知物由學 | 淺談網易易盾雲真機檢測

網易易盾發表於2020-03-02

“知物由學”是網易易盾打造的一個品牌欄目,詞語出自漢·王充《論衡·實知》。人,能力有高下之分,學習才知道事物的道理,而後才有智慧,不去求問就不會知道。“知物由學”希望通過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時,也希望開啟你的眼界,成就不一樣的你。當然,如果你有不錯的認知或分享,也歡迎在“網易易盾”公眾號後臺投稿。

一、什麼是雲真機

雲真機是可以脫離平臺、脫離真實手機實現24小時線上掛機的裝置。
不熟悉雲真機的讀者,可能現在自行百度了,然而發現結果是這樣的:

知物由學 | 淺談網易易盾雲真機檢測

欸?易盾為啥要檢測這個???這不是QA經常拿來做相容性測試的嘛!

知物由學 | 淺談網易易盾雲真機檢測


No、No、No,讓我們換個方式開啟,使用行業黑話“手遊24小時掛機”,真相浮出水面,原來雲真機機出品的主要目的就是為了方便玩家掛機。 

知物由學 | 淺談網易易盾雲真機檢測

雲真機有哪些功能呢?答案是:自帶ROOT、支援批量操控;支援模擬點選類指令碼。
對應的,雲真機的危害就顯而易見:

1. 雲真機玩家佔比過多,會損害遊戲平衡;

2. 雲真機自帶ROOT+24小時掛機,再加上模擬點選類軟體等,可以不停刷金!

由此可見,雲真機的檢測對遊戲平衡至關重要。

雲真機都有哪些品牌?隨著手遊市場的擴大,雲真機由於其成本低、上手快,逐漸成為工作室的打金利器,雲真機市場越來越大,雲真機的品牌在不斷增多,下表是易盾檢測到的雲真機品牌。

知物由學 | 淺談網易易盾雲真機檢測


二、雲真機常規檢測方式

那如何檢測雲手機呢?業界常規的方式有兩種,一種是結合遊戲運營,由遊戲內部資料出發,找到長時間掛機玩家;第二種是規則檢測,根據雲真機的機型型號特徵,進行檢測。

1.遊戲運營檢測

遊戲運營自己檢測雲手機玩家,進行封號,這不僅非常依賴遊戲運營的個人經驗,還大大增加了遊戲運營的工作難度和工作量。一個DAU百萬級的遊戲,在不做防護的情況下,雲真機數量可能達到50%以上,這明顯超出了人工範圍。並且雲手機支援定製化機型等,等你抓到一個典型,雲真機又換了一個機型繼續。僅藍光雲一個品牌雲真機旗下就有這麼多裝置,大家看看,並且支援xposed裝置,可以很方便進行Hook。 

知物由學 | 淺談網易易盾雲真機檢測

此刻遊戲運營的心聲一定是這樣的: 

知物由學 | 淺談網易易盾雲真機檢測

因此,遊戲運營檢測雲真機是費時費力,效果也不一定好的一種方式。

2.規則檢測

規則檢測是安全業界較常規的一種方式。通過識別雲真機特定的型號、機型等進行檢測。這種檢測的優勢是可以自動化,對於DAU較大的遊戲,一旦規則確定了,不需要太多人工介入,而它的缺點則是,不能識別新型的雲真機,也就是換了個馬甲就不認識了。

沒關係,易盾在手,安全無憂,下面切入正題,易盾是如何進行雲真機檢測的?

