IP地址与用户行为

IP地址能够解决网络风险和提高网络安全的原因是：所有的网络请求都会带有IP信息，是访问者的独立标识，另外ip地址的分配和管理比较严格，难以造假。另外ip属于网络层，可以轻松的对其进行阻断。现有的各种网络安全、负载均衡的设备和软件，都是以ip为对象进行追踪和管理的。

因此，常见的攻击防范和风险控制都会利用IP来作为用户的身份标识，来进行分析和处理，常见的IP地址信息有：

IP归属地：每个IP的归属地在较短时间内都会保持固定，可以来判断大概的位置，IP数据云可以定位到街道。

所属机构：大型组织机构申请的固定ip都需要绑定信息，可以从ASN数据获取一些信息。例如我们可以借此判断IP是否属于公有云平台、教育网。

绑定域名：通过DNS可以查询到域名相关的ip，同样，部分ip可以反查出相关联的域名。

其他：还有一些其他属性，例如是否属于手机基站等，可在IP数据云上查看最详细的IP地址信息

以上的信息都是属于客观，我们还可以更深一步探索IP行为。

比如：该ip的请求是否有注入、撞库、ddos、漏洞扫描等网络攻击行为；该ip的用户是否有刷单、恶意欺诈、薅羊毛等风控相关的的行为；ip和用户名、设备指纹等的关联信息。

如果发现某个用户、设备上有非常多的用户，极大的概率可以将此用户和设备拉黑；反过来，当某个ip出现了大量的用户或设备，也是风险提示，不过要排除组织出口等属性的影响。

ip的归属地特性也可以与用户行为结合起来。常见的分析方法包括识别用户常用ip，以及用户是否短时间内发生了较大的地理偏移（通过比较使用的不同ip的归属地）。

更复杂的分析包括利用ip、用户、设备之间两两关联的信息可以勾画出网站内用户之间的关联网络、以及用户间的资金流向，这在反洗钱、复杂欺诈行为识别等方面具有显著效果。