恶意刷单检测系统及方法与流程

本发明涉及网络通信技术领域，具体涉及一种恶意刷单检测系统及方法。

背景技术：

目前，随着互联网的普及以及生活方式的多元化，互联网逐渐成为商家与顾客进行交易的一个主要平台，网络软件也通过互联网交易平台应运而生，逐渐成为网络用户普遍使用的一种交易平台。

常见的网络软件有打车软件，订餐软件等。以打车软件为例，打车软件的一端为乘客，一端为司机。乘客可以通过手机中的打车软件向打车业务平台发送打车请求，打车请求在被接收后被推送至终端，司机使用终端抢单并与乘客进行直接沟通，以此来实现乘客打车的请求。但是，由于网络软件领域的竞争非常激烈，市场参与者大多通过大量的现金注入来留住客户，或者通过向用户提供优惠补贴增加客户群。比如uber(优步，一款打车软件)，如果司机在上一周通过uber做满了20单，则司机下周的早晚高峰单就可以拿到车费三倍以上的补贴。这让有些司机为了牟取高额的补贴费而进行刷单，甚至自行组织成恶意刷单团伙，以此来诈骗打车软件方提供的优惠补贴。

目前，这种现象在打车软件中普遍存在，据中国互联网违法和不良信息举报中心发布全国网络2015年度十大典型举报案例，其中就包含：刷单打“霸王”车致使“滴滴打车”、“uber”等遭受巨额损失的诈骗案例。

技术实现要素：

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的恶意刷单检测系统及方法。

依据本发明的一个方面，提供了一种恶意刷单检测系统，包括：预处理模块，用于针对交易订单数据，根据图论原理进行数据关联，并对建立关联的数据建立标识；数据库模块，用于按照特定格式存储经所述预处理模块处理的数据；数据分析模块，用于对所述数据库模块存储的数据进行分析，判断所述交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，预处理模块进一步包括：判断单元，用于根据交易订单数据的格式判断交易订单数据的类型；提取单元，用于根据交易订单数据的类型对应的业务逻辑提取交易订单数据的字段；关联单元，用于根据图论原理，对所提取的交易订单数据的各个字段建立关联；标识单元，用于为经关联单元处理的数据建立标识，经关联单元处理的数据包括：节点、边、节点属性和/或边属性。

可选地，关联单元具体用于：从交易订单数据的各个字段中选择出属于节点的字段；对于任意两个节点，确定任意两个节点之间是否存在边；从交易订单数据的各个字段中选择出属于节点属性的字段和属于边属性的字段。

可选地，数据库模块具体用于：将每条经所述预处理模块处理的数据及其标识作为一条记录进行存储。

可选地，数据分析模块进一步包括：规则生成单元，用于根据统计和概率对数据库模块存储的数据进行分析，生成判定规则；检测单元，用于判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，规则生成单元具体用于：根据统计和概率对所述数据库模块存储的数据进行分析，分别在多个维度计算置信区间；依据各个维度的置信区间，确定各个维度的异常数据的阈值；依据各个维度的异常数据的阈值，确定判定规则。

可选地，检测单元具体用于：持续扫描所述数据库模块存储的数据，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，检测单元具体用于：依据给定的属性信息，获取与给定的属性信息关联的节点、边、节点属性和/或边属性，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，恶意刷单检测系统还包括：可视化模块，用于提取所述数据分析模块中的数据分析结果并将所述数据分析结果生成相关的图表显示。

依据本发明的另一个方面，提供了一种恶意刷单检测方法，包括：预处理步骤，针对交易订单数据，根据图论原理进行数据关联，并对进行关联的数据建立标识；存储步骤，按照特定格式存储经预处理模块处理的数据；数据分析步骤，对数据库模块存储的数据进行分析，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，预处理步骤进一步包括：根据交易订单数据的格式判断交易订单数据的类型；根据交易订单数据的类型对应的业务逻辑提取交易订单数据的字段；根据图论原理，对所提取的交易订单数据的各个字段建立关联。为经关联单元处理的数据建立标识，经关联单元处理的数据包括：节点、边、节点属性和/或边属性。

可选地，根据图论原理，对所提取的所述交易订单数据的各个字段建立关联进一步包括：从交易订单数据的各个字段中选择出属于节点的字段；对于任意两个节点，确定任意两个节点之间是否存在边；从交易订单数据的各个字段中选择出属于节点属性的字段和属于边属性的字段。

