Q008 为什么要对IP进行信誉评级？

传统安全解决方案一般是先判断行为的好坏，再执行“允许”或“拦截”之类的策略。不过随着高级攻击的日益增多，这种方法已不足以应对各种威胁。许多攻击在开始时伪装成合法的流量进入网络，然后再实施破坏。因为攻击者的目标是渗透系统，所以需要对其行为进行跟踪，并对其IP地址进行信誉评级。

OSSIM中反映出的IP特征包括IP地址的域名、地理位置、操作系统和提供的服务功能等。这些信息用来构建出全球IP信誉系统。