可疑团伙识别方法、装置、设备及计算机可读存储介质与流程

本公开实施例涉及互联网技术领域，尤其涉及可疑团伙识别方法、装置、设备及计算机可读存储介质。

背景技术：

在国际上经常会出现一些犯罪团伙，在黑市里面大量购买被盗银行卡和支付密码，然后在电商网站中进行注册账户并且绑定盗来的卡。在账号和支付方式都准备完毕后，他们就会大规模进行支付消费，从而消耗盗来的卡中钱。在被盗用户发现了自己卡被盗用之后，会向银行和电商进行投诉。通常，电商会承担对这些被盗的卡的消费，赔偿被盗卡的支出。近年来，这样的盗卡或盗账户的团伙性犯案，造成的资损量级非常之大。

针对这种国际团伙方案的手段进行了分析，发现存在非常强的关联关系特征，可以总结为以下几点:

第一：多个支付账号一般会重复使用一张或者几张盗来的卡或银行账号；

第二：多个支付账号一般会重复使用一个或者多个相同的电话号码或者ip地址；

第三：多个支付账号一般会重复使用一个或者多个相似的交易和邮寄地址。

相关技术中，没有针对国际场景进行深入研究。虽然考虑过用户与电话、ip地址、银行卡的关系，但是这样错误抓取犯罪团伙的场景还是存在，例如，多个用户使用同一个公司的ip地址进行购物的场景。在国际场景中，一些犯罪团伙为了躲过地址的关联，经常会改变收货地址的顺序，例如，他们会将地址“美国、加州、好莱坞”写成“加州、好莱坞、美国”。这样的写法可以被快递人员认可，但是相关技术的可疑团伙识别方案会判断这是两个不同的地址。因此，相关技术的方案进行可疑团伙识别的效率不高，周期太长。

技术实现要素：

有鉴于此，本公开第一方面提供了一种可疑团伙识别方法，包括：

获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合；

利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，所述至少一种介质包括所述地址集合中的地址；

针对所述关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

本公开第二方面提供了一种可疑团伙识别装置，包括：

获取模块，被配置为获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合；

建立模块，被配置为利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，所述至少一种介质包括所述地址集合中的地址；

聚类模块，被配置为针对所述关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

本公开第三方面提供了一种电子设备，包括存储器和处理器；其中，所述存储器用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器执行以实现如第一方面所述的方法。

本公开第四方面提供了一种计算机可读存储介质，其上存储有计算机指令，该计算机指令被处理器执行时实现如第一方面所述的方法。

在本公开实施方式中，通过获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合；利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，所述至少一种介质包括所述地址集合中的地址；针对所述关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙，从而可以通过利用包括与目标地址的相似的地址集合的介质建立关联关系来关联多个账号，并且根据关联关系来对账号进行聚类以将一些聚类的账号识别为可疑团伙。根据本公开的方案进行可疑团伙识别的效率高，周期短。

本公开的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本公开实施例或相关技术中的技术方案，下面将对示例性实施例或相关技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本公开的一些示例性实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出根据本公开一实施方式的可疑团伙识别方法的流程图；

图2示出根据本公开一实施方式的可疑团伙识别方法中的步骤s101的流程图；

图3示出根据本公开一实施方式的可疑团伙识别装置的结构框图；

图4示出根据本公开一实施方式的可疑团伙识别装置中的获取模块301的结构框图；

图5示出根据本公开一实施方式的可疑团伙识别方法的建立关联关系的一个示例的示意图；

图6示出根据本公开一实施方式的设备的结构框图；

图7是适于用来实现根据本公开一实施方式的可疑团伙识别方法的计算机系统的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本公开方案，下面将结合本公开示例性实施例中的附图，对本公开示例性实施例中的技术方案进行清楚、完整地描述。

在本公开的说明书和权利要求书及上述附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如101、102等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

下面将结合本公开示例性实施例中的附图，对本公开示例性实施例中的技术方案进行清楚、完整地描述，显然，所描述的示例性实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。.

