一種異常應用行為監控方法和裝置與流程

2023-05-17 07:05:11

本發明涉及網際網路技術領域，尤其涉及一種異常應用行為監控方法和裝置。

背景技術：

應用虛擬貨幣的營收對與應用運營公司而言是非常重要的一個方面。應用打金工作室是指利用應用漏洞採取非正常方式賺取虛擬貨幣並通過各種手段把其兌換為現實貨幣的個體或者團體。應用打金工作室的存在不僅擠佔應用伺服器資源，破壞應用平衡，還給應用運營公司收入帶來巨大損失。

通常應用運營公司都會對打金工作室進行監控，對已經證實的打金工作室帳號進行封停或者調整被利用的應用漏洞內容。目前的監控打金工作室的方案的精確度差強人意，經常會造成誤封的情況，引發玩家的投訴。

技術實現要素：

本發明實施例所要解決的技術問題在於，提供一種異常應用行為監控方法和裝置，可準確識別出存在異常應用行為的可疑用戶並及時對其進行處理，從而保障應用的公平有序運營。

為了解決上述技術問題，本發明實施例提供了一種異常應用行為監控方法，所述方法包括：

獲取目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，所述應用對象轉移事件包括應用對象轉入事件或應用對象轉出事件，所述應用對象轉移事件的內容包括被轉移的應用對象標識和相應的轉移數據量；

確認所述至少一個應用對象轉移事件中存在針對同一應用對象的至少兩次應用對象轉移事件；

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值，則確定目標用戶為存在異常應用行為的可疑用戶；

針對可疑用戶進行可疑帳號處理。

相應地，本發明實施例還提供了一種異常應用行為監控裝置，所述裝置包括：

轉移記錄獲取模塊，用於獲取目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，所述應用對象轉移事件包括應用對象轉入事件或應用對象轉出事件，所述應用對象轉移事件的內容包括被轉移的應用對象標識和相應的轉移數據量；

應用行為監控模塊，用於若所述至少一個應用對象轉移事件中存在針對同一應用對象的至少兩次應用對象轉移事件，並且存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值的情況下，確定目標用戶為存在異常應用行為的可疑用戶；

帳號處理模塊，用於針對可疑用戶進行可疑帳號處理。

本發明實施例通過對目標用戶在預設監控周期內發生的至少一個應用對象轉移事件相應的轉移數據量進行監控，實現了準確識別出存在異常應用行為的可疑用戶並及時對其進行處理，從而保障應用的公平有序運營。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。

圖1是本發明實施例中的一種異常應用行為監控方法的流程示意圖；

圖2是本發明實施例中對監控倍數初始閾值進行優化調整的流程示意圖；

圖3是本發明的一個遊戲場景實施例中異常應用行為監控方法的流程示意圖；

圖4是本發明實施例中的一種異常應用行為監控裝置的結構示意圖；

圖5是本發明實施例中的應用行為監控模塊的結構示意圖；

圖6是本發明實施例的異常應用行為監控裝置的一個硬體組成結構示意圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

本發明實施例中的異常應用行為監控方法在不加以特別說明的情況下，可以由本發明的異常應用行為監控裝置實施，而本發明實施例的異常應用行為監控裝置，可以實現在網絡後臺伺服器側，例如集成在應用後臺伺服器實現或獨立於應用後臺伺服器實現。

而在可選實施例中，異常應用行為監控裝置也可以在用戶終端上運行的應用客戶端實現，可以僅負責監控在該應用客戶端上登錄的用戶帳戶在使用該應用時的應用行為。

圖1是本發明實施例中的一種異常應用行為監控方法的流程示意圖，如圖所示本實施例中的異常應用行為監控方法可以包括：

s101，獲取目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，所述應用對象轉移事件包括應用對象轉入事件或應用對象轉出事件，所述應用對象轉移事件的內容包括被轉移的應用對象標識和相應的轉移數據量。

