每位游戏从业者的起点,应当都是年少时期与某款游戏的结缘,许多小时候天天泡在网吧里的“网瘾少年”,凭着满腔对游戏的热爱,长成了游戏行业的筑基者。
不过有光的地方就有影子。在游戏世界中跋涉得愈发深入,就会发现,许多“偷偷赚钱”的产业正如附骨之蛆般随着游戏的繁荣而滋长。它们赚得越多,对游戏生态、经济系统的破坏就越大——那就是
外挂和打金 。可以说,游戏打了多少年,与它们的对抗,就持续了多少年。
但好在最近的一份报告让行业意识到,这样的对抗, 或许即将迎来曙光 。
前段时间,2023 年度中国游戏产业年会盛大开幕,会上发布的一份《2023 年中国游戏产业报告》令我印象深刻,其中提到: 2023
年中国游戏市场首次突破 3000 亿元关口,逆转了去年国内行业收入下滑的态势,实际销售收入为 3029.64 亿元,增长 370.80 亿元,同比增长
13.95% 。
对于游戏人来说,这真是个备受鼓舞的消息—— 我们看到了国内游戏产业复苏的信号 。
(中国音像与数字出版协会第一副理事长、中国音数协游戏工委主任委员 张毅君发布《2023年中国游戏产业报告》)
当然,游戏市场的持续增长也为整个行业的上下游创造了更广阔的发展空间。曾经大部分人眼中的“不务正业”,如今成了许多人谋生的“香饽饽”。
可任何事物的发展都有两面。
游戏市场的繁荣一方面催生了电竞比赛、游戏直播、游戏陪玩、游戏文化等多项产业,但同时也滋长了诸如游戏外挂、黑灰产、诈骗、侵犯隐私等灰色角落。
01
高对抗性,催生外挂需求
好胜心,是游戏中最常见的心态,可对胜利的执念往往让很多玩家愿意牺牲竞技体验,选择在游戏失利后,为求快速获胜而使用脚本外挂。大量的外挂制作者便如附骨之蛆,与逐渐壮大的游戏产业相伴相生。
去年 3 月,湖北警方通报,有网民制售《某游 2》外挂程序,公安机关进一步侦办发现,犯罪嫌疑人通过
QQ、微信等方式多次售卖外挂程序及游戏数据,涉案金额数十万。
(图片来源:荆门公安网)
游戏品类的增多丰富了游戏的场景,也让游戏外挂衍生出了许多类型,比如修改器、加速器、模拟点击、恶意应用、盗版、定制外挂等,但不同终端游戏外挂的对抗难度和方法大不相同。
其中, 手游外挂和脚本工具越来越倾向在非真机环境下运行
,而外挂对抗是实时的,外挂制作者为了躲避常规的检测方式,通常会使用隐藏安装和特征的手段对抗风控。
端游外挂开始向驱动层发展 ,《2023 年度游戏安全观察与实践报告》中提到,超 30%
的端游外挂都带有驱动注入功能,这也为外挂检测带来了更大的挑战。
另外,小游戏漏洞与破解问题也十分显著。 小游戏攻击者可以通过漏洞入侵游戏服务器或用户设备
,来获取敏感信息或者进行其他恶意行为。小游戏甚至可能存在代码安全漏洞,例如缓冲区溢出、代码注入等,攻击者可以利用这些漏洞进行攻击或者非法操作。
02
利益驱动,黑产工作室
大家都知道, 游戏黑灰产团伙
是以游戏赚钱为目,通过多渠道、多手段,具备团伙性质的牟利群体。他们通常使用自动化工具、同步器、多开器甚至脚本、外挂等作弊手段,通过大量重复刷取游戏资源获利,或以远超同等分段的水平,代替“付费玩家”上分赚取收入。
在今年 5 月,任天堂向 Valve 投诉即将登陆 Steam 的海豚模拟器,指责其为用户提供非法 ROM 密钥,允许玩家随意模拟 Wii 和
Gamecube 游戏,表达了其对市面上所有第三方模拟器均持反对的态度。
(图片来源:网络)
不过对于游戏黑产工作室的影响不能一概而论。一些纯粹刷签到和注册的恶意获利小号,确实需要彻底清除,不过对 DAU
数据有贡献的打金工作室,则可以合理管控。适量的工作室可以保证 DAU 的稳定,保障高端付费客户的需求。我们不一定要“打死”所有工作室,但要
确保游戏生态健康、经济系统稳定 。
03
内容合规,真假难辨
