互联网时代,ip一直在网络安全和风险控制领域占据着最为重要的地位,下面ip数据云简单介绍一下如何通过ip地址进行风险控制。
一、IP的颓势
从最近几年开始,IP在作为用户标识的作用日渐削弱,从而极大的影响到了其在安全防范和风险控制方面的有效性:
1.IPv6 已经不是新话题,虽然进程非常缓慢,但趋势无法逆转;IPv6的场景下,ip唯一性会难以保证。好在现在IPv6的普及率都很低,不管是用户还是网站。
2.目前,国内大部分用户是没有独立ip的,基本上是在公司、学校、网吧等地方上网,大家共享出口ip。以教育网为例,它共有76000+ C类地址,虽然已经是比较多的资源,但还是不能完全覆盖它内部整个网络,会有很多学校只能分配到少数资源,导致大量的学生都共享同一个公网ip,有一个调皮了就会影响到一群人。对这类ip,需要非常小心。
3.近几年移动化浪潮下,共享ip的问题尤其突出。现在大部分网络访问来自移动设备,要么是wifi地址,要么是3/4G出口。如果是后者,同一ip下的设备数量会非常惊人,贸然采取行动的话会死的很惨。移动时代,ip的作用已经大为减弱。
二、IP历史行为辅助
通常对自身网站的用户行为分析,能够找出大部分的风险用户,但是会存在一些缺点,比如网站自身数据体量小,不能做完整的分析,又或者需要投资大量的技术和资金去开发,一般公司很难承担。
所以我们可以借助于互联网上ip风险画像,然后在根据实际的应用场景来判断风险用户。历史行为相关的数据采用较短的过期设置,来应对ip被轮换出去的情况数据来源方面,采取信任的来源。一种是自己去部署的蜜罐分析出来的结果;另一块标准化的大数据分析平台和策略,通过合作客户的黑名单数据交换来扩充自身数据库。
不过即使是这样,还是需要用户有正确的使用姿势,不要纯粹当成黑白名单来使用,更多的是作为自身数据分析的补充。
三、IP的正确使用姿势
在我们和客户的合作过程中,整理了一些对ip信息在安全防范和风险控制场景下的建议:
1.把ip信息单纯的作为黑白名单会带来一定的误杀率,不小心的话会带来比较严重的结果,需要一种合理的方式,并结合自身的情况来处理。
2.但是我们也发现,很多用户在分析过程中,过多的偏重于手机号等特性,忽视了ip的作用,这个其实损失了大量的风险信息,也会对误杀率(基站数据、教育网、组织出口数据等信息作白名单)和覆盖率(服务器、公有云平台、搜索引擎等信息辅助)带来影响。
3.对于所有的用户来说,都需要很好的利用ip的固有属性,无论是客观的还是主动探测的。这些属性分别在白名单和黑名单方面都有比较明显的贡献,如果自身有风控系统,应该将这些信息补充到自己的模型或策略中,可以起到明显的增强效果。
4.对于ip历史行为(常见的黑白名单)的数据来说,要挑选数据源,误杀率重于覆盖率。而如果有自身的风控系统,两相印证才是最合理的使用方法。