所述應用對象轉入事件，即目標用戶將某個應用對象轉入屬於自身帳戶的事件，應用對象可以從應用運營帳號或其他用戶帳號處轉入目標用戶的帳戶。同理，所述應用對象轉出事件，即目標用戶從自身帳戶將某個應用對象轉出的事件，應用對象可以從目標用戶的帳戶轉出至應用運營帳號或其他用戶帳號。所述應用對象可以為虛擬物品對象，例如遊戲道具、遊戲角色等遊戲場景下的虛擬物品、也可以代表實際產品或線上或線下的服務，例如可供兌換的商品、應用功能使用權限、使用時長或線下商品或服務的優惠券等。本發明實施例中所描述的應用對象轉移事件不針對無償的贈送事件，而僅針對「有償」的應用對象轉移事件，即每個應用對象轉移事件都會產生相應的數據轉移，這裡被轉移的數據可以是虛擬貨幣，也可以是其他可以表徵該被轉移的應用對象的價值的數據，即被轉移的應用對象的價值越高，對應的應用對象轉移事件相應的轉移數據量就會越大。

應用對象的價值除了由其使用效果和體驗自身決定之外，收到的關注度和熱門程度也會對應用對象的價值產生影響，例如遊戲場景下的某個虛擬物品因其關聯的實際事件或人物在社會的關注度大增，導致遊戲玩家在遊戲中紛紛購買該應用對象，針對這樣的情況應用運營公司會根據某個應用對象的購買記錄對該應用對象的價值進行調整，例如提高用戶購買該應用對象的虛擬貨幣售價。在實際應用使用過程中存在這樣的現象，就是打金工作室通過多個帳號之間對其擁有的一個應用對象進行反覆買賣，從而實現提高該應用對象的價值，對該應用物品的價值產生「炒作」的效果。例如在一款足球運營遊戲中，打金工作室通過多個帳號在球員市場中反覆對同一球員進行買賣操作，運營後臺系統根據在球員在一定的周期內出現的多次買賣事件記錄會對該球員在球員市場中的交易價格進行調整從而不斷提高該球員的交易價格。

為了及時發現上述惡意抬高應用物品交易價值的行為，異常應用行為監控裝置可以按照預設的監控周期，對其管理的用戶在該監控周期內發生的至少一個應用對象轉移事件進行分析。異常應用行為監控裝置如果實現在應用後臺伺服器或應用客戶端，則可以實時記錄目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，若獨立於應用後臺伺服器或應用客戶端實現，則可以從應用後臺伺服器獲取其記錄到的多個用戶在預設監控周期內發生的應用對象轉移事件的數據從而進行後續的分析。所述預設監控周期可以例如為1天、2天或一周。

示例性的獲取到的目標用戶在預設監控周期內發生的至少一個應用對象轉移事件可以如下表1所示，

表1目標用戶在當天針對同一遊戲對象的交易記錄

在上表中，大區id(identification，標識)是目標用戶登錄遊戲是所選的服務區(或所屬服務區)的id，用戶id即目標用戶的標識，虛擬貨幣轉移量指的是各交易對應的虛擬交易價格，負值表示轉出虛擬貨幣，即目標用戶使用虛擬貨幣將目標遊戲對象買入，正值表示轉入虛擬貨幣，即目標用戶將目標遊戲對象賣出，換取虛擬貨幣，交易時間用於區分不同的應用對象轉移事件，在其他可選實施例中可以使用事件id、交易流水號等代替。

s102，判斷所述至少一個應用對象轉移事件中是否存在針對同一應用對象的至少兩次應用對象轉移事件，若是則執行s103，否則執行s105。

即可以首先排除在預設監控周期內針對同一應用對象最多僅發生一次應用對象轉移事件的用戶。

s103，判斷是否存在針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值，若是則執行s104，否則執行s105。

所述預設的監控倍數閾值可以例如2、3、4或處於2～3區間的任一數值。舉例來說，例如目標用戶在監控周期內對同一應用對象的應用對象轉出事件包括3次，3次分別相應的轉移數據量為50、75以及100，其中相應的最大轉移數據量即最大轉出數據量為100，相應的最小轉移數據量即最小轉入數據量為50，那麼其之間的比值為100/50＝2，若預設的監控倍數閾值為2，那么正好到達了監控倍數閾值，即可確定目標用戶為存在異常應用行為的可疑用戶。

