全部文档
当前文档
最近更新时间:2020-07-17 12:54:36
IP画像是一款针对业务场景IP风险实时判定的产品,其通过IP被黑产持有时间与IP业务访问时间比对的方式来判断IP在访问业务时被黑产持有的可能性,同时再结合IP属性类型历史行为等来实时判断IP在业务访问时刻的风险程度。产品采用秒级更新的机制,保证了风险判定的时效性问题,同时摒弃对IP进行复杂的标签标注行为,采用风险分值的方式来量化风险,解决了传统IP黑白名单场景不匹配及易用性差的问题;其不仅能识别传统的代理等黑IP等欺诈行为,更能精准的识别黑产使用秒拨IP的作恶行为,帮助厂商更好的对抗黑产的作恶行为,减少经济损失。
黑产IP资源平台下面会有多个提供如“秒拨”服务的IP资源池节点,虽然单个节点的IP资源数量过百万,但是在一段时间内,单个节点拥有的IP数量是有限的,而且在这段时间内,这些IP会被这个节点一直持有,直到触发某些更新机制(类似缓存)。因此我们可以通过蜜罐、探针等技术手段,实时获取每个节点当前所持有的IP,并对这个IP打上被黑产持有的时间标签,同时结合已有的IP信誉库进行风险分析。基于此,用户可以根据IP对业务的访问时间与被黑产的持有时间及IP历史恶意行为比对分析,以此判断IP的实时风险程度。
产品采用打分制,用户通过上传IP进行查询,系统将返回IP、危险分值,IP类型、及地理位置(精确到地市),分值范围0-100。由于产品时效性高,为实时更新,故在查询的时候,同一个IP前后两次查询结果可能会不同。
API实时查询示例:
返回数据(明文)
{
"ip": "119.7.78.100",
"type": "家庭宽带",
"location": "中国 四川省 德阳市 旌阳区 中国联通 31.126972 104.393298 510600 CN 亚洲",
"risk_tag": "代理:2020-03-01 19:23:27",
"risk_score":99,
"risk_level":"高"
}
Data内容字段说明如下:
| 字段 | 说明 |
|---|---|
| ip | 所查询的IP |
| type | IP类型,包括ADSL、家庭宽带、数据中心、移动网络、企业专业、校园单位、未知 |
| location | 国家 省份 城市 区县 运营商 纬度 经度 行政区划代码 国家编码 大洲(空格分割) |
| risk_score | 风险分数,范围0-100,得分越高被黑产持有的概率也就越高 |
| risk_tag | 风险标签,包括代理、秒拨、机房流量等,并附捕获时间精确至秒 |
| risk_level | 风险等级,包括高、中、低、无 |
| 标签内容 | 说明 |
|---|---|
| 代理 | 该IP在该时间点被网络黑产作为代理IP使用 |
| 秒拨 | 该IP在该时间点是网络黑产提供的秒拨IP资源(秒拨IP指,黑产利用家庭宽带拨号在一定时间内持有作恶的IP) |
| 机房流量 | 该IP为IDC所属,通常正常用户流量不会从IDC发出 |
| 多开分身 | 在该时间使用该IP的设备,处于“多开分身”恶意设备环境(多开分身是一种作弊软件,实现在同一设备中,打开多个相同APP的,常见于薅羊毛、恶意引流等场景) |
| 真人作弊 | 在该时间使用该IP的设备环境,多次命中真人作弊标签,有较大概率存在真人作弊风险 |
| 环境伪造 | 在该时间使用该IP的设备具有明显的改机特征(改机工具是一种提供伪造设备指纹功能的恶意软件,一些云控、云手机等群控类设备中也自带改机功能,同样会被识别标记为此标签) |
| 伪造定位 | 在该时间使用该IP的设备具有以下特征,通过改机等手段实现虚拟定位或虚拟行驶 |
| 自动化脚本 | 在该时间使用该IP的设备具有启用模拟点击脚本(一种自动化模拟点击的工具,可以实现自动重复攻击,常见于薅羊毛、引流、恶意注册、刷量等场景)的特征 |
针对产品对IP给出的风险分数,用户可以根据以下说明进行处置:
| 风险等级 | 分数段 | 说明 | 处置建议 |
|---|---|---|---|
| 高危 | 100~94分 | 该IP当前被黑产持有可能性极高 | 建议采取较强限制策略或直接拦截 |
| 中危 | 94分~79分 | 该IP当前被黑产持有可能性为中 | 使用中等限制策略 如短信验证码,人工标记复审 |
| 低危 | 79分~10分 | 该IP当前被黑产持有可能性低 | 使用较低限制策略,如图形验证码 |
| 正常 | 10分~0分 | 该IP近期未发现有明显风险 | 建议直接放行 |
纯净模式