可选地，存储步骤进一步包括：将每条经预处理模块处理的数据及其标识作为一条记录进行存储。

可选地，数据分析步骤进一步包括：根据统计和概率对所述数据库模块存储的数据进行分析，生成判定规则；判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，根据统计和概率对所述数据库模块存储的数据进行分析，生成判定规则进一步包括：根据统计和概率对所述数据库模块存储的数据进行分析，分别在多个维度计算置信区间；依据各个维度的置信区间，确定各个维度的异常数据的阈值；依据各个维度的异常数据的阈值，确定判定规则。

可选地，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据进一步包括：持续扫描所述数据库模块存储的数据，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据进一步包括：依据给定的属性信息，获取与给定的属性信息关联的节点、边、节点属性和/或边属性，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

可选地，恶意刷单检测方法还包括：提取数据分析模块中的数据分析结果并将数据分析结果生成相关的图表显示。

在本申请实施例提供的恶意刷单检测系统及方法中，能够在接收到交易订单数据后，通过提取交易订单数据中的相关字段信息来提取该交易订单数据中的必要信息，通过对提取的相关字段信息进行统计并进行概率计算来确定判定规则，进而根据判定规则检测出可判定为刷单的异常数据。由此可见，在本申请实施例提供的恶意刷单检测系统及方法解决目前使用网络软件的一方为了牟取高额补贴而进行恶意刷单，进而让网络软件一方蒙受巨额损失的问题，遏制了网络交易中恶意刷单的违规行为，维护了互联网交易的安全。

上述说明仅是本申请实施例技术方案的概述，为了能够更清楚了解本申请实施例的技术手段，而可依照说明书的内容予以实施，并且为了让本申请实施例的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例一提供的恶意刷单检测系统的结构图；

图2示出了本发明实施例二提供的恶意刷单检测系统的结构图；

图3示出了本发明实施例三提供的恶意刷单检测方法的流程图。

图4示出了本发明实施例四提供的恶意刷单检测方法的流程图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明实施例提供了一种恶意刷单检测系统及方法，至少能够解决目前使用网络软件的一方为了牟取高额补贴而进行恶意刷单，进而让网络软件一方蒙受巨额损失的问题。由此可见，本申请提供的方案遏制了网络交易中恶意刷单的违规行为，维护了互联网交易的安全。

实施例一

图1示出了本发明实施例一提供的恶意刷单检测系统的结构图。如图1所示，该结构包括：预处理模块11、数据库模块12和数据分析模块13。

预处理模块11用于针对交易订单数据，根据图论原理进行数据关联，并对进行关联的数据建立标识。其中，预处理模块用来接收上述用户传入的原始数据中的交易订单数据，并对上述交易订单数据中的相关内容进行分析，然后根据图论原理对上述交易订单数据中的分析结果进行数据关联，并对进行关联的数据建立标识。

数据库模块12用于按照特定格式存储经预处理模块处理的数据。其中，数据库模块用于接收预处理模块所分析的交易订单数据的结果，并将上述的每个分析结果作为一条记录存储在数据库中。

数据分析模块13用于对数据库模块存储的数据进行分析，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。其中，数据分析模块用于对数据库中存储的结果进行分析，统计数据库中节点字段、属性字段以及边属性的相关数据，并根据统计和概率中的相关算法对上述相关数据的置信区间进行计算分析，根据计算分析的结果得出异常数据，并根据异常数据的阈值确定对应的判定规则，并判断交易订单数据中的相关数据是否符合判定规则，若符合，则将上述符合判定规则的交易订单数据检测为恶意刷单的异常数据。

由此可见，通过本实施例提供的恶意刷单检测系统，能够在接收到交易订单数据后，能够根据图论原理对该交易订单数据中的数据进行关联处理，并将处理后的数据存储起来，在对存储的数据分析时，能够根据判定规则判断该交易订单数据中的某个数据是否为异常数据，进而检测出属于恶意刷单的异常数据。因此，本实施例提供的恶意刷单检测系统提高了检测系统对异常数据判断的准确性，是一种更加优化的检测系统。

实施例二

图2示出了本发明实施例二提供的恶意刷单检测系统的结构图。如图2所示，该结构包括：预处理模块21、数据库模块22、数据分析模块23和可视化模块24。其中，预处理模块21进一步包括判断单元211、提取单元212、关联单元213以及标识单元214。数据分析模块23进一步包括规则生成单元231以及检测单元232。

