“网络内生安全试验场”(Network Endogens Security Testbed,NEST),是由网络通信与安全紫金山实验室创建,国际上首个永久在线、面向全球开放的网络安全防御技术试验场。NEST将为各类网络设备和信息系统提供全球性众测平台,对被测设备的安全指标进行全面度量,为“红蓝式”网络攻防对抗演练提供近似真实环境的试验性网络,也可为网络安全从业人员提供全面技能培训。试验场聘请第三方机构负责在线运营,即日起接受众测报名申请,6月26号开始首批线上众测,随时欢迎来自全球个人和组织的挑战。同时,试验场将向全球提供技术验证、安全比赛、能力评价等多项服务,打造成全球网络安全新高地,孵化出多样化、领先的技术产品,用创新技术和实践效果推动网络空间命运共同体建设不断取得新进展。

NEST首批提供四款产品众测场景和一项体系化应用众测场景,依据报名用户信息分配测试时段和测试场景,采用有偿众测模式,第一年度奖金总额150万元人民币,欢迎全球个人和组织参与挑战!

参与地址:https://nest.ichunqiu.com/


我国首个网络内生安全试验场平台正式启动报名,接受全球...

“万物互联时代,带来便利的同时,网络安全问题成为挥之不去的梦魇。据国家互联网应急中心《2018年中国互联网网...

更多新闻中心

拟态原理介绍


为了让用户更加清晰理解网络空间拟态防御原理脉络,我们将理论要点归纳为“8122”即:

围绕一个前提:网络空间未知漏洞后门等引发的不确定威胁;

基于一个公理:相对正确公理,可以有条件的感知不确定威胁;

发现一个机制:只要具有“初始信息熵不减”的自适应机制就能稳定防御不确定威胁;

发明一种构造:具有广义鲁棒控制性能的动态异构冗余构造DHR;

导入一种机制:拟态伪装机制;

形成一种效应:测不准效应;


获得一类功能:内生安全功能;

归一化处理二类问题:使得传统可靠性和非传统网络安全问题的一体化处理成为可能;

产生一种非线性防御增益:导入任何一种安全技术均可指数量级的提升构造内的防御效果。



线上众测场景

NEST系统测试的目标环境包括众测单个设备场景和众测设备体系化应用场景。单个设备场景包括:路由器(CL-DM-RT1810E)场景、域名服务器(MD-1709A-100)场景、文件存储系统(HD-MDS1800H)场景、Web服务器(AMWS-H/T-4)场景。

众测设备体系化应用场景由防火墙(NGFW4000-UF)、路由器(CL-DM-RT1810E)、域名服务器(MD-1709A-100)、文件存储系统(HD-MDS1800H)、Web服务器(AMWS-H/T-4)构成。防火墙连接路由器,路由器下联域名服务器、文件存储系统和Web服务器。




线上众测流程

众测人员在NEST系统注册用户信息,NEST系统确认申请信息后分配VPN账号、测试时段和众测单个设备场景。众测人员在授权时段登录VPN账号对授权的单个设备场景进行测试,NEST系统根据测试规则评判用户在单个设备场景获取的积分和奖金奖励,获取奖金用户需提供测试报告用于奖金审核确认。


每个月单个设备场景排名前6的众测人员,获得众测设备体系化应用场景测试资格,于次月按照排名先后顺序安排测试,每人测试时间为3个时间片,NEST系统根据测试规则和测试报告评判是否完成体系化应用场景完全逃逸。


NEST系统每周公布积分,每月公布并发放奖金。



NEST积分奖励规则

规则说明:

1.

单独众测设备执行体的漏洞挖掘利用:以授权用户通过挖掘利用执行体漏洞造成执行体输出触发裁决器异常报警为标准,每个众测设备的每个执行体作为测试目标设定1000分,重复造成同一执行体输出触发裁决器异常报警不会累计得分。

2.

