CN109615167A

CN109615167A - 确定疑似批量风险交易事件的方法、装置和电子设备

Info

Publication number: CN109615167A
Application number: CN201811310520.7A
Authority: CN
Inventors: 张天翼; 张�杰
Original assignee: Alibaba Group Holding Ltd
Current assignee: Alibaba Group Holding Ltd
Priority date: 2018-11-06
Filing date: 2018-11-06
Publication date: 2019-04-12

Abstract

本申请实施例公开一种确定疑似批量风险交易事件的方法、装置和电子设备，该方法包括：获取样本交易事件和所述样本交易事件对应的交易信息，所述样本交易事件的风险程度高于或等于预设风险程度；基于所述交易信息，确定所述样本交易事件之间的关联关系；基于所述关联关系，确定所述样本交易事件中的疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。

Description

确定疑似批量风险交易事件的方法、装置和电子设备

技术领域

本申请涉及网络技术领域，更具体地涉及确定疑似批量风险交易事件的方法的方法、装置和电子设备。

背景技术

目前风险防控系统主要以实时单点防控为主，基于已有的模型或策略对每一起具体的交易，判断其风险程度高低，并综合其他因素以决定拦截或放行。单点防控一般只对有充分信心判断为高风险的交易进行拦截，仍然存在风险交易漏过的情形。

除单点防控外，目前也采用基于用户报案信息来分析和发现批量攻击，以作出进一步的响应的方案，但从批量攻击发生到用户报案之间，以及从用户报案到构造响应方案之间都存在时间差，使得响应方案的应用效果打打折扣。

因此，需要一种确定疑似批量风险交易事件的方法，来克服上述技术问题。

发明内容

本申请的目的之一在于提供一种确定疑似批量风险交易事件的方法、装置和电子设备，能够自主挖掘出交易事件中的疑似批量风险交易事件，提高风险交易防控的有效性。

为解决上述技术问题，本申请实施例是这样实现的：

第一方面，提供了一种确定疑似批量风险交易事件的方法，包括：

获取样本交易事件和所述样本交易事件对应的交易信息，所述样本交易事件的风险程度高于或等于预设风险程度；

基于所述交易信息，确定所述样本交易事件之间的关联关系；

基于所述关联关系，确定所述样本交易事件中的疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。

第二方面，提供了一种确定疑似批量风险交易事件的装置，包括：

获取单元，获取样本交易事件和所述样本交易事件对应的交易信息，所述样本交易事件的风险程度高于或等于预设风险程度；

处理单元，基于所述交易信息，确定所述样本交易事件之间的关联关系；

处理单元，基于所述关联关系，确定所述样本交易事件中的疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。

第三方面，提供了一种电子设备，包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使用所述处理器执行以下操作：

第四方面，提供了一种计算机可读介质，所述计算机可读介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得电子设备执行以下操作：

由以上本申请的技术方案可见，本申请实施例基于样本交易事件对应的交易信息，确定样本交易事件之间的关联关系，并基于确定出的关联关系确定疑似批量风险交易事件，本申请实施例的技术方案能够基于样本交易事件对应的交易信息动态确定出样本交易事件之间的关联关系，适用于批量风险交易的交易模式多变的场景。本申请实施例的技术方案能够基于确定出的关联关系自主挖掘出交易事件中的疑似批量风险交易事件，提高风险交易防控的有效性，从而避免用户的资金损失，提高用户的交易体验。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是根据本申请的一个实施例的确定疑似批量风险交易事件的方法的示意性流程图。

图2是根据本申请的一个实施例的异质图的示意图。

图3是根据本申请的一个实施例的同质图的示意图。

图4是根据本申请的一个实施例的连通图的示意图。

图5是根据本申请的一个实施例的基于本申请实施例的确定疑似批量风险交易事件的方法进行批量风险识别与响应的方法。

图6是根据本申请的一个实施例的电子设备的结构示意图。

图7是根据本申请的一个实施例的确定疑似批量风险交易事件的装置的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请实施例的方法可以适用于具有前置实时风控模型或前置风控策略与规则的批量风险识别与响应的场景中，例如，可以应用于欺诈交易中团伙的识别、批量性虚假交易的发现、以及交易骗赔团伙的识别等场景。

