CN107341716A

CN107341716A - 一种恶意订单识别的方法、装置及电子设备

Info

Publication number: CN107341716A
Application number: CN201710560874.6A
Authority: CN
Inventors: 钱春江; 余文喆; 杜红光
Original assignee: Beijing QIYI Century Science and Technology Co Ltd
Current assignee: Beijing QIYI Century Science and Technology Co Ltd
Priority date: 2017-07-11
Filing date: 2017-07-11
Publication date: 2017-11-10
Anticipated expiration: 2037-07-11
Also published as: CN107341716B

Abstract

本发明实施例提供了一种恶意订单识别的方法、装置及电子设备，上述方法包括：获取待识别订单行为的数据；利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分，其中，所述分析模型是根据预设的订单行为的数据，进行模型训练获得的；根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为。应用本发明实施例使用分析模型对待识别订单行为的数据进行分析，可以提高恶意订单识别的成功率和扩大恶意订单识别的范围。

Description

一种恶意订单识别的方法、装置及电子设备

技术领域

本发明涉及网络技术领域，特别是涉及一种恶意订单识别的方法、装置及电子设备。

背景技术

随着互联网电商的兴起，网上购物的安全也日益受到重视。很多恶意用户利用电商中的漏洞或者价格差进行刷单、抢单，对广大正常需求的消费群体以及电商造成不利甚至是损失。

然而，发明人在实现本发明的过程中发现，现有技术至少存在如下问题：

现有的电商采取在各环节进行针对性地识别，比如有专门识别访问是否太过频繁的方法，有专门识别收货人的地址是否相似的方法。这些识别方法都是独立的基于有限的功能来判断用户订单行为是否恶意，而恶意用户可以轻易地绕过有限的识别功能，进行恶意订单行为而不被发现。可见随着恶意订单者的反监控策略的提升，现有的恶意订单识别技术的识别成功率低，识别范围窄。

发明内容

本发明实施例的目的在于提供一种恶意订单识别的方法、装置及电子设备，以提高恶意订单识别的成功率和范围。具体技术方案如下：

一种恶意订单识别的方法，所述方法包括：

获取待识别订单行为的数据；

利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分，其中，所述分析模型是根据预设的订单行为的数据，进行模型训练获得的；

根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为。

可选的，在所述利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分之前，所述方法还包括：

判断所述待识别订单行为的数据所属的用户类型是否为新用户，其中，所述用户类型包括新用户或者老用户，所述新用户为历史订单行为个数小于预设的第一阈值的用户，所述老用户为历史订单行为个数大于或等于所述第一阈值的用户；

所述利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分，包括：

在判断所述待识别订单行为的数据所属的用户类型为新用户时，计算获得所述待识别订单行为与第一分析子模型标记出的恶意订单行为之间的第一相似度，将所述第一相似度作为所述待识别订单行为的恶意评分，其中，所述第一分析子模型是所述分析模型中的一个模型，为对样本用户的历史订单行为的数据进行K均值K-means聚类分析，获得不同等级的正常订单行为构成的类和不同等级的恶意订单行为构成的类的分析子模型；

或者，在判断所述待识别订单行为的数据所属的用户类型为老用户时，计算获得所述待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度；

将所述待识别订单行为的数据输入至与所述待识别订单行为所属的用户对应的第二分析子模型，计算获得所述待识别订单行为与所述待识别订单行为所属的用户的历史订单行为之间的第三相似度，将所述第二相似度和所述第三相似度进行得分合计，将得分合计的结果作为所述待识别订单行为的恶意评分，其中，所述第二分析子模型是所述分析模型中的一个模型，为针对每一样本用户，利用该样本用户的个人历史订单行为的数据进行逻辑回归训练获得的与该样本用户对应的分析子模型。

可选的，所述根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为，包括：

所述待识别订单行为的数据所属的用户类型为新用户，且所述恶意评分大于预设的第二阈值时，确定所述待识别订单行为属于恶意订单行为；

或者，所述待识别订单行为的数据所属的用户类型为新用户，且所述恶意评分小于或等于所述第二阈值时，确定所述待识别订单行为不属于恶意订单行为；

或者，所述待识别订单行为的数据所属的用户类型为老用户，且所述恶意评分大于预设的第三阈值时，确定所述待识别订单行为属于恶意订单行为；

或者，所述待识别订单行为的数据所属的用户类型为老用户，且所述恶意评分小于或等于所述第三阈值时，确定所述待识别订单行为不属于恶意订单行为。

可选的，所述订单行为包括下述的一种或者几种组合：

订单访问的IP地址、IP地址所在的地理位置、订单请求所使用的设备、订单的货品种类、每次订单的数量、订单时间、支付方式、收货人三级地址、收货人姓名和收货人电话。

一种恶意订单识别的装置，所述装置包括：

数据获取模块，用于获取待识别订单行为的数据；

评分获得模块，用于利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分，其中，所述分析模型是根据预设的订单行为的数据，进行模型训练获得的；

