IP地址的所有研究,其實可以歸到三個問題上:
1、這個IP在哪兒?
2、這個IP是什么?
3、這個IP干了什么?
看似簡單的問題,但每個都需要投入巨大深入研究的代價。在IP畫像研發過程中,我們接觸了國內外很多出色的IP地址數據服務商,也經過諸多的測試與調研,最終我們選擇了最優的平臺,作為我們的基礎數據供應商,在這些數據的基礎上,產生出了更加豐富的信息,最終投入到各個風控場景中進行使用。
關于IP的一些冷知識:
IP地址(本文中特指IPv4地址),是用于標識網絡和主機的一種邏輯標識。依托于強大的TCP/IP協議,使得我們可以憑借一個IP地址,就訪問互聯網上的所有資源。
IP地址本質上,只是一個32位的無符號整型( int),范圍從0 ~ 2^32 ,總計約43億個IP地址。為了便于使用,一般使用字符串形式的IP地址,也就是我們平常用到的192.168.0.1這種形式。實際上,就是把整數,每8個二進制位轉換成對應的十進制整數,以點分隔的形式使用。
比如,192.168.0.1和是等價的。
全球共有五個區域互聯網注冊機構(RIR),分別是:
美洲互聯網號碼注冊管理機構( for ,ARIN);
歐洲IP網絡資源協調中心(RIPE ,RIPE NCC);
亞太網絡信息中心(Asia- ,APNIC);
拉丁美洲及加勒比地區互聯網地址注冊管理機構(Latin and ,);
非洲網絡信息中心( ,)。
IP地址的劃分,有RIR機構來進行統籌管理。負責亞洲地區IP地址分配的,就是APNIC,總部位于澳大利亞墨爾本。
各大RIR機構都提供了關于IP地址劃分的登記信息,即whois記錄。可以在各大RIR機構提供的whois查詢頁面上查看,或者使用whois命令查詢:
whois信息中,會顯示IP地址所屬的網段,以及申請使用和維護這個網段的運營商。比如,上面的信息中顯示,153.35.93.31隸屬于江蘇省聯通。
NO.1
這個IP在哪兒?
前面提到IP的whois信息,其中包含了申請使用該IP的運營商信息,并且在網段描述信息中,會包含國籍和省份信息。
但是這樣遠遠不夠,風控場景中,我們需要更加精確的結果,需要知道這個IP具體在哪個城市、哪個鄉鎮,甚至希望能夠精確到某一條街道或者小區。
曾有人問:我們的IP地址庫是否能夠提供這樣的結果?可以確定用戶在某個網吧、寫字樓甚至某個小區?
那上面這樣的IP數據庫是如何產生的呢?
俗稱“人海戰術”。您可別不相信,直到今天,依然有眾多的網友在為這個IP庫提供數據更新,上報IP地址的確切位置。但我們無從考證這個位置信息是否真實準確,如果不能報保證數據的準確性,在風控決策中同盾是不會去使用的。
一種IP地址定位手段,是通過海量信息來分析。
理論上,如果我能夠得到所有IP相互之間的信息,就可以繪制出整個互聯網的鏈路圖。
(上圖來自于IPIP.NET提供的工具)
每一次,都會返回詳細的網絡鏈路信息。積累了足夠多的鏈路信息之后,就可以直觀地看出,很多鏈路都經過了同一個IP查看登錄過數據庫的ip,那么這個IP就是骨干節點或者區域的骨干節點。先確定出哪些節點是CN2骨干節點,進一步確定省級骨干節點,再逐一識別市縣區級的骨干節點,最后得到全國范圍內的網絡分布。
以下是CAIDA的一份報告,使用了類似的原理,但統計的最小單位是AS(自治域)
(CAIDA原圖鏈接:////2015/)
圈的邊緣,就是探測節點,中間的紅色部分,就是全球互聯網的骨干節點。原理雖然簡單,但實現起來卻沒那么容易。
首先,你得有足夠數量的節點來探測、收集鏈路數據。其次,要有可靠的技術手段來及時分析探測到的結果,匯總形成IP地址數據庫。據了解,也用了類似的方式進行探測,在全球范圍內一共部署了超過8萬個探測節點。
根據這種網絡鏈路探測的出的定位結果,業內又稱之為“網絡位置”。就是從互聯網的結構上來說,我們最終確定了一個IP,被分配到了某個地方的運營商手里。