预处理模块21用于针对交易订单数据，根据图论原理进行数据关联，并对进行关联的数据建立标识。其中，预处理模块进一步包括判断单元，用于根据交易订单数据的格式判断交易订单数据的类型。具体地，用户将包含订单数据的原始数据传入预处理模块，判断单元211接收到原始数据后，根据原始数据中交易订单数据的格式，判断该交易订单数据所属的订单类型。比如，若交易订单数据的格式中含有关键字乘客、司机等，则判断单元211根据上述订单交易数据的格式中包含的乘客、司机等信息判断该交易订单数据的类型为打车订单；若交易订单数据的格式中含有关键字送餐时间、送餐地点等，则判断单元211根据上述订单交易数据的格式中包含的送餐时间、送餐地点等信息判断该交易订单数据的类型为点餐订单。在这里，判断单元对交易订单数据的类型进行判断的根据不限于订单数据中的关键字，判断单元还可通过交易订单数据中的订单号中的特殊字段或者是交易订单数据中的其它信息对交易订单数据的类型进行判断，在这里，只要能判断出交易订单数据的类型，本发明对判断单元的判断根据不作限定。

预处理模块21还进一步包括提取单元212，提取单元212用于根据交易订单数据的类型对应的业务逻辑提取交易订单数据的字段。具体地，判断单元211在判断出交易订单数据的类型后，提取单元212根据客户要求和与上述交易订单数据的类型对应的业务逻辑对交易订单数据中的字段进行抽取和保留。例如，以打车软件中的一个订单数据为例，如表1所示，表1为打车软件中的某订单数据通过恶意刷单检测系统的提取单元处理后所保留的字段示意表。

表1

预处理模块21还进一步包括关联单元213，用于根据图论原理，对所提取的交易订单数据的各个字段建立关联。具体地，关联单元213对订单数据中各个字段建立关联的过程为：

首先，从交易订单数据中的各个字段中选择出属于节点的字段。其选择过程为：关联单元213根据提取单元212提取的字段是否为关键字段或者是否为比较具有代表性的字段，判断当前字段是否属于节点。其中，关键字段或者比较具有代表性的字段指含有订单在交易过程中的必要信息的字段。以打车软件订单为例，若提取单元213提取的字段如表1所示，则关联单元对表1中的字段进行判断后，选择手机、乘客、汽车作为节点。在完成从交易订单数据中的各个字段中选择出属于节点的字段的步骤之后，其次的步骤为对于任意两个节点，确定任意两个节点之间是否存在边。其具体过程为：首先判断两个节点是否相关，若相关，则两个节点之间存在边，并进一步判断两个节点之间的边是否存在方向；若不相关，则两个节点之间不存在边。以打车软件订单为例，若两个节点分别是：乘客和司机，则关联单元213首先对这两个节点是否相关进行判断，因为乘客和司机之间是被搭载的关系，司机与乘客之间是搭载的关系，因此关联单元213判断这两个节点之间是相关的，存在边，并且上述边还存在方向，其方向是双向的。最后，关联单元213根据上述对交易订单数据中节点和边的判断结果，从交易订单数据的各个字段中选择出属于节点属性的字段和属于边属性的字段。具体地，每个节点都具有属性，每条边也都具有属性。关联单元213在判断字段是否属于节点属性的字段和属于边属性的字段时，首先对提取单元212中提取的字段进行筛选，将能总结出关键信息的一部分字段作为属于节点的字段和属于边的字段，然后将另一部分字段作为属于节点属性的字段或属于边属性的字段。以打车软件订单为例：在表1的所有字段中，选择手机、乘客、汽车作为节点，则：手机号码字段作为手机节点的属性，其中，手机号码具体为乘客手机号码或者司机手机号码；乘客身份证号码字段作为乘客节点的属性；司机车牌号、司机开始服务地点、司机结束服务地点等字段作为汽车节点的属性。

预处理模块还进一步包括标识单元214，用于为经关联单元213处理的数据建立标识。其中，经关联单元213处理后的数据包括：属于节点的字段、边、属于节点属性的字段和属于边属性的字段。具体地，标识单元214对经过关联单元213分析后所得出的属于节点的字段、边以及属于节点属性的字段和属于边属性的字段等字段信息进行标识，并将上述标识和所标识的字段信息数据一并传送到数据库中。

