异常行为识别方法、装置、电子设备及存储介质与流程

本公开涉及信息处理技术领域，具体涉及一种异常行为识别方法、装置、电子设备及存储介质。

背景技术：

随着互联网技术的发展，越来越多的商家或者服务提供商通过互联网平台来为用户提供服务，为了获取更多的用户订单，创造更多的利润，很多商家、服务提供商或者中间机构都会开展满减、满送、发送优惠券等优惠活动，但在活动开展过程中，出现了一些非法行为，或者说一些异常行为，比如，有些用户频繁恶意刷单、有些商家作弊比如联合用户或者伪装成用户多次下单、配送人员和销售人员违规操作、甚至还出现了用户、商家、配送人员和销售人员联合违规操作等舞弊行为，这些非法行为严重扰乱了市场秩序，给优惠操作主体带来了巨大的损失。对于这种情况，目前还没有有效地、能够整体降低舞弊风险的解决方案。

技术实现要素：

本公开实施例提供一种异常行为识别方法、装置、电子设备及存储介质。

第一方面，本公开实施例中提供了一种异常行为识别方法。

具体的，所述异常行为识别方法，包括：

获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；

根据所述用户数据确定所述用户的身份信息；

根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；

其中，所述根据用户数据确定所述用户的身份信息，包括：

将用户行为数据与相应的用户属性数据相关联；

根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

结合第一方面，本公开在第一方面的第一种实现方式中，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。

结合第一方面，本公开在第一方面的第一种实现方式中，所述根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为，包括：

根据所述用户的身份信息确定用户的身份数量；

比较所述用户的身份数量与预设身份数量阈值；

若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。

结合第一方面和第一方面的第一种实现方式，本公开在第一方面的第二种实现方式中，所述方法还包括：

计算与所述用户的身份相对应的健康度分值；

当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。

结合第一方面、第一方面的第一种实现方式和第一方面的第二种实现方式，本公开在第一方面的第三种实现方式中，所述方法还包括：生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。

结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式，本公开在第一方面的第四种实现方式中，所述方法还包括：根据所述异常行为数据执行预设操作。

第二方面，本公开实施例中提供了一种异常行为识别装置。

具体的，所述异常行为识别装置，包括：

获取模块，被配置为获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；

确定模块，被配置为根据所述用户数据确定所述用户的身份信息；

识别模块，被配置为根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；

所述确定模块包括：

关联子模块，被配置为将用户行为数据与相应的用户属性数据相关联；

第一确定子模块，被配置为根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

结合第二方面，本公开在第二方面的第一种实现方式中，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。

结合第二方面，本公开在第二方面的第一种实现方式中，所述识别模块包括：

第二确定子模块，被配置为根据所述用户的身份信息确定用户的身份数量；

比较子模块，被配置为比较所述用户的身份数量与预设身份数量阈值；

识别子模块，被配置为若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。

结合第二方面和第二方面的第一种实现方式，本公开在第二方面的第二种实现方式中，所述装置还包括：计算模块，被配置为计算与所述用户的身份相对应的健康度分值；

修正模块，被配置为当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。

结合第二方面、第二方面的第一种实现方式和第二方面的第二种实现方式，本公开在第二方面的第三种实现方式中，所述装置还包括：生成模块，被配置为生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。

结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式和第二方面的第三种实现方式，本公开在第二方面的第四种实现方式中，所述装置还包括：执行模块，被配置为根据所述异常行为数据执行预设操作。

第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条支持异常行为识别装置执行上述第一方面中异常行为识别方法的计算机指令，所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述异常行为识别装置还可以包括通信接口，用于异常行为识别装置与其他设备或通信网络通信。

第四方面，本公开实施例提供了一种计算机可读存储介质，用于存储异常行为识别装置所用的计算机指令，其包含用于执行上述第一方面中异常行为识别方法为异常行为识别装置所涉及的计算机指令。