图1示出了本申请一个实施例的确定疑似批量风险交易事件的方法。图1的方法可以由确定疑似批量风险交易事件的装置执行。如图1所示出的，方法包括：

S102，获取样本交易事件和所述样本交易事件对应的交易信息，所述样本交易事件的风险程度高于或等于预设风险程度。

在S102中，样本交易事件可以包括基于现有风控模型筛选出来的判黑交易事件，和/或，基于现有风控策略(规则)筛选出来的稽核交易事件。

在S102中，预设风险程度可以由数值表征，例如，用1-100表征不同的风险程度，预设风险程度为80。或者预设风险程度可以为风险等级，例如，用低风险等级、中风险等级、以及高风险等级表征不同的风险程度，预设风险程度为高风险等级。

具体地，在一些实施例中，S102中获取样本交易事件包括：将预设滚动时间窗内基于风控模型确定出的风险程度高于或等于所述预设风险阈值的交易事件，确定为所述样本交易事件；或，将预设滚动时间窗内基于风控策略确定出的风险程度高于或等于所述预设风险阈值的交易事件，确定为所述样本交易事件。

这里的风控模型可以是基于训练数据对深度学习模型进行训练得到的，本申请对深度学习模型不作限定。本申请实施例的技术方案利用已有风控模型或已有风控策略(规则)的产出作为输入，实现疑似批量风险交易的主动挖掘，从而达到预防批量风险交易的目的。

进一步地，在一些实施例中，图1所示的方法还包括：根据需求参数确定所述预设滚动时间窗和/或所述预设风险程度，所述需求参数包括以下参数中的至少一种：样本数量需求、计算复杂度、对风险交易事件的覆盖率、以及对风险交易事件的判断准确率。换言之，可以基于实际需求确定预设滚动时间窗和/或预设风险程度。

举例来说，如果需要获取的样本数量较大，要求对风险交易事件的覆盖率较高，则可以选择较长的预设滚动时间窗和较低的预设风险程度。如果对获取的样本数量没有要求，但要求较低的计算复杂度，则可以选择较短的预设滚动时间窗和较高的预设风险程度。本申请实施例中的预设滚动时间窗的长度可以以小时为单位，例如预设滚动时间窗的长度为1小时。

在S104中，基于所述交易信息，确定所述样本交易事件之间的关联关系。

举例来说，确定出的样本交易事件之间的关联关系可以是一个样本交易事件与另一个样本交易事件具有相同的交易主体，或者一个样本交易事件与另一个样本交易事件具有相同的交易介质，或者一个样本交易事件与另一个样本交易事件具有相同的交易金额等。

在S106中，基于所述关联关系，确定所述样本交易事件中的疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。

可选地，在一些实施例中，可以基于样本交易事件具有的交易特征的多少确定样本交易事件之间的关联度，例如，如果一个样本交易事件与多个样本交易事件具有相同的交易主体和交易介质，则可以认为这一个样本交易事件与这多个样本交易事件之间的关联度为80，如果预设关联度阈值为60，则认为这一个样本交易事件与这多个样本交易事件为疑似批量风险交易事件。

可选地，在一些实施例中，交易信息中包括交易事件标识和交易行为相关信息；在这种情况下，在S106中，基于所述关联关系，确定疑似批量风险交易事件，包括：构造用于表征所述关联关系的连通图，其中，所述连通图中的节点为交易事件标识，所述连通图中的边的权值基于所述交易行为相关信息确定；基于所述连通图和社群发现算法，确定疑似批量风险交易事件群；将所述疑似批量风险交易事件群中的样本交易事件，确定为所述疑似批量风险交易事件。换言之，基于交易信息构造连通图。

