CN111935176A

CN111935176A - 网络安全ctf竞赛的防作弊系统与方法

Info

Publication number: CN111935176A
Application number: CN202010984461.2A
Authority: CN
Inventors: 程能杰; 谢峥; 高庆官; 唐海均; 王国伟; 高丽彪; 王鹏
Original assignee: Nanjing Cyber Peace Technology Co Ltd
Current assignee: Nanjing Cyber Peace Technology Co Ltd
Priority date: 2020-09-18
Filing date: 2020-09-18
Publication date: 2020-11-13
Anticipated expiration: 2040-09-18
Also published as: CN111935176B

Abstract

本发明公开了一种网络安全CTF竞赛的防作弊系统与方法，该系统主要包括CTF试卷模块、赛题管理模块、操作机管理模块、Flag会话模块以及Flag安全模块。CTF试卷模块用于合成竞赛试卷，并为所有赛题生成Flag；赛题管理模块，用于生成赛题环境并写入Flag；操作机管理模块用于为参赛队员生成连接赛题环境的参赛操作机；Flag会话模块用于保存会话有效期内的会话记录；Flag安全模块用于对截取的报文进行安全Flag信息替换；CTF试卷模块根据Flag会话记录进行是否作弊或存在异常的判断。本发明能够提升竞赛平台的安全性，以及平台对作弊行为的抵抗能力与检测能力，并能够适用于各类协议访问赛题的应用场景。

Description

网络安全CTF竞赛的防作弊系统与方法

技术领域

本发明涉及一种网络安全CTF竞赛的防作弊系统与方法，属于网络技术领域。

背景技术

CTF中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今已经成为全球范围网络安全圈流行的竞赛形式。在CTF竞赛中参赛队伍通过现场网络参与，以解决网络安全技术挑战题目的分值和时间来排名，参赛队伍从主办方给出的比赛环境中得到一串具有一定格式的字符串Flag，并将其提交给主办方从而夺得分数。

CTF竞赛的部署图如图1所示，参赛队伍通过实体交换机接入CTF竞赛平台网络，CTF竞赛平台由控制节点和CTF赛题节点组成，控制节点的CTF试卷模块负责生成竞赛的试卷及赛题Flag，同时支持校验参赛队员提交的赛题Flag以更新队伍得分及排名情况，赛题控制模块根据试卷创建虚拟机搭建赛题环境并写入赛题Flag，参赛队员连接赛题虚拟机通过技术手段获取赛题Flag以获取得分。现有网络安全CTF竞赛流程主要包括：录入参赛队伍信息生成参赛队员账户，生成竞赛试卷，根据竞赛试卷生成赛题环境，将赛题Flag导入赛题环境，参赛队员登录CTF竞赛平台获取竞赛试卷，参赛队员连接赛题环境获取赛题Flag，参赛队员提交赛题Flag，更新队伍分数及排名。由于固定赛题Flag不易保密，竞赛现场没有参赛队伍之间没有空间隔离，参赛队伍获取的赛题Flag容易泄露且被其他队伍提交得分，且没有有效的监控手段发现作弊行为及对作弊行为进行取证，所以现有流程中存在作弊行为容易发生，作弊行为很难被发现的问题。

为克服固定赛题Flag不易保密的问题，中国发明专利申请CN201810412456.7公开了一种基于透明代理生成CTF动态Flag的方法，通过在用户浏览器种植用户唯一Token，在线竞赛平台将用户访问赛题地址引导至代理服务器，代理服务器再将请求转发至赛题服务器，接收赛题服务器返回的赛题内容后，对赛题内容中的Flag采用原Flag和用户Token可逆加密后生成的新Flag进行替换；在线竞赛平台接收到用户提交的Flag后，将用户提交的Flag和原赛题Flag进行可逆加密的逆运算，并根据逆运算结果得出用户答题结果。该方案可在用户全程无感知的情况实现防作弊和日志记录，但也存在如下不足：1、所有流程强依赖于浏览器的Token，作为一种客户端手段，不可靠，容易被篡改，代理服务器无法进行有效的认证校验，与Token关联的日志作为作弊证据依据不够充分；2、依赖于Token的Flag加密算法，容易被参赛队员不断修正Token访问来暴力破解密钥信息；3、代理服务器代理所有参赛队员请求，将分散的用户访问赛题流量集中到了代理服务器；4、依赖于浏览器访问赛题，受限于浏览器作为赛题的客户端，实际应用中存在使用非HTTP协议访问赛题的应用场景。