本公开实施例提供的技术方案可以包括以下有益效果：

上述技术方案，通过基于用户行为数据和用户属性数据确定某一个多次下单的用户是否存在多重身份，进而判断该用户的行为是否属于异常行为，该判断可用作限制该用户后续行为的参考数据，因而该技术方案能够有效、并且能够从整体上降低各方舞弊的风险，减少优惠操作主体的经济损失。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

结合附图，通过以下非限制性实施方式的详细描述，本公开的其它特征、目的和优点将变得更加明显。在附图中：

图1示出根据本公开一实施方式的异常行为识别方法的流程图；

图2示出根据图1所示实施方式的步骤s102的流程图；

图3示出根据图1所示实施方式的步骤s103的流程图；

图4示出根据本公开另一实施方式的异常行为识别方法的惩罚步骤的流程图；

图5示出根据本公开一实施方式的异常行为识别装置的结构框图；

图6示出根据图5所示实施方式的确定模块502的结构框图；

图7示出根据图5所示实施方式的识别模块503的结构框图；

图8示出根据本公开一实施方式的异常行为识别装置的惩罚部分的结构框图；

图9示出根据本公开一实施方式的电子设备的结构框图；

图10是适于用来实现根据本公开一实施方式的异常行为识别方法的计算机系统的结构示意图。

具体实施方式

下文中，将参考附图详细描述本公开的示例性实施方式，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施方式无关的部分。

在本公开中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。

另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。

本公开实施例提供的技术方案，通过基于用户行为数据和用户属性数据确定某一个多次下单的用户是否存在多重身份，进而判断该用户的行为是否属于异常行为，该判断可用作限制该用户后续行为的参考数据，因而该技术方案能够有效、并且能够从整体上降低各方舞弊的风险，减少优惠操作主体的经济损失。

本公开技术方案中的用户可理解为是一个广泛的含义，其可以是购买产品或者服务的购买方，可以是出售产品或者提供服务的售卖方，可以是提供配送服务的配送方，也可以是帮助售卖方出售产品或者服务的销售方。为了叙述的方便，下文中以购买产品或者服务的购买方为例对于本公开技术方案进行详细说明。

图1示出根据本公开一实施方式的异常行为识别方法的流程图。如图1所示，所述异常行为识别方法包括以下步骤s101-s103：

在步骤s101中，获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；

在步骤s102中，根据所述用户数据确定所述用户身份信息；

在步骤s103中，根据所述用户行为数据和用户身份信息识别所述用户的行为是否为异常行为；

其中，所述步骤s102包括：

将用户行为数据与相应的用户属性数据相关联；

根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

考虑到在优惠活动利益驱动下，有些用户会出现频繁恶意下单，或者同一用户通过注册不同的账号频繁恶意下单的行为，这种恶意刷单的行为严重扰乱了市场秩序，给优惠操作主体带来了巨大的损失。

为了避免出现上述情况，在该实施方式中，提出一种异常行为识别方法，该方法通过基于用户行为数据和用户属性数据确定某一多次下单的用户的身份信息，进而判断该用户的行为是否属于异常行为，该判断可用作限制该用户后续行为的参考数据，因而该技术方案能够有效、并且能够从整体上降低各方舞弊的风险，减少优惠操作主体的经济损失。具体地，首先获取预设历史时间段内的用户数据，其中，所述用户数据包括用户行为数据和用户属性数据；然后根据所述用户数据确定所述用户的身份信息；最后根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为。

所述用户行为数据用于表征该用户的行为信息，比如用户下单信息。在本实施例的一个可选实现方式中，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。

所述用户属性数据用于表征该用户的属性信息，可联合用户行为数据判断确定该用户的身份信息。在本实施例的一个可选实现方式中，所述用户属性数据包括：手机号码、设备唯一识别号、通信地址、支付信息、姓名、性别、年龄、行业、职业、人生阶段、长期兴趣、偏好、活动区域、下单或访问频率、对于服务提供方的偏好程度中的一种或多种。

