1、在线考试作弊防御方法的设计与实现第 6 卷第 1 期2006 年 3 月上海应用技术学院JOURNAL0FNGHAlINl 丌 EOF1ECHN(】)GYVl01.6No.1Mar.2oo6文章编号:16717333(2006)01 004903在线考试作弊防御方法的设计与实现武伟,魏晓 2(1.上海应用技术学院计算机科学与信息工程系,上海 200235;2.上海师范大学计算机科学与技术系,上海 200234)摘要:讲解了在线考试中利用网络作弊的几种方式, 并给出了防止作弊可行的解决方案.对其中较难实现的局域网内作弊的监视和控制方法做了重点介绍,经过实验证明该方法对阻止作弊行为有很好的作用.关
2、键词:在线考试;作弊;网络监控;考试网关;ARP 欺骗中图分类号:TP393.08 文献标识码:ADesignandImplementationofDefendingOnline-TestCheatingWUWei.WEIX/ao(1.DepartmentofComputerScienceandIormationEngineering,ShanghaiInstituteofTechnology.Shanghai200235;2.DepartmentofComputerScienceandTechnology,ShanghaiNormalUniversity,Shanghai200234)Abs
3、tract:Thisarticlelistsseveralmethodsofonline-testcheatingbythenetworkandputsforwardworkablesolutions.ItputsmoreemphasisontheapproachesofmonitoringandcontrollingthecheatinginLANs,whichisnoteasytoimplement.Thesesolutionsareprovedtobeeffectiveintheprecautionofcheating.Keywords:onlinetest;cheating;netwo
4、rkmonitorandcontrol;testgateway;ARPcheating有关网络考试系统的安全性,例如:认证,保密,访问控制,完整性等问题已经有大量的文献做了讨论,并且给出了许多可行的解决方案 L1,2l.然而网络考试的考生利用网络作弊的问题并没有得到足够的重视,所以在现有的系统中,对如何防治网络作弊讨论得很少,也没有完善的解决方案.考生在进行网络考试时,可以利用已有的网络来传递信息实现作弊,这种作弊方式具有隐蔽性高的特点,监考老师很难发现.事实上,随着考生的计算机水平提高,会有更多的考生采用这一新的方式作弊,所以加强网络考试系统的防作弊功能势在必行.本文分析利用网络进行作弊的几
5、种方式,并针对这些方式提出解决的办法,所设计的在线考试监控系统已经投入运行,实验证明此系统对阻止作弊行为有很好的作用.收稿日期:2005 一 OlO3作者简介:武伟(1957 一), 男 ,副教授,硕士.1 在线考试的作弊方式首先我们给出几个典型的作弊场景,在这些场景中考生利用了几种不同的方式实现了作弊,而场景四是本文的方法要达到的一种效果.场景一:某机房内正在进行在线考试,监考老师和天花板上的摄像头正巡视着考场.某考生有题目不会做,他打开 QQ,轻松地将题目发给考场外的一个人或几个人(事先密谋好的),这些人可以是另外一个考场内的考生,或者是互联网上不参加考试的用户,这样他很快就收到了答案.场
6、景二:同样的地点和环境,该考生的几个同学也在同一个考场内参加考试,他用同样的方法把题目发给其中的一个人或几个人,这样他同样可以得到答案.场景三:同样的环境,他打开 QQ 发现不能登上海应用技术学院第 6 卷录,可能这是一个封闭的局域网或者被屏蔽了与外界的联系,他并不着急,把题目粘贴在一个文件中,然后打开计算机的文件共享,向对方发了一个信息,对方打开了他的共享文件,等一会他又得到了他想要的答案.场景四:同样的环境,他做了各种尝试后,也没有办法和外界联系,同样也不能和同考场的其它机器通信,他的各种尝试引发了监控机报警,在审计日志中记录了他的行为,并在他的屏幕上显示了警告信息,没有办法他只好安静地考
7、试了.我们根据信息传递的方向把网络作弊分为:(1)同一个考场局域网内两个考生之间,如场景二,三.(2)一个考场局域网内的考生和互联网用户之间,如场景一.(3)两个不同考场局域网的考生之间,如场景一.从网络监控的角度,我们进一步分析发现网络作弊可分为两类:一类是基于互联网的,如场景一,二.这种方式需要借助互联网才能完成,考生可以利用各种互联网工具进行信息传递,如:QQ,MSN,Email 等等.另一类是基于局域网的,如场景三.这种方式不需借助互联网,用户仅依靠进行信息传递,如:文件共享,P2PMessage 等等.2 解决方案考虑到考生可以采用的信息通信手段很多,而且随着网络技术的发展,还会有新
