轉載地址:
http://www.sohu.com/a/162012568_470081
關於IP的一些冷知識:
IP地址(本文中特指IPv4地址),是用於標識網絡和主機的一種邏輯標識。依託於強大的TCP/IP協議,使得我們可以憑藉一個IP地址,就訪問互聯網上的所有資源。
IP地址本質上,只是一個32位的無符號整型(unsigned int),範圍從0 ~ 2^32 ,總計約43億個IP地址。爲了便於使用,一般使用字符串形式的IP地址,也就是我們平常用到的192.168.0.1這種形式。實際上,就是把整數,每8個二進制位轉換成對應的十進制整數,以點分隔的形式使用。
比如,192.168.0.1和3232235521是等價的。
當今全球,互聯網系統共分爲四大區域,每一個區域都由一件互聯網的本體,通過光纜覆蓋信號。這四大區域分別被命名爲:格蘭芬多,斯萊特林,赫奇帕奇以及拉文克勞…
這是《愛情公寓3》中的一個讓人捧腹的橋段。雖然是惡搞,但是有一件事兒說對了,互聯網確實是分區域的。
全球共有五個區域互聯網註冊機構(RIR),分別是:
美洲互聯網號碼註冊管理機構(American Registry for Internet Numbers,ARIN);
歐洲IP網絡資源協調中心(RIPE Network Coordination Centre,RIPE NCC);
亞太網絡信息中心(Asia-Pacific Network Information Centre,APNIC);
拉丁美洲及加勒比地區互聯網地址註冊管理機構(Latin American and Caribbean Internet Address Registry,LACNIC);
非洲網絡信息中心(African Network Information Centre,AfriNIC)。
IP地址的劃分,有RIR機構來進行統籌管理。負責亞洲地區IP地址分配的,就是APNIC,總部位於澳大利亞墨爾本。
各大RIR機構都提供了關於IP地址劃分的登記信息,即whois記錄。可以在各大RIR機構提供的whois查詢頁面上查看,或者使用whois命令查詢:
whois信息中,會顯示IP地址所屬的網段,以及申請使用和維護這個網段的運營商。比如,上面的信息中顯示,153.35.93.31隸屬於江蘇省聯通。
某些黑客題材的電影中往往會出現使用whois直接查詢得到了一個IP的位置,非常精確地定位到了一幢建築物裏。
這張截圖來自於2015年上映的《BlackHat》,滿滿的槽點,都是導演YY出來的。
(導演:怪我咯?)
正餐之前,給大家稍加科普一下,下面我們就要進入主菜了。讓我們逐一來解惑文章開篇提到的三個問題。
這個IP在哪兒?
前面提到IP的whois信息,其中包含了申請使用該IP的運營商信息,並且在網段描述信息中,會包含國籍和省份信息。
但是這樣遠遠不夠,風控場景中,我們需要更加精確的結果,需要知道這個IP具體在哪個城市、哪個鄉鎮,甚至希望能夠精確到某一條街道或者小區。
曾有人問:我們的IP地址庫是否能夠提供這樣的結果?可以確定用戶在某個網吧、寫字樓甚至某個小區?
那上面這樣的IP數據庫是如何產生的呢?
