[发明专利]一种基于Internet的在线网络安全比赛方法和系统有效
| 申请号: | 201510151275.X | 申请日: | 2015-04-01 |
| 公开(公告)号: | CN104717305B | 公开(公告)日: | 2018-03-02 |
| 发明(设计)人: | 罗端红;杨道一;李平南;李莉 | 申请(专利权)人: | 湖南合天智汇信息技术有限公司 |
| 主分类号: | H04L29/08 | 分类号: | H04L29/08;H04L29/06 |
| 代理公司: | 长沙市标致专利代理事务所(普通合伙)43218 | 代理人: | 高建华 |
| 地址: | 410205 湖南省长沙市岳*** | 国省代码: | 湖南;43 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 internet 在线 网络安全 比赛 方法 系统 | ||
1.一种基于Internet的在线网络安全比赛方法,其特征是,包括:通过web比赛平台提交包含木马的web页面的步骤;通过web比赛平台进行具体攻击的步骤;通过web比赛平台提交比赛结果的步骤;
在web比赛平台上部署一个默认web应用,提供可视化操作界面和一系列支持HTTP方式调用的接口;web比赛平台还部署一个IEProxy,专门维护一个包含所有靶机浏览器状态的数据集合;IEProxy提供查询和修改靶机浏览器状态数据的接口,以靶机的物理地址为主键,检索或者修改数据集合中对应的值;
靶机上面部署代理,调用web比赛平台上的IEProxy提供的查询靶机浏览器状态数据的接口,以靶机的物理地址为参数,扫描web比赛平台上该靶机的浏览器状态数据,从数据集合中检索并获取最新的值;靶机上面的代理根据返回的浏览器状态数据调用本地操作系统的接口;
参赛选手使用浏览器登录web比赛平台后,通过web比赛平台提供的操作界面,向web比赛平台发送消息,由web比赛平台操作比赛环境中的设备,模拟真实环境中的网络结构和攻防操作;包括以下具体流程:
步骤1:上传包含木马的web页面到web比赛平台;
步骤2:web比赛平台以ftp方式上传文件,将提交的web页面保存到web服务器上web默认应用的根目录下;
步骤3:web比赛平台以ftp方式获取并返回web服务器默认应用的根目录下的全部文件名称列表;
步骤4:web比赛平台展示步骤3返回的文件名称列表;
步骤5:通过HTTP方式向web比赛平台发送打开靶机上的浏览器请求的命令,请求的参数中包括靶机的物理地址;
步骤6:修改web比赛平台中的靶机浏览器状态数据集合:
步骤7:靶机扫描web比赛平台,获取靶机的浏览器状态数据:
步骤8:web服务器向靶机返回靶机表示打开浏览器状态的数据结果;
步骤9:靶机上面部署的代理根据返回的最新靶机浏览器状态数据结果进行操作,当状态数据为打开状态时,调用本地操作系统的接口,打开靶机上的浏览器,默认访问web服务器上的步骤1上传的web页面;
步骤10:web服务器向靶机返回步骤1上传的web页面,该web页面包含木马程序;
步骤11:靶机上的浏览器解析web页面的代码并执行,运行木马程序;
步骤12:木马程序执行成功,完成比赛指定的攻击任务;如果木马程序执行失败,比赛任务未完成,参赛选手发送关闭浏览器的请求,web比赛平台修改靶机状态的数据集合中对应的值为关闭浏览器,靶机上的代理扫描数据集合中的值,调用本地操作系统的接口,关闭靶机上的浏览器,然后修改web页面代码,重复以上步骤1-步骤12的操作流程,直至木马程序执行成功,然后继续下面的步骤;
步骤13:web比赛平台通过ftp方式获取web服务器上默认应用根目录下的全部文件名称列表;
步骤14:展示web比赛平台在步骤13获取的全部文件名称列表;
步骤15:通过HTTP方式向web比赛平台发送下载文件的命令;
步骤16:web比赛平台向web服务器发送下载文件的命令;
步骤17:web比赛平台通过ftp方式获取指定的文件;
步骤18:保存文件到本地;
步骤19:提交文件中的验证码到web比赛平台;所述验证码包含靶机的物理地址、IP地址和时间信息,并已进行加密处理;
步骤20:web比赛平台对提交的验证码进行解密,和靶机的配置信息进行比较,校验是否正确,并使用评分算法对本次攻击进行评分;
步骤21:验证码校验正确,本次攻击任务完成,提示提交成功以及攻击此靶机获得的分数;
以上步骤中,步骤1至4为通过web比赛平台提交包含木马的web页面的步骤;步骤5至14为通过web比赛平台进行具体攻击的步骤;步骤15至21为通过web比赛平台提交比赛结果的步骤。
2.根据权利要求1所述的基于Internet的在线网络安全比赛方法,其特征是,所述数据集合是静态型的数据类型,整个web比赛平台全局统一,数据集合以靶机的物理地址作为主键,靶机的状态作为值。
3.根据权利要求1所述的基于Internet的在线网络安全比赛方法,其特征是,所述比赛环境中的设备包括网络和虚拟机。
4.根据权利要求1所述的基于Internet的在线网络安全比赛方法,其特征是,在步骤6中,web比赛平台调用IEProxy应用提供的修改靶机浏览器状态数据的接口,IEProxy接收用户调用接口的请求,以接收到的用户靶机的物理地址 为关键字,查找并修改靶机浏览器状态数据集合中对应的值为打开状态;
在步骤7中,靶机上面部署的代理调用web比赛平台中IEProxy提供的查询靶机浏览器状态数据的接口,以靶机的物理地址为参数,扫描web比赛平台上的靶机浏览器状态数据,从数据集合中检索并获取最新的状态数据;
在步骤20中,评分算法因子包括:自步骤1至步骤20所消耗的时间、查看比赛帮助信息的次数。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于湖南合天智汇信息技术有限公司,未经湖南合天智汇信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510151275.X/1.html,转载请声明来源钻瓜专利网。
