結合CTF競賽的網絡安全課程教學改革

劉 莉 ，劉持標 ，尤垂桔 ，邱錦明

（1.三明學院 信息工程學院，福建 三明 365004；2.工業大數據分析及應用福建省高校重點實驗室，福建 三明 365004；3.福建省農業物聯網應用重點實驗室，福建 三明 365004；4.物聯網應用福建省高校工程研究中心，福建 三明 365004）

0 引 言

網絡安全通常會讓人聯想到“黑客”和“黑客技術”，容易激發學生對網絡安全的學習熱情，但也會產生一個誤區，即網絡安全就是學習黑客技術。事實上，黑客技術是以網絡安全課程為基礎，主要包括密碼學和認證技術、病毒、木馬、防火墻、入侵檢測、無線安全等知識，這些知識點理論性較強，如密碼學和消息認證技術，涉及很多數論知識，容易讓學生失去學習的激情和興趣。因此，在基礎教學中，加入趣味性的實踐內容，激發和保持學生的學習興趣，從而讓學生由“被動”學習轉為“主動”學習。毫無疑問，CTF（Capture The Flag）比賽的流行及本身具有的趣味性和挑戰性，能夠作為輔助教學的絕佳平臺。在教學中結合CTF的賽題，甚至舉辦一些校內的CTF競賽，讓學生在比賽中進步，提高其安全實戰能力，培養國家需要的應用性人才。

1 CTF介紹

CTF，即奪旗賽，其大致流程：參賽團隊之間通過進行攻防對抗、程序分析等形式，率先從主辦方給出的比賽環境中得到一串具有一定格式的字符串或其他內容，并將其提交給主辦方，從而奪得分數。[1]

1.1 CTF競賽模式

CTF競賽模式主要有解題模式、攻防模式、混合模式3種模式：①解題模式（Jeopardy），常見于線上選拔賽，主要包括密碼學（Crypto）、安全雜項（Misc）、Web、逆向工程（Reverse）、PWN等類別，根據解題的總分和時間來排名；②攻防模式（AWD，Attack With Defence），參賽隊伍在網絡空間互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。可實時通過得分反映比賽情況，最終也以得分直接分出勝負，是一種競賽激烈極具觀賞性和透明性的網絡安全賽制；③混合模式（mix），結合解題模式和攻防模式，參賽隊伍通過解題可以獲取一些初始分數，然后通過攻防對抗進行得分增減的零和游戲，最終以得分高低分出勝負。

此外，還有國內首次引入韓國 POC SECURITY團隊開創的BELLUMINAR CTF（戰爭與分享）賽制[2]。戰爭與分享賽制是由受邀參賽隊伍相互出題挑戰，并在比賽結束后對賽題的出題思路、學習過程以及解題思路等進行分享，戰隊評分依據出題得分、解題得分和分享得分進行綜合評價并得出最終的排名。目前，采取該賽制的有2016年諸葛建偉的XMan夏令營分享賽以及同年的“百度杯”CTF比賽。

1.2 CTF比賽和訓練平臺

CTF比賽，國際比賽有Defcon、Plaid、RuCTF、Codegate等，國內知名賽事主要有XCTF、AliCTF、XDCTF、HCTF、TCTF等。

CTF訓練平臺，有i春秋、XCTF實訓平臺、實驗吧、Pwnhub、南京郵電大學網絡攻防訓練平臺等。

2 現狀分析

網絡安全作為網絡工程專業的專業課，是一門綜合性很強的交叉學科，涉及計算機網絡、通信、密碼學、數據庫、操作系統、數學、法律等學科。目前，三明學院信息工程學院采用理論和實踐“2+1”模式，實踐課時不夠充足，也缺乏一個完整的實踐教學體系，實驗主要由任課老師進行設計。以密碼學為例，分為古典密碼和現代密碼，古典密碼包括替代和移位，內容比較簡單，但單純講解理論會枯燥無味，如果結合古典密碼學的一些應用案例和故事，如影視劇或者是CTF比賽，則會激發學生的興趣。目前，古典密碼的實驗設計為“利用編程實現加密和解密的實驗”；對于現代密碼部分，包括對稱和非對稱密碼，實驗有“PGP軟件的使用”，由于學生對非對稱密碼的兩種模式（加密模型和認證模型）缺乏思考和理解，導致實驗中出錯卻無法自己解決。“PGP軟件的使用”實驗涉及知識較多，包括RSA算法和MD5、SHA256等哈希算法，這些算法對數論要求較高，難以理解，如果結合CTF相關賽題會讓學生更加容易理解和產生興趣。