图1示出根据本公开一实施方式的可疑团伙识别方法的流程图。该方法可以包括步骤s101、s102和s103。

在步骤s101中，获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合。

在步骤s102中，利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，至少一种介质包括地址集合中的地址。

在步骤s103中，针对关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

在本公开的一个实施例中，在风险控制系统中，会有非常多的事件类型，事件类型包含的属性各不相同。在实时的风险控制场景中，需要从各种事件中抽取出关键的关系作为实时关系数据。例如，当用户进行交易的时候，可以从交易事件中累积出“用户->卡”的关系。因此，对于本公开实施方式中的实时关系数据，可以通过一个累积系统来对各种事件抽取关系并且将抽取的关系累积进数据库。

在本公开的一个实施例中，由于线上实时事件属性因为系统性能考虑不会带有太多的属性，所以很多关键的属性需要通过离线关系数据进行导入，例如:用户黑名单数据、ip地址、电话黑名单数据等。在一个实施例中，在第一次初始化时，可以离线导入之前的离线关系数据，使得分析的时候不会缺少部分关系，以使得分析继续进行。

在本公开的一个实施例中，至少一种介质包括账号的银行账号、账号的ip地址、账号的手机号和账号的目标地址。例如，目标地址可以是网上交易的收货地址。

在本公开的一个实施例中，特定账号指的是与目标地址存在关联关系的账号，当确定与目标地址相似的地址的地址集合时，可以认为该地址集合中的地址所关联的账号与特定账号可能是一个可疑团伙。根据本公开的教导，本领域技术人员可以理解，通过账号与地址的关联关系来确定团伙仅仅是本公开的识别可疑团伙的方案的一部分，本公开可以基于账号与多介质之间的关联关系来聚类可疑团伙。另外，特定账号可以是任一账号。即，可以将任一账号作为特定账号，并根据其目标地址确定类似的地址集合。

在本公开的一个实施例中，步骤s103包括：利用社区发现算法对关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

在本公开实施方式中，通过获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合；利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，至少一种介质包括地址集合中的地址；针对关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙，从而可以通过利用包括与目标地址的相似的地址集合的介质建立关联关系来关联多个账号，并且根据关联关系来对账号进行聚类以将一些聚类的账号识别为可疑团伙。根据本公开的方案进行可疑团伙识别的效率高，周期短。

图2示出根据本公开一实施方式的可疑团伙识别方法中的步骤s101的流程图。步骤s101包括步骤s201、s202和s203。

在步骤s201中，利用学习算法对组成地址的词汇进行学习来生成具有多个维度的向量。

在步骤s202中，利用分词算法对地址进行分词，将组成地址的各个词汇分别映射到向量的相应维度以生成相应的地址向量。

在步骤s203中，计算生成的地址向量之间的相似度以确定一个地址与另一地址之间的相似度，从而获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合。

在本公开的一个实施例中，骤s202包括：为地址向量的每一维度分配相应的权重。

在一个示例中，利用学习算法对组成地址的词汇进行学习来生成具有多个维度的向量。首先，可以利用学习算法学习大量的词汇语料，例如:好莱坞、美国、加州等。可以将这些语料学习成一个特定维度(例如，维度为1000)的向量，每个词汇会映射到向量中的某一维上面。可以为地址向量的每一维度分配相应的权重，例如，这一维下面的值代表这个词汇的权重。

例如，学习出来的向量为：

向量：0:1:2

权重：0.1:0.2:0.15

其中，位置0的词汇代表“好莱坞”，其权重为0.1；位置为1的词汇代表“美国”，其权重为0.2；位置为2的词汇代表“加州”，其权重为0.15。

接下来，可以针对每个用户输入的地址，利用分词算法进行分词。之后，将地址的词汇映射到前述已经学习到的例如维度为1000的向量，这样每个地址就会转化成一个1000维度的向量。以地址“好莱坞、美国、休斯顿”为例，则地址的词汇映射到的向量的示例如下：