可以理解的是，基于连通图和社群发现算法确定出的疑似批量风险交易事件群的个数可以为一个或多个。

可选地，作为一个例子，交易行为相关信息包括交易金额和交易时间中的至少一个。由此将交易金额、交易时间经处理后嵌入到连通图中，有助于发现疑似批量风险交易事件在时间上、交易金额上的共同特性。

举例来说，假设有3个样本交易事件，3个样本交易事件对应的交易信息如表1中所示，交易行为相关信息包括交易主体(表1中的主动方和被动方)、交易时间、交易金额以及交易介质。在构造连通图时，可以先以交易事件标识、主动方、被动方和交易介质为节点，以隶属于同一事件为关联(边)，以交易时间或交易金额为边的权值构造异质图(或者称为异构图)，例如图2中所示出的，以交易金额为边的权值构造出3个样本交易事件的异质图。进一步地，消除异质图中的其他节点，以交易事件标识为节点，以时间差的绝对值或金额差的绝对值确定边的权值，实现“交易时间-交易事件”之间的连接同质图(或成为同构图，也即连通图)，例如图3中所示出的，以金额差的绝对值确定边的权值构造出用于描述3个样本交易事件的关联关系的连通图。

可以看出的是，交易1和交易2之间具有相同的交易介质，交易1和交易2之间边的权值为1-abs(0.86-0.21)，交易2和交易3具有相同的主动方，交易2和交易3之间的边的权值为1-abs(0.21-0.77)＝0.44，交易1和交易3具有相同的被动方，交易1和交易3之间的边的权值为1-abs(0.77-0.86)＝0.91。

表1

在上述构造出连通图之后，可以基于连通图和社群发现算法，确定疑似批量风险交易事件群。例如，假设基于与上述描述相同的方法构造出如图4所示的连通图，则基于社群发现算法可以确定出图4中所示出的3个疑似批量风险交易事件群(图4中虚线所围的交易事件群)。

本申请实施例中的社群发现算法包括K-clan算法和Louvain算法中的至少一种。例如，可以先采用K-clan算法对连通图中的节点进行筛选，然后基于筛选出的节点和Louvain算法识别出疑似批量风险交易事件群。K-clan算法和Louvain算法的计算复杂度较低，消耗系统资源少，有利于在实时或批量环境下部署以实现疑似批量风险交易事件群的及时识别。

在本申请实施例中，基于社群发现算法确定出的疑似批量风险交易事件群不一定为批量风险交易事件群。例如，如果确定出一个疑似批量风险交易事件群中的样本交易事件均是在一个移动营业厅中通过同一个WiFi媒体访问控制(Media Access Control，MAC)地址进行手机交费，虽然这些样本交易事件同属于一个疑似批量风险交易事件群，但这些样本交易事件并不是真正的风险交易事件，因此需要对确定出的疑似批量风险交易事件群进行进一步识别，确定出批量风险交易事件群。

可选地，在一些实施例中，图1所示的方法还包括：确定所述疑似批量风险交易事件群的社群特征，所述社群特征用于反映所述疑似批量风险交易事件群中的样本交易事件的共有交易特征；基于所述社群特征，确定所述疑似批量风险交易事件群中的批量风险交易事件群；将所述批量风险交易事件群中的样本交易事件，确定为批量风险交易事件。

具体在实现时，可以对疑似批量交易事件群中的样本交易事件对应的交易信息进行统计，得出疑似批量交易事件群的社群特征。基于疑似批量风险交易事件群的社群特征能够有效的避免批量风险交易事件的误判，提高批量风险交易识别的准确度。

可选地，在一些实施例中，确定所述疑似批量风险交易事件群的社群特征是在确定疑似批量风险交易事件群中的样本交易事件的数量存在突变的情况下进行的。即所述确定所述疑似批量风险交易事件群的社群特征，包括：判断所述疑似批量风险交易事件群中的样本交易事件的数量是否存在突变，在所述疑似批量风险交易事件群中的样本交易事件的数量存在突变的情况下，确定所述疑似批量风险交易事件的社群特征。