在另一可選實施方式中，異常應用行為監控裝置可以判斷是否存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值，並且所述針對同一目標應用對象的兩次應用對象轉移事件中包含兩次應用對象轉入事件或包含兩次應用對象轉出事件，若上述兩個條件均滿足，則可以確定目標用戶為存在異常應用行為的可疑用戶。

舉例來說，例如目標用戶在監控周期內對同一應用對象的應用對象轉移事件中包括3次應用對象轉出事件和2次應用對象轉入事件，其中3次應用對象轉出事件相應的最大轉移數據量即最大轉出數據量為100，而2次應用對象轉入事件相應的最小轉移數據量即最小轉入數據量為50，若預設的監控倍數閾值為2，那麼就到達了監控倍數閾值，同時也滿足所述針對同一目標應用對象的兩次應用對象轉移事件中包含兩次應用對象轉入事件或包含兩次應用對象轉出事件的條件，即可確定該目標用戶為存在異常應用行為的可疑用戶。

在又一可選實施方式中，異常應用行為監控裝置可以預先設置不止一個監控倍數閾值，異常應用行為監控裝置可以判斷是否存在針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的第一監控倍數閾值，若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的第一監控倍數閾值，則確定目標用戶為存在異常應用行為的可疑用戶；

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值位於預設的第二監控倍數閾值和第一監控倍數閾值之間，並且所述針對同一目標應用對象的應用對象轉移事件中包含至少兩次應用對象轉入事件或包含至少兩次應用對象轉出事件，則確定目標用戶為存在異常應用行為的可疑用戶；其中所述第一監控倍數閾值大於所述第二監控倍數閾值。

舉例來說，例如目標用戶在監控周期內對同一應用對象的應用對象轉移事件中包括3次應用對象轉出事件和2次應用對象轉入事件，其中3次應用對象轉出事件分別相應的轉移數據量為60、80以及100，相應的最大轉移數據量即最大轉出數據量為100，而2次應用對象轉入事件分別相應的轉移數據量為50和75相應的最小轉移數據量即最小轉入數據量為50，而第一監控倍數閾值為3，第二監控倍數閾值為2，可以確定不存在針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到第一監控倍數閾值，但是存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值位於預設的第二監控倍數閾值和第一監控倍數閾值之間(100/50＝2達到了第二監控倍數閾值但未達到第一監控倍數閾值)，同時也滿足所述針對同一目標應用對象的兩次應用對象轉移事件中包含兩次應用對象轉入事件或包含兩次應用對象轉出事件的條件，異常應用行為監控裝置即可確定該目標用戶為存在異常應用行為的可疑用戶。

進而在可選實施例中，異常應用行為監控裝置在根據預設監控周期內目標用戶的應用對象轉移事件判斷其是否發生異常應用行為的過程中，還可以結合目標用戶對目標應用對象的預設應用操作行為。因為打金工作室通常只是對應用對象進行單純的買賣交易轉移行為，而不會對其進行其他的例如應用對象使用行為、應用對象屬性強化行為、應用對象升級行為甚至是應用對象分享行為等行為，因此在識別存在異常應用行為的可疑用戶的時候，若目標用戶在監控周期內曾對所述目標應用對象進行預設應用操作行為，則可以認為該用戶帳號是打金工作帳號的可能性較低。因此在確定目標用戶為存在異常應用行為的可疑用戶之前，可以首先確定目標用戶在監控周期內未對所述目標應用對象進行預設應用操作行為。

s104，確定目標用戶為存在異常應用行為的可疑用戶。

即經過s103確定目標用戶在預設監控周期內存在異常應用行為，即認為目標用戶為可疑用戶，進而執行s107。

s105，判斷是否存在其他未監控用戶。

在本實施例中，異常應用行為監控裝置可以以遍歷的方式將其管理的所有用戶均作為監控的目標用戶執行異常應用行為監控流程。而在可選實施例中，異常應用行為監控裝置可以僅對其管理的所有用戶進行抽樣，在當前監控周期內遍歷所有被抽樣到的用戶作為監控的目標用戶執行異常應用行為監控流程，進一步還可以在不同的監控周期抽樣不同的用戶，使得在經過預設數量的監控周期後可以實現對所有用戶進行監控。

