江漢祥 ，曾 鵬

（1.廈門市美亞柏科信息股份有限公司，福建 廈門 361008；2.福建省電子數(shù)據(jù)存取證重點(diǎn)實(shí)驗(yàn)室，福建 廈門 361008；3.廈門市公安局，福建 廈門 361008）

IP 協(xié)議是互聯(lián)網(wǎng)的最基本協(xié)議，它能夠讓所有的計(jì)算機(jī)或智能設(shè)備通過網(wǎng)絡(luò)進(jìn)行通信與互聯(lián)。IP 地址是IP 協(xié)議中約定的一種地址格式，為互聯(lián)網(wǎng)上每一個(gè)網(wǎng)絡(luò)和每一臺(tái)設(shè)備分配的邏輯地址，從而屏蔽物理地址的差異。它是互聯(lián)網(wǎng)空間最基礎(chǔ)的身份標(biāo)識(shí)，也是網(wǎng)絡(luò)通信的最基本要素。隨著互聯(lián)網(wǎng)的蓬勃發(fā)展，接入終端的數(shù)量急劇增加，IP 地址的需求量越來越大，IP 資源變得十分緊張和短缺。網(wǎng)絡(luò)犯罪及其相關(guān)黑灰產(chǎn)對IP 的需求與日俱增，掌握大量的IP 資源有利于違法犯罪嫌疑人隱藏真實(shí)IP，也可以用于對抗網(wǎng)絡(luò)應(yīng)用服務(wù)商的風(fēng)控規(guī)則[1]8-12。

傳統(tǒng)規(guī)避風(fēng)控的方法是Socks5 代理和VPN（虛擬專用網(wǎng)絡(luò)）代理。Socks5 代理主要是利用高性能服務(wù)器在全網(wǎng)進(jìn)行掃描，獲取代理服務(wù)器的IP 及端口，或者直接爬取其他代理網(wǎng)站的數(shù)據(jù)。Socks5 代理最大的弊端是代理IP 的有效性無法把控（服務(wù)器關(guān)閉、端口關(guān)閉、代理網(wǎng)速太慢造成掉線等），以及代理IP 數(shù)量相對有限。VPN 代理的IP 資源主要是服務(wù)器IP，雖然網(wǎng)絡(luò)相對穩(wěn)定，但存在成本高且IP 數(shù)量有限的弊端，也無法完全滿足黑灰產(chǎn)的需求。

“動(dòng)態(tài)IP”（俗稱“秒撥IP”）服務(wù)就是在這種形勢下應(yīng)運(yùn)而生的，它大致誕生于2014 年，興起于2019 年，被廣泛用于批量注冊、批量養(yǎng)號(hào)、薅羊毛、刷單、撞庫等短時(shí)間內(nèi)需要大量IP 資源的場景[1]5-7。目前，黑灰產(chǎn)使用的代理IP 資源中，“動(dòng)態(tài)IP”占75%以上，傳統(tǒng)型代理IP 占25%左右[2]。“動(dòng)態(tài)IP”嚴(yán)重?cái)_亂了互聯(lián)網(wǎng)管理秩序，給國家安全、政治安全和社會(huì)穩(wěn)定帶來嚴(yán)重風(fēng)險(xiǎn)隱患，給公安機(jī)關(guān)落地調(diào)查工作造成嚴(yán)重干擾。如何徹底鏟除“動(dòng)態(tài)IP”的滋生土壤，防控治理動(dòng)態(tài)IP 犯罪產(chǎn)業(yè)鏈已經(jīng)成為亟須解決的難題。

一、“動(dòng)態(tài)IP”的原理、類型、外在特點(diǎn)及生態(tài)環(huán)節(jié)