基于當前的教學現狀，可以從3個方面分析：教學環境；教學中學生的現狀及其原因；本次教學改革已經具備的條件，包括課程設置、協會、以往比賽經驗。

1）教學環境。

目前，學院還沒有自己的平臺，對于結合CTF教學，可以利用現有的CTF訓練平臺進行教學和訓練；在攻防訓練環節，學院會逐步搭建自己的訓練平臺，便于開展校內CTF比賽，以賽促學，形成良好的網絡安全學習氛圍。

2）學生缺乏興趣、兩極分化嚴重。

傳統的網絡安全課程教學，單純講解理論，學生很難理解其具體應用導致缺乏興趣，CTF比賽的趣味性可以很好地解決這個問題。有少數同學通過接觸CTF比賽，對此產生濃厚的興趣，并會花時間去學習研究，也在CTF比賽中取得了比較好的成績，他們往往會對網絡安全有更深刻的認識，在就業時也會考慮從事相關工作；對于其他學生，興趣不是很大，僅僅是粗略學習該課程，獲得了一些基礎性知識和概念，對CTF比賽也是知之甚少，更不可能作為其就業的選擇。

3）教學改革已具備的條件。

網絡安全方面主要有網絡安全和網絡攻防2門課程，采取先學習網絡安全基礎知識（包括密碼學、認證技術、防火墻、入侵檢測等），再學習網絡攻防技術，循序漸進提高學生的網絡安全知識和技能。在網絡安全基礎課程中，主要結合CTF解題模式，激發學生對網絡安全的興趣，也為后續的網絡攻防課程和CTF比賽打下基礎；在網絡攻防課程中，可以結合CTF的解題模式和攻防模式進行教學，進一步調動學生的積極性，從而可以獲得較好的教學效果。

此外，學院在2017年創辦了“網絡安全協會”，協會成員約40人，覆蓋了各個專業，協會創辦以來，一直堅持每周上課、分享，形成了比較好的氛圍，協會1/4的成員有多次參加CTF比賽的經驗，目前獲得了“百越杯”三等獎、“黑盾杯”三等獎、“西普鐵人三項”二等獎的成績。

3 教學改革

3.1 解題模式

在教學中引入CTF解題模式，包括密碼學、認證技術、信息隱藏等。密碼學是網絡安全的基石，也是教學內容的第一部分，可以結合CTF的密碼學題目，帶領學生進入網絡安全和CTF的世界。

1）密碼學。

密碼學的首要目的是隱藏信息的涵義，并不是隱藏信息的存在[3]。密碼學分為古典密碼和現代密碼，古典密碼主要有愷撒密碼、摩斯密碼、柵欄密碼、豬圈密碼、鍵盤布局加密等。在CTF題目中，還包括出題人自定義的密碼。以古典密碼學為例，教學流程如圖1所示。

圖1 古典密碼學教學流程圖

（1）案例引入：以摩斯密碼作為密碼學的導入。摩斯密碼在影視劇中有廣泛的應用，通過觀看影視片段，了解摩斯電碼它由兩種基本信號和不同的間隔時間組成，短促的點信號“·”（滴）；保持一定時間的長信號“—”（嗒）[4]。在《泰坦尼克號》中，國際求救信號“SOS”利用無線電報發出，被成功接收，最終救出了705名幸存者，自此以后，“SOS”才被廣泛使用。另外，在現實中，摩斯密碼也有很多應用，在北京郵電大學校園內，就有一條“摩斯碼”道路，幾十米長的灰白色路面上，鑲嵌著或長或短的黑色地磚，組成了一組摩斯碼，翻譯過來就是北郵的校訓“厚德博學，敬業樂群”。