行为判断模块，用于根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为。

可选的，所述装置还包括类型判断模块，所述评分获得模块包括：第一评分获得子模块和第二评分获得子模块；

所述类型判断模块，用于判断所述待识别订单行为的数据所属的用户类型是否为新用户，其中，所述用户类型包括新用户或者老用户，所述新用户为历史订单行为个数小于预设的第一阈值的用户，所述老用户为历史订单行为个数大于或等于所述第一阈值的用户；如果所述待识别订单行为的数据所属的用户类型为新用户，触发所述第一评分获得子模块，如果所述待识别订单行为的数据所属的用户类型为老用户，触发所述第二评分获得子模块；

所述第一评分获得子模块，用于计算获得所述待识别订单行为与第一分析子模型标记出的恶意订单行为之间的第一相似度，将所述第一相似度作为所述待识别订单行为的恶意评分，其中，所述第一分析子模型是所述分析模型中的一个模型，为对样本用户的历史订单行为的数据进行K均值K-means聚类分析，获得不同等级的正常订单行为构成的类和不同等级的恶意订单行为构成的类的分析子模型；

所述第二评分获得子模块，用于计算获得所述待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度；

可选的，所述行为判断模块包括：第一评分判断子模块、第一行为确定子模块、第二行为确定子模块和第二评分判断子模块；

所述第一评分判断子模块，用于所述待识别订单行为的数据所属的用户类型为新用户，判断所述恶意评分是否大于预设的第二阈值，如果所述恶意评分大于所述第二阈值，触发所述第一行为确定子模块，如果所述恶意评分小于或等于所述第二阈值，触发所述第二行为确定子模块；

所述第一行为确定子模块，用于确定所述待识别订单行为属于恶意订单行为；

所述第二行为确定子模块，用于确定所述待识别订单行为不属于恶意订单行为；

所述第二评分判断子模块，用于所述待识别订单行为的数据所属的用户类型为老用户，判断所述恶意评分是否大于预设的第三阈值，如果所述恶意评分大于所述第三阈值，触发所述第一行为确定子模块，如果所述恶意评分小于或等于所述第三阈值，触发所述第二行为确定子模块。

可选的，所述订单行为包括下述的一种或者几种组合：

在本发明实施的又一方面，还提供了一种电子设备，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述任一所述的恶意订单识别的方法。

在本发明实施的又一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一所述的恶意订单识别的方法。

在本发明实施的又一方面，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的恶意订单识别的方法。

本发明实施例提供的方案中，可以利用分析模型对接收到的待识别订单行为的数据进行分析，获得待识别订单行为的恶意评分，其中，所述分析模型是根据预设的订单行为的数据，进行模型训练获得的，根据恶意评分判断所述订单行为是否属于恶意订单行为。这样应用本发明实施例时，由于分析模型是基于预设的订单行为的数据训练得到的，所以可以根据需要对分析模型进行扩展，使得分析模型具有自适应性且分析范围广，提高恶意订单识别的成功率，扩大恶意订单识别的范围。当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本发明实施例提供的恶意订单识别的系统框图；

图2为本发明实施例提供的恶意订单识别方法的第一种流程示意图；

图3为本发明实施例提供的恶意订单识别方法的第二种流程示意图；

图4为本发明实施例提供的使用K-means进行聚类分析的一种分离结果示意图；

图5为本发明实施例提供的恶意订单识别方法的第三种流程示意图；

图6为本发明实施例提供的恶意订单识别装置的第一种结构示意图；

图7为本发明实施例提供的恶意订单识别装置的第二种结构示意图；

图8为本发明实施例提供的恶意订单识别装置的第三种结构示意图；

图9为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

现有技术中，对恶意订单的识别往往采用在各环节针对性地识别，比如，有针对订单访问的IP地址进行识别的方法，当检测到同一IP地址在一段时间内的订单数量急剧增加，就可以将这些订单确定为恶意订单，或者将这些订单确定为可疑订单，并进一步识别。但是当恶意用户利用恶意手段，使得每条恶意订单的访问IP地址都不相同的时，上述方法就无法识别出这些恶意订单，可见现有方法识别成功率低。

基于此，发明人认为用户的历史订单行为中包含了该用户的订单习惯，考虑利用统计学习和机器学习，构造多维度、自适应的分析模型来计算待识别订单行为与历史订单行为的相似度，并通过计算得到的相似度来确定待识别订单行为是否属于恶意订单行为，以提高恶意订单识别的成功率。

