CN111951021B - 一种可疑社团的发现方法和装置、存储介质及计算机设备 - Google Patents

Abstract

本申请实施例公开了一种可疑社团的发现方法和装置、存储介质及计算机设备，用于提高可疑社团的发现质量和发现效率。本申请实施例提供一种可疑社团的发现方法，包括：根据多个账户之间的交易快照构建有向含权网络，有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向；根据有向含权网络获取到社团序列，社团序列包括：从有相含权网络中提取出的多个社团，其中，每个社团中包括有多个节点以及连接两个节点的边；从社团序列中获取任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

Description

一种可疑社团的发现方法和装置、存储介质及计算机设备

技术领域

本申请实施例涉及计算机技术领域，尤其涉及一种可疑社团的发现方法和装置、存储介质及计算机设备。

背景技术

在当前的社交支付场景下很多用户之间存在交易行为，在多个用户之间的交易行为中存在多种类型的可疑社团，例如典型的可疑社团包括：进行刷单、赌博、传销、借贷和欺诈的各类社团。为了保证遏制准确率，一般的遏制流程包括三个步骤：发现可疑社团、搜寻可靠证据、遏制可疑社团。

在目前发现可疑社团的方案中，可以分为无监督的可疑社团发现算法和有监督的可疑社团发现算法。

首先介绍无监督的可疑社团发现算法，例如通过用户申请小微贷款的设备指纹、登录地址、注册邮箱等信息关联申请人，然后通过寻找连通分支，并计算分支的诸如年龄分布、性别分布等社团可疑特征，从而可以判定社团是否存在团伙欺诈的嫌疑。

接下来介绍有监督的可疑社团发现算法，例如根据已记录的欺诈账号作为标签，来标记包含欺诈账号的社团为可疑社团，这种方案需要预先记录是否属于欺诈账号。

对于上述的无监督的可疑社团发现算法，可疑社团的判定依赖于社团可疑特征的计算，而社团可疑特征依赖于具体场景下的业务经验，如根据年龄、性别的异常发现可疑的借贷社团。而对于不同的可疑类型，需要制定不同的可疑度计算方法；对于尚未发现的风险类型，由于缺乏相关的业务经验，这类方法无法准确发现可疑社团。另外，无监督的可疑社团发现算法还存在发现的社团质量往往较低的问题，在社交支付场景下，挖掘出的社团量级至少是百万级，因此即便对其中的1％进行人工寻证，也需要投入大量的人力。

对于上述的有监督的可疑社团发现算法，由于记录的欺诈账号作为标签的覆盖率低，只能关联出少量的可疑社团，存在发现可疑社团效率低的问题。

发明内容

本申请实施例提供了一种可疑社团的发现方法和装置、存储介质及计算机设备，用于提高可疑社团的发现质量和发现效率。

本申请实施例提供以下技术方案：

一方面，本申请实施例提供一种可疑社团的发现方法，包括：

根据多个账户之间的交易快照构建有向含权网络，所述有向含权网络中的每个节点对应于所述多个账户的一个账户，连接两个节点的边用于指示与所述两个节点关联的账户之间发生交易事件，所述边的方向指示所述交易事件的执行方向；

根据所述有向含权网络获取到社团序列，所述社团序列包括：从所述有相含权网络中提取出的多个社团，其中，每个所述社团中包括有多个节点以及连接两个节点的边；

从所述社团序列中获取任意两个社团的相似性参数，并将所述相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

一方面，本申请实施例还提供一种可疑社团的发现装置，包括：

网络构建模块，用于根据多个账户之间的交易快照构建有向含权网络，所述有向含权网络中的每个节点对应于所述多个账户的一个账户，连接两个节点的边用于指示与所述两个节点关联的账户之间发生交易事件，所述边的方向指示所述交易事件的执行方向；