（一）“動(dòng)態(tài)IP”的原理

“動(dòng)態(tài)IP”利用寬帶撥號(hào)上網(wǎng)每次聯(lián)網(wǎng)都會(huì)獲取一個(gè)新IP 的原理，在接入服務(wù)器上創(chuàng)建大量VPS（虛擬專用服務(wù)器），并在VPS 上安裝秒撥軟件（如圖1 所示）。為了能更換IP 而進(jìn)行各種設(shè)置，如：秒級切換、斷線重?fù)?、清理COOKIES 緩存等，黑灰產(chǎn)通過獲取全國各地大量寬帶線路資源，利用虛擬化和云計(jì)算技術(shù)把各地的IP 資源整體打包成了云服務(wù)，并利用ROS（路由器操作系統(tǒng)，即軟路由）對虛擬主機(jī)和寬帶資源做統(tǒng)一調(diào)配和管理。通過開發(fā)專用客戶端軟件，或提供API（應(yīng)用程序接口數(shù)據(jù)）接口服務(wù)，將獲取的海量“動(dòng)態(tài)IP”提供給下游用戶使用。當(dāng)把全國不同地區(qū)的IP資源整合并“自動(dòng)切換”后，就可以實(shí)現(xiàn)某個(gè)虛擬身份短時(shí)間內(nèi)在全國多地IP 切換。

（二）“動(dòng)態(tài)IP”的類型

按照獲取的IP 資源歸屬地不同，“動(dòng)態(tài)IP”可以分為“秒撥”和“混撥”兩種，這兩種技術(shù)可分開或結(jié)合使用。

1.“秒撥”技術(shù)

直接提供“秒撥機(jī)”（如圖2 所示的VPS 秒撥機(jī)）給下游用戶使用。之所以稱為“秒撥機(jī)”，是因?yàn)樵赩PS 上安裝了秒撥軟件，其主要功能是可以秒級進(jìn)行斷線重?fù)?，從而獲取新的IP 資源?，F(xiàn)實(shí)中很少進(jìn)行秒級切換，因?yàn)榇蠖鄷r(shí)候不能在秒級完成，秒撥機(jī)會(huì)在十秒級或分鐘級斷線重?fù)?。租用秒撥機(jī)的用戶會(huì)通過RDP（遠(yuǎn)程桌面協(xié)議）、VNC（虛擬網(wǎng)絡(luò)控制臺(tái)，即遠(yuǎn)程控制工具軟件）或者SSH（安全外殼協(xié)議）連接，然后進(jìn)行違法犯罪活動(dòng)。秒撥機(jī)的接入線路是直接連接到當(dāng)?shù)剡\(yùn)營商的BRAS（寬帶接入服務(wù)器），撥號(hào)認(rèn)證分配是運(yùn)營商的賬戶認(rèn)證，撥號(hào)出來的IP 地址是公網(wǎng)IPv4的地址，其IP 數(shù)量取決于運(yùn)營商分配的IP 數(shù)量。

2.“混撥”技術(shù)

“混撥”就是黑灰產(chǎn)把多個(gè)地區(qū)的IP 資源通過層層代理，并通過網(wǎng)絡(luò)云服務(wù)技術(shù)打通，從而實(shí)現(xiàn)在單臺(tái)主機(jī)（即混撥機(jī)）上獲得全國的IP 資源（如圖3 所示）。為了實(shí)現(xiàn)混撥，服務(wù)提供商做了二次撥號(hào)認(rèn)證，一般是用ROS 軟路由系統(tǒng)，撥號(hào)后獲取的IP 是一個(gè)內(nèi)網(wǎng)IP 地址，端口無法對外開放，只能訪問外網(wǎng)。其帶寬速度是共享的，相對會(huì)慢一些。其IP 地址池，取決于加入動(dòng)態(tài)資源的各地區(qū)運(yùn)營商的IP 數(shù)量。

圖3 “混撥”網(wǎng)絡(luò)結(jié)構(gòu)圖

（三）“動(dòng)態(tài)IP”的外在特點(diǎn)

