基于可疑社团的刷单行为检测方法、装置、设备及介质

摘要

本发明涉及大数据领域，提供一种基于可疑社团的刷单行为检测方法、装置、设备及介质，能够基于改进的fraudar算法计算所述更新网络的全局可疑度，在fraudar算法中引入了惩罚项，以控制网络的规模，有效避免过拟合可疑度函数，使筛选出的社团更加合理，并结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性，根据所述可疑社团生成刷单行为检测结果，进而实现对刷单行为的自动检测，以辅助进行刷单风险的判断。本发明还涉及区块链技术，刷单行为检测结果可存储于区块链。

说明书

技术领域

本发明涉及大数据技术领域，尤其涉及一种基于可疑社团的刷单行为检测方法、装置、设备及介质。

背景技术

随着网上购物的不断发展，刷单现象也不断涌现，给消费者带来较大困扰。

为了杜绝刷单行为，需要从大量的订单中检测出异常订单，通常采用的方式是检测购买者IP(Internet Protocol，网际互连协议)、购买量等，再进一步分析，以确定是否有刷单行为，但这种方式容易有漏洞，准确率不高。

或者也可以采用fraudar算法进行社团检测。社团检测通常是指将网络中联系紧密的部分找出来，被找出的部分则被称之为社团，因此，社团内部联系稠密，而社团之间联系稀疏。fraudar算法是一种基于贪婪算法的可疑社团识别方法，其在逐步贪心移除可疑度最小节点的迭代过程中，使全局可疑度达到最大的留存节点组成了可疑度最高的致密子网络。但是，fraudar算法的全局可疑度仅是节点可疑度和边可疑度的平均值，对节点数量和边数量不敏感，导致该算法有时会过度拟合可疑度最大化，导致网络规模不合理，进而无法找出最优的致密子网，也就无法有效识别到存在刷单行为的可疑社团。

发明内容

鉴于以上内容，有必要提供一种基于可疑社团的刷单行为检测方法、装置、设备及介质，能够实现对刷单行为的自动检测，以辅助进行刷单风险的判断。

一种基于可疑社团的刷单行为检测方法，所述基于可疑社团的刷单行为检测方法包括：

当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据；

根据所述待处理数据构建初始网络；

计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点；

将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络；

基于改进的fraudar算法计算所述更新网络的全局可疑度；

对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度；

根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团；

根据所述可疑社团生成刷单行为检测结果。

根据本发明优选实施例，所述根据所述刷单行为检测指令获取待处理数据包括：

解析所述刷单行为检测指令的方法体，得到所述刷单行为检测指令的携带信息；

获取与数据库标识对应的预设标签；

根据所述预设标签建立正则表达式；

根据所述正则表达式在所述刷单行为检测指令的携带信息中进行搜索，并将搜索到的信息确定为目标数据库标识；

根据所述目标数据库标识调用目标数据库，并从所述目标数据库中获取数据作为所述待处理数据。

根据本发明优选实施例，所述根据所述待处理数据构建初始网络包括：

从所述待处理数据中识别购买行为；

确定每个购买行为的购买者及被购买物品；

以每个购买行为的购买者及被购买物品为节点，以每个购买行为的指向为边构建有向二部图；

将构建的所述有向二部图确定为所述初始网络。

根据本发明优选实施例，所述计算所述初始网络中每个节点的节点可疑度包括：

获取所述初始网络中的每条边及每条边的终点；

确定每条边的终点的入度；

根据每条边的终点的入度计算每条边的边可疑度；

确定每个节点所连接的边；

计算每个节点所连接的边的边可疑度的累加和作为每个节点的节点可疑度。

根据本发明优选实施例，采用下述公式基于改进的fraudar算法计算所述更新网络的全局可疑度：

其中，

根据本发明优选实施例，所述根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团包括：

将所述更新网络的全局可疑度及每个备选网络的全局可疑度按照由高到低的顺序进行排序；

将排在首位的全局可疑度确定为目标全局可疑度；

将所述目标全局可疑度对应的网络确定为所述可疑社团。

根据本发明优选实施例，所述方法还包括：

将所述可疑社团从所述初始网络中移除，得到更新后的网络；

基于所述更新后的网络进行可疑社团检测，包括：基于改进的fraudar算法对所述更新后的网络进行检测，得到可疑致密社团，将所述可疑致密社团从所述更新后的网络中移除，并更新网络；

