1 竞赛简介
信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。
信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年创建(国内第一),已连续举办21届,同时面向大学生、研究生和中小学生,累计参赛人数10.3万人次以上,近年来参赛院校1200多所,影响广泛且深远。
ISCC赛项包括个人挑战赛、分组对抗赛、无限擂台赛、数据思维赛、创新作品赛、智能安全赛等,助力人才培养,体现生命价值。
ISCC不断追求“更高、更快、更强”,持续培养高品质信息安全与对抗专业人才。
2 竞赛宗旨
全面贯彻国家关于网络空间安全和信息化工作的重要精神,提升信息安全意识,普及信息安全知识,实践信息安全技术,共创信息安全环境,发现信息安全人才!
3 竞赛形式
竞赛包括6项:个人挑战赛、分组对抗赛、无限擂台赛、数据思维赛、创新作品赛、智能安全赛。
个人挑战赛采取线上模式,题目类型包括CHOICE、WEB、REVERSE、PWN、MISC和MOBILE。选手通过运用SQL注入、软件逆向、软件漏洞挖掘、隐写术、移动端安全攻防等技术,从所给题目中获得flag并提交。竞赛管理方将判别选手提交flag是否正确,并综合提交时间等因素给出选手所得分数。
分组对抗赛为线下模拟环境中的真实对抗,主要采取阵地夺旗、占领高地等模式进行攻防比拼。比赛时,各队伍通过对指定的服务器进行入侵攻击达到获取flag的目的而得分,并在攻上高地后防御其他队伍的攻击。
无限擂台赛主要面向基础知识扎实,做题经验丰富或极具创新思维的选手。选手通过解答擂台上的题目来获得打擂的资格,解题成功后可以提交自己原创的题目。在提交原创题目且题目通过主办方的审核后,选手的题目将取代擂台上的题目,实现成功打擂。根据擂台题目在擂台上未被解出的持续时间获得加分,持续时间越长,获得的分数越多。
数据思维赛主要面向具备基础数据挖掘知识和实践创新能力的选手,意在激发选手对网络安全数据挖掘的兴趣,培养数据分析综合能力。选手根据赛题要求使用机器学习方法对题目中描述的应用问题进行建模,并提交对测试数据集的预测结果。综合考虑选手提交预测结果的准确性和提交时间的先后顺序,计算选手的成绩排行榜名次。
智能安全赛设置不同的赛项,将涵盖工、农、医、文、商等学科,旨在鼓励信息安全技术与其他各领域学科的智能融合,推动学科交叉合作,培养更具创新意识和技术综合应用能力的人才。选手可选择不同的融合赛项,依据对应赛项的具体说明完成对应任务。组委会依据对应赛项的评分准测完成成绩评定并排名。
创新作品赛采用开放式自主命题方式,意在激发选手在信息安全方面的创新热情。选手将以信息安全技术及其应用为主要内容,自主命题、设计、开发完成原创性作品,并按时提交相关材料。竞赛组委会将组织专家进行综合评判后给出评分。
4 参赛方式
选手可通过竞赛入口(http://www.isclab.org.cn)注册参赛。
特定赛区选手必须选择赛区进行注册,非特定赛区选手则根据学历选择中小学生、大学生或研究生赛区。用户名、队伍等注册信息中,请勿出现暴力、色情、政治等相关表述,否则将删除该账号。
选手在报名注册的时候不需要根据不同赛区添加用户名的前缀,在报名信息提交之后,将会根据所选赛区自动生成带有正确前缀的登陆用户名。
评奖过程中,若发现选手所选赛区等信息与事实不符的情况,将不再进行调整,同时将取消相应选手的评奖资格。
采用组队模式的赛项一般队伍人数不超过3人。
各赛项举办的时间有所不同,请及时关注官网通知。