但是我們又遇到了很多其他的情況,給大家舉幾個簡單的例子。
117.61.31.0 江蘇省 南京市 電信
通過分析這個IP關聯的所有定位數據,得到了如下的分布:
這種情況,我們稱為“流量回源”。當用戶在使用南京電信的手機卡上網時,無論用戶身處哪里,他的流量都會回到南京電信,再轉發出去,所以從IP上看,都會顯示為一個南京的IP。
上面的定位信息分布,可以在RTB Asia的IP地址實驗室中/。
153.35.93.32 江蘇省 南京市 聯通
各種渠道的信息表明,這個IP確實分配到了南京聯通,結果定位點全部落在了北京市的范圍內。如果我們根據IP的定位結果來判斷用戶當前的位置,得到的結果肯定就錯了。
難道前面提供的信息錯了?其實是由于國內運營商對IP地址的劃分和使用不透明,甚至特殊形式的租賃,導致北京的用戶,分配到了一個南京的IP。
IP地址跨城市覆蓋,覆蓋范圍非常大,用戶位置和網絡位置不在同一個城市甚至不在同一個省,都會影響到結果,無法準確給出判斷。
另一方面,隨著移動設備的普及,在用戶允許的情況下,可以通過移動設備采集到設備上的GPS信息。前面大家看到的兩張定位分布圖,就是分析一個IP在歷史上關聯過的所有GPS定位繪制出來的。每一個紅點,都表示曾經有一個用戶這里出現過。再通過聚類和GPS反向解析,就可以預測一個IP下的用戶,可能出現的地理位置。這個結果,我們又稱之為“行為位置”。
這種分析方法看起來效果非常不錯,但是卻面臨兩個很重要的問題。
其一是,今年來設備作弊的方式層出不窮,如果沒有有效的手段來保證數據的準確性和可靠性,最終得出的結果也會有偏差。
比如下面這里例子,定位點非常規整地分布在一個矩形區域內,而且覆蓋到了海面上,做了深入的分析之后才發現這個IP下面有大量的作弊行為:
另一方面,依靠定位點分布來分析IP的定位,需要長時間積累GPS數據。人口密集的地方,這個數據積累可以只要一天,二線城市需要一周,三線城市就需要至少一個月了。此前還遇到一個位于塔克拉瑪干沙漠中的基站IP,至今還沒有過與之關聯的GPS信息。如果某一天,IP地址被重新分配了,劃分到另外一個城市去使用,就需要等上一周甚至一個月的時間,才能重新校正結果。而網絡鏈路的分析可以很快感知到。
實際的使用中,我們會把這兩種方式結合到一起。并不是說,兩個定位結果中,有一個錯了。兩個都是正確答案,只是某些情況下,有一個答案并不適合風控場景。
互聯網,就像物流系統一樣。我們分析IP的位置,和分析一個快遞小哥負責派送的區域原理是一樣。沒有哪個快遞小哥只給一戶人家送貨,IP也一樣,我們最終只能確定這個IP后面的用戶,可能出現的地理位置區域。隨著技術的提升,數據的積累,我們能夠不斷縮小這個范圍,達到最貼近真實的結果。
---------------------------------分割線------------------------------------------------------------
上文中我們提到了通過每個IP下的用戶行為,判斷用戶群體的類型,進而給出IP地址的分類結果。那些,其實都只是最簡單,最基礎的一些分類方法。通過特定的指標計算、聚類算法,就可以得出結果。
然而,IP畫像,是圍繞反欺詐展開的,我們希望能夠準確的評估一個IP地址的風險性,進而在風控策略中進行調控。
在IP畫像設計初期,我們設計了一個風險評分,用于總體評價這個IP地址風險。風險分數中,IP是否有代理行為、是否命中已知的威脅情報、是否發生過風險行為,都作為評估的依據。但是這樣的一個籠統的評分,在實際使用中卻有諸多不便。
比如,我們曾經發現過一個IP地址,由于頻繁的發生盜卡行為,最終我們給出的風險評分達到了94分(0~100,分數越高風險越高),然而這個IP下其他行為都是正常的,大量的正常用戶通過這個IP進行登錄、交易、支付等活動。
于是,我們萌生了一個想法,能否準確地定性一個IP到底做過什么樣的壞事兒?
什么是壞事兒?