众所周知,游戏就是个天然的社交圈—— 无互动,不游戏 。开发者们也知道这一点,所以不仅将 聊天作为游戏的默认模块 ,同时部分游戏还会附带
游戏社区 。这就意味着,大量的社交内容会在不同的社交场景中生成,如果不加以管控,社交圈就成了不良内容的传播阵地。
国内游戏社交违规内容普遍具有 数量巨大、类型多样、更新快
等特点。同时,游戏玩家、黑灰产工作室甚至不法分子为了规避游戏内的审核机制,会组合文字、表情、数字,以 伪装不良内容
,进一步加大游戏方的治理难度。游戏运营者不仅需要及时甄别传统的违规内容,更需要 加强对变种内容的识别 。
此外,开放世界游戏不断壮大, 围绕游戏场景搭建的风险
也愈加突出,特别是对于一些新兴的派对游戏、沙盘游戏中的内容风险,游戏运营者需要做好长期对抗的准备。
04
AI 既是现在,也是未来
2023 年,江西鹰潭警方破获全国首例“AI 外挂”案,自此,AI 外挂逐渐走入大众视野。相比于传统外挂,AI
外挂能通过目标检测算法,获取屏幕中敌人的坐标,接着自动瞄准。游戏运营检测难度更高,外挂危害更大。
(图片来源:光明网)
因此, 让“AI”对抗“AI” 既是当前迫切的诉求,也是游戏安全治理未来的趋势。
比如针对 MMORPG 游戏中的采集号、秒货号,通常使用 AI 分析判断点击行为作弊的玩家;在 SLG
游戏每日固定任务的场景中,对于使用自动挂完成每日任务获取资源的作弊玩家, AI 能结合时间序列和操作动作进行识别 ;在 FPS
游戏的对抗场景中,针对透视、自瞄和无后座的作弊手段,玩家通过模拟鼠标信号扰乱上报信息,一般厂商很难检测到,而 AI
在透视和自瞄场景中利用数据就能“还原”作弊的现场 ,不仅解决了检测覆盖率的痛点,还能提供玩家作弊的实质性证据。
而在黑灰产领域,当玩家购买如代练、官方代打、天梯代刷、恶意开局、“买凶杀人”等作弊工具时, 作弊行为和实施者的判定就成了难题 。这时候,AI
也能帮上忙。比如,在官方代打场景中,AI 能分析玩家日常的个人操作和专业工作室的操作,在操作风格、技能熟练度、反应速度、打出效果数值等维度找出明显的差异。
更进一步地,基于专家经验,建立不同层级的标准,结合多维的监督方案,AI 能明确定位出作弊的工作室。
魔高一尺,道高一丈,内容治理在未来将面临更多挑战——不仅游戏内文字、图片、表情包等违规内容出现大量变种信息,开放游戏世界更是出现了大量 3D
空间变种内容,对于游戏运营方来说防不胜防,而 AI 的介入可以更加便捷地识别不良信息,还能通过自主学习的方式对变种进行精准识别 。
05
游戏出海,隐私合规越来越重要
国内市场竞争的日趋激烈,让许多游戏厂商将目光瞄向了海外市场。除了欧美、日韩等发达地区之外,中东、东南亚、南美、南非、北非也成为中国游戏厂商游戏出海必选之地。
相比国内熟悉的市场环境,许多刚刚进入海外市场的游戏公司很难适应当地的法律和规范。陌生的市场对于游戏厂商而言,处处是雷区,比如内容合规性、法律法规合规、文化适应性、用户隐私保护、支付安全以及区域合作等。
尤其是在欧美市场的监管要求越来越严格的情况下, 隐私合规和数据安全更是游戏出海企业的生命线
。作为游戏开发者,我们必须更加关注安全隐私问题,不能有丝毫马虎!虽然相比隐私问题,游戏内容合规或许是软性的要求,但游戏运营者也不能掉以轻心,尤其是在一些有禁忌的国家和地区,需要更加重视。
06
游戏安全,曙光初现
就在昨天, 网易易盾发布了《2023 年度游戏安全观察与实践报告》 (以下简称“《游戏安全报告》”)。这份报告相比前阵子的《2023
年中国游戏产业报告》,在 游戏安全 领域做了全面的,围绕 技术与应用维度 的内容补充。
也正是这份报告,为游戏行业带来了对抗游戏安全问题的 底气 。底气从何而来?
tips:网易易盾《2023 年度游戏安全观察与实践报告》领取方式——评论区留言【报告】,立即领取完整版报告内容!
