CN111013155A - 一种网络游戏外挂检测的方法 - Google Patents

一种网络游戏外挂检测的方法 Download PDF

Info

Publication number
CN111013155A
CN111013155A CN201911121127.8A CN201911121127A CN111013155A CN 111013155 A CN111013155 A CN 111013155A CN 201911121127 A CN201911121127 A CN 201911121127A CN 111013155 A CN111013155 A CN 111013155A
Authority
CN
China
Prior art keywords
plug
ins
detecting
game
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
CN201911121127.8A
Other languages
English (en)
Inventor
崔璐意
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Juzheng Intellectual Property Management Co ltd
Original Assignee
Xi'an Juzheng Intellectual Property Management Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Juzheng Intellectual Property Management Co ltd filed Critical Xi'an Juzheng Intellectual Property Management Co ltd
Priority to CN201911121127.8A priority Critical patent/CN111013155A/zh
Publication of CN111013155A publication Critical patent/CN111013155A/zh
Withdrawn legal-status Critical Current

Links

Classifications

    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F13/00Video games, i.e. games using an electronically generated display having two or more dimensions
    • A63F13/70Game security or game management aspects
    • A63F13/75Enforcing rules, e.g. detecting foul play or generating lists of cheating players
    • AHUMAN NECESSITIES
    • A63SPORTS; GAMES; AMUSEMENTS
    • A63FCARD, BOARD, OR ROULETTE GAMES; INDOOR GAMES USING SMALL MOVING PLAYING BODIES; VIDEO GAMES; GAMES NOT OTHERWISE PROVIDED FOR
    • A63F2300/00Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game
    • A63F2300/50Features of games using an electronically generated display having two or more dimensions, e.g. on a television screen, showing representations related to the game characterized by details of game servers
    • A63F2300/55Details of game data or player data management
    • A63F2300/5586Details of game data or player data management for enforcing rights or rules, e.g. to prevent foul play

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明提供了一种网络游戏外挂检测的方法,包括如下步骤:采集一个时间段内的用户数据,对用户行为进行分析,依据外挂的运行原理,对每种外挂使用的技术原理进行分析,将外挂分为三类,即鼠标键盘模拟类外挂、处理内存类外挂和处理封包类外挂;对每种外挂使用的技术原理分析后,使用数据分析对存储的用户数据与服务器内存储的外挂判断数据进行对比分析,确定是否具有外挂特征,确定获取检测外挂的方法,将分析结果发送到反馈模块;将检测到的外挂进程的进程ID信息、进程路径信息,并将这些信息写入到外挂检测日志文件中。本发明一种网络游戏外挂检测的方法,便于分析人员检测,净化了网络游戏环境,增强了游戏玩家的游戏体验。

