Behavior blacklisting

Behavior blacklisting is een beveiligingsmethode die gebaseerd is op het detecteren van gespecificeerde verdachte acties van de kant van software of menselijke agenten en het blokkeren van toegang dienovereenkomstig. Net als behavior whitelisting wordt behavior blacklisting gebruikt om e-mail systemen te beveiligen tegen spam en phishing pogingen, om websites, diensten en forums te beschermen tegen bots en hackers en om computers te beschermen tegen malware en hacking pogingen. Ook inbreukdetectiesystemen (BDS) vertrouwen op gedragsgebaseerde blacklisting om de netwerkveiligheid te handhaven.

Content-based filtering en IP-based blacklisting, de twee meest gebruikte methoden om spam te blokkeren, worden steeds minder effectief omdat spammers hun eigen technieken hebben aangepast om ze te omzeilen. Blacklisting kan een aanzienlijk percentage van de spam vangen die met deze methoden wordt gemist. Bij een spamfilter op basis van gedrag volgt de software, in plaats van een lijst van IP-adressen die als bekende overtreders moeten worden geblokkeerd, gedragingen zoals verzendpatronen. Op dezelfde manier verzonden verdachte massamailings worden gemakkelijk geblokkeerd. Webcrawling-bots die websites en fora kunnen spammen of vernielen, kunnen ook worden geblokkeerd vanwege  hun herkenbare gescripte gedragingen. Op heuristiek gebaseerde antivirus systemen zijn in wezen een vorm van gedrags-blacklisting, die helpt bij het detecteren van nieuwe bedreigingen en vooral nieuwe varianten van bestaande virussen.

Gedrags-blacklisting is vooral nuttig op machines die veel vereiste functies hebben en die voortdurend veranderen; het kan meer werk kosten om een whitelist bij te werken in zulke variabele omgevingen. Niettemin is de lijst van toegestane software- en netwerkgedragingen, uitgevoerde code en e-mailadressen die op een witte lijst kunnen worden gespecificeerd, doorgaans korter dan een vergelijkbare compilatie voor een zwarte lijst. Gedrag op een zwarte lijst zorgt in eerste instantie voor meer ongeblokkeerde mogelijkheden, maar moet wel worden bijgehouden, en dat kan op de lange duur meer werk vergen om gelijke tred te houden met veranderende IP's, omgevingen en bedreigingen.