重复基于所述更新后的网络进行可疑社团检测，得到至少一个所述可疑致密社团；

按照每个可疑致密社团的检测顺序对所述至少一个所述可疑致密社团进行排序，得到可疑致密社团序列；

反馈所述可疑致密社团序列至指定终端设备。

一种基于可疑社团的刷单行为检测装置，所述基于可疑社团的刷单行为检测装置包括：

获取单元，用于当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据；

构建单元，用于根据所述待处理数据构建初始网络；

计算单元，用于计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点；

移除单元，用于将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络；

所述计算单元，还用于基于改进的fraudar算法计算所述更新网络的全局可疑度；

迭代单元，用于对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度；

筛选单元，用于根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团；

生成单元，用于根据所述可疑社团生成刷单行为检测结果。

一种电子设备，所述电子设备包括：

存储器，存储至少一个指令；及

处理器，执行所述存储器中存储的指令以实现所述基于可疑社团的刷单行为检测方法。

一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一个指令，所述至少一个指令被电子设备中的处理器执行以实现所述基于可疑社团的刷单行为检测方法。

由以上技术方案可以看出，本发明能够当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据，根据所述待处理数据构建初始网络，计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络，基于改进的fraudar算法计算所述更新网络的全局可疑度，在fraudar算法中引入了惩罚项，以控制网络的规模，有效避免过拟合可疑度函数，使筛选出的社团更加合理，对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度，根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团，结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性，根据所述可疑社团生成刷单行为检测结果，进而实现对刷单行为的自动检测，以辅助进行刷单风险的判断。

附图说明

图1是本发明基于可疑社团的刷单行为检测方法的较佳实施例的流程图。

图2是本发明基于可疑社团的刷单行为检测装置的较佳实施例的功能模块图。

图3是本发明实现基于可疑社团的刷单行为检测方法的较佳实施例的电子设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。

如图1所示，是本发明基于可疑社团的刷单行为检测方法的较佳实施例的流程图。根据不同的需求，该流程图中步骤的顺序可以改变，某些步骤可以省略。

所述基于可疑社团的刷单行为检测方法应用于一个或者多个电子设备中，所述电子设备是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific IntegratedCircuit，ASIC)、可编程门阵列(Field－Programmable Gate Array，FPGA)、数字处理器(Digital Signal Processor，DSP)、嵌入式设备等。

所述电子设备可以是任何一种可与用户进行人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant，PDA)、游戏机、交互式网络电视(Internet Protocol Television，IPTV)、智能式穿戴式设备等。

所述电子设备还可以包括网络设备和/或用户设备。其中，所述网络设备包括，但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。

