白山ATD團(tuán)隊(duì)及YUNDUN安全團(tuán)隊(duì)梳理了目前上百家游戲客戶安全事件,統(tǒng)計(jì)出目前游戲客戶主要面臨如下應(yīng)用層安全威脅:
1)賬號(hào)撞庫(kù)攻擊:隨著近年頻繁出現(xiàn)的數(shù)據(jù)庫(kù)泄露事件,撞庫(kù)正在成為主流的盜號(hào)方式;
2)DDoS攻擊:除最常見(jiàn)的DDoS外,針對(duì)游戲接口的CC攻擊似乎更具有技術(shù)含量,這種攻擊見(jiàn)不到真實(shí)源IP,見(jiàn)不到特別大的異常流量,但能導(dǎo)致服務(wù)器無(wú)法進(jìn)行正常連接;
3)道具交易的量化攻擊:黑客通過(guò)分布式爬蟲爬取游戲道具價(jià)格等交易數(shù)據(jù),再利用不同服務(wù)區(qū)信息不對(duì)等,在第三方平臺(tái)購(gòu)買后加價(jià)賣出,賺取差價(jià);
4)外掛:通過(guò)改變游戲正常數(shù)據(jù)、破壞游戲平衡,極大影響游戲運(yùn)營(yíng)。
目前大多數(shù)游戲客戶的安全防護(hù)體系還主要依靠威脅情報(bào)中心、設(shè)備指紋識(shí)別、策略&規(guī)則等方式,在滯后性、誤判誤報(bào)率、未知威脅識(shí)別等方面依然存在技術(shù)瓶頸。同時(shí),大量安全設(shè)備采用串行/嵌入模式,不僅接入復(fù)雜、存在延遲,還具有服務(wù)中斷后影響正常業(yè)務(wù)的可能。
白山ATD團(tuán)隊(duì)針對(duì)客戶的普遍安全問(wèn)題,從基于AI技術(shù)的UEBA用戶行為分析、軟件云化旁路部署、支持內(nèi)核態(tài)旁路阻斷三個(gè)維度打磨下一代安全產(chǎn)品,為游戲安全提供新思路。
一、下一代安全
1、基于AI技術(shù)的UEBA用戶行為分析
1)以用戶為視角
UEBA(用戶行為分析)的前提條件是轉(zhuǎn)換思維,以用戶為視角,從基于規(guī)則分析到關(guān)聯(lián)分析、行為建模、異常分析,彌補(bǔ)傳統(tǒng)SIEM(安全信息和事件管理)的不足,通過(guò)用戶實(shí)體行為異常分析來(lái)檢測(cè)各種業(yè)務(wù)與安全風(fēng)險(xiǎn)。
2)以行為建模為核心
白山基于六元組模型,即:時(shí)間、地點(diǎn)、人/ID、作用域、動(dòng)作和結(jié)果,定義行為概念,進(jìn)行行為建模;并采用無(wú)監(jiān)督學(xué)習(xí)算法,利用個(gè)群對(duì)比、聚類分析、規(guī)律學(xué)習(xí),解決大量樣本標(biāo)記及場(chǎng)景多樣化的難題。
3)系統(tǒng)越來(lái)越聰明
在實(shí)際使用過(guò)程中,系統(tǒng)識(shí)別出的未知威脅還可以結(jié)合人工標(biāo)注,安全專家定期針對(duì)少量異常行為進(jìn)行標(biāo)記,利用Active Learning(主動(dòng)學(xué)習(xí))算法,允許用戶進(jìn)行有限標(biāo)注,通過(guò)CNN(卷積神經(jīng)元網(wǎng)絡(luò))訓(xùn)練少量樣本模型,進(jìn)而通過(guò)模型串接,修正原有算法分析結(jié)果,最終算法可以更貼合企業(yè)業(yè)務(wù)場(chǎng)景、提升算法準(zhǔn)確率。
2、軟件云化旁路部署
根據(jù)游戲客戶需求,ATD支持公有云、私有云兩種云化部署方式,私有化采用旁路部署,實(shí)現(xiàn)業(yè)務(wù)“零”影響。并支持日志或流量?jī)煞N方式接入,以及純內(nèi)網(wǎng)運(yùn)行或公網(wǎng)聯(lián)動(dòng)運(yùn)行,為業(yè)務(wù)構(gòu)建安全最后一道防線。
3、內(nèi)核態(tài)旁路阻斷
目前游戲行業(yè)常用的外部阻斷模式主要依靠硬件防火墻或Nginx返回403、401。但通過(guò)實(shí)驗(yàn)我們發(fā)現(xiàn):通過(guò)對(duì)比不做防護(hù)的情況下Nginx返回200與使用防護(hù)時(shí)Nginx返回403,后者將比前者多消耗10-20%的Nginx服務(wù)器資源。在這種情況下,如果攻擊者利用CC攻擊去打Nginx自動(dòng)防護(hù),服務(wù)器負(fù)載均衡比不做防護(hù)更容易被打垮。