5 竞赛日程
个人挑战赛、无限擂台赛、数据思维赛将于2024年4月30日上午8:00开放注册,5月1日上午8:00正式开始,比赛一般持续25天左右。
分组对抗赛、创新作品赛、智能安全赛等赛项的时间、地点待定。
6 竞赛评测
6.1 个人挑战赛
个人挑战赛评奖采用积分制,参赛选手按积分的多少进行排序。竞赛积分以选手攻关数目和系统记录的过关时间为依据,选手的最终成绩为通过各关所获积分的累积。系统将按积分数目对选手进行排序,当两名选手积分相同时,则查看各自通过最后一关的时间,先通过者优于后通过者。最后按照名次先后进行评奖。
个人挑战赛题目会根据时间安排以及选手的解题进度由组委会逐步开放。
个人挑战赛答题方式为提交flag,由系统自动审核。
个人挑战赛每题分值从50-500分不等,分值信息会在具体题目中给出。
个人挑战赛选手得到的每题分数根据提交正确flag的顺序确定。对于同一道赛题,前10名提交正确flag的选手可以得到该题目分值的100%,第11到100名选手得到该题目分值的90%,第101到500名选手得到该题目分值的80%,第501到1000名选手得到该题目分值的70%,第1001到2000名选手得到该题目分值的60%,其余选手得到该题目分数的50%。
积分相同时,根据最后一道得分题目提交时间,先提交者名次高。
若某道题目没有选手能解出时,组委会将适时发布提示信息。
选手若发现竞赛平台或者赛题有非预期漏洞并通报组委会时,组委会将给与一定的加分。
禁止对赛题以外的平台发起攻击,违规者一律取消参赛资格。
选手之间分享解题思路或交流flag将被视为作弊行为。
6.2 分组对抗赛
分组对抗赛视当年题目性质评定分数,有加分和减分项。
禁止参赛队之间分享任何解题思路及flag,违规者一律取消参赛资格。
禁止任何对比赛平台的暴力破解,违规者一律取消参赛资格。
禁止对赛题以外的比赛平台发起攻击,违规者一律取消参赛资格。
6.3 无限擂台赛
评奖采用评分制,参赛选手按分数多少进行排序,竞赛评分以选手得分及打擂成功的先后顺序为依据。选手的最终成绩为解答题目与原创题目所获分数的累积。选手按分数多少进行排序,两名选手得分相同时,则查看各自第一次打擂成功的时间,先成功者优于后成功者。
擂台赛首先由主办方放出第一轮擂台题目,之后由选手进行打擂、上传。题目分为WEB、REVERSE、MISC、MOBILE和PWN五种类型,每种类型一个擂台。
选手正确解出擂台上某种类型的题目后,获得150答题分,之后可以向组委会邮箱发送自己设计的同种类型的题目。待组委会审核通过后即可替换擂台题目,即视为打擂成功。
擂台上每道题目的得分随无人解出时长的增加而增加,3小时内无人解出可获得300分,6小时内无人解出可获得450分。计时以题目开放时间为始,至有选手提交正确flag为止。如果超过3天时间无人解出,将会放出解题提示。
擂台赛答题方式为提交flag,由系统自动审核,flag正确即可进行原创题目的提交。提交题目的方式为发送打擂邮件,提交的时间不得早于系统记录的该选手提交同类型题目的flag的时间。
打擂邮件的主题为“题目类型+选手注册id”,审核顺序为邮件接收的顺序而非提交擂台题目flag的顺序。符合要求的题目即可通过审核,从而替换擂台中的题目(即打擂成功)。本轮其余选手提交的打擂题目将不再审核,选手可留至下一轮打擂解出flag后再次提交。
组委会每日9~21点将审核选手前一天0~24点发送的题目,若题目未通过审核,将以邮件形式回复结果。当擂台上的题目被解出且已有审核通过的新题时,组委会将于当天15点替换擂台题目。
