豆利

關(guān)鍵詞：CTF模式；網(wǎng)絡(luò)安全；課程教學(xué)

中圖分類號(hào)：G642 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2023）21-0125-03

0 引言

隨著信息化技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)越來(lái)越重要的領(lǐng)域。隨之而來(lái)的是對(duì)網(wǎng)絡(luò)安全人才的需求也越來(lái)越大。而網(wǎng)絡(luò)安全人才的培養(yǎng)離不開課程教學(xué)的改革。傳統(tǒng)的網(wǎng)絡(luò)安全課程教學(xué)往往是以理論知識(shí)為主，缺少實(shí)踐環(huán)節(jié)。這樣的教學(xué)模式往往難以激發(fā)學(xué)生的學(xué)習(xí)熱情，同時(shí)也難以真正培養(yǎng)出合格的網(wǎng)絡(luò)安全人才。

CTF（Capture The Flag） 模式是一種在網(wǎng)絡(luò)安全領(lǐng)域中被廣泛采用的學(xué)習(xí)方式。CTF模式通過(guò)模擬實(shí)際的攻擊和防御場(chǎng)景，讓學(xué)生在實(shí)踐中掌握網(wǎng)絡(luò)安全知識(shí)和技能。因此，采用CTF模式的網(wǎng)絡(luò)安全課程教學(xué)，能夠更好地提高學(xué)生的學(xué)習(xí)效果。CTF模型是一種基于游戲的網(wǎng)絡(luò)安全教學(xué)方法，包括團(tuán)隊(duì)之間相互競(jìng)爭(zhēng)以解決一系列挑戰(zhàn)。這些挑戰(zhàn)通常需要廣泛的技能，如密碼學(xué)、網(wǎng)絡(luò)掃描、Web開發(fā)、逆向工程和漏洞開發(fā)[1]。CTF模式是一種競(jìng)賽性的學(xué)習(xí)方式，主要是模擬實(shí)際的攻擊和防御場(chǎng)景，讓學(xué)生在實(shí)踐中掌握網(wǎng)絡(luò)安全知識(shí)和技能。CTF模式通常包括攻擊和防御兩個(gè)階段，攻擊階段是學(xué)生利用網(wǎng)絡(luò)攻擊技術(shù)獲取指定目標(biāo)信息的過(guò)程，而防御階段則是學(xué)生利用網(wǎng)絡(luò)安全技術(shù)保護(hù)自己的網(wǎng)絡(luò)資源[2]。

1 現(xiàn)狀分析

網(wǎng)絡(luò)安全課程作為計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)的專業(yè)課程，是一門綜合性比較強(qiáng)的課程，它涉及計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、密碼學(xué)、數(shù)據(jù)庫(kù)等相關(guān)課程，傳統(tǒng)的網(wǎng)絡(luò)安全課程理論性比較強(qiáng)，學(xué)生聽起來(lái)比較枯燥，出現(xiàn)畏難情緒，解決問(wèn)題的能力欠缺，這是網(wǎng)絡(luò)安全課程普遍存在的問(wèn)題[3]。

問(wèn)題主要存在以下幾個(gè)方面：首先課程以理論為基礎(chǔ)，實(shí)驗(yàn)內(nèi)容較少，課程單獨(dú)存在，課程設(shè)置銜接性不高，課程之間的聯(lián)系性較少，學(xué)生只是在每個(gè)年級(jí)每個(gè)學(xué)期把該學(xué)習(xí)的課程學(xué)習(xí)了，沒(méi)有把網(wǎng)絡(luò)安全的相關(guān)知識(shí)融會(huì)到不同的課程中，缺乏全局性。其次網(wǎng)絡(luò)安全的考試方式較為陳舊，只是考核書本上的內(nèi)容，由于網(wǎng)絡(luò)安全技術(shù)更新速度較快，不能僅限于書本內(nèi)容的掌握，對(duì)于網(wǎng)絡(luò)安全中發(fā)現(xiàn)問(wèn)題，解決問(wèn)題的能力有所欠缺，并且在傳統(tǒng)的考試模式中，很難考核到學(xué)生的實(shí)際動(dòng)手能力。實(shí)踐證明參加競(jìng)賽的學(xué)生，其解決問(wèn)題的能力會(huì)更強(qiáng)，相應(yīng)的課程考核也會(huì)更好。最后網(wǎng)絡(luò)安全課程缺乏系統(tǒng)的設(shè)計(jì)，網(wǎng)絡(luò)安全的實(shí)驗(yàn)課程，調(diào)整相關(guān)參數(shù)，學(xué)生就無(wú)從下手，而且對(duì)于復(fù)雜的問(wèn)題，學(xué)生因缺乏相關(guān)知識(shí)的銜接，導(dǎo)致無(wú)法獨(dú)立解決問(wèn)題，進(jìn)而打消了他們學(xué)習(xí)網(wǎng)絡(luò)安全的積極性。