向量：0:1:2

权重：0.1:0.2:0

其中，位置0的词汇代表“好莱坞”，其权重为0.1；位置为1的词汇代表“美国”，其权重为0.2；位置为2的词汇代表“休斯顿”，其权重为0.0。

接下来，可以将根据关联关系生成的关系图谱中的所有的地址转换成维度为1000的向量，然后计算向量之间的相似度，由此确定每个地址与其他地址相似度为多少，进而在关联关系里面进行展示。在一个示例中，两两计算向量的余弦相似度。在一个示例中，可以利用现有技术的余弦相似度公式来计算余弦相似度。在一个示例中，地址相似度的算法可以采用各种算法，例如，不用余弦相似度判断，而是利用其它的向量距离算法，或者利用自然语言分析。本领域技术人员可以理解，向量的维度不限于1000，可以是任何其它值。

在本公开的一个实施例中，步骤s203包括：计算每两个地址向量之间的余弦相似度以确定一个地址与另一地址之间的相似度。在此情况下，可以建立两个地址之间的关联，进而建立与两个地址相关联的两个账号之间的关联。本公开实施例可以作为针对国际场景的地址相似度算法，解决了如何通过地址相似来关联两个用户的就问题。

在本公开的一个实施例中，步骤s102包括：获取使用地址集合中的地址作为目标地址的关联账号，以建立特定账号、目标地址、地址集合中的地址以及关联账号之间的关联关系。

在本公开的一个实施例中，步骤s103包括：针对特定账号、目标地址、地址集合中的地址以及关联账号之间的关联关系进行算法聚类以获得聚类出的特定账号和关联账号作为可疑团伙。

以下参照图5来描述如何建立特定账号、目标地址、地址集合中的地址以及关联账号之间的关联关系。

图5示出根据本公开一实施方式的可疑团伙识别方法的建立关联关系的一个示例的示意图。

如图5所示，账号1是特定账号，地址1是账号1的目标地址，账号1与地址1之间有关联关系。计算针对地址1与其他地址生成的地址向量之间的相似度以确定地址1与其他地址之间的相似度。获取与账号1使用的地址1的相似度大于预设值的地址的地址集合，从而获取包括与账号1使用的地址1的相似度大于预设值的地址的地址集合。地址集合中的地址是由关联账号1、关联账号2、…、关联账号n使用的地址。因此，可以建立账号1、地址1、与账号1使用的地址1的相似度大于预设值的地址的地址集合以及关联账号1、关联账号2、…、关联账号n之间的关联关系。这时候，可以发现一个可疑团伙：使用与账号1使用的地址1的相似度大于预设值的地址的关联账号。

换言之，在建立用户与地址关系的时候，当用户使用了某个地址的时候，不仅会建立这个用户到这个地址的关系，同时也会创建一个虚拟的节点，建立用户到与这个地址相似度大于预设值的地址集合，并且把这个地址集合中的地址对于用户也同时找出来，这时候就可以发现这样一个团伙：使用过跟地址1相似度大于预设值的所有用户。

在本公开的一个实施例中，可以将关联关系体现为关联关系图谱。有了关联关系图谱，可以针对关联关系图谱进行算法聚类，目前主要应用的是社区发现算法进行团伙的识别，从关联关系数据上面进行聚类，找到数据上面存在着团伙聚类的可能性。之后，运营人员可以对这些聚出来的团伙进行判断，以确定聚类出来的可疑团伙是不是真正的案件团伙。在另一个实施例中，可以使用多种算法实现团伙聚类的算法。除了本公开中提及的社区发现算法来进行团伙聚类之外，还可以尝试标签传播或者深度学习算法来进行聚类。