上述的社群特征可以由以下参数中的至少一种表征：交易销赃渠道、交易主体、交易金额、交易设备介质、以及判黑样本浓度。

以交易主体和判黑样本浓度为例，假设一个疑似批量风险交易事件群的交易主体为商户A，商户A相关的交易事件有1000件，这1000件交易事件中有10件被确定为判黑样本(判黑样本可以理解为疑似风险交易事件)，则判黑样本浓度为10/1000*100＝1％。如果假设预设判黑样本浓度为10％，则可以认为该疑似批量风险交易事件群中的样本交易事件并不是真正的批量风险交易事件。如果假设预设判黑样本浓度为5‰，则可以认为该疑似批量风险交易事件群中的样本交易事件为批量风险交易事件。

或则以交易主体和交易金额为例，假设一个疑似批量风险交易事件群的交易主体为商户B，交易金额均小于200元，而已知商户B为早餐供应商，而可以认为该疑似批量风险交易事件群中的样本交易事件并不是真正的批量风险交易事件。

在确定出批量风险交易事件群之后，可以自动生成警报并推送给风险控制相关负责人员，或自动生成针对满足批量风险交易事件群的社群特征的交易事件的风控策略。

换言之，图1所示的方法还包括：基于所述批量风险交易事件群的社群特征，生成并推送警报信息；或，基于所述批量风险交易事件群的社群特征和预设风控策略变量，生成用于拦截满足所述批量风险交易事件群的社群特征的交易事件的风控策略。在本申请实施例中，生成用于拦截满足批量风险交易事件群的社群特征的交易事件的风控策略，能够从源头上拦截满足批量风险交易时间群的社群特征的批量交易事件，达到主动预防批量风险交易的目的。

上述的预设风控策略变量例如可以是打扰率或覆盖率，例如，如果批量风险交易事件群的社群特征中的交易介质为手机号码P，如果覆盖率要求较高，则生成的风控策略可以是对通过P进行的交易增加用户校验步骤。

在本申请实施例中，用户可以自定义警报信息中包括的内容，例如，警报信息具体可以为“发现批量攻击，在商户A的X交易渠道上过去3小时判黑交易有XX起，环比上升X％，判黑交易的浓度为XX％，涉及的主要交易介质为Y和Z，主要交易的金额为SSS，交易物品为FFF”。

需要说明的是，图1所示的方法可以部署在批量环境上，在固定时刻(例如，每5分钟，每10分钟…)来触发该方法的执行，或者图1所述的方法可以部署在实时环境上，通过实时交易来触发该方法的执行。由此，可以允许使用者根据实际需要与能力，选择以固定时间节点以批量形式构造连通图，或以每一笔实时交易触发实时构造连通图，使得该方法具有高度可定制性。

由于本申请实施例的方法可以允许使用者根据实际需要与能力，选择以固定时间节点以批量形式构造连通图或以每一笔实时交易触发实时构造连通图，从而发现疑似批量风险交易群，所以本申请实施例的方法更能够满足黑产攻击模式不断变换的场景。

下面将结合图5描述根据本申请一个具体实施例的基于本申请实施例的确定疑似批量风险交易事件的方法进行批量风险识别与响应的方法。图5所示的方法可以由确定疑似批量风险交易事件的装置执行，如图5所示出的，方法包括：

S502，筛选判黑样本。

具体地，可以采用与图1所示的方法中获取样本交易事件相同的方法筛选出判黑样本，在此不再赘述。S502中的判黑样本也可以理解为判黑交易，本质上是指风险程度高于或等于预设风险程度的交易事件。

S504，提取判黑样本对应的交易信息，并基于交易信息构造连通图。

在S504中构造出的连通图反应了判黑样本之间的关联关系，连通图中的节点为判给样本(或者理解为交易事件)，具体构造连通图的方法可参照图1所示的方法中构造连通图的方法。