2 教學(xué)內(nèi)容設(shè)計(jì)

2.1 實(shí)施方案

采用CTF模式的網(wǎng)絡(luò)安全課程教學(xué)，通常需要滿足以下幾個(gè)方面的條件。

1） 硬件條件：需要有相應(yīng)的網(wǎng)絡(luò)安全實(shí)驗(yàn)室，包括安全隔離環(huán)境和實(shí)驗(yàn)設(shè)備等。

2） 軟件條件：需要相應(yīng)的網(wǎng)絡(luò)安全實(shí)驗(yàn)軟件，如Kali Linux、Metasploit等。

3） 師資條件：需要具有相應(yīng)的網(wǎng)絡(luò)安全技術(shù)和教學(xué)經(jīng)驗(yàn)的教師。

2.2 教學(xué)內(nèi)容

根據(jù)企業(yè)對(duì)人才的需求，我們使用開源工具和軟件來(lái)降低課程的成本，通過(guò)分配小組和項(xiàng)目，需要學(xué)生一起解決問(wèn)題的活動(dòng)，鼓勵(lì)學(xué)生之間的協(xié)作和團(tuán)隊(duì)合作[4]。項(xiàng)目為學(xué)生提供參加真實(shí)的CTF比賽和活動(dòng)，學(xué)生進(jìn)而向其他團(tuán)隊(duì)學(xué)習(xí)的同時(shí)，實(shí)踐技能也得到了鍛煉。同時(shí)把基于CTF模式的課程拓展為第二課堂，學(xué)生利用老師發(fā)布的相關(guān)視頻，搭建網(wǎng)站進(jìn)行相關(guān)訓(xùn)練，融入闖關(guān)模式，將CTF模式融進(jìn)網(wǎng)絡(luò)安全課程教學(xué)，對(duì)課程進(jìn)行創(chuàng)新性實(shí)踐教學(xué)，把CTF的試題分解到網(wǎng)絡(luò)安全課程中，既增加了趣味性，又強(qiáng)化了學(xué)生的動(dòng)手實(shí)踐操作[5]。重新設(shè)計(jì)課程，重點(diǎn)關(guān)注解決CTF挑戰(zhàn)所需的技能和知識(shí)。同時(shí)教師自身專業(yè)水平在實(shí)踐教學(xué)中也得到了快速提高。

采用CTF模式的網(wǎng)絡(luò)安全課程教學(xué)，通常包括以下內(nèi)容。

1） 網(wǎng)絡(luò)攻擊與防御：介紹常見(jiàn)的網(wǎng)絡(luò)攻擊手段和防御方法，如端口掃描、SQL注入、DDoS攻擊等。

2） 漏洞挖掘：介紹常見(jiàn)的漏洞類型和挖掘方法，如溢出漏洞、代碼注入漏洞、權(quán)限提升等。

3） 網(wǎng)絡(luò)安全工具使用：介紹常用的網(wǎng)絡(luò)安全工具，如Wireshark、Nmap、Burp Suite等，以及它們的使用方法[6]。

4） CTF比賽實(shí)戰(zhàn)：在課程結(jié)束時(shí)，設(shè)置CTF比賽環(huán)節(jié)，讓學(xué)生在競(jìng)賽中實(shí)踐所學(xué)的網(wǎng)絡(luò)安全知識(shí)和技能。

網(wǎng)絡(luò)安全課程涉及網(wǎng)絡(luò)安全基礎(chǔ)、網(wǎng)絡(luò)掃描、滲透測(cè)試、漏洞掃描、SQL 注入攻防等，以SQL 注入為例，教學(xué)流程圖如圖1所示。