所述电子设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network，VPN)等。

S10，当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据。

在本实施例中，所述刷单行为检测指令可以由负责刷单检测的相关工作人员触发，也可以由网络安全的相关负责人触发，本发明不限制。

在本发明的至少一个实施例中，所述待处理数据可以包括，但不限于：购买者、被购买物品。

在本发明的至少一个实施例中，所述根据所述刷单行为检测指令获取待处理数据包括：

解析所述刷单行为检测指令的方法体，得到所述刷单行为检测指令的携带信息；

获取与数据库标识对应的预设标签；

根据所述预设标签建立正则表达式；

根据所述正则表达式在所述刷单行为检测指令的携带信息中进行搜索，并将搜索到的信息确定为目标数据库标识；

根据所述目标数据库标识调用目标数据库，并从所述目标数据库中获取数据作为所述待处理数据。

其中，所述预设标签可以进行自定义配置，所述预设标签与数据库标识具有对应关系，用于定位到所述目标数据库。

其中，所述目标数据库中可以存储着指定平台上的所有网购信息，或者指定网点的所有订单信息，本发明不限制。

通过上述实施方式，能够通过解析刷单行为检测指令以获取到待处理数据，以供后续分析计算使用。

S11，根据所述待处理数据构建初始网络。

在本发明的至少一个实施例中，所述根据所述待处理数据构建初始网络包括：

从所述待处理数据中识别购买行为；

确定每个购买行为的购买者及被购买物品；

以每个购买行为的购买者及被购买物品为节点，以每个购买行为的指向为边构建有向二部图；

将构建的所述有向二部图确定为所述初始网络。

通过上述实施方式，能够根据购买行为首先建立有向图作为初始网络，以便以所述初始网络为基础进行分析。

S12，计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点。

在本发明的至少一个实施例中，所述计算所述初始网络中每个节点的节点可疑度包括：

获取所述初始网络中的每条边及每条边的终点；

确定每条边的终点的入度；

根据每条边的终点的入度计算每条边的边可疑度；

确定每个节点所连接的边；

计算每个节点所连接的边的边可疑度的累加和作为每个节点的节点可疑度。

其中，每条边的终点的入度是指有向图中某节点作为图中边的终点的次数之和，节点所连接的边的数量越多，则入度越高。

在本实施例中，每条边的终点是根据边的方向而定的，例如：对于购买行为，被购买物品所在的节点即为终点。

具体地，可以采用如下公式根据每条边的终点的入度计算每条边的边可疑度：

进一步地，可以采用如下公式计算每个节点所连接的边的边可疑度的累加和作为每个节点的节点可疑度：

节点可疑度＝∑

其中，edge表示边。

在本发明的至少一个实施例中，可以采用下述公式根据所述节点可疑度确定配置数量的目标节点：

N＝max(1,现有的节点数/1000)

其中，N为所述配置数量。

S13，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络。

可以理解的是，所述目标节点及与所述目标节点连接的边是被检测出的可疑度最低的节点，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，能够使得到的所述更新网络的全局可疑度更高。

在上述实施方式中，通过每次移除配置数量的节点，以提高整体的计算效率。

S14，基于改进的fraudar算法计算所述更新网络的全局可疑度。

在本发明的至少一个实施例中，采用下述公式基于改进的fraudar算法计算所述更新网络的全局可疑度：

其中，

上述实施方式在fraudar算法中引入了惩罚项，以控制网络的规模(包括节点规模和边的规模)，有效避免过拟合可疑度函数，使筛选出的社团更加合理。

S15，对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度。

具体地，可以参照S12-S14，以所述更新网络为基础，执行S12-S14，每次迭代过程中，删除当前的网络中可疑度低的节点及与该节点连接的边，以得到新的网络。

也就是说，每次迭代都在上一次迭代后所得到网络的基础上进行，每次迭代都会获得一个比上一个网络更小的网络，直至当前网络的体积为零，则停止迭代，得到与每次迭代对应的至少一个备选网络及每个备选网络的全局可疑度。

例如：第二次迭代是在所述更新网络的基础上进行网络的缩小，第三次迭代则是在第二次得到的网络的基础上进行网络的缩小，以此类推，直至网络的体积为零，则停止迭代，将每次迭代得到的网络进行整合，作为所述至少一个备选网络，并获取每个备选网络的全局可疑度。

S16，根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团。

在本发明的至少一个实施例中，所述根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团包括：

将所述更新网络的全局可疑度及每个备选网络的全局可疑度按照由高到低的顺序进行排序；

将排在首位的全局可疑度确定为目标全局可疑度；

将所述目标全局可疑度对应的网络确定为所述可疑社团。

可以理解的是，虽然网络在不断迭代的过程中不断缩小，但并不代表全局可疑度也随之不断提高，即很有可能仅仅缩小了网络体积，但得到的网络的全局可疑度反而降低了。

也就是说，全局可疑度最高的网络可能对应于某次迭代后产生的网络，而不是最后一次迭代得到的网络，因此，本实施方式还需要对得到的每个网络(即所述更新网络及所述至少一个备选网络)中筛选出全局可疑度最高的网络作为最终筛选出的可疑社团。

通过上述实施方式，能够结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性。

需要说明的是，采用原有的fraudar算法检测出的可疑社团内部连接密切，与外部几乎不连接，所以fraudar算法将该子网络找了出来。但是，由于fraudar过分拟合致密性，而没有找出中间那个更合理的子网络。

