鐘百勝

摘 要：文章根據(jù)CTF模式及網(wǎng)絡(luò)工程專業(yè)人才培養(yǎng)的特點(diǎn)，基于CTF模式網(wǎng)絡(luò)安全進(jìn)行教學(xué)改革，探索適合應(yīng)用型本科“網(wǎng)絡(luò)安全技術(shù)”的教學(xué)模式。

關(guān)鍵詞：網(wǎng)絡(luò)安全；CTF；攻防

1 現(xiàn)狀分析

奪旗競賽（Capture The Flag，CTF）模式起源于1996年DEFCON全球黑客大會，以代替之前黑客們通過互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。發(fā)展至今，已經(jīng)成為全球范圍網(wǎng)絡(luò)安全圈流行的競賽形式，2013年全球舉辦了超過50場國際性CTF賽事[1]。由此可見，CTF模式在國外的發(fā)展比國內(nèi)要早得多，隨著中國互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)安全也越來越受到政府和企業(yè)所重視，為了吸引更多對網(wǎng)絡(luò)安全有興趣的人才參與到網(wǎng)絡(luò)安全工作中來，每年都會舉辦很多網(wǎng)絡(luò)安全大賽，從市廳級到省級，從企業(yè)到政府單位舉辦的網(wǎng)絡(luò)安全攻防大賽都有共同的特點(diǎn)，那就是基于CTF奪旗模式的網(wǎng)絡(luò)攻防競賽。

網(wǎng)絡(luò)安全領(lǐng)域CTF經(jīng)常以CTF的形式舉行比賽以展示自己的網(wǎng)絡(luò)安全技能[2]，主要以3種模式構(gòu)成：解題模式、對抗模式、混合模式。通過3種模式的比賽取得最高分的參賽者為勝者，下面詳細(xì)介紹3種比賽模式是如何開展的。

1.1解題模式

一般這種模式會在決賽之前完成，首先需要建立一定數(shù)量的試題庫，題目內(nèi)容主要由網(wǎng)絡(luò)相關(guān)專業(yè)知識組成[3]，讓參賽選手通過網(wǎng)絡(luò)線上完成作答，以團(tuán)隊(duì)的形式進(jìn)行，通過這種模式可以有效保證進(jìn)入下一輪比賽模式的選手具有一定的網(wǎng)絡(luò)基礎(chǔ)，也有效保證進(jìn)入決賽的選手的能力水平。

1.2對抗模式

對抗模式在CTF比賽模式中，主要是要求參賽團(tuán)隊(duì)在特定的環(huán)境中成為攻擊手和防守，通過查找參賽隊(duì)伍的網(wǎng)絡(luò)服務(wù)器的漏洞并利用該漏洞得分，在參賽對手找到漏洞的同時(shí)對自己服務(wù)器進(jìn)行彌補(bǔ)和加固以防給其他對手進(jìn)攻的機(jī)會，進(jìn)攻和防守都可以加分，這樣的比賽會更激烈、同時(shí)比賽過程中也會有太多不確定的因素，整個(gè)比賽過程中有很強(qiáng)的競爭氣氛，也很具有觀賞性。

1.3混合模式

所謂混合模式，就是結(jié)合前面兩個(gè)模式進(jìn)行比賽，教學(xué)過程中的總評成績一樣，將解題模式的分?jǐn)?shù)與對抗模式的分?jǐn)?shù)進(jìn)行按比例整合，得到一個(gè)最終得分的成績，再根據(jù)比分高低篩選出排名靠前的隊(duì)伍進(jìn)入最后一輪的混合模式比賽。

以上3種模式在教學(xué)過程中如果能加以引用的話，教學(xué)效果將會有很大的提升.但是在教學(xué)過程中運(yùn)用CTF模式教學(xué)非常有限，主要的限制因素是開展這樣模式的教學(xué)需要特定的硬件、軟件支持，很多高校并不具備這些條件。筆者根據(jù)現(xiàn)有的條件，設(shè)計(jì)一個(gè)適合應(yīng)用型本科院校的網(wǎng)絡(luò)攻防CTF模式教學(xué)方式，為解決現(xiàn)有網(wǎng)絡(luò)攻防教學(xué)模式改革提供有用的參考。