“動(dòng)態(tài)IP”被大量用于網(wǎng)絡(luò)黑灰產(chǎn)中，直接繞開了政府監(jiān)管及互聯(lián)網(wǎng)行業(yè)通用的IP 風(fēng)控策略，因而在網(wǎng)絡(luò)層面表現(xiàn)出以下特點(diǎn)。

1.隱藏真實(shí)IP。這種特點(diǎn)導(dǎo)致網(wǎng)絡(luò)行為的倒查機(jī)制失效，違法犯罪案件發(fā)生后通過IP 日志只能倒查到接入寬帶賬號(hào)，而無法倒查到真正使用該IP 的行為人[1]8-17。

2.頻繁切換IP。其導(dǎo)致基于“同一IP”的安全風(fēng)控策略徹底失效，該安全風(fēng)控策略通過識(shí)別同一IP 所指向的單一設(shè)備的訪問頻率或登錄頻率來拒絕該類行為。而如果行為人使用的IP 發(fā)生了變化，相關(guān)策略就失效了。

3.橋接境外IP。有的動(dòng)態(tài)IP 服務(wù)商會(huì)橋接境外多個(gè)國家的服務(wù)器、云主機(jī)等國際網(wǎng)絡(luò)鏈路資源，用境外IP 訪問非法網(wǎng)站（包括暗網(wǎng)）、發(fā)布非法信息、開展網(wǎng)絡(luò)詐騙等違法犯罪行為。

（四）“動(dòng)態(tài)IP”犯罪的生態(tài)環(huán)節(jié)

根據(jù)偵查打擊實(shí)踐，“動(dòng)態(tài)IP”服務(wù)黑灰產(chǎn)生態(tài)鏈可以分為電信運(yùn)營商、租賃倒賣寬帶賬號(hào)人員、“動(dòng)態(tài)IP”技術(shù)服務(wù)提供商、推廣人員以及下游違法犯罪嫌疑人五個(gè)環(huán)節(jié)（如圖4 所示）。電信運(yùn)營商主要包括移動(dòng)、聯(lián)通、電信、廣電寬帶、長城寬帶等電信接入服務(wù)提供商。租賃倒賣寬帶賬號(hào)人員指的是通過電信運(yùn)營商大量辦理寬帶賬號(hào)，并對寬帶賬號(hào)資源進(jìn)行租賃和倒賣的人員。“動(dòng)態(tài)IP”技術(shù)服務(wù)提供商通過部署主機(jī)、服務(wù)器或者建設(shè)機(jī)房，對外提供“秒撥”或“混撥”VPS 以及“軟路由”虛擬機(jī)。推廣人員為通過各種途徑進(jìn)行宣傳和推廣的人員。下游違法犯罪嫌疑人，即終端用戶是使用“動(dòng)態(tài)IP”服務(wù)的各類網(wǎng)絡(luò)黑灰產(chǎn)從業(yè)人員。

圖4 “動(dòng)態(tài)IP”生態(tài)鏈?zhǔn)疽鈭D

二、“動(dòng)態(tài)IP”帶來的危害

IP 地址是公安機(jī)關(guān)進(jìn)行網(wǎng)絡(luò)行為溯源的基本要素?！皠?dòng)態(tài)IP”服務(wù)的出現(xiàn)，破壞身份標(biāo)識(shí)的唯一性，割裂網(wǎng)絡(luò)行為追蹤的關(guān)聯(lián)性。動(dòng)態(tài)IP 在正常網(wǎng)絡(luò)通信的基礎(chǔ)上“制造”另一層IP 網(wǎng)絡(luò)，已成為黑灰產(chǎn)的“新基建”，直接或間接為網(wǎng)絡(luò)違法犯罪行為提供幫助?！皠?dòng)態(tài)IP”服務(wù)實(shí)質(zhì)上突破了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)措施，破壞了網(wǎng)絡(luò)風(fēng)控規(guī)則，助長了違法犯罪行為，給網(wǎng)絡(luò)空間的治理帶來了危害。

