产品功能

最近更新时间:2020-07-17 12:54:36

IP画像是一款针对业务场景IP风险实时判定的产品,其通过IP被黑产持有时间与IP业务访问时间比对的方式来判断IP在访问业务时被黑产持有的可能性,同时再结合IP属性类型历史行为等来实时判断IP在业务访问时刻的风险程度。产品采用秒级更新的机制,保证了风险判定的时效性问题,同时摒弃对IP进行复杂的标签标注行为,采用风险分值的方式来量化风险,解决了传统IP黑白名单场景不匹配及易用性差的问题;其不仅能识别传统的代理等黑IP等欺诈行为,更能精准的识别黑产使用秒拨IP的作恶行为,帮助厂商更好的对抗黑产的作恶行为,减少经济损失。

实现原理:

黑产IP资源平台下面会有多个提供如“秒拨”服务的IP资源池节点,虽然单个节点的IP资源数量过百万,但是在一段时间内,单个节点拥有的IP数量是有限的,而且在这段时间内,这些IP会被这个节点一直持有,直到触发某些更新机制(类似缓存)。因此我们可以通过蜜罐、探针等技术手段,实时获取每个节点当前所持有的IP,并对这个IP打上被黑产持有的时间标签,同时结合已有的IP信誉库进行风险分析。基于此,用户可以根据IP对业务的访问时间与被黑产的持有时间及IP历史恶意行为比对分析,以此判断IP的实时风险程度。

产品功能:

产品采用打分制,用户通过上传IP进行查询,系统将返回IP、危险分值,IP类型、及地理位置(精确到地市),分值范围0-100。由于产品时效性高,为实时更新,故在查询的时候,同一个IP前后两次查询结果可能会不同。
API实时查询示例:
返回数据(明文)

{
    "ip": "119.7.78.100",
    "type": "家庭宽带",
    "location": "中国 四川省 德阳市 旌阳区 中国联通 31.126972 104.393298 510600 CN 亚洲",
        "risk_tag": "代理:2020-03-01 19:23:27",
    "risk_score":99,
    "risk_level":"高"
}
字段说明

Data内容字段说明如下:

字段 说明
ip 所查询的IP
type IP类型,包括ADSL、家庭宽带、数据中心、移动网络、企业专业、校园单位、未知
location 国家 省份 城市 区县 运营商 纬度 经度 行政区划代码 国家编码 大洲(空格分割)
risk_score 风险分数,范围0-100,得分越高被黑产持有的概率也就越高
risk_tag 风险标签,包括代理、秒拨、机房流量等,并附捕获时间精确至秒
risk_level 风险等级,包括高、中、低、无
风险标签[risk-tag]说明
标签内容 说明
代理 该IP在该时间点被网络黑产作为代理IP使用
秒拨 该IP在该时间点是网络黑产提供的秒拨IP资源(秒拨IP指,黑产利用家庭宽带拨号在一定时间内持有作恶的IP)
机房流量 该IP为IDC所属,通常正常用户流量不会从IDC发出
多开分身 在该时间使用该IP的设备,处于“多开分身”恶意设备环境(多开分身是一种作弊软件,实现在同一设备中,打开多个相同APP的,常见于薅羊毛、恶意引流等场景)
真人作弊 在该时间使用该IP的设备环境,多次命中真人作弊标签,有较大概率存在真人作弊风险
环境伪造 在该时间使用该IP的设备具有明显的改机特征(改机工具是一种提供伪造设备指纹功能的恶意软件,一些云控、云手机等群控类设备中也自带改机功能,同样会被识别标记为此标签)
伪造定位 在该时间使用该IP的设备具有以下特征,通过改机等手段实现虚拟定位或虚拟行驶
自动化脚本 在该时间使用该IP的设备具有启用模拟点击脚本(一种自动化模拟点击的工具,可以实现自动重复攻击,常见于薅羊毛、引流、恶意注册、刷量等场景)的特征
风险分值说明:

针对产品对IP给出的风险分数,用户可以根据以下说明进行处置:

风险等级 分数段 说明 处置建议
高危 100~94分 该IP当前被黑产持有可能性极高 建议采取较强限制策略或直接拦截
中危 94分~79分 该IP当前被黑产持有可能性为中 使用中等限制策略 如短信验证码,人工标记复审
低危 79分~10分 该IP当前被黑产持有可能性低 使用较低限制策略,如图形验证码
正常 10分~0分 该IP近期未发现有明显风险 建议直接放行

金山云,开启您的云计算之旅

免费注册