2023 年全年网易易盾全年累计检测安全风险 217 亿次 ,同比增长 41.4%,环境风险威胁检测 63.8 亿次 ;外挂威胁累计检测
46.5 亿次 。此外,本年度新增业务风险监测,全年累计检测 37.8 亿次 ,占游戏安全风险总体的 15.3%;其他风险累计检测 99
亿次 ,占比 40%,同比增长 292.85%。
正因为网易易盾服务了多家网易内外的游戏团队, 在多款业内有口皆碑的游戏中积累了足够的服务经验与数据
,所以才能撰写出这样一份报告,让我们这些开发者意识到,厂商、玩家与外挂、打金的对抗,正在迎来曙光。
这也是为什么当翻开这本《游戏安全报告》时,许多熟悉的名字映入眼帘:
游戏安全的首要任务是保证游戏公平性。通过强化技术手段打击外挂,以及黑灰产,以提升玩家的游戏体验和信任。 ——程龙 网易雷火 CTO
吉比特&雷霆游戏一贯坚持与侵犯知识产权行为作斗争,持续对市面上私服等黑产链条开展跟踪及定位,采用技术和法律手段严厉打击游戏私服、外挂等侵犯知识产权的行为。尽管私服经营者不断变换私服传播及经营方式,但吉比特&雷霆游戏协同警方亦在不断加强黑产监测手段,持续对私服等黑产保持高压打击态势,坚决为玩家维护健康游戏环境,决心与玩家携手共建和谐。
——易健 雷霆游戏 安全负责人
紫龙游戏在过去的经营中,坚持与侵犯知识产权的私服、破解支付协议、代充、游戏内打金、刷号工作室、游戏内聊天拉人等黑产灰产进行斗争,在这个过程中,黑灰产的人不断的变换方法,我们也随着这些变化不断调整策略进行分析和打击。在可以遇见的将来,由于这其中依然有很大的利润空间,这些黑灰产依然会不断的变换方法进行试探,我们仍将需要不断升级方法,把一些AI技术和合作伙伴的工具也用在里面,将他们对游戏的伤害,对玩家利益和我们厂商利益的侵蚀压缩在一个尽量小的空间,为玩家创造一个更加健康和谐的游戏环境。
——侯志芳 紫龙游戏 CTO
游戏黑灰产工作室不仅破坏了游戏内的经济生态平衡,同时也影响了玩家正常获取资源的公平性。易盾通过技术监测游戏规则的执行,为我们《宿命回响》《灌篮高手》《航海王启航》等游戏在对抗黑灰产工作室作弊行为中提供了极大的帮助,从而营造一个公平、健康的游戏环境,让玩家能够享受到纯粹的游戏乐趣。
——陈永华 DeNA 中国 游戏技术总监
《万国觉醒》作为全球领先的策略游戏,采用先进的反作弊技术和严格的账号安全系统,确保玩家的账号和个人信息得到有效保护。同时,《万国觉醒》通过持续的技术更新和规则完善,对黑灰产工作室、脚本外挂等进行监测和打击,为每一位玩家提供公平对战的游戏体验,共同守卫王国的荣耀。
——《万国觉醒》研发团队
《战意》一直将玩家的游戏体验放在首位,重视玩家反馈、优化玩家体验。特别是在游戏公平性,我们的运营团队本着绝不姑息在游戏中使用外挂、脚本等第三方非法软件玩家的原则,第一时间对扰乱游戏环境的相关玩家进行了封号处理。打造公平、健康、绿色的游戏对战环境是我们对玩家的首要承诺。
——《战意》运营团队
经研究表明,作弊玩家每进行一场游戏,不仅破坏环境,还潜在的对外挂进行了宣传与散播,大约1名作弊玩家每进行9把游戏,其作弊行为就会吸引1名新的玩家尝试外挂,可见作弊玩家是名副其实的毒瘤。因此,反作弊系统每进行一次升级,我们都相信这不是某种作弊行为的终结,而是与其进行持久战争的开始!我们会一直守望着玩家的安全游戏环境,并向大家及时同步我们的封禁与治理成果。
——王博 玩畅 5E 游戏安全负责人
在游戏安全问题上,业内游戏“老兵”已达成共识,未来,他们也将持续 通过智能化手段打击游戏外挂以及黑灰产
,致力于为玩家提供一个安全公平的游戏环境,不断提升玩家的游戏体验和信任。
此外,在这份网易易盾发布的《游戏安全报告》中,许多行业协会都在为游戏安全发声,作为国内重要游戏安全行业协会之一, 反网络黑灰产联盟
也向大众呼吁:应对和处置网络黑灰产问题需要社会各界的共同参与,希望有越来越多的力量加入到队伍中来,集众智、汇众力,共同探索和寻求应对、处置网络黑灰产问题的最佳路径,共同实现对网络黑灰产问题的有效治理。
纵观 2023 年,游戏外挂和破解问题不断增多,网络 DDoS
攻击也日益加剧,游戏内容安全和未成年人保护等问题也变得更加突出,而外挂制售产业链也演变得更复杂。这些问题的确让游戏行业健康发展之路,道阻且长。
而行则将至,随着游戏厂商与游戏黑产的对抗逐渐深入,新的技术不断涌现, 比如 AI 。同时,更多 如网易易盾的游戏安全服务商
,也携手游戏开发者,加入了这场捍卫游戏生态平衡的光荣战役。
曙光初现! 让我们一起防控游戏风险,确保游戏行业的可持续发展,让玩家们也能够享受到公平、安全和健康的游戏体验。
欢迎关注【游戏智眼】,我来自网易~ 是你最得力的游戏行业战略家,也是最硬核的游戏技术布道师,一起让技术发光~ 欢迎各位游戏人一起探讨交流~
tips:网易易盾《2023 年度游戏安全观察与实践报告》领取方式——评论区留言【报告】,立即领取完整版报告内容!
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫一扫
459
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
