一、创新实践能力赛总决赛时间/承办高校安排:
7月24-26日
7月24日10-14点:报到,报到地点-清华大学李兆基大楼二楼A278多功能厅
7月24日14-18点:靶标环境部署测试
7月25日8点 – 9点:总决赛开赛仪式
7月25日9点 – 18点:第一阶段综合攻防环节竞赛(含一小时午餐时间)
7月26日8点 – 12点:第二阶段综合攻防环节竞赛
7月26日13点 – 18点:ShareIt交流环节 + 分享 + 成绩公布 + 闭幕式
承办高校联系方式:
承办高校:清华大学
创新实践能力赛秘书处联系电话:010-62603252
联系人: 邱 实 老师(汇款咨询):18611444464
秘书处电子邮箱:ciscn_2018@163.com、qiushi@cernet.edu.cn
秘书处通信地址:北京市海淀区清华大学FIT大楼网络科学与网络空间研究院 CISCN2018竞赛秘书处 邱实 老师 邮编:100084
二、创新实践能力赛总决赛奖项设置
名次 | 奖项 | 奖杯或证书 |
1 | 冠军 | 冠军奖杯 全国一等奖(第一名)证书 |
2 | 亚军 | 亚军奖杯 全国一等奖(第二名)证书 |
3 | 季军 | 季军奖杯 全国一等奖(第三名)证书 |
4-10 | 全国一等奖 | 全国一等奖证书 |
11-24 | 全国二等奖 | 全国二等奖证书 |
技术委员会评选 不超过3队 | 网络安全挑战创新单项奖 | 网络安全挑战创新单项奖证书 |
三、创新实践能力赛总决赛比赛指南
1、八个赛区的半决赛产生24支队伍入围总决赛,由竞赛承办方统一提供附近宾馆、饭店等相关信息,食宿及相关费用由参赛学校自行安排。
2、每支参赛队从在线初赛名单中选择不超过6名队员参加现场比赛,其中场上允许不超过4名队员,2名队员在场边候补,可由指导老师或场上队长申请替补上场。
3、总决赛时间/地点:2018年7月24日——2018年7月26日期间,具体地点为:清华大学李兆基大楼二楼A278多功能厅。
4、总决赛采用开放命题形式的创新实践能力攻防赛,由BuildIt(创新安全应用开发)、综合攻防(包含BreakIt安全应用攻击破解、FixIt安全应用漏洞修补等综合能力)、ShareIt分享三个环节构成,参赛队伍必须参加所有环节,否则视为放弃比赛资格。
5、BuildIt环节:赛队根据技术委员会发布的应用场景开发功能与特性需求,选择其中一个场景,开发出符合所要求功能与特性的安全应用,并预设适合攻防竞赛模式的创新性网络安全挑战,构建出靶标环境,具体场景需求、功能接口、提交靶标要求与半决赛相同(https://github.com/CyberPeace/ciscn2018-template)。赛队提交靶标环境后,由技术委员会使用Checker程序进行测试,根据通过功能特性测试的比例,给出功能实现度评价,队伍可在官方提供Checker程序基础上进行增加功能检查逻辑,提交Checker程序用于比赛时的服务正常性检测。对参赛队伍提供的EXP脚本进行预设创新性网络安全挑战测试,其中EXP利用的预设网络安全技术挑战点不应超过5个,EXP代码采用标准编码规范,应不加任何混淆且不包含Pre-Shared Key或弱密码列表等等,代码长度原则上应少于200行,以能成功获取平台方配置的Flag,同时包含完整的EXP、Hints、Writeup、分享PPT等代码和文档,给出EXP创新性与完整性评价。
总决赛赛队的靶标环境提交截止时间为7月10日23:59分, 发送邮件和附件至:ciscn2018@126.com,请在邮件标题中标明战队和场景类型(Pwn、Web)。
技术委员会审核通过的靶标环境进入候选靶标库(注:Web将在靶标环境中均包含源代码,Pwn场景二进制代码将在比赛平台的靶标列表中提供下载链接),每个队伍抽取等数量的N个(N为6-12区间,由技术委员会根据提交靶标数量和难度在赛前确定)靶标环境(根据所有靶标环境的比例,分配每个队伍Web及Pwn靶标环境的比例),自己队伍Build的靶标环境不由本队使用,每个审核通过的靶标环境被分配给尽可能相同数量的队伍运维(可能存在队伍靶标审核不及格造成无法分配相同数量队伍的原因)。