社团序列生成模块，用于根据所述有向含权网络获取到社团序列，所述社团序列包括：从所述有相含权网络中提取出的多个社团，其中，每个所述社团中包括有多个节点以及连接两个节点的边；

可疑社团发现模块，用于从所述社团序列中获取任意两个社团的相似性参数，并将所述相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

在前述方面中，可疑社团的发现装置的组成模块还可以执行前述一方面以及各种可能的实现方式中所描述的步骤，详见前述对前述一方面以及各种可能的实现方式中的说明。

一方面，本申请实施例提供一种计算机设备，该计算机设备包括：处理器、存储器；存储器用于存储指令；处理器用于执行存储器中的指令，使得计算机设备执行如前述一方面中任一项的方法。

一方面，本申请实施例提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

在本申请实施例中，首先根据多个账户之间的交易快照构建有向含权网络，有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向，然后根据有向含权网络获取到社团序列，社团序列包括：从有相含权网络中提取出的多个社团，其中，每个社团中包括有多个节点以及连接两个节点的边，最后从社团序列中获取任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。由于本申请实施例中可以基于有相含权网络生成社团序列，只需要使用该社团序列获取社团之间的相似性参数，通过相似性参数与相似性阈值的大小关系就可以识别出可疑社团，本申请实施例中属于无监督的可疑社团发现算法，通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，不需要预先提取可疑社团的特征，不依赖于具体类型的可疑社团，也不需要使用账号的标签信息，从而可以识别未知风险类型的可疑社团，提高了可疑社团的发现效率；另外通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，主要两个社团的相似性参数超过了该相似性阈值，即符合成为可疑社团的条件，因此提高了可疑社团的发现质量。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请实施例的一些实施例，对于本领域的技术人员来讲，还可以根据这些附图获得其他的附图。

图1a为本申请实施例提供的一种可疑社团的发现方法应用的交易场景示意图；

图1b为本申请实施例提供的一种可疑社团的发现方法的流程方框示意图；

图2为本申请实施例提供的社团序列的一种应用场景示意图；

图3a为本申请实施例提供的可疑交易模式为星型模式的一种应用场景示意图；

图3b为本申请实施例提供的可疑交易模式为星型模式的一种应用场景示意图；

图4a为本申请实施例提供的可疑交易模式为近似团模式的一种应用场景示意图；

图4b为本申请实施例提供的可疑交易模式为近似团模式的一种应用场景示意图；

图4c为本申请实施例提供的可疑交易模式为近似团模式的一种应用场景示意图；

图5为本申请实施例提供的另一种可疑社团的发现方法的流程方框示意图；

图6为本申请实施例中根据任意两个社团之间的共有节点个数计算任意两个社团的相似性参数的示意图；

图7a为本申请实施例中采用近似团模式的房卡赌博社团的实例图；

图7b为本申请实施例中采用近似团模式的房卡赌博社团的实例图；

图8a为本申请实施例中采用近似团模式的房卡赌博社团的实例图；

图8b为本申请实施例中采用近似团模式的房卡赌博社团的实例图；

图9a为本申请实施例中采用星型模式的上下分赌博社团的实例图；

图9b为本申请实施例中采用星型模式的上下分赌博社团的实例图；

图10a本申请实施例提供的一种可疑社团的发现装置的组成结构示意图；

图10b本申请实施例提供的一种可疑社团的发现装置的组成结构示意图；

图11为本申请实施例提供的可疑社团的发现方法应用于终端的组成结构示意图；

图12为本申请实施例提供的可疑社团的发现方法应用于服务器的组成结构示意图。

具体实施方式

本申请实施例提供了一种可疑社团的发现方法和装置、存储介质及计算机设备，用于提高可疑社团的发现质量和发现效率。

为使得本申请实施例的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本申请实施例一部分实施例，而非全部实施例。基于本申请实施例中的实施例，本领域的技术人员所获得的所有其他实施例，都属于本申请实施例保护的范围。

本申请实施例的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。

以下分别进行详细说明。

本申请实施例可疑社团的发现方法的一个实施例，具体可以应用于对社交支付场景下的可疑社团的发现。随着社交支付场景的广泛应用，越来越多的黑色产业(简称黑产)利用社交支付完成资金流通。这些黑产的形式多样，它们大多以团伙的方式组织，具备广泛而隐秘的特征。长期以来，风控领域都在使用社团发现(community detection)算法挖掘可疑社团。由于有监督的社团发现方式，如标签传播，并不适用于社交支付场景，已有黑标签的覆盖率极低，因此有监督方式的应用受到一定限制。相较而言，无监督的社团发现应用较少。主要原因在于缺乏一种有效的社团质量评估方法，目前的无监督社团发现会推送大量的低质量社团。一方面，对可疑社团进行遏制需要提供确凿的证据；另一方面，对大量社团进行人工审核是不太现实的。

为了将无监督社团分析引入实用环节，提升社团质量、减少推送量就成为需要解决的问题。本申请实施例中对于可疑社团应用的风险场景往往具有特定的模式。例如，赌博参与者会经常赌博，在晚上赌博的时间比较多，而且参与赌博的几乎总是一些特定的用户；刷单类的交易每天都会重复，而且一般由少数组织者向多数的刷单客返款；传销性质的交易更显隐蔽，每隔几天，就会由多数人向少数人转账。如图1a所示，为本申请实施例提供的一种可疑社团的发现方法应用的交易场景示意图。每个终端对应一个账户，在社交支付场景下，账户之间可以进行交易，从而形成交易快照。计算机设备可以用于根据账户之间的交易快照识别是否为可疑社团，例如该计算机设备从终端获取交易快照，并存储该交易快照。基于上述描述，本申请实施例中可以识别重复出现固定交易模式的社团更为可疑。本申请实施例提出了针对社团序列的分析算法，挖掘重复出现的相似社团作为可疑社团。通过本申请实施例中可以实现对可疑社团进行有效的挖掘，本申请实施例中可以发现的可疑社团的类型包括刷单、赌博、传销、借贷，另外本申请实施例中还可以发现未知风险类型的可疑社团。

在本申请实施例提供的可疑社团的发现方法中，可以由计算机设备来执行后续方法中的各个步骤，该计算机设备具体可以是终端或服务器，此处不做限定。请参阅图1b所示，为本申请一个实施例提供的可疑社团的发现方法，可以包括如下步骤：

101、根据多个账户之间的交易快照构建有向含权网络，有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向。

在本申请实施例中，账户是指社交支付场景下的用户，账户也可以成为账号，在社交支付场景下，账户之间可以进行交易，从而形成交易快照。其中，交易快照也可以成为网络快照，是指给定起始时间和终止时间截取出一段时间内的交易网络形成网络快照。多个用户之间的交易快照可以构成有向带权网络，该有向含权网络也可以称为有向带权网络。在有向含权网络中可以包括：多个节点、连接两个节点的边以及边的权重，例如有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向，例如账户A向账户B支付了某一个数值的金额，则账户A对应的节点和账户B对应的节点之间建立有边，该边由账户A对应的节点指向账户B对应的节点。

举例说明如下，获取在历史时间段内的多个账户之间的交易记录，由此交易记录可以构建有向含权网络。网络的每个节点代表多个账户的其中一个，并且以连接两个节点的边指示两个账户之间发生有交易事件。另外在本实施例中，有向含权网络中的边具有权重，该权重可以根据账户之间的交易数据来确定。

102、根据有向含权网络获取到社团序列，社团序列包括：从有相含权网络中提取出的多个社团，其中，每个社团中包括有多个节点以及连接两个节点的边。

在本申请实施例中，在获取到有向含权网络之后，可以基于该有向含权网络进行社团的发现，并基于被发现的多个社团形成社团序列。其中，社团发现(communitydetection)是指从有向含权网络中发现出一个或者多个社团，社团发现也可以被称为社区发现、社区检测等，从有向含权网络中进行社团发现的方式可以有多种，详见后续实施例中的举例说明。社团序列是指基于连续的网络快照所发现的有序社团集合。例如按某一固定的时间顺序，基于多个网络快照挖掘出社团，构成了包括有多个社团的社团序列，该社团序列可以包括每个网络快照中被发现的所有社团。

本申请实施例中，社团序列包括：从有相含权网络中提取出的多个社团，其中，社团等价于社区，社团属于有向含权网络的子集。每个社团中包括有多个节点以及连接两个节点的边。

需要说明的是，对于社团序列中包括的社团个数取决于应用场景，此处不做限定。举例说明如下，如图2所示，为本申请实施例提供的社团序列的一种应用场景示意图。在图2中，按天切分多个账户的交易流水，得出7个交易快照后，按周一至周日的顺序，基于每天的网络快照挖掘出社团，构成了长度为7的社团序列，图2中每个圆点表示一个节点，用于代表交易账号，点之间的连线代表双方在快照内发生过交易关系，为了区分一个节点属于哪个社团，还可以在该节点周围添加数字，以说明该节点属于哪个社团。若在一个交易快照中存在多个社团，则节点周围还可以添加不同颜色的数字，相同的颜色代表点处于同一社团。

103、从社团序列中获取任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

在本申请实施例中，在获取到社团序列之后，由于社团序列包括从有相含权网络中提取出的多个社团，因此可以针对社团序列中所有社团进行两两社团的相似性参数计算，从而得到社团序列中任意两个社团的相似性参数，本申请实施例中相似性参数值是指采用相似性评估算法计算出的两个社团之间的相似度，该相似性参数可用于衡量两个社团之间的相似度大小，若两个社团为可疑社团，那么两个社团之间必然具有很高的相似度。本申请实施例还可以预先配置相似性阈值，该相似性阈值也可以称为相似度阈值，相似性阈值的取值可以应用场景进行灵活配置，此处不做限定。

使用预先配置的相似性阈值来判断任意两个社团的相似性参数是否超过该相似性阈值，若两个社团的相似性参数超过相似性阈值，可以认为两个社团具有较高的关联度，则确定这两个社团属于可疑社团，本申请实施例中被确定为可疑社团之后，将属于可疑社团的社团加入到可疑社团集合，继续判断社团序列中的其它社团是否与可疑社团集合中的社团存在相似性，若存在，继续将属于可疑社团的社团加入到可疑社团集合，最后输出的可疑社团集合中可以包括至少两个可疑社团。相反的，若两个社团的相似性参数没有超过相似性阈值，则确定这两个社团不属于可疑社团。本申请实施例中的可疑社团是指在有向含权网络中存在非正常社交关系的社团，例如可疑社团的类型可以包括刷单、赌博、传销、借贷和欺诈等可疑类型，另外本申请实施例中的可疑社团还可以指的是未知风险类型的可疑社团。针对确定下来的可疑社团，可以输出给用户，进行后续的搜寻可靠证据和遏制可疑社团。本实施例中针对可疑社团的发现采用无监督的方式，先根据交易快照挖掘社团，进而得到社团序列，然后从社团序列中选择关联度较高的社团作为可疑社团。本申请实施例中可以挖掘出有向含权网络内关联度较高的社团作为可疑社团。

在本申请的一些实施例中，可疑社团具有稳定的网络结构，稳定的网络结构是指属于可疑社团的两个社团都具有相似的节点，且节点之间的关系属于相似的可疑交易模式。

其中，满足相似性参数超过相似性阈值的至少两个社团属于可疑社团，即属于可疑社团的至少两个社团具有很高的相似度，可疑社团具有稳定的网络结构，稳定的网络结构是指属于可疑社团的至少两个社团都具有相似的节点，且节点之间的关系属于相似的可疑交易模式。例如，多个社团具有相似的成员，且成员间的关系具有相似的拓扑结构，此时认定多个社团都具有稳定的网络结构，因而属于可疑社团。