数据库模块22用于按照特定格式存储经所述预处理模块处理的数据。具体地，预处理模块21在对用户传入的原始数据进行分析和处理后，将上述分析处理的结果传送至数据库模块22中；数据库模块22将预处理模块21传送分析处理的结果中的每一条分析处理结果以及与其对应的标识作为一条记录进行存储，并且数据库模块21还可进一步根据上述标识的不同将预处理模块21传送的分析处理结果的数据存储不同的区域内，以方便数据分析模块23在分析数据时提取对应的数据。

数据分析模块23用于对数据库模块22存储的数据进行分析，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。其中，数据分析模块进一步包括规则生成单元231以及检测单元232，其中，规则生成单元231用于根据统计和概率对数据库模块存储的数据进行分析，生成判定规则。具体地，根据统计和概率对数据库模块22存储的数据进行分析的步骤具体为：

首先，规则生成单元231根据统计和概率对数据库模块存储的数据进行分析，分别在多个维度计算置信区间。具体地，规则生成单元231首先选取数据库22中对应的属于节点的字段、属于节点属性的字段以及属于边属性的字段。具体实施中，以上述打车软件订单为例，其中，属于节点的字段、属于节点属性的字段以及属于边属性的字段在以下简称为节点字段、节点属性以及边属性。规则生成单元231从数据库模块22中选取存储的上述打车软件订单中对应的节点字段、节点属性以及边属性。其中，选取对应的节点字段为手机、乘客、汽车。选取对应的节点属性分别为：手机的节点属性为手机号；乘客的节点属性为乘客身份证号；汽车的节点属性为车牌号、司机身份证号、司机开始服务地点、司机结束服务地点。选取对应的边属性分别为：手机与乘客之间的边属性为拥有(乘客拥有该手机号)，方向是由乘客指向手机；手机与汽车之间的边属性为拥有(司机拥有该手机号)，方向是由汽车指向手机；乘客与汽车之间的边属性包括订单号、支付帐号、开始服务时间、结束服务时间、开始服务地点、结束服务地点，其方向都是双向的。

其次，规则生成单元231根据上述分析结果，分别在多个维度计算置信区间。具体地，将上述提取的属于节点的字段、属于节点属性的字段以及属于边属性的字段进行统计，并分别在多个维度计算置信区间。比如，对于包含有手机字段的字段信息进行计算的步骤具体为：统计同一个手机号码被使用的人数，其中，使用手机号码的人为乘客或司机。然后将统计的数据作为概率样本进行区间估计，计算出其置信区间；对于包含有乘客字段的字段信息进行计算的步骤具体为：统计同一个乘客当天乘车次数，然后将统计的数据作为概率样本进行区间估计，计算出其置信区间；对于包含有汽车字段的字段信息进行计算的步骤具体为：统计同一个司机当天接单次数，然后将统计的数据作为概率样本进行区间估计，计算出其置信区间；统计同一个乘客当天取消订单次数，然后将统计的数据作为概率样本进行区间估计，计算出其置信区间。

再次，规则生成单元231依据各个维度的置信区间，确定各个维度数据的异常数据的阈值。具体地，其异常数据的阈值可以通过置信水平、置信度等数值确定。具体实施中，以表1中打车软件订单数据为例，若将某置信水平内的置信区间对应的次数作为异常数据的阈值，对于包含有手机字段的字段信息进行计算的步骤具体为：统计同一个手机号码被使用的人数，其中，使用手机号码的人为乘客或司机。然后将统计的数据作为概率样本进行区间估计，计算其某置信水平内的置信区间对应的次数，并将其作为异常数据的阈值。例如，统计某个手机号码被使用的次数并计算出其在某个置信水平内置信区间对应的次数为5，则将5作为异常数据的阈值。同理，对于包含有乘客字段的字段信息进行计算的步骤具体为：统计同一个乘客当天乘车次数，然后将统计的数据作为概率样本进行区间估计，计算其某置信水平内的置信区间对应的次数，并将其作为异常数据的阈值。如统计该乘客同一天乘车次数并计算出其在某个置信水平内置信区间对应的次数为20，则将20作为异常数据的阈值，对于包含有汽车字段的字段信息进行计算的步骤具体为：统计同一个司机当天接单次数，并同上述步骤一样计算其某置信水平内的置信区间对应的次数，并将其作为异常数据的阈值；统计同一个乘客当天取消订单次数，并同上述步骤一样计算其某置信水平内的置信区间对应的次数，并将其作为异常数据的阈值。在这里，置信水平根据实际的概率样本推算，没有具体的设定值。

