一种异常应用行为监控方法和装置与流程

本发明涉及互联网技术领域，尤其涉及一种异常应用行为监控方法和装置。

背景技术：

应用虚拟货币的营收对与应用运营公司而言是非常重要的一个方面。应用打金工作室是指利用应用漏洞采取非正常方式赚取虚拟货币并通过各种手段把其兑换为现实货币的个体或者团体。应用打金工作室的存在不仅挤占应用服务器资源，破坏应用平衡，还给应用运营公司收入带来巨大损失。

通常应用运营公司都会对打金工作室进行监控，对已经证实的打金工作室账号进行封停或者调整被利用的应用漏洞内容。目前的监控打金工作室的方案的精确度差强人意，经常会造成误封的情况，引发玩家的投诉。

技术实现要素：

本发明实施例所要解决的技术问题在于，提供一种异常应用行为监控方法和装置，可准确识别出存在异常应用行为的可疑用户并及时对其进行处理，从而保障应用的公平有序运营。

为了解决上述技术问题，本发明实施例提供了一种异常应用行为监控方法，所述方法包括：

获取目标用户在预设监控周期内发生的至少一个应用对象转移事件，所述应用对象转移事件包括应用对象转入事件或应用对象转出事件，所述应用对象转移事件的内容包括被转移的应用对象标识和相应的转移数据量；

确认所述至少一个应用对象转移事件中存在针对同一应用对象的至少两次应用对象转移事件；

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值，则确定目标用户为存在异常应用行为的可疑用户；

针对可疑用户进行可疑账号处理。

相应地，本发明实施例还提供了一种异常应用行为监控装置，所述装置包括：

转移记录获取模块，用于获取目标用户在预设监控周期内发生的至少一个应用对象转移事件，所述应用对象转移事件包括应用对象转入事件或应用对象转出事件，所述应用对象转移事件的内容包括被转移的应用对象标识和相应的转移数据量；

应用行为监控模块，用于若所述至少一个应用对象转移事件中存在针对同一应用对象的至少两次应用对象转移事件，并且存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值的情况下，确定目标用户为存在异常应用行为的可疑用户；

账号处理模块，用于针对可疑用户进行可疑账号处理。

本发明实施例通过对目标用户在预设监控周期内发生的至少一个应用对象转移事件相应的转移数据量进行监控，实现了准确识别出存在异常应用行为的可疑用户并及时对其进行处理，从而保障应用的公平有序运营。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例中的一种异常应用行为监控方法的流程示意图；

图2是本发明实施例中对监控倍数初始阈值进行优化调整的流程示意图；

图3是本发明的一个游戏场景实施例中异常应用行为监控方法的流程示意图；

图4是本发明实施例中的一种异常应用行为监控装置的结构示意图；

图5是本发明实施例中的应用行为监控模块的结构示意图；

图6是本发明实施例的异常应用行为监控装置的一个硬件组成结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例中的异常应用行为监控方法在不加以特别说明的情况下，可以由本发明的异常应用行为监控装置实施，而本发明实施例的异常应用行为监控装置，可以实现在网络后台服务器侧，例如集成在应用后台服务器实现或独立于应用后台服务器实现。

而在可选实施例中，异常应用行为监控装置也可以在用户终端上运行的应用客户端实现，可以仅负责监控在该应用客户端上登录的用户账户在使用该应用时的应用行为。

图1是本发明实施例中的一种异常应用行为监控方法的流程示意图，如图所示本实施例中的异常应用行为监控方法可以包括：

s101，获取目标用户在预设监控周期内发生的至少一个应用对象转移事件，所述应用对象转移事件包括应用对象转入事件或应用对象转出事件，所述应用对象转移事件的内容包括被转移的应用对象标识和相应的转移数据量。

