在出海风控里,IP 归属地回答一件事:这次访问的公网出口在哪。代理、云机房、加速节点等都可能让出口地看起来像"本地真人"。本文介绍一套从IP到行为的排查思路,帮助区分"真人跨境"和"基础设施伪装"。
一、排查准备:把"异常"定义成可重复触发的批次
优先用以下四类情况作为排查起点:
- 资金风险触发:退款率/拒付率在某国家/渠道大幅升高
- 转化-留存倒挂:转化好但次日/7日留存明显偏低
- 基础设施集中:同时间窗内 Top ASN/宿主占比异常高,或出现"多国分布但同 ASN/宿主"
- 行为密度异常:注册/登录/付费节奏高度规律、同设备多号、短时爆量
排查优先级:先处理资金损失明显且证据较强的批次,再处理规模大但误伤可控的,最后处理"仅归属地异常"的情况。
二、从一条 IP 开始的排查链路
1. 看归属地
- 标记国家/地区(城市仅作参考)
- 记录同一账号近期(24小时/7天)的国家切换频率
- 观察该国家/城市短时间窗内新注册/新付费密度
异常信号:短时间内跨国跳变、同一地点短时爆量。
2. 看 ASN/宿主
- 关注 ASN、组织名(运营商/云厂商/IDC/企业/学校)
- 计算 Top ASN/宿主的集中度
常见结论:
- 云厂商/IDC ASN → 建议重点关注
- 多国分布但 ASN/宿主高度集中 → 强烈怀疑多国伪装
- 移动/家庭宽带运营商 → 更像真人网络
- 企业/校园 ASN → 误伤风险高,不宜仅凭此决定
3. 看网络场景与代理识别
| 场景 | 建议处理方式 |
|---|---|
| 机房/数据中心 | 更严格(加强验证、频控、限额) |
| 住宅 | 不默认安全;爆量且集中时需怀疑 |
| 移动 | 对跨国跳变更宽容(漫游可能) |
| 企业/教育 | 适合验证+频控,不直接封 |
代理识别关注"伪装成本":高置信度数据中心代理可直接加强验证;住宅/移动代理反而说明对方愿意付更高成本,验证强度不应低于机房代理。
代码示例:获取IP的ASN与代理类型
下面以调用IP数据云API为例,展示如何在排查中快速获取ASN、网络场景和代理类型:
python
import requests
def get_ip_risk_profile(ip, api_key):
"""
调用IP数据云API,返回IP的ASN、网络场景、代理类型等
"""
url = "https://api.ipdatacloud.com/v2/query"
params = {"ip": ip, "key": api_key, "risk": "true"}
try:
resp = requests.get(url, params=params, timeout=2)
data = resp.json()
if data.get('code') != 200:
return None
result = data['data']
network = result.get('network', {})
risk = result.get('risk', {})
return {
"asn": network.get("asn"),
"net_type": network.get("网络类型"), # 机房/住宅/移动等
"is_proxy": risk.get("是否代理"),
"proxy_type": risk.get("代理类型")
}
except Exception:
return None
# 示例调用
profile = get_ip_risk_profile("8.8.8.8", "your_api_key")
if profile and profile["net_type"] == "数据中心":
print("该IP来自数据中心,建议重点关注")这段代码可以帮助你将IP归属地查询升级为基础设施指纹识别,快速区分真人网络和机房/代理网络。
三、交叉验证:网络信号与业务信号对齐
常用证据类型(按可复核性排序):
- 设备复用(同设备多账号、设备指纹相似)
- 时间序列密度(注册/充值间隔规律)
- 支付错配(支付国长期与出口国不匹配、退款率集中)
- 客户端一致性(语言/时区与出口国矛盾)
- 关键路径异常(注册后直达付费)
四、批量治理:用 ASN/宿主/代理类型聚类
- 聚类分析:可按时间窗 + ASN + 宿主 + 网络场景 + 代理类型组合分析(国家仅作参考,IPv4/IPv6分开)
- 输出内容:规模、留存/退款表现、Top ASN/宿主、建议动作
投放归因可考虑从"按国家归因"升级为"按国家×基础设施"归因。
五、处置梯度与误伤控制
| 风险类别 | 参考动作 |
|---|---|
| 高风险(机房/高置信度代理 + 行为或支付异常) | 加强验证、频控限流、限额/延时发货,必要时人工复核 |
| 灰区(低置信度代理、企业/校园出口) | 对新注册/新付费更严格,老用户放宽 |
| 低风险(移动/住宅 + 行为与支付一致) | 放行基础功能,高价值操作轻量验证 |
注意:企业出口、校园网、CGNAT、国际漫游等场景误伤风险高,优先验证而非直接封禁;IPv6 与 IPv4 的阈值建议分开设定,不直接套用。
六、结论
识别海外玩家伪装来源,核心是抓基础设施指纹,而不是纠结"国家对不对"。IP 归属地只回答"出口",把 ASN/宿主、网络场景、代理类型作为主要判别特征,再用行为与支付数据交叉验证,才能得到可解释、可执行的风控结论。