知物由學 | 淺談網易易盾雲真機檢測

「知物由學」是網易易盾打造的一個品牌欄目，詞語出自漢·王充《論衡·實知》。人，能力有高下之分，學習才知道事物的道理，然後纔有智慧，不去求問就不會知道。「知物由學」但願經過一篇篇技術乾貨、趨勢解讀、人物思考和沉澱給你帶來收穫的同時，也但願打開你的眼界，成就不同的你。固然，若是你有不錯的認知或分享，也歡迎在「網易易盾」公衆號後臺投稿。

---

1、什麼是雲真機

雲真機是能夠脫離平臺、脫離真實手機實現24小時在線掛機的設備。
不熟悉雲真機的讀者，可能如今自行百度了，然而發現結果是這樣的：

欸？易盾爲啥要檢測這個？？？這不是QA常常拿來作兼容性測試的嘛！

No、No、No，讓咱們換個方式打開，使用行業黑話「手遊24小時掛機」，真相浮出水面，原來雲真機機出品的主要目的就是爲了方便玩家掛機。 

雲真機有哪些功能呢？答案是：自帶ROOT、支持批量操控；支持模擬點擊類腳本。
對應的，雲真機的危害就顯而易見：

1. 雲真機玩家佔比過多，會損害遊戲平衡；

2. 雲真機自帶ROOT+24小時掛機，再加上模擬點擊類軟件等，能夠不停刷金！

因而可知，雲真機的檢測對遊戲平衡相當重要。

雲真機都有哪些品牌？隨着手遊市場的擴大，雲真機因爲其成本低、上手快，逐漸成爲工做室的打金利器，雲真機市場愈來愈大，雲真機的品牌在不斷增多，下表是易盾檢測到的雲真機品牌。

2、雲真機常規檢測方式

那如何檢測雲手機呢？業界常規的方式有兩種，一種是結合遊戲運營，由遊戲內部數據出發，找到長時間掛機玩家；第二種是規則檢測，根據雲真機的機型型號特徵，進行檢測。

1.遊戲運營檢測

遊戲運營本身檢測雲手機玩家，進行封號，這不只很是依賴遊戲運營的我的經驗，還大大增長了遊戲運營的工做難度和工做量。一個DAU百萬級的遊戲，在不作防禦的狀況下，雲真機數量可能達到50%以上，這明顯超出了人工範圍。而且雲手機支持定製化機型等，等你抓到一個典型，雲真機又換了一個機型繼續。僅藍光雲一個品牌雲真機旗下就有這麼多設備，你們看看，而且支持xposed設備，能夠很方便進行Hook。 

此刻遊戲運營的心聲必定是這樣的：

所以，遊戲運營檢測雲真機是費時費力，效果也不必定好的一種方式。

2.規則檢測

規則檢測是安全業界較常規的一種方式。經過識別雲真機特定的型號、機型等進行檢測。這種檢測的優點是能夠自動化，對於DAU較大的遊戲，一旦規則肯定了，不須要太多人工介入，而它的缺點則是，不能識別新型的雲真機，也就是換了個馬甲就不認識了。

不要緊，易盾在手，安全無憂，下面切入正題，易盾是如何進行雲真機檢測的？

3、易盾雲真機檢測

易盾針對雲真機有四層防禦：底層檢測、風險感知、機器學習、反饋類似性檢測。

1.底層檢測

對底層進行檢測，這樣即便是使用xposed空間進行設備修改，也逃不過易盾的火眼金睛。
易盾業界獨創雲真機底層檢測，精準打擊，有效防禦。底層檢測能夠幫助運營減輕不少壓力，首次接入易盾反雲真機的客戶，都反饋很是良好。

2.風險感知

風險感知即便用易盾數據中心服務，爲遊戲客戶提供偵查，利用線上數據進行雲手機的風險排查，標記出雲手機用戶。

這一步是經過規則去檢測，也是業界作的最多的方式，使用規則的好處是沒有誤報，可是其壞處是有新型的雲真機出現時，每每檢測不到。俗稱換了個馬甲也不認識了。

3.機器學習

機器學習是易盾雲手機檢測的重點。面臨着市場上層出不窮，變化無窮的各類雲真機機型，使用機器學習去「學習」雲手機用戶的特定行爲模式，纔可以以不變應萬變。

雲手機用戶的行爲模式主要有兩點：1.長時間掛機2.配合腳本刷金 圍繞着這個行爲模式進行建模分析。

（1）特徵提取

經過分析雲手機玩家的規律，咱們大概分爲這樣幾類維度：

• 用戶的登陸行爲：1.登陸頻次；2.登陸地點；3.登陸IP；
• 機型的可疑行爲：1.是否改機；2.是否有其餘可疑行爲；

（2）模型訓練

將以上的粗略維度再進一步細化爲特徵向量後，咱們將標記好的正常玩家/雲手機玩家數據，分別用支持向量機進行分類。

（3）模型評估

支持向量機的準確率、召回率、正確率分別以下所示：

其ROC曲線以下所示:

b

（4）模型運用

易盾將機器學習模型標記的雲真機置爲疑似雲真機，保證雲手機玩家的可疑數據被標記，利用了機器學習的模式學習能力，可以有效地防護新型雲真機。即便是雲真機換個馬甲，例如業界有披着華爲外衣的雲真機，易盾也能識別。

易盾結合自身對抗反外掛經驗，總結出雲手機玩家特性，並根據此特性，設計了一套適合雲手機的特徵工程，此特徵提取工程結合了易盾工程師對雲真機數年的研究，加上易盾底層檢測的優點，深耕反外掛多年，擁有大量遊戲客戶，沉澱了海量的反外掛數據，反外掛數據日均過億條，這是易盾使用機器學習模型的優點所在，也使得易盾模型精確度更高。

4.反饋跟蹤

易盾的反饋處理的原則便是：咱們全部的工做，都不能治標不治本，畢竟咱們的口號是沒有外掛。
易盾對於客戶反饋的漏報問題採起的模式是客戶反饋一個樣本，挖掘異常玩家類似性，返回一批類似用戶，用戶確認後，對之後用戶進行標記。  那麼咱們就成功達到了「抓賊抓一窩」的效果，以下圖所示。 

最後一張圖說明易盾雲真機的層層防禦。第一層是底層識別，易盾從安卓底層識別雲手機和真實手機的不一樣；第二層是風險感知，實時反饋用戶異常玩家；第三層是機器學習，依託網易海量數據庫，模型精準，識別新型雲真機；第四次是反饋跟蹤，根據用戶反饋異常，進行類似性搜索，排查一批異常雲手機玩家。

層層防禦，四位一體，安全有效，就選易盾。

綜上所述，易盾針對雲真機的檢測可謂是層層防禦呢。好啦，易盾的雲真機檢測就介紹到這裏，若是遊戲飽受掛機工做室困擾，就能夠申請試用易盾，有奇效（文/易盾實驗室）。

相關閱讀：

• 知物由學第五十一期 | 人工智能時代，如何反爬蟲？
• 知物由學第五十期 | 網易易盾深度學習模型工程化實踐
• 知物由學第四十九期 | 網易安所有總經理周森：內容安全遠比想象中的要複雜

[歡迎點擊免費體驗網易易盾安全解決方案。](https://m.dun.163.com/product...​​​​