俗稱“人海戰術”。您可別不相信,直到今天,依然有衆多的網友在爲這個IP庫提供數據更新,上報IP地址的確切位置。但我們無從考證這個位置信息是否真實準確,如果不能報保證數據的準確性,在風控決策中同盾是不會去使用的。
一種IP地址定位手段,是通過海量Traceroute信息來分析。
理論上,如果我能夠得到所有IP相互之間Traceroute的信息,就可以繪製出整個互聯網的鏈路圖。
(上圖來自於IPIP.NET提供的BestTrace工具)
每一次traceroute,都會返回詳細的網絡鏈路信息。積累了足夠多的鏈路信息之後,就可以直觀地看出,很多鏈路都經過了同一個IP,那麼這個IP就是骨幹節點或者區域的骨幹節點。先確定出哪些節點是CN2骨幹節點,進一步確定省級骨幹節點,再逐一識別市縣區級的骨幹節點,最後得到全國範圍內的網絡分佈。
以下是CAIDA的一份報告,使用了類似的原理,但統計的最小單位是AS(自治域)
圈的邊緣,就是探測節點,中間的紅色部分,就是全球互聯網的骨幹節點。原理雖然簡單,但實現起來卻沒那麼容易。
首先,你得有足夠數量的節點來探測、收集traceroute鏈路數據。其次,要有可靠的技術手段來及時分析探測到的結果,彙總形成IP地址數據庫。據瞭解,DigitalElemet也用了類似的方式進行探測,在全球範圍內一共部署了超過8萬個探測節點。
根據這種網絡鏈路探測的出的定位結果,業內又稱之爲“網絡位置”。就是從互聯網的結構上來說,我們最終確定了一個IP,被分配到了某個地方的運營商手裏。
但是我們又遇到了很多其他的情況,給大家舉幾個簡單的例子。
117.61.31.0 江蘇省 南京市 電信
通過分析這個IP關聯的所有定位數據,得到了如下的分佈:
這種情況,我們稱爲“流量回源”。當用戶在使用南京電信的手機卡上網時,無論用戶身處哪裏,他的流量都會回到南京電信,再轉發出去,所以從IP上看,都會顯示爲一個南京的IP。
上面的定位信息分佈,可以在RTB Asia的IP地址實驗室中https://ip.rtbasia.com/
153.35.93.32 江蘇省 南京市 聯通
各種渠道的信息表明,這個IP確實分配到了南京聯通,結果定位點全部落在了北京市的範圍內。如果我們根據IP的定位結果來判斷用戶當前的位置,得到的結果肯定就錯了。
難道前面提供的信息錯了?其實是由於國內運營商對IP地址的劃分和使用不透明,甚至特殊形式的租賃,導致北京的用戶,分配到了一個南京的IP。
IP地址跨城市覆蓋,覆蓋範圍非常大,用戶位置和網絡位置不在同一個城市甚至不在同一個省,都會影響到結果,無法準確給出判斷。
另一方面,隨着移動設備的普及,在用戶允許的情況下,可以通過移動設備採集到設備上的GPS信息。前面大家看到的兩張定位分佈圖,就是分析一個IP在歷史上關聯過的所有GPS定位繪製出來的。每一個紅點,都表示曾經有一個用戶這裏出現過。再通過聚類和GPS反向解析,就可以預測一個IP下的用戶,可能出現的地理位置。這個結果,我們又稱之爲“行爲位置”。
這種分析方法看起來效果非常不錯,但是卻面臨兩個很重要的問題。
其一是,今年來設備作弊的方式層出不窮,如果沒有有效的手段來保證數據的準確性和可靠性,最終得出的結果也會有偏差。
比如下面這裏例子,定位點非常規整地分佈在一個矩形區域內,而且覆蓋到了海面上,做了深入的分析之後才發現這個IP下面有大量的作弊行爲:
另一方面,依靠定位點分佈來分析IP的定位,需要長時間積累GPS數據。人口密集的地方,這個數據積累可以只要一天,二線城市需要一週,三線城市就需要至少一個月了。此前還遇到一個位於塔克拉瑪干沙漠中的基站IP,至今還沒有過與之關聯的GPS信息。如果某一天,IP地址被重新分配了,劃分到另外一個城市去使用,就需要等上一週甚至一個月的時間,才能重新校正結果。而網絡鏈路的分析可以很快感知到。
實際的使用中,我們會把這兩種方式結合到一起。並不是說,兩個定位結果中,有一個錯了。兩個都是正確答案,只是某些情況下,有一個答案並不適合風控場景。
互聯網,就像物流系統一樣。我們分析IP的位置,和分析一個快遞小哥負責派送的區域原理是一樣。沒有哪個快遞小哥只給一戶人家送貨,IP也一樣,我們最終只能確定這個IP後面的用戶,可能出現的地理位置區域。隨着技術的提升,數據的積累,我們能夠不斷縮小這個範圍,達到最貼近真實的結果。
國內的一個數據庫,能夠給出部分IP地址的精確定位,可以定位到某個學校、酒店甚至網吧。
雖然這份依靠人海戰術堆積起來的IP地址庫在準確性和時效性上無法滿足業務需求,但它也反映出了我們對IP地址研究的期望。我們除了想要知道這個IP的精確位置,我們也希望能夠知道IP屬主或者類別的信息。
這個IP是什麼?
