信誉拦截列表 (Reputation Block List, RBL) 是针对有害和不需要的互联网内容的常见防御措施。这些列表包含已知垃圾邮件来源、网络钓鱼页面、恶意网站或其他不需要的内容的互联网协议地址、域名或完整的统一资源定位符。我们使用这些数据源在 ICANN 域名滥用活动报告 (Domain Abuse Activity Reporting, DAAR) 等系统中生成衡量标准,以便进行研究、作为机器学习模型的训练集,以及用作其他用途。各组织可以使用 RBL 来阻止对域名的传入或传出访问,过滤垃圾邮件,针对网络钓鱼或其他活动发出警告,进而保护用户免受在线威胁。
这些列表有数个不同的提供商,其中许多提供商具有完全不同且特定的关注领域、收集方法、交付机制等。这导致各 RBL 提供商具有不同的优势。此外,RBL 数据具有广泛的用例,我们可以看到,并非所有用例都完全适合所有用户。最近的首席技术官办公室 (Office of the Chief Technology Officer, OCTO) 出版物以及我们在 2023 年反网络钓鱼工作组技术峰会上演示和发布的新文件都对此进行了深入探讨。
为了帮助评估 RBL 的特征是否适合我们拟定的用途,我们首先必须协调所有传入的数据和元数据,然后以单个一致的格式存储这些数据。之后,我们才能开始衡量和比较数据量以及所处理威胁的类型、识别报告中的重复数据等。此外,我们还可以开始分析不太有形的衡量标准,如潜在的误报。随着时间的推移,这种协调数据的流程使我们能够创建有助于评估 RBL(使用单个 RBL 和组合使用多个 RBL)的衡量标准集。
因此,我们看到没有一个 RBL 可以满足所有用例的需求。事实证明,将 RBL 组合到单一数据源中非常重要,因为一个 RBL 的优势通常会弥补另一个 RBL 的劣势,反之亦然。事实上,我们一直看到 RBL 之间的重叠很小(大多数情况下小于 5%)。这意味着由此产生的益处往往是显著的。
在我们的新文件中,我们认为,了解单独使用任何一个 RBL 或组合使用多个 RBL 的优势和劣势,是很好地适合特定用例的关键。要最大限度地发挥 RBL 的优势,我们建议组合使用两个或更多 RBL。这会对所发生的事件提供更全面且背景信息丰富的概述,而不是依赖于任何单个 RBL。下面是我们在这份出版物中撰写的内容摘要:
- 我们拟定了一种系统化的 RBL 评估方法,为评估 RBL 的有效性和适用性提供了一种结构化方法。
- 我们对 RBL 特征进行了细致的检查,涵盖数量、重叠、及时性、波动、活性、纯度和准确性等方面。
- 我们通过可视化图表展示了拟定衡量标准的实际应用,为网络安全领域的研究人员、从业人员和决策人员提供了有形的可访问指南。
有关我们的方法和调查结果的更多详细信息,请参阅 OCTO 出版物 037。
