入侵檢測產(chǎn)品的應用已經(jīng)逐漸深入廣大的互聯(lián)網(wǎng)企業(yè)中，然而對于入侵檢測系統(tǒng)漏洞攻擊檢測的能力作出正確的評價是測試一款I(lǐng)DS安全產(chǎn)品性能的必要指標。本篇文章就淺談，如何設(shè)計并實現(xiàn)評價IDS漏洞攻擊檢測覆蓋面指標。

漏洞攻擊檢測指標的設(shè)計

1.1 CVE漏洞條目數(shù)量指標

最簡單的方案是顯而易見的，通過統(tǒng)計IDS/IPS所能檢測的利用漏洞攻擊種數(shù)來進行比較。目前多數(shù)主流的IDS/IPS產(chǎn)品都提供了CVE名的支持，每個CVE名對應一個獨立的安全漏洞，雖然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多數(shù)重要條目。因此通過統(tǒng)計產(chǎn)品相關(guān)的CVE條目數(shù)量可以大致了解IDS/IPS的漏洞攻擊檢測覆蓋面。我們最原始的評價指標可以是產(chǎn)品相關(guān)的CVE漏洞條目個數(shù)。

1.2 CVSS漏洞威脅評分修正

上面的漏洞數(shù)量指標存在一個問題，因為它假設(shè)了每個漏洞有相同的威脅級別，而事實情況并非如此，因此我們在評價過程中必須考慮漏洞本身的威脅等級。感謝CVSS漏洞威脅評分項目的工作成果，它為每個CVE漏洞條目按威脅程度的高低打了分，最高威脅級別的漏洞為10分，從NVD的網(wǎng)站上可以輕易地獲取漏洞基本威脅評分的數(shù)據(jù)。由此，我們的指標可以修正為產(chǎn)品涉及到的CVE漏洞條目的CVSS評分的總和。

1.3 時間因素上的修正

考慮了漏洞威脅級別的高低，無疑使我們的指標更具準確性和可比較性，但上面的指標還是有可以改進的地方。在這里我們需要引入時間因素，因為當漏洞被披露以后，隨著時間的推移，由于軟件新版本的更新，有意或無意的漏洞修補，存在漏洞的系統(tǒng)越來越少，相對來說漏洞的威脅呈現(xiàn)一個越來越小的趨勢，也就是說，同樣CVSS威脅基本評分為8的2000年與2006年的漏洞在2006年評價時現(xiàn)實的威脅程度是很不一樣的。

其實，CVSS漏洞威脅評分系統(tǒng)的設(shè)計考慮了威脅評分隨時間及布署狀況的修正，一個漏洞的CVSS威脅評分涉及三個層次：基本評分、生命周期因素修正、環(huán)境因素修正。基本評分是根據(jù)漏洞本身固有特性所可能造成的影響評價得到的分值，生命周期因素修正就是基于時間進程的修正，環(huán)境因素即是基于布署情況的修正。NVD提供了CVE條目的基本評分，環(huán)境因素取決于組織受漏洞影響產(chǎn)品布署狀況，生命周期因素修正需要跟蹤每個漏洞的補丁發(fā)布情況，工作量巨大，一個單獨的組織是無法完成的，因此NVD也未給出相應的數(shù)據(jù)。

對于我們的評價指標，我們簡單地采用一個極粗糙的威脅隨年數(shù)增加線性遞減的算法：

漏洞的當前威脅評分 = CVSS基本評分* (8-(2006-漏洞發(fā)布的年))/8

這樣一個線性算法與事實情況并不一致，事實情況是漏洞在公布的一兩年內(nèi)威脅程度迅速下降，之后幾年內(nèi)的下降則非常的小，所以，基本上線性遞減只是一個聊勝于無的計算方法，考慮到每個漏洞的情況并不那么一致而且指標只用于作相對的比較，這樣的算法也是可接受的。

到此評價指標修正為所有CVE相關(guān)的漏洞當前威脅評分的總和。

如何操作及幾個常見產(chǎn)品的漏洞攻擊檢測指標分析

2.1 獲取每個CVE條目對應的CVSS評分

從NVD網(wǎng)站下載CVE評分數(shù)據(jù)文件，文件為XML格式，每年一個單獨的文件，它包含了每個CVE條目的詳細信息，使用所附的 extract-cve-score.pl 腳本將其中CVE名和相應的CVSS評分提取出來，把打印出來的數(shù)據(jù)重定向的文件中，并將多年的數(shù)據(jù)整合到一個文件中，這個即是我們以后會使用到的CVE名和對應CVSS評分的對照表。

2.2 獲取評測產(chǎn)品的涉及到的CVE條目信息

以幾個能從公開渠道獲取信息的IDS產(chǎn)品為例：

Snort

-----

Snort的規(guī)則信息索引文件(sid-msg.map)中每個與CVE漏洞相關(guān)的檢測都列出了相應的CVE名，我們只要使用類似 extract-snort-cve.pl 的簡單腳本將其提取出來即可。

RealSecure 7

------------

RealSecure 7的每個檢測模塊升級包文件中包含了一個名為 issues.csv 的索引文件，文件中并不直接包含每個檢測條目對應的CVE名信息，但包含了對應于ISS網(wǎng)站上詳細說明信息的ID號，在詳細說明中包含有CVE名。

處理這種情況稍稍復雜一些，我們必須把檢測條目相關(guān)的詳細信息從網(wǎng)站上下載回來，這可以通過 get-iss-content.pl 腳本實現(xiàn)，它讀取 issues.csv 文件中的檢測條目ID號從ISS的網(wǎng)站下載每個條目的詳細信息，每個條目一個文件，然后用 extract-iss-cve.pl 腳本提取檢測條目涉及到的CVE名。

IDP

---

IDP的規(guī)則文件是可公開下載的，也未做加密，規(guī)則文件中包含了涉及到CVE名信息，與處理Snort規(guī)則索引文件類型，使用類似 extract-idp-cve.pl 的腳本將其提取出來。

對于其他產(chǎn)品一般通過分析其檢測條目詳細信息說明文檔，都應該是可以得到相關(guān)的CVE條目信息的。

2.3 計算漏洞覆蓋面的評分指標

有了CVE名到相應CVSS評分的對應表和產(chǎn)品涉及到的CVE名，使用 caculate-score.pl 腳本即可得到評分。

上述幾個產(chǎn)品的分析結(jié)果比較：

CVE條目數(shù) 總威脅得分 CVE條目平均CVSS評分 時間因素修正后的總威脅得分RealSecure 7 979 6000.7 6.1 2694.3

Snort 550 3454.3 6.3 1476.9

IDP 311 1947.3 6.3 796.6

由以上的數(shù)據(jù)，產(chǎn)品相關(guān)漏洞覆蓋面的高下就很明顯了。

結(jié)論

事實上，由于威脅得分的計算是面向漏洞的，因此所有以漏洞處理為核心的安全產(chǎn)品比如漏洞數(shù)據(jù)庫、安全評估、入侵檢測類產(chǎn)品都，可以用計算“時間因素修正后的總威脅得分”指標的方法來評價漏洞攻擊檢測指標。
 

【編輯推薦】

1. Web專用網(wǎng)站服務器的安全設(shè)置
2. 怎樣進行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡(luò)安全培訓
5. 企業(yè)如何在復雜環(huán)境中降低安全風險