（一）“動(dòng)態(tài)IP”破壞了網(wǎng)絡(luò)風(fēng)控規(guī)則

大多數(shù)網(wǎng)絡(luò)服務(wù)提供商為了公平性和真實(shí)性，會(huì)對用戶的IP 進(jìn)行風(fēng)控。如網(wǎng)絡(luò)投票中，風(fēng)控規(guī)則很可能會(huì)限制同一IP 一天操作的次數(shù)。另外，許多網(wǎng)絡(luò)服務(wù)提供商為了防止惡意注冊、批量養(yǎng)號(hào)和批量刷單行為，也會(huì)對用戶的IP 進(jìn)行風(fēng)控。然而，“動(dòng)態(tài)IP”讓上述風(fēng)控規(guī)則基本失效，一是由于它所使用的IP 不是服務(wù)器IP，無法事先收集而進(jìn)行風(fēng)控；二是該類IP 是寬帶撥號(hào)使用的IP，該類IP 可能此刻為黑灰產(chǎn)所用，下一刻則為普通用戶所用，因而無法對它進(jìn)行封禁。

（二）“動(dòng)態(tài)IP”助長了違法犯罪行為

違法犯罪人員通過“動(dòng)態(tài)IP”可以快速切換IP，繞過網(wǎng)絡(luò)服務(wù)提供商風(fēng)控規(guī)則中時(shí)間、地域、次數(shù)等限制，隱藏真實(shí)上網(wǎng)地址，直接破壞各類互聯(lián)網(wǎng)應(yīng)用的安全策略。它已經(jīng)成為網(wǎng)絡(luò)黑灰產(chǎn)（包括流量刷單、網(wǎng)絡(luò)推廣優(yōu)化、廣告群發(fā)、批量注冊等）、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)水軍、網(wǎng)絡(luò)謠言、黑客攻擊等違法犯罪活動(dòng)的重要基礎(chǔ)資源。

（三）“動(dòng)態(tài)IP”導(dǎo)致網(wǎng)絡(luò)安全管理承壓

“動(dòng)態(tài)IP”服務(wù)經(jīng)營者很可能違反行政管理相關(guān)規(guī)定，甚至涉及刑事案件，如幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪、非法經(jīng)營罪及拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪[3]?！皠?dòng)態(tài)IP”相關(guān)的犯罪行為還需要具體問題具體分析，如動(dòng)態(tài)IP 經(jīng)營者如果有合規(guī)的增值電信經(jīng)營證照和手續(xù)，則非法經(jīng)營罪可能難以成立；又如拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪需要相應(yīng)的前提條件，但該罪目前在司法案件中相對缺乏案例參考[4]。這些因素導(dǎo)致對這類案件的打擊相對困難，往往是高投入低產(chǎn)出狀態(tài)，使相關(guān)部門依法管網(wǎng)治網(wǎng)面臨一定的壓力。

三、“動(dòng)態(tài)IP”在新型網(wǎng)絡(luò)犯罪中的應(yīng)用

“動(dòng)態(tài)IP”在網(wǎng)絡(luò)黑灰產(chǎn)違法犯罪中有廣泛的應(yīng)用，主要體現(xiàn)在變換IP、隱藏真實(shí)IP 兩個(gè)方面上。

（一）變換IP 類網(wǎng)絡(luò)違法犯罪

變換IP 方面的應(yīng)用主要有：“料商灰產(chǎn)”在進(jìn)行賬號(hào)批量注冊、批量養(yǎng)號(hào)時(shí)，為了對抗服務(wù)提供商的風(fēng)控規(guī)則，需要以不同的IP 進(jìn)行申請和登錄；“薅羊毛黑產(chǎn)”需要大量不同城市的寬帶動(dòng)態(tài)IP，以顯得更像真實(shí)家庭用戶；“撞庫黑產(chǎn)”需要大量不同IP，以便能夠開展大量用戶名和密碼登錄請求服務(wù)；“刷單灰產(chǎn)”在開展的刷單活動(dòng)時(shí)，需要大量不同城市IP 登錄，產(chǎn)生大量的虛假交易，從而無端提升平臺(tái)或商鋪的排名。

