6.35. IP信誉关键字¶
IP信誉可以通过新的规则关键字“iprep”在规则中使用。
有关IP信誉的更多信息,请参阅 IP信誉配置 和 IP信誉格式 .
6.35.1. 知识产权计划¶
iprep指令与主机的IP信誉信息匹配。
iprep:<side to check>,<category>,<operator>,<reputation score>
检查侧:<任何 |src| DST两者>
类别:类别简称
运算符:<,>,,=
声誉评分:1-127
例子:
alert ip $HOME_NET any -> any any (msg:"IPREP internal host talking to CnC server"; flow:to_server; iprep:dst,CnC,>,30; sid:1; rev:1;)
当$home_net中的系统作为客户端与CNC类别中信誉分数设置为30以上的任何IP通信时,此规则将发出警报。
6.35.1.1. 仅限IP¶
“iprep”关键字与“ip only”规则兼容。这意味着这样的规则:
alert ip any any -> any any (msg:"IPREP High Value CnC"; iprep:src,CnC,>,100; sid:1; rev:1;)
每个流向只检查一次。