所述应用对象转入事件，即目标用户将某个应用对象转入属于自身账户的事件，应用对象可以从应用运营账号或其他用户账号处转入目标用户的账户。同理，所述应用对象转出事件，即目标用户从自身账户将某个应用对象转出的事件，应用对象可以从目标用户的账户转出至应用运营账号或其他用户账号。所述应用对象可以为虚拟物品对象，例如游戏道具、游戏角色等游戏场景下的虚拟物品、也可以代表实际产品或线上或线下的服务，例如可供兑换的商品、应用功能使用权限、使用时长或线下商品或服务的优惠券等。本发明实施例中所描述的应用对象转移事件不针对无偿的赠送事件，而仅针对“有偿”的应用对象转移事件，即每个应用对象转移事件都会产生相应的数据转移，这里被转移的数据可以是虚拟货币，也可以是其他可以表征该被转移的应用对象的价值的数据，即被转移的应用对象的价值越高，对应的应用对象转移事件相应的转移数据量就会越大。

应用对象的价值除了由其使用效果和体验自身决定之外，收到的关注度和热门程度也会对应用对象的价值产生影响，例如游戏场景下的某个虚拟物品因其关联的实际事件或人物在社会的关注度大增，导致游戏玩家在游戏中纷纷购买该应用对象，针对这样的情况应用运营公司会根据某个应用对象的购买记录对该应用对象的价值进行调整，例如提高用户购买该应用对象的虚拟货币售价。在实际应用使用过程中存在这样的现象，就是打金工作室通过多个账号之间对其拥有的一个应用对象进行反复买卖，从而实现提高该应用对象的价值，对该应用物品的价值产生“炒作”的效果。例如在一款足球运营游戏中，打金工作室通过多个账号在球员市场中反复对同一球员进行买卖操作，运营后台系统根据在球员在一定的周期内出现的多次买卖事件记录会对该球员在球员市场中的交易价格进行调整从而不断提高该球员的交易价格。

为了及时发现上述恶意抬高应用物品交易价值的行为，异常应用行为监控装置可以按照预设的监控周期，对其管理的用户在该监控周期内发生的至少一个应用对象转移事件进行分析。异常应用行为监控装置如果实现在应用后台服务器或应用客户端，则可以实时记录目标用户在预设监控周期内发生的至少一个应用对象转移事件，若独立于应用后台服务器或应用客户端实现，则可以从应用后台服务器获取其记录到的多个用户在预设监控周期内发生的应用对象转移事件的数据从而进行后续的分析。所述预设监控周期可以例如为1天、2天或一周。

示例性的获取到的目标用户在预设监控周期内发生的至少一个应用对象转移事件可以如下表1所示，

表1目标用户在当天针对同一游戏对象的交易记录

在上表中，大区id(identification，标识)是目标用户登录游戏是所选的服务区(或所属服务区)的id，用户id即目标用户的标识，虚拟货币转移量指的是各交易对应的虚拟交易价格，负值表示转出虚拟货币，即目标用户使用虚拟货币将目标游戏对象买入，正值表示转入虚拟货币，即目标用户将目标游戏对象卖出，换取虚拟货币，交易时间用于区分不同的应用对象转移事件，在其他可选实施例中可以使用事件id、交易流水号等代替。

s102，判断所述至少一个应用对象转移事件中是否存在针对同一应用对象的至少两次应用对象转移事件，若是则执行s103，否则执行s105。

即可以首先排除在预设监控周期内针对同一应用对象最多仅发生一次应用对象转移事件的用户。

s103，判断是否存在针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值，若是则执行s104，否则执行s105。

所述预设的监控倍数阈值可以例如2、3、4或处于2～3区间的任一数值。举例来说，例如目标用户在监控周期内对同一应用对象的应用对象转出事件包括3次，3次分别相应的转移数据量为50、75以及100，其中相应的最大转移数据量即最大转出数据量为100，相应的最小转移数据量即最小转入数据量为50，那么其之间的比值为100/50＝2，若预设的监控倍数阈值为2，那么正好到达了监控倍数阈值，即可确定目标用户为存在异常应用行为的可疑用户。

在另一可选实施方式中，异常应用行为监控装置可以判断是否存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值，并且所述针对同一目标应用对象的两次应用对象转移事件中包含两次应用对象转入事件或包含两次应用对象转出事件，若上述两个条件均满足，则可以确定目标用户为存在异常应用行为的可疑用户。