基于上述考虑，本发明提供了一种恶意订单识别的方法，利用基于历史订单行为构造的分析模型对待识别订单行为进行分析，获得待识别订单行为的恶意评分，根据恶意评分判断待识别订单行为是否属于恶意订单行为。其中，构造分析模型时，采用的是预设的订单行为的数据，可以根据需要自行添加新的数据或者删除不需要的数据，使得分析模型具有多维度和自适应性，避免从单一维度对订单行为进行识别，能够提高恶意订单识别的成功率和扩大恶意订单识别的范围。

图1为本发明实施例提供的恶意订单识别的系统框图。

在接收到订单请求行为后，判断是否存有订单请求的用户的足够多的历史订单行为的数据，如果有，则利用个人体订单行为模型和群体订单行为模型进行分析，如果没有，则利用群体订单行为模型进行分析；

其中，训练和分析包括：个人行为训练和分析、群体行为训练和分析；

个人行为训练和分析：利用一个用户的个人订单行为的数据进行模型训练，得到个人订单行为模型，利用个人订单行为模型对该用户的待识别订单行为进行分析，可以得到该用户的待识别订单行为与该用户历史订单行为的相似度；

群体行为训练和分析：利用样本用户的所有个人订单行为的数据进行模型训练，得到有不同恶意订单行为等级的群体订单行为模型，利用群体订单行为模型对待识别订单行为进行分析，可以得到待识别订单行为的恶意等级；

利用得到的相似度和恶意等级，综合分析可以得到待识别订单行为的得分结果。

图2为本发明实施例的恶意订单识别方法的第一种流程示意图，包括：

S201：获取待识别订单行为的数据。

具体的，本实施例中，订单行为包括：订单访问的IP地址、IP地址所在的地理位置、订单请求所使用的设备、订单的货品种类、每次订单的数量、订单时间、支付方式、收货人三级地址、收货人姓名和收货人电话。

订单行为中包含的上述信息与订单行为直接相关，当订单行为中的上述信息存在可疑，可以判断该条订单行为属于恶意订单行为，或者将该条订单行为列为可疑订单行为，并做进一步识别。因此，可以根据一条订单行为中的上述信息的变化情况，识别出该订单行为是否属于恶意订单行为。

S202：利用分析模型对待识别订单行为的数据进行分析，获得待识别订单行为的恶意评分。

其中，分析模型是根据预设的订单行为的数据，进行模型训练获得的。

本实施例中，预设的订单行为可以包括：订单的货品种类(学生多数会购买电子产品，中年人多数会购买保健品)、订单时间(上班族往往会在晚上或周末下订单)和每次订单的数量(对于奢侈品，非恶意者往往不会一次大量购买)等信息。

可以利用训练好的分析模型得到待识别订单行为属于恶意订单行为的概率，将得到的概率作为待识别订单行为的恶意评分，也可以利用训练好的分析模型得到待识别订单行为偏离正常订单行为的距离，将得到的距离作为待识别订单行为的恶意评分，利用得到的恶意评分进一步分析，可以判断待识别订单行为是否属于恶意订单行为。

S203：根据恶意评分判断待识别订单行为是否属于恶意订单行为。

具体的，可以将得到的恶意评分与预设的阈值进行比较来判断待识别订单行为是否属于恶意订单行为，当恶意评分大于该阈值时，确定待识别订单行为属于恶意订单行为，当恶意评分小于或等于该阈值时，确定待识别订单行为不属于恶意订单行为；也可以当恶意评分为1时，确定待识别订单行为属于恶意订单行为，当恶意评分为0时，确定判断待识别订单行为不属于恶意订单行为。

在利用恶意评分判断待识别订单行为是否属于恶意订单行为后，可以将该待识别订单行为作为新的训练样本，得到新的分析模型，提高分析模型识别的精确度。

由以上可见，本实施例提供的方案中，根据预设的订单行为的数据构建分析模型对待识别订单行为进行分析，可以得到待识别订单行为的恶意评分，根据恶意评分判断待识别订单行为是否属于恶意订单行为。与现有技术相比，本实施例提供的方案中，可以通过使用统计学习和机器学习利用分析模型对用户的订单行为进行分析，其中，构造分析模型时，采用的是预设的订单行为的数据，可以根据需要自行添加新的数据或者删除不需要的数据，使得分析模型具有多维度和自适应性，避免从单一维度对订单行为进行识别，能够提高恶意订单识别的成功率和范围，可以为公司的电商系统做安全监控。

在本发明的一个具体实施例中，参见图3，提供了恶意订单识别方法的第二种流程示意图，包括：

S301：获取待识别订单行为的数据。

此步骤与上述实施例中的S201一致，在此不再赘述。

S302：判断待识别订单行为的数据所属的用户类型是否为新用户，如果待识别订单行为的数据所属的用户类型为新用户，执行S3031，如果待识别订单行为的数据所属的用户类型为老用户，执行S3032。

