目录
1 比赛简介
信息安全已涉及一个国家的政治、经济、文化、社会和生态文明建设。信息系统越先进,人们对它的依赖就越强,在某种程度上,它越容易被攻击,被攻击的后果就越严重。 “网络安全和信息化是一个身体的两个翅膀,一个驱动的两个轮子。没有网络安全,就没有国家安全。”信息是社会发展的重要战略资源。国际上关于信息获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争力和生存能力的重要组成部分。
信息安全与对策大赛(ISCC:Information Security and Countermeasures Contest),2004年首次举办(国内一),2022年大学生大赛第19届,中小学生信息安全比赛将是第11)。河南赛区第10,广西赛区第9,研究生赛区第5。累计参加人数超过20,000人。近年来,参与的高校有1000多所,影响广泛而深远。
ISCC2022新增“数据思维大赛”,由个人挑战赛、团体赛、无限竞技场和数据思维大赛4个比赛组成。
ISCC不断追求“更高、更快、更强”,不断培养高素质的信息安全人才。
2 比赛目的
全面贯彻国家关于网络空间安全和信息化工作的重要精神,提高信息安全意识,普及信息安全知识,践行信息安全技术,营造信息安全环境,发掘信息安全人才!
3 比赛形式
比赛由个人挑战赛、小组赛、无限竞技场和数据思维4个项目组成。
个人挑战为线上模式,题型包括CHOICE、WEB、REVERSE、PWN、MISC、MOBILE等,部分题型为组合题。
CHOICE:涉及信息安全的各个知识点,适合刚接触信息安全的人。 WEB:考查sql注入、跨站脚本攻击、上传漏洞攻击、PHP代码审计等知识。这些主题有时会与其他问题类型结合使用。 REVERSE:要考察反向破解的能力,需要精通汇编语言。 PWN:调查软件漏洞挖掘和利用能力需要很好地掌握操作系统原理。 MISC:检查隐写术、流量分析和内核安全等技术。 MOBILE:考察移动终端的安全攻防能力。组合题:2或3道同类型或不同类型的问题串联起来。如果无法获取上一题的提示信息,则很难解出下一题的flag。组合题的格式为“xxx-1”、“xxx-2”、“xxx-3”。
团体赛是线下模拟环境中的真实对抗。主要采用夺旗、占领制高点的方式进行攻防比赛。比赛过程中,各队通过入侵指定服务器获得旗帜得分,并在进攻制高点后防御其他队的进攻。
无限竞技场主要面向具有扎实基础知识、丰富解决问题经验或创新思维的玩家。参赛者通过在赛场上答题获得参赛资格。提交原创问题并通过主办方审核后,参赛者的问题将代替赛场上的问题,实现对战成功。奖励积分将根据在竞技场中未解决的圈内问题的持续时间授予。持续时间越长,获得的积分越多。
数据思维大赛主要面向具备数据挖掘基础知识和实践创新能力的选手。旨在激发玩家对网络安全数据挖掘的兴趣,培养综合数据分析能力。参赛者根据赛题要求,利用机器学习方法对试题中描述的应用问题进行建模,并在测试数据集上提交预测结果。排行榜是对提交预测结果的玩家以及提交预测结果的顺序的综合排名。
4种进入方式
个人挑战赛、无限竞技场和数据思维大赛不仅面向在校学生,也面向各行各业的人。参赛者可通过大赛入口()报名参赛。本次比赛暂不接受团队参赛。
河南、广西参赛选手选择相应赛区(河南赛区、广西赛区)报名,除河南、广西以外的非在校生或在校生选择中小学生、大学生或研究生参赛地区根据自己的情况。除高校赛区外,河南、广西、中小学生、研究生赛区的选手在注册时需在用户名前添加HN、GX、nycc、GRD前缀。格式为前缀-用户名(例如:HN-Zhang三)。如发现用户名前缀、赛区等与获奖信息中的事实不符,将不再调整,并相应取消获奖资格。
请不要在用户名、团队等注册信息中包含暴力、色情、政治等相关表达,否则账号将被删除。