其中，所述预设历史时间段可以是任意历史时间段，具体可由本领域技术人员根据实际应用的需要进行设置，本公开对于预设历史时间段的设置和选择不作具体限定。

图2示出根据图1所示实施方式的步骤s102的流程图，如上文所述，所述步骤s102，即根据用户数据确定所述用户的身份信息的步骤，包括步骤s201-s202：

在步骤s201中，将用户行为数据与相应的用户属性数据相关联；

在步骤s202中，根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

优惠活动主体在发布优惠活动时，为了在保证商业利润的前提下争取更多的潜在用户，通常对于同一账户所享受优惠的次数进行限制，比如限制一个账户只能申请领取一张优惠券。在这种限制下，用户为了获取更多的优惠，通常使用不同的手机号码注册不同的账户，然后使用不同的账户使用同一设备频繁下单，当优惠活动主体对于设备的唯一性也进行限制时，用户甚至会使用多个设备实施恶意刷单行为。在这种情况下，可通过之前获取的用户行为数据首先识别某一用户是否发生频繁下单的情况，然后再根据与每一订单相关联的用户属性数据来判断该用户是否其实是同一真实用户即自然人用户，获取其在商业行为上所体现的身份信息，以便于后续用来判断其行为是否属于恶意刷单的情况。比如，对于使用不同手机号码注册不同的账户，然后使用不同的账户使用同一设备频繁下单的用户，可通过检测不同订单所使用的设备唯一识别号是否相同来判断该用户是否有可能属于恶意刷单的情况，基于该用户的属性数据又可以得到该用户的真实身份是购买方还是售卖方再或者是配送方或销售方；对于使用多个设备进行刷单的用户，可通过检测不同订单收货人或其联系电话、收货地址等信息是否相同或者不同收货地址之间的关联性来确定用户的身份信息，作为后续判断该用户的行为是否有可能属于恶意刷单的依据。

在本实施例的一个可选实现方式中，如图3所示，所述步骤s103，即根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为的步骤，包括步骤s301-s303：

在步骤s301中，根据所述用户的身份信息确定用户的身份数量；

在步骤s302中，比较所述用户的身份数量与预设身份数量阈值；

在步骤s303中，若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。

上文提及，可通过检测不同订单所使用的设备唯一识别号是否相同、不同订单收货人或其联系电话是否相同、不同订单的收货地址等信息是否相同，或者可根据不同收货地址之间的关联性来判断下单用户之间的关联性，进而确定下单用户的身份，作为后续判断该用户的行为是否属于恶意刷单的依据。

在该实施方式中，首先根据所述用户的身份信息确定用户的身份数量，然后比较所述用户的身份数量与预设身份数量阈值，若所述用户的身份数量大于预设身份数量阈值，则将所述用户的行为识别为异常行为。

如果通过上述实施方式，确定某一用户所表现出的身份数量为2个或者更多，则判断该用户的行为为异常行为，比如，如果某一用户所表现出的身份信息均为购买方，且数量大于2，则可认为该用户属于使用多重身份信息恶意刷单的情况；如果某一用户所表现出的身份信息为购买方和售卖方，则可认为该用户属于购买方和售卖方联合舞弊的情况等等。

在本实施例的一个可选实现方式中，如图4所示，所述方法还包括惩罚步骤，即所述方法还包括步骤s401-s402：

在步骤s401中，计算与所述用户的身份相对应的健康度分值；

在步骤s402中，当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。

在该实施方式中，每种身份都对应有表征其健康情况的健康度分值，比如，购买方具有购买方健康度分值，售卖方具有售卖方健康度分值，配送方具有配送方健康度分值，销售方具有销售方健康度分值，健康度分值越高，说明该身份越值得信任，健康度越低，说明该身份越不值得信任，越需要加强防范。其中，所述健康度分值可根据相应身份的历史行为数据来计算得到，具体计算方法可由本领域技术人员根据实际应用的需要进行选择和制定，本公开对其不作具体限定。

