日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

如何評價IDS漏洞攻擊檢測覆蓋面指標

云知道

對入侵檢測防護產(chǎn)品的評測中 , 我們經(jīng)常需要對它們的漏洞攻擊檢測能力做出評價 , 其中涉及漏洞的覆蓋面即是能力的一方面 , 那么如何去評價?以什么指標去衡量才能得到相對客觀公平且有說服力的結果呢?這個文章中我們來討論一下這個問題 , 在此提出一個可操作的量化指標 。
1、指標的設計
1.1 CVE漏洞條目數(shù)量指標
最簡單的方案是顯而易見的 , 通過統(tǒng)計IDS/IPS所能檢測的利用漏洞攻擊種數(shù)來進行比較 。目前多數(shù)主流的IDS/IPS產(chǎn)品都提供了CVE名的支持 , 每個CVE名對應一個獨立的安全漏洞 , 雖然CVE名字表不可能包含所有的已知安全漏洞 , 但至少包括了其中的大多數(shù)重要條目 。因此通過統(tǒng)計產(chǎn)品相關的CVE條目數(shù)量可以大致了解IDS/IPS的漏洞攻擊檢測覆蓋面 。我們最原始的評價指標可以是產(chǎn)品相關的CVE漏洞條目個數(shù) 。
1.2 CVSS漏洞威脅評分修正
上面的漏洞數(shù)量指標存在一個問題 , 因為它假設了每個漏洞有相同的威脅級別 , 而事實情況并非如此 , 因此我們在評價過程中必須考慮漏洞本身的威脅等級 。感謝CVSS漏洞威脅評分項目的工作成果 , 它為每個CVE漏洞條目按威脅程度的高低打了分 , 最高威脅級別的漏洞為10分 , 從NVD的網(wǎng)站上可以輕易地獲取漏洞基本威脅評分的數(shù)據(jù) 。由此 , 我們的指標可以修正為產(chǎn)品涉及到的CVE漏洞條目的CVSS評分的總和 。
1.3 時間因素上的修正
考慮了漏洞威脅級別的高低 , 無疑使我們的指標更具準確性和可比較性 , 但上面的指標還是有可以改進的地方 。在這里我們需要引入時間因素 , 因為當漏洞被披露以后 , 隨著時間的推移 , 由于軟件新版本的更新 , 有意或無意的漏洞修補 , 存在漏洞的系統(tǒng)越來越少 , 相對來說漏洞的威脅呈現(xiàn)一個越來越小的趨勢 , 也就是說 , 同樣CVSS威脅基本評分為8的2000年與2006年的漏洞在2006年評價時現(xiàn)實的威脅程度是很不一樣的 。
【如何評價IDS漏洞攻擊檢測覆蓋面指標】其實 , CVSS漏洞威脅評分系統(tǒng)的設計考慮了威脅評分隨時間及布署狀況的修正 , 一個漏洞的CVSS威脅評分涉及三個層次:基本評分、生命周期因素修正、環(huán)境因素修正 ?;驹u分是根據(jù)漏洞本身固有特性所可能造成的影響評價得到的分值 , 生命周期因素修正就是基于時間進程的修正 , 環(huán)境因素即是基于布署情況的修正 。NVD提供了CVE條目的基本評分 , 環(huán)境因素取決于組織受漏洞影響產(chǎn)品布署狀況 , 生命周期因素修正需要跟蹤每個漏洞的補丁發(fā)布情況 , 工作量巨大 , 一個單獨的組織是無法完成的 , 因此NVD也未給出相應的數(shù)據(jù) 。
對于我們的評價指標 , 我們簡單地采用一個極粗糙的威脅隨年數(shù)增加線性遞減的算法:
漏洞的當前威脅評分 = CVSS基本評分* (8-(2006-漏洞發(fā)布的年))/8
這樣一個線性算法與事實情況并不一致 , 事實情況是漏洞在公布的一兩年內(nèi)威脅程度迅速下降 , 之后幾年內(nèi)的下降則非常的小 , 所以 , 基本上線性遞減只是一個聊勝于無的計算方法 , 考慮到每個漏洞的情況并不那么一致而且指標只用于作相對的比較 , 這樣的算法也是可接受的 。
到此評價指標修正為所有CVE相關的漏洞當前威脅評分的總和 。
2、如何操作及幾個常見產(chǎn)品的指標分析
2.1 獲取每個CVE條目對應的CVSS評分
從NVD網(wǎng)站下載CVE評分數(shù)據(jù)文件 , 文件為XML格式 , 每年一個單獨的文件 , 它包含了每個CVE條目的詳細信息 , 使用所附的 extract-cve-score.pl 腳本將其中CVE名和相應的CVSS評分提取出來 , 把打印出來的數(shù)據(jù)重定向的文件中 , 并將多年的數(shù)據(jù)整合到一個文件中 , 這個即是我們以后會使用到的CVE名和對應CVSS評分的對照表 。

推薦閱讀