[发明专利]一种基于Internet的在线网络安全比赛方法和系统

摘要

本发明公开了一种基于Internet的在线网络安全比赛方法和系统。基于Internet的在线网络安全比赛系统，包括web服务器、web比赛平台、靶机，所述靶机上面部署代理；所述web服务器为兼具ftp服务器功能的服务器；所述web比赛平台包括部署在web比赛平台的默认web应用、部署在web比赛平台的IEProxy。用户使用浏览器登录比赛平台后，通过比赛平台提供的操作界面，向比赛平台发送消息，由比赛平台操作比赛环境中的网络和虚拟机等设备，模拟真实环境中的网络结构和攻防操作。本发明具有如下优点提供保证比赛公平性的机制，负载均衡，能支持大量用户同时在线比赛。

主权项

一种基于Internet的在线网络安全比赛方法，其特征是，包括：通过web比赛平台提交包含木马的web页面的步骤；通过web比赛平台进行具体攻击的步骤；通过web比赛平台提交比赛结果的步骤；在web比赛平台上部署一个默认web应用，提供可视化操作界面和一系列支持HTTP方式调用的接口；web比赛平台还部署一个IEProxy，专门维护一个包含所有靶机浏览器状态的数据集合；IEProxy提供查询和修改靶机浏览器状态数据的接口，以靶机的物理地址为主键，检索或者修改数据集合中对应的值；靶机上面部署代理，调用web比赛平台上的IEProxy提供的查询靶机浏览器状态数据的接口，以靶机的物理地址为参数，扫描web比赛平台上该靶机的浏览器状态数据，从数据集合中检索并获取最新的值；靶机上面的代理根据返回的浏览器状态数据调用本地操作系统的接口；参赛选手使用浏览器登录web比赛平台后，通过web比赛平台提供的操作界面，向web比赛平台发送消息，由web比赛平台操作比赛环境中的设备，模拟真实环境中的网络结构和攻防操作；包括以下具体流程：步骤1：上传包含木马的web页面到web比赛平台；步骤2：web比赛平台以ftp方式上传文件，将提交的web页面保存到web服务器上web默认应用的根目录下；步骤3：web比赛平台以ftp方式获取并返回web服务器默认应用的根目录下的全部文件名称列表；步骤4：web比赛平台展示步骤3返回的文件名称列表；步骤5：通过HTTP方式向web比赛平台发送打开靶机上的浏览器请求的命令，请求的参数中包括靶机的物理地址；步骤6：修改web比赛平台中的靶机浏览器状态数据集合：步骤7：靶机扫描web比赛平台，获取靶机的浏览器状态数据：步骤8：web服务器向靶机返回靶机表示打开浏览器状态的数据结果；步骤9：靶机上面部署的代理根据返回的最新靶机浏览器状态数据结果进行操作，当状态数据为打开状态时，调用本地操作系统的接口，打开靶机上的浏览器，默认访问web服务器上的步骤1上传的web页面；步骤10：web服务器向靶机返回步骤1上传的web页面，该web页面包含木马程序；步骤11：靶机上的浏览器解析web页面的代码并执行，运行木马程序；步骤12：木马程序执行成功，完成比赛指定的攻击任务；如果木马程序执行失败，比赛任务未完成，参赛选手发送关闭浏览器的请求，web比赛平台修改靶机状态的数据集合中对应的值为关闭浏览器，靶机上的代理扫描数据集合中的值，调用本地操作系统的接口，关闭靶机上的浏览器，然后修改web页面代码，重复以上步骤1‑步骤12的操作流程，直至木马程序执行成功，然后继续下面的步骤；步骤13：web比赛平台通过ftp方式获取web服务器上默认应用根目录下的全部文件名称列表；步骤14：展示web比赛平台在步骤13获取的全部文件名称列表；步骤15：通过HTTP方式向web比赛平台发送下载文件的命令；步骤16：web比赛平台向web服务器发送下载文件的命令；步骤17：web比赛平台通过ftp方式获取指定的文件；步骤18：保存文件到本地；步骤19：提交文件中的验证码到web比赛平台；所述验证码包含靶机的物理地址、IP地址和时间信息，并已进行加密处理；步骤20：web比赛平台对提交的验证码进行解密，和靶机的配置信息进行比较，校验是否正确，并使用评分算法对本次攻击进行评分；步骤21：验证码校验正确，本次攻击任务完成，提示提交成功以及攻击此靶机获得的分数；以上步骤中，步骤1至4为通过web比赛平台提交包含木马的web页面的步骤；步骤5至14为通过web比赛平台进行具体攻击的步骤；步骤15至21为通过web比赛平台提交比赛结果的步骤。