數據分析從來都不是盲目的。在開始之前,我們需要事先確定把IP地址劃分爲哪些類型。
網吧、酒店、學校、商場、企業,這種分類實際上是IP屬主的類別劃分。在不能準確判斷IP屬主的情況下,這樣分類顯然是不合適的。
從風控的角度看,我們對IP進行分類,實際上是爲了能夠優化風控規則。同一類的IP,風險往往會相同,就可以使用相同的風控策略。
比如,基站IP下用戶數量非常大,這類IP上不能使用過於嚴苛的頻次限制策略。
機房IP,比如阿里雲、騰訊雲、運營商數據中心等等。一般情況下,機房IP都會對應到某一臺服務器上去。如果你發現某個用戶是通過機房IP訪問的,那麼代理/爬蟲訪問的可能性很大。
此外,小運營商會通過租賃的方式,使用三大運營商的網絡基礎設施。他們所使用的線路,就會從機房IP列表中進行分配(機房IP是保證上下行帶寬的,其他類型的IP,一般下行帶寬高於上行帶寬。專用出口使用機房的線路,可以保證足夠的帶寬。)
專用出口的IP,往往出現在機房IP的列表中,在不能準確排除專用出口IP的情況下,決不能輕易把機房IP拉黑。
比如下面的這個,根據網絡位置判斷,是廣州市電信機房的IP。但是這個IP上的用戶數量非常大,而且用戶全部分佈在廣西境內。萬一把這個IP拉黑了,投訴電話會被打爆的。
但機房恰恰是垃圾註冊、刷單行爲、代理行爲、作弊行爲和爬蟲最密集的地方。如果能夠準確地把專用出口這個類型識別出來,那麼剩下的,就是具有較高風險的機房IP了。爲此,我們根據IP地址上的用戶行爲特徵、設備類型分佈等信息來判斷識別專用出口IP。
能否通過更多的用戶特徵來區分其他類型的IP呢?比如,判斷一個IP是企業還是家用的寬帶。
網吧、酒店、學校、商場、企業等等,這些類別,其實都是IP行爲位置分析過程中的副產品。如果一個IP能夠精確地定位到某一幢建築物上,我們只需要判斷這個建築物是什麼,就能得出結論。
一般的,企業的網絡會使用專線,IP在很長的時間裏都不會發生變化。隨着定位數據的積累,行爲位置就會呈現出密集性。
比如下面的這個IP:
定位點在途牛大廈附近聚集,可以確定這是途牛使用的一個固定IP。與之對應的,我們可以判斷,通過這個IP上網的人,應該是途牛的員工。
對於一般的家用寬帶,雖然IP會頻繁變化,但是在特定的一段時間裏,IP會固定的出現在某個區域。
舉個例子:
這個IP的定位點並沒有像前面的例子那樣在某一幢建築物周圍聚集,而是隨機地分佈在南昌市東湖區靠北的一片區域裏。這是一個比較典型的家用寬帶IP。
但IP只是業務系統的承載,IP定位的分佈,會因爲實際的業務而呈現出的聚集形式有非常大的差異。單純通過定位信息的聚類分析,並不能滿足所有IP地址的分類需求。
比如,中國郵政儲蓄在某市的營業網點,使用專用線路,IP地址固定。每一個定位點的聚簇,都對應一個營業網點。
這個IP下的用戶,除了營業網點的工作人員之外,還會有大量到營業廳辦理業務的用戶。
如果擁有足夠的定位數據作爲支撐,理論上是可以準確判斷這些IP的屬主的。
但是這種分析方法要求定位信息有比較高的準確性、時效性和數量級,可不是每家公司都有能力去嘗試。
而且,中國範圍內共有2.5億活躍IP,一個月的時間裏,平均每個IP會關聯上萬定位信息,然後做聚類分析。
這個數量級,光想想就覺得可怕…應該有更簡單的辦法纔對。
爲了講解地更通俗易懂,這裏援引《死亡筆記》中的一個片段。
根據作案時間的分佈,推斷出了作案者是一個學生(作者:都是因爲老師佈置的家庭作業太少了!)
