IPv6规模部署对业务风控的影响和解决办法

近日，中共中央办公厅、国务院办公厅26日印发《推进互联网协议第六版（IPv6）规模部署行动计划》，提出用5到10年时间，形成下一代互联网自主技术体系和产业生态，建成全球最大规模的IPv6商业应用网络。

“计划”提出了“三步走”战略：到2018年末，IPv6活跃用户数达到2亿，在互联网用户中的占比不低于20%；2020年末，IPv6活跃用户数超过5亿，在互联网用户中的占比超过50%，新增网络地址不再使用私有IPv4地址；到2025年末，我国IPv6网络规模、用户规模、流量规模位居世界第一位，网络、应用、终端全面支持IPv6，全面完成向下一代互联网的平滑演进升级，形成全球领先的下一代互联网技术产业体系。

IPv6的规模部署会对现有基于IPv4的业务风控体系带来挑战，顶象技术安全专家泮晓波表示，风控系统需要减少对IP相关的标识数据的直接使用，并进一步加强机器学习算法对新IP地址强泛化能力，从而有效解决IPV6部署后的技术问题。

IPv4地址面临枯竭

IPv4是互联网协议（Internet Protocol，IP）的第四版，也是第一个被广泛使用，构成现今互联网技术的基础的协议。IPv4从出生到如今几乎没什么改变的生存了下来。1983年TCP/IP协议被ARPAnet采用，直至发展到后来的互联网。

那时只有几百台计算机互相联网。到1989年联网计算机数量突破10万台，并且同年出现了1.5Mbit/s的骨干网。因为IANA把大片的地址空间分配给了一些公司和研究机构，90年代初就有人担心10年内IP地址空间就会不够用，并由此导致了IPv6 的开发。

一些技术的出现，如网络地址转换（Network address translation， NAT），将地址的枯竭时间往后推移，但是也无法阻止这个事情的发生：在2011年2月份，互联网地址分配机构(IANA)已将其IPv4地址空间段的最后2个“/8”地址组分配出去；在2014年4月份，美国互联网号码注册机构(ARIN)宣布他们已经开始分配其库存的最后可用的“/8”地址组。

IPv6可为数以千亿设备提供网址

IPv4中规定IP地址空间为32位，理论上有2的32次方个地址，除去一些特殊地址、保留地址，

实际可以使用的比理论的要少。IPv6使用了128位的地址空间，理论上有2的128次方（约3.4×10的38次方）个地址，是IPv4的7.9×10的28次方倍。庞大的地址空间解决了不同类型设备接入互联网的需求。

IPv6不单单有庞大的地址空间，其设计时间比IPv4要晚，传输协议更贴合现今网络架构。作为替代现行版本互联网IP协议（IPv4）的下一代IP协议，IPv6可以为数以千亿的设备提供网址。不过由于两个网络协议不兼容，不能一次性完全替换，所以IPv6制定了完善的过度方案。

IPv6对现有现在风控体系的若干影响

中国工程院院士邬贺铨表示，随着IPv6的部署，我国下一代互联网建设将正式启动，并逐渐提速。届时，我国的网络基础设施水平有望大幅提升，并处于世界领先。这不仅会大大促进互联网产业的发展，还将为车联网、物联网、工业互联网、云计算、大数据、人工智能等产业的发展奠定网络基础，进而推动全行业的快速成长。

不过，IPv6海量的地址对现有的风控体系将造成以下冲击：

基于IP的黑白名单

IPv4时代积累的庞大的黑白名单对于业务风控是一个非常有效的帮助。到了IPv6时代，庞大的新地址将会冲击这套黑白名单体系，大量的“未知”地址将会使这套体系失效。

基于IP的地理位置

现有的基于IPv4的地理位置数据库相对完善，可以为业务风控提供有效的帮助。而在IPv6规模部署的开始阶段，IPv6的地理位置数据库相对缺失，无法精准判断地址，可能产生业务风控的误判，错判。

关系网挖掘

IPv4时代，不同的用户将使用同一个地址（NAT）连接互联网，这非常有利于业务风控系统挖掘他们的关系，更有效的构建关系网。而IPv6时代，用户将拥有各自独立的地址，对关系网的挖掘会造成影响。

除此外，IPv6还将影响以IP为维度的设备指纹、基于地理位置的实时禁限制、某些IP相关的规则、指标。

顶象技术的IPv6解决方案

顶象技术安全专家泮晓波表示，IPV6部署后互联网的IP地址数量将暴增，原本多个设备共享一个公网IP的情况将全部转换为一个设备独占一个公网IP。这就导致基于IPV4的标识数据将失去效用，原有的业务算法将升级。风控系统需要减少对IP相关的标识数据的直接使用，并进一步加强机器学习算法对新IP地址强泛化能力从而有效解决IPV6部署后的技术问题。

他说，顶象技术的风控体系通过对黑灰产攻击的行为具有很强的识别能力，以及积累的大量黑灰产数据和机器学习算法，训练出的模型可有效区分黑灰产和正常用户的行为。“这种方式，既避免了风控系统对规则和IP黑白名单的过度依赖，另更提高了识别的泛化能力。”

在顶象技术的算法检测体系中，会首先根据用户的行为数据进行分析建模，抽取或学习关键特征；然后通过半监督学习和主动学习算法，识别每天新增数据中的可疑行为样本；再对可疑样本经过打标，快速迭代到新的模型训练中；最后将新训练的模型被快速部署到线上，有效拦截会灰产的恶意行为。由此实现采集新数据、发现新攻击行为、训练新模型、部署拦截新攻击的快速迭代。

据了解，私有化部署的顶象全景式业务安全风控体系已完美支持客户的IPv6网络。下一步，顶象技术将与运营服务商携手解决SaaS方式的接入支持，以满足客户升级网络后的保障需求。

*更多黑灰产技术干货及案例分享，请关注顶象官方博客：https://www.dingxiang-inc.com/blog