单独众测设备完全逃逸:授权用户如完全突破裁决机制,控制众测设备修改其中的指定目标数据,必须及时提交逃逸众测设备的解题报告,由裁判组判定是否合规。每月每个众测设备完全逃逸赏金为1万元人民币。若当月某款众测设备没有众测选手获得赏金,则该设备的1万元人民币赏金滚动到下一个月,滚动满12个月后重置。

3.

众测体系化应用场景完全逃逸:授权用户直接突破多个众测设备构建的网络应用场景,修改其中的指定目标数据,必须及时提交逃逸网络应用场景的解题报告,由裁判组判定是否合规。网络应用场景完全逃逸突破的赏金为100万元人民币。

4.

所有众测赏金的发放以月为单位执行。

奖励原则:

1.

选手通过自己的测试操作,如果获得奖金就不会取得积分;同样的,如果取得积分就不会获得奖金;

2.

每月每个众测设备完全逃逸赏金为1万元人民币。若当月某款众测设备没有众测选手获得赏金,则该设备的1万元人民币赏金滚动到下一个月,滚动满12个月后重置;

3.

奖金和积分是没有兑换关系的,选手获得的积分目前只是会在以后的测试中取得相应的优先权,没有其他奖励措施。

设备
攻击裁决类型
攻击裁决标准
奖励
备注
奖金(万元)
积分(分)
域名服务器 MD-1709A-100
执行体扰动
执行体扰动的标准是成功修改域名服务器中少数(大于等于1且小于 1/2总在线执行体数量)执行体的指定域名与 IP 的映射关系,触发裁决器异常报警即可得分。
1000 * N
1个执行体1000分,相同执行体不累计计分
系统逃逸
系统逃逸的标准是在域名服务器的多数(大于总在线执行体 1/2)在线执行体中同时且同样修改指定域名与 IP 的映射关系,并使该域名错误的解析结果能够持续(保持)3分钟以上修改状态,通过裁决后即得分。
1
若当月无选手获得奖金,1万元人民币自滚动到下个月
路由器 CL-DM-RT1810E
执行体扰动
在路由器的一个在线执行体中成功注入通向flag服务器或flag提交页面的路由表项,即可触发裁决器异常报警并得分。
1000 * N
1个执行体1000分,相同执行体不累计计分
系统逃逸
在路由器的多数(大于总在线执行体 1/2)在线执行体中同时注入指定的路由表项,使该路由表项生效;
在实现逃逸以后,选手可登录至flag服务器,flag服务器IP地位为200.1.X.1(X为选手组编号的有效位),登录方式为ssh, 用户名: mimic, 口令: mimic。
在服务器默认目录下获取flag文件并提交,核验通过后即可得分;flag提交地址为http:// 200.1.254.2(注入路由表项后才能访问)。
1
若当月无选手获得奖金,1万元人民币自滚动到下个月
文件存储系统 HD-MDS1800H
执行体扰动
成功修改其中一个在线执行体的指定元数据目录,触发裁决器异常报警即可得分。
1000 * N
1个执行体1000分,相同执行体不累计计分
系统逃逸
同时在所有在线执行体中修改指定的元数据目录,使修改后的元数据信息持续(保持)3 分钟以上修改状态,通过裁决后即得分。
1
Web 服务器 AMWS-H/T-4
执行体扰动
成功修改其中一个执行体的 index.html 页面 (添加“teamXYZ”字样信 息,其中XYZ为选手组编号),并且通过浏览器访问时能够触发裁决器异常报警。
1000 * N
1个执行体1000分,相同执行体不累计计分
系统逃逸
在 web 服务器的多数(大于 1/2)执行体中同时修改 index.html 页面(添加teamXYZ字样信息,其中XYZ为选手组编号),通过浏览器能够持续访问修改后的 index.html 页面,并且持续3分钟以上通过裁决。
1
若当月无选手获得奖金,1万元人民币自滚动到下个月
众测体系化场景
体系化场景突破逃逸
授权用户直接突破多个众测设备构建的网络应用场景,修改其中的指定目标数据,及时提交逃逸网络应用场景的解题报告,且由裁判判定合规。
100