Специалисты по безопасности совершенствуют инструмент блокирования интернет-атак при помощи алгоритмов Google.

На 17-м симпозиуме по безопасности Usenix, который открывается на этой неделе, ученые из Sans Institute и SRI International представят результаты своих экспериментов в области «черных списков с высокой точностью прогнозирования» (highly predictive blacklisting — HPB). Такие списки составляются для отдельных сетей с применением подхода, напоминающего алгоритм Google PageRank, который поисковый гигант использует для выдачи наиболее релевантных результатов.

Исследования проводятся с начала прошлого года в рамках экспериментальной службы, предлагаемой участникам DShield — системы на основе сообщества, которая выявляет тенденции в области атак с помощью журналов регистрации событий межсетевых экранов, присылаемых пользователями, и применяется для сбора данных центром Internet Storm при Sans Institute.

DShield и другие аналогичные сайты предлагают фильтры для межсетевых экранов, позволяющие администраторам блокировать атаки злоумышленников, входящих в список GWOL (global worst-offenders list). Однако отдельно взятая сеть может никогда не сталкиваться со многими атаками из этого списка. Локальные сети создают собственные списки LWOL, но они не спасают от нарушителей, атакующих сеть впервые.

Система HPB должна стать промежуточным звеном между обоими списками. Она основана на том, что многие атаки затрагивают целые группы сетей, — исследователи называют их «взаимосвязанными жертвами». Принимая во внимание эту корреляцию, можно создать персонализированные черные списки для отдельных сетей, в которых точно учтена вероятность атаки на данную сеть из определенного источника в ближайшие несколько дней.

«Составляя HPB для сети А, мы рассматриваем источники атак, затронувших сети, взаимосвязанные с А, иначе, чем источники, атаковавшие другие сети, — поясняют исследователи в документе, опубликованном на веб-сайте проекта Cyber-Threat Analytics, координирующем работу по HPB. — Традиционные подходы к составлению черных списков, такие как GWOL, оценивают эти источники одинаково и, следовательно, игнорируют характеристики отдельных сетей, отраженные в журналах регистрации событий».

«Наши эксперименты показывают, что для большинства участников HPB демонстрирует более высокий уровень совпадений, чем традиционные черные списки, — отмечают исследователи. — Эти результаты остаются стабильными в течение длительного времени при разной длине списков и разных интервалах прогнозирования».

Редакция мировых новостей ИТ