（二）隱藏真實(shí)IP 類網(wǎng)絡(luò)違法犯罪

隱藏真實(shí)IP 方面的應(yīng)用主要有：“黑客”在進(jìn)行攻擊活動(dòng)時(shí)，可以借用“動(dòng)態(tài)IP”的大量VPS 來隱藏自己的真實(shí)IP?！八姟痹谶M(jìn)行灌水時(shí)，需要國內(nèi)不同城市IP，以隱藏其真實(shí)身份，特別是境外“水軍”。各種網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)賭博、涉槍涉爆、涉政涉恐謠言等違法犯罪人員會(huì)利用“動(dòng)態(tài)IP”來隱藏其真實(shí)IP。

四、“動(dòng)態(tài)IP”帶來的偵查困境

IP 是網(wǎng)絡(luò)行為追蹤的基本要素，而“動(dòng)態(tài)IP”破壞了溯源規(guī)則，給偵查工作帶來了很大困擾，主要有以下幾個(gè)方面。

（一）前端機(jī)房管理不善，缺乏日志管理和審計(jì)系統(tǒng)

“動(dòng)態(tài)IP”的前端機(jī)房對接電信或聯(lián)通等運(yùn)營商，將大量的ADSL（非對稱數(shù)字用戶線路）線路接入租用的簡陋機(jī)房。ADSL 賬號(hào)接入數(shù)據(jù)一般高達(dá)幾千路，但物理光纖一般只有5～10 路，通過分光器多出3～5 倍線路數(shù)量，接入交換機(jī)，再接入服務(wù)器，最后通過軟路由ROS 來撥號(hào)聯(lián)網(wǎng)服務(wù)。這種機(jī)房一般不符合機(jī)房管理基本規(guī)范，如存在消防隱患，更大的問題是它們的服務(wù)器或虛擬主機(jī)的租用缺乏日志管理和審計(jì)系統(tǒng)。比如，一個(gè)VPS 可能頻繁租用給不同的用戶，但并沒有使用日志，一旦IP 溯源到某臺(tái)VPS 時(shí)，對應(yīng)時(shí)間的用戶無法查詢，從而影響IP 溯源。

（二）IP 虛擬化資源經(jīng)過多層違規(guī)代理，難以溯源

“動(dòng)態(tài)IP”服務(wù)黑灰產(chǎn)通過對全國多地的動(dòng)態(tài)IP 資源進(jìn)行層層代理，并進(jìn)行重新整合，最終形成全國各地區(qū)的IP 資源池，再提供給終端黑灰產(chǎn)用戶。當(dāng)終端黑灰產(chǎn)用戶利用“動(dòng)態(tài)IP”開展違法犯罪活動(dòng)時(shí)，IP 溯源只能追蹤到前端的ADSL機(jī)房，以及對應(yīng)的服務(wù)器或VPS。要追蹤真實(shí)使用者就得層層跟蹤代理，找出最終提供“動(dòng)態(tài)IP”服務(wù)的提供商，結(jié)合日志信息才能達(dá)到溯源目標(biāo)。然而，很多時(shí)候由于人力和財(cái)力原因，辦案單位都只能選擇放棄，因?yàn)檫@種代理往往跨多個(gè)省市，要花費(fèi)巨大的人力財(cái)力進(jìn)行追蹤，一般辦案單位難以承受。