当所述用户的行为被识别为异常行为时，可认为该用户的异常行为有可能属于非法行为，该用户是一个相对有风险后续需要防范的用户，那么就可以对该用户的身份相对应的健康度分值进行惩罚修正，在惩罚修正时，既可以按照预设步长对健康度分值惩罚修正，也可以首先对该用户的异常行为的严重程度进行数值化评估，然后再根据数值化评估结果对健康度分值进行惩罚修正，具体惩罚修正方法可由本领域技术人员根据实际应用的需要进行选择和确定，本公开对其不作具体限定。

进一步地，考虑到有些优惠活动主体所推出的优惠活动并不限制重复下单的情况，因此，在本实施例的一个可选实现方式中，在识别出某一用户的行为是异常行为之后，先收集与用户行为相关的限制信息，然后再根据行为限制信息判断某一用户的异常行为是否确为非法行为，在确定是非法行为后再实施惩罚措施，其中，所述行为限制信息可以是优惠活动主体发布的限制信息，也可以是商家或者其他主体发布的限制信息等等。

在本实施例的一个可选实现方式中，所述方法还包括生成异常行为数据的步骤，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。

在本实施例的另一个可选实现方式中，所述方法还包括根据所述异常行为数据执行预设操作的步骤。

其中，所述异常行为数据用于体现某一用户执行异常行为的具体信息，该信息可后续存储至数据库用于统计信息、更新用户行为数据，或者发送给购买管理主体、出售管理主体、配送管理主体、销售管理主体或者其他管理主体用于进行相应的风险管理和控制，即，所述预设操作包括：存储所述异常行为数据、传输至控制主体、对所述用户进行限制、对所述用户进行惩罚中的一种或多种。

比如，将某用户的异常行为数据发送给购买管理主体，可在该用户下单后实施发货拦截操作、后续限制将优惠券、优惠信息等资源注入至该用户；将某用户的异常行为数据发送给出售管理主体，可用于辅助判断恶意刷单，减少经济损失或者限制执行对该用户的优惠措施；将某用户的异常行为数据发送给销售管理主体，可避免将优惠券、优惠信息等资源注入至该用户，或者对于相应销售方用户进行惩罚；将某用户的异常行为数据发送给配送管理主体，可用于限制相应配送方用户后续的配送行为、绩效考核、利益获取等。所述异常行为数据还可被用于辅助确认整个商业链是否存在风险，比如，在有些情况下，销售方行为出现异常有可能说明售卖方也存在连带异常，进一步追踪，还有可能说明购买方和配送方均存在连带异常，如果能够根据异常行为数据确认商业链或者其中的某一个或某几个环节存在异常，则可提前实施防范措施，避免出现更为严重的损失。

下述为本公开装置实施例，可以用于执行本公开方法实施例。

图5示出根据本公开一实施方式的异常行为识别装置的结构框图，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图5所示，所述异常行为识别装置包括：

获取模块501，被配置为获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；

确定模块502，被配置为根据所述用户数据确定所述用户的身份信息；

识别模块503，被配置为根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；

其中，所述确定模块502包括：

关联子模块，被配置为将用户行为数据与相应的用户属性数据相关联；

第一确定子模块，被配置为根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

考虑到在优惠活动利益驱动下，有些用户会出现频繁恶意下单，或者同一用户通过注册不同的账号频繁恶意下单的行为，这种恶意刷单的行为严重扰乱了市场秩序，给优惠操作主体带来了巨大的损失。

为了避免出现上述情况，在该实施方式中，提出一种异常行为识别装置，该装置基于获取的用户行为数据和用户属性数据确定某一多次下单的用户的身份信息，进而通过识别模块503判断该用户的行为是否属于异常行为，该判断可用作限制该用户后续行为的参考数据，因而该技术方案能够有效、并且能够从整体上降低各方舞弊的风险，减少优惠操作主体的经济损失。具体地，首先通过获取模块501获取预设历史时间段内的用户数据，其中，所述用户数据包括用户行为数据和用户属性数据；然后通过确定模块502基于根据所述用户数据确定所述用户的身份信息；最后通过识别模块503根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为。

所述用户行为数据用于表征该用户的行为信息，比如用户下单信息。在本实施例的一个可选实现方式中，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。