2學(xué)情分析

本次教學(xué)改革是應(yīng)用到廣州工商學(xué)院15級、16級計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專科和網(wǎng)絡(luò)工程本科的網(wǎng)絡(luò)安全技術(shù)教學(xué)。畢竟是民辦高校，學(xué)生理論知識較差，特別是對基礎(chǔ)的知識掌握不夠，很容易導(dǎo)致在教學(xué)的過程中頭重腳輕，只注重實(shí)操，這樣的話往往學(xué)生理論知識不扎實(shí)，很難在解題模式中取得好成績，甚至無法在解題模式出線，沒有機(jī)會發(fā)揮操作能力。為了解決這一問題，團(tuán)隊(duì)除了在教學(xué)模式改革中注重實(shí)操能力提升之外，也非常注意理論知識的設(shè)計(jì)，盡量平衡學(xué)生掌握知識的能力水平。

網(wǎng)絡(luò)技術(shù)?？茖W(xué)生對技能操作能力水平可能更高一些，但是理論知識是弱項(xiàng)，特別是密碼學(xué)、網(wǎng)絡(luò)基礎(chǔ)知識方面較差，教學(xué)改革的對象選擇的是2015級的學(xué)生，這一年級的學(xué)生已經(jīng)完成了4個(gè)學(xué)期的學(xué)習(xí)，對網(wǎng)絡(luò)安全技術(shù)有一定的了解，所以選擇年級高一點(diǎn)的專科生來完成教學(xué)改革，在教學(xué)改革階段為其補(bǔ)充理論知識。本科方面，選擇2016級的學(xué)生作為試點(diǎn)教學(xué)，主要是考慮到這一年級的學(xué)生理論知識較豐富，操作能力較差，故在教學(xué)改革方面盡量加強(qiáng)其操作能力的培養(yǎng)。

3教學(xué)內(nèi)容設(shè)計(jì)

第一階段，基于CTF模式的網(wǎng)絡(luò)攻防教學(xué)設(shè)計(jì)的第一步是根據(jù)CTF模式的第一種模式：解題模式。雖然是針對網(wǎng)絡(luò)攻防課程教學(xué)改革，但并不是由一門課的任課老師組成教學(xué)改革的全部內(nèi)容，我們成員主要由“網(wǎng)絡(luò)安全技術(shù)”“Linux操作系統(tǒng)”“網(wǎng)絡(luò)操作系統(tǒng)”“網(wǎng)站二次開發(fā)”“PHP程序開發(fā)”等任課老師組成，由我們制定與網(wǎng)絡(luò)相關(guān)的試題庫，各門課程的老師在該門課程的教學(xué)中就植入解題模式，并統(tǒng)計(jì)好分?jǐn)?shù)情況，并做到公平公開的原則，讓學(xué)生及時(shí)知道自己的評分情況。此教學(xué)改革階段是面向網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)工程所有學(xué)生的，且通過這輪教學(xué)改革，學(xué)生的學(xué)習(xí)積極性明顯得到提升，單成各科成績來看，專、本科專業(yè)都比上一年級的整體成績提升30%以上。從這一方面可以看到，本階段的教學(xué)改革已經(jīng)取得了很好的效果。

第二階段，結(jié)合學(xué)生的能力情況，制定網(wǎng)絡(luò)攻防相關(guān)技能題目，本階段主要是由每個(gè)班排名前20名的同學(xué)再自由組合成3人一個(gè)隊(duì)的形式開展，主要知識涉及網(wǎng)絡(luò)數(shù)據(jù)包抓取與分析、密碼學(xué)、暴力破解、結(jié)構(gòu)化查詢語言（ StructuredQuery Language，SQL）注入、跨站腳本攻擊（Cross SiteScripting，XSS）基礎(chǔ)、代碼審計(jì)、數(shù)據(jù)恢復(fù)等。每一知識點(diǎn)出2-3道實(shí)操題，在規(guī)定時(shí)間內(nèi)（通常是48小時(shí)）完成該階段的教學(xué)內(nèi)容，以準(zhǔn)確率作為評分標(biāo)準(zhǔn)。這一階段是利用課余時(shí)間來完成的，故是由學(xué)生自愿參加的原則，在這一輪的教學(xué)改革中，超60%的學(xué)生參加這一輪的教學(xué)，雖然是以競賽的模式開展的，但完成競賽后任課老師會將這些案例進(jìn)行詳細(xì)講解，確保學(xué)生在競賽中能真正學(xué)到知識，以保證教學(xué)改革的質(zhì)量。