为了克服这个问题，在原有的fraudar算法中引入了惩罚项，对致密子网络的规模做了限制，当子网络过分小时，会对此进行惩罚，确保致密子网络维持一定规模。

改进的fraudar算法找到的可疑社团比采用原有的fraudar算法找到的可疑社团更加合理。

S17，根据所述可疑社团生成刷单行为检测结果。

在本实施例中，在找到所述可疑社团后，即可将所述可疑社团中的购买者确定为刷单行为执行者，将所述可疑社团中的被购买物品确定为刷单行为的购买目标，以生成所述刷单行为检测结果。

在本实施例中，为了进一步确保数据被恶意篡改，可以将所述刷单行为检测结果保存至区块链。

在本发明的至少一个实施例中，所述方法还包括：

将所述可疑社团从所述初始网络中移除，得到更新后的网络；

基于所述更新后的网络进行可疑社团检测，包括：基于改进的fraudar算法对所述更新后的网络进行检测，得到可疑致密社团，将所述可疑致密社团从所述更新后的网络中移除，并更新网络；

重复基于所述更新后的网络进行可疑社团检测，得到至少一个所述可疑致密社团；

按照每个可疑致密社团的检测顺序对所述至少一个所述可疑致密社团进行排序，得到可疑致密社团序列；

反馈所述可疑致密社团序列至指定终端设备。

可以理解的是，得到的所述可疑社团为最可疑的子网络，但是，在剩余的网络中还可能存在其他可疑的子网络，虽然这些子网络的可疑度低于所述可疑社团，但仍然具有参考价值，因此，本实施例还可以在筛选出所述可疑社团后，再进一步筛选出其他可疑社团，以保证检测的全面性。

进一步地，由于每次筛选出的都是当前网络中全局可疑度最高的子网络，因此，检测顺序越靠前，则证明可疑度越高，因此，本实施方式按照每个可疑致密社团的检测顺序对所述至少一个所述可疑致密社团进行排序，并形成可疑致密社团序列，使每个社团的可疑度更加明确。

更进一步地，反馈所述可疑致密社团序列至指定终端设备(如负责刷单行为检测的相关人员的终端设备等)，以供参考，并辅助进行刷单行为检测。

需要说明的是，本案中所采用的可疑社团检测算法也可以用于其他任务，如欺诈团体检测、犯罪团体检测等，方案中对应的数据可根据具体地任务改变，如欺诈团体检测时，所述初始网络可以为人与人之间的社交关系网络，或者准增员和推荐人之间的关系网络等。

由以上技术方案可以看出，本发明能够当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据，根据所述待处理数据构建初始网络，计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络，基于改进的fraudar算法计算所述更新网络的全局可疑度，在fraudar算法中引入了惩罚项，以控制网络的规模，有效避免过拟合可疑度函数，使筛选出的社团更加合理，对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度，根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团，结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性，根据所述可疑社团生成刷单行为检测结果，进而实现对刷单行为的自动检测，以辅助进行刷单风险的判断。

如图2所示，是本发明基于可疑社团的刷单行为检测装置的较佳实施例的功能模块图。所述基于可疑社团的刷单行为检测装置11包括获取单元110、构建单元111、计算单元112、移除单元113、迭代单元114、筛选单元115、生成单元116。本发明所称的模块/单元是指一种能够被处理器13所执行，并且能够完成固定功能的一系列计算机程序段，其存储在存储器12中。在本实施例中，关于各模块/单元的功能将在后续的实施例中详述。