赛队在BuildIt环节得分根据功能实现度、EXP创新性与完整性这两个维度进行综合计分。网络安全挑战创新单项奖根据BuildIt环节(20分)和ShareIt环节(80分)的综合计分,由技术委员会评定。
每个赛队与该分区赛队BuildIt环节最高分进行归一化处理,乘以基础系数(如1500分)后作为综合攻防环节的附加基础分。BuildIt环节其中功能实现度10分、EXP创新性与完整性10分,当功能实现度和EXP创新性与完整性合计分不及格(Web、Pwn场景的具体及格分视提交靶标数量、质量由技术委员会确定),将可能审核不通过,不进入候选靶标库,则该赛队在综合攻防环节的附加基础分为0,并失去面对本队Build靶标环境进行得分的优势条件。
6、综合攻防环节:综合攻防环节中各参赛队伍同时进行BreakIt安全应用攻击破解和FixIt安全应用漏洞修补的操作,并采用“零和游戏”计分规则进行计分与排名。
综合环节开始时刻各赛队的初始分数为1500 * N + BuildIt环节附加基础分,分为N个分值桶,对应赛队所需维护的N个靶标环境。
各赛队在每个回合中,均可对其他赛队运维的靶标环境进行预设安全挑战研究与破解,尝试检测出靶标环境中的预设安全挑战或者未预期安全漏洞,攻破靶标环境获取动态Flag并提交到比赛平台进行验证得分,如Flag验证通过,则根据当前回合该Flag被M个队伍成功获取提交,平分获得50/M得分(加入得分队伍相同列靶标环境的分值桶),而被获取Flag的赛队失去50分。如被攻击赛队该靶标环境的分值桶已到0,则被获取Flag不再失分,而其他赛队也不再得分。
各赛队在每个回合中,也可以对自己运维的靶标环境进行预设安全挑战的研究与修补,尝试修复靶标环境中的预设安全挑战或者未预期安全漏洞,以防止其他赛队通过攻击获取本方运维靶标环境的动态Flag进行得分,在进行漏洞修补的过程中必须保证己方靶标环境的正常工作并通过竞赛平台每回合的功能Check,如靶标环境宕机或无法通过功能Check,则赛队失去50分,平分给当前回合相同列靶标环境正常的P个赛队,每个赛队获得50/P得分(加入得分队伍相同列靶标环境的分值桶),如相同列靶标环境所有队伍均异常,则不失分,其他赛队也不得分。如失分赛队该靶标环境的分值桶已到0,则不再失分,而其他赛队也不再得分。
赛队在进行靶标环境FixIt的同时,也可以借助对靶标环境的代码审计或逆向分析发掘安全漏洞,以及通过对靶标环境遭受攻击流量(在比赛平台上获取上一回合的流量)进行分析,支持对其他赛队相同靶标环境的攻击。
综合环节分两天赛程,则第一天上线2/3 * N(如N=9时,则为6)的赛题,第二天上午上线1/3 * N(如N=9时,则为3)的赛题,第二天上午每回合的时长为第一天的1/2(如第一天回合每10分钟,则第二天上午每回合5分钟)。
综合攻防环节结束后,以当前各赛队的积分排行榜作为比赛最终成绩及排行。
7、ShareIt环节:各赛队必须事先准备对BuildIt环节设计靶标环境中的创新网络安全技术挑战的分享PPT,5分钟进行设计创新思路的展示,并在3-5分钟的Challenge质询时间中接受技术评委和其他赛队的提问并回答,技术专家组评委根据BuildIt环节得分和ShareIt各赛队的分享情况,评出网络安全挑战创新单项奖获奖队伍。
8、总决赛参赛队严禁泄露参赛靶标题目环境;赛中允许参赛队伍访问互联网查询资料,但不允许参赛队使用手机、即时通信软件等渠道与外界沟通交流,第一次发现给予警告处理,第二次发现将取消比赛资格;采取比赛平台严格的反作弊监控机制;技术委员会有权要求所有赛队在第一天结束和第二天结束的1小时内提交破解攻击报告和EXP代码,由技术委员会进行审核,以确定比赛得分和排名,对于过程中发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
重要时间节点:
7月10日
总决赛赛队的靶标环境提交截止时间为7月10日23:59分, 发送邮件和附件至:ciscn2018@126.com,请在邮件标题中标明高校名称、战队名称和场景类型(Pwn、Web)。
7月24日
报到,清华大学李兆基大楼二楼A278多功能厅
教育部高等学校信息安全专业教学指导委员会
第十一届全国大学生信息安全竞赛创新实践能力赛组委会
2018年6月26日