其中，用户类型包括新用户或者老用户，新用户为历史订单行为个数小于预设的第一阈值的用户，老用户为历史订单行为个数大于或等于预设的第一阈值的用户。

例如，上述第一阈值可以为20，本申请并不对此进行限定。在收到用户A的待识别订单行为时，若用户A的历史订单行为个数小于20，则确定用户A为新用户；在收到用户B的待识别订单行为时，若用户B的历史订单行为个数大于或等于20时，则确定用户B为老用户。

判断待识别订单行为的数据所属的用户类型是否为新用户，是为了针对不同的用户类型，可以进行不同的分析，以得到更精确的分析结果。

S3031：计算获得待识别订单行为与第一分析子模型标记出的恶意订单行为之间的第一相似度，将第一相似度作为待识别订单行为的恶意评分。

其中，第一分析子模型，是上述分析模型中的一个模型，为对样本用户的历史订单行为的数据进行K均值K-means聚类分析，获得不同等级的正常订单行为构成的类和不同等级的恶意订单行为构成的类的分析子模型；也即上述群体订单行为模型，用于对群体用户订单行为进行分析。通过对样本用户的订单行为的数据进行聚类分析，可以将恶意订单行为和正常订单行为分离，根据人工标记的结果就能得到恶意订单行为的不同等级的类。

例如，恶意订单者通常会使用云机器模拟浏览器访问进行大量频繁的订单访问，虽然订单访问的用户名不一样，收货人电话也不一样，但是在IP地址所在的地理位置、订单物品种类和收货人三级地址这三个维度上会很相似，通过这三个维度可以识别出恶意的订单。

通过聚类分析，也可以对新用户订单行为进行识别。例如，当恶意订单者通过使用新增机器进行恶意订单行为时，新增机器的恶意订单行为也会表现出与分离出的恶意订单行为的相似性，被识别出来。

第一分析子模型，使用K-means算法对训练样本X＝{x⁽¹⁾，…，x^(m)}进行聚类分析，X包含了样本用户的历史订单行为，其中有恶意订单行为和正常订单行为，x^(m)表示训练样本中第m条订单行为，包含了第m条订单行为中预设的各维度的数据，m表示训练样本中订单行为的个数，m的取值为大于0的自然数。例如，聚类分析时，收集到300条样本用户的历史订单行为作为训练样本，则m＝300，m取值越大，也即训练样本的个数越多，聚类分析得到的效果越精确，但是所需要处理的数据量也越大，在实际应用中，可以根据场景不同或个人经验，对m的值进行调整。

在X中随机选取K个样本作为聚类质心点U＝{μ₁，μ₂…μ_k}，1＜k≤m。

对于每一个训练样本x⁽ⁱ⁾，利用公式(1)计算其应属于的类。

C⁽ⁱ⁾＝argmin_j||x⁽ⁱ⁾-μ_j||² (1)

其中，x⁽ⁱ⁾表示训练样本中第i条订单行为，1≤i≤m，μ_j表示第j个聚类质心点，1≤j≤k，C⁽ⁱ⁾表示x⁽ⁱ⁾所属于的类，计算x⁽ⁱ⁾与U中所有聚类质心点的差值，当训练样本x⁽ⁱ⁾与聚类质心点μ_j的差值最小时，则确认训练样本x⁽ⁱ⁾属于聚类质心点μ_j所在的类j。

在得到属于类j的所有训练样本后，利用公式(2)重新计算类j的质心点。

其中，μ_j表示类j的质心，x⁽ⁱ⁾表示训练样本中第i条订单行为，C⁽ⁱ⁾表示x⁽ⁱ⁾当前所属于的类。

重复公式(1)和公式(2)的计算过程，直至第一分析子模型收敛。

其中，第一分析子模型的收敛条件可以是：

所有聚类质心点在重新计算前后的差值小于一个预设的阈值；或者，

对于每一个类，该类中的所有样本与其质心点的差值平方的和小于另一预设的阈值；

或者，其他收敛条件。

通过对样本用户的历史订单行为的数据进行聚类分析，利用人工标记的结果，可以得出正常订单行为和恶意订单行为的不同等级的类。例如，如表1所示的等级分类，具体为恶意等级与属于恶意订单的概率的对应关系，正常等级与不属于恶意订单的概率的对应关系。

表1

恶意等级	属于恶意订单的概率
		恶意等级0	50％-60％
恶意等级1	60％-70％
		恶意等级2	70％-80％
恶意等级3	80％-90％
		恶意等级4	90％-100％
正常等级	不属于恶意订单的概率
		正常等级0	50％-60％
正常等级1	60％-70％
		正常等级2	70％-80％
正常等级3	80％-90％
		正常等级4	90％-100％

