第二届国际网络安全技术对抗联赛 XCTF——西安站SSCTF正在如火如荼地进行中，除了国内各大学、企业、团体组织以外，美国、韩国、以色列、日本、俄罗斯等网络安全强国，以及非洲、大洋州、中东、东南亚均有战队参赛。

SSCTF目前战况

CTF（夺旗）竞赛，已经成为全球网络安全社区最重要的活动之一，全球每年共有近100余场国际赛事。我国的CTF队伍近两年也开始逐渐增多，从最早只派队伍参加国际赛事，到现在自己举办国际赛事，并吸引了全球近百个国家/地区、数千队次、上万人次参加，并酝酿出国内最高技术水平和最大规模的网络安全技术对抗平台，XCTF。

随着CTF比赛影响力的扩大，许多人开始关心并想了解这一赛事。尤其是国内规模最大，跨年度举行的联赛性质的XCTF，更得到了许多媒体、业界人士和爱好者的关注。为此，安全牛联系到赛事的主要组织者和发起方，采访并整理出XCTF的相关信息和资料，供大家参考。

XCTF的来历

2013年底至2014年5月，在百度的赞助支持下，多次在国际比赛中取得优秀成绩的清华大学蓝莲花战队，第一次在国内成功举办了完全采用国际前沿CTF赛制的对抗赛——“百度杯”BCTF。

百度杯

BCTF吸引了包括中国大陆、台湾及香港地区、美国等地的468支队伍共2500多人报名参赛。经过激烈角逐之后，八支战队入围决赛，并最终由台湾大学 HITCON 217 以绝对优势夺冠。上海交通大学0ops和浙大杭电联队DISA分获亚、季军。

BCTF大赛得到了央视、江苏卫视、北京卫视等多家电视台以及数百家平面和网络媒体的报道，引发了国内网络安全技术竞赛的火爆发展，可谓是XCTF的前身。

为了扩大影响力、提高技术水平、统一比赛标准，清华大学蓝莲花战队在首次组织BCTF的基础上，于2014年联合国内高校和多家互联网及网络安全企业，发起并共同组织了首届XCTF全国网络安全技术对抗联赛。

首届XCTF联赛，分为杭州——HCTF、成都——SCTF、北京——BCTF、上海——0CTF、杭州浙江大学——ACTF五站选拔赛、南京总决赛和全明星赛。比赛从2014年11月开始，一直持续至2015年7月，共计吸引3847队次、超过上万人次参赛。其中BCTF是中国大陆组织的首场国际网络安全技术竞赛，吸引了89个国家与地区的1700多支队伍参加。

本次比赛的冠军再次被台湾大学 HITCON 217 纳入囊中，但获胜优势已不明显。上海交通大学0ops与福州大学ROIS战队分列亚、季军。

蓝莲花战队

XCTF的发起者，清华大学蓝莲花战队于2010年由清华大学网络与信息安全实验室段海新教授与诸葛建伟副研究员于2010年12月共同创建，是国内最早参与国际网络安全技术竞赛的队伍。

蓝莲花战队

蓝莲花于2013年成为华人世界首次闯入 DEFCON CTF 全球总决赛的队伍，首次参赛即在总决赛20支队伍中排名第11位，2013年度在CTFTIME全球网络安全技术竞赛积分榜上排名全球第六、亚洲第一。此后两年连续二年入围 DEFCON CTF  全球总决赛（2014-2015），并连续两年获得全球第五位的中国大陆最好名次。

CTF是一种考量选手网络安全知识素养、解决难题能力和攻防技术水平的比赛。选手需要具备的技能包括密码破译、信息隐藏、二进制分析、逆向工程、移动安全、漏洞挖掘与利用、Web渗透、电子取证、程序编程等。在各大CTF赛事中，全球最有影响力的莫过于 DEFCON CTF，堪称该类比赛的世界杯。

