IPv6规模部署对业务风控的影响和解决办法

近日,中共中央办公厅、国务院办公厅26日印发《推进互联网协议第六版(IPv6)规模部署行动计划》,提出用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络。

图片描述

“计划”提出了“三步走”战略:到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%;2020年末,IPv6活跃用户数超过5亿,在互联网用户中的占比超过50%,新增网络地址不再使用私有IPv4地址;到2025年末,我国IPv6网络规模、用户规模、流量规模位居世界第一位,网络、应用、终端全面支持IPv6,全面完成向下一代互联网的平滑演进升级,形成全球领先的下一代互联网技术产业体系。

IPv6的规模部署会对现有基于IPv4的业务风控体系带来挑战,顶象技术安全专家泮晓波表示,风控系统需要减少对IP相关的标识数据的直接使用,并进一步加强机器学习算法对新IP地址强泛化能力,从而有效解决IPV6部署后的技术问题。

IPv4地址面临枯竭

IPv4是互联网协议(Internet Protocol,IP)的第四版,也是第一个被广泛使用,构成现今互联网技术的基础的协议。IPv4从出生到如今几乎没什么改变的生存了下来。1983年TCP/IP协议被ARPAnet采用,直至发展到后来的互联网。

那时只有几百台计算机互相联网。到1989年联网计算机数量突破10万台,并且同年出现了1.5Mbit/s的骨干网。因为IANA把大片的地址空间分配给了一些公司和研究机构,90年代初就有人担心10年内IP地址空间就会不够用,并由此导致了IPv6 的开发。

一些技术的出现,如网络地址转换(Network address translation, NAT),将地址的枯竭时间往后推移,但是也无法阻止这个事情的发生:在2011年2月份,互联网地址分配机构(IANA)已将其IPv4地址空间段的最后2个“/8”地址组分配出去;在2014年4月份,美国互联网号码注册机构(ARIN)宣布他们已经开始分配其库存的最后可用的“/8”地址组。

IPv6可为数以千亿设备提供网址

IPv4中规定IP地址空间为32位,理论上有2的32次方个地址,除去一些特殊地址、保留地址,

实际可以使用的比理论的要少。IPv6使用了128位的地址空间,理论上有2的128次方(约3.4×10的38次方)个地址,是IPv4的7.9×10的28次方倍。庞大的地址空间解决了不同类型设备接入互联网的需求。

图片描述

IPv6不单单有庞大的地址空间,其设计时间比IPv4要晚,传输协议更贴合现今网络架构。作为替代现行版本互联网IP协议(IPv4)的下一代IP协议,IPv6可以为数以千亿的设备提供网址。不过由于两个网络协议不兼容,不能一次性完全替换,所以IPv6制定了完善的过度方案。

IPv6对现有现在风控体系的若干影响

中国工程院院士邬贺铨表示,随着IPv6的部署,我国下一代互联网建设将正式启动,并逐渐提速。届时,我国的网络基础设施水平有望大幅提升,并处于世界领先。这不仅会大大促进互联网产业的发展,还将为车联网、物联网、工业互联网、云计算、大数据、人工智能等产业的发展奠定网络基础,进而推动全行业的快速成长。

不过,IPv6海量的地址对现有的风控体系将造成以下冲击:

基于IP的黑白名单
IPv4时代积累的庞大的黑白名单对于业务风控是一个非常有效的帮助。到了IPv6时代,庞大的新地址将会冲击这套黑白名单体系,大量的“未知”地址将会使这套体系失效。

基于IP的地理位置

现有的基于IPv4的地理位置数据库相对完善,可以为业务风控提供有效的帮助。而在IPv6规模部署的开始阶段,IPv6的地理位置数据库相对缺失,无法精准判断地址,可能产生业务风控的误判,错判。

关系网挖掘

IPv4时代,不同的用户将使用同一个地址(NAT)连接互联网,这非常有利于业务风控系统挖掘他们的关系,更有效的构建关系网。而IPv6时代,用户将拥有各自独立的地址,对关系网的挖掘会造成影响。

除此外,IPv6还将影响以IP为维度的设备指纹、基于地理位置的实时禁限制、某些IP相关的规则、指标。

顶象技术的IPv6解决方案

顶象技术安全专家泮晓波表示,IPV6部署后互联网的IP地址数量将暴增,原本多个设备共享一个公网IP的情况将全部转换为一个设备独占一个公网IP。这就导致基于IPV4的标识数据将失去效用,原有的业务算法将升级。风控系统需要减少对IP相关的标识数据的直接使用,并进一步加强机器学习算法对新IP地址强泛化能力从而有效解决IPV6部署后的技术问题。

他说,顶象技术的风控体系通过对黑灰产攻击的行为具有很强的识别能力,以及积累的大量黑灰产数据和机器学习算法,训练出的模型可有效区分黑灰产和正常用户的行为。“这种方式,既避免了风控系统对规则和IP黑白名单的过度依赖,另更提高了识别的泛化能力。”

在顶象技术的算法检测体系中,会首先根据用户的行为数据进行分析建模,抽取或学习关键特征;然后通过半监督学习和主动学习算法,识别每天新增数据中的可疑行为样本;再对可疑样本经过打标,快速迭代到新的模型训练中;最后将新训练的模型被快速部署到线上,有效拦截会灰产的恶意行为。由此实现采集新数据、发现新攻击行为、训练新模型、部署拦截新攻击的快速迭代。

据了解,私有化部署的顶象全景式业务安全风控体系已完美支持客户的IPv6网络。下一步,顶象技术将与运营服务商携手解决SaaS方式的接入支持,以满足客户升级网络后的保障需求。

*更多黑灰产技术干货及案例分享,请关注顶象官方博客:https://www.dingxiang-inc.com...

你可能感兴趣的:(ipv6,黑名单,白名单)