Черный список с высокой степенью предсказания атак

25.07.2008 10:15

В рамках проекта Highly Predictive Blacklisting (HPB) введен в строй "чёрный список" IP-адресов, составленный на основе анализа непрерывно поступающих от участников проекта журналов событий межсетевых экранов (firewall logs).

HPB использует алгоритм, похожий на Google PageRank, но вместо ссылок на сайты анализируются и сравниваются между собой логи межсетевых экранов, чтобы найти взаимосвязь между атаками и IP-адресами. В обмен на предоставление своего лога, каждый участник получает свой индивидуальный HPB со списком адресов, с которых возможна атака его сети на протяжении последующих нескольких дней.

По сравнению с обычным глобальным "чёрным списком" достигается более высокая эффективность фильтрования при значительно меньшем размере списка. Кроме того HPB позволяет упреждать вероятные атаки на данный IP-адрес.

Сервис работает в экспериментальном режиме, регистрация бесплатна.

исправить +/–

Автор новости: Rootkit

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/17119-firewall

Ключевые слова: firewall, blacklist, DDOS

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (11)

1.1, User294 (ok), 11:37, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно... только вот я вижу одну потенциальную проблему: если у кого-то фаерволл блочит что-то, он уже это сам туда добавил :) соответственно сдается мне что у этой системы может быть кучка false positives а местами наоборот чрезмерная паранойя.Т.е. работа фаерволла если загрузить в него этот список до какой-то степени начнет напоминать русскую рулетку.

2.3, Аноним (3), 12:16, 25/07/2008 [^] [^^] [^^^] [ответить]	+/–
detection is done by log analysis, not by firewall rules!

3.4, Ivan (??), 12:53, 25/07/2008 [^] [^^] [^^^] [ответить]	+/–
>detection is done by log analysis, not by firewall rules! if firewall rules good. Why use log analysis?

1.2, Аноним (-), 11:57, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я думаю, показания одного пользователя не станут включать в фильтры. Включать в этот список будут только хосты, засветившиеся сразу в нескольких местах.

2.10, User294 (ok), 18:56, 26/07/2008 [^] [^^] [^^^] [ответить]	+/–
>Я думаю, показания одного пользователя не станут включать в фильтры. Включать в >этот список будут только хосты, засветившиеся сразу в нескольких местах. Ну не знаю, я еще не забыл отжиги некоторых BL списков которые начинали "гасить всех".Если кому-то подобная замануха с спорными принципами работы нравится - флаг как говорится в руки :).А я в сторонке постою, посмотрю что из этой затеи выйдет.

2.11, User294 (ok), 18:58, 26/07/2008 [^] [^^] [^^^] [ответить]	+/–
>Я думаю, показания одного пользователя не станут включать в фильтры. Включать в >этот список будут только хосты, засветившиеся сразу в нескольких местах. И такой вопрос: а что помешает паре тыщ китайцев из их полиции нравов скооперироваться да залистить парой тыщ репортов айпишники нет, не хакера, а просто ресурса с неугодным контентом?Файрвол то дуб - ему пополам хакер это или просто хост какой-то, сказали мочить - значить мочить.

1.5, Dyr (??), 13:35, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Очень похоже на проект MyNetWatchman: http://www.mynetwatchman.com/

1.6, Аноним (3), 13:56, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что-то не вызывает особого доверия проект, сайт которого создатели в файрфоксе похоже ни разу не просматривали ибо кнопка Go непонятно где, уже кое о чём говорит :)

1.7, Аноним (3), 21:40, 25/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Попробуем...

1.8, Щекн Итрч (?), 16:46, 26/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Платный... 50 долл в месяц...

1.9, Димыч (??), 18:44, 26/07/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
В каком месте платный? Написано free.

Добавить комментарий

Текст: