当拥有2000万注册用户、单平台单日在线用户峰值达到50万的手游初创公司庆祝其阶段性成功时，他们不只看到了业务成功带来的喜悦，他们还向未来将要到来的挑战发起了新的安全风控模式的冲锋。阿里云云盾来到了游戏行业，关于算法和技术的革新实验亦自此拉开帷幕。

　　这一次，阿里云交作业的是游戏盾，该手游公司是游戏盾的第一批用户之一。与传统游戏行业不同，新兴起的手游有其独特的业务挑战。传统游戏由于服务器分散因而遇到恶性流量攻击的可能性比较低，对于其最为重要的是注重业务逻辑和因服务器分散带来的运维管理问题;而新兴手游更集中化，玩家对于新开服务器的需求在时间上更为紧迫，这也导致其对云主机的依赖会更大。

　　作为一家主打棋牌手游的初创公司，在建设初期也考虑过搭建传统IDC机房，但在实际部署中面临准备周期过长约束业务发展、缺少弹性、难以管理和升级、运维成本和人力投入高等问题，最终决定采用阿里云来解决上述难题，这对于初创者来说上云是比较好的一个选择。

　　据该公司技术人员介绍，该公司的安全建设一部分依托阿里云的安全体系，另一部分与阿里云一起合作做测试，做安全逻辑的拓展，例如大流量和CC攻击防御。

　　玩家呼唤没有外挂的游戏世界

　　就像阳光和阴影同时存在一样，外挂始终和游戏行业形影不离。对游戏行业来说，流量攻击相对较少，针对性的CC攻击比较多。攻击者会积极挖掘漏洞，并利用漏洞“刷东西”，即常说的“外挂”，这也是棋牌游戏行业最为严重的恶性问题。

　　据该技术人员介绍，为解决“外挂”问题，该公司从两个方面着手。首先，对整个游戏的数据安全保护是非常到位的。对数据的保护非常严密，其他用户不可能获取到他人的数据，避免“阴阳师刷机软件”事件的再次出现。第二，对用户发往服务器的协议进行非常严格的验证。确保攻击者无法利用漏洞进行非法操作，如非法补牌、看他人牌等。就CC攻击而言，该公司采用多重验证，包括协议的有效性、可以识别的独特标记，对非法协议进行屏蔽。

　　那么，在如此严密的的安全保护措施下市场上流通的外挂又何解呢?对此，技术人员表示，第一种常见的是通过视频剪辑、Ps等软件制作的;另外一种较为高级一点，用多个手机，看着牌打。这属于用户欺诈行为，本身是不可控的，在安全逻辑和结构之外。对此技术人员也呼吁玩家不要相信这类“外挂”说辞。

　　安全流畅的用户体验才是MVP

　　该公司技术团队是非常具有经验的，不乏从完美世界、腾讯出走加入进来的技术人员，但还是在应对大流量攻击方面遇到了挑战。理论上，阿里云的高防系统能够防联通、电信300G带宽，但对于超于此的大流量攻击来说这还远远不够，在该公司和阿里云技术人员的积极沟通下，公司引入了游戏盾，以抵御高防系统所无法防御的超大流量攻击。

　　基于对手游行业的安全风险的把控该公司选择了阿里云，阿里云给该公司带来更弹性的配置、更安全的数据保管、更短的故障恢复周期(宕机恢复时间为10-20分钟)等特性。在产品上线阶段，该公司遇到了前所未有的局面。去年6月两款大的产品正式上线，到8月份仅两个月时间，单款产品的注册量达到500万，单平台单日在线用户峰值达到50万，大量的用户流量对服务器带宽等配置来说构成巨大挑战。随着业务量增长的越来越快，也需要对配置进行实时升级。

　　据该技术人员介绍，在采用游戏盾之前，该公司也有考察过同类腾讯、Ucloud等提供的方案，经过对比后最终选择的阿里云。在为期一周的试用部署阶段既已效果明显，首先专线网络带宽质量好，有效降低了延迟，用户体验非常流畅;其次是可根据业务需求，随时买随时用服务器。

　　游戏盾带来新的安全风控模式：是对算法和技术的革新

　　就该技术人员表示，“游戏盾对棋牌产品来说是带来革命性的产品”。 从2015年“安全网络”构想的提出到2017年深圳云栖大会上的正式推出，游戏盾是在行业实战中不断积累经验、不断完善的一个方案，在道哥看来，游戏盾“不仅仅是解决方案，而是用算法和技术解决以往难以解决的困局，是算法和技术的革新”。

　　游戏行业因业务和交互的复杂性，更容易受到攻击。而其中DDoS以其破坏力和“无形”令人唯恐避之不及。具体来看，DDoS攻击可以分为以带宽攻击为代表的流量型和以CC攻击为代表的技巧型两大类。理论上，只要攻击带宽足够大攻击时间足够长就可以摧毁任何目标，拼带宽的抗衡方式终会碰到天花板。

　　对此，游戏盾的核心治理思路是“分层而治”。将业务按照功能层级进行精细化划分，将传统意义上的网络层拆分为网络层和接入层，对攻击进行分层而治。大流量攻击依托网络层解决，而技巧型CC攻击通过接入层解决。打通用户层和网络层壁垒，配合网络入口调度(分布式分散攻击与快速切换)，以突破带宽限制、控制攻击影响范围和时间。通过接入层分析和识别用户行为过滤风险用户。最终将经过两道分析处理的业务流量回送给业务层，以此来实现较好的防御效果。

　　传统CDN架构分散DDoS风险的方式受限于DNS解析的速度，无法做到快速切换。游戏盾用数据和算法自建智能调度，形成端到端的解决方案，从客户端的SDK直接与云端建立加密隧道，云端的一个节点被攻击后，迅速切换所有客户端访问下一个可使用的云端节点。将传统的DDoS防御思路转向面向客户端的风险识别和控制。

　　从游戏盾开始，未来将覆盖智能设备、工控设备及IoT等多个领域，建立起一张安全的大网，攻击被前置于网络边缘，内部依靠风险控制系统来维护秩序。未来的互联网业务将运行在这张安全网络的内部，所有的端接入大网时都需要经过风险控制的识别。而游戏盾关于算法和技术的革新只是一个开始。

　　责任编辑：DJ编辑