进一步的，在本申请的一些实施例中，前述的可疑交易模式包括如下至少一种：星型模式和近似团模式。

其中，可疑交易模式是指可疑社团内的多个节点之间具有相似的拓扑结构。例如可疑交易模式包括如下至少一种：星型模式和近似团模式。

举例说明如下，如图3a所示，为本申请实施例提供的可疑交易模式为星型模式的一种应用场景示意图，如图3b所示，为本申请实施例提供的可疑交易模式为星型模式的另一种应用场景示意图。本申请实施例中基于真实的交易数据，发现多种稳定的可疑交易模式，主要交易模式可以是星型模式，星型交易模式以少数几个中心账号为基础，在不同日期内与几乎同一批节点发生高频、大额的交易。在图3a和图3b中，圆点代表单个节点，节点对应于账号，每个节点周围还可以标注数字，以表示该节点所在的社团，另外属于不同社团的节点，在节点上标注的数字还可以采用不同颜色，以代表该节点出现在几个社团中，箭头代表起始方向终点方存在支付行为。

举例说明如下，如图4a所示，为本申请实施例提供的可疑交易模式为近似团模式的一种应用场景示意图，如图4b所示，为本申请实施例提供的可疑交易模式为近似团模式的另一种应用场景示意图，如图4c所示，为本申请实施例提供的可疑交易模式为近似团模式的另一种应用场景示意图。本申请实施例中基于真实的交易数据，发现多种稳定的可疑交易模式，主要交易模式可以是近似团模式，近似团交易模式中，部分成员与其他所有成员有多笔交易且为大额。在图4a、图4b和图4c中，圆点代表单个节点，节点对应于账号，每个节点周围还可以标注数字，以表示该节点所在的社团，另外属于不同社团的节点，在节点上标注的数字还可以采用不同颜色，以代表该节点出现在几个社团中，箭头代表起始方向终点方存在支付行为。

其中，上星型模式和近似团模式这两种模式均有跨时间段或间隔时间段存在。跨时间段是指连续几个时间段，例如在时间段1、2、3、4中都存在上述可疑交易模式，属于跨时间段。例如在时间段1、2、3、4中，只有时间段1,3,4存在上述可疑交易模式，属于间隔时间段。

通过以上实施例对本申请实施例的描述可知，首先根据多个账户之间的交易快照构建有向含权网络，有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向，然后根据有向含权网络获取到社团序列，社团序列包括：从有相含权网络中提取出的多个社团，其中，每个社团中包括有多个节点以及连接两个节点的边，最后从社团序列中获取任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。由于本申请实施例中可以基于有相含权网络生成社团序列，只需要使用该社团序列获取社团之间的相似性参数，通过相似性参数与相似性阈值的大小关系就可以识别出可疑社团，本申请实施例中属于无监督的可疑社团发现算法，通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，不需要预先提取可疑社团的特征，不依赖于具体类型的可疑社团，也不需要使用账号的标签信息，从而可以识别未知风险类型的可疑社团，提高了可疑社团的发现效率；另外通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，主要两个社团的相似性参数超过了该相似性阈值，即符合成为可疑社团的条件，因此提高了可疑社团的发现质量。

前述实施例介绍了本申请实施例提供的一种可疑社团的发现方法，接下来介绍本申请实施例提供的另一种可疑社团的发现方法，请参阅图5所示，在本申请实施例提供的可疑社团的发现方法中，可以由计算机设备来执行后续方法中的各个步骤，该计算机设备具体可以是终端或服务器，该方法主要包括如下步骤：

