入侵檢測產(chǎn)品的應(yīng)用已經(jīng)逐漸深入廣大的互聯(lián)網(wǎng)企業(yè)中，然而對于入侵檢測系統(tǒng)漏洞攻擊檢測的能力作出正確的評價(jià)是測試一款I(lǐng)DS安全產(chǎn)品性能的必要指標(biāo)。本篇文章就淺談，如何設(shè)計(jì)并實(shí)現(xiàn)評價(jià)IDS漏洞攻擊檢測覆蓋面指標(biāo)。

漏洞攻擊檢測指標(biāo)的設(shè)計(jì)

1.1 CVE漏洞條目數(shù)量指標(biāo)

最簡單的方案是顯而易見的，通過統(tǒng)計(jì)IDS/IPS所能檢測的利用漏洞攻擊種數(shù)來進(jìn)行比較。目前多數(shù)主流的IDS/IPS產(chǎn)品都提供了CVE名的支持，每個(gè)CVE名對應(yīng)一個(gè)獨(dú)立的安全漏洞，雖然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多數(shù)重要條目。因此通過統(tǒng)計(jì)產(chǎn)品相關(guān)的CVE條目數(shù)量可以大致了解IDS/IPS的漏洞攻擊檢測覆蓋面。我們最原始的評價(jià)指標(biāo)可以是產(chǎn)品相關(guān)的CVE漏洞條目個(gè)數(shù)。

1.2 CVSS漏洞威脅評分修正

上面的漏洞數(shù)量指標(biāo)存在一個(gè)問題，因?yàn)樗僭O(shè)了每個(gè)漏洞有相同的威脅級別，而事實(shí)情況并非如此，因此我們在評價(jià)過程中必須考慮漏洞本身的威脅等級。感謝CVSS漏洞威脅評分項(xiàng)目的工作成果，它為每個(gè)CVE漏洞條目按威脅程度的高低打了分，最高威脅級別的漏洞為10分，從NVD的網(wǎng)站上可以輕易地獲取漏洞基本威脅評分的數(shù)據(jù)。由此，我們的指標(biāo)可以修正為產(chǎn)品涉及到的CVE漏洞條目的CVSS評分的總和。

1.3 時(shí)間因素上的修正

考慮了漏洞威脅級別的高低，無疑使我們的指標(biāo)更具準(zhǔn)確性和可比較性，但上面的指標(biāo)還是有可以改進(jìn)的地方。在這里我們需要引入時(shí)間因素，因?yàn)楫?dāng)漏洞被披露以后，隨著時(shí)間的推移，由于軟件新版本的更新，有意或無意的漏洞修補(bǔ)，存在漏洞的系統(tǒng)越來越少，相對來說漏洞的威脅呈現(xiàn)一個(gè)越來越小的趨勢，也就是說，同樣CVSS威脅基本評分為8的2000年與2006年的漏洞在2006年評價(jià)時(shí)現(xiàn)實(shí)的威脅程度是很不一樣的。

其實(shí)，CVSS漏洞威脅評分系統(tǒng)的設(shè)計(jì)考慮了威脅評分隨時(shí)間及布署狀況的修正，一個(gè)漏洞的CVSS威脅評分涉及三個(gè)層次：基本評分、生命周期因素修正、環(huán)境因素修正?；驹u分是根據(jù)漏洞本身固有特性所可能造成的影響評價(jià)得到的分值，生命周期因素修正就是基于時(shí)間進(jìn)程的修正，環(huán)境因素即是基于布署情況的修正。NVD提供了CVE條目的基本評分，環(huán)境因素取決于組織受漏洞影響產(chǎn)品布署狀況，生命周期因素修正需要跟蹤每個(gè)漏洞的補(bǔ)丁發(fā)布情況，工作量巨大，一個(gè)單獨(dú)的組織是無法完成的，因此NVD也未給出相應(yīng)的數(shù)據(jù)。