发明内容

发明目的：针对上述现有技术存在的问题，本发明的目的在于提供一种网络安全CTF竞赛的防作弊系统与方法，以提升竞赛平台的安全性，以及竞赛平台对作弊行为的抵抗能力与检测能力。

技术方案：为实现上述发明目的，本发明所述的一种网络安全CTF竞赛的防作弊系统，包括CTF试卷模块、赛题管理模块、操作机管理模块、Flag会话模块以及Flag安全模块；

所述CTF试卷模块，用于抽取赛题组合成竞赛试卷，并为所有赛题生成对应的Flag；以及对参赛队员提交的赛题Flag进行验证；

所述赛题管理模块，用于根据竞赛试卷生成赛题环境的虚拟机并将赛题Flag写入赛题环境；

所述操作机管理模块，用于为参赛队员生成参赛操作机，并生成连接认证信息；以及记录参赛队员在参赛操作机上的所有操作；参赛队员通过参赛操作机连接赛题环境；

所述Flag会话模块，用于保存会话有效期内的Flag会话记录，Flag会话记录包括原始Flag信息、目标IP信息、安全Flag信息和最近一次更新时间；

所述Flag安全模块，用于对截取的赛题环境虚拟机发往参赛操作机的报文进行Flag信息检查，并根据Flag信息与目标IP信息查询Flag会话模块中是否存在会话有效期内的Flag会话记录，若存在则用安全Flag信息替换原始Flag信息，并更新最近一次更新时间，若不存在则对原始Flag信息补充目标IP和时间戳后进行签名及加密生成安全Flag信息，并保存Flag会话记录，用安全Flag信息替换原始Flag信息；

所述CTF试卷模块在收到提交的赛题Flag后进行解密和验签，对于验签失败的Flag直接判定Flag无效，对于验签成功的Flag，以提交的Flag信息查询Flag会话记录，如果存在匹配的Flag会话记录且匹配的目标IP为参赛队伍内队员操作机IP，则判定Flag有效；如果存在匹配的Flag会话记录但匹配的目标IP不为参赛队伍内队员操作机IP，则判定为存在作弊行为；如果不存在匹配的Flag会话记录，则判定存在异常行为。

进一步地，所述CTF试卷模块为赛题生成的原始Flag信息通过填充足够的填充数据以保证与安全Flag信息长度一致。

进一步地，通过配置CTF赛题节点上虚拟交换机内流表记录截取报文。

进一步地，生成安全Flag信息所采用的签名算法包括MD5算法、SHA256算法，加密算法包括AES算法、DES算法、RSA算法。

基于相同的发明构思，本发明所述的一种网络安全CTF竞赛的防作弊方法，包括如下步骤：

步骤1：为参赛队员在操作机节点上生成参赛操作机，并生成连接认证信息；在参赛队员连接参赛操作机后，记录参赛队员在参赛操作机上的所有操作；

步骤2：抽取赛题组合成竞赛试卷，并为所有赛题生成对应的Flag；

步骤3：根据竞赛试卷在赛题节点上生成赛题环境的虚拟机并将赛题Flag写入赛题环境；

步骤4：在参赛队员通过参赛操作机连接赛题环境时，截取赛题环境虚拟机发往参赛操作机的报文，并对截取的报文进行Flag信息检查，并根据Flag信息与目标IP信息查询是否存在会话有效期内的Flag会话记录，若存在则用安全Flag信息替换原始Flag信息，并更新最近一次更新时间，重新发送报文，若不存在则对原始Flag信息补充目标IP和时间戳后进行签名及加密生成安全Flag信息，并保存Flag会话记录，用安全Flag信息替换原始Flag信息，重新发送报文；所述Flag会话记录包括原始Flag信息、目标IP信息、安全Flag信息和最近一次更新时间；

