请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

首页 资讯 行业热点 查看内容

IP数据在金融风控反欺诈领域的常见应用?

埃文科技 2021-3-23 16:15

随着大数据、信息化时代的到来,IP地址作为我们连接互联网的唯一标识,在网络安全和风险控制领域一直占据着相当重要的地位,主要因素如下:
1.所有的网络连接都是基于IP地址,因此其属性成为访问者的唯一身份标识。
2.由于IP的管理和分配比较严格,很难造假。虽然会有代理、肉鸡等掩藏踪迹的手法。但绝大部分情况下,IP数据的真伪是可以信得过的。
3.由于IP属于网络层,可以轻松的对其进行阻断。现有的各种网络安全、负载均衡的设备和软件,都是以IP为对象进行追踪和管理的。
因此,常见的攻击防范和风险控制都会利用IP来作为用户的身份标识,来进行分析和处理。

IP常见分析方法
IP客观属性
目前的IP分配都由IANA(The Internet Assigned Numbers Authority,互联网数字分配机构)来统一分配和管理,所以有很多客观上比较准确的属性可供参考:
1.归属地。目前每个IP的归属地在较短的时间内都会保持固定,可以用来判断请求来源的大概位置。IP归属地的变更相对来说更频繁,在数据源的选取上建议选择更新及时、数据质量稳定的IP库-埃文科技(www.ipplus360.com)IP数据每日更新。现在3/4G的移动出口会带来混淆,手机上网的IP可能只能反映手机卡归属地,所以要小心这一部分数据
2.所属机构。大型组织机构申请的固定IP都需要绑定信息,可以从ASN数据获取一些端倪。例如我们可以借此判断IP是否属于公有云平台、教育网。
3.绑定域名。通过DNS可以查询到域名相关的IP,同样,部分IP可以反查出相关联的域名。一个典型的应用是通过IP将大型搜索引擎的IP查出,防止误杀。不过只适用于google、bing、百度这样的大型搜索引擎,才能反查出域名,国内其他的搜索引擎还不行
4.其他。还有一些其他属性,例如是否属于手机基站等,可以通过其他手段来获取,例如是否属于数据中心等,埃文科技也可以通过专利的应用场景划分获取。实上,目前看来大部分的普通攻击行为来自于数据中心(机房),从直觉上来说,普通用户也不应该通过公有云平台来访问网站。所以有时候,如果发现客户IP是数据中心的,可以直接将此请求置为高危或者做非真人的二次验证。

IP主动探测属性
IP除了一些客观属性,还可以通过主动探测来作进一步了解:
是否是邮件服务器
是否是web服务器
是否是vpn服务器
是否是代理服务器
这 里可以通过包括端口扫描在内的一系列主动探测、尝试技术来获取信息,来辅助判断:
对于普通个人用户或者是出口IP而言,不会有相应的服务与IP绑定;否则,极大概率是机器行为。目前互联网上的流量,有很大一部分是机器行为,所以这块信息在人机判断上可以起到很大的作用。不过现在有一些例外,有一些流氓的家用路由器可能会开通一些端口和服务,不过这一类用户本身就属于高风险来源。

IP历史辅助行为
IP的属性准确性是比较高的,但并不能覆盖所有场景,所以有时候还需要根据IP的相关行为作出判断:
1.该IP的请求是否有注入、撞库、ddos、漏洞扫描等网络攻击行为。
2.该IP的用户是否有刷单、恶意欺诈、薅羊毛等风控相关的的行为。
3.IP和用户名、设备指纹等的关联信息。如果发现某个用户、设备上有非常多的用户,极大的概率可以将此用户和设备拉黑;反过来,当某个IP出现了大量的用户或设备,也是风险提示,不过要排除组织出口等属性的影响。
4.IP的归属地特性也可以与用户行为结合起来。常见的分析方法包括识别用户常用IP,以及用户是否短时间内发生了较大的地理偏移(通过比较使用的不同IP的归属地)。
5.更复杂的分析包括利用IP、用户、设备之间两两关联的信息可以勾画出网站内用户之间的关联网络、以及用户间的资金流向,这在反洗钱、复杂欺诈行为识别等方面具有显著效果。

IP的正确使用姿势
在我们和客户的合作过程中,整理了一些对IP信息在安全防范和风险控制场景下的建议:
把IP信息单纯的作为黑白名单会带来一定的误杀率,不小心的话会带来比较严重的结果,需要一种合理的方式,并结合自身的情况来处理。但是我们也发现,很多用户在分析过程中,过多的偏重于手机号等特性,忽视了IP的作用,这个其实损失了大量的风险信息,也会对误杀率(基站数据、学校单位、组织出口数据等信息作白名单)和覆盖率(服务器、公有云平台、搜索引擎等信息辅助)带来影响。
对于所有的用户来说,都需要很好的利用IP的固有属性,无论是客观的还是主动探测的。这些属性分别在白名单和黑名单方面都有比较明显的贡献,如果自身有风控系统,应该将这些信息补充到自己的模型或策略中,可以起到明显的增强效果。
对于IP历史行为(常见的黑白名单)的数据来说,要挑选数据源,误杀率重于覆盖率。而如果有自身的风控系统,两相印证才是最合理的使用方法。

IP数据在金融风控反欺诈领域的常见应用
银行:
1.位置核验:用户常驻地核验,判别是否异地登录;用户贷前提交家庭住址和单位住址信息,真实性核验。
2.高危地区IP识别:如老挝、菲律宾、缅甸等高危地区IP识别。
3.精准营销:不同地域的用户群推广相应营销方案-结合地区理财偏好。
4.国家监管:境外资本活跃地区反洗钱、反欺诈、反赌博的IP监测。
证券:
1.境外高危地区的IP识别与拦截;
2.境外反洗钱监测。

保险:
结合客户来访地高发重大疾病种类,针对不同地区客户进行保险产品个性化智能营销推送,增加客户对平台的粘性和留存时长。

第三方支付:
1.实时风控或者事后风控使用
2.监控商户交易归属地是否正常
3.设备报备地址是否和联网IP定位地址一致
4.监测短时间内多次异地登录状况。

业务安全公司:
结合IP定位和IP类型数据,研发针对黑产识别的“IP风险评分”的反欺诈解决方案。

分享到
文章点评