选手提交题目的材料需包括:所有的源码文件及flag信息、详尽的writeup和解题用到的脚本,以及题目部署方式文档等。具体内容参见“附件2:ISCC擂台赛出题模板”。缺少相关材料的题目将不会通过审核。
同一选手可同时在多个擂台进行打擂,最终擂台赛成绩为所有题目得分的累加。
选手发现擂台上的题目有漏洞或其他错误可通过邮件或QQ群进行反映,经组委会审查核实后,将酌情扣除对应出题人的题目初始分。
选手题目如包含需暴力破解或其他不符合竞赛内容的题目将不会通过审核。
所有题目均需选手原创,一经发现雷同或其他作弊行为将严肃处理。
禁止对赛题以外的平台发起攻击,禁止在提交的赛题中隐藏后门,违规者一律取消参赛资格。
6.4 数据思维赛
数据思维赛为单独赛道,评奖采用排名制。参赛选手在每道赛题中将根据预测结果及提交预测结果的先后顺序获得排名。选手最终排名由各赛题的排名综合计算获得。两名选手成绩相同时,参考最后一次有效提交的时间,先提交者优于后提交者。
数据思维赛赛题由主办方于开赛当天统一开放。
数据思维赛答题方式为提交赛题要求格式的预测结果,系统将根据对应的评价指标给出成绩。
竞赛的榜单分为A、B两个榜单,不同榜单分别对应不同的测试数据,而采用相同的评价指标评估选手分别提交的A、B榜单预测结果。A榜常态化显示每位选手在对应测试数据上的历史最优成绩,按照评测指标排序。B榜成绩暂时隐藏,在竞赛结束后,将在B榜上显示选手选定的预测结果的成绩,并以B榜成绩作为最终成绩判断的依据。注意:在竞赛结束后,将对选手选定的预测结果文件进行自动评分并排名,若不选定,则默认选取最后一次提交的预测结果文件。
同一道赛题每位选手每日的提交次数上限为5次。
禁止提交除了规定格式以外的预测结果文档,禁止对比赛平台发起攻击,违规者一律取消参赛资格。
本届数据思维赛为第3次举办,具体规则在比赛期间可能会有变动,请各位选手注意关注竞赛网站通知。
6.5 智能安全赛
智能安全赛为单独赛道,采用组队模式进行竞赛。参赛队伍将在组委会给出的不同赛项中选择参赛赛项,并依据所选赛项的具体要求,完成对应的赛项任务。竞赛组委会将会依据不同赛项的评分表对参赛队伍进行打分,并依据所打分数对参赛队伍进行排名,该排名只在对应赛项中进行,不会跨赛项排名。
智能安全赛将分为选拔赛和国赛两个阶段。选拔赛为专项赛形式,线上提交作品,评委评审后确定晋级名单。通过选拔的队伍将参加国赛,国赛采取线下竞技方式。
具体规则在比赛期间可能会有变动,请各位选手关注竞赛网站的具体通知。
6.6 创新作品赛
创新作品赛为单独赛道,采用组队模式进行竞赛。参赛队伍应该以信息安全技术及其应用为主要内容,并自主设计参赛题目。参赛作评应该是参赛队员自主设计、独立开发完成的原创性作品,并在规定时间内完成设计、调试、文档撰写并提交到指定平台。竞赛组委会将组织专家对参赛队伍提交的作品从原创性、创新性、应用价值、文档规范等方面进行评审打分,并依据最终得分进行排名。
具体规则在比赛期间可能会有变动,请各位选手关注竞赛网站的具体通知。
7 联系方式
成信大校内联络:
联系人:段老师/贾老师QQ 1726213651 3061847647
请各参赛队伍于4月30日之前加群。
竞赛入口:http://www.isclab.org.cn
竞赛邮箱:iscc2004@163.com
竞赛组QQ群:619577692(ISCC-2024)或852601317(ISCC-2024-2群)(供参赛者进行技术交流,严禁讨论解题方法或透露flag内容)