步骤5：在收到参赛队员提交的赛题Flag后进行解密和验签，对于验签失败的Flag直接判定Flag无效，对于验签成功的Flag，以提交的Flag信息查询Flag会话记录，如果存在匹配的Flag会话记录且匹配的目标IP为参赛队伍内队员操作机IP，则判定Flag有效；如果存在匹配的Flag会话记录但匹配的目标IP不为参赛队伍内队员操作机IP，则判定为存在作弊行为；如果不存在匹配的Flag会话记录，则判定存在异常行为。

有益效果：本发明通过操作机管理模块的设计提升了竞赛平台安全性。操作机管理模块能够支持日志记录、授权控制、审计功能，提高了竞赛平台对参赛队伍行为的监控力度及控制力度，仅允许参赛操作机访问竞赛平台网络，提升了网络层次的安全性。通过Flag安全模块及Flag会话模块的设计，只需在赛题节点的虚拟交换机内实现安全Flag信息替换，对现有参赛终端及赛题环境无修改，为不同参赛队员提供隔离的安全的Flag信息，提升了竞赛平台对作弊行为的抵抗能力及检测能力，并且不限于HTTP协议使用场景，能够适用于各类协议访问赛题的应用场景。

附图说明

图1为现有网络安全CTF竞赛的部署图。

图2为本发明实施例的系统结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅只是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的其他所有实施例，都属于本发明保护的范围。

如图2所示，本发明实施例公开的一种网络安全CTF竞赛的防作弊系统，主要包括CTF试卷模块、赛题管理模块、操作机管理模块、Flag会话模块以及Flag安全模块。其中CTF试卷模块，用于抽取赛题组合成竞赛试卷，并为所有赛题生成对应的Flag；以及对参赛队员提交的赛题Flag进行验证；赛题管理模块，用于根据竞赛试卷生成赛题环境的虚拟机并将赛题Flag写入赛题环境；操作机管理模块，用于为参赛队员生成参赛操作机，并生成连接认证信息；以及记录参赛队员在参赛操作机上的所有操作；参赛队员通过参赛操作机连接赛题环境。

Flag会话模块，用于保存会话有效期内的Flag会话记录，Flag会话记录包括原始Flag信息、目标IP信息、安全Flag信息和最近一次更新时间；Flag安全模块，用于对截取的赛题环境虚拟机发往参赛操作机的报文进行Flag信息检查，并根据Flag信息与目标IP信息查询Flag会话模块中是否存在会话有效期内的Flag会话记录，若存在则用安全Flag信息替换原始Flag信息，并更新最近一次更新时间，若不存在则对原始Flag信息补充目标IP和时间戳后进行签名及加密生成安全Flag信息，并保存Flag会话记录，用安全Flag信息替换原始Flag信息。

CTF试卷模块在收到提交的赛题Flag后进行解密和验签，对于验签失败的Flag直接判定Flag无效，对于验签成功的Flag，以提交的Flag信息查询Flag会话记录，如果存在匹配的Flag会话记录且匹配的目标IP为参赛队伍内队员操作机IP，则判定Flag有效；如果存在匹配的Flag会话记录但匹配的目标IP不为参赛队伍内队员操作机IP，则判定为存在作弊行为；如果不存在匹配的Flag会话记录，则判定存在异常行为。

CTF试卷模块、赛题管理模块、操作机管理模块部署在控制节点，Flag会话模块、Flag安全模块部署在CTF赛题节点，对于本领域技术人员而言，可以对上述实施例中的模块进行自适应性地改变，如可以将它们分成多个子模块/单元。