三、易盾雲真機檢測

易盾針對雲真機有四層防護:底層檢測、風險感知、機器學習、反饋相似性檢測。

1.底層檢測

對底層進行檢測,這樣即使是使用xposed空間進行裝置修改,也逃不過易盾的火眼金睛。
易盾業界首創雲真機底層檢測,精準打擊,有效防護。底層檢測可以幫助運營減輕很多壓力,首次接入易盾反雲真機的客戶,都反饋非常良好。

2.風險感知

風險感知即使用易盾資料中心服務,為遊戲客戶提供偵查,利用線上資料進行雲手機的風險排查,標記出雲手機使用者。

這一步是通過規則去檢測,也是業界做的最多的方式,使用規則的好處是沒有誤報,但是其壞處是有新型的雲真機出現時,往往檢測不到。俗稱換了個馬甲也不認識了。

3.機器學習

機器學習是易盾雲手機檢測的重點。面臨著市場上層出不窮,變化多端的各種雲真機機型,使用機器學習去“學習”雲手機使用者的特定行為模式,才能夠以不變應萬變。

雲手機使用者的行為模式主要有兩點:1.長時間掛機2.配合指令碼刷金 圍繞著這個行為模式進行建模分析。

(1)特徵提取

通過分析雲手機玩家的規律,我們大概分為這樣幾類維度:

  • 使用者的登入行為:1.登入頻次;2.登入地點;3.登入IP;
  • 機型的可疑行為:1.是否改機;2.是否有其他可疑行為;

(2)模型訓練

將以上的粗略維度再進一步細化為特徵向量後,我們將標記好的正常玩家/雲手機玩家資料,分別用支援向量機進行分類。

(3)模型評估

支援向量機的準確率、召回率、正確率分別如下所示:

知物由學 | 淺談網易易盾雲真機檢測

其ROC曲線如下所示:

知物由學 | 淺談網易易盾雲真機檢測

(4)模型運用

易盾將機器學習模型標記的雲真機置為疑似雲真機,保證雲手機玩家的可疑資料被標記,利用了機器學習的模式學習能力,能夠有效地防禦新型雲真機。即使是雲真機換個馬甲,例如業界有披著華為外衣的雲真機,易盾也能識別。

知物由學 | 淺談網易易盾雲真機檢測

易盾結合自身對抗反外掛經驗,總結出雲手機玩家特性,並根據此特性,設計了一套適合雲手機的特徵工程,此特徵提取工程結合了易盾工程師對雲真機數年的研究,加上易盾底層檢測的優勢,深耕反外掛多年,擁有大量遊戲客戶,沉澱了海量的反外掛資料,反外掛資料日均過億條,這是易盾使用機器學習模型的優勢所在,也使得易盾模型精確度更高。

4.反饋跟蹤

易盾的反饋處理的原則即是:我們所有的工作,都不能治標不治本,畢竟我們的口號是沒有外掛。
易盾對於客戶反饋的漏報問題採取的模式是客戶反饋一個樣本,挖掘異常玩家相似性,返回一批相似使用者,使用者確認後,對以後使用者進行標記。  那麼我們就成功達到了“抓賊抓一窩”的效果,如下圖所示。 

知物由學 | 淺談網易易盾雲真機檢測

最後一張圖說明易盾雲真機的層層防護。第一層是底層識別,易盾從安卓底層識別雲手機和真實手機的不同;第二層是風險感知,實時反饋使用者異常玩家;第三層是機器學習,依託網易海量資料庫,模型精準,識別新型雲真機;第四次是反饋跟蹤,根據使用者反饋異常,進行相似性搜尋,排查一批異常雲手機玩家。

層層防護,四位一體,安全有效,就選易盾。

知物由學 | 淺談網易易盾雲真機檢測

綜上所述,易盾針對雲真機的檢測可謂是層層防護呢。好啦,易盾的雲真機檢測就介紹到這裡,如果遊戲飽受掛機工作室困擾,就可以申請試用易盾,有奇效(文/易盾實驗室)。


相關閱讀:

知物由學第五十一期 | 人工智慧時代,如何反爬蟲?

知物由學第五十期 | 網易易盾深度學習模型工程化實踐

知物由學第四十九期 | 網易安全部總經理周森:內容安全遠比想象中的要複雜



歡迎點選免費體驗網易易盾安全解決方案。​​​​

相關文章