举例来说，例如目标用户在监控周期内对同一应用对象的应用对象转移事件中包括3次应用对象转出事件和2次应用对象转入事件，其中3次应用对象转出事件相应的最大转移数据量即最大转出数据量为100，而2次应用对象转入事件相应的最小转移数据量即最小转入数据量为50，若预设的监控倍数阈值为2，那么就到达了监控倍数阈值，同时也满足所述针对同一目标应用对象的两次应用对象转移事件中包含两次应用对象转入事件或包含两次应用对象转出事件的条件，即可确定该目标用户为存在异常应用行为的可疑用户。

在又一可选实施方式中，异常应用行为监控装置可以预先设置不止一个监控倍数阈值，异常应用行为监控装置可以判断是否存在针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的第一监控倍数阈值，若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的第一监控倍数阈值，则确定目标用户为存在异常应用行为的可疑用户；

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值位于预设的第二监控倍数阈值和第一监控倍数阈值之间，并且所述针对同一目标应用对象的应用对象转移事件中包含至少两次应用对象转入事件或包含至少两次应用对象转出事件，则确定目标用户为存在异常应用行为的可疑用户；其中所述第一监控倍数阈值大于所述第二监控倍数阈值。

举例来说，例如目标用户在监控周期内对同一应用对象的应用对象转移事件中包括3次应用对象转出事件和2次应用对象转入事件，其中3次应用对象转出事件分别相应的转移数据量为60、80以及100，相应的最大转移数据量即最大转出数据量为100，而2次应用对象转入事件分别相应的转移数据量为50和75相应的最小转移数据量即最小转入数据量为50，而第一监控倍数阈值为3，第二监控倍数阈值为2，可以确定不存在针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到第一监控倍数阈值，但是存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值位于预设的第二监控倍数阈值和第一监控倍数阈值之间(100/50＝2达到了第二监控倍数阈值但未达到第一监控倍数阈值)，同时也满足所述针对同一目标应用对象的两次应用对象转移事件中包含两次应用对象转入事件或包含两次应用对象转出事件的条件，异常应用行为监控装置即可确定该目标用户为存在异常应用行为的可疑用户。

进而在可选实施例中，异常应用行为监控装置在根据预设监控周期内目标用户的应用对象转移事件判断其是否发生异常应用行为的过程中，还可以结合目标用户对目标应用对象的预设应用操作行为。因为打金工作室通常只是对应用对象进行单纯的买卖交易转移行为，而不会对其进行其他的例如应用对象使用行为、应用对象属性强化行为、应用对象升级行为甚至是应用对象分享行为等行为，因此在识别存在异常应用行为的可疑用户的时候，若目标用户在监控周期内曾对所述目标应用对象进行预设应用操作行为，则可以认为该用户账号是打金工作帐号的可能性较低。因此在确定目标用户为存在异常应用行为的可疑用户之前，可以首先确定目标用户在监控周期内未对所述目标应用对象进行预设应用操作行为。

s104，确定目标用户为存在异常应用行为的可疑用户。

即经过s103确定目标用户在预设监控周期内存在异常应用行为，即认为目标用户为可疑用户，进而执行s107。

s105，判断是否存在其他未监控用户。

在本实施例中，异常应用行为监控装置可以以遍历的方式将其管理的所有用户均作为监控的目标用户执行异常应用行为监控流程。而在可选实施例中，异常应用行为监控装置可以仅对其管理的所有用户进行抽样，在当前监控周期内遍历所有被抽样到的用户作为监控的目标用户执行异常应用行为监控流程，进一步还可以在不同的监控周期抽样不同的用户，使得在经过预设数量的监控周期后可以实现对所有用户进行监控。

s106，将下一未监控用户作为目标用户。

s107，针对可疑用户进行可疑账号处理。

本发明实施例中的异常应用行为监控装置对可以用户进行可以账号处理，可以例如对可疑账号进行删号、封号、警告、禁止使用交易功能、冻结或罚没虚拟货币等处理。若异常应用行为监控装置实现在应用后台服务器中，则可以直接对可疑用户的用户账号进行上述处理，若其实现在应用客户端或在其他网络实体中单独实现，则可以通知应用后台服务器对可疑用户的用户账号进行上述可疑账号处理。