（三）“動(dòng)態(tài)IP”終端用戶通信加密，無法解析

“動(dòng)態(tài)IP”終端用戶可以通過多種加密協(xié)議撥號(hào)，以便在多地區(qū)的IP 資源中來回切換。這些協(xié)議包括有PPTP（即點(diǎn)對點(diǎn)隧道協(xié)議）、L2TP（二層隧道協(xié)議）、SSTP（安全套接字隧道協(xié)議）、OVPN（開源VPN 協(xié)議）等[5]。其中以PPTP 最為常見，它是VPN 協(xié)議中最快的協(xié)議，無須安裝各種軟件插件，立足操作系統(tǒng)本身就可以滿足業(yè)務(wù)需求。這些協(xié)議是基于密鑰來加密的，而密鑰是通過多種認(rèn)證方式來提供的，從而強(qiáng)化了密鑰被破解的難度，保證了傳輸流量的安全性。各類違法犯罪嫌疑人會(huì)利用“動(dòng)態(tài)IP”服務(wù)的通信加密特點(diǎn)來對抗偵查工作。

五、“動(dòng)態(tài)IP”的防控治理

“動(dòng)態(tài)IP”服務(wù)為其他各類網(wǎng)絡(luò)黑灰產(chǎn)提供違規(guī)服務(wù)的同時(shí)，給公共網(wǎng)絡(luò)管理工作帶來了新的問題和挑戰(zhàn)，如何防控治理“動(dòng)態(tài)IP”已經(jīng)成為公安機(jī)關(guān)必須面對的難題。

（一）教育引導(dǎo)，提高運(yùn)營商網(wǎng)絡(luò)接入管理義務(wù)意識(shí)

電信運(yùn)營商提供網(wǎng)絡(luò)接入服務(wù)，按照《中華人民共和國網(wǎng)絡(luò)安全法》《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等[6]，電信運(yùn)營商應(yīng)該履行的網(wǎng)絡(luò)安全責(zé)任如下。

1.開展實(shí)名制工作?！吨腥A人民共和國網(wǎng)絡(luò)安全法》第二十四條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者為用戶辦理網(wǎng)絡(luò)接入……或者……在與用戶簽訂協(xié)議或者確認(rèn)提供服務(wù)時(shí)，應(yīng)當(dāng)要求用戶提供真實(shí)身份信息?！?/p>

2.依法記錄和留存相關(guān)網(wǎng)絡(luò)日志。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條規(guī)定：“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改……采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月……?！?/p>

3.落實(shí)公安備案制度。根據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部令第33 號(hào)）第十二條：“互聯(lián)單位、接入單位、使用計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)的法人和其他組織（包括跨省、自治區(qū)、直轄市聯(lián)網(wǎng)的單位和所屬的分支機(jī)構(gòu)），應(yīng)當(dāng)自網(wǎng)絡(luò)正式聯(lián)通之日起30 日內(nèi)，到所在地的省、自治區(qū)、直轄市人民政府公安機(jī)關(guān)指定的受理機(jī)關(guān)辦理備案手續(xù)。”

4.有效監(jiān)管寬帶賬號(hào)使用，不得進(jìn)行轉(zhuǎn)借、轉(zhuǎn)讓。根據(jù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部令第33 號(hào)）第十三條：“使用公用賬號(hào)的注冊者應(yīng)當(dāng)加強(qiáng)對公用賬號(hào)的管理，建立賬號(hào)使用登記制度。用戶賬號(hào)不得轉(zhuǎn)借、轉(zhuǎn)讓。”

（二）源頭治理，建立運(yùn)營商網(wǎng)絡(luò)接入業(yè)務(wù)管理機(jī)制

電信運(yùn)營商在綜合治理“動(dòng)態(tài)IP”黑灰產(chǎn)業(yè)鏈的過程中扮演著極為重要的作用，需要建立防控治理機(jī)制，落實(shí)源頭治理理念，建立風(fēng)險(xiǎn)管理、預(yù)警與反饋的工作閉環(huán)，具體如下。