我們分析IP的方法,和L的分析如出一轍。
如果一個IP是對應某家公司,這個IP下的用戶行爲,就會呈現出非常明顯的工作日和工作時間的密集性,大家都是朝九晚五的上班族,都懂得哈~~
那麼反過來,晚上6點以後,以及雙休、節假日比較活躍的IP,就應該是普通的家用寬帶。
此外,不同類型的IP,對應的用戶數量會有所差異。
最簡單的,一般基站的覆蓋範圍是35公里(可能存在多個基站公用同一個IP的情況),那麼同一時間內,每個基站IP下面的用戶數量可能會超過110萬。而家庭寬帶的IP,一般一個IP對應一戶人家,人數在10人以內,某些小規模的營業場所,也會使用寬帶的方式來提供網絡連接,人數也會在100人以內。
根據這些特徵,就可以把不同類別的IP逐步區分出來。最終,形成了今天我們同盾IP地址分類的全部:
教育網、基站、機房,目前都有比較完整的IP地址列表,通過簡單的匹配就可以得出結論。
再根據用戶的在不同時間段內的活躍情況,以及每個IP下的用戶數量,我們能夠準確判斷出是家用寬帶,還是企業的固定線路。
雖然到目前位置,我們的模型還不能準確區分一個IP到底是酒吧、網吧、酒店或者醫院。但從風控的角度而言,我們目前的分類,已經滿足絕大部分業務需求。
IP畫像,是圍繞反欺詐展開的,我們希望能夠準確的評估一個IP地址的風險性,進而在風控策略中進行調控。
在IP畫像設計初期,我們設計了一個風險評分,用於總體評價這個IP地址風險。風險分數中,IP是否有代理行爲、是否命中已知的威脅情報、是否發生過風險行爲,都作爲評估的依據。但是這樣的一個籠統的評分,在實際使用中卻有諸多不便。
比如,我們曾經發現過一個IP地址,由於頻繁的發生盜卡行爲,最終我們給出的風險評分達到了94分(0~100,分數越高風險越高),然而這個IP下其他行爲都是正常的,大量的正常用戶通過這個IP進行登錄、交易、支付等活動。
於是,我們萌生了一個想法,能否準確地定性一個IP到底做過什麼樣的壞事兒?
什麼是壞事兒?