最后，规则生成单元231依据各个维度的异常数据的阈值，确定判定规则。具体地，上述分析结果中包含计算出的多个字段的阈值，规则生成单元231根据计算出的各个维度中的异常数据的阈值以及交易订单数据的类型特点确定判定规则。比如，通过判断阈值与其他辅助条件是否匹配来确定判定规则。具体实施中，以表1中打车软件的交易订单数据为例，当打车软件的交易订单数据中的属于节点的字段、属于节点属性的字段以及属于边属性的字段被计算出异常数据的阈值后，规则生成单元231根据其计算出的异常数据的阈值确定判定规则，具体如下：

以上述计异常数据的算阈值部分的例子为例，如果统计某个手机号码被使用的次数并计算出其异常数据的阈值为5，则当该手机号码被超过5个司机使用时，则判定该手机为异常手机；如果统计某个乘客同一天乘车次数并计算出其异常数据的阈值为20，则当该乘客同一天乘车次数大于20时，则判定该乘客为异常乘客。同理，司机当天的接单次数与乘客当天取消订单的次数的判定规则同上。

进一步地，判定异常乘客和异常司机的判定规则还可以为：因为乘客和司机在注册的过程中都需要提供手机号码，因此，设定同一手机号码被多人使用，则其中可能存在异常乘客或者异常司机。具体地，如果统计计算的结果为同一手机号码被多个乘客使用过并且使用次数超过异常数据的阈值，则推断使用上述手机号码的乘客是恶意刷单乘客。在这里，具体情况可能为某乘客刷单团伙有若干人，该团伙为了刷单购买了若干张手机卡并轮流使用各个手机卡为司机刷单；如果统计计算的结果为同一手机号码被多个司机使用过并且使用次数超过异常数据的阈值，则推断使用上述手机号码的司机是恶意刷单司机。在这里，具体情况可能为某司机刷单团伙有若干人，该团伙为了牟取补贴购买了若干张手机卡并轮流使用各个手机卡为司机刷单。

进一步地，判定规则还可以包括：设定若某个订单的开始服务地点和结束服务地点相同，则推断当前订单是刷单行为；设定若多个车牌被同一个司机使用并且使用次数超过异常数据的阈值，则推断这位司机是恶意刷单司机；设定若同一乘客连续取消订单的次数超过异常数据的阈值，则推断该乘客是恶意刷单乘客；设定若同一乘客在同一天连续打车的次数超过异常数据的阈值，则推断该乘客是恶意刷单乘客。在这里，只要生成的判定规则能够检测出恶意刷单的行为，都为符合要求的判定规则。

数据分析模块23还进一步包括检测单元232，检测单元232用于判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。具体地，检测单元发现异常数据的方式包括：持续扫描数据库模块存储的数据，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据；以及，依据给定的属性信息，获取与给定的属性信息关联的节点、边、节点属性和/或边属性，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。其中，上述第一种方式是恶意刷单系统主动检测出异常数据，在以下介绍中称其为主动发现；上述第二种方式是恶意刷单系统根据给定的属性信息检测出异常数据，在以下介绍中称其为被动发现。

主动发现，持续扫描数据库模块22存储的数据，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。以打车软件为例，其过程具体为：持续扫描数据库中的存储的数据，其中，上述存储的数据具体包括打车软件某交易订单数据中的节点、边、节点属性和/或边属性等字段信息，并根据规则生成单元231确定的判定规则识别该交易订单数据中的异常数据，则识别出的异常数据便为刷单乘客或者刷单司机。其中，上述所扫描的存储的数据具体为乘客身份证号，司机身份证号等，异常数据为超出异常数据阈值的数据。。

被动发现，依据给定的属性信息，获取与给定的属性信息关联的节点、边、节点属性和/或边属性，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。以打车软件为例，其过程具体为：根据给定的属性信息获取与给定的属性信息关联的所有节点的字段、属于节点属性的字段以及属于边属性的字段的信息，其中，上述给定的属性信息可以为乘客身份证号码，乘客手机号码等信息。若上述给定的属性信息为乘客手机号码信息，则判断该乘客手机号码信息是否符合异常数据的判定规则，若符合，则检测该乘客为恶意刷单的乘客，将该乘客的信息反馈给客户。

