suricata 声誉

1.IP声誉

IP信誉组件的目的是Suricata引擎中IP地址的排名。它将收集，存储，更新和分发IP地址上的信誉情报。中心和分支架构将允许中央数据库（The Hub）收集，存储和编译更新的IP信誉细节，然后将这些细节分发到用户侧传感器数据库（Spoke）以包含在用户安全系统中。所采用的信誉数据更新频率和安全措施在用户安全配置中定义。

IP信誉的目的是允许共享有关大量IP地址的情报。这可以是分类为多个类别的积极或消极情报。技术实施需要三项重大努力; 引擎集成，重新分配信誉的集线器，以及集线器和传感器之间的通信协议。该中心将承担许多责任。这将是一个单独的模块，作为任何传感器在单独的系统上运行。大多数情况下，它会在所有传感器都已与之通信的中央数据库上运行。它将能够订阅一个或多个外部订阅源。本地管理员应该能够定义要订阅的订阅源，在需要时提供身份验证凭据，并为该订阅源赋予权重。重量可以是总数或按类别重量。如果Feed不信任某个特定类别或Feed，或者隐含信任另一个，则管理员可以最大限度地降低Feed对其整体声誉的影响。可以将订阅源配置为接受或不接受反馈，并在连接时报告。管理员可以覆盖并选择不提供任何反馈，但传感器应该在连接上向Hub上游报告这些反馈。集线器将采用所有这些馈送并将它们聚合为每个IP或IP块的平均单个分数，然后根据配置将此数据重新分配给所有本地传感器。它应该从传感器接收连接。传感器必须提供身份验证并提供反馈。集线器应将来自传感器的反馈重新分配给所有其他传感器以及接受反馈的任何馈送。集线器还应具有API，以允许对数据库进行外部统计分析并反馈到流中。例如，本地站点可以选择更改所有俄罗斯IP块的声誉等。

1.1 IP信誉配置

IP信誉有一些配置指令，默认情况下都禁用

图1

（1.1.1）reputation-categories-file

类别文件将编号的类别值映射到短名称

reputation-categories-file  :  /etc/suricata/iprep/categories.txt

（1.1.2）default-reputation-path

默认情况下从“信誉文件”指令加载信誉文件的路径

default-reputation-path : /etc/suricata/iprep

（1.1.3）信誉文件

要加载的YAML文件名列表。如果是绝对路径，则直接加载文件，否则预先设置“default-reputation-path”的路径以形成最终路径。

图2

（1.1.4）主机

IP信誉信息存储在主机表中，因此主机表的设置会影响它。

根据可用的信誉信息的主机数量，可能必须增加memcap和散列大小。

（1.1.5）重新加载

如果启用了“rule-reloads”选项，则向Suricata发送USR2信号将重新加载IP信誉数据以及正常规则重新加载。

在重新加载期间，主机表将更新为包含新数据。iprep信息已版本化。重新加载完成后，Suricata将自动清理旧的iprep信息。

只会重新加载信誉文件，类别文件将不会重新加载。如果类别发生变化，应重新启动Suricata。

1.2 文件格式

1.2.1 分类文件

categories文件提供类别编号，短名称和长描述之间的映射。这是一个简单的CSV文件：

<id>,<shortname>,<description>

如：

图3

类别id的最大值当前是硬编码为60.

1.2.2 声誉文件

信誉文件列出了类别中主机的信誉评分。这是一个简单的CSV文件：

<ip>,<category>,<reputationscore>

IP是四点式表示法中的IPv4地址或IPv6地址。两种IP类型都支持CIDR表示法中的网络。类别是类别文件中定义的数字。信誉得分是该IP在指定类别中的置信度，由1到127之间的数字表示（0表示没有数据）。

如：

1.2.3.4,1,101

1.1.1.0/24,6,88

如果IP地址具有多个类别的分数，则应该多次在文件中列出。

如：

1.1.1.1,1,10

1.1.1.1,2,10

这列出了类别1和2中的1.1.1.1，每个分数为10。