本发明实施例的异常应用行为监控装置通过对目标用户在预设监控周期内发生的至少一个应用对象转移事件相应的转移数据量进行监控，实现了准确识别出存在异常应用行为的可疑用户并及时对其进行处理，从而保障应用的公平有序运营。

图2是本发明实施例中对监控倍数初始阈值进行优化调整的流程示意图，如图所示包括以下流程：

s201，使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控。

所述至少一个样本用户可以为预先进行过可疑用户识别的样本用户集合，即已知所述至少一个样本用户中的部分用户为可疑用户，其中的可疑用户集合可以为预先通过人工识别或另一种监控识别方法得到的，例如通过已识别工作室的ip，将归属于已识别工作室的ip的样本用户确定为可疑用户。

在可选实施例中，在初始状态下所述监控倍数阈值可以为一个或包含多个设定的初始监控倍数阈值，可以根据初始监控倍数阈值对采集到的样本用户的应用对象转移事件数据进行监控，判断得到的监控结果是否满足预设的监控精确度要求，若满足预设的精确度要求则表示初始监控倍数阈值可以继续用于后续对所有目标用户的异常应用行为监控，若不满足预设的精确度要求则对初始监控倍数阈值进行调整，直至根据调整后的监控倍数阈值对采集到的样本用户的应用对象转移事件数据进行监控得到的监控结果满足预设的监控精确度要求。同时后续在对样本用户集合进行更新时，可以使用当前的监控倍数阈值对采集到的样本用户的应用对象转移事件数据进行监控，判断得到的监控结果是否满足预设的监控精确度要求，若满足预设的精确度要求则表示初始监控倍数阈值可以继续用于对所有目标用户的异常应用行为监控，若不满足预设的精确度要求则对初始监控倍数阈值进行调整，直至根据调整后的监控倍数阈值对更新后的样本用户集合的应用对象转移事件数据进行监控得到的监控结果满足预设的监控精确度要求。

s202，从所述至少一个样本用户中确定得到存在异常应用行为的可疑用户，所述可疑用户在预设监控周期内针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值。

本实施例中的s201-s202实际为通过对样本用户在预设监控周期内发生的应用对象转移事件使用本发明实施例s101-s104的异常应用行为监控流程，可以得到另一种监控结果的可疑用户集合。具体可以参考前文实施例中的s101-s104，本实施例中不再赘述。

s203，监控结果是否满足预设的监控精准度要求，若是则表示不需要对当前的监控倍数阈值进行优化调整，否则执行s204。

在一可选实施例中，所述监控精准度要求可以为：使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果中，从所述至少一个样本用户中确定得到的可疑用户集合与所述至少一个样本用户预先确定的可疑用户集合的重合比例达到第一预设比例阈值。

示例性的，所述至少一个样本用户中预先确定的可疑用户包括用户a、用户b、用户c、用户d以及用户e，而经过s201和s202使用当前的监控倍数阈值对至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果为所述至少一个样本用户中的可疑用户包括用户a、用户b、用户c、用户d以及用户f，那么两个可疑用户集合之间的重合比例可以两可疑用户集合的交集占为预先确定的可疑用户集合的比例即80％，若第一预设比例阈值为75％，那么重合比例达到第一预设比例阈值，即可确定监控结果满足预设的监控精准度要求。

在另一实施例中，所述监控精准度要求可以为：使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果中，从所述至少一个样本用户中确定得到的可疑用户在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和与所述至少一个样本用户在在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和之间的比值达到预设第二比例阈值。

示例性的，所述至少一个样本用户中预先确定的可疑用户包括5个用户，计算这5个用户在预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和为a(在可选实施例中，转移数据量可以计绝对值，即不考虑是转出或转入，只计算转移数值的总和；也可以不计绝对值，如转出是负值转入是正值，若转出数据量更多，则转移数据量的总和为负值，反之若转入数据量更多，则转移数据量的总和为正值)，而经过s201和s202使用当前的监控倍数阈值对至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果为所述至少一个样本用户中的可疑用户包括6个用户，计算这6个用户在预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和为b，b/a即为使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果中，从所述至少一个样本用户中确定得到的可疑用户在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和与所述至少一个样本用户在在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和之间的比值，例如第二比例阈值为80％，那么当b/a>80％的情况下，即可确定监控结果满足预设的监控精准度要求。