反欺詐中,涉及到的業務風險其實非常非常多。不同的行業、不同的平臺都會有各自獨有的一些風險。
就拿“黃牛”來說,隨着互聯網的發展,黃牛也從最早的票販子,演變出了很多很多的花樣。
案例1:在各大航空公司的網上訂票渠道中,存在很多“佔座黃牛”,他們通過特定的渠道,訂購了一定數量的廉價機票,然後加價轉售,甚至會高出這張機票原有的價格。如果不能及時出手,黃牛就會選擇退票,導致飛機上出現很多空座位,各大航空公司對此也很頭疼。轉手的過程很簡單,只需要修改乘機人即可,這個行爲可以通過線上的數據分析發現出來。
案例2:一些票務網站(專指演唱會、賽事門票),黃牛會註冊大量賬號,搶購演唱會門票,拿到門票後,加價出手。由於黃牛拿到了實體票,轉手過程是在線下進行的,通過線上行爲就無法進行監控。但是,在搶票過程中,黃牛爲了增加自己搶到票的機率,會使用很多個賬號重複下單,大量訂單中的收穫地址都是同一個或者具有極高的相似度。
案例3:美團、貓眼、格瓦拉等購買電影票的平臺中,也存在很大數量的黃牛。尤其是一些熱門大片兒的首映票,價格可以炒到很高。電影票的黃牛,往往以代購的形式操作,他們擁有很高折扣的會員卡,可以低價購買到電影票,然後適當加價轉手。黃牛完成支付後,拿到取票二維碼,然後把二維碼發送給買家。這個過程,也是很難通過線上的行爲來進行檢測的。
如果我們需要分析一個IP到底做了什麼壞事,就必須要先給出明確的定義,到底什麼樣的行爲算是壞事。然後把這些行爲分解爲非常詳細的特徵指標,進行建模。
這個過程是漫長的,就像上面舉的例子,同樣是“黃牛”,由於不同的平臺,不通過的行業類型,中間存在着非常巨大的差異。每一種行爲都要做這樣的深入分析和研究,其實我們一開始是拒絕的…
在後來的一段時間裏,我們團隊接到了越來越多的提問,客戶希望知道,這個IP到底幹了什麼?到底有沒有風險?我們只能硬着頭皮,去提取這個IP在過去半年裏的行爲數據,然後逐一分析。說到底,單憑一個IP地址的類型和地理位置,遠遠無法滿足風控的需求。最終,我們決定要做這麼件事兒。於是好幾個月就這麼過去了。
首先,我們梳理了一份反欺詐的詞表,用來給出各種欺詐行爲的明確定義。
風險行爲
英文名稱
定義
垃圾註冊
Fraud Signup
使用虛假號碼、通信小號、小號郵箱等容易獲取且無法準確判定屬主身份的信息進行註冊。大部分垃圾註冊是通過自動化工具進行的,垃圾註冊產生的賬號,會在後續的刷單、黃牛、薅羊毛、發佈垃圾信息等活動中被使用。
褥羊毛
Econnoisseur
指那些堅持以最低的價格購買到最高品質的簡明消費者。看起來是個褒義詞,但是這類用戶,爲了能夠多次享受新用戶的優惠,會使用虛假號碼、作弊工具的等手段來註冊大量的垃圾賬號,實際上並不能給平臺帶來任何的活躍用戶
刷單
Brushing
通常所說的刷單,其實包括了兩種:平臺或商戶,僱傭虛假的顧客進行購物,產生大量的虛假交易,進而提升平臺或商鋪的排名。另一種,大量用戶在平臺或商鋪進行促銷活動的時候湧入,以低價購買大量的商品,然後倒賣。
黃牛
Scalper
黃牛是指在合法銷售途徑以外 壟斷、銷售限量參與權或商品,並以此牟利的中介人。這樣的定義直接涵蓋了前面提到的多種黃牛行爲
撞庫
Collisionattack
攻擊者通過收集互聯網上泄露的用戶數據,整理出每個賬戶的密碼列表,針對性地使用這些帳密信息嘗試登陸不同的網站。撞庫過程中,登陸請求數量巨大,而且超過90%的登陸請求會失敗。賬號和密碼呈現出一對多的關係,但是密碼一般在10個以內。
暴力破解
Brute Force
對特定的賬戶或者多個賬戶進行密碼嘗試。暴力破解過程中,登陸請求數量很大,大部分也是登陸失敗。但和撞庫攻擊相區別,暴力破解中,出現的賬號數量較少,每個賬號對應的密碼數量都會非常大(從幾百到幾萬都有可能)
短信轟炸
SMS Bombing
通過多次請求某一個或多個不同的短信驗證碼接口,向指定的手機號發送驗證碼短信,導致對方手機在一定時間內無法正常使用。短信轟炸在數量上會呈現出巨大的差異,集中在某一個時段爆發。請求總量可能達到上百萬次。
垃圾信息
Spamming
發送不受歡迎(針對用戶和平臺)的內容。發送的過程一般是批量的,通過腳本或機器人來實現。發佈垃圾信息,需要有大量的賬號作爲前提,這些賬號往往通過垃圾註冊或者撞庫來獲取。
…
…
…
上面的列表中,是同盾反欺詐詞典中一小部分,列舉了一些對互聯網公司來說最爲常見的風險行爲。
那麼,接下來的問題就是要逐一對這些風險行爲進行取樣,分析其中的行爲特徵。
特徵提取
篇幅有限,這裏就簡單介紹一下我們對黃牛(票務行業)做行爲分析和建模的過程。
上圖中,是我們抽取到的一份較爲典型的黃牛搶票記錄。
從這些記錄裏,能獲取到怎樣的信息呢?