S506，基于构造的连通图和社群发现算法，识别出事件群。

在S506中可以采用现有的任何社群发现算法来进行事件群的识别，本申请实施例对此不作限定。且通过社群发现算法能够识别出内部聚合额度高、外部聚合度低的事件群，识别出的事件群中的交易事件可以认为是疑似批量攻击事件。

S508，统计事件群的社群特征。

S510，基于识别出的事件群和统计出的社群特征，筛选出事件群中的批量攻击事件群。

换言之，根据统计出的社群特征和预设规则，从识别出的全部事件群中筛选出符合预设规则的事件群，这些事件群中的交易事件可以认为是批量攻击事件，即需要进行拦截的交易事件。

S512，基于批量攻击事件群，生成响应方案。

可选地，生成的响应方案可以是自动生成警报并推送给风险控制相关负责人员，或自动生成针对满足批量攻击事件群的社群特征的交易事件的风控策略。用户可以自定义警报信息中包括的内容。警报信息中包括的内容可参照图1所示的方法中的描述，在此不再赘述。

下面将结合图6详细描述根据本申请一个实施例的电子设备。参考图6，在硬件层面，电子设备包括处理器，可选地，包括内部总线、网络接口、存储器。其中，存储器可能包含内存，例如高速随机存取存储器(Random-Access Memory，RAM)，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器等。当然，该电子设备还可能包括其他业务所需要的硬件。

处理器、网络接口和存储器可以通过内部总线相互连接，该内部总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外设部件互连标准(Peripheral Component Interconnect，PCI)总线或扩展工业标准结构(ExtendedIndustry Standard Architecture，EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图6中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器，并向处理器提供指令和数据。

处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行，在逻辑层面上形成确定疑似批量风险交易事件的装置。处理器，执行存储器所存放的程序，并具体用于执行以下操作：

上述如本申请图1所示实施例揭示的确定疑似批量风险交易事件的装置执行的方法可以应用于处理器中，或者由处理器实现。处理器可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器，包括中央处理器(CentralProcessing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific IntegratedCircuit，ASIC)、现场可编程门阵列(Field－Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器，处理器读取存储器中的信息，结合其硬件完成上述方法的步骤。

该电子设备还可执行图1和图5的方法，并实现确定疑似批量风险交易事件的装置在图1和图5所示实施例的功能，本申请实施例在此不再赘述。

当然，除了软件实现方式之外，本申请的电子设备并不排除其他实现方式，比如逻辑器件抑或软硬件结合的方式等等，也就是说以下处理流程的执行主体并不限定于各个逻辑单元，也可以是硬件或逻辑器件。

本申请实施例还提出了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的电子设备执行时，能够使该电子设备执行图1所示实施例的方法，并具体用于执行以下方法：

图7是本申请的一个实施例的确定疑似批量风险交易事件的装置的结构示意图。请参考图7，在一种软件实施方式中，确定疑似批量风险交易事件的装置700可包括：获取单元71和处理单元72，其中，

获取单元71，获取样本交易事件和所述样本交易事件对应的交易信息，所述样本交易事件的风险程度高于或等于预设风险程度；

处理单元72，基于所述交易信息，确定所述样本交易事件之间的关联关系；

处理单元72，基于所述关联关系，确定所述样本交易事件中的疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。

根据本申请实施例的确定疑似批量风险交易事件的装置，基于样本交易事件对应的交易信息，确定样本交易事件之间的关联关系，并基于确定出的关联关系确定疑似批量风险交易事件，能够基于样本交易事件对应的交易信息动态确定出样本交易事件之间的关联关系，适用于批量风险交易的交易模式多变的场景，并能够基于确定出的关联关系自主挖掘出交易事件中的疑似批量风险交易事件，提高风险交易防控的有效性，从而避免用户的资金损失，提高用户的交易体验。