為實(shí)現(xiàn)對(duì)業(yè)務(wù)的“零”影響,ATD率先采用了旁路部署模式。對(duì)比發(fā)現(xiàn):在同樣并發(fā)攻擊下,Nginx 403、Nginx 499與ATD旁路攔截器的性能具有較大差距,旁路部署下的CPU Idle達(dá)99%。
二、游戲安全新思路
1、撞庫(kù)攻擊
撞庫(kù)攻擊中,攻擊者常用方式是使用偽造User Agent不斷更換User ID進(jìn)行撞庫(kù),并破解簽名算法,獲取到正確的簽名。從流量角度分析日志,其訪問(wèn)行為是合法請(qǐng)求(UI、特征、請(qǐng)求地址、請(qǐng)求構(gòu)造、參數(shù)等均合法);并且訪問(wèn)頻率不高,平均每小時(shí)數(shù)百次訪問(wèn),甚至更低。但當(dāng)我們對(duì)其進(jìn)行實(shí)頻率轉(zhuǎn)換時(shí),通過(guò)傅立葉變換轉(zhuǎn)變成頻率行為,我們可以看到其訪問(wèn)行為具有周期性,通過(guò)頻域個(gè)群對(duì)比,最終確認(rèn)是撞庫(kù)攻擊。
2、CC攻擊
一般游戲客戶的登錄接口的性能都較低,部分攻擊者會(huì)偽造Firefox User Agent對(duì)登錄接口發(fā)起CC攻擊。我們通過(guò)特征泛化將用戶行為歸一化,經(jīng)過(guò)多維度建模,發(fā)現(xiàn)攻擊者在每分鐘請(qǐng)求數(shù)、平均返回長(zhǎng)度、請(qǐng)求響應(yīng)時(shí)間、UA集合空間、UA最大相似占比等多個(gè)關(guān)鍵維度與正常用戶群體存在差異。
3、道具交易量化攻擊
攻擊者利用接碼平臺(tái)與人機(jī)交互,并采用大量真實(shí)IP地址,以超低頻率不斷爬取道具交易信息,傳統(tǒng)安全系統(tǒng)難以有效攔截。通過(guò)UEBA,我們可以看到攻擊者的行為與正常用戶訪問(wèn)路徑不同,從而幫助客戶發(fā)現(xiàn)未知威脅。
4、游戲外掛
我們對(duì)訪問(wèn)日志通過(guò)時(shí)間軸線行為建模分析24小時(shí)行為走勢(shì),分析其熵和時(shí)間軸方差,發(fā)現(xiàn)其中一些訪問(wèn)行為與大部分用戶相比,熵和時(shí)間軸方差都較小,并且整體行為尤其是夜間行為不同于正常用戶。通過(guò)個(gè)群對(duì)比,向客戶反饋后發(fā)現(xiàn)了游戲外掛。
三、巨人網(wǎng)絡(luò)——ATD經(jīng)典實(shí)踐
白山目前已服務(wù)上百家游戲客戶,以巨人網(wǎng)絡(luò)為例,ATD有效幫助其解決了撞庫(kù)、掃號(hào)、批量注冊(cè)、CC攻擊、外掛等游戲安全問(wèn)題。
巨人網(wǎng)絡(luò)已經(jīng)建立完整的安全體系,前期白山ATD團(tuán)隊(duì)與巨人網(wǎng)絡(luò)安全團(tuán)隊(duì)多次溝通,結(jié)合實(shí)際業(yè)務(wù)情況,最終梳理出客戶主要需求如下:
• 業(yè)務(wù)數(shù)據(jù)敏感度高,不使用公有云安全產(chǎn)品
• 部門結(jié)構(gòu)分散,不更改網(wǎng)絡(luò)
• 使用過(guò)傳統(tǒng)安全硬件,需要定制規(guī)則,安全團(tuán)隊(duì)人力有限
• 遭遇過(guò)CC攻擊,需要提升應(yīng)用層安全能力
• 發(fā)現(xiàn)未知問(wèn)題
使用ATD后,幫助客戶每天識(shí)別并攔截攻擊次數(shù)超過(guò)1000萬(wàn)次,其中90%為針對(duì)登陸系統(tǒng)的撞庫(kù)和掃號(hào)攻擊;每天有效攔截近10萬(wàn)個(gè)攻擊源的攻擊,有效降低80%系統(tǒng)報(bào)警;并通過(guò)機(jī)器學(xué)習(xí)算法解放安全人員人力。
白山ATD團(tuán)隊(duì)平臺(tái),正在幫助更多的游戲客戶構(gòu)建完整安全防護(hù)體系。
關(guān)注白山微信公眾號(hào)(baishancloud),獲取更多ATD資訊,有關(guān)下一代安全更多案例,將持續(xù)發(fā)布。