考慮過程控制的鋼鐵工業負荷用能行為分析與功率特性建模//涂夏哲,徐箭,廖思陽,劉冠中,馮登,張亞偉//(2):114

（2）CTF題目引入：實驗吧（圍在柵欄中的愛，http://www.shiyanbar.com/ctf/1917），題目為“最近一直在好奇一個問題，QWE到底等不等于ABC？”

-.- .. --.- .-.. .-- - ..-. -.-. --.- --. -. ... --- ---

flag格式：CTF{xxx}

解題步驟：①很明顯，這是一串摩斯密碼，通過查詢摩斯密碼表，或者利用摩斯密碼轉換工具，轉換為“KIQLWTFCQGNSOO”；②由提示“QWE到底等不等于ABC”，利用電腦鍵盤排序。

通 過 查 QWE表 得“rhasbenvaoylii”； ③由題目提示“圍在柵欄里的愛”，即應該包含“love”，發現步驟②的串中包含了“love”中的4個字母，但并沒有連續，因此，通過柵欄密碼，構造連續的“love”，通過嘗試，當柵欄密碼分組為2得到“rabnayihsevoli”，這是一個倒敘的“love”，因此倒敘為“iloveshiyanbar”，即flag為“CTF{iloveshiyanbar}”。本題涉及了摩斯密碼、QWE密碼、柵欄密碼。可以得知，密碼其實就是一種編碼方式，也可以自定義密碼，對于古典密碼，主要就是替換和置換兩種變換，安全性較低，更易于破解。

（3）現代密碼：現代密碼學可分為對稱密碼和非對稱密碼，密碼學的大部分內容仍然以數學知識為基礎，難以給學生以直觀感受，在有限課時情況下使學生掌握密碼算法有一定難度，因此，密碼學課程的實驗課效果往往不佳[5]。常用的對稱密碼有DES、3DES、AES等算法，公鑰密碼算法有RSA、ELGamal、ECC等算法，算法復雜度較高，可以從以下2點降低學習難度：一是在講解過程中，重視講解其算法思想、原理和特性，弱化數學公式的講解，通過與其他算法對比深化學習；二是通過“學以致用”，讓學生了解該算法在實際中的應用，比如在銀行系統、微信支付、支付寶支付等。具體實現，比如在SSL網站交互過程中，SSL握手期間的非對稱加密，在創建安全連接后，會話期間使用對稱加密。在一次實際SSL交互中，通過wireshark抓包分析交互流程。對現代密碼基本了解后，也可以做一些CTF相關題目，如實驗吧（http://www.shiyanbar.com/ctf/1979），在挑戰自我的過程中進一步鞏固知識和提升能力。

2）認證技術。

主要包括一些哈希算法（如MD5、SHA-1、SHA-256等），用于確保信息傳輸的完整性。可以結合生活中的案例，如借錢、簽訂合同等，說明哈希算法用于防止信息偽造和篡改的必要性，即數字簽名的應用，其實現結合了哈希算法和公鑰密碼。另外，也可做一些CTF相關題目，如實驗吧（http://www.shiyanbar.com/ctf/1981）。MD5、SHA-1其實已經不安全了，可以利用彩虹表進行破解，讓學生查資料，說明有哪些方法可以增強MD5算法的安全性，避免彩虹表攻擊。

3）信息隱藏。

信息隱藏就是將秘密信息隱藏于另一非保密的載體之中，載體可以是圖像、音頻、視頻、文本，也可以是信道，甚至編碼體制或整個系統，信息隱藏的方法主要有隱寫術、數字水印技術、可視密碼、潛信道、隱匿協議等[6]，信息隱藏無處不在，如藏頭詩、隱寫墨水。隱寫術中比較常用的是把信息隱藏在圖片中，而不影響其視覺效果，一可以直接在圖片結束標志后添加要隱藏的數據；二可以用一些隱寫算法，如LSB、F5、guess等。隱寫術在CTF比賽中也是比較常見的題型，可以結合CTF題目進行講解，比如以實驗吧“想看正面？那就要看仔細了！”這題為例，給出一張圖片，是一個美女的背影，那信息到底隱藏在哪里呢，會激發學生的好奇心，活躍課堂，以達到好的教學效果。稍微隱寫復雜一點的如題目“男神一般都很低調很低調的！！”，需要通過隱寫工具Stegsolve得出答案，以這種由易到難、循序漸進的方式能幫助學生增強信心，激發挑戰欲。另外，讓學生嘗試去隱寫信息，讓其他同學破解是一種既有趣又能提升能力的方法，只有學會出題，才更能理解別人出題的思路，也才能更好地應對比賽。

