一个评价入侵检测系统漏洞攻击检测覆盖面的指标

2. 如何操作及几个常见产品的指标分析

2.1 获取每个CVE条目对应的CVSS评分

从NVD网站下载CVE评分数据文件，文件为XML格式，每年一个单独的文件，它包含了每个CVE条目的详细信息，使用所附的 extract-cve-score.pl 脚本将其中CVE名和相应的CVSS评分提取出来，把打印出来的数据重定向的文件中，并将多年的数据整合到一个文件中，这个即是我们以后会使用到的CVE名和对应CVSS评分的对照表。

2.2 获取评测产品的涉及到的CVE条目信息

以几个能从公开渠道获取信息的IDS产品为例：

Snort

-----

Snort的规则信息索引文件(sid-msg.map)中每个与CVE漏洞相关的检测都列出了相应的CVE名，我们只要使用类似 extract-snort-cve.pl 的简单脚本将其提取出来即可。

RealSecure 7

------------

RealSecure 7的每个检测模块升级包文件中包含了一个名为 issues.csv 的索引文件，文件中并不直接包含每个检测条目对应的CVE名信息，但包含了对应于ISS网站上详细说明信息的ID号，在详细说明中包含有CVE名。处理这种情况稍稍复杂一些，我们必须把检测条目相关的详细信息从网站上下载回来，这可以通过 get-iss-content.pl 脚本实现，它读取 issues.csv 文件中的检测条目ID号从ISS的网站下载每个条目的详细信息，每个条目一个文件，然后用 extract-iss-cve.pl 脚本提取检测条目涉及到的CVE名。

IDP

---

IDP的规则文件是可公开下载的，也未做加密，规则文件中包含了涉及到CVE名信息，与处理Snort规则索引文件类型，使用类似 extract-idp-cve.pl 的脚本将其提取出来。

对于其他产品一般通过分析其检测条目详细信息说明文档，都应该是可以得到相关的CVE条目信息的。

最新相关文章

• ·Linux平台四大IDS入侵检测工具
• ·五大最著名入侵检测系统全面分析
• ·重新认识IDS防范网络入侵行为
• ·入侵检测系统的正确使用方法
• ·入侵检测(IDS)存在的问题及发展趋势
• ·详述Windows 2003 SP2入门IDS构建过程
• ·浅析IDS与IPS：检测与防护的共生与发展
• ·IDS入侵特征库创建实例解析
• ·IDC技术详细说明 入侵检测功能详细集合
• ·IDS技术分析 入侵检测系统面临的三大挑战
• ·安全案例展示:IPS在校园网安全中的作用
• ·黑客经验:针对IDS的逃避技术与相关对策
• ·内核级利用通用Hook函数方法检测进程
• ·入侵检测系统IDS实战全面问题解答分析
• ·IDS的缺陷如何成就了IPS的发展
• ·专家看点：IDS的缺陷成就了IPS的发展