1、這批賬號都在同一天註冊,並且註冊時間較爲集中,註冊時間間隔大約爲30秒;
2、每個賬戶只下一個訂單,但是多個訂單產生的時間非常接近,時間間隔僅爲毫秒級;
3、多個訂單中的收貨人姓名很相似,直觀判斷,不太可能是真實的姓名;
4、多個訂單中的收貨地址有明顯的異常,在末尾添加了無用的字符串;
5、收穫地址末尾的字符串爲11位的數字,比較像手機號,多個訂單中的這個字符串相同;
6、賬號註冊和風險發生,中間存在較長的時間,可以定義爲休眠賬號或養號行爲。
如果對這個地址做檢查,我們會發現:廣東省佛山市均安鎮均欖路天連大道是真實存在的。
但是這附近並沒有什麼小區,反而更像是一個村子。也就是說,收貨地址中,“天連大道”之後的部分都是隨機添加的,可能並沒有任何意義。
這樣的做法,是爲了避免平臺對收穫地址做校驗,如果大量訂單都寄送到同一個收穫地址,那麼這些訂單都存在刷單的嫌疑。
上面的地圖中,你可能也注意到了,其實並沒有“天連大道”和“天連路”,其實是同一條街。但是由於名稱不同,在地址覈驗過程中,就有可能被認爲是兩個不同的地址。類似的,比如“南京市白下區李府街”和“南京市秦淮區李府街”,也是同一條街道,2014年白下區被撤銷,整體併入秦淮區。從行政區劃上看,白下區已經不存在了,但是物流和快遞大哥都知道,整個南京市就那麼一條李府街,貨物也可以成功地遞交到收貨人手中。
爲此,我們也建立了一套用於對收貨地址做真實性覈驗的系統,用於判斷多個地址,是否指向了同一個地點。
除了前面列舉的三個特徵之外,還有一個比較隱蔽的特徵,就是註冊這些賬號的手機號,其實都是”虛假號碼“(參見:互聯網黑產剖析——虛假號碼)。換句話說,提交這些訂單的用戶,其實都是通過垃圾註冊產生的垃圾賬戶(虛假賬戶)。除此之外,通過設備指紋技術,我們也識別出,這些訂單其實都來自於同一臺PC。從IP維度上,雖然每個訂單的來源IP都不相同,但是每個IP都最終被確認爲代理或者機房。
以上種種,就成爲我們判斷黃牛行爲的特徵,歸納如下:
1、黃牛會事先通過垃圾註冊準備一批可用的賬號,註冊過程中往往會使用虛假號碼;
2、賬號註冊過程中會出時間、IP、設備上的集中性,即同一個設備,同一個IP上註冊了大量賬號;3、多個訂單中的收貨人、收貨地址不真實或相似度極高;
4、多個訂單可能從同一個設備上產生;
5、提交訂單的IP地址,大部分是機房IP或者代理IP;
6、垃圾賬號註冊完成之後可能不會立即進行搶票,而是經過了較長的沉睡期或進行特定的養號活動…
進一步細化之後,得到具體的指標參數,就可以進入訓練模型的階段了。
攻擊鏈路
攻擊鏈路(aka Kill-Chain),是安全領域中一個討論比較多的話題。任何一次風險,都不會平白無故地發生,而是會有一個過程。對一次風險的定義,可以從最終的結果進行定義,但是更多的往往是對這個風險過程的定義。
以偷竊爲例,一定會有這麼幾個步驟:
尋找目標 – 蹲點 – 標記 – 作案准備 – 撬門/扒窗 – 進入房間 – 尋找保險箱 – 撬開保險箱 – 拿走錢/珠寶 – 清理現場 – 離開現場 – 銷贓 – 尋找下一個目標