可视化模块24用于提取数据分析模块中的数据分析结果并将数据分析结果生成相关的图表显示。可视化模块根据数据分析模块23的分析结果，将数据分析模块23的分析结果数据生成节点有向图。其中，节点有向图以图示的方式向用户显示数据分析的结果，以直观的方式显示多个对象之间的有向关系，并且用户还可以对显示界面进行操作，以此来查找和搜索用户所需要相关的信息。

进一步地，在上述实施例中，提取单元212提取的字段还可以进一步根据特定的要求进行增加或删减。其中，上述特定的要求可以是客户为了判定异常用户的需要所设置的要求，也可以是客户所设置的其它要求，例如，可以将“该订单是否被取消”、“订单金额”以及“补贴金额”的字段信息设置在提取单元212所要提取的字段信息内，则提取单元212还可以进一步提取“该订单是否被取消”、“订单金额”以及“补贴金额”的等字段信息。

进一步地，在上述实施例中，当订单中增加了需要统计的字段信息时，规则生成单元231还可以对应地对所增加的数据字段进行分析并计算出其异常数据的阈值。比如，用户根据需要增加了“乘客当天取消订单次数”的字段信息，则规则生成单元231也相应增加对“乘客当天取消订单次数”的字段信息所对应的异常数据的阈值的计算。

进一步地，在上述实施例中，规则生成单元231确定的判定规则可以根据客户需要和业务逻辑的改变进行增加和删减。用户可根据自己的需要将规则判定单元231中的判定规则进行对应的删减和补充。

由此可见，通过本实施例提供的恶意刷单检测系统，能够根据客户提供的交易订单数据，根据图论原理将交易订单数据中的字段信息数据进行抽象处理，并对抽象处理的结果进行数据关联分析；然后将分析后的数据进行单项统计，并根据统计结果进行置信区间的计算并确定出异常数据的阈值；最后根据确定的异常数据的阈值确定判定规则，通过检测订单数据中的字段信息数据是否超过异常数据的阈值来判断是否存在异常数据。因此，本实施例提供的恶意刷单检测系统提高了检测系统对异常数据判断的准确性，遏制了网络交易中恶意刷单的违规行为，是一种更加优化的检测系统。

实施例三

图3示出了本发明实施例三提供的恶意刷单检测方法的流程图。如图3所示，该方法包括以下步骤：

步骤s310：预处理步骤，针对交易订单数据，根据图论原理进行数据关联，并对进行关联的数据建立标识。

其中，在接收到原始数据后，首先根据接收的原始数据中的订单交易格式，判断原始数据中的交易订单数据的类型，并根据交易订单数据的类型对应的业务逻辑提取交易订单数据的字段；然后根据图论原理，对所提取的订单数据中的各个相关字段进行分析，得出节点、边或属性，并在字段之间建立关联；最后对分析得出的结果建立标识。

步骤s320：存储步骤，按照特定格式存储经预处理步骤处理的数据。

其中，数据库接收预处理步骤分析的订单数据的结果，并将每个分析结果作为一条记录存储在数据库中。

步骤s330：数据分析步骤，对存储步骤存储的数据进行分析，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

其中，在数据分析步骤中，数据库中存储的节点字段、属性字段以及边属性等相关数据被提取，并根据统计和概率中的相关算法对被提取数据的置信区间进行计算分析，根据计算分析的结果得出异常数据的阈值，并根据异常数据的阈值确定判定规则，进而对交易订单数据中的数据是否符合判定规则进行判断，若符合，则检测为恶意刷单的异常数据。

由此可见，通过本实施例提供的恶意刷单检测方法，能够根据客户提供的交易订单数据，通过对上述交易订单数据中的字段信息进行抽象处理来提取该交易订单数据中的必要信息，通过对提取的结果进行统计并进行概率计算来得出其异常数据的阈值，并根据得出的异常数据的阈值确定判定规则。因此，本实施例提供的恶意刷单检测方法提高了对异常数据判断的准确性，遏制了网络交易中恶意刷单的违规行为，是一种更加优化的检测方法。

