IP信誉可以通过一个新的规则关键字“iprep”在规则中使用。
1.iprep
iprep指令匹配主机的IP信誉信息。
iprep:<side to check>,<category>,<operator>,<reputation score>
side to check: <any|src|dst|both>
category: 类别简称
operator: <, >, =
reputation score: 1-127
1.2 示例
alert ip $HOME_NET any -> any any (msg:"IPREP internal host talking to CnC server"; flow:to_server; iprep:dst,CnC,>,30; sid:1; rev:1;)
当$HOME_NET中的系统作为客户端与CnC类别中声誉得分设置为大于30的任何IP通信时,此规则将发出警报。
1.3 IP-only
“iprep”关键字与““IP-only”规则兼容。这意味着一个规则像:
alert ip any any -> any any (msg:"IPREP High Value CnC"; iprep:src,CnC,>,100; sid:1; rev:1;)
每个流向只检查一次。
网友评论