s106，將下一未監控用戶作為目標用戶。

s107，針對可疑用戶進行可疑帳號處理。

本發明實施例中的異常應用行為監控裝置對可以用戶進行可以帳號處理，可以例如對可疑帳號進行刪號、封號、警告、禁止使用交易功能、凍結或罰沒虛擬貨幣等處理。若異常應用行為監控裝置實現在應用後臺伺服器中，則可以直接對可疑用戶的用戶帳號進行上述處理，若其實現在應用客戶端或在其他網絡實體中單獨實現，則可以通知應用後臺伺服器對可疑用戶的用戶帳號進行上述可疑帳號處理。

本發明實施例的異常應用行為監控裝置通過對目標用戶在預設監控周期內發生的至少一個應用對象轉移事件相應的轉移數據量進行監控，實現了準確識別出存在異常應用行為的可疑用戶並及時對其進行處理，從而保障應用的公平有序運營。

圖2是本發明實施例中對監控倍數初始閾值進行優化調整的流程示意圖，如圖所示包括以下流程：

s201，使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控。

所述至少一個樣本用戶可以為預先進行過可疑用戶識別的樣本用戶集合，即已知所述至少一個樣本用戶中的部分用戶為可疑用戶，其中的可疑用戶集合可以為預先通過人工識別或另一種監控識別方法得到的，例如通過已識別工作室的ip，將歸屬於已識別工作室的ip的樣本用戶確定為可疑用戶。

在可選實施例中，在初始狀態下所述監控倍數閾值可以為一個或包含多個設定的初始監控倍數閾值，可以根據初始監控倍數閾值對採集到的樣本用戶的應用對象轉移事件數據進行監控，判斷得到的監控結果是否滿足預設的監控精確度要求，若滿足預設的精確度要求則表示初始監控倍數閾值可以繼續用於後續對所有目標用戶的異常應用行為監控，若不滿足預設的精確度要求則對初始監控倍數閾值進行調整，直至根據調整後的監控倍數閾值對採集到的樣本用戶的應用對象轉移事件數據進行監控得到的監控結果滿足預設的監控精確度要求。同時後續在對樣本用戶集合進行更新時，可以使用當前的監控倍數閾值對採集到的樣本用戶的應用對象轉移事件數據進行監控，判斷得到的監控結果是否滿足預設的監控精確度要求，若滿足預設的精確度要求則表示初始監控倍數閾值可以繼續用於對所有目標用戶的異常應用行為監控，若不滿足預設的精確度要求則對初始監控倍數閾值進行調整，直至根據調整後的監控倍數閾值對更新後的樣本用戶集合的應用對象轉移事件數據進行監控得到的監控結果滿足預設的監控精確度要求。

s202，從所述至少一個樣本用戶中確定得到存在異常應用行為的可疑用戶，所述可疑用戶在預設監控周期內針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值。

本實施例中的s201-s202實際為通過對樣本用戶在預設監控周期內發生的應用對象轉移事件使用本發明實施例s101-s104的異常應用行為監控流程，可以得到另一種監控結果的可疑用戶集合。具體可以參考前文實施例中的s101-s104，本實施例中不再贅述。

s203，監控結果是否滿足預設的監控精準度要求，若是則表示不需要對當前的監控倍數閾值進行優化調整，否則執行s204。

在一可選實施例中，所述監控精準度要求可以為：使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果中，從所述至少一個樣本用戶中確定得到的可疑用戶集合與所述至少一個樣本用戶預先確定的可疑用戶集合的重合比例達到第一預設比例閾值。