所述用户属性数据用于表征该用户的属性信息，可联合用户行为数据判断确定该用户的身份信息。在本实施例的一个可选实现方式中，所述用户属性数据包括：手机号码、设备唯一识别号、通信地址、支付信息、姓名、性别、年龄、行业、职业、人生阶段、长期兴趣、偏好、活动区域、下单或访问频率、对于服务提供方的偏好程度中的一种或多种。

其中，所述预设历史时间段可以是任意历史时间段，具体可由本领域技术人员根据实际应用的需要进行设置，本公开对于预设历史时间段的设置和选择不作具体限定。

图6示出根据图5所示实施方式的确定模块502的结构框图，如上文所述，所述确定模块502包括：

关联子模块601，被配置为将用户行为数据与相应的用户属性数据相关联；

第一确定子模块602，被配置为根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

优惠活动主体在发布优惠活动时，为了在保证商业利润的前提下争取更多的潜在用户，通常对于同一账户所享受优惠的次数进行限制，比如限制一个账户只能申请领取一张优惠券。在这种限制下，用户为了获取更多的优惠，通常使用不同的手机号码注册不同的账户，然后使用不同的账户使用同一设备频繁下单，当优惠活动主体对于设备的唯一性也进行限制时，用户甚至会使用多个设备实施恶意刷单行为。在这种情况下，第一确定子模块602可通过之前获取的用户行为数据首先识别某一用户是否发生频繁下单的情况，然后再根据关联子模块601确定的与每一订单相关联的用户属性数据来判断该用户是否其实是同一真实用户即自然人用户，获取其在商业行为上所体现的身份信息，以便于后续用来判断其行为是否属于恶意刷单的情况。比如，对于使用不同手机号码注册不同的账户，然后使用不同的账户使用同一设备频繁下单的用户，可通过检测不同订单所使用的设备唯一识别号是否相同来判断该用户是否有可能属于恶意刷单的情况，基于该用户的属性数据又可以得到该用户的真实身份是购买方还是售卖方再或者是配送方或销售方；对于使用多个设备进行刷单的用户，可通过检测不同订单收货人或其联系电话、收货地址等信息是否相同或者不同收货地址之间的关联性来确定用户的身份信息，作为后续判断该用户的行为是否有可能属于恶意刷单的依据。

在本实施例的一个可选实现方式中，如图7所示，所述识别模块503包括：

第二确定子模块701，被配置为根据所述用户的身份信息确定用户的身份数量；

比较子模块702，被配置为比较所述用户的身份数量与预设身份数量阈值；

识别子模块703，被配置为若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。

上文提及，可通过检测不同订单所使用的设备唯一识别号是否相同、不同订单收货人或其联系电话是否相同、不同订单的收货地址等信息是否相同，或者可根据不同收货地址之间的关联性来判断下单用户之间的关联性，进而确定下单用户的身份，作为后续判断该用户的行为是否属于恶意刷单的依据。

在该实施方式中，首先通过第二确定子模块701根据所述用户的身份信息确定用户的身份数量，然后通过比较子模块702比较所述用户的身份数量与预设身份数量阈值，若所述用户的身份数量大于预设身份数量阈值，则识别子模块703将所述用户的行为识别为异常行为。

如果通过上述实施方式，确定某一用户所表现出的身份数量为2个或者更多，则判断该用户的行为为异常行为，比如，如果某一用户所表现出的身份信息均为购买方，且数量大于2，则可认为该用户属于使用多重身份信息恶意刷单的情况；如果某一用户所表现出的身份信息为购买方和售卖方，则可认为该用户属于购买方和售卖方联合舞弊的情况等等。

在本实施例的一个可选实现方式中，如图8所示，所述装置还包括惩罚部分，即所述装置还包括：

计算模块801，被配置为计算与所述用户的身份相对应的健康度分值；

修正模块802，被配置为当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。

在该实施方式中，每种身份都对应有表征其健康情况的健康度分值，比如，购买方具有购买方健康度分值，售卖方具有售卖方健康度分值，配送方具有配送方健康度分值，销售方具有销售方健康度分值，健康度分值越高，说明该身份越值得信任，健康度越低，说明该身份越不值得信任，越需要加强防范。其中，所述健康度分值可通过计算模块801根据相应身份的历史行为数据来计算得到，具体计算方法可由本领域技术人员根据实际应用的需要进行选择和制定，本公开对其不作具体限定。

