IP数据在金融风控反欺诈领域的常见应用？

随着大数据、信息化时代的到来，IP地址作为我们连接互联网的唯一标识，在网络安全和风险控制领域一直占据着相当重要的地位，主要因素如下：

1.所有的网络连接都是基于IP地址，因此其属性成为访问者的唯一身份标识。

2.由于IP的管理和分配比较严格，很难造假。虽然会有代理、肉鸡等掩藏踪迹的手法。但绝大部分情况下，IP数据的真伪是可以信得过的。

3.由于IP属于网络层，可以轻松的对其进行阻断。现有的各种网络安全、负载均衡的设备和软件，都是以IP为对象进行追踪和管理的。

因此，常见的攻击防范和风险控制都会利用IP来作为用户的身份标识，来进行分析和处理。

IP常见分析方法

IP客观属性

目前的IP分配都由IANA(The Internet Assigned Numbers Authority，互联网数字分配机构)来统一分配和管理，所以有很多客观上比较准确的属性可供参考：

1.归属地。目前每个IP的归属地在较短的时间内都会保持固定，可以用来判断请求来源的大概位置。IP归属地的变更相对来说更频繁，在数据源的选取上建议选择更新及时、数据质量稳定的IP库-埃文科技（www.ipplus360.com）IP数据每日更新。现在3/4G的移动出口会带来混淆，手机上网的IP可能只能反映手机卡归属地，所以要小心这一部分数据

2.所属机构。大型组织机构申请的固定IP都需要绑定信息，可以从ASN数据获取一些端倪。例如我们可以借此判断IP是否属于公有云平台、教育网。

3.绑定域名。通过DNS可以查询到域名相关的IP，同样，部分IP可以反查出相关联的域名。一个典型的应用是通过IP将大型搜索引擎的IP查出，防止误杀。不过只适用于google、bing、百度这样的大型搜索引擎，才能反查出域名，国内其他的搜索引擎还不行

4.其他。还有一些其他属性，例如是否属于手机基站等，可以通过其他手段来获取，例如是否属于数据中心等，埃文科技也可以通过专利的应用场景划分获取。实上，目前看来大部分的普通攻击行为来自于数据中心（机房），从直觉上来说，普通用户也不应该通过公有云平台来访问网站。所以有时候，如果发现客户IP是数据中心的，可以直接将此请求置为高危或者做非真人的二次验证。

IP主动探测属性

IP除了一些客观属性，还可以通过主动探测来作进一步了解：

是否是邮件服务器

是否是web服务器

是否是vpn服务器

是否是代理服务器

这里可以通过包括端口扫描在内的一系列主动探测、尝试技术来获取信息，来辅助判断：

对于普通个人用户或者是出口IP而言，不会有相应的服务与IP绑定；否则，极大概率是机器行为。目前互联网上的流量，有很大一部分是机器行为，所以这块信息在人机判断上可以起到很大的作用。不过现在有一些例外，有一些流氓的家用路由器可能会开通一些端口和服务，不过这一类用户本身就属于高风险来源。

IP历史辅助行为

IP的属性准确性是比较高的，但并不能覆盖所有场景，所以有时候还需要根据IP的相关行为作出判断：

1.该IP的请求是否有注入、撞库、ddos、漏洞扫描等网络攻击行为。

2.该IP的用户是否有刷单、恶意欺诈、薅羊毛等风控相关的的行为。

3.IP和用户名、设备指纹等的关联信息。如果发现某个用户、设备上有非常多的用户，极大的概率可以将此用户和设备拉黑；反过来，当某个IP出现了大量的用户或设备，也是风险提示，不过要排除组织出口等属性的影响。

4.IP的归属地特性也可以与用户行为结合起来。常见的分析方法包括识别用户常用IP，以及用户是否短时间内发生了较大的地理偏移（通过比较使用的不同IP的归属地）。

5.更复杂的分析包括利用IP、用户、设备之间两两关联的信息可以勾画出网站内用户之间的关联网络、以及用户间的资金流向，这在反洗钱、复杂欺诈行为识别等方面具有显著效果。