小组赛将评选出个人挑战赛、无限竞技场赛、数据思维赛的优秀选手以及各赛区推荐的部分选手,每组3名。
5 比赛日程
个人挑战赛、无限竞技场和数据思维大赛将于2022年4月30日上午8:00开放报名,2022年5月1日上午8:00正式开始,比赛时间一般为25天左右。
小组赛将在个人挑战赛、无限竞技场赛和数据思维赛之后的夏季举行。一般持续一天,时间一般安排在七月中旬。比赛暂定地点为北京理工大学。
6 场比赛回顾 6.1 个人挑战赛
个人挑战赛采用积分制,参赛选手按积分排名。玩家的最终得分是通过每一关所获得的积分的累加。玩家根据他们的分数进行排序。当两个玩家的分数相同时,检查每个玩家通过最后一关的时间。先过的比后过的好。最后根据排名颁发奖项。
个人挑战的题型将由组委会根据赛程和选手解题进度逐步开放。个人挑战的答案是提交一个标志,该标志将由系统自动审核。个人挑战赛每道题目的分数从50分到500分不等,分数信息会在具体题目中给出。个人挑战赛参赛者根据他们正确提交旗帜的顺序获得每个问题的积分。同一题,前10名选手提交正确的flag可获得该题100%的分数,第11-90位选手将获得该题90%的分数,其余选手将获得该题80%的分数。分数。积分相同时,按照最后一个评分题的提交时间,先提交者排名靠前。如果没有选手能解决某道题,组委会将适时发布提示信息。如参赛者发现竞赛平台或竞赛问题有任何意想不到的漏洞并通知组委会,组委会将酌情加分。禁止对大赛名称以外的平台进行攻击,违反规则者将被取消比赛资格。 6.2 场小组赛
小组赛将根据题目的性质进行评分,并有加分项和扣分项。
参赛队伍不得分享任何解决问题的想法和旗帜,违反规则者将被取消比赛资格。严禁暴力破解比赛平台,违者取消比赛资格。严禁对大赛名称以外的比赛平台进行攻击,违反规则者将被取消比赛资格。 6.3 无限竞技场
该奖项基于评分系统。参赛者根据他们的分数进行排名。比赛分数是根据参赛者的分数和成功的顺序。参赛者的最终得分是答题和原题所获得的分数的累加。球员按分数排序。当两名玩家得分相同时,检查他们第一次成功战斗的时间。第一个胜者比后一个胜者好。
在擂台赛中,主办方将首先发布第一轮擂台题,然后选手进行角逐并上传。题目分为WEB、REVERSE、MISC、MOBILE、PWN五种,每一种都有一个圆环。选手在赛场内正确解决某类题目后,将获得150个答题分,之后可将自己设计的同类题目发送至组委会邮箱。经组委会审核通过后,可以更换擂台的称号,算是打赢了。竞技场中每个问题的分数随着没有人解决它的时间的增加而增加。如果3小时内没有人解决,您将获得300分,如果6小时内没有人解决,您将获得450分。时间是开始问题的初始时间,直到参赛者正确提交旗帜。如果超过 3 天没有解决方案,将发布解决方案提示。挑战邮件的主题为“主题类型+玩家注册id”,审核顺序为收到邮件的顺序,而不是提交挑战flag的顺序。 ),本轮剩余参赛者提交的问题将不予审核,下一轮解旗后参赛者可再次提交。每日复习题为前一天0-24:00发送的题。竞技场答题方式为提交旗帜,系统会自动审核。如果标记正确,则可以提交原始问题。提交问题的时间不得早于系统记录的参赛者提交同类型问题标志的时间。组委会更换赛场题目的时间为每天15:00。参赛者提交的材料必须包括所有源代码文件和flag信息、详细的编写和解题脚本,以及问题部署方法的文档等,具体请参考“ISCC竞赛挑战模板” 缺乏相关资料将不予批准。同一玩家可以同时在多个竞技场中战斗。最终的竞技场分数是所有问题的分数的累积总和。选手在赛场上发现题目有漏洞或其他错误,可通过邮件或QQ群进行举报。经组委会审核核实后,将酌情扣除提问者对应问题的初分。参赛者的问题如包含暴力破解或其他不符合比赛内容的问题,将不予审核通过。所有题目必须为参赛者原创,如有雷同或其他作弊行为,将严肃处理。禁止对赛题以外的平台发起攻击,禁止在提交的赛题中隐藏后门。违反者将被取消比赛资格。 6.4 数据思维大赛
