游戏黑灰产识别和溯源取证

参考:游戏黑灰产识别和溯源取证

1. 游戏中的黑灰产

1. 黑灰产简介

黑色产业:从事具有违法性活动且以此来牟取利润的产业;

灰色产业:不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为“黑产”提供辅助的争议行为。

  2.  游戏中的黑灰产方式

主要围绕着: 外挂辅助软件、盗号软件、工作室、私服、木马、钓鱼软件。

1. 外挂:一种基于游戏进行作弊的软件,通过利用第三方软件或程序对游戏数据进行修改,篡改游戏原本正常的设定的逻辑规则,使得游戏角色的特定数据变成异常的数据。

2. 私服本质上属于盗版游戏,即未经授权,非法获得游戏服务器端和游戏客户端程序,之后自行设立游戏网络服务器,供其他玩家使用。

3. 倒卖游戏资源:利用各种非法手段,从游戏中获取虚拟货币、虚拟道具等游戏资源,以低于游戏官方售价的价格出售给玩家,赚取差价。

3. 黑产在游戏中的获利模式

        养号卖号、卖游戏虚拟币游戏道具、游戏装备、代练、外挂作弊软件的出售、游戏逆向的数据或协议售卖、游戏中挖掘的漏洞售卖。

4. 游戏黑灰产不同层面的表现

1. 账号层 :  批量注册机注册、养号扫号、人机对抗、撞库、盗号等;

2. 流量层:流量攻击(DOOS攻击)、游戏的爬虫、游戏活动中的薅羊毛等;

3. 设备层:虚拟设备、模拟器、群控软件、云手机、改机软件等;

4. 业务层:通用的游戏脚本、游戏漏洞挖掘利用、游戏多开等。

2. 游戏黑灰产的产业链

        游戏黑灰产的整个产业链主要分为:上游、中游、下游三部分

1. 上游根据中游和下游的需求,研发和提供各类黑灰产相关工具和资源。

1. 工具开发者:开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言、按键精灵、TC脚本,有较强的反侦查和反检测能力,并且都具有固定的中游销售渠道(代理或内部工作室),多为兼职人员;

2. 卡源卡商 :  大多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源,并向接码平台、号商等出售,并定期回收销号。其提供的手机卡按类型可分为: 虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡;

3. 猫池厂商 :  向接码平台提供猫池设备,可分为2G、3G、4G猫池;

4. 号商 :  大量注册平台账号,并以人工或工具方式养号,借助账号代售平台进行账号出售;

5. 黑客 :  通过渗透技术或社会工程学手段发起攻击,以窃取游戏用户数据为主要目的,再通过各种渠道对用户数据进行出售。

  2. 中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售,多以各类平台或服务的形式存在。

1. 接码平台: 负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、 业务结算等平台服务,通过业务分成获利;

2. 打码平台: 为软件开发者、工作室、普通用户提供即时、精准的图片识别答题服务,通过识别验证码服务获利;

3. 帐号代售平台: 对工作室、普通用户提供相对应需求的账号,抽取相对应的佣金获利;

4. 工具代售平台: 对工作室、普通用户提供解决刷量需求的工具,抽取相对应的佣金获利;

5. 地下黑市: 相关的黑灰产业交流群、论坛,为工作室、普通用户提供一个需求解决场所。

3. 产业链下游负责直接执行黑灰产行为,多以工作室、游戏公会形式存在。

1. 刷游戏资源工作室 : 通过在游戏中利用大量的帐号和设备,利用挂机脚本在游戏中挂机完成各种任务、活动、副本来获取游戏物品和金币(指可交易的游戏虚拟币),然后再通过第三方交易平台进行交易出售。

2. 引流工作室 : 解决客户的需求,将游戏中大量玩家引向其他游戏平台、游戏公会,对引流人数和引向的平台设置不同的门槛,抽取佣金。

3. 黑产情报建设

        情报挖掘是黑灰产对抗中至关重要的组成部分,对抗始于情报,亦终于情报。游戏黑灰产的对抗工作,不是简单的一环,而是一个完整的产业链。需要由从技术层面分析并瓦解每一个游戏的异常。例如在游戏运行环境中有没有使用作弊工具、篡改设备、绕过平台规则等,再由技术层面对异常进行分析,最后解决异常。或是利用舆情,检索黑灰产团伙的交流社群,渗透其中获取信息和动态。

游戏黑灰产中的情报建设主要包括:

1. 情报收集: 情报平台的收集(基于人工的收集、玩家举报、内部情报平台的建设);

2. 信息加工: 排查分析确认情报是否有用,情报的分拣分类,数据特征提取;

3. 情报分析: 情报的实现原理分析,样本原理分析、高危玩家,黑灰产场景,黑名单库,作弊工具集,作弊作者库;

4. 情报溯源: 溯源黑灰产作者信息、固定作者的黑灰产证据;

5. 情报处理: 风险控制、游戏黑灰产对抗、线上线下结合打击。

情报的收集是为了及时发现游戏的漏洞,并及时更新解决游戏存在的漏洞。

1. 情报平台收集: 贴吧、QQ群、微信群、网盘、淘宝、闲鱼、游戏黑产技术或交易论坛(广海论坛、52辅助、5173交易平台、DD373交易平台等)、暗网黑市、Telegram群、微博等等;

2. 内部自建情报: SRC情报、反爬虫数据、反外挂数据、游戏自建的论坛数据、游戏内的玩家举报数据;

3. 情报溯源处理: 溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。最终输出情报高危黑名单,以及手机号,作弊工具,用户ip和游戏行为。

其他的情报术语:

1. 开源情报:通过对公开的信息进行深度的挖掘分析,确认具体的威胁或事件,从而直接指导这些威胁或事件的具体决策和行动;

2. 闭源情报:通过对内部平台所监控到信息进行深度的挖掘分析,确认具体的威胁和事件,从而直接指导这些威胁或事件的具体决策和行动;

3. 工具情报:通过对黑灰产工具做深入的逆向分析,了解其攻击原理和攻击方式方法,然后通过聚类以及关联分析的方式挖掘出这个工具背后一系列的黑色产业链、黑产团伙、攻击目标和变种工具等等,从而描绘出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态,还原攻击特征迭代风控规则。

4. 溯源能力建设

        在游戏黑产中构建溯源技术架构一般分为5个层次:

1. 源数据层: 设备环境数据、三方情报、风控数据、业务数据、恶意可疑样本检测;

2. 数据开发层: 异常环境数据、异常业务数据、防控策略;

3. 溯源分析层: 情报数据自动溯源分析、样本分析、网络特征、作弊方案分析;

4. 数据存储层: 外部黑灰产识别数据,黑灰产数据规则;

5. 数据应用层: 防控、风控、打击、大数据关联。

        从技术架构上,底层主要以检测数据、异常日志、情报为主,数据层根据各种业务场景抽象出各类规则和策略,再上一层进行抽象具体的场景。最终溯源出的结果,会存放再数据存储层,然后用可视化平台进行给各部门进行处罚打击。

        基于蜜罐技术和情报挖掘能力构建黑灰产监测平台,主要监测黑灰产交流渠道、攻击工具、攻击流量、使用资源(比如: 恶意IP|手机号|账号等),并将数据进行沉淀形成业务情报平台。重点解决互联网反欺诈安全问题,例如恶意注册、薅羊毛、流量欺诈、爬虫、恶意引流等。情报平台主要用于数据展示,具有攻击性的IP地址、手机号、工具等情报。情报来源包括三类:

1. 开源情报;

2. 监测网络平台上沉淀的闭源情报;

3. 工具情报。  

        溯源处理通过对游戏登录的用户信息,设备信息,用户游戏中的行为等数据等加工,进行情报溯源处理。最终输出情报高危黑名单,以及手机号,作弊工具,用户ip和游戏行为。由于黑灰产的攻击方式不断迭代优化,因此需要长期深入跟踪黑灰产的产业链、攻击模式以及使用的资源。

5. 打击取证

游戏黑灰产的整个打击可细分为五个阶段:

1. 溯源 : 需要通过检测数据、异常日志、行为、样本,明确作弊手法、作弊工具;

2. 分析:明确罪名,目前游戏黑灰产打击中主要有两个罪名:

    (1)非法获取计算机系统;