1） 案例導(dǎo)入：以SQL注入相關(guān)短視頻引入課堂，通過(guò)視頻了解，在網(wǎng)絡(luò)安全問(wèn)題中，SQL注入高居榜首。SQL注入危害較大，容易導(dǎo)致數(shù)據(jù)庫(kù)信息泄露，包括數(shù)據(jù)庫(kù)中存放的用戶隱私信息泄露。

2） 通過(guò)靶場(chǎng)的搭建，讓學(xué)生了解其搭建過(guò)程，講解手工注入法的步驟。

以SQL 注入的手工注入法為例，其操作步驟如下：

1） SQL注入點(diǎn)探測(cè)，首先判斷網(wǎng)頁(yè)是否存在注入點(diǎn)（見(jiàn)圖2） ，在可控的輸入位置加入一些符號(hào)，觀察頁(yè)面是否正常，一般通過(guò)頁(yè)面的報(bào)錯(cuò)信息來(lái)判斷是否存在注入點(diǎn)。

2） 收集后臺(tái)數(shù)據(jù)庫(kù)，確定存在注入點(diǎn)后，判斷是字符型注入還是數(shù)字型注入，然后利用order by判斷select查詢所顯示的字段數(shù)，利用union聯(lián)合查詢進(jìn)行拼接，顯示當(dāng)前數(shù)據(jù)庫(kù)。

3） 猜解用戶名和密碼。用戶名和密碼一般都是有規(guī)律的。系統(tǒng)數(shù)據(jù)庫(kù)information_schema中的tables 表和columns表中均存儲(chǔ)著重要的字段。

通過(guò)手工注入法獲取DVWA網(wǎng)站的用戶名和相關(guān)密碼（見(jiàn)圖3） ，該密碼以md5方式存儲(chǔ)的，通過(guò)md5 在線解密，得到相關(guān)的明文口令。

4） 查找Web管理后臺(tái)入口，Web后臺(tái)管理一般比較隱蔽，對(duì)普通用戶不開放，可以通過(guò)wwwscan等掃描工具快速掃描到可能登錄的地址，并逐一嘗試。

5） 入侵服務(wù)器，使用前面獲取的用戶名和密碼登錄用戶管理平臺(tái)，然后通過(guò)上傳木馬、篡改網(wǎng)頁(yè)等操作，并進(jìn)一步提權(quán)，入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器和Web服務(wù)器。可用SQLMap軟件實(shí)現(xiàn)自動(dòng)注入相關(guān)網(wǎng)站，鑒于遵守《網(wǎng)絡(luò)安全法》等相關(guān)規(guī)定文明上網(wǎng)，配合搭建SQLi-Labs專門的靶場(chǎng)，該注入以闖關(guān)的模式，極大地調(diào)動(dòng)了學(xué)生的積極性。最后引入注入的相關(guān)CTF題目進(jìn)行練習(xí)，進(jìn)一步鞏固相關(guān)知識(shí)。

根據(jù)CTF競(jìng)賽的要求，把網(wǎng)絡(luò)安全課程的內(nèi)容進(jìn)行重新整合，進(jìn)行優(yōu)化和設(shè)計(jì)，實(shí)現(xiàn)模塊化教學(xué)。

1） 第一階段，根據(jù)CTF的解題方式，雖然針對(duì)網(wǎng)絡(luò)安全課程的改革，但并不是完全由一個(gè)任課教師完成的，團(tuán)隊(duì)成員主要由計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用、網(wǎng)頁(yè)設(shè)計(jì)、Linux 操作系統(tǒng)、數(shù)據(jù)庫(kù)技術(shù)、動(dòng)態(tài)網(wǎng)站開發(fā)等任課老師組成，制定與網(wǎng)絡(luò)安全相關(guān)的試題庫(kù)，各任課教師在授課的同時(shí)，植入相關(guān)題庫(kù)，極大地調(diào)動(dòng)了學(xué)生的積極性。