计算待识别订单行为与得到的恶意订单行为的不同等级的类的质心点的相似度，用得到的相似度表示上述待识别订单行为的恶意等级。

图4为使用K-means进行聚类分析的一种分离结果示意图，训练样本中的订单行为仅被分为两类，一类用圆点表示，另一类用三角形表示，分别代表恶意订单行为和正常订单行为，可以通过人工标记的结果，确定出包含恶意订单行为的类。

一种实现方式中，获得待识别订单行为与第一分析子模型标记出的恶意订单行为之间的第一相似度，可以分别计算待识别订单行为与标记出的恶意订单行为的不同等级的类的质心点的相似度，对计算得到的相似度进行加权求和，将求和的结果作为第一相似度。第一相似度越大，也即待识别订单行为与第一分析子模型标记出的恶意订单行为越相似，表明待识别订单行为越有可能属于恶意订单行为，因此可以将第一相似度作为恶意评分。

其中，在计算相似度时，可以利用欧几里得距离或者皮尔森相似度来计算，也可以用其他算法来计算。

例如，得到恶意等级0、恶意等级1和恶意等级2三个不同等级的恶意订单行为的类，其中，恶意等级0类的质心点为μ_o，恶意等级1类的质心点为μ_p，恶意等级2类的质心点为μ_q。

利用皮尔森相似度计算，可以得到待识别订单行为与质心点μ_o的相似度为A_o，与质心点μ_p的相似度为A_p，与质心点μ_q的相似度为A_q。

该新用户的待识别订单行为的恶意评分可以利用公式(3)计算得到。

S＝0.1A_o+0.3A_p+0.6A_q (3)

其中，S表示恶意评分，实际应用中，可以根据场景不同或个人经验，对A_o、A_p和A_q的权值进行调整。

新用户的待识别订单行为的恶意评分体现了该待识别订单行为与恶意订单行为之间的相似度，以相似度的大小可以精确地判断出该待识别订单行为是否属于恶意订单行为。

S3032：计算获得待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度；将待识别订单行为的数据输入至与待识别订单行为所属的用户对应的第二分析子模型，计算获得待识别订单行为与待识别订单行为所属的用户的历史订单行为之间的第三相似度，将第二相似度和第三相似度进行得分合计，将得分合计的结果作为待识别订单行为的恶意评分。

其中，计算获得待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度的步骤与S3031中的步骤一致，在此不再赘述。

第二分析子模型，是上述分析模型中的一种模型，为针对每一样本用户，利用该样本用户的个人历史订单行为的数据进行逻辑回归训练获得的与该样本用户对应的分析子模型，也即上述个人订单行为模型，每个用户有各自对应的第二分析子模型，用于对该用户订单行为进行分析，判断该用户的订单行为是否符合该用户以往的订单习惯。对该用户的订单行为偏好在时间上进行观察和统计，如果订单行为偏离了该用户以往的订单习惯，可以对此订单行为进行进一步的识别。

例如，用户甲通常只会在晚上10点左右下订单，且购买多是一些U盘和相机配件，在一天上午的时间检测到用户甲购买了大量的口红，虽然每个订单购买的口红数量不多，但是订单数量多，这就需要对用户甲购买口红的订单行为进行分析。

利用公式(4)采用逻辑回归Logistic Regression对每个用户的历史订单行为是数据进行训练，以构造与该用户对应的第二分析子模型。

f(x)＝θ^Tx (4)

其中，θ表示模型参数，也就是回归系数，x表示该用户历史订单行为的预设的各个维度的数据，可以用矩阵(5)表示。

其中，x₁₁，x₂₁，…x_n1表示该用户一条历史订单行为中预设的各个维度的数据，也就是表示如订单数量、订单访问的IP地址和支付方式等信息，共有n个维度，n的取值为大于0的自然数。例如，预设的订单行为的数据包括：订单数量、订单访问的IP地址和支付方式，只有三个维度，则n＝3；如果预设的订单行为的数据包括：订单数量、支付方式、订单访问的IP地址、IP地址所在的地理位置和收货人三级地址五个维度，则n＝5。j表示构建第二分析子模型时采用的该用户的历史订单行为的个数，j的取值为大于0的自然数。例如，采用该用户的20条历史订单行为构建第二分析子模型，则j＝20，j取值越大，也即采用的该用户的历史订单行为越多，得到的该用户对应的第二分析子模型的分析的效果越精确，但是所需要处理的数据量也越大，在实际应用中，可以根据场景不同或个人经验，对j的值进行调整。

