知物由學 | 淺談網易易盾雲真機檢測

“知物由學”是網易易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，而後才有智慧，不去求問就不會知道。“知物由學”希望通過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時，也希望開啟你的眼界，成就不一樣的你。當然，如果你有不錯的認知或分享，也歡迎在“網易易盾”公眾號後臺投稿。

一、什麼是雲真機

雲真機是可以脫離平臺、脫離真實手機實現24小時線上掛機的裝置。
不熟悉雲真機的讀者，可能現在自行百度了，然而發現結果是這樣的：

欸？易盾為啥要檢測這個？？？這不是QA經常拿來做相容性測試的嘛！

No、No、No，讓我們換個方式開啟，使用行業黑話“手遊24小時掛機”，真相浮出水面，原來雲真機機出品的主要目的就是為了方便玩家掛機。 

雲真機有哪些功能呢？答案是：自帶ROOT、支援批量操控；支援模擬點選類指令碼。
對應的，雲真機的危害就顯而易見：

1. 雲真機玩家佔比過多，會損害遊戲平衡；

2. 雲真機自帶ROOT+24小時掛機，再加上模擬點選類軟體等，可以不停刷金！

由此可見，雲真機的檢測對遊戲平衡至關重要。

雲真機都有哪些品牌？隨著手遊市場的擴大，雲真機由於其成本低、上手快，逐漸成為工作室的打金利器，雲真機市場越來越大，雲真機的品牌在不斷增多，下表是易盾檢測到的雲真機品牌。

那如何檢測雲手機呢？業界常規的方式有兩種，一種是結合遊戲運營，由遊戲內部資料出發，找到長時間掛機玩家；第二種是規則檢測，根據雲真機的機型型號特徵，進行檢測。

1.遊戲運營檢測

遊戲運營自己檢測雲手機玩家，進行封號，這不僅非常依賴遊戲運營的個人經驗，還大大增加了遊戲運營的工作難度和工作量。一個DAU百萬級的遊戲，在不做防護的情況下，雲真機數量可能達到50%以上，這明顯超出了人工範圍。並且雲手機支援定製化機型等，等你抓到一個典型，雲真機又換了一個機型繼續。僅藍光雲一個品牌雲真機旗下就有這麼多裝置，大家看看，並且支援xposed裝置，可以很方便進行Hook。 

此刻遊戲運營的心聲一定是這樣的： 

因此，遊戲運營檢測雲真機是費時費力，效果也不一定好的一種方式。

2.規則檢測

規則檢測是安全業界較常規的一種方式。通過識別雲真機特定的型號、機型等進行檢測。這種檢測的優勢是可以自動化，對於DAU較大的遊戲，一旦規則確定了，不需要太多人工介入，而它的缺點則是，不能識別新型的雲真機，也就是換了個馬甲就不認識了。

沒關係，易盾在手，安全無憂，下面切入正題，易盾是如何進行雲真機檢測的？

三、易盾雲真機檢測

易盾針對雲真機有四層防護：底層檢測、風險感知、機器學習、反饋相似性檢測。

1.底層檢測

對底層進行檢測，這樣即使是使用xposed空間進行裝置修改，也逃不過易盾的火眼金睛。
易盾業界首創雲真機底層檢測，精準打擊，有效防護。底層檢測可以幫助運營減輕很多壓力，首次接入易盾反雲真機的客戶，都反饋非常良好。

2.風險感知

風險感知即使用易盾資料中心服務，為遊戲客戶提供偵查，利用線上資料進行雲手機的風險排查，標記出雲手機使用者。

這一步是通過規則去檢測，也是業界做的最多的方式，使用規則的好處是沒有誤報，但是其壞處是有新型的雲真機出現時，往往檢測不到。俗稱換了個馬甲也不認識了。

3.機器學習

機器學習是易盾雲手機檢測的重點。面臨著市場上層出不窮，變化多端的各種雲真機機型，使用機器學習去“學習”雲手機使用者的特定行為模式，才能夠以不變應萬變。

雲手機使用者的行為模式主要有兩點：1.長時間掛機2.配合指令碼刷金 圍繞著這個行為模式進行建模分析。

（1）特徵提取

通過分析雲手機玩家的規律，我們大概分為這樣幾類維度：

• 使用者的登入行為：1.登入頻次；2.登入地點；3.登入IP；
  
• 機型的可疑行為：1.是否改機；2.是否有其他可疑行為；
  

（2）模型訓練

將以上的粗略維度再進一步細化為特徵向量後，我們將標記好的正常玩家/雲手機玩家資料，分別用支援向量機進行分類。

（3）模型評估

支援向量機的準確率、召回率、正確率分別如下所示：

其ROC曲線如下所示:

（4）模型運用

易盾將機器學習模型標記的雲真機置為疑似雲真機，保證雲手機玩家的可疑資料被標記，利用了機器學習的模式學習能力，能夠有效地防禦新型雲真機。即使是雲真機換個馬甲，例如業界有披著華為外衣的雲真機，易盾也能識別。

易盾結合自身對抗反外掛經驗，總結出雲手機玩家特性，並根據此特性，設計了一套適合雲手機的特徵工程，此特徵提取工程結合了易盾工程師對雲真機數年的研究，加上易盾底層檢測的優勢，深耕反外掛多年，擁有大量遊戲客戶，沉澱了海量的反外掛資料，反外掛資料日均過億條，這是易盾使用機器學習模型的優勢所在，也使得易盾模型精確度更高。

4.反饋跟蹤

易盾的反饋處理的原則即是：我們所有的工作，都不能治標不治本，畢竟我們的口號是沒有外掛。
易盾對於客戶反饋的漏報問題採取的模式是客戶反饋一個樣本，挖掘異常玩家相似性，返回一批相似使用者，使用者確認後，對以後使用者進行標記。  那麼我們就成功達到了“抓賊抓一窩”的效果，如下圖所示。 

​

最後一張圖說明易盾雲真機的層層防護。第一層是底層識別，易盾從安卓底層識別雲手機和真實手機的不同；第二層是風險感知，實時反饋使用者異常玩家；第三層是機器學習，依託網易海量資料庫，模型精準，識別新型雲真機；第四次是反饋跟蹤，根據使用者反饋異常，進行相似性搜尋，排查一批異常雲手機玩家。

層層防護，四位一體，安全有效，就選易盾。

綜上所述，易盾針對雲真機的檢測可謂是層層防護呢。好啦，易盾的雲真機檢測就介紹到這裡，如果遊戲飽受掛機工作室困擾，就可以申請試用易盾，有奇效（文/易盾實驗室）。

相關閱讀：

知物由學第五十一期 | 人工智慧時代，如何反爬蟲？

知物由學第五十期 | 網易易盾深度學習模型工程化實踐

知物由學第四十九期 | 網易安全部總經理周森：內容安全遠比想象中的要複雜

歡迎點選免費體驗網易易盾安全解決方案。​​​​