[发明专利]基于透明代理生成CTF动态Flag的方法及系统

说明书

本发明公开了一种基于透明代理生成CTF动态Flag的方法及系统，该方法通过在用户浏览器种植用户唯一Token，在线竞赛平台将用户访问赛题地址引导至代理服务器，代理服务器再将请求转发至赛题服务器，接收赛题服务器返回的赛题内容后，对赛题内容中的Flag采用原Flag和用户Token可逆加密后生成的新Flag进行替换；在线竞赛平台接收到用户提交的Flag后，将用户提交的Flag和原赛题Flag进行可逆加密的逆运算，并根据逆运算结果得出用户答题结果。与现有技术相比，本发明对于同一赛题无需部署多套赛题环境，可以实现一套环境下的动态Flag，并可在用户全程无感知的情况实现防作弊和日志记录，能够大大降低赛题资源消耗和运维工作量。

技术领域

本发明涉及一种基于透明代理生成CTF动态Flag的方法及系统，属于信息处理技术领域。

背景技术

CTF(Capture The Flag)中文一般译作夺旗赛，是一种流行的信息安全竞赛形式。其大致流程是，参赛团队之间通过进行攻防对抗、程序分析等形式，率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容，并将其提交给主办方，从而夺得分数。为了方便称呼，我们把这样的内容称之为“Flag”。CTF竞赛模式主要有三类，解题模式，攻防模式和混合模式。

一、解题模式(Jeopardy)

在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。

二、攻防模式(Attack-Defense)

在攻防模式CTF赛制中，参赛队伍在网络空间互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况，最终也以得分直接分出胜负，是一种竞争激烈，具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中，不仅仅是比参赛队员的智力和技术，也比体力(因为比赛一般都会持续48小时及以上)，同时也比团队之间的分工配合与合作。

三、混合模式(Mix)

结合了解题模式与攻防模式的CTF赛制，比如参赛队伍通过解题可以获取一些初始分数，然后通过攻防对抗进行得分增减的零和游戏，最终以得分高低分出胜负。

其中解题模式一般为在线竞赛，现有的CTF在线竞赛平台采用题目、平台松耦合机制，需求环境的题目需提前部署题目环境，录制题目内容，在比赛中使用CTF在线竞赛平台引导用户访问现有内容和环境进行答题。对于WEB类题目，也是提前部署赛题WEB交互环境，录制题目信息至答CTF在线竞赛平台，在比赛中使用CTF在线竞赛平台引导用户访问赛题WEB交互环境，这种方式主要有个弊端即所有队伍共享环境，赛题答案唯一，无法防止用户作弊行为，赛后对日志审查工作量巨大。

为解决赛题Flag唯一的情况，现有部分方案是进行多套环境、日志审查相结合的方式，在录制赛题信息至CTF在线竞赛平台时一道题目部署多套答案不同其他内容完全相同的环境，达到部分用户答案不同的目的。如公告号106874245A的发明专利申请公开的一种CTF在线竞赛平台动态Flag处理方法，通过修改在线环境的Flag注入脚本来实现各在线环境的Flag不唯一。现有方法在参赛队员有限和资源足够的情况下，可以有效缓解作弊行为，但缺点是无法支撑大批量用户、资源消耗大、运维工作量翻倍。

发明内容

发明目的：针对现有技术中存在的问题，本发明目的在于提供一种基于透明代理生成CTF动态Flag的方法及系统，实现一套赛题环境下基于用户Token的动态Flag，大大降低赛题资源消耗和运维工作量。

技术方案：为实现上述发明目的，本发明采用如下技术方案：