网站地图 加入收藏 设为首页 原创论文网,覆盖经济,法律,医学,建筑,艺术等800余专业,提供60万篇论文资料免费参考

IP数据在网络安全和风险控制中的地位与应用

作者:原创论文网 时间:2017-05-12 15:42 加入收藏

  互联网时代,IP 数据一直在网络安全和风险控制领域占据着最为重要的地位,主要是出于以下因素:

  1. 所有的网络请求都会带有 IP信息,因此其天然地成为访问者的身份标识。

  2. 由于 IP的管理和分配比较严格,很难造假。虽然会有代理、肉鸡等掩藏踪迹的手法。但绝大部分情况下,IP 数据的真伪是可以信得过的。

  3. 由于 IP属于网络层,可以轻松地对其进行阻断。现有的各种网络安全、负载均衡的设备和软件,都是以 IP 为对象进行追踪和管理的。

  因此,常见的攻击防范和风险控制都会利用 IP 来作为用户的身份标识,来进行分析和处理:

  一、IP常见分析方法

  (一)IP 客观属性

  目前的 IP 分配都由专门的机构或官方来统一分配和管理,所以有很多客观上比较准确的属性可供参考:

  1. 归属地。目前每个 IP 的归属地在较短的时间内都会保持固定,可以用来判断请求来源的大概位置。

  a. 归属地数据目前有免费服务和商业的服务,搭建自己的 IP 库。

  b. 归属地的变更相对来说更频繁,在数据源的选取上需要找更新较频繁的。

  c. 现在 3/4 G 的移动出口会带来混淆,手机上网的 IP可能只能反映手机卡归属地,所以要小心这一部分数据。

  2. 所属机构。大型组织机构申请的固定 IP 都需要绑定信息,可以从 ASN 数据获取一些端倪。例如我们可以借此判断IP是否属于公有云平台、教育网。

  3. 绑定域名。通过 DNS 可以查询到域名相关的 IP,同样,部分 IP可以反查出相关联的域名。一个典型的应用是通过 IP将大型搜索引擎的 IP 查出,防止误杀。不过只适用于 google、bing、百度这样的大型搜索引擎,才能反查出域名,国内其他的搜索引擎还不行。

  4. 其他。还有一些其他属性,例如是否属于手机基站等,可以通过其他手段来获取。

  一个例子,我们通过系统分析发现了一个可疑 IP,这里面IP的归属地、vps 信息、公有云平台信息都是 IP的客观属性,可以辅助我们做决策。

  事实上,目前看来大部分的普通攻击行为来自于云服务器,从直觉上来说,普通用户也不应该通过公有云平台来访问网站。所以有时候,如果发现客户 IP是公有云平台的,可以直接将此请求置为高危。

  (二)IP 主动探测属性

  IP 数据除了一些客观属性,还可以通过主动探测来作进一步了解:

  1. 是否是邮件服务器。

  2. 是否是 web 服务器。

  3. 是否是 vpn 服务器。

  4. 是否是代理服务器。

  这里可以通过包括端口扫描在内的一系列主动探测、尝试技术来获取信息,来辅助判断:

  1. 对于普通个人用户或者是出口 IP而言,不会有相应的服务与 IP绑定;否则,极大概率是机器行为。目前互联网上的流量,有很大一部分是机器行为,所以这块信息在人机判断上可以起到很大的作用。

  2. 但是现在有一些例外,有一些“流氓”的家用路由器可能会开通一些端口和服务,不过这一类用户本身就属于高风险来源。

  (三)IP 行为

  IP的属性准确性是比较高的,但并不能覆盖所有场景,所以有时候还需要根据 IP的相关行为作出判断:

  1. 该 IP的请求是否有注入、撞库、ddos、漏洞扫描等网络攻击行为。

  2. 该 IP的用户是否有刷单、恶意欺诈、薅羊毛等风控相关的行为。

  3.IP和用户名、设备指纹等的关联信息。如果发现某个用户、设备上有非常多的用户,极大的概率可以将此用户和设备拉黑;反过来,当某个 IP出现了大量的用户或设备,也是风险提示,不过要排除组织出口等属性的影响。

图

  上图显示出某个 IP上的用户行为,可以看出在有规律的切换账号进行操作,这样就把松散的攻击,以 IP为纽带联系起来,方便识别。

  4. IP的归属地特性也可以与用户行为结合起来。常见的分析方法包括识别用户常用 IP,以及用户是否短时间内发生了较大的地理偏移(通过比较使用的不同 IP的归属地)。

  5. 更复杂的分析包括利用 IP 数据、用户、设备之间两两关联的信息可以勾画出网站内用户之间的关联网络、以及用户间的资金流向,这在反洗钱、复杂欺诈行为识别等方面具有显着效果。

  (四)IP 历史行为辅助

  通过对自身网站用户行为的分析,可以找出绝大部分的有害访问,但还是有以下缺点:

  1. 除了少数巨头,大部分网站自身的数据体量小,不足以作完善的分析。

  2. 需要较大的技术和资源投入,普通公司无法承担。

  3. 比较偏向于事中和事后,很难做到事前的预防。

  目前,还有一种方式是借助于互联网上的一些黑白名单来弥补这方面的不足,这些黑白名单来源于他人网站上 IP的历史行为。但这种方式有一些缺陷:

  1. 相对来说,风险行为跟时间和场景密切相关,所以他人的黑名单不见得对所有人合适,即使这个“他人”是巨头。

  2. 由于目前互联网上的信息泛滥,这些黑白名单是否值得信赖?

