游戏行业红利的挖掘是游戏厂商的重中之重，然而很多游戏厂商却面临着破解、外挂、盗版、黑卡等严重问题，难以享受回报红利。这也就催生了业界针对日益猖獗的灰黑产势力，不断研发出行之有效的游戏安全防护方案。网易云易盾在网易内部同样承担着技术风控的角色，也一直在研究游戏安全问题，为网易内外的广大游戏厂商提供安全服务。

网易云易盾移动安全总监 卓辉

卓辉，网易云易盾移动安全总监，主要负责网易内部移动安全的研发。在2018杭州云创大会游戏论坛中，他进行了《安全为游戏构建续命护城河》这一主题分享，介绍了安全对产品团队的影响、如何构建游戏安全护城河、以及具体产品应用等内容。针对网易所推出的游戏反外挂产品，CSDN也得以对其进行了专访，就相关话题进行了深入沟通。

安全对产品团队的影响

外挂破解是游戏厂商普遍面临的威胁之一，它不仅会影响游戏平衡，还会导致用户流失、游戏运营周期缩短，给游戏收入带来破坏性的影响。网易作为游戏大厂，不可避免地也会遇到此类安全问题，所以安全部门必须率先承担起保护游戏安全的作用。

游戏安全对产品的影响，主要体现在三个方面：一是对开发者的影响，二是对运营团队的影响，三是对游戏产品的影响。

“我们的移动安全反外挂团队前身其实是网易端游团队”，卓辉介绍道，如果是直接从事手游安全的开发人员可能没有经历过端游安全的情况。事实上，端游的外挂问题同样不可小觑。据统计，如果一款端游上线周期超过3年，运营团队会陆陆续续接收到超过150款的外挂。

端游外挂包括自动任务、工作室挂、多开器、软件同步器、按键盒子、自动鼠标、VMware虚拟机、CE修改器、变速齿轮等等。如上图所示，第一张是自动应用型外挂，可以帮助游戏自动完成任务；中间是工作室外挂——这两款外挂对反外挂团队来讲，技术难度并不是很大，因为它们都会存在相应的特征，通过计算就能够解决。但是随着对抗的深入，外挂制作团队也在慢慢升级，他们会猜测或分析反外挂团队的检测逻辑，所以慢慢出现了最右边这张图里的按键盒子。按键盒子形似U盘，插到电脑上以后即使被检测到了也只是提示多了一个USB键盘和鼠标，但是在盒子里面会藏有相应的游戏脚本。也就是说，自动应用型外挂、工作室外挂里面所有的自动任务都可以运行在这个盒子里，而反外挂团队却难以检测到所运行的脚本，这样就对反外挂带来了很大的挑战。后来，市面上又逐渐出现了同步控制器，用户输入一个键盘和鼠标时会有多个输出，可以同时控制比如六台电脑的决策行为，这些多个角色他们所有的技能输出、跑动路线都是一样的，会对其他玩家造成很坏的影响。这种情况下，反外挂团队只能继续升级反外挂系统，去打击这样的行为。

“对比端游外挂，手游外挂种类则更多，更具通用性。”卓辉表示，手游更多是通用型外挂，可以提供一个平台或者工具，对某一类游戏完成作弊行为。因为手游的很多数据是在客户端完成的，所以通过修改客户端数据纠结能让他们完成很多的作弊行为，实现和付费玩家同样的游戏效果，对于一些已经付费的玩家来讲也会受到很大的伤害。

当游戏出现外挂的时候，最直接的受害者就是开发人员。游戏开发工程师每天会收到很多的运营需求和策划需求，但是很多时候他们都在忙于做游戏的核心玩法、核心逻辑，根本无暇顾及反外挂的开发，更不可能为了某一个游戏去修改整套逻辑。除了游戏开发者，其次会影响到的就是运营团队。一个好的游戏必须有一个非常好的运营团队，对运营团队来讲，如果游戏里面有很多外挂，游戏就会接收到大量投诉，就会给运营增加很大的工作量，包括外挂确认、是否存在误封、是否存在工作室挂、是否会破坏游戏的经济系统等等。如果游戏工作室非常多的话，经济系统就会形成严重的通货膨胀，会大大损坏游戏开发者的利益，对开发者也好、运营者也好，都会给他们带来很大的工作负担。最后一个是对产品的影响。“据我们统计，一款手游运行较好的情况下，外挂占比最高可以达到10%。”卓辉举例表示，去年很火的吃鸡游戏，它的外挂使用占比就超过了10%，也就是很多人可能会把把匹配到外挂，“而当游戏外挂泛滥的时候，有23%的用户可能会直接因此而卸载游戏。”