示例性的，所述至少一個樣本用戶中預先確定的可疑用戶包括用戶a、用戶b、用戶c、用戶d以及用戶e，而經過s201和s202使用當前的監控倍數閾值對至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果為所述至少一個樣本用戶中的可疑用戶包括用戶a、用戶b、用戶c、用戶d以及用戶f，那麼兩個可疑用戶集合之間的重合比例可以兩可疑用戶集合的交集佔為預先確定的可疑用戶集合的比例即80％，若第一預設比例閾值為75％，那麼重合比例達到第一預設比例閾值，即可確定監控結果滿足預設的監控精準度要求。

在另一實施例中，所述監控精準度要求可以為：使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果中，從所述至少一個樣本用戶中確定得到的可疑用戶在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和與所述至少一個樣本用戶在在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和之間的比值達到預設第二比例閾值。

示例性的，所述至少一個樣本用戶中預先確定的可疑用戶包括5個用戶，計算這5個用戶在預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和為a(在可選實施例中，轉移數據量可以計絕對值，即不考慮是轉出或轉入，只計算轉移數值的總和；也可以不計絕對值，如轉出是負值轉入是正值，若轉出數據量更多，則轉移數據量的總和為負值，反之若轉入數據量更多，則轉移數據量的總和為正值)，而經過s201和s202使用當前的監控倍數閾值對至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果為所述至少一個樣本用戶中的可疑用戶包括6個用戶，計算這6個用戶在預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和為b，b/a即為使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果中，從所述至少一個樣本用戶中確定得到的可疑用戶在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和與所述至少一個樣本用戶在在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和之間的比值，例如第二比例閾值為80％，那麼當b/a>80％的情況下，即可確定監控結果滿足預設的監控精準度要求。

在可選實施例中，異常應用行為監控裝置還可以結合上述兩個監控精準度要求，例如在同時滿足上述兩個監控精準度要求的情況下，方可確定監控結果滿足預設的監控精準度要求。

需要指出的是，上述僅為監控精準度要求的示例，異常應用行為監控裝置根據上述兩種示例的監控精準度要求可以結合其他條件作為判斷當前的監控倍數閾值是否需要優化的依據，均應屬於本發明的保護範圍。

s204，對當前的監控倍數閾值進行優化調整，優化調整後，使用經過優化調整的監控倍數閾值重新執行s201。

對所述監控倍數初始閾值進行優化調整可以例如：每次將當前的監控倍數閾值增加(或減少)一個固定調整值，例如0.01或0.05。若異常應用行為監控裝置預先設置了不止一個監控倍數閾值，則可以在每次調整時針對其中的部分監控倍數閾值進行優化調整。該優化調整可以是異常應用行為監控裝置根據預設調整規則自動完成，也可以由測試人員或管理員人工輸入調整後的監控倍數閾值。

本實施例的異常應用行為監控裝置通過使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控，並在得到的監控結果不滿足預設的監控精度要求時對所述監控倍數閾值進行優化調整，從而實現了對監控倍數閾值的自動優化，確保了異常應用行為監控裝置的監控精度。

圖3是本發明的一個遊戲場景實施例中異常應用行為監控方法的流程示意圖，在本實施例中，應用對象即為遊戲對象，遊戲對象轉移事件對應的轉移數據量即為虛擬貨幣轉移量，如圖所示本實施例的異常應用行為監控方法包括以下流程：

s301，獲取目標用戶在預設監控周期內發生的至少一個遊戲對象轉移事件，遊戲對象轉移事件包括遊戲對象轉入事件和遊戲對象轉出事件，所述遊戲對象轉移事件的內容包括被轉移的遊戲對象標識和相應的虛擬貨幣轉移量，若是遊戲對象轉入事件，相應的就是虛擬貨幣轉出量，若是遊戲對象轉出時間，相應的就是虛擬貨幣轉入量。

s302，判斷是否存在針對同一遊戲對象的至少兩次遊戲對象轉移事件。

即可以首先排除在預設監控周期內針對同一遊戲對象最多僅發生一次遊戲對象轉移事件的用戶。

s303，判斷是否存在針對同一目標遊戲對象的兩次遊戲對象轉出事件相應的虛擬貨幣轉入量之間的比值達到了第一監控倍數閾值。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉出事件中最高虛擬貨幣轉入量與最低虛擬貨幣轉入量之間的比值是否達到第一監控倍數閾值，若是則執行s309，否則繼續判斷s304。

s304，判斷是否存在針對同一目標遊戲對象的兩次遊戲對象轉入事件相應的虛擬貨幣轉出量之間的比值達到了第二監控倍數閾值。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉入事件中最高虛擬貨幣轉出量與最低虛擬貨幣轉出量之間的比值是否達到第二監控倍數閾值，若是則執行s309，否則繼續判斷s305。