第二届XCTF

第二届也就是当下正在进行中的这届XCTF，由网络空间安全人才发展基金和国家创新与发展战略研究会联合主办，南京赛宁总体承办，以促进中国在网络空间安全领域与世界各国的人才交流与合作为目的，邀请“一带一路”沿线国家的国际队伍与国内队伍共同参与赛事。除了设置福州、西安、北京、上海等四站国际赛，还包括郑州、成都、武汉等多站国内赛。通过密集的赛事安排为国内高校与网络安全行业人才提供充分的实践技能锻炼和交流机会。

第二届XCTF联赛从2015年11月份启动，并将于今年8月结束，目前已计划四场国际赛事、三场国内赛事和一场总决赛：

 2015年11-12月 福州站国际赛RCTF

2016年1月-3月 郑州站国内赛ZCTF

2016年2月-4月 西安站国际赛SSCTF

2016年3月-4月 上海站国际赛0CTF

2016年3月 北京站国际赛BCTF

2016年5月 成都站国内赛SCTF

2016年5月 武汉站国内赛

2016年7月 XCTF总决赛

其中上海站0CTF已成功申请成为 DEFCON CTF 全球总决赛的预选赛，冠军将直接入围 DEFCON CTF 总决赛（2016年全球仅4场这样的比赛）。

XCTF联赛赛制采用团体组队参赛，分线上解题模式和线下现场攻防模式两部分。

线上解题模式，参赛队伍需在指定时间范围内完成Web渗透、逆向分析、二进制漏洞挖掘利用、密码学、取证分析、移动安全、安全编程等多个类别的技术挑战题目，获取Flag得分，以总得分和解题速度进行实时积分排名。

线下攻防模式，参赛队伍在修补自身漏洞并维护自己服务器正常运行的同时，通过挖掘并利用其他参赛队伍服务器的漏洞进行攻击，以获取Flag得分。然后在初始分与每轮比赛的得失分总和之后，进行队伍的实时积分排名。

最终，各站国际赛冠军和联赛积分榜前列的队伍将入围第二届XCTF国际联赛总决赛，进行终极竞技并争夺年度最高荣耀。

XCTF发展现状

在XCTF联赛之前，国内网络安全技术竞赛内容偏向于Web渗透等方向，形式主要采用解题模式和渗透模式。而以 DEFCON CTF 为代表的高水平国际比赛，覆盖网络安全绝大多数技术领域，并以二进制逆向、零日漏洞挖掘和利用作为核心竞技内容。而且，还采用现场攻防模式，注重团队整体实力和分工配合。

XCTF联赛引入国际前沿的攻防竞赛模式之后，最近两年国内CTF竞赛发展极为迅猛。在充分吸取国际CTF竞赛优势并追赶国际CTF竞技水平的同时还保留了一些国内特色。如现在正在举行中的西安站国际赛SSCTF更贴近实战场景环境，注重Web渗透与攻防实战能力。

在比赛成果方面，首届XCTF总决赛的三支中国队伍（蓝莲花、0ops、HITCON）均在 DEFCON CTF 2015 总决赛中进入全球前六名。蓝莲花和0ops还分别在2014、2015年全球网络安全技术竞赛平台——CTFtime 的积分榜上排名亚洲第一。在国内最高水平的破解大赛GeekPwn上，这两支队伍的成员也均获得过优异的成绩。

在行业合作方面，XCTF孕育了长亭科技、三思网安等初创企业，并为腾讯、百度、KEEN等赞助合作企业输送大量顶尖网络安全技术人才。此外，第二届XCTF国际联赛目前已获得百度云安全的钻石级赞助合作，360企业安全的白金级赞助，威客安全、众人科技、通付盾、启明星辰、腾讯安全等企业的金牌级赞助，并与南京赛宁和永信至诚达成竞赛技术战略合作伙伴关系。

目前XCTF联赛已经发展成为全国最高技术水平和最大参与规模，并具有国际知名度和影响力的中立性网络安全技术竞赛平台。

XCTF联赛的重要意义在于，转变了传统网络安全的教学模式，更加注重学生实践技能和团队协作能力的提升。通过为高校学生和爱好者提供高水准的国际水竞赛平台，挖掘与培养实战型技术人才，提升我国网络安全技术人才水平，推动网络安全行业的健康可持续发展，并最终辅助增强我国网络空间安全的整体防御能力。