不管是对开发者、运营者还是产品本身，其最终的结果都是导致产品口碑下滑，大量用户流失，并最终导致游戏利益受损。“我们做过统计，如果因为各种各样的安全问题，最后对游戏的损失是超过5%的。不仅会涉及到产品的口碑，游戏用户数量也会越来越少，用户付费意愿会越来越低。像吃鸡游戏，如果外挂严重其收入下降是超过5%的。”

如何构建安全护城河？

那么针对以上的问题，易盾是如何解决的？

易盾推出的全生命周期解决方案把安全产品根据游戏开发阶段分成了三个阶段：开发阶段要解决的是游戏数据安全问题，即数据的通信和存储问题；测试阶段会帮助游戏做安全测试，这有别于普通APP的测试；发布阶段以主动防御为核心，也就是应用加固。

此外，易盾会从静态和动态两个方向对游戏做相应的安全分析，包括数据通信过程中是否存在风险、存储在本地的数据是否存在风险、以及网络协议、脚本安全性评估、广告安全性评估、其他安全漏洞等方面。层层安全分析之后，最后会输出如右边的分析报告。

“在易盾的整套主动防御中，最核心的就是游戏加固。”卓辉解释道，作为游戏加固的核心，DEX层本身并没有太多游戏的核心代码，所以资源文件、游戏引擎SO文件、U3D等等，都是需要重点保护的方向。易盾游戏方案提供的主动防御，主要包括反修改器、反加速、反模拟器、反测试、反模拟点击、文检动态校验等等。其中，游戏对反修改器和反加速器的需求最为强烈，因为修改器可以直接导致游戏数据被篡改掉。

整套加固系统的特点很多，概括起来主要是四大点：

• 业界首推。易盾在业内推出了很多行业领先的功能，比如U3D函数级加密、防协议脱机功能等等，易盾曾帮助上海的一家知名游戏公司定制了防协议脱机功能，上线之后所有的脱机外挂全部失效掉，7月初上线至今游戏再也没有出现过脱机的情况。易盾还把这个功能做成了通用化的组件，可以提供给游戏防止出现脱机挂的危险。
• 强度领先。基于易盾所推出的U3D函数级加密、防协议脱机等功能，其提供了非常安全的游戏防护，不仅加密程度高，而且检测灵敏度也高。
• 覆盖面广。对于不同的内外部游戏，易盾会提供各种各样的需求，把需求整理、开发、升级，所以现在覆盖的面非常广。
• 用户体验佳。在这一点上，易盾不仅速度快、兼容性好，而且支持本地化部署。

其中，函数级加密是整个解决方案中最具创新性的功能。

如上图所示，“易盾在前面两代的保护上升级了第三代的函数级加密，函数级加密实现的逻辑非常复杂”，比如在加载DLL文件的时候可能会先运行B函数，这时候之前所有的DLL没有解密出来，是运行到B函数的时候才把B函数代码做一个解密，在一块重新分配的内存上，然后把B函数解密到B内存上，再在B内存上运行B函数。这时候本身还有其他的内存操作，在运行到C函数的时候，再解密到内存的位置。这种情况下整个内存布局是不连续的，这样可以对抗内存端口的破解，破解者在内存里就无法找到DLL内存。

因此，上述的易盾加固功能可以说是极大地减轻了游戏开发者的负担，使他们得以专注于核心的游戏开发，而不是做一些对抗的工作。同时，对于游戏运营者而言，易盾手游智能反外挂产品的无感知对抗，也很好地解决了游戏运营痛点。