数据思维竞赛是一个单独的赛道,奖项基于排名系统。参赛者将根据每个问题的预测结果和提交预测结果的顺序进行排名。选手的最终排名是通过对每道竞赛题名次的综合计算得出的。当两位选手得分相同时,以最后一次有效提交的时间为准,先提交的比后提交的要好。
数据思维竞赛的问题将在比赛当天向组织者开放。数据思维竞赛的答题方式是按照竞赛要求的格式提交预测结果。参赛者需由系统根据相应的评价指标给出。比赛名单分为A和B两个名单,分别对应不同的测试数据。 A列表的归一化显示了每个玩家在相应测试数据上的历史最佳成绩,按照评价指标排序。 B 列表被隐藏。比赛结束时,将显示选手在B名单测试数据上选择的预测结果文件的结果,作为最终成绩判断的依据。注:比赛结束后,参赛者选择的预测结果文件将自动计分和排名。如果不选择,则默认选择最后提交的预测结果文件。每位参赛者每天最多可以提交 5 次相同的问题。禁止提交非规定格式的预测结果文件,禁止攻击比赛平台。违反者将被取消比赛资格。本次数据思维大赛是首次举办。具体规则可能会在比赛期间发生变化。请留意比赛网站的通知。 7 联系方式
参赛作品:
比赛邮箱:iscc2004@163.com
赛群QQ群:942756880(供参赛者进行技术交流,严禁剧透)
8 个组织单位
主办单位:
中国兵器工程学会
中国兵器工程学会信息安全与对抗专业委员会
主办单位:
北京理工大学信息系统与安全对策实验中心
协办单位:
广西壮族自治区科学技术协会
广西信息安全学会
河南科联电子科技有限公司
IoTeX 基金会
北京大学软件学院信息安全团队
公安部第三研究所《信息网络安全》杂志社
9 其他事项 本次大赛旨在普及信息安全知识信息安全对抗赛新闻稿,引导初学者学习,为技术爱好者提供交流平台。恶意攻击比赛服务器的参赛者将被取消比赛资格。比赛最终解释权归“信息安全与对抗技术大赛组委会”所有。 10 个常见问题解答
1.什么是ISCC?
ISCC是Information Security and Countermeasures Contest(信息安全与对策竞赛)的缩写。 ISCC由北京理工大学罗琳琳教授提出。最初由北京理工大学教务处主办,后由教务处、网络中心、团委联合主办。截至目前,已有多家赞助商、协办单位和支持单位。其宗旨是面向广大公众:提高信息安全意识,普及信息安全知识,实践信息安全技术,营造信息安全环境,发现信息安全人才。
ISCC分为“个人挑战赛、无限竞技场和数据思维”和“团体赛”两个阶段。
2.什么是CTF(夺旗)?
CTF抓旗是信息安全竞赛的一种形式,旗是一串字符信息,可以放在远程服务器上,也可以加密隐藏在各种不易获取的媒体中使用逆向工程、解密、取证分析、渗透等技术进行标记。
CTF夺旗通常有危险和攻防两种形式。 (1)在解题模式下,通过一系列不同类型的问题,比如提供一个易受攻击的服务、提供一段网络流量、提供一个加密数据等等,flag就隐藏在这些问题,玩家通过解决问题获得积分。
(2)在攻防模式下,通过提前给出一个带有一系列漏洞的近乎真实的服务环境,让每个团队拥有相同的环境。还需要攻击其他团队的服务,在别人的环境中获取flag来得分,比赛过程更加激烈。
3. 有哪些类型的竞赛问题?有多难?
ISCC主题涵盖范围广泛,包括但不限于Web渗透、漏洞挖掘与利用、加解密等。
ISCC 问题的难度差异很大。一方面,对于尽可能多的参赛者来说信息安全对抗赛新闻稿,参赛有一定的机会和效果。另一方面,对于能够充分发挥自己能力的优秀选手来说,也有问题。
4. 我可以参加 ISCC 吗?如何报名?
任何人都可以参加 ISCC。个人挑战赛、无限竞技场和数据思维比赛只需要在网站上注册一个账号即可参加。团体赛采用选拔邀请制。