    (2)破坏计算机系统。

3. 报案 : 需要一些有法务工作经验的同事,写方案书。与警方进行初步的沟通,尽量用通俗的语言解释作弊情况,并提交相应证据材料。

4. 取证阶段 : 警方会指定第三方鉴定所,进行取证。基本的取证流程有固定的时间和地点,进行录屏。

5. 抓捕阶段 : 关键的是需要技术人员配合,现场抓捕,需要当场抓获一些工具和数据。需要的话,在抓捕后的审讯阶段,也要配合警方诉讼。

        整个的案件打击中需要通过黑产信息去溯源分析出要打击的详细目标信息,以及黑灰产中的金额收益,并需提供准确的黑灰产的证据。

6. 游戏黑灰产对抗小思路

1. 对游戏的黑灰产相关论坛、社交群、网盘近期出现的新增高频词汇设定阈值,对超过设定阈值的词汇溯源

2. 深入研究游戏黑灰产业链模式,对比核心产业链模式特征,总结产业链中角色交叉衍生产业链的上游(黑灰产工具开发作者),并对上游人员监控;

3. 对已发生事件追溯源头,通过分析产业链结构、成员角色、成本、利润来设置不同的解决措施;

4. 对持续存在的结构模式,通过捕获市场上存在周期长且特征明显的工具进行逆向分析,提高对批量行为的审核和监控,进一步提高黑灰产从业人员的成本;

5. 通过对典型有效的黑灰产工具的逆向,对存在业务逻辑漏洞的方向调整,提高黑灰产工具的开发成本;

6. 批量行为都是有迹可循的。企业可以针对恶意用户的行为偏好和其在黑产中的使用广度,在设备信息、注册信息重合度、恶意用户的行为数据等方面,进行多维度的判断;

7. 结合恶意数据情报库,对可疑用户提高注册门槛、增加复杂验证码等,并对这些用户进行重点监控,当其进行敏感操作时,进行防护;

8. 打击游戏的黑灰产需要通过技术手段和运营策略相结合。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/1667.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

巧用断点设置查找bug【debug】

默认设置的断点,当代码运行到断点处MCU就会被挂起,从而停在断点处。 但在某些情况下,如调试FCCU时,如果设置断点,MCU停下后将会导致 FCCU 配置WDG超时。或在调试类似电机控制类的应用时,不适当的断点会导 致…

复合升降机器人教学科研平台——技术方案

一:功能概述 1.1 功能简介 复合升降机器人是一款集成移动底盘、机械臂、末端执行器、边缘计算平台等机构形成的教学科研平台,可实现机器人建图导航、路径规划,机械臂运动学、动力学、轨迹规划、视觉识别等算法功能和应用,提供例如…

Python中列表数据的保存与读取:以txt文件为例

目录 引言 一、列表数据的保存 二、列表数据的读取 三、进阶用法与注意事项 1. 处理嵌套列表 2. 处理大量数据 3. 注意事项 四、总结 引言 在Python编程中,我们经常需要处理各种类型的数据,包括列表。列表是一种非常灵活的数据结构,…

边缘计算的优势

边缘计算的优势 边缘计算是一种在数据生成地点附近处理数据的技术,而非传统的将数据发送到远端数据中心或云进行处理。这种计算模式对于需要快速响应的场景特别有效,以下详述了边缘计算的核心优势。 1. 降低延迟 边缘计算通过在数据源近处处理数据&…

imx6ull设备树驱动--pinctl、ioctl

添加pinctl节点 进入arch/arm/boot/dts目录下dts文件 在iomuxc下添加pinctlled节点 将 GPIO1_IO03 这个 PIN 复用为 GPIO1_IO03,电气属性(配置GPIO一些列寄存器)值为 0X10B0 添加led设备节点 与上一节一样,在 / 下面添加设备节…

数电期末复习(四)组合逻辑电路

这里写目录标题 4.1 概述4.2 组合逻辑电路的分析方法4.3 组合逻辑电路的设计方法4.4 若干常用组合逻辑电路4.4.1 编码器(encoder)4.4.2 译码器(decoder)4.4.3 数据选择器 (data selector)4.3.4 加法器(Adder)4.4.4 数值比较器&…

kubectl常用命令行介绍

1、kubectl用法概述 kubectl命令⾏的语法如下: $ kubectl [command] [type] [name] [flags] command:命令,用于操作Kubernetes集群资源对象的命令,例如create、delete、describe、get、apply等TYPE:资源对象的类型&am…

