15.1. IP 信誉度¶
IP信誉度组件的目的是在Suricata引擎中对IP地址进行评级。它将收集、存储、更新和分发关于IP地址的信誉情报。中心辐射式架构允许中央数据库(中心节点)收集、存储和编译更新的IP信誉详情,然后分发到用户侧的传感器数据库(辐射节点),以便纳入用户安全系统。信誉数据更新频率和采取的安全措施由用户安全配置定义。
IP信誉度的目的是允许共享关于大量IP地址的情报。这些情报可以是正面或负面的,并分类到多个类别中。技术实现需要三个主要部分:引擎集成、负责重新分配信誉的中心节点,以及中心节点与传感器之间的通信协议。中心节点将承担多项职责。这将是一个独立模块,运行在与任何传感器分离的系统上。通常它会运行在一个中央数据库上,所有传感器都已与之建立通信。中心节点能够订阅一个或多个外部数据源。本地管理员应能定义要订阅的数据源,提供所需的认证凭证,并为该数据源分配权重。权重可以是一个整体数值,也可以按类别分配权重。这将使管理员能够最小化特定数据源对其整体信誉的影响,如果他们不信任某个特定类别或数据源,或者完全信任另一个。数据源可以配置为是否接受反馈,并在连接时报告此设置。管理员可以覆盖并选择不提供任何反馈,但传感器应在连接时将这些反馈报告给上游中心节点。中心节点将获取所有这些数据源,并将它们聚合为每个IP或IP段的平均单一评分,然后根据配置将这些数据重新分发给所有本地传感器。它应该接收来自传感器的连接。传感器必须提供认证并提供反馈。中心节点应将来自传感器的反馈重新分发给所有其他传感器,并向上传递给任何接受反馈的数据源。中心节点还应具有一个API,允许对数据库进行外部统计分析,并将结果反馈回数据流。例如,本地站点可能选择更改所有俄罗斯IP段的信誉度等。