实施例四

图4示出了本发明实施例四提供的恶意刷单检测方法的流程图。如图4所示，该方法包括以下步骤：

步骤s410：针对交易订单数据，根据图论原理进行数据关联，并对进行关联的数据建立标识。

具体实施中，在接收到原始数据后，首先根据接收的原始数据中的交易订单交易数据的格式判断交易订单数据的类型。例如，交易订单数据的格式中含有乘客、司机、汽车等信息，则判断为打车订单；若交易订单数据的格式中含有送餐时间、送餐地点等信息，则判断为该订单数据的类型为点餐订单。

然后，根据判断的交易订单数据的类型的以及客户要求和业务逻辑关系，提取订单数据中的相关字段。例如，以打车软件的其中一个订单数据为例，如图表1所示，表1为打车软件中的某订单数据通过恶意刷单系统处理后所保留的字段。

最后，根据图论原理，对所提取的交易订单数据中的各个相关字段进行分析，得出节点、边或属性，在字段之间建立关联，并对分析得出的结果建立标识。首先，从交易订单数据中的各个字段中选择出属于节点的字段，其选择过程为，根据提取的字段是否为关键字段或者是否为比较具有代表性的字段判断当前字段是否属于节点。在判断完属于节点的字段后，其次为对于任意两个节点，确定任意两个节点之间是否存在边。具体地，通过判断两个节点是否相关来判断两个节点之间是否存在边，若相关，则存在边，并进一步判断两个节点之间的边是否存在方向；若不相关，则两个节点之间不存在边。最后，根据对上述订单数据字段中节点和边的判断结果，从交易订单数据的各个字段中选择出属于节点属性的字段和属于边属性的字段。具体地，每个节点都具有属性，每条边也都具有属性。。在判断字段是否属于节点属性的字段和属于边属性的字段时，首先对提取的字段进行筛选，将能总结出关键信息的一部分字段作为属于节点的字段和属于边的字段，然后将另一部分字段作为属于节点属性的字段或属于边属性的字段。最后，对处理完成的数据进行标识，并将标识与标识后的数据一起传送至数据库中。

步骤s420：按照特定格式存储经所述预处理步骤处理的数据。

将预处理步骤中传送的每一条分析处理结果以及对应的标识作为一条记录进行存储，并且在存储步骤中，还可进一步根据标识的不同将预处理步骤传送的数据存储不同的区域内，以方便对数据进行数据分析时提取对应的数据。

步骤s430：对存储的数据进行分析，判断交易订单数据是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

其中，根据统计和概率对数据库模块存储的数据进行分析，并分别在多个维度计算置信区间。具体地，首先选取数据库中对应的属于节点的字段、边以及属于节点属性的字段和属于边属性的字段，然后将上述字段信息进行统计，分别在多个维度计算其置信区间，依据计算出的各个维度的置信区间确定各个维度的异常数据的阈值。其中，其异常数据的阈值可以通过置信水平、置信度等确定。最后依据各个维度的异常数据的阈值确定判定规则，根据上述判定规则，通过持续扫描数据库中存储的数据判断是否符合异常数据，若符合，则检测为恶意刷单的异常数据。其中，对异常数据的检测包括：持续扫描数据库中存储的数据，判断是否符合异常数据的规则，若符合，则检测为恶意刷单的异常数据；以及，依据给定的属性信息，获取与给定的属性信息关联的节点、边、节点属性和/或边属性，判断是否符合异常数据的判定规则，若符合，则检测为恶意刷单的异常数据。

步骤s440：提取数据分析结果并将数据分析结果生成相关的图表显示。

根据数据分析中的分析结果，将数据分析步骤的分析结果生成节点有向图，并将节点有向图以图示的方式向用户显示，以直观的方式向用户展示多个对象之间的有向关系。并且用户还可以对显示界面进行操作，以此来查找和搜索相关信息。

由此可见，通过本实施例提供的恶意刷单检测方法，能够根据客户提供的交易订单数据，通过图论原理将交易订单数据中的字段信息数据进行抽象处理，并对抽象处理的结果进行数据关联分析；然后将分析后的数据进行单项统计，并根据统计结果进行置信区间的计算并确定异常数据的阈值；最后根据确定的异常数据的阈值确定判定规则，通过检测订单数据中的字段信息是否超过异常数据的阈值来判断是否存在异常数据。因此，本实施例提供的恶意刷单检测方法提高了对异常数据判断的准确性，遏制了网络交易中恶意刷单的违规行为，是一种更加优化的检测方法。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。