在可选实施例中，异常应用行为监控装置还可以结合上述两个监控精准度要求，例如在同时满足上述两个监控精准度要求的情况下，方可确定监控结果满足预设的监控精准度要求。

需要指出的是，上述仅为监控精准度要求的示例，异常应用行为监控装置根据上述两种示例的监控精准度要求可以结合其他条件作为判断当前的监控倍数阈值是否需要优化的依据，均应属于本发明的保护范围。

s204，对当前的监控倍数阈值进行优化调整，优化调整后，使用经过优化调整的监控倍数阈值重新执行s201。

对所述监控倍数初始阈值进行优化调整可以例如：每次将当前的监控倍数阈值增加(或减少)一个固定调整值，例如0.01或0.05。若异常应用行为监控装置预先设置了不止一个监控倍数阈值，则可以在每次调整时针对其中的部分监控倍数阈值进行优化调整。该优化调整可以是异常应用行为监控装置根据预设调整规则自动完成，也可以由测试人员或管理员人工输入调整后的监控倍数阈值。

本实施例的异常应用行为监控装置通过使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控，并在得到的监控结果不满足预设的监控精度要求时对所述监控倍数阈值进行优化调整，从而实现了对监控倍数阈值的自动优化，确保了异常应用行为监控装置的监控精度。

图3是本发明的一个游戏场景实施例中异常应用行为监控方法的流程示意图，在本实施例中，应用对象即为游戏对象，游戏对象转移事件对应的转移数据量即为虚拟货币转移量，如图所示本实施例的异常应用行为监控方法包括以下流程：

s301，获取目标用户在预设监控周期内发生的至少一个游戏对象转移事件，游戏对象转移事件包括游戏对象转入事件和游戏对象转出事件，所述游戏对象转移事件的内容包括被转移的游戏对象标识和相应的虚拟货币转移量，若是游戏对象转入事件，相应的就是虚拟货币转出量，若是游戏对象转出时间，相应的就是虚拟货币转入量。

s302，判断是否存在针对同一游戏对象的至少两次游戏对象转移事件。

即可以首先排除在预设监控周期内针对同一游戏对象最多仅发生一次游戏对象转移事件的用户。

s303，判断是否存在针对同一目标游戏对象的两次游戏对象转出事件相应的虚拟货币转入量之间的比值达到了第一监控倍数阈值。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转出事件中最高虚拟货币转入量与最低虚拟货币转入量之间的比值是否达到第一监控倍数阈值，若是则执行s309，否则继续判断s304。

s304，判断是否存在针对同一目标游戏对象的两次游戏对象转入事件相应的虚拟货币转出量之间的比值达到了第二监控倍数阈值。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转入事件中最高虚拟货币转出量与最低虚拟货币转出量之间的比值是否达到第二监控倍数阈值，若是则执行s309，否则继续判断s305。

需要指出的是这里的第一监控倍数阈值和第二监控倍数阈值可以相同，也可以不同。

s305，判断是否存在针对同一目标应用对象的游戏对象转出事件相应的最大虚拟货币转入量与游戏对象转入事件相应的最小虚拟货币转出量之间的比值位于第三监控倍数阈值与第四监控倍数阈值之间，并且包含两次应用对象转入事件或包含两次应用对象转出事件。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转出事件相应的最高虚拟货币转入量与游戏对象转入事件相应的最低虚拟货币转出量之间的比值是否达到第三监控倍数阈值同时未达到第四监控倍数阈值，同时判断目标用户在预设监控周期内是否存在针对同一目标游戏对象的两次应用对象转入事件或包含两次应用对象转出事件，若是则执行s309，否则继续判断s306，所述第四监控倍数阈值大于第三监控倍数阈值。

s306，判断是否存在针对同一目标应用对象的游戏对象转出事件相应的最大虚拟货币转入量与游戏对象转入事件相应的最小虚拟货币转出量之间的比值达到了第四监控倍数阈值。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转出事件相应的最高虚拟货币转入量与游戏对象转入事件相应的最低虚拟货币转出量之间的比值是否达到第四监控倍数阈值，若是则执行s309，否则继续判断s307。