2） 第二階段，根據(jù)學(xué)生的學(xué)習(xí)能力及學(xué)習(xí)情況，制定基于CTF的網(wǎng)絡(luò)安全的相關(guān)試題[7]。在本階段，每個(gè)班級(jí)按照成績(jī)選取前20名學(xué)生，每3個(gè)人組成一隊(duì)，涉及數(shù)據(jù)包捕獲、暴力破解、SQL注入等，每個(gè)知識(shí)點(diǎn)涉及兩到三個(gè)操作，這些由學(xué)生自愿參加，課后進(jìn)行學(xué)習(xí)練習(xí)，由于是競(jìng)賽模式，組間存在競(jìng)爭(zhēng)，組內(nèi)成員討論學(xué)習(xí)情緒比較高漲，完成競(jìng)賽后，教師會(huì)講解相關(guān)知識(shí)點(diǎn)，學(xué)生掌握了相關(guān)知識(shí)，學(xué)習(xí)積極性得到了提高，課堂教學(xué)效果也明顯得到了提高。

3） 第三階段，經(jīng)過(guò)前兩階段，本階段中，每位選手既是攻擊者也是防守者，每支團(tuán)隊(duì)配備一臺(tái)Linux操作系統(tǒng)服務(wù)器，在規(guī)定的時(shí)間內(nèi)，團(tuán)隊(duì)成員需要對(duì)自己的服務(wù)器進(jìn)行加固，防止被滲透。具體得分規(guī)則如下：拿到其他團(tuán)隊(duì)服務(wù)器的相關(guān)的信息越多得分越多，同時(shí)篡改其他團(tuán)隊(duì)Web服務(wù)器信息越多，得分也越多。在該階段，從第二階段篩選出21名學(xué)生，組成7個(gè)團(tuán)隊(duì)，利用課余時(shí)間進(jìn)行訓(xùn)練比賽，教師在學(xué)生訓(xùn)練中給予指導(dǎo)。比賽結(jié)束后，學(xué)生分享挖掘到的漏洞以及使用什么原理進(jìn)行漏洞發(fā)現(xiàn)，以及其他一些小技巧，同時(shí)也為學(xué)校選拔CTF選手，參加校外知名比賽提供學(xué)生資源。

4） 第四階段，教學(xué)改革總結(jié)，任課教師對(duì)課程的階段性進(jìn)行總結(jié)，把相關(guān)案例進(jìn)行梳理，例如KaliLinux、系統(tǒng)漏洞以及腳本安全等進(jìn)行鞏固，學(xué)生對(duì)于網(wǎng)絡(luò)安全中的攻防更深入理解，確保網(wǎng)絡(luò)安全課程改革最大受益。

在網(wǎng)絡(luò)安全課程的教學(xué)模式改革中，關(guān)于理論學(xué)習(xí)，教學(xué)團(tuán)隊(duì)首先根據(jù)CTF的試題，把相關(guān)知識(shí)點(diǎn)融入課堂教學(xué)中，制定網(wǎng)絡(luò)安全的實(shí)訓(xùn)大綱、實(shí)驗(yàn)任務(wù)指導(dǎo)書。學(xué)生根據(jù)實(shí)驗(yàn)任務(wù)指導(dǎo)書，認(rèn)真完成相關(guān)的實(shí)驗(yàn)，進(jìn)一步加深了對(duì)CTF的理解。教師向?qū)W生提供網(wǎng)上知名的免費(fèi)的CTF平臺(tái)，例如封神臺(tái)、攻防世界等，以便學(xué)生課后能進(jìn)行積極有效的練習(xí)。從教學(xué)過(guò)程中，可以觀察到學(xué)生的學(xué)習(xí)積極性得到了極大的提高。

3 教學(xué)效果

使用CTF作為網(wǎng)絡(luò)安全的教學(xué)工具有幾個(gè)優(yōu)點(diǎn)。首先，CTF是通過(guò)通關(guān)的方式激勵(lì)學(xué)生學(xué)習(xí)。同時(shí)在省賽網(wǎng)絡(luò)攻防賽的比賽中獲得了較好的成績(jī)。若干競(jìng)賽的競(jìng)爭(zhēng)性質(zhì)鼓勵(lì)學(xué)生合作，并積極尋求新的知識(shí)和技能。這可以幫助培養(yǎng)批判性思維、解決問(wèn)題和技術(shù)技能，所有這些都是網(wǎng)絡(luò)安全職業(yè)生涯所必需的。

