2024 年央视“3·15”晚会开播,第一弹便指向主板机黑灰产业链。
主板机是将多个手机主板去掉屏幕、电池后集成到一个机箱中,配合群控软件实现群控功能的一种作弊手段。
当前,主板机主要被用来操作游戏、操纵发帖数量、操控网络投票等。简单来说,只要是手机用户参与的一切网络功能,它都可以参与和操控。
在游戏行业,主板机与虚拟机、云手机等被黑产工作室主要用来攫取游戏资源、获得游戏内非法收益。
比如,黑灰产团伙通过群控软件使用多部真实手机或模拟多部手机,以跨端安装群控软件的方式,下发脚本或是同步器操作控制手机上的 App 或游戏内,达到模拟人工使用 App 和游戏的效果。
针对主板机控制角色识别,网易易盾通过电池、主板特征等维度识别设备属性,进而对主板机群控设备进行聚类甄别。
此外,黑产工作室还会利用模拟器多开、第三方软件、虚拟机等不同形式在游戏内囤积账号、刷等级、搬金等,而针对不同的作弊手段和方式,网易易盾提供了全流程的解决方案。
模拟器多开检测
针对模拟器多开问题,网易易盾通过智能风控 SDK 数据即时检测上报,可自定义配置多开阈值规则,将识别到的多开数据存入缓存,减少排队入库时间。
游戏方通过调用网易易盾提供的多开接口从缓存中直接获取多开异常用户信息,可通过自己搭建的处理中台下发处理策略,实时解决模拟器上多场景下的多开方案。
反外挂SDK的团伙检测
针对工作室识别,游戏方可以通过接入反外挂 SDK 的方式来进行检测。
反外挂 SDK 接入后会采集恶意用户的信息,包括如硬件参数、行为残留、操作时序等。
对于恶意玩家来说,他们的设备环境较为复杂,如跨多个模拟器、跨虚拟设备与真实设备、真实设备群控制等场景,其设备参数可能存在多个变种,甚至只修改部分关键参数。
网易易盾在接收到反外挂上报的数据后,基于整个易盾的客户群与历史策略对抗沉淀,通过机器学习划分出一个较为模糊概念的单作弊玩家或是工作室群作弊。
针对工作室群,网易易盾基于设备特征、行为特征、资源特征下的多项数据维度,通过节点重要度算法,重点挖掘在黑盒攻击下的更核心的设备因子,用以生成一个更广义概念的设备簇指纹。
再通过社区发现算法,在行为图中划分出各个工作室的子图,加入其他一些防止误杀的维度,最后通过模型得到黑灰产团伙的名单。
基于点击的行为AI检测
而针对较难识别的工作室团伙,网易易盾支持接入点击轨迹识别服务。
介入后,网易易盾会额外采集点击轨迹数据补充进工作室检测的能力中。比如前文提到的工作室群往往要依赖于脚本、多开同步器等工具,来进行批量操作来实现获利。而不论是脚本还是多开同步器,他们都会有非常近似的点击行为。
网易易盾针对这些点击数据,从大数据挖掘的做法中,实现了一套基于点击行为的检测能力。
通过对多种作弊脚本分析,网易易盾发现脚本的频率具有非常强烈的聚集性,而且为了保证脚本稳定,脚本即使可以做到随即延迟一段时间,也只会在一个小范围内变化,并无法逃脱这套方案的识别。
基于传感器信息的AI检测
当游戏内某个获利场景的点击频率不高时,比如在一些批量注册、批量签到的场景下,玩家整个流程从登录到签到可能只有 2-3 次的点击,并且在线时间可能也只有几分钟,脚本和正常用户的操作无异。轨迹模型的效果可能就会减弱,在这种环境背景下,网易易盾引入了传感器 AI 检测方案。
通过采集传感器数据获得多个三维向量集,经过去噪与归一化处理,进入有监督的 AI 模型。
游戏黑产工作室对抗和反外挂对抗一样,是一个长期持续的过程,同时工作室的对抗相比外挂会更加激烈,因为里面存在巨大的利润空间和庞大的组织规模,其中的外挂应用环境比普通外挂更加复杂。
因此,仅从外挂检测角度上无法满足工作室治理需求,游戏开发者需要结合算法对异常嫌疑群体进行聚合和归集。
在处理上,黑灰产团伙本身存在一定的成长周期,不建议实时处理,通过错峰处理可增加工作室成本,加大被破解难度。