s307，判断是否存在针对同一目标应用对象的游戏对象转入事件相应的最大虚拟货币转出量与游戏对象转出事件相应的最小虚拟货币转入量之间的比值位于第五监控倍数阈值与第六监控倍数阈值之间，并且包含两次应用对象转入事件或包含两次应用对象转出事件。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转入事件相应的最高虚拟货币转出量与游戏对象转出事件相应的最低虚拟货币转入量之间的比值是否达到第五监控倍数阈值同时未达到第六监控倍数阈值，同时判断目标用户在预设监控周期内是否存在针对同一目标游戏对象的两次应用对象转入事件或包含两次应用对象转出事件，若是则执行s309，否则继续判断s308，所述第六监控倍数阈值大于第五监控倍数阈值。

s308，判断是否存在针对同一目标应用对象的游戏对象转入事件相应的最大虚拟货币转出量与游戏对象转出事件相应的最小虚拟货币转入量之间的比值达到了第六监控倍数阈值。

即可以判断目标用户在预设监控周期内针对同一目标游戏对象的游戏对象转入事件相应的最高虚拟货币转出量与游戏对象转出事件相应的最低虚拟货币转入量之间的比值是否达到第六监控倍数阈值，若是则执行s309，否则流程结束。

需要指出的是，所述第三监控倍数阈值、所述第五监控倍数阈值以及第一监控倍数阈值可以取值相同，也可以各自取值不同，所述第四监控倍数阈值、所述第六监控倍数阈值以及所述第二监控倍数阈值可以取值相同，也可以各自取值不同。在可选实施例中，所述第三监控倍数阈值、所述第五监控倍数阈值、第一监控倍数阈值以及第二监控倍数阈值的初始值取值相同，例如为2，所述第四监控倍数阈值和所述第六监控倍数阈值的初始值取值相同，例如为3，但在经过s201-s204的优化调整后，各自取值可以为不同。

s309，确定目标用户为存在异常应用行为的可疑用户。

后续异常应用行为监控装置可以针对可疑用户进行可疑账号处理，具体可以参考前文实施例中的s107，本实施例不再赘述。

本发明实施例的异常应用行为监控装置通过对目标用户在预设监控周期内发生的至少一个游戏对象转移事件相应的虚拟货币转移量进行监控，实现了准确识别出存在异常游戏行为的可疑用户从而可以及时对其进行处理，从而保障游戏的公平有序运营。

参见图4，图4是本发明实施例提供的一种异常应用行为监控装置的组成结构示意图，如图所示本发明实施例中的异常应用行为监控装置至少包括：

转移记录获取模块410，用于获取目标用户在预设监控周期内发生的至少一个应用对象转移事件，所述应用对象转移事件包括应用对象转入事件或应用对象转出事件，所述应用对象转移事件的内容包括被转移的应用对象标识和相应的转移数据量；

应用行为监控模块420，用于若所述至少一个应用对象转移事件中存在针对同一应用对象的至少两次应用对象转移事件，并且存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值的情况下，确定目标用户为存在异常应用行为的可疑用户；

账号处理模块430，用于针对可疑用户进行可疑账号处理。

进而在可选实施例中，异常应用行为监控装置进一步还可以包括：

样本监控模块440，用于使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控，从所述至少一个样本用户中确定得到存在异常应用行为的可疑用户，所述可疑用户在预设监控周期内针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值；

阈值参数优化模块450，用于在所述样本监控模块440从所述至少一个样本用户中确定得到存在异常应用行为的可疑用户的监控结果不满足预设的监控精准度要求的情况下，对所述监控倍数阈值进行优化调整，直至样本监控模块440使用经过优化调整后的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控，从所述至少一个样本用户中确定得到的可疑用户的监控结果满足预设的监控精准度要求。

在可选实施例中，所述监控精准度要求包括：

样本监控模块440使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果中，从所述至少一个样本用户中确定得到的可疑用户集合与所述至少一个样本用户预先确定的可疑用户集合的重合比例达到第一预设比例阈值。