反欺詐中,涉及到的業務風險其實非常非常多。不同的行業、不同的平臺都會有各自獨有的一些風險。
就拿“黃牛”來說,隨著互聯網的發展,黃牛也從最早的票販子,演變出了很多很多的花樣。
案例1:在各大航空公司的網上訂票渠道中,存在很多“占座黃牛”,他們通過特定的渠道,訂購了一定數量的廉價機票,然后加價轉售,甚至會高出這張機票原有的價格。如果不能及時出手,黃牛就會選擇退票,導致飛機上出現很多空座位,各大航空公司對此也很頭疼。轉手的過程很簡單,只需要修改乘機人即可,這個行為可以通過線上的數據分析發現出來。
案例2:一些票務網站(專指演唱會、賽事門票),黃牛會注冊大量賬號,搶購演唱會門票,拿到門票后,加價出手。由于黃牛拿到了實體票,轉手過程是在線下進行的,通過線上行為就無法進行監控。但是,在搶票過程中,黃牛為了增加自己搶到票的幾率,會使用很多個賬號重復下單,大量訂單中的收獲地址都是同一個或者具有極高的相似度。
案例3:美團、貓眼、格瓦拉等購買電影票的平臺中,也存在很大數量的黃牛。尤其是一些熱門大片兒的首映票,價格可以炒到很高。電影票的黃牛,往往以代購的形式操作,他們擁有很高折扣的會員卡,可以低價購買到電影票,然后適當加價轉手。黃牛完成支付后,拿到取票二維碼,然后把二維碼發送給買家。這個過程,也是很難通過線上的行為來進行檢測的。
如果我們需要分析一個IP到底做了什么壞事,就必須要先給出明確的定義,到底什么樣的行為算是壞事。然后把這些行為分解為非常詳細的特征指標,進行建模。
這個過程是漫長的,就像上面舉的例子,同樣是“黃牛”,由于不同的平臺,不通過的行業類型,中間存在著非常巨大的差異。每一種行為都要做這樣的深入分析和研究,其實我們一開始是拒絕的......
在后來的一段時間里,我們團隊接到了越來越多的提問,客戶希望知道,這個IP到底干了什么?到底有沒有風險?我們只能硬著頭皮,去提取這個IP在過去半年里的行為數據,然后逐一分析。說到底,單憑一個IP地址的類型和地理位置,遠遠無法滿足風控的需求。最終,我們決定要做這么件事兒。于是好幾個月就這么過去了。
首先,我們梳理了一份反欺詐的詞表,用來給出各種欺詐行為的明確定義。
上面的列表中,是反欺詐詞典中一小部分,列舉了一些對互聯網公司來說最為常見的風險行為。
那么,接下來的問題就是要逐一對這些風險行為進行取樣,分析其中的行為特征。
特征提取
篇幅有限,這里就簡單介紹一下我們對黃牛(票務行業)做行為分析和建模的過程。
上圖中,是我們抽取到的一份較為典型的黃牛搶票記錄。
從這些記錄里,能獲取到怎樣的信息呢?
1、這批賬號都在同一天注冊,并且注冊時間較為集中,注冊時間間隔大約為30秒;
2、每個賬戶只下一個訂單,但是多個訂單產生的時間非常接近,時間間隔僅為毫秒級;
3、多個訂單中的收貨人姓名很相似,直觀判斷,不太可能是真實的姓名;
4、多個訂單中的收貨地址有明顯的異常,在末尾添加了無用的字符串;
5、收獲地址末尾的字符串為11位的數字,比較像手機號,多個訂單中的這個字符串相同;
6、賬號注冊和風險發生,中間存在較長的時間,可以定義為休眠賬號或養號行為。
如果對這個地址做檢查,我們會發現:廣東省佛山市均安鎮均欖路天連大道是真實存在的。
但是這附近并沒有什么小區,反而更像是一個村子。也就是說,收貨地址中,“天連大道”之后的部分都是隨機添加的,可能并沒有任何意義。
這樣的做法,是為了避免平臺對收獲地址做校驗,如果大量訂單都寄送到同一個收獲地址,那么這些訂單都存在刷單的嫌疑。
上面的地圖中,你可能也注意到了,其實并沒有“天連大道”和“天連路”,其實是同一條街。但是由于名稱不同,在地址核驗過程中,就有可能被認為是兩個不同的地址。類似的,比如“南京市白下區李府街”和“南京市秦淮區李府街”,也是同一條街道,2014年白下區被撤銷,整體并入秦淮區。從行政區劃上看,白下區已經不存在了,但是物流和快遞大哥都知道,整個南京市就那么一條李府街,貨物也可以成功地遞交到收貨人手中。
為此,我們也建立了一套用于對收貨地址做真實性核驗的系統,用于判斷多個地址,是否指向了同一個地點。
除了前面列舉的三個特征之外,還有一個比較隱蔽的特征,就是注冊這些賬號的手機號,其實都是”虛假號碼“(參見:虛假號碼【反欺詐專欄】互聯網黑產剖析——虛假號碼)。換句話說,提交這些訂單的用戶,其實都是通過垃圾注冊產生的垃圾賬戶(虛假賬戶)。除此之外,通過設備指紋技術,我們也識別出,這些訂單其實都來自于同一臺PC。從IP維度上,雖然每個訂單的來源IP都不相同,但是每個IP都最終被確認為代理或者機房。
以上種種,就成為我們判斷黃牛行為的特征,歸納如下:
1、黃牛會事先通過垃圾注冊準備一批可用的賬號,注冊過程中往往會使用虛假號碼;
2、賬號注冊過程中會出時間、IP、設備上的集中性,即同一個設備,同一個IP上注冊了大量賬號;3、多個訂單中的收貨人、收貨地址不真實或相似度極高;
4、多個訂單可能從同一個設備上產生;
5、提交訂單的IP地址,大部分是機房IP或者代理IP;
6、垃圾賬號注冊完成之后可能不會立即進行搶票,而是經過了較長的沉睡期或進行特定的養號活動......