OpenHarmony UI开发-ohos-svg

简介 ohos-svg是一个SVG图片的解析器和渲染器,解析SVG图片并渲染到页面上。它支持大部分 SVG 1.1 规范,包括基本形状、路径、文本、样式和渐变,它能够渲染大多数标准的 SVG 图像。ohos-svg的优点是性能好、内存占用低。 效果展示 SVG图片解析并绘制: …

uni-app HBuilderX通过easycom省略import自动导入自定义组件

快速尝试 自HBuilderX 2.5.5起支持easycom组件模式。更新HBuilderX即可尝试。 easycom默认已启用,并对项目下的components和uni_modules目录开启自动扫描,对符合下面路径和命名规则的组件自动导入。 components/组件名/组件名.vue uni_modules/组件名/…

使用飞桨快速部署stable diffusion模型

这可以说是最快的部署stable diffusion模型的方法了,而且星河社区还有免费的GPU算力提供,这样再也不用担心没有算力了! 操作方法: # 安装相关库 pip install docarray0.21.0 pip install paddlehub# 初始化 from PIL import Imag…

踊跃参与,您有机会尊享300000水晶奖励!【AI书童】代言形象大投票活动开启~~~

【AI书童】运营官 未来智慧人工智能 2024-04-19 09:55 ✧ 快来选出你心目中的【AI书童】 ✦ 我们想为【AI书童】选择一个形象代言,使用【AI书童】软件生成了一部分形象照片。大家觉得哪个书童最合适呢?希望你们能给出宝贵的建议! 【AI书童…

手把手教你实现 OceanBase 数据到 Apache Doris 的便捷迁移|实用指南

作者|SelectDB 技术团队 作为广受认可的分布式数据库,OceanBase 已在众多企业关键业务系统中得到广泛应用。在 Apache Doris 社区,有众多用户选择基于 OceanBase 与 Apache Doris 以构建强大的数据处理与分析链路,本文将详细介绍如何便捷高效…

Java反序列化-CC3链

前言 前面的CC1与CC6链都是通过 Runtime.exec() 进行命令执行的。当服务器的代码将 Runtime放入黑名单的时候就不能使用了。 CC3链的好处是通过动态加载类的机制实现恶意类代码执行。 版本限制 jdk8u65Commons-Collections 3.2.1 动态类加载 loadClass -> 负责加载load…

38. UE5 RPG 修改火球术的攻击方向以及按住Shift攻击

在前面,我们实现了火球术火球的制作,能够在释放火球术时,角色将播放释放技能动画,并实现了对火球的目标的服务器同步功能。 我们先回忆一下之前完成的内容。 在前面,我们先做了一个Actor,用于承载发射的火…

集成学习-Bagging与随机森林回归

reg_fRFR() reg_tDTR()#实例化决策树 cvKFold(n_splits5,shuffleTrue,random_state1412)#实例化验证方式 result_tcross_validate(reg_t#要进行交叉验证的评估器,X,y,cvcv,scoringneg_mean_squared_error#评估指标,return_train_scoreTrue#是否返回训练分数,后面这几…

Git 原理及使用 (带动图演示)

文章目录 🌈 Ⅰ Git 安装🌙 01. Linux - centos 🌈 Ⅱ Git 工作区、暂存区和版本库🌙 01. 认识工作区、暂存区和版本库🌙 02. 使用 Git 管理工作区的文件 🌈 Ⅲ Git 基本操作🌙 01. 创建本地仓库…

动态Web项目讲解+Demo

web流程演示 请求路径 请求路径明确要请求的是哪个servlet 请求方式 servlet含有两种请求方式:doGet和doPost doGet&doPost 返回数据就是httpResponse,返回给success 参数 包含在request当中 成功 上述流程任何一步都没出问题,就会…

SpringBoot+layuimini实现左侧菜单动态展示

layuimini左侧菜单动态显示 首先我们看一下layuimini的原有菜单显示格式 {"homeInfo": {"title": "首页","href": "page/welcome-2.html?t2"},"logoInfo": {"title": "LAYUI MINI","…

cv2技术原理-图像旋转原理及手动实现

cv2技术原理-图像旋转原理及手动实现 1、图像旋转opencv实现2、cv2.getRotationMatrix2D函数解释3、数学原理推导旋转矩阵M4、手动计算旋转矩阵M5、旋转矩阵M的使用6、使用旋转矩阵M手动实现旋转功能 1、图像旋转opencv实现 图像旋转在对数据集数据增强(主要是随机…

Java语言——封装

一.封装的定义 在面向对象程式设计方法中,封装(英语:Encapsulation)是指一种将抽象性函式接口的实现细节部分包装、隐藏起来的方法。 封装可以被认为是一个保护屏障,防止该类的代码和数据被外部类定义的代码随机访问…