当接收到刷单行为检测指令时，获取单元110根据所述刷单行为检测指令获取待处理数据。

在本实施例中，所述刷单行为检测指令可以由负责刷单检测的相关工作人员触发，也可以由网络安全的相关负责人触发，本发明不限制。

在本发明的至少一个实施例中，所述待处理数据可以包括，但不限于：购买者、被购买物品。

在本发明的至少一个实施例中，所述获取单元110根据所述刷单行为检测指令获取待处理数据包括：

解析所述刷单行为检测指令的方法体，得到所述刷单行为检测指令的携带信息；

获取与数据库标识对应的预设标签；

根据所述预设标签建立正则表达式；

根据所述正则表达式在所述刷单行为检测指令的携带信息中进行搜索，并将搜索到的信息确定为目标数据库标识；

根据所述目标数据库标识调用目标数据库，并从所述目标数据库中获取数据作为所述待处理数据。

其中，所述预设标签可以进行自定义配置，所述预设标签与数据库标识具有对应关系，用于定位到所述目标数据库。

其中，所述目标数据库中可以存储着指定平台上的所有网购信息，或者指定网点的所有订单信息，本发明不限制。

通过上述实施方式，能够通过解析刷单行为检测指令以获取到待处理数据，以供后续分析计算使用。

构建单元111根据所述待处理数据构建初始网络。

在本发明的至少一个实施例中，所述构建单元111根据所述待处理数据构建初始网络包括：

从所述待处理数据中识别购买行为；

确定每个购买行为的购买者及被购买物品；

以每个购买行为的购买者及被购买物品为节点，以每个购买行为的指向为边构建有向二部图；

将构建的所述有向二部图确定为所述初始网络。

通过上述实施方式，能够根据购买行为首先建立有向图作为初始网络，以便以所述初始网络为基础进行分析。

计算单元112计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点。

在本发明的至少一个实施例中，所述计算单元112计算所述初始网络中每个节点的节点可疑度包括：

获取所述初始网络中的每条边及每条边的终点；

确定每条边的终点的入度；

根据每条边的终点的入度计算每条边的边可疑度；

确定每个节点所连接的边；

计算每个节点所连接的边的边可疑度的累加和作为每个节点的节点可疑度。

其中，每条边的终点的入度是指有向图中某节点作为图中边的终点的次数之和，节点所连接的边的数量越多，则入度越高。

在本实施例中，每条边的终点是根据边的方向而定的，例如：对于购买行为，被购买物品所在的节点即为终点。

具体地，可以采用如下公式根据每条边的终点的入度计算每条边的边可疑度：

进一步地，可以采用如下公式计算每个节点所连接的边的边可疑度的累加和作为每个节点的节点可疑度：

节点可疑度＝∑

其中，edge表示边。

在本发明的至少一个实施例中，可以采用下述公式根据所述节点可疑度确定配置数量的目标节点：

N＝max(1,现有的节点数/1000)

其中，N为所述配置数量。

移除单元113将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络。

可以理解的是，所述目标节点及与所述目标节点连接的边是被检测出的可疑度最低的节点，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，能够使得到的所述更新网络的全局可疑度更高。

在上述实施方式中，通过每次移除配置数量的节点，以提高整体的计算效率。

所述计算单元112基于改进的fraudar算法计算所述更新网络的全局可疑度。

在本发明的至少一个实施例中，所述计算单元112采用下述公式基于改进的fraudar算法计算所述更新网络的全局可疑度：

其中，

上述实施方式在fraudar算法中引入了惩罚项，以控制网络的规模(包括节点规模和边的规模)，有效避免过拟合可疑度函数，使筛选出的社团更加合理。

迭代单元114对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度。

具体地，以所述更新网络为基础，每次迭代过程中，删除当前的网络中可疑度低的节点及与该节点连接的边，以得到新的网络。

也就是说，每次迭代都在上一次迭代后所得到网络的基础上进行，每次迭代都会获得一个比上一个网络更小的网络，直至当前网络的体积为零，则停止迭代，得到与每次迭代对应的至少一个备选网络及每个备选网络的全局可疑度。

例如：第二次迭代是在所述更新网络的基础上进行网络的缩小，第三次迭代则是在第二次得到的网络的基础上进行网络的缩小，以此类推，直至网络的体积为零，则停止迭代，将每次迭代得到的网络进行整合，作为所述至少一个备选网络，并获取每个备选网络的全局可疑度。

筛选单元115根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团。

在本发明的至少一个实施例中，所述筛选单元115根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团包括：

将所述更新网络的全局可疑度及每个备选网络的全局可疑度按照由高到低的顺序进行排序；

将排在首位的全局可疑度确定为目标全局可疑度；

将所述目标全局可疑度对应的网络确定为所述可疑社团。

可以理解的是，虽然网络在不断迭代的过程中不断缩小，但并不代表全局可疑度也随之不断提高，即很有可能仅仅缩小了网络体积，但得到的网络的全局可疑度反而降低了。

也就是说，全局可疑度最高的网络可能对应于某次迭代后产生的网络，而不是最后一次迭代得到的网络，因此，本实施方式还需要对得到的每个网络(即所述更新网络及所述至少一个备选网络)中筛选出全局可疑度最高的网络作为最终筛选出的可疑社团。