需要指出的是這裡的第一監控倍數閾值和第二監控倍數閾值可以相同，也可以不同。

s305，判斷是否存在針對同一目標應用對象的遊戲對象轉出事件相應的最大虛擬貨幣轉入量與遊戲對象轉入事件相應的最小虛擬貨幣轉出量之間的比值位於第三監控倍數閾值與第四監控倍數閾值之間，並且包含兩次應用對象轉入事件或包含兩次應用對象轉出事件。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉出事件相應的最高虛擬貨幣轉入量與遊戲對象轉入事件相應的最低虛擬貨幣轉出量之間的比值是否達到第三監控倍數閾值同時未達到第四監控倍數閾值，同時判斷目標用戶在預設監控周期內是否存在針對同一目標遊戲對象的兩次應用對象轉入事件或包含兩次應用對象轉出事件，若是則執行s309，否則繼續判斷s306，所述第四監控倍數閾值大於第三監控倍數閾值。

s306，判斷是否存在針對同一目標應用對象的遊戲對象轉出事件相應的最大虛擬貨幣轉入量與遊戲對象轉入事件相應的最小虛擬貨幣轉出量之間的比值達到了第四監控倍數閾值。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉出事件相應的最高虛擬貨幣轉入量與遊戲對象轉入事件相應的最低虛擬貨幣轉出量之間的比值是否達到第四監控倍數閾值，若是則執行s309，否則繼續判斷s307。

s307，判斷是否存在針對同一目標應用對象的遊戲對象轉入事件相應的最大虛擬貨幣轉出量與遊戲對象轉出事件相應的最小虛擬貨幣轉入量之間的比值位於第五監控倍數閾值與第六監控倍數閾值之間，並且包含兩次應用對象轉入事件或包含兩次應用對象轉出事件。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉入事件相應的最高虛擬貨幣轉出量與遊戲對象轉出事件相應的最低虛擬貨幣轉入量之間的比值是否達到第五監控倍數閾值同時未達到第六監控倍數閾值，同時判斷目標用戶在預設監控周期內是否存在針對同一目標遊戲對象的兩次應用對象轉入事件或包含兩次應用對象轉出事件，若是則執行s309，否則繼續判斷s308，所述第六監控倍數閾值大於第五監控倍數閾值。

s308，判斷是否存在針對同一目標應用對象的遊戲對象轉入事件相應的最大虛擬貨幣轉出量與遊戲對象轉出事件相應的最小虛擬貨幣轉入量之間的比值達到了第六監控倍數閾值。

即可以判斷目標用戶在預設監控周期內針對同一目標遊戲對象的遊戲對象轉入事件相應的最高虛擬貨幣轉出量與遊戲對象轉出事件相應的最低虛擬貨幣轉入量之間的比值是否達到第六監控倍數閾值，若是則執行s309，否則流程結束。

需要指出的是，所述第三監控倍數閾值、所述第五監控倍數閾值以及第一監控倍數閾值可以取值相同，也可以各自取值不同，所述第四監控倍數閾值、所述第六監控倍數閾值以及所述第二監控倍數閾值可以取值相同，也可以各自取值不同。在可選實施例中，所述第三監控倍數閾值、所述第五監控倍數閾值、第一監控倍數閾值以及第二監控倍數閾值的初始值取值相同，例如為2，所述第四監控倍數閾值和所述第六監控倍數閾值的初始值取值相同，例如為3，但在經過s201-s204的優化調整後，各自取值可以為不同。

s309，確定目標用戶為存在異常應用行為的可疑用戶。

後續異常應用行為監控裝置可以針對可疑用戶進行可疑帳號處理，具體可以參考前文實施例中的s107，本實施例不再贅述。

本發明實施例的異常應用行為監控裝置通過對目標用戶在預設監控周期內發生的至少一個遊戲對象轉移事件相應的虛擬貨幣轉移量進行監控，實現了準確識別出存在異常遊戲行為的可疑用戶從而可以及時對其進行處理，從而保障遊戲的公平有序運營。