基于相同的发明构思，本发明实施例公开的一种网络安全CTF竞赛的防作弊方法，包括如下步骤：

（1）为参赛队员在操作机节点上生成参赛操作机，并生成连接认证信息；在参赛队员连接参赛操作机后，记录参赛队员在参赛操作机上的所有操作；

（2）抽取赛题组合成竞赛试卷，并为所有赛题生成对应的Flag；

（3）根据竞赛试卷在赛题节点上生成赛题环境的虚拟机并将赛题Flag写入赛题环境；

（4）在参赛队员通过参赛操作机连接赛题环境时，截取赛题环境虚拟机发往参赛操作机的报文，并对截取的报文进行Flag信息检查，并根据Flag信息与目标IP信息查询是否存在会话有效期内的Flag会话记录，若存在则用安全Flag信息替换原始Flag信息，并更新最近一次更新时间，重新发送报文，若不存在则对原始Flag信息补充目标IP和时间戳后进行签名及加密生成安全Flag信息，并保存Flag会话记录，用安全Flag信息替换原始Flag信息，重新发送报文；所述Flag会话记录包括原始Flag信息、目标IP信息、安全Flag信息和最近一次更新时间；

（5）在收到参赛队员提交的赛题Flag后进行解密和验签，对于验签失败的Flag直接判定Flag无效，对于验签成功的Flag，以提交的Flag信息查询Flag会话记录，如果存在匹配的Flag会话记录且匹配的目标IP为参赛队伍内队员操作机IP，则判定Flag有效；如果存在匹配的Flag会话记录但匹配的目标IP不为参赛队伍内队员操作机IP，则判定为存在作弊行为；如果不存在匹配的Flag会话记录，则判定存在异常行为。

下面结合具体网络安全CTF竞赛场景，对本发明实施例的具体应用做详细说明。采用本发明实施例的防作弊系统的网络安全CTF竞赛的流程如下：

1）录入参赛队伍信息，生成参赛队员账户。CTF竞赛平台管理员在控制节点的CTF试卷模块录入参赛队伍信息，并为所有参赛队员生成参赛账号，以便参赛队员在CTF竞赛平台提交赛题答案并更新竞赛分数排名。

2）操作机管理模块为参赛队员生成参赛操作机，并生成连接认证信息。操作机管理模块为每位参赛队员在操作机节点创建虚拟机作为参赛操作机。

3）生成竞赛试卷。CTF竞赛平台控制节点的CTF试卷模块从赛题列表中抽取竞赛赛题组合成竞赛试卷，并为所有赛题生成对应的Flag，Flag填充足够的填充数据以保证与安全Flag信息长度一致。实际应用中Flag有效信息一般为32位uuid字符串。

4）根据竞赛试卷生成赛题环境。控制节点内的赛题管理模块根据试卷赛题列表获取本地存储的赛题镜像在赛题节点生成不同赛题环境的虚拟机。

5）赛题Flag导入赛题环境。赛题控制模块将CTF试卷模块生成的赛题Flag写入对应的赛题环境。

6）配置CTF赛题节点虚拟交换机内流表记录，截取可能存在Flag信息的TCP报文（也可以是UDP等其他传输层协议报文）。实际应用中通过采用OpenVswitch组件的ovs-ofctl命令工具针对赛题节点虚拟交换机下发流表，流表包含匹配项、动作，匹配项设置为源IP为赛题节点内的IP地址、目标IP为操作机节点内IP地址等（为更精准的匹配携带Flag的TCP报文，也可以通过匹配协议类型、控制位标识等与Flag设置规则相匹配的字段），匹配所有可能包含Flag信息的TCP报文，动作设置为不转发，命令如ovs-ofctl add-flow。

7）参赛队员通过操作机管理模块连接参赛操作机。操作机管理模块记录参赛队员在操作机上的所有操作，且操作机管理模块具备身份认证、授权控制、安全审计等功能，实际应用组件如JumpServer、Guacamole等，可通过SSH协议、RDP协议等进行操作机连接登录。

