入侵检测系统漏洞攻击检测覆盖面的指标

1、入侵检测系统漏洞攻击检测覆盖面的指标对入侵检测防护产品的评测中，我们经常需要对它们的漏洞攻击检测能力做出评价，其中涉 及漏洞的覆盖面即是能力的一方面，那么如何去评价？以什么指标去衡量才能得到相对客观 公平且有说服力的结果呢？这个文章中我们来讨论一下这个问题，在此提出一个可操作的量 化指标。指标的设计CVE漏洞条目数量指标最简单的方案是显而易见的，通过统计IDS/IPS所能检测的利用漏洞攻击种数来进行比较。 目前多数主流的IDS/IPS产品都提供了 CVE名的支持，每个CVE名对应一个独立的安全漏 洞，虽然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多数重要条目。 因此通过统计

2、产品相关的CVE条目数量可以大致了解IDS/IPS的漏洞攻击检测覆盖面。我 们最原始的评价指标可以是产品相关的CVE漏洞条目个数。CVSS漏洞威胁评分修正上面的漏洞数量指标存在一个问题，因为它假设了每个漏洞有相同的威胁级别，而事实情 况并非如此，因此我们在评价过程中必须考虑漏洞本身的威胁等级。感谢CVSS漏洞威胁评 分项目的工作成果，它为每个CVE漏洞条目按威胁程度的高低打了分，最高威胁级别的漏洞 为10分，从NVD的网站上可以轻易地获取漏洞基本威胁评分的数据。由此，我们的指标可 以修正为产品涉及到的CVE漏洞条目的CVSS评分的总和。1.3时间因素上的修正考 虑了漏洞威胁级别的高低，无疑使我

3、们的指标更具准确性和可比较性，但上面的指标还 是有可以改进的地方。在这里我们需要引入时间因素，因为当漏洞被披露以后，随着时间 的推移，由于软件新版本的更新，有意或无意的漏洞修补，存在漏洞的系统越来越少，相对 来说漏洞的威胁呈现一个越来越小的趋势，也就是说，同样CVSS威胁基本评分为8的2000 年与2006年的漏洞在2006年评价时现实的威胁程度是很不一样的。其实，CVSS漏洞威胁 评分系统的设计考虑了威胁评分随时间及布署状况的修正，一个漏洞的CVSS威胁评分涉及 三个层次：基本评分、生命周期因素修正、环境因素修正。基本评分是根据漏洞本身固有特 性所 可能造成的影响评价得到的分值，生命周期因素

4、修正就是基于时间进程的修正，环境 因素即是基于布署情况的修正。NVD提供了 CVE条目的基本评分，环境因素取决于组织受 漏洞影响产品布署状况，生命周期因素修正需要跟踪每个漏洞的补丁发布情况，工作量巨大， 一个单独的组织是无法完成的，因此NVD也未给出相应的数据。对于我们的评价指标，我们简单地采用一个极粗糙的威胁随年数增加线性递减的算法：漏洞的当前威胁评分=CVSS基本评分* (8-(2006-漏洞发布的年)/8这样一个线性算法与事实情况并不一致，事实情况是漏洞在公布的一两年内威胁程度迅速下 降，之后几年内的下降则非常的小，所以，基本上线性递减只是一个聊胜于无的计算方法， 考虑到每个漏洞的情况并

5、不那么一致而且指标只用于作相对的比较，这样的算法也是可接受 的。到此评价指标修正为所有CVE相关的漏洞当前威胁评分的总和。如何操作及几个常见产品的指标分析2.1获取每个CVE条目对应的CVSS评分从NVD网站下载CVE评分数据文件，文件为XML格式，每年一个单独的文件，它包含了每 个CVE条目的详细信息，使用所附的extract-cve-score.pl脚本将其中CVE名和相应的 CVSS评分提取出来，把打印出来的数据重定向的文件中，并将多年的数据整合到一个文件 中，这个即是我们以后会使用到的CVE名和对应CVSS评分的对照表。2.2获取评测产品的涉及到的CVE条目信息以几个能从公开渠道获取信

6、息的IDS产品为例：SnortSnort的规则信息索引文件(sid-msg.map)中每个与CVE漏洞相关的检测都列出了相应的CVE 名，我们只要使用类似extract-snort-cve.pl的简单脚本将其提取出来即可。RealSecure 7RealSecure 7的每个检测模块升级包文件中包含了一个名为issues.csv的索引文件，文 件中并不直接包含每个检测条目对应的CVE名信息，但包含了对应于ISS网站上详细说明信 息的ID号，在详细说明中包含有CVE名。处理这种情况稍稍复杂一些，我们必须把检测条 目相关的详细信息从网站上下载回来，这可以通过get-iss-content.pl脚本

7、实现，它读取 issues.csv文件中的检测条目ID号从ISS的网站下载每个条目的详细信息，每个条目一个 文件，然后用extract-iss-cve.pl脚本提取检测条目涉及到的CVE名。IDPIDP的规则文件是可公开下载的，也未做加密，规则文件中包含了涉及到CVE名信息，与处 理Snort规则索引文件类型，使用类似extract-idp-cve.pl的脚本将其提取出来。对于其他产品一般通过分析其检测条目详细信息说明文档，都应该是可以得到相关的CVE 条目信息的。2.3计算漏洞覆盖面的评分指标有了 CVE名到相应CVSS评分的对应表和产品涉及到的CVE名，使用caculate-score.pl脚 本即可得到评分。上 述几个产品的分析结果比较：CVE条目数总威胁得分CVE条目平均CVSS评分时间因 素修正后的总威胁得分RealSecure79796000.76.12694.3Snort5503454.36.31476.9IDP3111947.36.3796.6