8、技术不断出现,所以防止作弊不能针对某一种或几种技术进行,应该采取较为通用的方法,既可以防止已知的技术,也应具备防未知技术的能力.防作弊系统要能够在保证正常考试的前提下,发现和切断考生非法网络信息交换的途径.同时应该对考生的网络信息交换做审计日志,以备查验.针对以上两种类型,我们采取不同的方案来解决.2.1 基于互联网方式的解决方案对第一类基于互联网的作弊方式,一般采用半封闭考试环境加考试网关的方案来解决_1J.如图 1所示,考试局域网通过考试网关(1)接人互联网,考生借助互联网进行信息传递时,必然经过网关.为此在考试网关处对数据包过滤,仅仅允许局域网内用户与位于互联网上的考试服务器等与考试有关
9、的机器之间的数据包通过,而对其它数据包统统禁止,这样考生就无法和外界通信,也无法借助互联网上的通信服务器实现和本考场内的其它考生通信.这种方法中,考试局域网虽然和互联网相连,但是却是访问受限的,仅能访问特定的几台机器,即构成所谓半封闭网络.数据包的过滤也易于实现,很多防火墙或路由器的软件都可以实现,当然也可以用硬件路由器或防火墙实现.过滤规则应该设置严格,以实现更好的过滤效果.图 1 基于互联网的方式一一-一一一一- 一一一- 一一一-一-一一一一一一一一-一-I图 2 基于 LAN 的方式2.2 基于局域网方式的解决方案对第二类基于局域网的方式,由于局域网内的信息传递采用广播方式传递,LAN
10、 内的机器的地位是同等的,同一台机器去控制其它机器比较困难.用考试网关无法禁止这种形式的作弊.目前可以采用的办法有:(1)采用三层交换到桌面的技术,控制 LAN内任两点之间的通信.三层交换机具有强大的功能,其 IP 地址过滤,数据帧过滤功能可以限制端口之间的通信,从而达到禁止 LAN 内用户之间互相通信的目的.但是这种方法需要使用昂贵的三层交换机,在绝大多数情况下是不可行的.(2)在考试机上采用软件屏蔽的办法,禁止用户使用操作系统的某些功能,从而禁止考试使用网络进行信息传递.这是比较常用的一种方法.第 1 期武伟,等:在线考试作弊防御方法的设计与实现由于可采用的通信方式很多,有些是我们未知的,
11、全面屏蔽是不现实的,而且需要在每台机器上进行设置,十分复杂.另外安全性不高,有经验的用户可以很容易地突破系统的限制.由于以上两种方法都有缺点,针对局域网的特点,我们提出第三种方法.如图 2 在 LAN 内设置一台监控服务器(MS),负责监控 LN 内数据包,并对数据包进行分析,发现非法的数据包,则切断非法连接,向连接方发出警告信息,或者隔离该主机,使之无法和其它主机通信.MS 的主要功能有:(1)数据包的侦听如果是共享局域网,数据包采用广播方式发送,只要将 MS 的网卡工作状态设置成混杂模式,就可以接收到所有的广播数据包,从而达到数据包截取的目的.如果是交换局域网,交换机中数据包只在通信双方的
12、端口之间转发,MS 无法直接获得所有机器之间的数据包.针对这种情况可以对交换机采用地址欺骗和 MAC 洪水包的方式来获取我们所需的数据包 3.通过对数据包的分析,可以判断该数据包的源地址,目的地址甚至数据包的内容.(2)切断连接向一个 TCP 连接中的一台主机发送一个断开连接的 IP 包,这个 IP 包的 RST 位置 1,便可以实现断开连接.(3)屏蔽主机采用 ARP 欺骗技术 J,使所有发往该主机的数据包都发到 MS.假设在图 2 中的考试用户 1(TU1)向考试用户(TUn)发出了连接请求,并建立了数据通信.第 1 步,使 TU1 暂时瘫换.可以使用 TCP淹没攻击(TCPSynFloo
13、dAttack)来实现.向 J1 的端口发送大量 SYN 请求,这些请求的源地址是一个合法的但是虚假的 II)地址.J1 会向该 II)地址发送响应包 ,但可惜无应答.与此同时 II)包会通知 TU1 的 ,I1:该主机不可到达,但不幸的是 TCP 会认为是一种暂时错误,并继续尝试连接(比如继续对该 IP 地址进行路由,发出 SYN/彻数据包等等),直至确信无法连接.这个过程会持续一段时间,在这段时间内 J1 无法响应其它TU 的连接请求,而处于暂时瘫痪状态.第 2 步,ARP 伪装.在这段时间内其它 TU发到 TU1 的 IP 包将无法被应答,系统开始更新自己的 ARP 对应表.将 TU1
14、的项目删除.MS 伪装成 TU1 向其它 TU 广播伪装的ARP 信息,MS 声明自己就是 TU1,其它 TU 更新自己的 ARP 表,将伪装的 ARP 信息填人表中.此时要注意考试服务器 TS 不应更新自已的表,否则会影响 TU1 的考试.可以在 TS 上用静态 ARP 表来解决这个问题.第 3 步,实现屏蔽.此后各 TU 按照新的ARP 表将发给 TU1 的数据包都发给 MS,从而实现屏蔽 TU1 的作用.由于局域网的广播特性,我们采取比较特殊的方法来阻断两台机器之间的通信,当然也可以在考试一开始就限制任何机器只能和考试服务器(TS)通信 ,这样对局域网的性能影响较大,所以不是采用事先禁止
