對入侵檢測防護產品的評測中，我們經常需要對它們的漏洞攻擊檢測能力做出評價，其中涉及漏洞的覆蓋面即是能力的一方面，那么如何去評價？以什么指標去衡量才能得到相對客觀公平且有說服力的結果呢？這個文章中我們來討論一下這個問題，在此提出一個可操作的量化指標。

1. 指標的設計

1.1 CVE漏洞條目數量指標

最簡單的方案是顯而易見的，通過統計IDS/IPS所能檢測的利用漏洞攻擊種數來進行比較。目前多數主流的IDS/IPS產品都提供了CVE名的支持，每個CVE名對應一個獨立的安全漏洞，雖然CVE名字表不可能包含所有的已知安全漏洞，但至少包括了其中的大多數重要條目。因此通過統計產品相關的CVE條目數量可以大致了解IDS/IPS的漏洞攻擊檢測覆蓋面。我們最原始的評價指標可以是產品相關的CVE漏洞條目個數。

1.2 CVSS漏洞威脅評分修正

上面的漏洞數量指標存在一個問題，因為它假設了每個漏洞有相同的威脅級別，而事實情況并非如此，因此我們在評價過程中必須考慮漏洞本身的威脅等級。感謝CVSS漏洞威脅評分項目的工作成果，它為每個CVE漏洞條目按威脅程度的高低打了分，最高威脅級別的漏洞為10分，從NVD的網站上可以輕易地獲取漏洞基本威脅評分的數據。由此，我們的指標可以修正為產品涉及到的CVE漏洞條目的CVSS評分的總和。

1.3 時間因素上的修正

考慮了漏洞威脅級別的高低，無疑使我們的指標更具準確性和可比較性，但上面的指標還是有可以改進的地方。在這里我們需要引入時間因素，因為當漏洞被披露以后，隨著時間的推移，由于軟件新版本的更新，有意或無意的漏洞修補，存在漏洞的系統越來越少，相對來說漏洞的威脅呈現一個越來越小的趨勢，也就是說，同樣CVSS威脅基本評分為8的2000年與2006年的漏洞在2006年評價時現實的威脅程度是很不一樣的。其實，CVSS漏洞威脅評分系統的設計考慮了威脅評分隨時間及布署狀況的修正，一個漏洞的CVSS威脅評分涉及三個層次：基本評分、生命周期因素修正、環境因素修正。基本評分是根據漏洞本身固有特性所可能造成的影響評價得到的分值，生命周期因素修正就是基于時間進程的修正，環境因素即是基于布署情況的修正。NVD提供了CVE條目的基本評分，環境因素取決于組織受漏洞影響產品布署狀況，生命周期因素修正需要跟蹤每個漏洞的補丁發布情況，工作量巨大，一個單獨的組織是無法完成的，因此NVD也未給出相應的數據。

對于我們的評價指標，我們簡單地采用一個極粗糙的威脅隨年數增加線性遞減的算法：

漏洞的當前威脅評分 = CVSS基本評分* (8-(2006-漏洞發布的年))/8

這樣一個線性算法與事實情況并不一致，事實情況是漏洞在公布的一兩年內威脅程度迅速下降，之后幾年內的下降則非常的小，所以，基本上線性遞減只是一個聊勝于無的計算方法，考慮到每個漏洞的情況并不那么一致而且指標只用于作相對的比較，這樣的算法也是可接受的。

到此評價指標修正為所有CVE相關的漏洞當前威脅評分的總和。

2. 如何操作及幾個常見產品的指標分析

2.1 獲取每個CVE條目對應的CVSS評分

從NVD網站下載CVE評分數據文件，文件為XML格式，每年一個單獨的文件，它包含了每個CVE條目的詳細信息，使用所附的 extract-cve-score.pl 腳本將其中CVE名和相應的CVSS評分提取出來，把打印出來的數據重定向的文件中，并將多年的數據整合到一個文件中，這個即是我們以后會使用到的CVE名和對應CVSS評分的對照表。

2.2 獲取評測產品的涉及到的CVE條目信息

以幾個能從公開渠道獲取信息的IDS產品為例：

Snort

-----

Snort的規則信息索引文件(sid-msg.map)中每個與CVE漏洞相關的檢測都列出了相應的CVE名，我們只要使用類似 extract-snort-cve.pl 的簡單腳本將其提取出來即可。

RealSecure 7

------------

RealSecure 7的每個檢測模塊升級包文件中包含了一個名為 issues.csv 的索引文件，文件中并不直接包含每個檢測條目對應的CVE名信息，但包含了對應于ISS網站上詳細說明信息的ID號，在詳細說明中包含有CVE名。處理這種情況稍稍復雜一些，我們必須把檢測條目相關的詳細信息從網站上下載回來，這可以通過 get-iss-content.pl 腳本實現，它讀取 issues.csv 文件中的檢測條目ID號從ISS的網站下載每個條目的詳細信息，每個條目一個文件，然后用 extract-iss-cve.pl 腳本提取檢測條目涉及到的CVE名。

IDP

---

IDP的規則文件是可公開下載的，也未做加密，規則文件中包含了涉及到CVE名信息，與處理Snort規則索引文件類型，使用類似 extract-idp-cve.pl 的腳本將其提取出來。

對于其他產品一般通過分析其檢測條目詳細信息說明文檔，都應該是可以得到相關的CVE條目信息的。

2.3 計算漏洞覆蓋面的評分指標

有了CVE名到相應CVSS評分的對應表和產品涉及到的CVE名，使用 caculate-score.pl 腳本即可得到評分。

上述幾個產品的分析結果比較：

CVE條目數 總威脅得分 CVE條目平均CVSS評分 時間因素修正后的總威脅得分
RealSecure 7    979       6000.7     6.1                 2694.3
Snort           550       3454.3     6.3                 1476.9
IDP             311       1947.3     6.3                 796.6

由以上的數據，產品相關漏洞覆蓋面的高下就很明顯了。

3. 結論

事實上，由于威脅得分的計算是面向漏洞的，因此所有以漏洞處理為核心的安全產品比如漏洞數據庫、安全評估、入侵檢測類產品都，可以用計算“時間因素修正后的總威脅得分”指標的方法來評價。

責任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001