第三階段，本階段所有選手既是防守也是攻擊手，每一個(gè)團(tuán)隊(duì)都給予一臺配置好的Linux操作系統(tǒng)的服務(wù)器，每個(gè)隊(duì)伍需要對自己的服務(wù)器進(jìn)行加固，在規(guī)定時(shí)間內(nèi)允許滲透此輪比賽中任意服務(wù)器，評比標(biāo)準(zhǔn)通常是兩種方式：（1）獲取到對方服務(wù)器信息和資料內(nèi)容越多得分越高，（2）篡改對方網(wǎng)站，改的內(nèi)容越多得分越高。本階段的教學(xué)改革同樣也是利用課外時(shí)間來完成的，但不是由學(xué)生自愿選擇，而是通過第二階段的教學(xué)情況篩選出30個(gè)學(xué)生出來（不分專、本科）進(jìn)行攻防PK賽，競賽的同時(shí)也是教學(xué)，由我們團(tuán)隊(duì)提供網(wǎng)絡(luò)攻防工具，先讓學(xué)生自行組織加固和攻擊，然后團(tuán)隊(duì)對各項(xiàng)工具和網(wǎng)絡(luò)漏洞進(jìn)行講解，通過這樣的模式讓學(xué)生對網(wǎng)絡(luò)攻擊和防御有一定的了解和認(rèn)識。

第四階段，教學(xué)改革總結(jié)，這一階段是每完成一階段進(jìn)行階段性的總結(jié)，由各任課老師在課堂上為全體學(xué)生講解我們在教學(xué)改革中的案例，為每一個(gè)學(xué)生掌握網(wǎng)絡(luò)攻防的技能，以確保教學(xué)改革受益最大化。 最后，此次教學(xué)改革是對廣州工商學(xué)院網(wǎng)絡(luò)技術(shù)?？啤⒕W(wǎng)絡(luò)工程本科同時(shí)展開的，根據(jù)3輪比賽比分按比例進(jìn)行計(jì)算綜合評分，在2015級計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專科和2016級網(wǎng)絡(luò)工程本科通過此輪的教學(xué)改革之后，根據(jù)排名的先后各誕生一個(gè)團(tuán)隊(duì)（3人）代表學(xué)院參加省級各類網(wǎng)絡(luò)攻防比賽。

4教學(xué)效果

通過基于CTF競賽模式的教學(xué)改革，學(xué)生的各科成績都了有明顯的提升，特別是學(xué)生對網(wǎng)絡(luò)攻防有了濃厚的興趣，以往學(xué)生都不愿意參加網(wǎng)絡(luò)攻防的比賽，主要是因?yàn)榫W(wǎng)絡(luò)攻防是一件很難的事情，甚至覺得完全沒可能在比賽中取得好成績，對網(wǎng)絡(luò)攻防比賽完全沒有信心，通過這次的教學(xué)改革，同學(xué)們都非常想通過學(xué)習(xí)知識在競賽平臺檢驗(yàn)一下自己的知識積累。近一年來，我們共組織學(xué)生參加5次以上的網(wǎng)絡(luò)攻防比賽。由于通過CTF第三階段的競賽教學(xué)模式會產(chǎn)生兩個(gè)隊(duì)伍，很多比賽都不會限定名額。由于學(xué)校提供的經(jīng)費(fèi)有限，我們一般會組織兩個(gè)隊(duì)參加比賽，但是有太多學(xué)生自費(fèi)參加比賽，可見，學(xué)生的學(xué)習(xí)氛圍已經(jīng)有了很明顯的提升。