其次，CTF為學(xué)生學(xué)習(xí)網(wǎng)絡(luò)安全提供了一個(gè)安全可控的環(huán)境。在CTF中，學(xué)生可以訪問(wèn)模擬真實(shí)網(wǎng)絡(luò)的模擬網(wǎng)絡(luò)環(huán)境。他們可以嘗試不同的安全工具和技術(shù)，而不用擔(dān)心造成現(xiàn)實(shí)世界的破壞。這使學(xué)生獲得網(wǎng)絡(luò)安全概念的實(shí)踐經(jīng)驗(yàn)，并將理論知識(shí)應(yīng)用于實(shí)際環(huán)境中。

第三，CTF是識(shí)別和解決知識(shí)缺口的有效途徑。在CTF期間，學(xué)生將面臨一系列挑戰(zhàn)，以測(cè)試他們對(duì)各種網(wǎng)絡(luò)安全概念的知識(shí)。如果一個(gè)學(xué)生不能完成挑戰(zhàn)，這表明他們的知識(shí)有差距。這種反饋可以用來(lái)確定需要額外教學(xué)或資源的領(lǐng)域。

最后，CTF可以用來(lái)培養(yǎng)網(wǎng)絡(luò)安全學(xué)生的社區(qū)意識(shí)。通過(guò)參加CTF，學(xué)生可以與志同道合的人建立聯(lián)系，互相學(xué)習(xí)。這可以導(dǎo)致學(xué)習(xí)小組的形成，對(duì)等教學(xué)，和其他形式的合作學(xué)習(xí)。

對(duì)于基于CTF模式的網(wǎng)絡(luò)安全課程的改革，還需要從以下方面進(jìn)行改進(jìn)：首先加強(qiáng)硬件和軟件條件的建設(shè)，提高實(shí)驗(yàn)室的設(shè)施和網(wǎng)絡(luò)安全實(shí)驗(yàn)軟件的配備水平。其次加強(qiáng)教師隊(duì)伍建設(shè)，提高教師的網(wǎng)絡(luò)安全技術(shù)和教學(xué)能力。然后加強(qiáng)安全風(fēng)險(xiǎn)管理，采取相應(yīng)的安全措施，確保課程教學(xué)安全。最后加強(qiáng)課程內(nèi)容的設(shè)計(jì)，注重實(shí)踐環(huán)節(jié)的設(shè)置，提高學(xué)生的實(shí)踐能力。

4 結(jié)束語(yǔ)

通過(guò)CTF模式的網(wǎng)絡(luò)安全的教學(xué)改革，學(xué)生的學(xué)習(xí)氛圍明顯地提升，同時(shí)專業(yè)課的成績(jī)較之前也有所提高，學(xué)生的學(xué)習(xí)興趣更加濃厚，由于這一階段的教學(xué)改革，更多的是學(xué)生利用課余時(shí)間進(jìn)行補(bǔ)充學(xué)習(xí)，從中發(fā)現(xiàn)學(xué)生解決問(wèn)題的能力明顯提高，包括自學(xué)能力也有所提高，同學(xué)們之間的關(guān)系更加融洽，因?yàn)檎n后需要團(tuán)隊(duì)協(xié)作完成相應(yīng)的題目，很多同學(xué)通過(guò)努力學(xué)習(xí)，專業(yè)知識(shí)更加過(guò)硬，在競(jìng)賽中取得了好的成績(jī)，更加自信?？傊?，CTF模式是一種有益的網(wǎng)絡(luò)安全課程教學(xué)模式，能夠提高學(xué)生的實(shí)踐能力和學(xué)習(xí)動(dòng)力。在實(shí)施CTF模式的網(wǎng)絡(luò)安全課程教學(xué)中，需要充分考慮硬件、軟件和教師等條件，并采取相應(yīng)的安全措施確保課程教學(xué)的安全。同時(shí)，也需要加強(qiáng)課程內(nèi)容的設(shè)計(jì)，注重實(shí)踐環(huán)節(jié)的設(shè)置，提高學(xué)生的實(shí)踐能力。只有不斷完善CTF模式的網(wǎng)絡(luò)安全課程教學(xué)，才能更好地培養(yǎng)網(wǎng)絡(luò)安全人才，保障網(wǎng)絡(luò)安全。