) 一种字符串匹配方法及系统
Riyadi et al. Real-time testing on improved data transmission security in the industrial control system
Wang et al. Security analysis of enterprise network based on stochastic game nets model
Yasinsac Dynamic analysis of security protocols
Yasinsac Detecting intrusions in security protocols
Puchkov et al. Criteria for Classification of Cyber-training and Analysis of Organizational and Technical Platforms for Their Conduct.
Liu et al. SEAG: A novel dynamic security risk assessment method for industrial control systems with consideration of social engineering
CN110611636A (zh) 一种基于大数据算法的失陷主机检测技术
CN115330265B (zh) 基于端到端的事件处理引擎系统
CN110955705B (zh) 一种堡垒机数据采集及分析方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication
WW01 Invention patent application withdrawn after publication

Application publication date: 20200228