The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Черный список с высокой степенью предсказания атак

25.07.2008 10:15

В рамках проекта Highly Predictive Blacklisting (HPB) введен в строй "чёрный список" IP-адресов, составленный на основе анализа непрерывно поступающих от участников проекта журналов событий межсетевых экранов (firewall logs).

HPB использует алгоритм, похожий на Google PageRank, но вместо ссылок на сайты анализируются и сравниваются между собой логи межсетевых экранов, чтобы найти взаимосвязь между атаками и IP-адресами. В обмен на предоставление своего лога, каждый участник получает свой индивидуальный HPB со списком адресов, с которых возможна атака его сети на протяжении последующих нескольких дней.

По сравнению с обычным глобальным "чёрным списком" достигается более высокая эффективность фильтрования при значительно меньшем размере списка. Кроме того HPB позволяет упреждать вероятные атаки на данный IP-адрес.

Сервис работает в экспериментальном режиме, регистрация бесплатна.

  1. Главная ссылка к новости (http://blogs.zdnet.com/securit...)
  2. как получить индивидуальный "чёрный список"
  3. Подробное описание алгоритма (PDF, 504 Kб)
  4. Attackers' behavior builds better blacklists
Автор новости: Rootkit
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/17119-firewall
Ключевые слова: firewall, blacklist, DDOS
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, User294 (ok), 11:37, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно... только вот я вижу одну потенциальную проблему: если у кого-то фаерволл блочит что-то, он уже это сам туда добавил :) соответственно сдается мне что у этой системы может быть кучка false positives а местами наоборот чрезмерная паранойя.Т.е. работа фаерволла если загрузить в него этот список до какой-то степени начнет напоминать русскую рулетку.
     
     
  • 2.3, Аноним (3), 12:16, 25/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    detection is done by log analysis, not by firewall rules!
     
     
  • 3.4, Ivan (??), 12:53, 25/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >detection is done by log analysis, not by firewall rules!

    if firewall rules good. Why use log analysis?

     

  • 1.2, Аноним (-), 11:57, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я думаю, показания одного пользователя не станут включать в фильтры. Включать в этот список будут только хосты, засветившиеся сразу в нескольких местах.
     
     
  • 2.10, User294 (ok), 18:56, 26/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я думаю, показания одного пользователя не станут включать в фильтры. Включать в
    >этот список будут только хосты, засветившиеся сразу в нескольких местах.

    Ну не знаю, я еще не забыл отжиги некоторых BL списков которые начинали "гасить всех".Если кому-то подобная замануха с спорными принципами работы нравится - флаг как говорится в руки :).А я в сторонке постою, посмотрю что из этой затеи выйдет.

     
  • 2.11, User294 (ok), 18:58, 26/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Я думаю, показания одного пользователя не станут включать в фильтры. Включать в
    >этот список будут только хосты, засветившиеся сразу в нескольких местах.

    И такой вопрос: а что помешает паре тыщ китайцев из их полиции нравов скооперироваться да залистить парой тыщ репортов айпишники нет, не хакера, а просто ресурса с неугодным контентом?Файрвол то дуб - ему пополам хакер это или просто хост какой-то, сказали мочить - значить мочить.

     

  • 1.5, Dyr (??), 13:35, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень похоже на проект MyNetWatchman:
    http://www.mynetwatchman.com/
     
  • 1.6, Аноним (3), 13:56, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то не вызывает особого доверия проект, сайт которого создатели в файрфоксе похоже ни разу не просматривали ибо кнопка Go непонятно где, уже кое о чём говорит :)
     
  • 1.7, Аноним (3), 21:40, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Попробуем...
     
  • 1.8, Щекн Итрч (?), 16:46, 26/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Платный... 50 долл в месяц...
     
  • 1.9, Димыч (??), 18:44, 26/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В каком месте платный? Написано free.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру