科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道一个评价入侵检测系统漏洞攻击检测覆盖面的指标

一个评价入侵检测系统漏洞攻击检测覆盖面的指标

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

其实,CVSS漏洞威胁评分系统的设计考虑了威胁评分随时间及布署状况的修正,一个漏洞的CVSS威胁评分涉及三个层次:基本评分、生命周期因素修正、环境因素修正。

作者:51cto 2007年10月20日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共3页)

2. 如何操作及几个常见产品的指标分析
2.1 获取每个CVE条目对应的CVSS评分
从NVD网站下载CVE评分数据文件,文件为XML格式,每年一个单独的文件,它包含了每个CVE条目的详细信息,使用所附的 extract-cve-score.pl 脚本将其中CVE名和相应的CVSS评分提取出来,把打印出来的数据重定向的文件中,并将多年的数据整合到一个文件中,这个即是我们以后会使用到的CVE名和对应CVSS评分的对照表。
2.2 获取评测产品的涉及到的CVE条目信息
以几个能从公开渠道获取信息的IDS产品为例:
Snort
-----
Snort的规则信息索引文件(sid-msg.map)中每个与CVE漏洞相关的检测都列出了相应的CVE名,我们只要使用类似 extract-snort-cve.pl 的简单脚本将其提取出来即可。
RealSecure 7
------------
RealSecure 7的每个检测模块升级包文件中包含了一个名为 issues.csv 的索引文件,文件中并不直接包含每个检测条目对应的CVE名信息,但包含了对应于ISS网站上详细说明信息的ID号,在详细说明中包含有CVE名。处理这种情况稍稍复杂一些,我们必须把检测条目相关的详细信息从网站上下载回来,这可以通过 get-iss-content.pl 脚本实现,它读取 issues.csv 文件中的检测条目ID号从ISS的网站下载每个条目的详细信息,每个条目一个文件,然后用 extract-iss-cve.pl 脚本提取检测条目涉及到的CVE名。
IDP
---
IDP的规则文件是可公开下载的,也未做加密,规则文件中包含了涉及到CVE名信息,与处理Snort规则索引文件类型,使用类似 extract-idp-cve.pl 的脚本将其提取出来。
对于其他产品一般通过分析其检测条目详细信息说明文档,都应该是可以得到相关的CVE条目信息的。
    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章