可选地，作为一个实施例，所述交易信息中包括交易事件标识和交易行为相关信息；

其中，所述处理单元72：

构造用于表征所述关联关系的连通图，其中，所述连通图中的节点为交易事件标识，所述连通图中的边的权值基于所述交易行为相关信息确定；

基于所述连通图和社群发现算法，确定疑似批量风险交易事件群；

将所述疑似批量风险交易事件群中的样本交易事件，确定为所述疑似批量风险交易事件。

可选地，作为一个实施例，所述处理单元72：

确定所述疑似批量风险交易事件群的社群特征，所述社群特征用于反映所述疑似批量风险交易事件群中的样本交易事件的共有交易特征；

基于所述疑似批量风险交易事件群的社群特征，确定所述疑似批量风险交易事件群中的批量风险交易事件群；

将所述批量风险交易事件群中的样本交易事件，确定为批量风险交易事件。

可选地，作为一个实施例，所述处理单元72：

判断所述疑似批量风险交易事件群中的样本交易事件的数量是否存在突变；

在所述疑似批量风险交易事件群中的样本交易事件的数量存在突变的情况下，确定所述疑似批量风险交易事件的社群特征。

可选地，作为一个实施例，所述疑似批量风险交易事件群的社群特征由以下参数中的至少一种表征：交易销赃渠道、交易主体、交易金额、交易设备介质、以及判黑样本浓度。

可选地，作为一个实施例，所述处理单元72：

基于所述批量风险交易事件群的社群特征，生成并推送警报信息；或，

基于所述批量风险交易事件群的社群特征和预设风控策略变量，生成用于拦截满足所述批量风险交易事件群的社群特征的交易事件的风控策略。

可选地，作为一个实施例，所述获取单元71：

将预设滚动时间窗内基于风控模型确定出的风险程度高于或等于所述预设风险程度的交易事件，确定为所述样本交易事件；或，

将预设滚动时间窗内基于风控策略确定出的风险程度高于或等于所述预设风险程度的交易事件，确定为所述样本交易事件。

可选地，作为一个实施例，所述获取单元71：

根据需求参数确定所述预设滚动时间窗和/或所述预设风险程度，所述需求参数包括以下参数中的至少一种：样本数量需求、计算复杂度、对风险交易事件的覆盖率、以及对风险交易事件的判断准确率。

可选地，作为一个实施例，所述社群发现算法包括K-clan算法和Louvain算法中的至少一种。

可选地，作为一个实施例，所述交易行为相关信息包括交易金额和交易时间中的至少一个。

本申请实施例的确定疑似批量风险交易事件的装置还可执行图1和图5中确定疑似批量风险交易事件的装置执行的方法，并实现确定疑似批量风险交易事件的装置在图1和图5所示实施例的功能，在此不再赘述。

总之，以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

Claims

1.一种确定疑似批量风险交易事件的方法，包括：

2.根据权利要求1所述的方法，所述交易信息中包括交易事件标识和交易行为相关信息；

其中，所述基于所述关联关系，确定疑似批量风险交易事件，包括：

3.根据权利要求2所述的方法，还包括：

4.根据权利要求3所述的方法，所述确定所述疑似批量风险交易事件群的社群特征，包括：

5.根据权利要求3或4所述的方法，所述疑似批量风险交易事件群的社群特征由以下参数中的至少一种表征：交易销赃渠道、交易主体、交易金额、交易设备介质、以及判黑样本浓度。

6.根据权利要求3或4所述的方法，还包括：

7.根据权利要求1至4中任一项所述的方法，所述获取样本交易事件，包括：

8.根据权利要求7所述的方法，还包括：

9.根据权利要求2至4中任一项所述的方法，所述社群发现算法包括K-clan算法和Louvain算法中的至少一种。

10.根据权利要求2至4中任一项所述的方法，所述交易行为相关信息包括交易金额和交易时间中的至少一个。

11.一种确定疑似批量风险交易事件的装置，包括：

12.一种电子设备，包括：

处理器；以及

13.一种计算机可读介质，所述计算机可读介质存储一个或多个程序，所述一个或多个程序当被包括多个应用程序的电子设备执行时，使得所述电子设备执行以下操作：

基于所述关联关系，确定疑似批量风险交易事件，所述疑似批量风险交易事件之间的关联度高于或等于预设关联度阈值。