8）参赛队员通过操作机登录CTF竞赛平台获取竞赛试卷。参赛队员通过参赛操作机接入CTF竞赛网络，并通过分配的参赛队员账户登录CTF试卷模块获取竞赛试卷。实际应用中CTF试卷模块开放Web服务提供参赛队员访问。

9）参赛队员通过操作机连接赛题环境获取赛题Flag。参赛队员根据试卷赛题提供的赛题环境访问地址连接赛题环境，通过各种安全技术获取赛题Flag。实际应用中赛题Flag的保存如HTTP响应头字段、HTTP响应体字段、文件内容等。

10）Flag安全模块对截取的TCP报文进行安全Flag信息替换。Flag安全模块检查TCP报文中存在于HTTP响应头、HTTP响应体、文件内容中的原始Flag信息，通过原始Flag信息与目标IP信息检索Flag会话模块查询是否存在会话有效期内的Flag会话记录（原始Flag信息、目标IP信息、安全Flag信息、最近一次更新时间）；如果存在则更新记录字段最近一次更新时间，并使用安全Flag信息替换TCP报文原始Flag信息；如果不存在则重新计算安全Flag信息，并保存Flag会话记录，用计算的安全Flag信息替换原始Flag信息。安全Flag信息的计算方式：去除Flag填充数据，补充目标IP地址、当前时间戳，进行签名及加密生成安全Flag信息。Flag会话模块会定期清理超出有效期的Flag会话记录。实际应用中Flag会话记录有效期一般为30分钟，签名算法如MD5算法、SHA256算法等，加密算法如AES算法、DES算法、RSA算法等。

11）对已替换安全Flag信息的TCP报文重新发送。实际应用中TCP报文重构发送采用Scapy工具。

12）参赛队员通过操作机提交赛题Flag，CTF试卷模块判定提交结果更新分数及排名。参赛队员将获取的赛题Flag提交到CTF试卷模块，CTF试卷模块验证赛题Flag，对赛题Flag进行解密和验签，对于验签失败的Flag直接判定Flag无效。对于验签成功的Flag，以提交的Flag信息查询Flag会话模块的Flag会话记录，如果存在匹配的Flag会话记录且匹配的目标IP为参赛队伍内队员操作机IP，则判定Flag有效，记录分数；如果存在匹配的Flag会话记录但匹配的目标IP不为参赛队伍内队员操作机IP，则判定为存在作弊行为；如果不存在匹配的Flag会话记录，则判定存在异常行为，记录分数。实际应用中Flag会话模块可通过数据库如MySQL保存Flag会话记录数据，且支持控制节点通过数据库连接直接访问Flag会话记录数据。

13）对于存在作弊行为的参赛队伍，操作机管理模块直接停止参赛队伍操作机的授权，并对操作机的操作日志及录像进行审计，平台管理员根据审计结果对参赛队伍做出作弊处理通知。

14）对于存在异常行为的参赛队伍，平台管理员对操作机的操作日志及录像进行审计，存在作弊现象的，通过操作机管理模块直接停止参赛队伍操作机授权，并做出作弊处理通知；不存在作弊现象的则不作任何处理。

Claims

1.一种网络安全CTF竞赛的防作弊系统，其特征在于，包括CTF试卷模块、赛题管理模块、操作机管理模块、Flag会话模块以及Flag安全模块；

2.根据权利要求1所述的网络安全CTF竞赛的防作弊系统，其特征在于，所述CTF试卷模块为赛题生成的原始Flag信息通过填充足够的填充数据以保证与安全Flag信息长度一致。

3.根据权利要求1所述的网络安全CTF竞赛的防作弊系统，其特征在于，通过配置CTF赛题节点上虚拟交换机内流表记录截取报文。

4.根据权利要求1所述的网络安全CTF竞赛的防作弊系统，其特征在于，生成安全Flag信息所采用的签名算法包括MD5算法、SHA256算法，加密算法包括AES算法、DES算法、RSA算法。

5.一种网络安全CTF竞赛的防作弊方法，其特征在于，包括如下步骤：