15、,而是探测,发现,禁止的方法,具体流程如图 3 所示,因为毕竟作弊只是少数行为,所以这种方法是可行的.图 3 流程图2.3 两种解决方案的结合如果是全封闭的 I 考试环境,直接采用第二种解决方案即可.否则可以将这两种方式结合,即将考试网关和 MS 结合在一起放在一台机器上实现.3 结语通过分析,我们认为基于互联网作弊的方式很容易得到控制,而困难的是如何防止局域网内的作弊行为.根据我们提出的局域网内防作弊解决方案,开发了一套试验系统,系统的运行测试表明该方法可以发现作弊行为,并对这种行为采取可行措施,保障考试顺利公平地进行.(下转第 74 页)74 上海应用技术学院第 6 卷载均衡处理.以 LM
16、S 的 TCP 端口 80 为例,可以使用 UIE(通用搜索引擎)命令打开通过该端口的数据包,并搜索其中的特征数据.UIE 中一个典型命令:findstr(httpuri,“user=“,5,),它可以得到 httpuri 内的“user=“字符后到“前的所有字符,如 http:/ 中的 fredwu.因此在应用流量管理方面,我们可以通过UIE 判断访问用户的 userID,然后根据 userID来判断 VIP(贵宾)用户,将 VIP 用户导向到性能更好的服务器上.if(findstr(httpuri,“user=“,5,)=“gold 一“)usepoolvipeIseusetxolnorm
17、al师范大学网络教育学院网站时,对应用服务器的大量并发请求不再会集中到某一台服务器上,数据流量得到均衡控制,所有服务器的资源得到充分作用.相应地对于客户端的直观感受是其请求得到及时响应(网页能快速打开),学生的学习效果大为改善.4 结论随着学生参加远距离教育的数量不断增多,对高校远距离教育网络的应变动力提出了更高的要求,其中最基本的是保证学生获得远距离教学网应用服务器的快速有效响应.本文提出了一种负载均衡技术,“平衡 “应用服务器的访问负荷 ,提高远距离教学网的服务质量,以此来适应这种变化.参考文献:1吴永和.构建网络教育环境,构筑网上新师大R这样可以实现将用户 userid 以“gold 一
18、开头上海:华东师范大学网络教育学院,2005?要曼 V-艮务器,而一般用户就使用 Fw5Netwokrk 站 s普通的服务器.二:一:,H:_.,一.:一一在采用 F5BigIP 为 LMS 的各种应用服务做 022.sh,2005-0320.负载均衡以后,我们发现 LMS 服务器组所能承4段晓东 ,韩玲,沈金龙.第四层到第七层的高层交换受的最大并发访问数能达到 400500 个,同时应技术及其应用EB/OL.http:/触./net/用服务器组的稳定性也得到了提高.当学生从学 4to7.h 廿 n,20050505.院内部教室或外部(如各网络教学站点)访问华东(上接第 51 页)当然系统还存
19、在需要改进的地方,如对不同网络构成的自适应方面还需要进一步改进.参考文献:1曾华军,申瑞民 ,申丽萍.远程考试系统安全性J.计算机工程,2001,27(3):133 135.2李莉,唐黎明 ,陈未如.网上考试系统安全性研究.沈阳化工学院,2003,17(3):211 215.3蒋丽,张星 ,杨文星.交换网络下的网络监视技术研究J.微计算机应用,2004,25(1):2227.4贺龙涛,方滨兴 ,胡铭曾.主动监听中协议欺骗的研究J. 通信 ,2003,24(11):146152.(上接第 65 页)3PadilchukCI.Image-adaptivewatermarkingusingvi 一参
20、考文献:sualmode1J.IEEEJ0mal.nSe1ectedeasin1Mas 蛐 etD.CapabilitiesandLimitati【)n0ftheInter Communications,1998,16(4):525539?f 蚴 ecCart,vhJ.IEEETran.i.Rdn.te4曹长修,柏森,张邦礼.改进的图像小波域水 E算seng,2001,39(3):233239.法J. 贵州科学,2002,20(4):59.2DelaigleJF,eeSch0uCD,MacqBwate 删 k 一5 任金昌,赵荣椿.基于人类视觉特性及全局 D(变ingalgorithmbased.nah 叫 mvisualmode1J.Sig 一换的图像水印方法J. 信号处理,2002,18(4):378nalPmcesSing,1998,66(3):319336.一 381.
