一、設備標簽

先查看應用列表。

一個設備一開始有沒有非法APP(大部分灰黑制作從業者在保證批量操作的時候都會安裝一些自動化腳本和惡意APP)？有沒有通用的app(我覺得大部分灰黑制作都是為了追求效率)

以抖音為例。

標簽的類別和細節，比如陀螺儀、內存、功耗、通訊錄、指紋、手機卡等。其他細則自己定。
抖音的裝備畫像，沉淀的邏輯如下:

一般商業都有限制裝備激活時間和次數的策略，所以黑產模擬大量裝備數據和裝備農場進行對抗。

是設備風險控制領域非常重要的一個環節。

行業對設備的定義是指用戶和業務系統之間的一個載體。

我們為每個設備生成一個唯一且穩定的標識，稱為設備ID。

指紋的原理是通過算法分析，采集客戶端的特征屬性信息，對每臺設備進行標記。

為了方便開發者獲取用戶信息，手機操作系統和瀏覽器廠商都會預留API供程序使用。用戶和開發人員可以通過這些API獲得與客戶端相關的軟件和硬件信息。當然，每個設備的這些信息是不同的。設備指紋是通過部分差異信息得到的一組完全獨立的設備ID。當然還有其他參考內容。(記住用戶通訊錄，短信，手機號碼，通話記錄等。不能作為生成的設備ID，只能校對。)

我們從安全的角度來標注，比如IP畫像，我們會標注IP是不是代理IP。

以微信的頭像為例。比如一個微信只登錄手機版，不登錄騰訊其他業務，不聊天，頻繁加好友，被好友刪除，朋友圈要么不開，要么打開，評論多，回復少。我們一般會給這個號貼上微信(色情，營銷)的標簽。同樣，我們也會給微信貼上其他標簽。

標簽的類別和細節需要做風控的人來設定，比如:地理位置，分省份標注。性別，以性為標志。其他細則自己定。

我們來看看騰訊的IP畫像。沉淀的邏輯如下:

一般所有商家都有限制IP使用頻率和次數的策略，所以黑產為了對抗，必然會使用代理IP來繞過限制。

既然代理IP的識別如此重要，那我們就以代理IP為例，來說說騰訊識別代理IP的過程。

有四種技術可以識別IP是否是代理IP:

反向檢測技術:掃描IP，看80、8080等代理服務器頻繁打開的端口是否打開。顯然，一個普通用戶IP是不太可能打開上述端口的。

HTTP頭中的X_Forwarded_For:啟用了HTTP代理的IP可以通過此方法識別為代理IP；以XFF的信息，這個IP無疑是代理IP。

保活消息:如果存在具有代理連接的保活消息，則該IP無疑是代理IP。

檢查IP上的端口:如果一個IP的端口大于10，000，則大多數IP也有問題。普通家庭IP幾乎不可能開這么大的端口。

以上代理IP檢測方式幾乎都是開放的，但是盲目掃描全網IP，被攔截，效率也是個大問題。

除了通過網絡爬蟲抓取代理IP之外，還使用了以下方法來加速代理IP的收集:通過業務建模收集惡意IP(黑產會使用代理IP的可能性更大)，然后通過協議掃描判斷這些IP是否為代理IP。騰訊每天可以發現上千萬的惡意IP，其中大部分是代理IP。

歡迎互聯網各界人士交流互聯網風控經驗。一起討論，一起進去，