2000年6月，華彩公司正式發(fā)行中國大陸第一款大型多人在線RPG（Role-playing game，角色扮演類游戲）《萬王之王》，從此中國游戲市場(chǎng)進(jìn)入快速發(fā)展期。作為互聯(lián)網(wǎng)中用戶最廣泛、競(jìng)爭(zhēng)最激烈、盈利能力最為可觀的行業(yè)，游戲行業(yè)一直都是黑客關(guān)注的重點(diǎn)。

白山ATD團(tuán)隊(duì)及YUNDUN安全團(tuán)隊(duì)梳理了目前上百家游戲客戶安全事件，統(tǒng)計(jì)出目前游戲客戶主要面臨如下應(yīng)用層安全威脅：

1）賬號(hào)撞庫攻擊：隨著近年頻繁出現(xiàn)的數(shù)據(jù)庫泄露事件，撞庫正在成為主流的盜號(hào)方式；

2）DDoS攻擊：除最常見的DDoS外，針對(duì)游戲接口的CC攻擊似乎更具有技術(shù)含量，這種攻擊見不到真實(shí)源IP，見不到特別大的異常流量，但能導(dǎo)致服務(wù)器無法進(jìn)行正常連接；

3）道具交易的量化攻擊：黑客通過分布式爬蟲爬取游戲道具價(jià)格等交易數(shù)據(jù)，再利用不同服務(wù)區(qū)信息不對(duì)等，在第三方平臺(tái)購買后加價(jià)賣出，賺取差價(jià)；

4）外掛：通過改變游戲正常數(shù)據(jù)、破壞游戲平衡，極大影響游戲運(yùn)營(yíng)。

目前大多數(shù)游戲客戶的安全防護(hù)體系還主要依靠威脅情報(bào)中心、設(shè)備指紋識(shí)別、策略&規(guī)則等方式，在滯后性、誤判誤報(bào)率、未知威脅識(shí)別等方面依然存在技術(shù)瓶頸。同時(shí)，大量安全設(shè)備采用串行/嵌入模式，不僅接入復(fù)雜、存在延遲，還具有服務(wù)中斷后影響正常業(yè)務(wù)的可能。

白山ATD團(tuán)隊(duì)針對(duì)客戶的普遍安全問題，從基于AI技術(shù)的UEBA用戶行為分析、軟件云化旁路部署、支持內(nèi)核態(tài)旁路阻斷三個(gè)維度打磨下一代安全產(chǎn)品，為游戲安全提供新思路。

  一、下一代安全

       1、基于AI技術(shù)的UEBA用戶行為分析

1）以用戶為視角

UEBA（用戶行為分析）的前提條件是轉(zhuǎn)換思維，以用戶為視角，從基于規(guī)則分析到關(guān)聯(lián)分析、行為建模、異常分析，彌補(bǔ)傳統(tǒng)SIEM（安全信息和事件管理）的不足，通過用戶實(shí)體行為異常分析來檢測(cè)各種業(yè)務(wù)與安全風(fēng)險(xiǎn)。

2）以行為建模為核心

白山基于六元組模型，即：時(shí)間、地點(diǎn)、人/ID、作用域、動(dòng)作和結(jié)果，定義行為概念，進(jìn)行行為建模；并采用無監(jiān)督學(xué)習(xí)算法，利用個(gè)群對(duì)比、聚類分析、規(guī)律學(xué)習(xí)，解決大量樣本標(biāo)記及場(chǎng)景多樣化的難題。

3）系統(tǒng)越來越聰明

在實(shí)際使用過程中，系統(tǒng)識(shí)別出的未知威脅還可以結(jié)合人工標(biāo)注，安全專家定期針對(duì)少量異常行為進(jìn)行標(biāo)記，利用Active Learning（主動(dòng)學(xué)習(xí)）算法，允許用戶進(jìn)行有限標(biāo)注，通過CNN（卷積神經(jīng)元網(wǎng)絡(luò)）訓(xùn)練少量樣本模型，進(jìn)而通過模型串接，修正原有算法分析結(jié)果，云服務(wù)器租用，最終算法可以更貼合企業(yè)業(yè)務(wù)場(chǎng)景、提升算法準(zhǔn)確率。

  2、軟件云化旁路部署

根據(jù)游戲客戶需求，ATD支持公有云、私有云兩種云化部署方式，私有化采用旁路部署，實(shí)現(xiàn)業(yè)務(wù)“零”影響。并支持日志或流量?jī)煞N方式接入，以及純內(nèi)網(wǎng)運(yùn)行或公網(wǎng)聯(lián)動(dòng)運(yùn)行，為業(yè)務(wù)構(gòu)建安全最后一道防線。

3、內(nèi)核態(tài)旁路阻斷

目前游戲行業(yè)常用的外部阻斷模式主要依靠硬件防火墻或Nginx返回403、401。但通過實(shí)驗(yàn)我們發(fā)現(xiàn)：通過對(duì)比不做防護(hù)的情況下Nginx返回200與使用防護(hù)時(shí)Nginx返回403，后者將比前者多消耗10-20%的Nginx服務(wù)器資源。在這種情況下，如果攻擊者利用CC攻擊去打Nginx自動(dòng)防護(hù)，服務(wù)器負(fù)載均衡比不做防護(hù)更容易被打垮。

為實(shí)現(xiàn)對(duì)業(yè)務(wù)的“零”影響，ATD率先采用了旁路部署模式。對(duì)比發(fā)現(xiàn)：在同樣并發(fā)攻擊下，Nginx 403、Nginx 499與ATD旁路攔截器的性能具有較大差距，旁路部署下的CPU Idle達(dá)99%。

   二、游戲安全新思路

       1、撞庫攻擊

撞庫攻擊中，攻擊者常用方式是使用偽造User Agent不斷更換User ID進(jìn)行撞庫，并破解簽名算法，獲取到正確的簽名。從流量角度分析日志，其訪問行為是合法請(qǐng)求（UI、特征、請(qǐng)求地址、請(qǐng)求構(gòu)造、參數(shù)等均合法）；并且訪問頻率不高，平均每小時(shí)數(shù)百次訪問，甚至更低。但當(dāng)我們對(duì)其進(jìn)行實(shí)頻率轉(zhuǎn)換時(shí)，通過傅立葉變換轉(zhuǎn)變成頻率行為，我們可以看到其訪問行為具有周期性，亞洲服務(wù)器租用，通過頻域個(gè)群對(duì)比，最終確認(rèn)是撞庫攻擊。

 2、CC攻擊