知物由学 | 浅谈网易易盾云真机检测 – 作者:wangyiyunyidun

“知物由学”是网易易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎在“网易易盾”公众号后台投稿。


一、什么是云真机

云真机是可以脱离平台、脱离真实手机实现24小时在线挂机的设备。
不熟悉云真机的读者,可能现在自行百度了,然而发现结果是这样的:

1.png

欸?易盾为啥要检测这个???这不是QA经常拿来做兼容性测试的嘛!

2.png

No、No、No,让我们换个方式打开,使用行业黑话“手游24小时挂机”,真相浮出水面,原来云真机机出品的主要目的就是为了方便玩家挂机。 

3.png

云真机有哪些功能呢?答案是:自带ROOT、支持批量操控;支持模拟点击类脚本。
对应的,云真机的危害就显而易见:

1. 云真机玩家占比过多,会损害游戏平衡;

2. 云真机自带ROOT+24小时挂机,再加上模拟点击类软件等,可以不停刷金!

由此可见,云真机的检测对游戏平衡至关重要。

云真机都有哪些品牌?随着手游市场的扩大,云真机由于其成本低、上手快,逐渐成为工作室的打金利器,云真机市场越来越大,云真机的品牌在不断增多,下表是易盾检测到的云真机品牌。

4.png

二、云真机常规检测方式

那如何检测云手机呢?业界常规的方式有两种,一种是结合游戏运营,由游戏内部数据出发,找到长时间挂机玩家;第二种是规则检测,根据云真机的机型型号特征,进行检测。

1.游戏运营检测

游戏运营自己检测云手机玩家,进行封号,这不仅非常依赖游戏运营的个人经验,还大大增加了游戏运营的工作难度和工作量。一个DAU百万级的游戏,在不做防护的情况下,云真机数量可能达到50%以上,这明显超出了人工范围。并且云手机支持定制化机型等,等你抓到一个典型,云真机又换了一个机型继续。仅蓝光云一个品牌云真机旗下就有这么多设备,大家看看,并且支持xposed设备,可以很方便进行Hook。 

5.png

此刻游戏运营的心声一定是这样的: 

6.png

因此,游戏运营检测云真机是费时费力,效果也不一定好的一种方式。

2.规则检测

规则检测是安全业界较常规的一种方式。通过识别云真机特定的型号、机型等进行检测。这种检测的优势是可以自动化,对于DAU较大的游戏,一旦规则确定了,不需要太多人工介入,而它的缺点则是,不能识别新型的云真机,也就是换了个马甲就不认识了。

没关系,易盾在手,安全无忧,下面切入正题,易盾是如何进行云真机检测的?

三、易盾云真机检测

易盾针对云真机有四层防护:底层检测、风险感知、机器学习、反馈相似性检测。

1.底层检测

对底层进行检测,这样即使是使用xposed空间进行设备修改,也逃不过易盾的火眼金睛。
易盾业界首创云真机底层检测,精准打击,有效防护。底层检测可以帮助运营减轻很多压力,首次接入易盾反云真机的客户,都反馈非常良好。

2.风险感知

风险感知即使用易盾数据中心服务,为游戏客户提供侦查,利用线上数据进行云手机的风险排查,标记出云手机用户。

这一步是通过规则去检测,也是业界做的最多的方式,使用规则的好处是没有误报,但是其坏处是有新型的云真机出现时,往往检测不到。俗称换了个马甲也不认识了。

3.机器学习

机器学习是易盾云手机检测的重点。面临着市场上层出不穷,变化多端的各种云真机机型,使用机器学习去“学习”云手机用户的特定行为模式,才能够以不变应万变。

云手机用户的行为模式主要有两点:1.长时间挂机2.配合脚本刷金 围绕着这个行为模式进行建模分析。

(1)特征提取

通过分析云手机玩家的规律,我们大概分为这样几类维度:

  • 用户的登录行为:1.登录频次;2.登录地点;3.登录IP;
  • 机型的可疑行为:1.是否改机;2.是否有其他可疑行为;

(2)模型训练

将以上的粗略维度再进一步细化为特征向量后,我们将标记好的正常玩家/云手机玩家数据,分别用支持向量机进行分类。

(3)模型评估

支持向量机的准确率、召回率、正确率分别如下所示:

7.png

其ROC曲线如下所示:

8.png

(4)模型运用

易盾将机器学习模型标记的云真机置为疑似云真机,保证云手机玩家的可疑数据被标记,利用了机器学习的模式学习能力,能够有效地防御新型云真机。即使是云真机换个马甲,例如业界有披着华为外衣的云真机,易盾也能识别。

9.png

易盾结合自身对抗反外挂经验,总结出云手机玩家特性,并根据此特性,设计了一套适合云手机的特征工程,此特征提取工程结合了易盾工程师对云真机数年的研究,加上易盾底层检测的优势,深耕反外挂多年,拥有大量游戏客户,沉淀了海量的反外挂数据,反外挂数据日均过亿条,这是易盾使用机器学习模型的优势所在,也使得易盾模型精确度更高。

4.反馈跟踪

易盾的反馈处理的原则即是:我们所有的工作,都不能治标不治本,毕竟我们的口号是没有外挂。
易盾对于客户反馈的漏报问题采取的模式是客户反馈一个样本,挖掘异常玩家相似性,返回一批相似用户,用户确认后,对以后用户进行标记。  那么我们就成功达到了“抓贼抓一窝”的效果,如下图所示。 

10.png

最后一张图说明易盾云真机的层层防护。第一层是底层识别,易盾从安卓底层识别云手机和真实手机的不同;第二层是风险感知,实时反馈用户异常玩家;第三层是机器学习,依托网易海量数据库,模型精准,识别新型云真机;第四次是反馈跟踪,根据用户反馈异常,进行相似性搜索,排查一批异常云手机玩家。

层层防护,四位一体,安全有效,就选易盾。

11.png

综上所述,易盾针对云真机的检测可谓是层层防护呢。好啦,易盾的云真机检测就介绍到这里,如果游戏饱受挂机工作室困扰,就可以申请试用易盾,有奇效(文/易盾实验室)。


相关阅读:

欢迎点击免费体验网易易盾安全解决方案。​​​​

来源:freebuf.com 2020-03-02 21:12:17 by: wangyiyunyidun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论