參見圖4，圖4是本發明實施例提供的一種異常應用行為監控裝置的組成結構示意圖，如圖所示本發明實施例中的異常應用行為監控裝置至少包括：

轉移記錄獲取模塊410，用於獲取目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，所述應用對象轉移事件包括應用對象轉入事件或應用對象轉出事件，所述應用對象轉移事件的內容包括被轉移的應用對象標識和相應的轉移數據量；

應用行為監控模塊420，用於若所述至少一個應用對象轉移事件中存在針對同一應用對象的至少兩次應用對象轉移事件，並且存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值的情況下，確定目標用戶為存在異常應用行為的可疑用戶；

帳號處理模塊430，用於針對可疑用戶進行可疑帳號處理。

進而在可選實施例中，異常應用行為監控裝置進一步還可以包括：

樣本監控模塊440，用於使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控，從所述至少一個樣本用戶中確定得到存在異常應用行為的可疑用戶，所述可疑用戶在預設監控周期內針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值；

閾值參數優化模塊450，用於在所述樣本監控模塊440從所述至少一個樣本用戶中確定得到存在異常應用行為的可疑用戶的監控結果不滿足預設的監控精準度要求的情況下，對所述監控倍數閾值進行優化調整，直至樣本監控模塊440使用經過優化調整後的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控，從所述至少一個樣本用戶中確定得到的可疑用戶的監控結果滿足預設的監控精準度要求。

在可選實施例中，所述監控精準度要求包括：

樣本監控模塊440使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果中，從所述至少一個樣本用戶中確定得到的可疑用戶集合與所述至少一個樣本用戶預先確定的可疑用戶集合的重合比例達到第一預設比例閾值。

在另一可選實施例中，所述監控精準度要求包括：

樣本監控模塊440使用當前的監控倍數閾值對預設的至少一個樣本用戶在預設監控周期內發生的應用對象轉移事件進行監控的監控結果中，從所述至少一個樣本用戶中確定得到的可疑用戶在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和與所述至少一個樣本用戶在在所述預設監控周期內發生的所有應用對象轉移事件相應的轉移數據量的總和之間的比值達到預設第二比例閾值。

在可選實施例中，所述應用行為監控模塊420用於：

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值，並且所述針對同一目標應用對象的兩次應用對象轉移事件中包含兩次應用對象轉入事件或包含兩次應用對象轉出事件，則確定目標用戶為存在異常應用行為的可疑用戶。

在另一可選實施例中，所述應用行為監控模塊420用於：

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的第一監控倍數閾值，則確定目標用戶為存在異常應用行為的可疑用戶；

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值位於預設的第二監控倍數閾值和第一監控倍數閾值之間，並且所述針對同一目標應用對象的應用對象轉移事件中包含至少兩次應用對象轉入事件或包含至少兩次應用對象轉出事件，則確定目標用戶為存在異常應用行為的可疑用戶；其中所述第一監控倍數閾值大於所述第二監控倍數閾值。

進而在可選實施例中，，所述應用行為監控模塊420如圖5所示進一步包括：

對象轉移監控單元421，用於檢測所述至少一個應用對象轉移事件中是否存在針對同一應用對象的至少兩次應用對象轉移事件，並且存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數；

應用操作監控單元422，用於檢測所述目標用戶在所述監控周期內是否未對所述目標應用對象進行預設應用操作行為，所述預設應用操作行為包括應用對象屬性強化行為；

當對象轉移監控單元與應用操作監控單元的檢測結果均為是的情況下，應用行為監控模塊420確定目標用戶為存在異常應用行為的可疑用戶。

本發明實施例的異常應用行為監控裝置通過對目標用戶在預設監控周期內發生的至少一個應用對象轉移事件相應的轉移數據量進行監控，實現了準確識別出存在異常應用行為的可疑用戶並及時對其進行處理，從而保障應用的公平有序運營。

