全面深入的了解高度预测性黑名单技术

ZDNet安全频道原创翻译 转载请注明作者以及出处

通常情况下的黑名单技术并不总是在任何地方都能发挥作用的。因此，为了让公司更加积极关注于这个领域，并将防火墙在黑名单分配上耗费的资源降到最低的程度，斯坦福研究院和美国系统网络安全协会开发了高度预测性黑名单(HPB)技术，可以为每个参与者建立独特的黑名单。
--------------------------------------------------------------------------------------------

　　对于普通员工来说上网只是单调的活动，但对于安全专家们来说，这是永远不会停止的战斗。并且，员工在浏览的时间总是喜欢点击任何看起来有趣的东西，而对于黑客们来说，这正是求之不得的事情，因此，为了避免网络的崩溃，你必须进行适当的处理。

　　多年来，最普遍使用的方法一直是边界防火墙。只要对防火墙进行了正确的配置，就能保证不受到错误或者恶意流量的影响。为了防止不必要的连接或者利用已知网站的入侵，其中一种方法就是为防火墙配置基于网络IP地址的黑名单数据包筛选器。但是，通常情况下的黑名单并不总是在任何地方都能发挥作用的。因此，为了让公司更加积极关注于这个领域，并将防火墙在黑名单分配上耗费的资源降到最低的程度，斯坦福研究院和美国系统网络安全协会开发了高度预测性黑名单(HPB)技术。

　　黑名单与白名单之比较

　　从理论上来看，防止员工访问存在问题的网站效果最好的技术是白名单。如果网站属于网络地址列表中没有批准的目的地，数据包将被防火墙阻止。对于进入网络的数据包同样适用这一原则。来自外部网站的数据包将首先与防火墙的白名单进行处理，才能可以进入内部网络。但是，在现实世界中，白名单技术通常是不可行的。

　　容许访问网站数量的不断增加，来自各个部门不论是真实还是想象的控制要求，不同的管理权限，这些活动将导致白名单的维护工作是永无止境的。并且还有一个问题，防止白名单由于故意或者无意的错误出现问题也是很困难的。

　　由于白名单在执行方面存在这样的固有缺陷，因此，大部分的公司选择阻止已知或可疑的恶意网站，或将其列入黑名单。

　　传统黑名单的执行模式

　　通常情况下，黑名单被分为两类：全球最严重的威胁名单(GWOL)和本地最严重的威胁名单(LWOL)。全球最严重的威胁名单包括了通过全球各地的数百或数千网络为基础收集到的资料解决的所有已知问题。类似美国系统网络安全协会建设的DShield.org之类的网站就提供了包含这类一般性威胁连接实体的IP地址和端口等数据的列表。全球最严重的威胁名单采用的是阻止网络IP地址的方法，所以绝不会威胁到一个特定的本地网络。采用这种模式，必须在短时间内为防火墙加载一个不必要的巨型过滤器。这样的话，你的网络可能是安全的了，但付出的代价就是必须忍受可能出现的数据延迟问题。

　　而本地最严重的威胁名单(LWOL)需要在公司的层面上建立。它的基础是公司防火墙流量的变化。安全工程师可以根据清单上的内容，积极主动地阻止来自这些地方的流量。尽管本地最严重的威胁名单看起来效果不错，但它只能阻止防火墙已经发现的问题。换句话说，使用本地最严重的威胁名单是完全被动。当你决定阻止某个地址或端口的时间，可能已经为时过晚了。

　　对于不需要的进出数据包，安全工程师们可以采用一个或者多种模式来进行阻止。不管是全球最严重的威胁名单，还是本地最严重的威胁名单都不能为具体的网络提供主动保护。通过采用类似谷歌网页排名的技术，张健(斯坦福研究院) ，菲利普·波拉斯(斯坦福研究院)和约翰尼斯·乌尔里希(美国系统网络安全协会)已经开发、验证和并且公布了新的黑名单技术：高度预测性黑名单。

　　高度预测性黑名单的工作方式

　　高度预测性黑名单技术采用的是多阶段模式，以便为每一个参加高度预测性黑名单工作的公司提供独特的专属黑名单。具体过程如图一所示。

　　图一(张、波拉斯和乌尔里希)

　　所有的操作都是在DShield.org网站上进行的。贡献者(将防火墙日志进行分享的人)上传防火墙日志。在第一阶段，首先对防火墙日志进行预先过滤，去除不可靠的警告内容，其中包括：

　　· 无效或未分配的地址空间

　　· 网络地址的互联网测量服务、网络爬虫以及共同的软件更新来源

　　· 象传输控制协议需要的五十三号(域名系统)和二十五号(简单邮件传输协议 )等共同来源的端口

　　第二阶段，就是根据某一特定类型的攻击出现的情况，以及网络的类型和公司关注的重点，按照威胁程度的高低进行排列，对日志进行处理和整合。

　　最后，对每次攻击的严重性进行三个方面的评估。

　　关联性和严重性的排名是根据提供者网络的特点决定的(即网络规模、所处行业等参数)。高度预测性黑名单技术在输出黑名单的时间，可以根据提供者不同的要求进行相关的优化处理，减少在防火墙过滤器上不必要的设置，同时还可以根据类似的事件提供对不明类型攻击的主动防御。

　　缺点

　　高度预测性黑名单看起来是一个不错的主意，但也存在固有的缺点。首先，它会带来隐私方面的问题。该高度预测性黑名单项目还处在测试阶段。向DShield.org网站提交防火墙日志，可能会导致里面的内容被开发商、分析师以及第三方顾问等方面获得。你和管理团队在作出决定前，请对这一点可能带来的影响进行周密的考虑。

　　其次，相关性的高低取决于象你这样的参加人向DShield.org网站提交日志的数量。类似参加人的数量越多，相关性就越高。

　　最后，高度预测性黑名单技术并不是万能的。员工还是会继续想办法饶过配置在防火墙上的黑名单，采用在线代理服务就是一个可行的途径。任何基于防火墙黑名单的解决方案都应该得到网络过滤解决方案的支持，这样才能防止“变通”的访问方式。对于拥有预算的用户来说，WebSense公司可以提供一个很好的解决方案。而对于其它用户来说，OpenDNS可能就足够了。

　　结论

　　高度预测性黑名单技术看起来象是一个强大的解决方案。但在达到与传统黑名单模式相比可以提供更有用的信息这个目标前，可能还有一段很长的路要走。在依靠这项新技术前，确保你了解公司网络存在什么样的漏洞。