8 经费支持
结合教务处对我院学科竞赛的经费支持情况及学院对竞赛经费的使用规划,拟对本次大赛涉及的个人挑战赛、分组对抗赛、无限擂台赛、数据思维赛、创新作品赛、智能安全赛等六个赛道的差旅费用支持方案如下:
1、费用支持仅限于本科生,不含指导老师以及领队老师的出差费用;
2、每个赛道最多支持1支队伍线下参赛,费用上限为7000元,其中:
(1)比赛若未获得任何奖项(不含优胜奖),不予支持。
(2)同一赛道有多支队伍参赛且均获奖,只支持获奖等级较高的1支队伍;
(3)同一赛道有多支队伍参赛且均获奖,当出现获奖等级较高的队伍有2支及以上时,符合支持的所有队伍均分7000元。
9 其他事项
竞赛旨在普及信息安全知识,引导初学者进行学习,并为技术爱好者们提供一个交流的平台。恶意攻击竞赛服务器的参赛者将失去比赛资格。
竞赛的最终解释权归“信息安全与对抗技术竞赛组委会”所有。
10 FAQ
ISCC是Information Security and Countermeasures Contest(信息安全与对抗技术竞赛)的缩写,每年举办1届,2004年举办第1届竞赛,2024年为第21届竞赛。ISCC由北京理工大学罗森林教授提出,最早由北京理工大学教务处主办,而后由教务处、网络中心、团委共同主办。截止目前已有多家主办、协办和支持单位,其宗旨是面向广大民众:提升信息安全意识,普及信息安全知识,实践信息安全技术,共创信息安全环境,发现信息安全人才。
CTF夺旗赛是信息安全竞赛的一种形式,flag是指一串字符信息,它可能会被放在远程服务器上,也可能会被加密和隐藏在各种不容易访问到的媒介上,参赛选手通过使用逆向、解密、取证分析、渗透利用等技术来拿到flag。
CTF夺旗赛通常有两种形式,解题模式(Jeopardy)和攻防模式(Attack-Defense)。(1)解题模式中,通过一系列不同类型的赛题,比如给定一个有漏洞的服务、提供一段网络流量、给出一个加密后的数据等,将flag隐藏在这些题目中,选手们通过解题获得积分。(2)攻防模式中,通过事先给定一个接近真实的具有系列漏洞的服务环境,每个参赛队都具有相同的环境,参赛队一方面需要修补自己服务的漏洞,同时也需要去攻击其他参赛队的服务,获得他人环境中的flag来得分,比赛过程也更加激烈。
ISCC题目涉及面较广,包含但不限于Web渗透、漏洞挖掘与利用、加密解密等。
ISCC题目难度差异很大,一方面,面向尽可能多的参赛选手,都有一定的参与机会和效果。另一方面,面向优秀选手提供更能充分发挥其能力的题目。
任何人都可以参加ISCC。其中,个人挑战赛、无限擂台赛及数据思维赛仅需在网站注册账号即可参赛,分组对抗赛采用选拔和邀请的模式。
ISCC竞赛组委会为选手提供了常态化在线CTF系统和数据思维赛练习系统,系统设计的目的是让选手有充足的时间了解比赛模式、熟悉比赛流程和快速学习比赛内容等。详见官网:www.isclab.org.cn。
常态化在线CTF系统设有挑战题模块和积分榜模块。挑战题模块设置了WEB、REVERSE、PWN、MISC和MOBILE对应练习板块。各个板块所包含的练习题为ISCC近年来的高水平赛题,旨在让选手们在学有所获的过程中感受历年ISCC比赛的风采。同时,CTF练习系统也设有与个人挑战赛中相同的积分榜模块,选手可以从中了解自己的水平定位,并查看可视化的做题历程。
数据思维赛练习系统将提供历届的赛题作为习题。选手可以根据题意解题,在系统上提交预测结果。在该系统中,仅保留A榜的评价预测结果,选手可实时获知预测结果的准确性。