Description

一种网络游戏外挂检测的方法
技术领域
本发明属于计算机网络技术领域,涉及一种网络游戏外挂检测的方法。
背景技术
随着网络的普及,网络游戏产业作为互联网的支柱产业得到了迅速的发展,它作为一种娱乐方式,融入到了人们的日常生活中,形成了以游戏为核心的“网络文化”。在其迅速发展的同时,外挂的出现,破坏了游戏的平衡,加速了玩家的流失,损害了游戏厂商的利益,对整个游戏行业带来了消极的影响。现有的外挂检测技术,包括GM巡逻,玩家举报,数据封包加密,客户端异常数据检测,服务器异常数据检测,验证码等方式,检测代码可以不受到运行环境的限制,而且代码经过变形之后,能很好的迷惑分析人员。
发明内容
本发明的目的是提供一种网络游戏外挂检测的方法,解决了现有的外挂检测技术,对于经过变形之后,分析人员不易检测的问题。
本发明所采用的技术方案是,一种网络游戏外挂检测的方法,具体包括如下步骤:
步骤1、采集一个时间段内的用户数据,对用户行为进行分析,通过在服务器端对正常玩家的行为进行全面的统计,通过对数据信息的采集,将一些玩家重要的行为活动作为评定的标量,通过对正常玩家日志与使用游戏机器人的日志进行对比,将数据进行分析寻求一个区分两者间的一个阈值,以此为标准来检测游戏外挂的使用;
步骤2、依据外挂的运行原理,对每种外挂使用的技术原理进行分析,将外挂分为三类,即鼠标键盘模拟类外挂、处理内存类外挂和处理封包类外挂;
步骤3、通过步骤2对每种外挂使用的技术原理分析后,使用数据分析对存储的用户数据与服务器内存储的外挂判断数据进行对比分析,确定是否具有外挂特征,确定获取检测外挂的方法,将分析结果发送到反馈模块;
步骤4,将步骤3检测到的外挂进程的进程ID信息、进程路径信息,并将这些信息写入到外挂检测日志文件中。
本发明的特点还在于,
步骤3中一种检测代码分离的检测方法,是在现有的代码保护技术,包括软件加壳技术,反调试技术,虚拟机保护技术,代码混淆技术,变形多态技术。根据检测代码运行的环境,选取病毒变形多态技术来保护检测代码。利用变形多态技术,检测代码可以不受到运行环境的限制,而且代码经过变形之后,能很好的迷惑分析人员。
步骤3中基于变形的外挂监测引擎CheatMutector,部署在服务器与客户端上。
步骤3中外挂检测代码是分离的,不直接存储在客户端上,由服务器生成,经过变形后发送给客户端,客户端接收到检测代码后再加载执行。在执行过程时,客户端等待服务器的检测请求,收到请求时执行对应的检测代码并将结果发送至服务器,服务器收到结果处理后,作为游戏升级与惩罚外挂的依据,最后并对CheatMutector相关实验测试。
步骤4通过数据流层的回调函数用于处理TCP数据包;数据流建立层的回调函数用于提取数据包的收发进程ID信息、进程路径信息。
本发明的有益效果是,一种网络游戏外挂检测的方法,通过在外挂运行时,根据外挂的运行特点准确检测出来,可以高效地监控已知流量特征的外挂的使用行为,并收集外挂信息,使用内核层的网络过滤技术,外挂无法通过传统的应用层API挂钩技术绕过检测,大大增加外挂的反检测和反监控难度,实现一种自动、准确、安全的外挂检测方法,不需要过多的人工参与就能检测出外挂;
具体实施方式
本发明一种网络游戏外挂检测的方法下面结合具体实施方式对本发明进行详细说明,具体步骤如下:
步骤1、采集一个时间段内的用户数据,对用户行为进行分析,通过在服务器端对正常玩家的行为进行全面的统计,通过对数据信息的采集,将一些玩家重要的行为活动作为评定的标量,通过对正常玩家日志与使用游戏机器人的日志进行对比,将数据进行分析寻求一个区分两者间的一个阈值,以此为标准来检测游戏外挂的使用。
本实施中先利用WPE模拟制作了一个封包类的游戏外挂,采用Windows系统为软件平台,采用C#做为编程语言,实现外挂的编码及测试网游的编写。
步骤2、依据外挂的运行原理,对每种外挂使用的技术原理进行分析,将外挂分为三类,即鼠标键盘模拟类外挂、处理内存类外挂和处理封包类外挂,;
键盘模拟技术和鼠标模拟属于动作模拟技术,
封包技术主要涉及挡截WinSock技术和挡截WinAPI技术等,
步骤3、通过步骤2对每种外挂使用的技术原理分析后,确定获取检测外挂的方法。
实时采集数据进行对比,实时进行处理,不影响玩家游戏体验,利用大数据进行对比分析,不断更新外挂判断数据,外挂识别准确,通过客户端数据与服务器端数据优先对比,免去对于正常数据的外挂检测,提高了检测效率。
步骤3中一种检测代码分离的检测方法,是在现有的代码保护技术,包括软件加壳技术,反调试技术,虚拟机保护技术,代码混淆技术,变形多态技术。根据检测代码运行的环境,选取病毒变形多态技术来保护检测代码。利用变形多态技术,检测代码可以不受到运行环境的限制,而且代码经过变形之后,能很好的迷惑分析人员
基于变形的外挂监测引擎CheatMutector,部署在服务器与客户端上。
外挂检测代码是分离的,不直接存储在客户端上,由服务器生成,经过变形后发送给客户端,客户端接收到检测代码后再加载执行。在执行过程时,客户端等待服务器的检测请求,收到请求时执行对应的检测代码并将结果发送至服务器,服务器收到结果处理后,作为游戏升级与惩罚外挂的依据。最后并对CheatMutector相关实验测试。
步骤4,将外挂进程的进程ID信息、进程路径信息,并将这些信息写入到外挂检测日志文件中。通过数据流层的回调函数用于处理TCP数据包;数据流建立层的回调函数用于提取数据包的收发进程ID信息、进程路径信息。

Claims (5)