比如，用户健康度分值可利用下式计算：

其中，x表示用户健康度分值，如上所述，所述用户可以为购买方、售卖方、配送方、销售方或者其他身份，w0表示预设常量调整因子，用于进行误差调整，wi表示第i个特征元素的权重值，xi表示第i个特征元素，m表示特征元素的数量，所述特征元素是对用户的健康度有所影响的特征，其可根据实际应用的需要或者根据经验值进行选取，本公开对其具体选择不作具体限定，与特征元素相对应的权重值可根据经验值进行选取，也可以借助预测模型或者最优化算法预测或者计算得到。

当所述用户的行为被识别为异常行为时，可认为该用户的异常行为有可能属于非法行为，该用户是一个相对有风险后续需要防范的用户，那么修正模块802就可以对该用户的身份相对应的健康度分值进行惩罚修正，在惩罚修正时，既可以按照预设步长对健康度分值惩罚修正，也可以首先对该用户的异常行为的严重程度进行数值化评估，然后再根据数值化评估结果对健康度分值进行惩罚修正，具体惩罚修正方法可由本领域技术人员根据实际应用的需要进行选择和确定，本公开对其不作具体限定。

进一步地，考虑到有些优惠活动主体所推出的优惠活动并不限制重复下单的情况，因此，在本实施例的一个可选实现方式中，在识别出某一用户的行为是异常行为之后，先收集与用户行为相关的限制信息，然后再根据行为限制信息判断某一用户的异常行为是否确为非法行为，在确定是非法行为后再实施惩罚措施，其中，所述行为限制信息可以是优惠活动主体发布的限制信息，也可以是商家或者其他主体发布的限制信息等等。

在本实施例的一个可选实现方式中，所述装置还包括生成模块，被配置为生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。

在本实施例的另一个可选实现方式中，所述装置还包括执行模块，被配置为根据所述异常行为数据执行预设操作。

其中，所述异常行为数据用于体现某一用户执行异常行为的具体信息，该信息可后续存储至数据库用于统计信息、更新用户行为数据，或者发送给购买管理主体、出售管理主体、配送管理主体、销售管理主体或者其他管理主体用于进行相应的风险管理和控制，即，所述预设操作包括：存储所述异常行为数据、传输至控制主体、对所述用户进行限制、对所述用户进行惩罚中的一种或多种。

比如，将某用户的异常行为数据发送给购买管理主体，可在该用户下单后实施发货拦截操作、后续限制将优惠券、优惠信息等资源注入至该用户；将某用户的异常行为数据发送给出售管理主体，可用于辅助判断恶意刷单，减少经济损失或者限制执行对该用户的优惠措施；将某用户的异常行为数据发送给销售管理主体，可避免将优惠券、优惠信息等资源注入至该用户，或者对于相应销售方用户进行惩罚；将某用户的异常行为数据发送给配送管理主体，可用于限制相应配送方用户后续的配送行为、绩效考核、利益获取等。所述异常行为数据还可被用于辅助确认整个商业链是否存在风险，比如，在有些情况下，销售方行为出现异常有可能说明售卖方也存在连带异常，进一步追踪，还有可能说明购买方和配送方均存在连带异常，如果能够根据异常行为数据确认商业链或者其中的某一个或某几个环节存在异常，则可提前实施防范措施，避免出现更为严重的损失。