基于该用户对应的第二分析子模型，可以利用公式(6)求得该用户的待识别订单行为与该用户历史订单行为相似的概率。

其中，x表示该用户的待识别订单行为的数据，σ表示S形生长曲线Sigmoid，θ表示模型参数，h_θ(x)和P(y＝1|x)表示对于该待识别订单行为的数据x对应的订单行为，其与该用户的历史订单行为相似的概率。用求得的概率表示上述该用户的待识别订单行为与该用户历史订单行为的相似度。

矩阵(5)可以降维到分布式系统中，利用Spark的机器学习库(Machine Learniglib，简称MLib)可以完成逻辑回归的训练，以求得模型参数θ。

将该用户的待识别订单行为的数据输入到训练好的该用户对应的第二分析子模型，可以利用公式(5)得到该用户待识别订单行为与该用户历史订单行为之间的第三相似度。

第三相似度越大，也即待识别订单行为与该用户的历史订单行为相似的概率越大，表示待识别订单行为越不可能属于恶意订单行为，因此，将第二相似度和第三相似度进行得分合计时，可以将第三相似度的相反数与第二相似度进行加权求和，获得恶意评分，也可以利用第三相似度求得待识别订单行为与该用户的历史订单行为不相似的概率，将此不相似的概率与第二相似度进行加权求和，获得恶意评分。

例如，得到恶意等级0、恶意等级1和恶意等级2三个不同等级的恶意订单行为的类，其中，恶意等级0类的质心店为μ_o，恶意等级1类的质心点为μ_p，恶意等级2类的质心点为μ_q。

利用皮尔森相似度计算，可以得到待识订单行为与质心点μ_o的相似度为A′_o，与质心点μ_p的相似度为A′_p，与质心点μ_q的相似度为A′_q。

第二相似度可以利用公式(7)计算得到。

S₁＝0.1A′_o+0.4A′_p+0.5A′_q (7)

其中，S₁表示第二相似度，实际应用中，可以根据场景不同或个人经验，对A′_o、A′_p和A′_q的权值进行调整。

利用公式(8)求得第三相似度。

其中，S₂表示第三相似度。

对第二相似度和第三相似度进行得分合计，得到该待识别订单行为的恶意评分。

具体的，恶意评分可以利用公式(9)计算得到。

S＝0.4S₁+0.6(1-S₂) (9)

其中，S表示恶意评分，在实际应用中，可以根据场景不同或个人经验，对权值进行调整。

此得分合计可以利用分数累加器，也可以使用在线可调控的多项式函数。

老用户的待识别订单行为的恶意评分包含了该待识别订单行为与恶意订单行为之间的相似度和该待识别订单行为偏离个人订单习惯的程度，综合上述两者进行识别，能够得到更精确的识别结果。

由以上可见，本实施例提供的方案中，对于新用户的待识别订单行为，利用第一分析子模型直接计算出恶意评分；对于老用户的待识别订单行为，利用第一分析子模型计算出第二相似度，利用该老用户对应的第二分析子模型计算出第三相似度，结合第二相似度和三相似度得到恶意评分。与现有技术相比，本实施例提供的方案中，针对新用户的待识别订单行为和老用户的待识别订单行为进行不同的分析，能够得到更精确的恶意评分，进而提高恶意订单识别的成功率。

在本发明的一个具体实施例中，参见图5，提供了恶意订单识别方法的第三种流程示意图，包括：

S301：获取待识别订单行为的数据。

S301、S302、S3031和S3032在上述实施例已详细介绍，在此不再赘述。

S3041：对于新用户的待识别订单行为，判断恶意评分是否大于预设的第二阈值，如果恶意评分大于预设的第二阈值，执行S3042，如果恶意评分小于或等于预设的第二阈值，执行S3043。

其中，第二阈值的设定是为了衡量新用户的待识别订单行为的恶意评分，该恶意评分越高，新用户的待识别订单行为越有可能属于恶意订单行为，当该恶意评分大于第二阈值时，可以确定新用户的待识别订单行为属于恶意订单行为，当该恶意评分小于或等于第二阈值时，可以确定新用户的待识别订单行为不属于恶意订单行为。

一种实现方式中，利用的皮尔森相似度，计算得到的新用户的待识别订单行为的恶意评分在0至1的范围内，此时可以设置第二阈值为0.5，将新用户的待识别订单行为的恶意评分与0.5进行比较，根据比较结果判断新用户的待识别订单行为是否属于恶意订单行为，以数值比较的结果进行判断能够得到更精确的判断结果。

在实际应用中，可以根据不同的相似度计算方法，对第二阈值进行调整。

S3042：确定待识别订单行为属于恶意订单行为。

一种实现方式中，当新用户的待识别订单行为的恶意评分大于第二阈值时，确定新用户的待识别订单行为属于恶意订单行为；或者，当老用户的待识别订单行为的恶意评分大于第三阈值时，确定老用户的待识别订单行为属于恶意订单行为。

