В рамках (http://www.dshield.org/hpbinfo.html) проекта Highly Predictive Blacklisting (HPB) введен в строй "чёрный список" IP-адресов, составленный на основе анализа непрерывно поступающих от участников проекта журналов событий межсетевых экранов (firewall logs).

HPB использует (http://www.cyber-ta.org/pubs/hpb.pdf) алгоритм, похожий на Google PageRank, но вместо ссылок на сайты анализируются и сравниваются между собой логи межсетевых экранов, чтобы найти взаимосвязь между атаками и IP-адресами. В обмен на предоставление своего лога, каждый участник получает свой индивидуальный HPB со списком адресов, с которых возможна атака его сети на протяжении последующих нескольких дней.

По сравнению с обычным глобальным "чёрным списком" достигается более высокая эффективность фильтрования при значительно меньшем размере списка. Кроме того HPB позволяет упреждать вероятные атаки на данный IP-адрес.

Сервис работает в экспериментальном режиме, регистрация (http://www.dshield.org/register.html) бесплатна.

URL: http://blogs.zdnet.com/security/?p=1540
Новость: http://www.opennet.me/opennews/art.shtml?num=17119

• Черный список с высокой степенью предсказания атак,User294, 11:37 , 25-Июл-08
  • Черный список с высокой степенью предсказания атак,Аноним, 12:16 , 25-Июл-08
    • Черный список с высокой степенью предсказания атак,Ivan, 12:53 , 25-Июл-08
• Черный список с высокой степенью предсказания атак,Аноним, 11:57 , 25-Июл-08
  • Черный список с высокой степенью предсказания атак,User294, 18:56 , 26-Июл-08
  • Черный список с высокой степенью предсказания атак,User294, 18:58 , 26-Июл-08
• Черный список с высокой степенью предсказания атак,Dyr, 13:35 , 25-Июл-08
• Черный список с высокой степенью предсказания атак,Аноним, 13:56 , 25-Июл-08
• Черный список с высокой степенью предсказания атак,Аноним, 21:40 , 25-Июл-08
• Черный список с высокой степенью предсказания атак,Щекн Итрч, 16:46 , 26-Июл-08
• Черный список с высокой степенью предсказания атак,Димыч, 18:44 , 26-Июл-08

Интересно... только вот я вижу одну потенциальную проблему: если у кого-то фаерволл блочит что-то, он уже это сам туда добавил :) соответственно сдается мне что у этой системы может быть кучка false positives а местами наоборот чрезмерная паранойя.Т.е. работа фаерволла если загрузить в него этот список до какой-то степени начнет напоминать русскую рулетку.

detection is done by log analysis, not by firewall rules!

>detection is done by log analysis, not by firewall rules!

if firewall rules good. Why use log analysis?

Я думаю, показания одного пользователя не станут включать в фильтры. Включать в этот список будут только хосты, засветившиеся сразу в нескольких местах.

>Я думаю, показания одного пользователя не станут включать в фильтры. Включать в
>этот список будут только хосты, засветившиеся сразу в нескольких местах.

Ну не знаю, я еще не забыл отжиги некоторых BL списков которые начинали "гасить всех".Если кому-то подобная замануха с спорными принципами работы нравится - флаг как говорится в руки :).А я в сторонке постою, посмотрю что из этой затеи выйдет.

>Я думаю, показания одного пользователя не станут включать в фильтры. Включать в
>этот список будут только хосты, засветившиеся сразу в нескольких местах.

И такой вопрос: а что помешает паре тыщ китайцев из их полиции нравов скооперироваться да залистить парой тыщ репортов айпишники нет, не хакера, а просто ресурса с неугодным контентом?Файрвол то дуб - ему пополам хакер это или просто хост какой-то, сказали мочить - значить мочить.

Очень похоже на проект MyNetWatchman:
http://www.mynetwatchman.com/

Что-то не вызывает особого доверия проект, сайт которого создатели в файрфоксе похоже ни разу не просматривали ибо кнопка Go непонятно где, уже кое о чём говорит :)

Попробуем...

Платный... 50 долл в месяц...

В каком месте платный? Написано free.