在一年中，主要組織學(xué)生參加了廣東省“中星杯”網(wǎng)絡(luò)安全攻防比賽、首屆“紅帽杯”網(wǎng)絡(luò)攻防大賽、“強(qiáng)網(wǎng)杯”網(wǎng)絡(luò)攻防大賽、“世安杯”網(wǎng)絡(luò)安全大賽。通過這類的大賽，我們?nèi)〉昧硕?、三等?jiǎng)各一個(gè)、優(yōu)勝獎(jiǎng)多個(gè)的好成績。這類的比賽吸引了全國很多知名高校，且需要先通過線上比賽才能進(jìn)入決賽。作為民辦本科院校的學(xué)生，能進(jìn)入決賽本身就很不容易，但我們的學(xué)生不但能進(jìn)入決賽，且在決賽中比一些知名高校學(xué)生更加出色，順利淘汰掉他們，也很大程度上鼓舞了學(xué)生學(xué)習(xí)的積極性。由此可見，本輪的教學(xué)改革取得的教學(xué)成果是非?？捎^的。

為了讓我們的教學(xué)成果具有延續(xù)性，每個(gè)學(xué)期初，我們都會組織參加過比賽的學(xué)生參加網(wǎng)絡(luò)攻防比賽介紹會，讓新生充分了解網(wǎng)絡(luò)攻防比賽，并有信心、有興趣、主動地參與到我們教學(xué)改革中來。

5結(jié)語

通過一輪基于CTF競賽模式的教學(xué)改革，學(xué)生的學(xué)習(xí)氛圍明顯提升，學(xué)生的成績同樣得到的提升。由于教學(xué)改革很多階段需要在課后來完成，團(tuán)隊(duì)和學(xué)生都需要犧牲個(gè)人的業(yè)余時(shí)間來完成教學(xué)改革，對網(wǎng)絡(luò)工程、網(wǎng)絡(luò)技術(shù)專業(yè)建設(shè)作出了很大的貢獻(xiàn)。當(dāng)然，從我們所取得的成績可以看出付出是非常值得的，學(xué)生成績上來了，同時(shí)通過參加社會組織的比賽取得的成績是學(xué)生與老師的榮耀，同時(shí)為學(xué)院爭光。但是基于CTF模式教學(xué)，我們主要是根據(jù)學(xué)生的排名評分的，學(xué)生也清楚知道自己的能力水平，在課后也會通過很多網(wǎng)絡(luò)資源學(xué)習(xí)網(wǎng)絡(luò)知識提升網(wǎng)絡(luò)攻防的技能。但我們也遇到了很多困難，總會有學(xué)生對每一輪的比賽成績產(chǎn)生質(zhì)疑，特別在對抗環(huán)節(jié)中，學(xué)生會覺得老師的評分不恰當(dāng)，比重不平衡，畢竟我們在教學(xué)改革中沒有太多的經(jīng)驗(yàn)借鑒，評分細(xì)則的制定很多時(shí)候會有些出入，同時(shí)也沒有預(yù)演過會出現(xiàn)什么情況，更沒有經(jīng)費(fèi)給我們購置網(wǎng)絡(luò)攻防臺來支撐整個(gè)教學(xué)過程，從出題到評分都由老師來人工操作，難免會有失誤的情況出現(xiàn)。對此，團(tuán)隊(duì)會下一輪的教學(xué)改革中充分考慮這些因素，繼續(xù)推進(jìn)基于CTF模式的教學(xué)改革，探索更加適合應(yīng)用型本科院校的網(wǎng)絡(luò)攻防教學(xué)設(shè)計(jì)與方法。

[參考文獻(xiàn)]

[1]天極網(wǎng)，安全牛.人工智能快報(bào)網(wǎng)絡(luò)安全攻防人機(jī)大戰(zhàn)人工智能依舊不敵人類[J]中國教育網(wǎng)絡(luò)，2016 （9）：37-38

[2]高見，劉晨，蘇鵬沖.基于CTF的網(wǎng)絡(luò)安全競賽平臺設(shè)計(jì)[J]計(jì)算機(jī)教育，2015 （17）：47-50

[3]魏為民，楊朔，酆華，等.結(jié)合CTF競賽模式的信息安全課堂教學(xué)[J]計(jì)算機(jī)教育，2017（6）：23-27