摘要
帳號盜用為線上遊戲中網安方面極嚴重的問題。駭客通常會從盜用的帳號中取走值錢的虛擬道具,換取實際的金錢。雖然帳號盜用事件時有所聞,至今市面上仍未發展出有效偵測帳號是否遭到盜用的方法。在被害者抱怨之前,遊戲公司通常無法察覺帳號盜用事件的發生,因此當玩家發現自己受害時往往都為時已晚,駭客早已取走所有值錢的虛擬寶物及道具。
在本文中,我們研究是否可根據玩家的遊戲行為來偵測使用者的帳號是否已遭盜用。我們發現虛擬角色的閒置時段(意味虛擬角色停止不動的時間)的分佈就像指紋一樣,可代表一個人的特徵。根據此發現,我們利用Kullback-Leibler距離(KL距離)計算出兩個閒置時段分佈的距離,提出RET法來解決使用者辨識的問題。評估結果顯示,基於200分鐘的歷史資料,RET法的辨識準確率能夠在20分鐘內達到90%。
1. 引言
安全性一向是網路遊戲設計者及玩家最為擔心的問題。而在各種安全性的議題中,帳號盜用是最為嚴重且普遍的問題之一。駭客往往利用網路釣魚網站或木馬程式竊取使用者的遊戲帳號。一旦使用者的電腦被「帳號收集器」的程式感染,其便常駐於系統內,隨時監控使用者登入遊戲時所輸入的帳號及密碼。被截取的帳號及密碼會被傳送到駭客所架設的伺服器;隨後駭客就可以竊取的帳號登入遊戲,拿走值錢的虛擬道具,換取實際的金錢。即使帳號盜用在許多線上遊戲都時有所聞,但至今市面上仍未發展出有效偵測帳號是否遭到盜用的方法。在被害者抱怨之前,遊戲公司通常無法察覺帳號盜用已發生,因此當玩家發現自己受害時往往都為時已晚,駭客早已取走所有值錢的虛擬寶物及道具。
此外,為了節省月費或是為方便交換資訊,單一帳號可能由多位玩家共享,這將會增加遊戲人口分析的難度。舉例而言,為改善遊戲設計或收費策略,遊戲公司會分析影響消費者行為的可能因素,例如玩家年齡、性別以及職業等等,這些都可能影響他們的消費選擇或是持續消費的時間長度。而帳號共享的現象會影響人口分析的正確性。另外,帳號共享也會使遊戲公司難以提供準確的個人化服務給每位玩家。
在本文中,我們應用「使用者辨識」技術來解決以上所談論的線上遊戲帳號盜用及帳號共享的問題。使用者辨識是學術領域一個研究已久的議題,根據使用者的輸入辨識出誰是「真的」使用者。直到今日,幾乎所有的網路系統都倚賴使用者輸入帳號及密碼的認證機制來辨識使用者。一旦使用者的帳號密碼洩漏給其他人,單純倚賴以上機制將無法判斷帳號是否已遭盜用。
我們研究根據玩家的遊戲行為來偵測使用者的帳號是否已遭盜用,原理為利用玩家所控制的虛擬角色在一連串動作之間的閒置時間長度(意味虛擬角色停止不動的時間)來做為玩家的行為特徵。也就是說,我們發現虛擬角色的閒置時段的分佈就像指紋一樣,可代表一個玩家的特徵。舉例而言,急性子、重度沉迷的玩家有可能會在一個動作結束之前,就已想好接下來更多的動作,因此在一連串的行為當中就會有較少頻率且長度較短的閒置時間出 現。相反地,空閒、隨性的玩家可能會進行較多社交行為,或利用虛擬角色移動時進行遊戲世界以外的行為(例如趁空檔瀏覽網頁),因此這類玩家在一連串行為之間的閒置時間就會顯得較頻繁且時間較長。我們與宇峻奧汀科技股份有限公司合作,收集「天使之戀」遊戲中287位玩家的行為記錄,來檢測RET法的效度。我們根據Kullback-Leibler距離計算出兩個閒置時間分佈的差異,在使用者辨識的問題上有不錯的成效。評估結果顯示,基於200分鐘的歷史資料,我們能夠在20分鐘內,達成90% 的辨識準確率。(原文刊載於《RUN!PC旗標資訊月刊》2008年4月號,經作者同意轉載)(待續)
留言列表