游戏行业全栈式反欺诈白皮书

目录 图目录V 表目录VII 一、游戏行业的欺诈现状1 1.1游戏行业欺诈问题概述1 1.1.1渠道流量欺诈2 1.1.2撞库盗号4 1.1.3初始号倒卖4 1.1.4脚本养资源号倒卖5 1.1.5团伙代充5 1.2游戏行业的反欺诈场景6 1.2.1游戏用户的身份判断6 1.2.2游戏欺诈的状况评估6 1.2.3游戏欺诈的行为判断7 二、黑产欺诈态势分析9 2.1黑产无孔不入，损失巨大11 2.2黑产作恶多端，手段多样12 2.3黑产灵活多变，进化神速12 2.4黑产链条完备，分工明确13 2.4.1黑产情报13 2.4.2核心资源获取与基础工具14 2.4.3黑产业务工具18 2.4.4变现及套利19 三、游戏行业的反欺诈方案20 3.1现有反欺诈方案面临的挑战20 3.2全栈式实时反欺诈方案21 3.2.1全场景识别体系22 3.2.2全路径实时布控体系24 3.2.3全方位策略体系25 3.2.4全流程运营体系25 四、反欺诈的技术与效果评估27 4.1反欺诈技术体系架构27 4.1.1接入层28 4.1.2业务逻辑层29 4.1.3决策层29 4.1.4基础引擎层29 4.1.5模型数据层30 4.1.6基础平台层30 4.1.7管理层31 4.2反欺诈技术详解31 4.2.1反欺诈情报体系31 4.2.2设备指纹技术31 4.2.3实时决策引擎（规则引擎）技术37 4.2.4知识图谱39 4.2.5有监督机器学习技术41 4.2.6无监督机器学习技术42 4.2.7实时画像引擎技术44 4.2.8实时统计引擎技术46 4.3反欺诈效果验证与评估48 4.3.1事前评估48 4.3.2事中分析48 4.3.3事后评估50 五、游戏行业反欺诈的挑战及展望52 5.1反欺诈的困难和挑战52 5.1.1业务风险不确定性分散52 5.1.2风控效果不可判断性高52 5.1.3认知盲区不认知性强52 5.1.4追求数据美观不务实性多53 5.2反欺诈未来展望53 5.2.1加强技术升级优化53 5.2.2基础共性技术开源55 5.2.3构建产业协作组织55 5.2.4推动完善法制建设56 图目录 图1游戏黑产全貌2 图2渠道流量反欺诈示例3 图3盗号洗号流程图4 图4团伙代充/退款流程图6 图5支付诈骗趋势（中国信息通信研究院）10 图6恶意机器流量趋势（CNNIC）10 图7黑产广告造成的人均损失《2018年网络诈骗趋势研究报告》 ................................................................................................................11 图8诈骗场景示例12 图9黑产手法及设备12 图10黑产态势13 图11黑产链条示例13 图12全栈实时反欺诈方案22 图13全路径实时布控体系24 图14全流程闭环策略体系26 图15反欺诈技术流程体系27 图16反欺诈云架构28 图17设备指纹的作用32 图18虚拟机示例33 图19安卓和苹果设备信息篡改示例34 图20多开软件示例35 图21RETE算法38 图22知识图谱示例39 图23黑产知识图谱建模40 图24无监督学习43 图25实时画像数据流转示意图44 图26实时画像架构图46 图27实时统计引擎示意图47 图28反欺诈效果评估体系50 表目录 表1策略动态配置示例37 表2风险控制与管控策略对应表49 一、游戏行业的欺诈现状 近年来，随着移动互联网技术的快速发展以及智能手机的兴起和不断普及，我国移动游戏行业迅速发展，并在游戏产业中占据举足轻重的地位。根据GPC数据统计，2018年，中国游戏市场实际销售收入超过2100亿元，达2144.4亿元，同比增长5.3%。其中，移动游戏市场实际销售收入占比最高，达到62.5%。