产品说明书
# 一. 概述
# 1.1 产品介绍
IP画像(综合安全版)是一款可以满足内网安全和业务场景IP风险实时判定的产品,其将业务安全版和边界安全版的风险标识能力结合到一起。产品将会分为IP基础信息和IP风险信息提供给用户。IP基础信息包括IP类型、IP定位(精确至区县)、运营商信息、经纬度、行政区划代码、国家编码和所属大洲等信息;IP风险信息主要包括业务安全版和边界安全的风险标签、风险分数、风险等级,但是由于业务安全版和边界安全版所适用的方面不同,风险标签和判分算法会有所不同。
# 二. 产品功能
# 2.1 产品形态
产品采用打分制,用户通过上传IP进行查询,系统将返回IP、危险分值,IP类型、及地理位置(精确到地市),分值范围0-100。由于产品时效性高,为实时更新,故在查询的时候,同一个IP前后两次查询结果可能会不同。 API实时查询示例: 返回数据(明文)
"ip": "223.89.132.120",
"type": "家庭宽带",
"location": "中国 河南省 驻马店市 上蔡县 中国移动 33.296933 114.396879 411722 CN 亚洲",
"location_info": {
"country": "中国",
"province": "河南省",
"city": "驻马店市",
"district": "上蔡县",
"owner": "中国移动",
"latitude": "33.296933",
"lontitude": "114.396879",
"ad_code": "411722",
"area_code": "CN",
"continent": "亚洲"
},
"tag_info": [
{
"risk_name": "代理",
"time": "2020-06-11 10:03:45"
},
{
"risk_name": "多开分身",
"time": "2020-05-29 16:27:18"
}
],
"risk_tag": "代理:2020-06-11 10:03:45|多开分身:2020-05-29 16:27:18",
"risk_score": 10,
"risk_level": "低"
」
# 2.2 字段说明
Data内容字段说明如下:
| 序列 | 字段 | 说明 | 类型 | 详细描述 |
|---|---|---|---|---|
| 1 | basic_info | IP基础信息 | map | 查询IP关联的基础信息,如ip、type、location,字段说明见下"2~4"项所述。 |
| 2 | ip | IP地址 | string | 测试IP |
| 3 | type | IP类型 | string | 包括家庭宽带、数据中心、移动网络、企业专线、校园单位、未知 |
| 4 | location | IP归属地 | object | IP归属地信息,JSON数组,每一个item字段定义如下:
|
| 5 | risk_info | IP风险信息 | map | 查询IP关联的风险信息,如business_security、perimeter_security,字段说明见下"6~7"项所述 |
| 6 | business _security | 业务安全版 | boject | 基于业务安全版规则识别的风险信息,JSON数组,每一个item字段定义如下:
|
| 7 | perimeter _security | 边界安全版 | object | 基于边界安全版规则识别的风险信息,JSON数组,每一个item字段定义如下:
|
注:IP类型以及定位信息来源于郑州埃文计算机科技有限公司。
# 2.3 风险标签说明
- 业务安全版风险标签包括
| 攻击类型 | 描述 |
|---|---|
| 秒拨 | 自动化攻击的来源IP |
| 代理 | 撞库攻击来源IP |
| 机房流量 | 爬虫攻击来源IP |
- 边界安全版风险标签包括
| 攻击类型 | 描述 |
|---|---|
| 扫描 | 自动化攻击的来源IP |
| 撞库 | 撞库攻击来源IP |
| 爬虫 | 爬虫攻击来源IP |
| 刷量 | 刷访问量、下载量、播放量等的来源IP |
| 僵尸网络 | 受C2C分布式控制的机器的IP,比如DDoS肉鸡 |
| 垃圾邮件 | 发送垃圾邮件服务器的IP |
| 代理 | 代理IP |
| 网络攻击 | 网络攻击(比如SSH爆破、Telnet爆破等)来源IP |
| 失陷主机 | 失陷主机IP |
| 黑DNS | 黑DNS |
| 钓鱼 | 钓鱼网站IP |
| TOR节点 | Tor节点IP |
# 2.4 风险等级说明
- 业务安全版风险等级说明
针对产品对IP给出的风险分数,用户可以根据以下说明进行处置:
| 分数段 | 风险等级 | 说明 | 处置建议 |
|---|---|---|---|
| [100,94] | 高 | 该IP当前被黑产持有 | 建议直接拦截 |
| [94,79] | 中 | 该IP当前被正常用户持有的可能性很低 | 需要基于业务场景对误判率的容忍度情况直接拦截或者结合简单策略 |
| [79,10] | 低 | 该IP当前被黑产持有的可能性高于被正常用户持有的可能性 | 需要基于业务场景对误判率的容忍度情况,采取一些较强的限制策略 |
| 0分 | 无 | 尚未发现该IP被黑产持有过 | 结合业务逻辑进行判断,建议放行 |
- 边界安全版风险等级说明
考虑风险IP的来源可靠性、时效性等多个因素,每个IP都有对应的风险等级,可以较为直观地反映该IP的危险程度。各个风险等级说明如下:
| 风险等级 | 说明 |
|---|---|
| 高 | 风险较高,自有渠道捕获,近期内参与过黑产活动 |
| 中 | 风险中等,开源渠道捕获,近期内参与过黑产活动 |
| 低 | 风险较低,曾参与过黑产活动 |
| 无 | 无风险,白名单或未曾参与过黑产活动 |
# 三. 产品优势
- 易用性
去除对IP的复杂字段定义说明,量化风险值,不需要复杂的策略规则,直接根据风险值进行判定,风险分值实时更新,解决传统方案更新不及时带来的误判问题。
- 适用性
产品的使用可忽略场景不匹配问题,去除了对IP的复杂字段定义说明,量化为风险值,不需要复杂的策略规则,直接根据风险值进行判定。
- 唯一性
全国唯一能提供针对秒拨的防护能力,目前市面的IP风险标签产品无法对秒拨进行有效的识别。
# 四. 应用场景
由于传统的IP风险标签数据产品无法对ADSL及基站等IP进行有效标签标注,黑产可使用“秒拨”实现IP秒级更新从而绕过IP风控规则,实现批量账号登录,注册、撞库、领优惠券、数据爬取等操作,IP画像能有效解决这一问题。 本产品主要用于三个方面:
- 用于流量审计,把该IP库下的流量分离出后通过数据分析了解黑流量特征,同时可感知黑流量趋势。
- 作为特征参与风控模型与黑产的直接对抗。
- 当某个时间段风险IP数量激增的时候,可以作为风险预警。
# 五. 交付方式
目前IP画像支持两种对接方式,说明如下:
- 1、实时在线查询:
API在线接入,用户通过上传实时的业务访问IP,系统返回对应的IP风险分值,此种模式适用于数据量不大的用户使用。
- 2、离线部署查询:
客户不需要传入任何数据(包括IP),适用于对自身数据敏感的客户。但需要客户对接API每秒实时拉取最新的数据,在自己本地积累IP库,接入和使用稍复杂。