為了讓學生更全面的了解網絡攻防技術，了解CTF解題中的各個知識點，包括密碼學、web、隱寫術、安全雜項、逆向，關于web、逆向方面主要讓學生課后自學，讓學生3人一組自由組隊，每個知識點出3題，該類比賽對平臺要求并不高，僅web類題目需要搭建服務器，最終按照解題總分和時間排序，完成比賽后，每個題目可以讓成功解出的組分享解題思路，確保學生能在競賽中學到知識。

3.2 攻防模式

在教學中引入攻防模式，CTF攻防模式是線下形式，如果要在教學中模擬，一是可以利用現有的一些CTF訓練平臺（如實驗吧的綜合滲透模塊等），模擬一次攻防滲透，但這種方式只能用于教學演示或學生練習，不能舉辦自己的攻防比賽；二是學院搭建自己的CTF訓練平臺，則可靈活設置題目、模擬演示、舉辦比賽。

防火墻、入侵檢測都屬于網絡安全體系中不可缺少的設施，但其功能不同，各司其職，可以類比現實中的場景，如保安和攝像頭的作用。防火墻主要是監控進出網絡內部的數據流，可以用Cisco Packet Tracer軟件設置簡單的網絡拓撲，通過配置ACL（Access Control List，訪問控制列表）掌握防火墻實現的原理。在CTF攻防比賽中，每個隊都有自己的一臺linux服務器，一方面要對自己的服務器進行加固，修補漏洞；另一方面，要尋找對方服務器可利用的漏洞，進行滲透攻擊。在加固時，往往要配置linux防火墻iptables，如關閉一些不必要的服務、訪問控制、限制IP連接數和連接速率以及過濾一些異常報文。在教學中，也可在linux下用iptables進行安全配置，演示其配置前后的區別。

通過攻防比賽，可以使學生對網絡攻防的一些工具和漏洞有所了解，可以使比賽成績優異的小組分享漏洞發現和漏洞利用的原理和過程。另外，通過校內比賽可以選拔出優秀的隊員代表學校去參加一些知名CTF比賽。

3.3 其他方式

除了結合CTF競賽，本次改革還將以項目化的課程設計進行驅動教學。除了直接以CTF分組作為項目小組，課程設計題目還可以指定一些題目讓學生自選，但需經老師認可。小組通過分工合作，最終需要提交的文檔包括需求分析文檔、課程設計報告、項目源代碼等材料。通過課程設計，培養學生進行文獻資料搜索的能力、動手編寫安全程序的能力、解決實際信息安全應用問題的能力。在課程考核方面，除了理論考核，平時的CTF比賽、課程設計也作為考核的一部分。

4 結 語

筆者針對目前網絡安全課程的重理論輕實踐、理論知識難度大及實踐部分缺乏趣味性等現狀，結合當前流行的CTF競賽進行教學改革，激發了學生的學習興趣，提高了學生的學習效率，促進了應用型人才培養質量的提高；從當前網絡安全課程的教學現狀和學情兩個方面進行分析，筆者進一步確定了結合CTF競賽教學的必要性。結合CTF的解題模式和攻防模式，在密碼學、認證技術、隱寫術等理論教學中貫穿CTF相關題目，并舉行相應的比賽。經過CTF解題的訓練，進一步提高了學生的實戰能力，還引入CTF攻防訓練和比賽，達到“以賽促學”的目的；通過引入課程設計作為項目驅動教學，進一步提升了學生的自學能力和網絡安全應用系統設計能力。