而与移动游戏销售规模同时增长的，是蕴藏在其中的各类欺诈行为。随着用户群和收入的快速增长，游戏公司已成为欺诈份子的主要获利对象之一根据全球顶尖营销数据分析平台TUNE的数据统计，仅2018年，便有超过十亿美金的营销资金被欺诈份子所获取。 1.1游戏行业欺诈问题概述 目前，游戏行业的黑产从业者已具备完整产业链条，从情报获取，到账号制作、脚本开发，再到变现获利，各个环节均存在专属角色流水化操作。而游戏黑产的生存形态也日益多样，如盗号黑客、点券商、币商、资源商、工作室、外挂贩卖商等。可以说，在游戏内的各个场景都存在黑产的恶意行为。 图1游戏黑产全貌 如上图所示，当前的游戏欺诈主要包括以下几种形式： 1.1.1渠道流量欺诈 渠道流量欺诈指黑灰产利用技术手段仿冒移动应用新增用户，独自或与第三方推广平台合作，共同骗取移动互联网应用（App）市场运营成本的场景。 目前，随着移动互联网的高速发展，渠道流量作弊也呈现出快速增长的趋势。 图2渠道流量反欺诈示例 如上图所示，App安装渠道流量作弊有不同的形式，其中常见的几种： 机刷：通过批量地虚拟机、篡改设备等手段，刷安装激活； 人刷：通过做奖励任务形式，人肉刷安装激活； 木马刷：通过感染移动设备，在正常手机后台偷偷刷下载激活； 点击劫持：通过恶意软件，当检测到用户下载安装某App时，发出点击记录； 除了这些手段，App安装渠道流量作弊也越来越隐蔽，使得检测难度越来越大，常见的伪装包括： 通过代理IP、位置模拟、设备型号伪装等，让群控设备看起来像是自然分布； 在安装激活后，继续模拟后续的App内用户行为，使得留存率看起来正常； 1.1.2撞库盗号 撞库盗号指黑客通过收集各类游戏已泄露的用户和密码信息，生成对应的字典表，尝试批量登陆其他游戏后，得到一系列可以登录的用户。很多用户在不同游戏中使用的是相同的帐号密码，因此黑客可以通过获取用户在A游戏的账户从而尝试登录B游戏，这就可以理解为撞库攻击。 在盗号成功后，专业洗号商会将高价值账号筛选出来，通过变卖游戏装备或金币来套现；而其中的低质量账号，则通过批量卖给引流工作室获利。下图展现了完整的撞库盗号流程。 图3盗号洗号流程图 1.1.3初始号倒卖 初始号较多存在于卡牌游戏中，该类型游戏在初期新手教程阶段，系统任务会给予玩家一次高级抽卡机会，可以随机抽到高价值的卡牌 或物品。初始号就是指还没有进行第一次高级抽卡的账号。 黑产会通过批量注册大量账号的方式，来获取初始号并进行倒卖，而初始号售卖的价格会因为游戏账号获取难度的不同而出现一定的差异。 1.1.4脚本养资源号倒卖 资源号指，有大量资源、英雄和道具的账号，主要是黑产团伙前期通过自动化脚本长期挂机所得。在某手游交易平台上存在大量资源号售卖信息，其账号价格一般只相当于其所含资源官方价格的数十分之一，而对于SLG游戏而言，资源号更多以资源商的形式出现，直接向玩家兜售游戏资源而非账号，其售卖价格也远低于官方充值价格。由此可见，对于游戏厂商而言，资源号泛滥对其前期游戏营收有着显著的负面影响。于此同时，这种情况对于正常玩家的付费习惯培养极其不利，会使玩家在游戏中后期出于“贪小便宜”的目的，也选择非官方的付费渠道，例如第三方代充，最终损害游戏厂商利益。 1.1.5团伙代充 这里的团伙指的是，代充服务卖家、做号人、退款人等角色组成的通过代充及退款获利的专业团队。这类团伙通常会在iOS端作恶，他们通过养appleId,收取较低费用帮正常游戏玩家充值，再从苹果商店退款这一系列操作，从中获取丰厚利润，同时直接影响了游戏厂商收入。该行为如果没有得到游戏厂商的重视，会显著增加其坏账率。 团伙代充的完整流程如下图所示。 图4团伙代充/退款流程图 1.2游戏行业的反欺诈场景 1.2.1游戏用户的身份判断 现在大部份游戏在注册时都需要利用手机号、IP等基础资源。大部分欺诈行为也是首先囤积虚假账号然后进行后续的针对不同场景的欺诈行为。