上面的這些,就是Kill-Chain中的節點(Node),也可以叫做風險過程(Process)。在整個攻擊鏈路中,只有起點和終點是確定的,剩下的部分,可能會沒有,也可能因爲各種突發情況而產生分支鏈路忽然中斷,或者重複某些環節。多個攻擊鏈路,會在特定的一個節點上匯聚,這個節點,就成爲了風險防控的關鍵節點。在這個節點上進行防護,效果就會比較好。
欺詐風險,也是一樣的。前面分析黃牛的特徵中,我們提到了黃牛會使用一批垃圾賬號進行下單。分析一個賬號的欺詐行爲,需要縱觀這個賬號的整個生命週期,或者在既定的時間片內,關聯上下文,看用戶的行爲在每一個環節中是否符合特定風險的特徵。
那麼,針對黃牛風險,攻擊鏈路就可以表示如下:
在攻擊鏈路中,越是靠前的節點,發現和識別越爲困難,因爲各種特徵其實並不明顯,只能判斷本次事件有嫌疑,而不能確定具體的風險。但是在這些環節上進行防護,起到的效果是最爲顯著的,成本也相對要低很多。
越是靠後的節點,發現和識別變得簡單,很多特徵都比較明顯,但是防護就變得困難。並且,由於攻擊鏈路本身會產生很多分支,可能在其他環節上已經產生了,即便是同一批次註冊的垃圾賬號,可能會在不同的場景中被使用。
此外,某些節點上會產生大量的分支鏈路,比如垃圾註冊。通過註冊工具/腳本,批量產生的垃圾賬號,可能在後續的多種業務場景中出現,不同的業務場景中,又有着不同的風險。
平臺的業務越豐富,這個分支就會變得越發明顯。如果一個平臺同時提供了電商、電影票、團購、點評等多種線上業務,那麼這個攻擊鏈路就會變得非常複雜。
這也是爲什麼我們要建立IP地址畫像、手機號畫像和設備畫像的原因。通過已知的各種風險行爲,建立模型,通過跨平臺、跨行業來進行聯防聯控,只要這個手機號、IP或者設備在歷史上發生過一次風險行爲,就會被識別出來,並且打上標記。
在整個攻擊鏈路最開始的地方進行防護,並且在賬號的整個生命週期中,進行持續監控,使得最終能夠造成風險的賬戶數量降至最低。
在對抗中進步
這場欺詐和反欺詐的對抗,已經持續了多年,並且還將繼續下去。
我們在不斷提升檢測能力、改進檢測方式的同時,欺詐分子也在不斷地產生新的作弊手段。並且,互聯網在不斷地尋求創新,同樣是促銷活動,在不同的平臺上,會有截然不同的呈現方式,業務流程也不盡相同。這對我們分析風險行爲,提取特徵帶來了極大的困難。
一旦新的業務模式產生,欺詐分子也會相應地尋找可供利用的業務邏輯缺陷,甚至產生一些新的風險類型。這需要我們不斷地觀察、學習和改進。爲此,我們引入了無監督模型來輔助完成大量的指標提取工作。即使欺詐分子使用了新的技術、新的手段,特定風險的攻擊鏈路是不會改變的,無監督模型可以從中提取出新的異常指標,再對模型進行優化和迭代。
我們識別出的每一次風險行爲,都會作爲標籤,標記在手機號、IP和設備上。即使欺詐分子不斷地更換這些信息,也總會被發現出來。這是同盾跨行業、跨平臺聯防聯控的巨大優勢,也是我們對抗欺詐行爲的有力武器。
這些標籤,目前在IP畫像中已經可以使用,隨着我們研究的進一步深入,越來越多的模型被開發出來,可以準確識別的風險行爲也越來越多,力求讓欺詐分子無所遁形。