在另一个实施例中，还可以通过人工进行关联反查来进行可疑团伙分析。首先运营人员从当天或者历史的案件中抽取可疑的用户账号或者相关的介质(ip地址、手机号、银行卡号等)，然后人工的通过这些可疑数据一层一层地往外进行扩散，然后进行群组性地观察和分析，是否这样的群体是一个案件团伙。根据本公开的方案进行可疑团伙识别的效率高，周期短。

图3示出根据本公开一实施方式的可疑团伙识别装置的结构框图。

如图3所示的可疑团伙识别装置包括获取模块301、建立模块302和聚类模块303。

获取模块301被配置为获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合。

建立模块302被配置为利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，至少一种介质包括地址集合中的地址。

聚类模块303被配置为针对所述关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

在本公开的一个实施例中，在风险控制系统中，会有非常多的事件类型，事件类型包含的属性各不相同。在实时的风险控制场景中，需要从各种事件中抽取出关键的关系作为实时关系数据。例如，当用户进行交易的时候，可以从交易事件中累积出“用户->卡”的关系。因此，对于本公开实施方式中的实时关系数据，可以通过一个累积系统来对各种事件抽取关系并且将抽取的关系累积进数据库。

在本公开的一个实施例中，由于线上实时事件属性因为系统性能考虑不会带有太多的属性，所以很多关键的属性需要通过离线关系数据进行导入，例如:用户黑名单数据、ip地址、电话黑名单数据等。在一个实施例中，在第一次初始化时，可以离线导入之前的离线关系数据，使得分析的时候不会缺少部分关系，以使得分析继续进行。

在本公开的一个实施例中，至少一种介质包括账号的银行账号、账号的ip地址、账号的手机号和账号的目标地址。例如，目标地址可以是网上交易的收货地址。

在本公开的一个实施例中，特定账号指的是与目标地址存在关联关系的账号，当确定与目标地址相似的地址的地址集合时，可以认为该地址集合中的地址所关联的账号与特定账号可能是一个可疑团伙。根据本公开的教导，本领域技术人员可以理解，通过账号与地址的关联关系来确定团伙仅仅是本公开的识别可疑团伙的方案的一部分，本公开可以基于账号与多介质之间的关联关系来聚类可疑团伙。另外，特定账号可以是任一账号。即，可以将任一账号作为特定账号，并根据其目标地址确定类似的地址集合。

在本公开的一个实施例中，聚类模块303被配置为：利用社区发现算法对关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙。

在本公开实施方式中，通过获取模块，被配置为获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合；建立模块，被配置为利用账号的实时关系数据和离线关系数据建立账号与至少一种介质之间的关联关系，其中，至少一种介质包括地址集合中的地址；聚类模块，被配置为针对关联关系进行算法聚类以获得聚类出多个账号作为可疑团伙，从而可以通过利用包括与目标地址的相似的地址集合的介质建立关联关系来关联多个账号，并且根据关联关系来对账号进行聚类以将一些聚类的账号识别为可疑团伙。根据本公开的方案进行可疑团伙识别的效率高，周期短。

图4示出根据本公开一实施方式的可疑团伙识别装置中的获取模块301的结构框图。获取模块301包括向量生成子模块401、映射子模块402和计算子模块403。

向量生成子模块401被配置为利用学习算法对组成地址的词汇进行学习来生成具有多个维度的向量。

映射子模块402被配置为利用分词算法对地址进行分词，将组成地址的各个词汇分别映射到向量的相应维度以生成相应的地址向量。

计算子模块403被配置为计算生成的地址向量之间的相似度以确定一个地址与另一地址之间的相似度，从而获取包括与特定账号使用的目标地址的相似度大于预设值的地址的地址集合。

在本公开的一个实施例中，映射子模块402被配置为：为地址向量的每一维度分配相应的权重。

在一个示例中，利用学习算法对组成地址的词汇进行学习来生成具有多个维度的向量。首先，可以利用学习算法学习大量的词汇语料，例如:好莱坞、美国、加州等。可以将这些语料学习成一个特定维度(例如，维度为1000)的向量，每个词汇会映射到向量中的某一维上面。可以为地址向量的每一维度分配相应的权重，例如，这一维下面的值代表这个词汇的权重。