對于我們的評價(jià)指標(biāo)，我們簡單地采用一個(gè)極粗糙的威脅隨年數(shù)增加線性遞減的算法：

漏洞的當(dāng)前威脅評分 = CVSS基本評分* (8-(2006-漏洞發(fā)布的年))/8

這樣一個(gè)線性算法與事實(shí)情況并不一致，事實(shí)情況是漏洞在公布的一兩年內(nèi)威脅程度迅速下降，之后幾年內(nèi)的下降則非常的小，所以，基本上線性遞減只是一個(gè)聊勝于無的計(jì)算方法，考慮到每個(gè)漏洞的情況并不那么一致而且指標(biāo)只用于作相對的比較，這樣的算法也是可接受的。

到此評價(jià)指標(biāo)修正為所有CVE相關(guān)的漏洞當(dāng)前威脅評分的總和。

如何操作及幾個(gè)常見產(chǎn)品的漏洞攻擊檢測指標(biāo)分析

2.1 獲取每個(gè)CVE條目對應(yīng)的CVSS評分

從NVD網(wǎng)站下載CVE評分?jǐn)?shù)據(jù)文件，文件為XML格式，每年一個(gè)單獨(dú)的文件，它包含了每個(gè)CVE條目的詳細(xì)信息，使用所附的 extract-cve-score.pl 腳本將其中CVE名和相應(yīng)的CVSS評分提取出來，把打印出來的數(shù)據(jù)重定向的文件中，并將多年的數(shù)據(jù)整合到一個(gè)文件中，這個(gè)即是我們以后會(huì)使用到的CVE名和對應(yīng)CVSS評分的對照表。

2.2 獲取評測產(chǎn)品的涉及到的CVE條目信息

以幾個(gè)能從公開渠道獲取信息的IDS產(chǎn)品為例：

Snort

-----

Snort的規(guī)則信息索引文件(sid-msg.map)中每個(gè)與CVE漏洞相關(guān)的檢測都列出了相應(yīng)的CVE名，我們只要使用類似 extract-snort-cve.pl 的簡單腳本將其提取出來即可。

RealSecure 7

------------

RealSecure 7的每個(gè)檢測模塊升級包文件中包含了一個(gè)名為 issues.csv 的索引文件，文件中并不直接包含每個(gè)檢測條目對應(yīng)的CVE名信息，但包含了對應(yīng)于ISS網(wǎng)站上詳細(xì)說明信息的ID號，在詳細(xì)說明中包含有CVE名。

處理這種情況稍稍復(fù)雜一些，我們必須把檢測條目相關(guān)的詳細(xì)信息從網(wǎng)站上下載回來，這可以通過 get-iss-content.pl 腳本實(shí)現(xiàn)，它讀取 issues.csv 文件中的檢測條目ID號從ISS的網(wǎng)站下載每個(gè)條目的詳細(xì)信息，每個(gè)條目一個(gè)文件，然后用 extract-iss-cve.pl 腳本提取檢測條目涉及到的CVE名。

IDP

---

IDP的規(guī)則文件是可公開下載的，也未做加密，規(guī)則文件中包含了涉及到CVE名信息，與處理Snort規(guī)則索引文件類型，使用類似 extract-idp-cve.pl 的腳本將其提取出來。

對于其他產(chǎn)品一般通過分析其檢測條目詳細(xì)信息說明文檔，都應(yīng)該是可以得到相關(guān)的CVE條目信息的。

2.3 計(jì)算漏洞覆蓋面的評分指標(biāo)

有了CVE名到相應(yīng)CVSS評分的對應(yīng)表和產(chǎn)品涉及到的CVE名，使用 caculate-score.pl 腳本即可得到評分。

上述幾個(gè)產(chǎn)品的分析結(jié)果比較：

CVE條目數(shù) 總威脅得分 CVE條目平均CVSS評分 時(shí)間因素修正后的總威脅得分RealSecure 7 979 6000.7 6.1 2694.3

Snort 550 3454.3 6.3 1476.9

IDP 311 1947.3 6.3 796.6

由以上的數(shù)據(jù)，產(chǎn)品相關(guān)漏洞覆蓋面的高下就很明顯了。

結(jié)論

事實(shí)上，由于威脅得分的計(jì)算是面向漏洞的，因此所有以漏洞處理為核心的安全產(chǎn)品比如漏洞數(shù)據(jù)庫、安全評估、入侵檢測類產(chǎn)品都，可以用計(jì)算“時(shí)間因素修正后的總威脅得分”指標(biāo)的方法來評價(jià)漏洞攻擊檢測指標(biāo)。
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)