通过上述实施方式，能够结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性。

需要说明的是，采用原有的fraudar算法检测出的可疑社团内部连接密切，与外部几乎不连接，所以fraudar算法将该子网络找了出来。但是，由于fraudar过分拟合致密性，而没有找出中间那个更合理的子网络。

为了克服这个问题，在原有的fraudar算法中引入了惩罚项，对致密子网络的规模做了限制，当子网络过分小时，会对此进行惩罚，确保致密子网络维持一定规模。

改进的fraudar算法找到的可疑社团比采用原有的fraudar算法找到的可疑社团更加合理。

生成单元116根据所述可疑社团生成刷单行为检测结果。

在本实施例中，在找到所述可疑社团后，即可将所述可疑社团中的购买者确定为刷单行为执行者，将所述可疑社团中的被购买物品确定为刷单行为的购买目标，以生成所述刷单行为检测结果。

在本实施例中，为了进一步确保数据被恶意篡改，可以将所述刷单行为检测结果保存至区块链。

在本发明的至少一个实施例中，将所述可疑社团从所述初始网络中移除，得到更新后的网络；

基于所述更新后的网络进行可疑社团检测，包括：基于改进的fraudar算法对所述更新后的网络进行检测，得到可疑致密社团，将所述可疑致密社团从所述更新后的网络中移除，并更新网络；

重复基于所述更新后的网络进行可疑社团检测，得到至少一个所述可疑致密社团；

按照每个可疑致密社团的检测顺序对所述至少一个所述可疑致密社团进行排序，得到可疑致密社团序列；

反馈所述可疑致密社团序列至指定终端设备。

可以理解的是，得到的所述可疑社团为最可疑的子网络，但是，在剩余的网络中还可能存在其他可疑的子网络，虽然这些子网络的可疑度低于所述可疑社团，但仍然具有参考价值，因此，本实施例还可以在筛选出所述可疑社团后，再进一步筛选出其他可疑社团，以保证检测的全面性。

进一步地，由于每次筛选出的都是当前网络中全局可疑度最高的子网络，因此，检测顺序越靠前，则证明可疑度越高，因此，本实施方式按照每个可疑致密社团的检测顺序对所述至少一个所述可疑致密社团进行排序，并形成可疑致密社团序列，使每个社团的可疑度更加明确。

更进一步地，反馈所述可疑致密社团序列至指定终端设备(如负责刷单行为检测的相关人员的终端设备等)，以供参考，并辅助进行刷单行为检测。

需要说明的是，本案中所采用的可疑社团检测算法也可以用于其他任务，如欺诈团体检测、犯罪团体检测等，方案中对应的数据可根据具体地任务改变，如欺诈团体检测时，所述初始网络可以为人与人之间的社交关系网络，或者准增员和推荐人之间的关系网络等。

由以上技术方案可以看出，本发明能够当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据，根据所述待处理数据构建初始网络，计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点，将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络，基于改进的fraudar算法计算所述更新网络的全局可疑度，在fraudar算法中引入了惩罚项，以控制网络的规模，有效避免过拟合可疑度函数，使筛选出的社团更加合理，对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度，根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团，结合贪心算法及惩罚项检测出可疑社团，使检测到的可疑社团具有更高的准确性，根据所述可疑社团生成刷单行为检测结果，进而实现对刷单行为的自动检测，以辅助进行刷单风险的判断。

如图3所示，是本发明实现基于可疑社团的刷单行为检测方法的较佳实施例的电子设备的结构示意图。

所述电子设备1可以包括存储器12、处理器13和总线，还可以包括存储在所述存储器12中并可在所述处理器13上运行的计算机程序，例如基于可疑社团的刷单行为检测程序。

本领域技术人员可以理解，所述示意图仅仅是电子设备1的示例，并不构成对电子设备1的限定，所述电子设备1既可以是总线型结构，也可以是星形结构，所述电子设备1还可以包括比图示更多或更少的其他硬件或者软件，或者不同的部件布置，例如所述电子设备1还可以包括输入输出设备、网络接入设备等。