在另一可选实施例中，所述监控精准度要求包括：

样本监控模块440使用当前的监控倍数阈值对预设的至少一个样本用户在预设监控周期内发生的应用对象转移事件进行监控的监控结果中，从所述至少一个样本用户中确定得到的可疑用户在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和与所述至少一个样本用户在在所述预设监控周期内发生的所有应用对象转移事件相应的转移数据量的总和之间的比值达到预设第二比例阈值。

在可选实施例中，所述应用行为监控模块420用于：

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值，并且所述针对同一目标应用对象的两次应用对象转移事件中包含两次应用对象转入事件或包含两次应用对象转出事件，则确定目标用户为存在异常应用行为的可疑用户。

在另一可选实施例中，所述应用行为监控模块420用于：

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的第一监控倍数阈值，则确定目标用户为存在异常应用行为的可疑用户；

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值位于预设的第二监控倍数阈值和第一监控倍数阈值之间，并且所述针对同一目标应用对象的应用对象转移事件中包含至少两次应用对象转入事件或包含至少两次应用对象转出事件，则确定目标用户为存在异常应用行为的可疑用户；其中所述第一监控倍数阈值大于所述第二监控倍数阈值。

进而在可选实施例中，，所述应用行为监控模块420如图5所示进一步包括：

对象转移监控单元421，用于检测所述至少一个应用对象转移事件中是否存在针对同一应用对象的至少两次应用对象转移事件，并且存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数；

应用操作监控单元422，用于检测所述目标用户在所述监控周期内是否未对所述目标应用对象进行预设应用操作行为，所述预设应用操作行为包括应用对象属性强化行为；

当对象转移监控单元与应用操作监控单元的检测结果均为是的情况下，应用行为监控模块420确定目标用户为存在异常应用行为的可疑用户。

本发明实施例的异常应用行为监控装置通过对目标用户在预设监控周期内发生的至少一个应用对象转移事件相应的转移数据量进行监控，实现了准确识别出存在异常应用行为的可疑用户并及时对其进行处理，从而保障应用的公平有序运营。

这里需要指出的是，上述异常应用行为监控装置可以为pc这种电子设备；也可以是通过集群服务器构成的，为实现各单元功能而合并为一实体或各单元功能分体设置的电子设备，异常应用行为监控装置至少包括用于存储数据的数据库和用于数据处理的处理器，可以包括内置的存储介质或独立设置的存储介质。

其中，对于用于数据处理的处理器而言，在执行处理时，可以采用微处理器、中央处理器(cpu，centralprocessingunit)、数字信号处理器(dsp，digitalsingnalprocessor)或可编程逻辑阵列(fpga，field－programmablegatearray)实现；对于存储介质来说，包含操作指令，该操作指令可以为计算机可执行代码，通过所述操作指令来实现上述本发明实施例如图1-3所示的网络攻击防护方法流程中的各个步骤。

异常应用行为监控装置作为硬件实体的一个示例如图6所示。所述装置包括处理器601、存储介质602以及至少一个外部通信接口603；所述处理器601、存储介质602以及通信接口603均通过总线604连接。

异常应用行为监控装置中的处理器601可以调用存储介质602中的操作指令执行以下流程：

获取目标用户在预设监控周期内发生的至少一个应用对象转移事件，所述应用对象转移事件包括应用对象转入事件或应用对象转出事件，所述应用对象转移事件的内容包括被转移的应用对象标识和相应的转移数据量；

确认所述至少一个应用对象转移事件中存在针对同一应用对象的至少两次应用对象转移事件；

若存在所述针对同一目标应用对象的两次应用对象转移事件相应的转移数据量之间的比值达到了预设的监控倍数阈值，则确定目标用户为存在异常应用行为的可疑用户；

针对可疑用户进行可疑账号处理。

这里需要指出的是：以上涉及异常应用行为监控装置的描述，与前文异常应用行为监控方法的描述是类似的，同方法的有益效果描述，不做赘述。对于本发明异常应用行为监控装置实施例中未披露的技术细节，请参照本发明方法实施例的描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。