上图是整个游戏反外挂运行的流程。首先在首页APP上集成SDK，并收集游戏相关数据，然后上传到反外挂后台进行分析，最后返回到官网中心。卓辉具体阐述道，“我们会建立一套游戏信用体系，把设备指纹、用户操作行为以及在游戏上做的其他动作数据全部收集到数据模型里面，然后根据这个模型的行为判断，去做出行为分析。比如，我们可能会收集很多游戏设备指纹，比如你在A设备上曾经使用过外挂，或者A设备是一个工作室设备，我们就会把这样的设备标记为有问题的设备，也就是游戏的信用体系。这样如果以后再有新的帐号或者其他的帐号在这个手机上登陆过，这个帐号又在其他手机上登陆过的话，我们会对数据做一个联动分析，会分析出来这可能是一批工作室的帐号。当然这是一个很简单的游戏信用体系的功能，我们做的事情会比这个更复杂，比如刚才提到的反同步器功能，我们会分析这四个角色所有的游戏操作和游戏行为是不是在同一时间点发生的，而且所有操作行为是不是完全一致的。这样就可以从行为上判断是不是在使用同步器的一个外挂。”

官网用户中心是最终展示给游戏团队的界面，主要分成两块：检测纬度和效果维度。

检测维度的内容包括外挂统计和外挂详情，模拟器、设备指纹、Root设备的设备信息，以及盗版分布、盗版修改等破解情况；效果维度则包括反加速、反修改、反模拟点击的具体防护成功百分比情况。具体示例如下：

左图为测试数据，右图则是针对每个外挂类型的具体防御情况。“这是我们的一位客户。他是在6月份接入我们的保护系统，7月13日上线。可以看到，13日当天我们检测到了393个修改器外挂，整个防御成功达到了379个。整个修改器外挂被防御成功之后，出现了断崖下降。也就是说，很多使用外挂的玩家放弃使用外挂，截止到7月26号使用外挂数量已经非常少了，而游戏用户也没有出现明显的变化。”

而对于游戏运营团队来说，通过这样的用户中心展示界面，能够查看到用户使用外挂、防御结果、以及设备的详细信息。如此一来，运营统计不仅能够帮助游戏定位一些有问题的外挂玩家，还可以结合游戏运营的自定义策略来升级整套的打击效果。

所以，如果要打造一整套的防御护城河，必须在主动防御和无感知对抗相结合来做，也就是一个是要保护游戏脚本的安全、游戏防修改器，另外要有数据的检测，再结合游戏运营策略，可以大大提升打击效果，提升游戏体验。

产品展示效果

通过一些数据资料和用户截图，可以直观体会到实际的产品效果。

通常情况下，安全和性能难以同时兼顾。对于一款游戏来讲，绝大部分玩家都是非外挂玩家，如果因为游戏保护而导致游戏性能下降，那么很有可能会造成80%或者90%以上的体验损失。但是易盾对游戏性能做了很大的优化，在游戏启动时间、游戏内存等方面所导致的流量和时间增加是非常小的，几乎可以对游戏造成无感知的性能。另外游戏如果接入了反外挂，游戏流量也会控制得非常小，每小时仅增10~50KB的流量，几乎可以忽略不计。

截至目前，易盾对于游戏的保护已经取得了非常好的效果。“我们的安全团队会每个月对游戏保护强度进行升级，每周更新两次检测方法。所以我们现在达到的覆盖率在99%以上，也就是说，市面上99%以上的外挂都可以通过我们检测系统检测到。另外，易盾在行业内率先推出了一些加固、主动防御、拦截成功率的概念，而且我们把它做到了95%以上，也就是说，我们可以拦截95%以上游戏的作弊行为。这样对于游戏来讲可以直接杜绝掉95%的外挂玩家，比如吃鸡游戏，如果把把都匹配到外挂会对玩家带来非常大的伤害，而我们至少可以拦截95%以上的外挂玩家。一位真实客户反馈给我们的数据显示，他在接入易盾加固之后，使用外挂作弊数减少了将近30倍，而用户举报量减少了99%。可想而知之前的用户举报量非常大，不过这可能跟游戏类型也有关系，很多游戏可能是客户端脚页的流程。”

对于游戏厂商来说，出于投入产出比的考量，他们或许不会在游戏开发之初即接入一套防护机制，但是卓辉表示，“越早接入整套防护系统，其后期的运营成本就越低”。而且，易盾除了提供游戏加固和反外挂功能以外，还提供内容安全、有害信息过滤、网络感知等功能。后续，“易盾也会致力于为用户提供更佳的游戏安全保护将，提升游戏体验”，卓辉最后说道。