需要说明的是，所述电子设备1仅为举例，其他现有的或今后可能出现的电子产品如可适应于本发明，也应包含在本发明的保护范围以内，并以引用方式包含于此。

其中，存储器12至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如：SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器12在一些实施例中可以是电子设备1的内部存储单元，例如该电子设备1的移动硬盘。存储器12在另一些实施例中也可以是电子设备1的外部存储设备，例如电子设备1上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地，存储器12还可以既包括电子设备1的内部存储单元也包括外部存储设备。存储器12不仅可以用于存储安装于电子设备1的应用软件及各类数据，例如基于可疑社团的刷单行为检测程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器13在一些实施例中可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(Central Processing unit，CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器13是所述电子设备1的控制核心(Control Unit)，利用各种接口和线路连接整个电子设备1的各个部件，通过运行或执行存储在所述存储器12内的程序或者模块(例如执行基于可疑社团的刷单行为检测程序等)，以及调用存储在所述存储器12内的数据，以执行电子设备1的各种功能和处理数据。

所述处理器13执行所述电子设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个基于可疑社团的刷单行为检测方法实施例中的步骤，例如图1所示的步骤。

示例性的，所述计算机程序可以被分割成一个或多个模块/单元，所述一个或者多个模块/单元被存储在所述存储器12中，并由所述处理器13执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述电子设备1中的执行过程。例如，所述计算机程序可以被分割成获取单元110、构建单元111、计算单元112、移除单元113、迭代单元114、筛选单元115、生成单元116。

上述以软件功能模块的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、计算机设备，或者网络设备等)或处理器(processor)执行本发明各个实施例所述基于可疑社团的刷单行为检测方法的部分。

所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指示相关的硬件设备来完成，所述的计算机程序可存储于一计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个方法实施例的步骤。

其中，所述计算机程序包括计算机程序代码，所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器等。

进一步地，计算机可读存储介质可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序等；存储数据区可存储根据区块链节点的使用所创建的数据等。

本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

总线可以是外设部件互连标准(peripheral component interconnect，简称PCI)总线或扩展工业标准结构(extended industry standard architecture，简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，在图3中仅用一根箭头表示，但并不表示仅有一根总线或一种类型的总线。所述总线被设置为实现所述存储器12以及至少一个处理器13等之间的连接通信。

尽管未示出，所述电子设备1还可以包括给各个部件供电的电源(比如电池)，优选地，电源可以通过电源管理装置与所述至少一个处理器13逻辑相连，从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备1还可以包括多种传感器、蓝牙模块、Wi-Fi模块等，在此不再赘述。

进一步地，所述电子设备1还可以包括网络接口，可选地，所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等)，通常用于在该电子设备1与其他电子设备之间建立通信连接。

可选地，该电子设备1还可以包括用户接口，用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard))，可选地，用户接口还可以是标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在电子设备1中处理的信息以及用于显示可视化的用户界面。

应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。

图3仅示出了具有组件12-13的电子设备1，本领域技术人员可以理解的是，图3示出的结构并不构成对所述电子设备1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

结合图1，所述电子设备1中的所述存储器12存储多个指令以实现一种基于可疑社团的刷单行为检测方法，所述处理器13可执行所述多个指令从而实现：

当接收到刷单行为检测指令时，根据所述刷单行为检测指令获取待处理数据；

根据所述待处理数据构建初始网络；

计算所述初始网络中每个节点的节点可疑度，并根据所述节点可疑度确定配置数量的目标节点；

将所述目标节点及与所述目标节点连接的边从所述初始网络中移除，得到更新网络；

基于改进的fraudar算法计算所述更新网络的全局可疑度；

对所述更新网络进行迭代，直至当前网络的体积为零，停止迭代，得到至少一个备选网络及每个备选网络的全局可疑度；

根据所述更新网络的全局可疑度及每个备选网络的全局可疑度从所述更新网络及所述至少一个备选网络中筛选出可疑社团；

根据所述可疑社团生成刷单行为检测结果。

具体地，所述处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。

因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。

此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统实施例中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。