1.把好申請準(zhǔn)入關(guān)?！皠?dòng)態(tài)IP”一般會(huì)利用簡陋機(jī)房接入幾千條的寬帶，針對這種異常業(yè)務(wù)，一方面，運(yùn)營商必須要求接入單位要有相關(guān)的營業(yè)執(zhí)照，并進(jìn)行業(yè)務(wù)合規(guī)性審查；另一方面，對一次性申請大量寬帶線路的企業(yè)進(jìn)行審查，從嚴(yán)把好“動(dòng)態(tài)IP”預(yù)防的第一關(guān)，明確寬帶接入和核準(zhǔn)標(biāo)準(zhǔn)。

2.落實(shí)寬帶用戶真實(shí)身份信息核驗(yàn)制度。用戶真實(shí)身份信息核驗(yàn)包括同一身份信息開通多條寬帶賬號(hào)，同一裝機(jī)地址開通多條寬帶賬號(hào)，寬帶違規(guī)解綁情況等，應(yīng)當(dāng)采取必要的手段，在發(fā)現(xiàn)“動(dòng)態(tài)IP”的苗頭性、傾向性線索時(shí)，結(jié)合遠(yuǎn)程身份認(rèn)證等手段，及時(shí)開展用戶身份核驗(yàn)。

3.通過大數(shù)據(jù)手段，建立監(jiān)測預(yù)警機(jī)制。利用大數(shù)據(jù)技術(shù)，設(shè)置合理的一天之內(nèi)IP 變化閾值，對認(rèn)證日志數(shù)據(jù)進(jìn)行數(shù)據(jù)建模，對認(rèn)證日志數(shù)據(jù)進(jìn)行監(jiān)測預(yù)警；圍繞同一地址登記大量寬帶、同一證件號(hào)（身份證號(hào)碼及社會(huì)統(tǒng)一信用代碼）登記大量寬帶建立數(shù)據(jù)模型，及時(shí)發(fā)現(xiàn)各類違規(guī)線索，發(fā)現(xiàn)線索后提供給公安機(jī)關(guān)以進(jìn)一步核實(shí)情況。這種監(jiān)測手段非常簡單有效，也就是說一旦案件發(fā)生，要通過偵查手段去追溯通常是很困難的，但是事前的管理監(jiān)測，很容易找到可能存在危害的場所，從而通過管理手段來消除這些隱患。因而，公安機(jī)關(guān)要轉(zhuǎn)變意識(shí)，要認(rèn)識(shí)到管理手段的重要性，還要增強(qiáng)管理的數(shù)據(jù)意識(shí)。

4.結(jié)合信用黑名單制，探索治理新路徑。對曾經(jīng)開展“動(dòng)態(tài)IP”等電信增值業(yè)務(wù)而被行政或刑事處罰過的人員或公司，可以考慮建立辦理電信業(yè)務(wù)的信用黑名單，不得再為其辦理其他網(wǎng)絡(luò)增值業(yè)務(wù)，實(shí)現(xiàn)對個(gè)人與企業(yè)警示的作用。

（三）加大綜合處置力度，形成威懾力

“動(dòng)態(tài)IP”服務(wù)黑灰產(chǎn)業(yè)鏈有電信運(yùn)營商、租賃倒賣寬帶賬號(hào)人員、“動(dòng)態(tài)IP”技術(shù)服務(wù)提供商、推廣人員以及下游違法犯罪嫌疑人等角色。對于企業(yè)或個(gè)人，相關(guān)行政執(zhí)法機(jī)關(guān)可以依據(jù)實(shí)名制是否落實(shí)、網(wǎng)絡(luò)日志是否留存、網(wǎng)絡(luò)應(yīng)用是否進(jìn)行公安備案等三項(xiàng)網(wǎng)絡(luò)服務(wù)商基本責(zé)任開展執(zhí)法檢查?？傮w來說，對違反相關(guān)規(guī)定的企業(yè)或者個(gè)人，行政管理機(jī)關(guān)可依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第五十九條、第六十一條和《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》第二十一條、第二十三條予以行政處罰，涉及刑事犯罪的依法追究其刑事責(zé)任。根據(jù)不同的違法犯罪行為，可能涉嫌諸如幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪、非法經(jīng)營罪，或者與下游犯罪形成各類共同犯罪[7]。