進一步細化之后,得到具體的指標參數,就可以進入訓練模型的階段了。
攻擊鏈路
攻擊鏈路(aka Kill-Chain),是安全領域中一個討論比較多的話題。任何一次風險,都不會平白無故地發生,而是會有一個過程。對一次風險的定義,可以從最終的結果進行定義,但是更多的往往是對這個風險過程的定義。
以偷竊為例,一定會有這么幾個步驟:
尋找目標 -- 蹲點 -- 標記 -- 作案準備 -- 撬門/扒窗 -- 進入房間 -- 尋找保險箱 -- 撬開保險箱 -- 拿走錢/珠寶 -- 清理現場 -- 離開現場 -- 銷贓 -- 尋找下一個目標
上面的這些,就是Kill-Chain中的節點(Node),也可以叫做風險過程()。在整個攻擊鏈路中,只有起點和終點是確定的,剩下的部分,可能會沒有,也可能因為各種突發情況而產生分支鏈路忽然中斷,或者重復某些環節。多個攻擊鏈路,會在特定的一個節點上匯聚,這個節點,就成為了風險防控的關鍵節點。在這個節點上進行防護,效果就會比較好。
欺詐風險,也是一樣的。前面分析黃牛的特征中,我們提到了黃牛會使用一批垃圾賬號進行下單。分析一個賬號的欺詐行為,需要縱觀這個賬號的整個生命周期,或者在既定的時間片內,關聯上下文,看用戶的行為在每一個環節中是否符合特定風險的特征。
那么,針對黃牛風險,攻擊鏈路就可以表示如下:
在攻擊鏈路中,越是靠前的節點,發現和識別越為困難,因為各種特征其實并不明顯,只能判斷本次事件有嫌疑,而不能確定具體的風險。但是在這些環節上進行防護,起到的效果是最為顯著的,成本也相對要低很多。
越是靠后的節點,發現和識別變得簡單,很多特征都比較明顯,但是防護就變得困難。并且,由于攻擊鏈路本身會產生很多分支,可能在其他環節上已經產生了,即便是同一批次注冊的垃圾賬號,可能會在不同的場景中被使用。
此外,某些節點上會產生大量的分支鏈路,比如垃圾注冊。通過注冊工具/腳本,批量產生的垃圾賬號,可能在后續的多種業務場景中出現,不同的業務場景中,又有著不同的風險。
平臺的業務越豐富,這個分支就會變得越發明顯。如果一個平臺同時提供了電商、電影票、團購、點評等多種線上業務,那么這個攻擊鏈路就會變得非常復雜。
這也是為什么我們要建立IP地址畫像、手機號畫像和設備畫像的原因。通過已知的各種風險行為,建立模型,通過跨平臺、跨行業來進行聯防聯控,只要這個手機號、IP或者設備在歷史上發生過一次風險行為,就會被識別出來,并且打上標記。
在整個攻擊鏈路最開始的地方進行防護,并且在賬號的整個生命周期中,進行持續監控,使得最終能夠造成風險的賬戶數量降至最低。
在對抗中進步
這場欺詐和反欺詐的對抗,已經持續了多年查看登錄過數據庫的ip,并且還將繼續下去。
我們在不斷提升檢測能力、改進檢測方式的同時,欺詐分子也在不斷地產生新的作弊手段。并且,互聯網在不斷地尋求創新,同樣是促銷活動,在不同的平臺上,會有截然不同的呈現方式,業務流程也不盡相同。這對我們分析風險行為,提取特征帶來了極大的困難。
一旦新的業務模式產生,欺詐分子也會相應地尋找可供利用的業務邏輯缺陷,甚至產生一些新的風險類型。這需要我們不斷地觀察、學習和改進。為此,我們引入了無監督模型來輔助完成大量的指標提取工作。即使欺詐分子使用了新的技術、新的手段,特定風險的攻擊鏈路是不會改變的,無監督模型可以從中提取出新的異常指標,再對模型進行優化和迭代。
結語
我們識別出的每一次風險行為,都會作為標簽,標記在手機號、IP和設備上。即使欺詐分子不斷地更換這些信息,也總會被發現出來。這是同盾跨行業、跨平臺聯防聯控的巨大優勢,也是我們對抗欺詐行為的有力武器。
這些標簽,目前在IP畫像中已經可以使用,隨著我們研究的進一步深入,越來越多的模型被開發出來,可以準確識別的風險行為也越來越多,力求讓欺詐分子無所遁形。