确定出待识别订单行为属于恶意订单行为，可以利用该待识别订单行为更新分析模型，提高分析模型识别的精确度，也可以针对性的对该待识别订单行为所属的用户的订单行为进行重点监控或其他后续处理。

S3043：确定待识别订单行为不属于恶意订单行为。

一种实现方式中，当新用户的待识别订单行为的恶意评分小于或等于第二阈值时，确定新用户的待识别订单行为不属于恶意订单行为；或者，当老用户的待识别订单行为的恶意评分小于或等于第三阈值时，确定老用户的待识别订单行为不属于恶意订单行为。

确定出待识别订单行为不属于恶意订单行为，可以利用该待识别订单行为更新分析模型，提高分析模型识别的精确度。

S3044：对于老用户的待识别订单行为，判断恶意评分是否大于预设的第三阈值，如果恶意评分大于预设的第三阈值，执行S3042，如果恶意评分小于或等于预设的第三阈值，执行S3043。

其中，第三阈值的设定是为了衡量老用户的待识别订单行为的恶意评分，该恶意评分越高，老用户的待识别订单行为越有可能属于恶意订单行为，当该恶意评分大于第三阈值时，可以确定老用户的待识别订单行为属于恶意订单行为，当该恶意评分小于或等于第三阈值时，可以确定老用户的待识别订单行为不属于恶意订单行为。

一种实现方式中，利用的皮尔森相似度，计算得到的老用户的待识别订单行为的恶意评分在0至1的范围内，可以设置第二阈值为0.5，将老用户的待识别订单行为的恶意评分与0.5进行比较，根据比较结果判断老用户的待识别订单行为是否属于恶意订单行为，以数值比较的结果进行判断能够得到更精确的判断结果。

在实际应用中，可以根据不同的相似度计算方法，对第三阈值进行调整。

由以上可见，本实施例提供的方案中，对于新用户的待识别订单行为，将得到的恶意评分与第二阈值进行比较，以判断新用户的待识别订单行为是否属于恶意订单行为；对于老用户的待识别订单行为，将得到的恶意评分与第三阈值进行比较，以判断老用户的待识别订单行为是否属于恶意订单行为。与现有技术相比，本实施例提供的方案中，在进行恶意评分比较时，针对待识别订单行为所属的用户类型的不同，将得到的恶意评分与不同的阈值进行比较，以判断待识别订单行为是否属于恶意订单行为，能够得到更加精确的比较结果，进而提高恶意订单识别的成功率。

在本发明的一个具体实施例中，利用预设的订单行为的数据构建分析模型时，订单行为可以包括下述的一种或者几种组合：订单访问的IP地址、IP地址所在的地理位置、订单请求所使用的设备、订单的货品种类、每次订单的数量、订单时间、支付方式、收货人三级地址、收货人姓名和收货人电话。

订单行为包含的上述数据，都可以作为判断待识别订单行为是否属于恶意订单行为的依据，同时可以根据不同的场景，进行上述数据的组合、添加或删减。

由以上可见，本实施例提供的方案中，订单行为中包含了恶意订单识别的重要数据，依据这些数据能够准确的识别出恶意订单行为，进而提高恶意订单识别的成功率。

与上述的恶意订单识别方法相对应，本发明实施例还提供了一种恶意订单识别装置。

图6为本发明实施例提供的恶意订单识别装置的第一种结构示意图，包括：数据获取模块601、评分获得模块602和行为判断模块603。

其中，数据获取模块601，用于获取待识别订单行为的数据；

评分获得模块602，用于利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分，其中，所述分析模型是根据预设的订单行为的数据，进行模型训练获得的；

行为判断模块603，用于根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为。

在本发明的一个具体实施例中，参见图7，提供了恶意订单识别装置的第二种结构示意图，包括：数据获取模块701、类型判断模块702、第一评分获得子模块7031、第二评分获得子模块7032和行为判断模块704。

其中，所述数据获取模块701与上述实施例中数据获取模块601一致，在此不再赘述。

所述类型判断子模块702，用于判断所述待识别订单行为的数据所属的用户类型，其中，所述用户类型包括新用户或者老用户，所述新用户为历史订单行为个数小于预设的第一阈值的用户，所述老用户为历史订单行为个数大于或等于所述第一阈值的用户；如果所述待识别订单行为的数据所属的用户类型为新用户，触发所述第一评分获得子模块7031，如果所述待识别订单行为的数据所属的用户类型为老用户，触发所述第二评分获得子模块7032；