1.一种网络游戏外挂检测的方法,其特征在于,具体包括如下步骤:
步骤1、采集一个时间段内的用户数据,对用户行为进行分析,通过在服务器端对正常玩家的行为进行全面的统计,通过对数据信息的采集,将一些玩家重要的行为活动作为评定的标量,通过对正常玩家日志与使用游戏机器人的日志进行对比,将数据进行分析寻求一个区分两者间的一个阈值,以此为标准来检测游戏外挂的使用;
步骤2、依据外挂的运行原理,对每种外挂使用的技术原理进行分析,将外挂分为三类,即鼠标键盘模拟类外挂、处理内存类外挂和处理封包类外挂;
步骤3、通过步骤2对每种外挂使用的技术原理分析后,使用数据分析对存储的用户数据与服务器内存储的外挂判断数据进行对比分析,确定是否具有外挂特征,确定获取检测外挂的方法,将分析结果发送到反馈模块;
步骤4,将步骤3检测到的外挂进程的进程ID信息、进程路径信息,并将这些信息写入到外挂检测日志文件中。
2.根据权利要求1所述的一种网络游戏外挂检测的方法,其特征在于,步骤3中一种检测代码分离的检测方法,是在现有的代码保护技术,包括软件加壳技术,反调试技术,虚拟机保护技术,代码混淆技术,变形多态技术;根据检测代码运行的环境,选取病毒变形多态技术来保护检测代码;利用变形多态技术,检测代码可以不受到运行环境的限制,而且代码经过变形之后,能很好的迷惑分析人员。
3.根据权利要求2所述的一种网络游戏外挂检测的方法,其特征在于,步骤3中基于变形的外挂监测引擎CheatMutector,部署在服务器与客户端上。
4.根据权利要求3所述的一种网络游戏外挂检测的方法,其特征在于,步骤3中外挂检测代码是分离的,不直接存储在客户端上,由服务器生成,经过变形后发送给客户端,客户端接收到检测代码后再加载执行;在执行过程时,客户端等待服务器的检测请求,收到请求时执行对应的检测代码并将结果发送至服务器,服务器收到结果处理后,作为游戏升级与惩罚外挂的依据,最后并对CheatMutector相关实验测试。
5.根据权利要求1所述的一种网络游戏外挂检测的方法,其特征在于,步骤4通过数据流层的回调函数用于处理TCP数据包;数据流建立层的回调函数用于提取数据包的收发进程ID信息、进程路径信息。
CN201911121127.8A 2019-11-15 2019-11-15 一种网络游戏外挂检测的方法 Withdrawn CN111013155A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911121127.8A CN111013155A (zh) 2019-11-15 2019-11-15 一种网络游戏外挂检测的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911121127.8A CN111013155A (zh) 2019-11-15 2019-11-15 一种网络游戏外挂检测的方法

Publications (1)

Publication Number Publication Date
CN111013155A true CN111013155A (zh) 2020-04-17

Family

ID=70200383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911121127.8A Withdrawn CN111013155A (zh) 2019-11-15 2019-11-15 一种网络游戏外挂检测的方法

Country Status (1)

Country Link
CN (1) CN111013155A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111803956A (zh) * 2020-07-22 2020-10-23 网易(杭州)网络有限公司 游戏外挂行为的确定方法、装置、电子设备及存储介质
CN113407804A (zh) * 2021-07-14 2021-09-17 杭州雾联科技有限公司 一种基于爬虫的外挂精准标记与识别方法和装置

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111803956A (zh) * 2020-07-22 2020-10-23 网易(杭州)网络有限公司 游戏外挂行为的确定方法、装置、电子设备及存储介质
CN111803956B (zh) * 2020-07-22 2024-02-09 网易(杭州)网络有限公司 游戏外挂行为的确定方法、装置、电子设备及存储介质
CN113407804A (zh) * 2021-07-14 2021-09-17 杭州雾联科技有限公司 一种基于爬虫的外挂精准标记与识别方法和装置
CN113407804B (zh) * 2021-07-14 2023-06-16 杭州雾联科技有限公司 一种基于爬虫的外挂精准标记与识别方法和装置

Similar Documents

Publication Publication Date Title
RU2738344C1 (ru) Способ и система поиска схожих вредоносных программ по результатам их динамического анализа
CN108595955B (zh) 一种安卓手机恶意应用检测系统及方法
US8015551B2 (en) Software operation modeling device, software operation monitoring device, software operation modeling method, and software operation monitoring method
US9747452B2 (en) Method of generating in-kernel hook point candidates to detect rootkits and the system thereof
CN109933984B (zh) 一种最佳聚类结果筛选方法、装置和电子设备
CN109271780A (zh) 机器学习恶意软件检测模型的方法、系统和计算机可读介质
CN104462962B (zh) 一种检测未知恶意代码和二进制漏洞的方法
CN102682229A (zh) 一种基于虚拟化技术的恶意代码行为检测方法
CN111013155A (zh) 一种网络游戏外挂检测的方法
KR20110008854A (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN108762888A (zh) 一种基于虚拟机自省的病毒检测系统及方法
CN1235108C (zh) 一种计算机病毒检测和识别方法
CN110135166A (zh) 一种针对业务逻辑漏洞攻击的检测方法及系统
CN112163222A (zh) 一种恶意软件检测方法及装置
CN109711163A (zh) 基于api调用序列的安卓恶意软件检测方法
CN110851834A (zh) 融合多特征分类的安卓恶意应用检测方法
CN104598820A (zh) 一种基于特征行为分析的木马病检测方法
CN110808995B (zh) 安全防护方法和装置
CN114090406A (zh) 电力物联网设备行为安全检测方法、系统、设备及存储介质
CN114785563A (zh) 一种软投票策略的加密恶意流量检测方法
CN110943974B (zh) 一种DDoS异常检测方法及云平台主机
CN108959922B (zh) 一种基于贝叶斯网的恶意文档检测方法及装置
CN114372519A (zh) 模型训练方法、api请求过滤方法、装置和存储介质
Suhuan et al. Android malware detection based on logistic regression and XGBoost
CN110210216A (zh) 一种病毒检测的方法以及相关装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WW01 Invention patent application withdrawn after publication

Application publication date: 20200417

WW01 Invention patent application withdrawn after publication