11.1. 信誉评分技术

IP信誉组件的目的是在Suricata引擎中对IP地址进行排名。它将收集、存储、更新和分发IP地址上的信誉信息。集线器和轮辐架构将允许中央数据库(集线器)收集、存储和编译更新后的IP信誉详细信息,然后将这些信息分发给用户端传感器数据库(轮辐),以便包含在用户安全系统中。信誉数据更新频率和采取的安全操作在用户安全配置中定义。

IP信誉的目的是允许共享有关大量IP地址的情报。这可以是积极的或消极的智力分类为许多类别。技术实现需要三项主要工作:引擎集成、重新分配声誉的集线器以及集线器和传感器之间的通信协议。该中心将承担许多责任。这将是一个单独的模块,作为任何传感器运行在单独的系统上。大多数情况下,它会运行在一个中央数据库上,所有传感器都已经与之通信。它将能够订阅一个或多个外部源。本地管理员应该能够定义要订阅的源,在需要时提供身份验证凭据,并为该源赋予权重。权重可以是一个整体数字,也可以是一个按类别的权重。这将允许管理员在不信任某个特定类别或提要,或隐式信任另一个类别或提要时,最小化提要对其整体声誉的影响。订阅源可以配置为接受或不接受反馈,并将在连接时报告。管理员可以覆盖并选择不提供任何反馈,但传感器应在连接时向上游集线器报告这些反馈。集线器将获取所有这些提要,并将它们聚合为每个IP或IP块的平均单分数,然后根据配置将这些数据重新分发给所有本地传感器。它应该接收来自传感器的连接。传感器必须提供认证并提供反馈。集线器应将来自传感器的反馈重新分配给所有其他传感器,以及任何接受反馈的反馈。集线器还应该有一个API,允许对数据库进行外部统计分析,并将其反馈到流中。例如,一个本地站点可以选择更改所有俄罗斯IP块的声誉等。

有关IP信誉的更多信息,请参阅 IP信誉配置IP信誉关键字IP信誉格式 .