本公开还公开了一种电子设备，图9示出根据本公开一实施方式的电子设备的结构框图，如图9所示，所述电子设备900包括存储器901和处理器902；其中，

所述存储器901用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器902执行以实现：

获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；

根据所述用户数据确定所述用户的身份信息；

根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；

其中，所述根据用户数据确定所述用户的身份信息，包括：

将用户行为数据与相应的用户属性数据相关联；

根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。

所述一条或多条计算机指令还可被所述处理器902执行以实现：

所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。

所述根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为，包括：

根据所述用户的身份信息确定用户的身份数量；

比较所述用户的身份数量与预设身份数量阈值；

若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。

还包括：

计算与所述用户的身份相对应的健康度分值；

当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。

还包括：

生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。

还包括：

根据所述异常行为数据执行预设操作。

图10适于用来实现根据本公开实施方式的异常行为识别方法的计算机系统的结构示意图。

如图10所示，计算机系统1000包括中央处理单元(cpu)1001，其可以根据存储在只读存储器(rom)1002中的程序或者从存储部分1008加载到随机访问存储器(ram)1003中的程序而执行上述图1-4所示的实施方式中的各种处理。在ram1003中，还存储有系统1000操作所需的各种程序和数据。cpu1001、rom1002以及ram1003通过总线1004彼此相连。输入/输出(i/o)接口1005也连接至总线1004。

以下部件连接至i/o接口1005：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至i/o接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

特别地，根据本公开的实施方式，上文参考图1-4描述的方法可以被实现为计算机软件程序。例如，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上的计算机程序，所述计算机程序包含用于执行图1-4的异常行为识别方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。

附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

本公开公开了a1、一种异常行为识别方法，所述方法包括：获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；根据所述用户数据确定所述用户的身份信息；根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；其中，所述根据用户数据确定所述用户的身份信息，包括：将用户行为数据与相应的用户属性数据相关联；根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。a2、根据a1所述的方法，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。a3、根据a1所述的方法，所述根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为，包括：根据所述用户的身份信息确定用户的身份数量；比较所述用户的身份数量与预设身份数量阈值；若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。a4、根据a1-a3任一项所述的方法，还包括：计算与所述用户的身份相对应的健康度分值；当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。a5、根据a1-a3任一项所述的方法，还包括：生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。a6、根据a5所述的方法，还包括：根据所述异常行为数据执行预设操作。

本公开公开了b7、一种异常行为识别装置，所述装置包括：获取模块，被配置为获取预设历史时间段内的用户数据，所述用户数据包括用户行为数据和用户属性数据；确定模块，被配置为根据所述用户数据确定所述用户的身份信息；识别模块，被配置为根据所述用户行为数据和用户的身份信息识别所述用户的行为是否为异常行为；其中，所述确定模块包括：关联子模块，被配置为将用户行为数据与相应的用户属性数据相关联；第一确定子模块，被配置为根据用户行为数据以及与其关联的用户属性数据的重复性确定所述用户的身份信息。b8、根据b7所述的装置，所述用户行为数据包括：预设时间段内用户行为数量、用户行为类型、用户行为发生时间、用户行为内容、用户行为所包括的服务数据、用户行为价格等数据中的一种或多种。b9、根据b7所述的装置，所述识别模块包括：第二确定子模块，被配置为根据所述用户的身份信息确定用户的身份数量；比较子模块，被配置为比较所述用户的身份数量与预设身份数量阈值；识别子模块，被配置为若所述用户的身份数量大于预设身份数量阈值，识别所述用户的行为为异常行为。b10、根据b7-b9任一项所述的装置，还包括：计算模块，被配置为计算与所述用户的身份相对应的健康度分值；修正模块，被配置为当所述用户的行为识别为异常行为时，对所述用户的身份相对应的健康度分值进行惩罚修正。b11、根据b7-b9任一项所述的装置，还包括：生成模块，被配置为生成异常行为数据，其中，所述异常行为数据包括：异常行为发生时间、预设时间段内异常行为发生数量、异常行为类型、异常行为内容、异常行为主体、异常行为价格，身份健康度修正分值中的一种或多种。b12、根据b11所述的装置，还包括：执行模块，被配置为根据所述异常行为数据执行预设操作。

本公开公开了c13、一种电子设备，包括存储器和处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如a1-a6任一项所述的方法。

本公开还公开了d14、一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如a1-a6任一项所述的方法。