  3. 大量的 IP与使用者之间没有强绑定,另外,后一节将会提到 IP在身份识别的作用上已经逐渐力不从心。

  我们自身也有提供上述信息的数据服务,但在历史行为这一块还是采取较保守的策略:

  1. 历史行为相关的数据采用较短的过期设置,来应对 IP被轮换出去的情况。

  2. 数据来源方面,采取信任的来源。一种是自己去部署的蜜罐分析出来的结果;另一块是我们有标准化的大数据分析平台和策略,通过合作客户的黑名单数据交换来扩充自身数据库。不过即使是这样,还是需要用户有正确的使用姿势,不要纯粹当成黑白名单来使用,更多的是作为自身数据分析的补充。

  二、IP的颓势

  需要指出的是,从最近几年开始,IP 在作为用户标识的作用日渐削弱,从而极大地影响到了其在安全防范和风险控制方面的有效性:

  1. IPv 6 已经不是新话题,虽然进程非常缓慢,但趋势无法逆转;IPv 6 的场景下,IP 唯一性会难以保证。好在现在IPv 6 的普及率很低,不管是用户还是网站。

  2. 目前,国内大部分用户是没有独立 IP的,基本上是在公司、学校、网吧等地方上网,大家共享出口 IP。以教育网为例,它共有 76 000+ C 类地址,虽然已经是比较多的资源,但还是不能完全覆盖它内部整个网络,会有很多学校只能分配到少数资源,导致大量的学生都共享同一个公网 IP,有一个调皮了就会影响到一群人。对这类 IP,需要非常小心。

  3. 近几年移动化浪潮下,共享 IP的问题尤其突出。现在大部分网络访问来自移动设备,要么是 WiFi 地址,要么是3/4 G 出口。如果是后者,同一 IP下的设备数量会非常惊人,贸然采取行动的话会死的很惨。移动时代,IP 的作用已经大为减弱。

  4. 即使是独立 IP,也很难对其采取长时间的措施。一种独立 IP是电信买的固定 IP,但这种成本高昂,拿来做坏事是得不偿失的;一种是最普遍的 ADSL 拨号,这种每个人分配到的都是临时 IP,会很快被换到其他人手上。目前很多高级的爬虫会采用这种形式(甚至有专门的拨号云主机出售),当被攻击对象进行封禁时候,只要重新拨号就可以获取新的 IP,继续攻击行为;同时网站还不敢对这种 IP进行长时间封禁,因为这些 IP可能很快会被分配给其他用户使用,否则会影响到普通用户的使用体验。对于这种攻击,只能是实时行为分析并阻断 + 短时间封禁来应对,对数据分析能力和网站技术框架带来很大的考验。

  IP的上述特性,使得使用者需要采取更加专业和谨慎的姿势。

  三、IP的正确使用姿势

  在此整理了一些对 IP信息在安全防范和风险控制场景下的建议:

  1. 把 IP信息单纯地作为黑白名单会带来一定的误杀率,不小心的话会带来比较严重的结果,需要一种合理的方式,并结合自身的情况来处理。

  2. 但是我们也发现,很多用户在分析过程中,过多地偏重于手机号等特性,忽视了 IP的作用,这个其实损失了大量的风险信息,也会对误杀率(基站数据、教育网、组织出口数据等信息作白名单)和覆盖率(服务器、公有云平台、搜索引擎等信息辅助)带来影响。

  3. 对于所有的用户来说,都需要很好的利用 IP的固有属性,无论是客观的还是主动探测的。这些属性分别在白名单和黑名单方面都有比较明显的贡献,如果自身有风控系统,应该将这些信息补充到自己的模型或策略中,可以起到明显的增强效果。

  4. 对于 IP历史行为(常见的黑白名单)的数据来说,要挑选数据源,误杀率重于覆盖率。而如果有自身的风控系统,两相印证才是最合理的使用方法。


上一篇:事业单位如何做好计算机网络安全保障工作
下一篇:常见的网络管理技术及其发展趋势
重要提示:转载本站信息须注明来源:原创论文网,具体权责及声明请参阅网站声明。
阅读提示:请自行判断信息的真实性及观点的正误,本站概不负责。
别人都分享了,你还在等什么?赶快分享吧!
更多
IP数据在网络安全和风险控制中的地位与应用相关文章
我们的服务
联系我们
热门推荐
热门推荐