對于“動(dòng)態(tài)IP”黑灰產(chǎn)業(yè)鏈中的企業(yè)或人員，行政執(zhí)法部門可以按照分類處置的原則，嚴(yán)格依法依規(guī)予以處理。比如：對于電信運(yùn)營商，可以重點(diǎn)從落實(shí)實(shí)名制的角度依法處置，拒不整改的運(yùn)營商，可以按照“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”予以打擊和處罰；對租賃倒賣寬帶賬號(hào)的企業(yè)或者個(gè)人，未取得經(jīng)營許可卻提供增值電信服務(wù)或者超范圍經(jīng)營的，則相關(guān)行為涉嫌非法經(jīng)營罪；對于”動(dòng)態(tài)IP“技術(shù)服務(wù)提供商，行政執(zhí)法機(jī)關(guān)可以從電信增值業(yè)務(wù)的資格審查、網(wǎng)絡(luò)日志的依法留存情況等開展執(zhí)法工作，確保其能全面落實(shí)網(wǎng)絡(luò)安全主體責(zé)任，拒不整改的，可以依法打擊查處。

總之，介于當(dāng)前嚴(yán)峻的黑灰產(chǎn)態(tài)勢，應(yīng)該從傳統(tǒng)的保守型司法觀念向擴(kuò)張型司法觀念轉(zhuǎn)變，對主觀明知的認(rèn)定以及為犯罪活動(dòng)提供工具的認(rèn)定要靈活，從而有效懲治黑灰產(chǎn)違法犯罪活動(dòng)，遏制新型網(wǎng)絡(luò)犯罪的勢頭[8]。

（四）加強(qiáng)對“動(dòng)態(tài)IP”全環(huán)節(jié)的研究

黑灰產(chǎn)上游為犯罪集團(tuán)提供技術(shù)工具、收集個(gè)人信息，或引流獲客、廣告推廣；中游實(shí)施詐騙或開設(shè)賭場等；下游利用支付通道“洗白”資金，構(gòu)建起完整黑灰產(chǎn)生態(tài)圈?！皠?dòng)態(tài)IP”服務(wù)黑灰產(chǎn)業(yè)鏈為犯罪集團(tuán)提供IP 代理的上游產(chǎn)業(yè)，其業(yè)務(wù)的開展也需要大量的軟件硬件支撐，所以相關(guān)偵查人員需要熟悉其全環(huán)節(jié)的業(yè)務(wù)流程，不僅從事前的日志審計(jì)、流量分析等技術(shù)方法方面開展研究工作，尋找突破點(diǎn)，同時(shí)也要從事后的取證角度開展研究，以獲取更多的相關(guān)證據(jù)。

六、結(jié)語

網(wǎng)絡(luò)安全事關(guān)國家安全，事關(guān)經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行，事關(guān)廣大人民群眾利益，必須予以高度重視?！皠?dòng)態(tài)IP”服務(wù)黑灰產(chǎn)業(yè)鏈作為違法犯罪活動(dòng)的互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，給公安機(jī)關(guān)的偵查工作帶來巨大的挑戰(zhàn)，所以公安執(zhí)法機(jī)關(guān)、運(yùn)營商以及網(wǎng)絡(luò)安全企業(yè)要形成合力，秉持網(wǎng)絡(luò)空間“共建、共治、共享”的理念，共同發(fā)力，從管理、研究和處置多角度同抓共舉，還網(wǎng)絡(luò)空間清朗。