例如，学习出来的向量为：

向量：0:1:2

权重：0.1:0.2:0.15

其中，位置0的词汇代表“好莱坞”，其权重为0.1；位置为1的词汇代表“美国”，其权重为0.2；位置为2的词汇代表“加州”，其权重为0.15。

接下来，可以针对每个用户输入的地址，利用分词算法进行分词。之后，将地址的词汇映射到前述已经学习到的例如维度为1000的向量，这样每个地址就会转化成一个1000维度的向量。以地址“好莱坞、美国、休斯顿”为例，则地址的词汇映射到的向量的示例如下：

向量：0:1:2

权重：0.1:0.2:0

其中，位置0的词汇代表“好莱坞”，其权重为0.1；位置为1的词汇代表“美国”，其权重为0.2；位置为2的词汇代表“休斯顿”，其权重为0.0。

接下来，可以将根据关联关系生成的关系图谱中的所有的地址转换成维度为1000的向量，然后计算向量之间的相似度，由此确定每个地址与其他地址相似度为多少，进而在关联关系里面进行展示。在一个示例中，两两计算向量的余弦相似度。在一个示例中，可以利用现有技术的余弦相似度公式来计算余弦相似度。在一个示例中，地址相似度的算法可以采用各种算法，例如，不用余弦相似度判断，而是利用其它的向量距离算法，或者利用自然语言分析。本领域技术人员可以理解，向量的维度不限于1000，可以是任何其它值。

在本公开的一个实施例中，计算子模块403被配置为：计算每两个地址向量之间的余弦相似度以确定一个地址与另一地址之间的相似度。在此情况下，可以建立两个地址之间的关联，进而建立与两个地址相关联的两个账号之间的关联。本公开实施例可以作为针对国际场景的地址相似度算法，解决了如何通过地址相似来关联两个用户的就问题。

在本公开的一个实施例中，建立模块302被配置为：获取使用地址集合中的地址作为目标地址的关联账号，以建立特定账号、目标地址、地址集合中的地址以及关联账号之间的关联关系。

在本公开的一个实施例中，聚类模块303被配置为：针对特定账号、目标地址、地址集合中的地址以及关联账号之间的关联关系进行算法聚类以获得聚类出的特定账号和关联账号作为可疑团伙。

根据本公开的方案进行可疑团伙识别的效率高，周期短。

以上描述了配置可疑团伙识别装置的内部功能和结构，在一个可能的设计中，该配置可疑团伙识别装置的结构可实现为配置可疑团伙识别设备，如图6中所示，该处理设备600可以包括处理器601以及存储器602。

所述存储器602用于存储支持配置可疑团伙识别装置执行上述任一实施例中配置可疑团伙识别方法的程序，所述处理器601被配置为用于执行所述存储器602中存储的程序。

所述存储器602用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器601执行。

所述处理器601用于执行前述各方法步骤中的全部或部分步骤。

其中，所述配置可疑团伙识别设备的结构中还可以包括通信接口，用于配置可疑团伙识别设备与其他设备或通信网络通信。

本公开示例性实施例还提供了一种计算机存储介质，用于储存所述配置可疑团伙识别装置所用的计算机软件指令，其包含用于执行上述任一实施例中配置可疑团伙识别方法所涉及的程序。

图7是适于用来实现根据本公开一实施方式的配置可疑团伙识别方法的计算机系统的结构示意图。

如图7所示，计算机系统700包括中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行上述图1所示的实施方式中的各种处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。

以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本公开的实施方式，上文参考图1描述的方法可以被实现为计算机软件程序。例如，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上的计算机程序，所述计算机程序包含用于执行图1的数据处理方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。

附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，并且/或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。

作为另一方面，本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。

以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。