特别是对于卡牌游戏和SLG游戏，黑灰产会进行大量囤积账号的行为，并通过售卖初始号或养资源售卖的方式获利。所以，虚假账号的识别是游戏行业反欺诈场景的基础，也是游戏厂商对抗黑灰产的基础。 1.2.2游戏欺诈的状况评估 在游戏欺诈的场景中，游戏厂商自身对欺诈状况的掌控是至关重 要的。反欺诈与传统安全最大的区别在于，传统安全是边界安全，而业务场景下的反欺诈安全是安全可控。而反欺诈场景下的安全更多关注的不是企业是否存在容易被攻击的漏洞，而是企业的业务逻辑是否容易被黑灰产利用，黑灰产在企业各个场景下的欺诈成本有多少。例如，最开始黑灰产赚取100元只用消耗1元的成本，在企业上线了很 多策略后，黑灰产仍然能投入1元赚取100元的话，那说明这些策略的堆积并没有发挥作用。因此在游戏欺诈场景下的状况评估，是通过对黑灰产攻防成本的监测和企业业务逻辑漏洞及流程缺陷进行监测，了解企业的黑产欺诈状况。 可以从以下几个维度去判断： 虚假账号量 注册风险 登录风险 流量欺诈风险 内容风险 活动风险 数据风险 设备风险 1.2.3游戏欺诈的行为判断 黑灰产在进行欺诈行为时，都会有一定的规律行为，而为了投入产出比的最大化，往往会利用自动化工具和脚本去运行这些固定的操 作行为，让其看起来更像一个正常人的操作，避开企业的风控策略。例如某流量工作室，在整个刷量过程中，不但会完成点击、下载、 安装等操作，甚至会在次日、三日、七日等时间点模拟正常玩家的刷师门任务、副画任务、工会帮派任务等日常任务。 从以上整个流程来看，黑灰产进行刷量欺诈时其模仿正常用户的行为非常细致，所以游戏厂商需要通过多维度特征加行为分析才能够有效识别出刷量的欺诈行为。 除此之外，还可以通过设备维度判定欺诈行为，可借助反欺诈工具，如“设备风险指纹”，判定移动设备唯一性。若设备是真实的，其背后的用户可能是真实的；若设备是虚假的，其背后的用户则存在一定的风险。 二、黑产欺诈态势分析 随着“互联网+”的快速发展，包括金融、教育、医疗、零售、出行等在内，越来越多的行业与互联网深度结合，为消费者提供越来越便捷的服务。与此同时，越来越多的黑灰产也盯上了这里的巨大利益，网络欺诈呈现出愈演愈烈的趋势。 研究报告《欺诈经济学：规避快速增长和创新中的风险》中指出，黑产从业人数高达150万，2015年网络欺诈损失占GDP比例多达0.63%，约4000多亿人民币。这些只是欺诈造成的直接经济损失，在这之外，欺诈造成的客户信任、品牌形象等方面的损失则难以衡量。 黑产欺诈问题具体包括：支付诈骗交易规模逐年增长，互联网恶意机器流量规模及增长率趋势逐年增长，黑产广告造成的损失逐年增长。 具体而言，白皮书试图从黑产的涵盖范围，黑产的技术手段，黑产的实施方式及黑产的产业链条等四个维度论述黑产的欺诈态势。 图5支付诈骗趋势（中国信息通信研究院） 图6恶意机器流量趋势（CNNIC） 图7黑产广告造成的人均损失《2018年网络诈骗趋势研究报告》 2.1黑产无孔不入，损失巨大 如下图所示，黑产遍布金融，电商/新零售，社交，出行，游戏等多个领域，多个行业，造成的损失高达4000亿，破坏极大。在银行转账，反欺诈，信用卡盗刷，刷帮刷单，广告导流，虚假用户裂变，盗刷积分，渠道流量作弊等多场景下，都有黑产的相关身影。 图8诈骗场景示例 2.2黑产作恶多端，手段多样 黑产手法多种多样，包括伪基站、猫池、卡池、设备农场、打码平台、积分墙等。 图9黑产手法及设备 2.3黑产灵活多变，进化神速 黑产7*24小时实时盯守，发现漏洞及时行动，发现被拦截后及时更改策略，进化神速；同时黑产并且遍布全球，全球协同进化，技术全球范围转播，升级速度快。 图10黑产态势 2.4黑产链条完备，分工明确 黑产上下游分工明确，形成了产业链。 图11黑产链条示例 2.4.1黑产情报 对于当今组织化规模化越来越强的黑灰产团伙来说，挖掘攻击情报往往是获利的第一步，团伙中会有专门角色负责欺诈线报收集，把 相关活动的时间范围、收益变现形式等信息准确、及时地在