這裡需要指出的是，上述異常應用行為監控裝置可以為pc這種電子設備；也可以是通過集群伺服器構成的，為實現各單元功能而合併為一實體或各單元功能分體設置的電子設備，異常應用行為監控裝置至少包括用於存儲數據的資料庫和用於數據處理的處理器，可以包括內置的存儲介質或獨立設置的存儲介質。

其中，對於用於數據處理的處理器而言，在執行處理時，可以採用微處理器、中央處理器(cpu，centralprocessingunit)、數位訊號處理器(dsp，digitalsingnalprocessor)或可編程邏輯陣列(fpga，field－programmablegatearray)實現；對於存儲介質來說，包含操作指令，該操作指令可以為計算機可執行代碼，通過所述操作指令來實現上述本發明實施例如圖1-3所示的網絡攻擊防護方法流程中的各個步驟。

異常應用行為監控裝置作為硬體實體的一個示例如圖6所示。所述裝置包括處理器601、存儲介質602以及至少一個外部通信接口603；所述處理器601、存儲介質602以及通信接口603均通過總線604連接。

異常應用行為監控裝置中的處理器601可以調用存儲介質602中的操作指令執行以下流程：

獲取目標用戶在預設監控周期內發生的至少一個應用對象轉移事件，所述應用對象轉移事件包括應用對象轉入事件或應用對象轉出事件，所述應用對象轉移事件的內容包括被轉移的應用對象標識和相應的轉移數據量；

確認所述至少一個應用對象轉移事件中存在針對同一應用對象的至少兩次應用對象轉移事件；

若存在所述針對同一目標應用對象的兩次應用對象轉移事件相應的轉移數據量之間的比值達到了預設的監控倍數閾值，則確定目標用戶為存在異常應用行為的可疑用戶；

針對可疑用戶進行可疑帳號處理。

這裡需要指出的是：以上涉及異常應用行為監控裝置的描述，與前文異常應用行為監控方法的描述是類似的，同方法的有益效果描述，不做贅述。對於本發明異常應用行為監控裝置實施例中未披露的技術細節，請參照本發明方法實施例的描述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的設備和方法，可以通過其它的方式實現。以上所描述的設備實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，如：多個單元或組件可以結合，或可以集成到另一個系統，或一些特徵可以忽略，或不執行。另外，所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口，設備或單元的間接耦合或通信連接，可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的，作為單元顯示的部件可以是、或也可以不是物理單元，即可以位於一個地方，也可以分布到多個網絡單元上；可以根據實際的需要選擇其中的部分或全部單元來實現本實施例方案的目的。

另外，在本發明各實施例中的各功能單元可以全部集成在一個處理單元中，也可以是各單元分別單獨作為一個單元，也可以兩個或兩個以上單元集成在一個單元中；上述集成的單元既可以採用硬體的形式實現，也可以採用硬體加軟體功能單元的形式實現。

本領域普通技術人員可以理解：實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬體來完成，前述的程序可以存儲於一計算機可讀取存儲介質中，該程序在執行時，執行包括上述方法實施例的步驟；而前述的存儲介質包括：移動存儲設備、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

或者，本發明上述集成的單元如果以軟體功能模塊的形式實現並作為獨立的產品銷售或使用時，也可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明實施例的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機、伺服器、或者網絡設備等)執行本發明各個實施例所述方法的全部或部分。而前述的存儲介質包括：移動存儲設備、rom、ram、磁碟或者光碟等各種可以存儲程序代碼的介質。

以上所述，僅為本發明的具體實施方式，但本發明的保護範圍並不局限於此，任何熟悉本技術領域的技術人員在本發明揭露的技術範圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護範圍之內。因此，本發明的保護範圍應以所述權利要求的保護範圍為準。