所述第一评分获得子模块7031，用于计算获得所述待识别订单行为与第一分析子模型标记出的恶意订单行为之间的第一相似度，将所述第一相似度作为所述待识别订单行为的恶意评分，其中，所述第一分析子模型是所述分析模型中的一个模型，为对样本用户的历史订单行为的数据进行K均值K-means聚类分析，获得正常订单行为和恶意订单行为的不同等级的类的分析子模型；

所述第二评分获得子模块7032，用于计算获得所述待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度，将所述第二相似度作为所述待识别订单行为的第一恶意评分；将所述待识别订单行为的数据输入至与所述待识别订单行为所属的用户对应的第二分析子模型，计算获得所述待识别订单行为与所述待识别订单行为所属的用户的历史订单行为之间的第三相似度，根据所述第三相似度生成所述待识别订单行为的第二恶意评分，将所述第一恶意评分和所述第二恶意评分进行得分合计，将得分合计的结果作为所述待识别订单行为的恶意评分，其中，所述第二分析子模型是所述分析模型中的一种模型，为针对每一样本用户，利用该样本用户的个人历史订单行为的数据进行逻辑回归训练获得的与该样本用户对应的分析子模型。

所述行为判断模块704与上述实施例中行为判断模块603一致，在此不再赘述。

在本发明的一个具体实施例中，参见图8，提供了恶意订单识别装置的第三种结构示意图，其中，行为判断模块704，包括：包括：第一评分判断子模块7041、第一行为确定子模块7042、第二行为确定子模块7043和第二评分判断子模块7044。

其中，所述第一评分判断子模块7041，用于所述待识别订单行为的数据所属的用户类型为新用户，判断所述恶意评分是否大于预设的第二阈值，如果所述恶意评分大于预设的第二阈值，触发所述第一行为确定子模块7042，如果所述恶意评分小于或等于所述第二阈值，触发所述第二行为确定子模块7043；

第一行为确定子模块7042，用于确定所述待识别订单行为属于恶意订单行为；

第二行为确定子模块7043，用于确定所述待识别订单行为不属于恶意订单行为；

第二评分判断子模块7044，用于所述待识别订单行为的数据所属的用户类型为老用户，判断所述恶意评分是否大于预设的第三阈值，如果所述恶意评分大于所述第三阈值，触发所述第一行为确定子模块7042，如果所述恶意评分小于或等于所述第三阈值，触发所述第二行为确定子模块7043。

本发明实施例还提供了一种电子设备，如图9所示，包括处理器901、通信接口902、存储器903和通信总线904，其中，处理器901，通信接口902，存储器903通过通信总线904完成相互间的通信，

存储器903，用于存放计算机程序；

处理器901，用于执行存储器903上所存放的程序时，实现如下步骤：

获取待识别订单行为的数据；

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，简称RAM)，也可以包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(Digital Signal Processing，简称DSP)、专用集成电路(Application SpecificIntegrated Circuit，简称ASIC)、现场可编程门阵列(Field－Programmable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的恶意订单识别的方法。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的恶意订单识别的方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

1.一种恶意订单识别的方法，其特征在于，所述方法包括：

获取待识别订单行为的数据；

2.根据权利要求1所述的方法，其特征在于，在所述利用分析模型对所述待识别订单行为的数据进行分析，获得所述待识别订单行为的恶意评分之前，所述方法还包括：

或者,在判断所述待识别订单行为的数据所属的用户类型为老用户时，计算获得所述待识别订单行为与所述第一分析子模型标记出的恶意订单行为之间的第二相似度；

3.根据权利要求2所述的方法，其特征在于，所述根据所述恶意评分判断所述待识别订单行为是否属于恶意订单行为，包括：

或者,所述待识别订单行为的数据所属的用户类型为新用户，且所述恶意评分小于或等于所述第二阈值时，确定所述待识别订单行为不属于恶意订单行为；

或者,所述待识别订单行为的数据所属的用户类型为老用户，且所述恶意评分小于或等于所述第三阈值时，确定所述待识别订单行为不属于恶意订单行为。

4.根据权利要求1至3任一项所述的方法，其特征在于，所述订单行为包括下述的一种或者几种组合：

5.一种恶意订单识别的装置，其特征在于，所述装置包括：

数据获取模块，用于获取待识别订单行为的数据；

6.根据权利要求5所述的装置，其特征在于，所述装置还包括类型判断模块，所述评分获得模块包括：第一评分获得子模块和第二评分获得子模块；

7.根据权利要求6所述的装置，其特征在于，所述行为判断模块包括：第一评分判断子模块、第一行为判断子模块、第二行为判断子模块和第二评分判断子模块；

8.根据权利要求5至7任一项所述的装置，其特征在于，所述订单行为包括下述的一种或者几种组合：

9.一种电子设备，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现权利要求1-4任一所述的方法步骤。