501、根据预设的起始时间和终止时间从动态网络中截取出多个交易快照，动态网络中包括有多个账户之间的历史交易信息。

其中，动态网络是指持续演化的网络，典型的如社交关系网络和交易关系网络。动态网络中包括有多个账户之间的历史交易信息，对于历史时间段的选择，此处不做限定。根据预设的起始时间和终止时间从该动态网络中截取出多个交易快照，截取的频率可以是每天，或者每隔一个固定的时间段。

在本申请实施例中，从动态网络中可以截取出多个交易快照，对于交易快照的个数不做限定。其中，交易快照也可以成为网络快照，是指给定起始时间和终止时间截取出一段时间内的交易网络形成网络快照。举例说明如下，给定起始时间和终止时间，截取动态网络形成多个交易快照，这些交易快照属于静态网络。例如，截取某天0点至24点的交易网络，形成当日的交易快照。

502、针对多个交易快照中每个交易快照提取出节点数据、边数据和权重数据，节点数据包括：多个账户分别对应的节点，边数据包括：连接节点数据中两个节点的边，权重数据包括：边数据中边的权重，权重根据两个节点分别关联的账户之间的交易金额确定。

在本申请实施例中，在截取出多个交易快照之后，针对每个交易快照都需要提取出如下三种类型的数据：节点数据、边数据和权重数据，每种类型的数据可以构成一个子集合。

503、根据每个交易快照中的节点数据、边数据和权重数据生成有向含权网络。

在本申请实施例中，获取到每个交易快照中的节点数据、边数据和权重数据之后，使用每个交易快照中的上述节点数据、边数据和权重数据构建出有向含权网络。举例说明如下，基于交易快照构建有向带权网络，给定连续的交易流水E＝{(t,u,v,m)}n，其中t,u,v,m分别代表交易的时间戳、买方、卖方和交易金额，买卖双方可以是单个的账号，账号关联的是自然人或商家。首先将交易流水按固定时间差切分成不同的交易流水区间E₁…E_k，这里时间差可以是小时、天等。然后，根据每个区间E_i，以买卖双方为节点，双方交易额为权重构建交易快照，上述交易快照中的所有数据构成了有向含权网络。

504、根据有向含权网络中的节点数据、边数据和权重数据构建关系矩阵，关系矩阵包括：节点数据中的任意两个节点之间的权重。

在本申请实施例中，生成有向含权网络之后，使用有向含权网络中的节点数据、边数据和权重数据构建关系矩阵，在该关系矩阵可以包括：节点数据中的任意两个节点之间的权重。举例说明如下，对于每个流水区间E_i，构建关系矩阵R，其中R(u,v)代表节点u与节点v之间的权重，在对称关系中R(u,v)＝R(v,u)，在非对称关系中R(u,v)≠R(v,u)，本申请实施例中不区分于上述的两种关系，权重的构建方式根据实际需求而定，包括但不限于以节点u支付给节点v的总金额作为权重R(u,v)，以此构建非对称关系，或者以节点u支付给节点v的金额占节点u的支付总额占比作为权重R(u,v)，以此构建非对称关系，又如以节点双方来往资金总额作为权重构建对称关系。

505、根据节点数据中每个节点的权重总和以及关系矩阵获取社团的模块度。

在本申请实施例中，针对构成的关系矩阵可以计算出节点数据中每个节点的权重总和，即针对每个节点统计该节点与有向含权网络中其它所有节点之间的权重之和，例如，对于节点u可以通过如下方式得到该节点u的权重总和r_u：

r_u＝∑_vR_u,v；

其中，R(u,v)代表节点u与节点v之间的权重，对与节点u相连接的所有v的权重进行求和，得到上述r_u。

同样的，对于节点v可以通过如下方式得到该节点v的权重总和r_v：

r_v＝∑_uR_u,v；

其中，R(u,v)代表节点u与节点v之间的权重，对与节点v相连接的所有u的权重进行求和，得到上述r_v。

在得到节点数据中每个节点的权重总和以及关系矩阵之后，可以利用Louvian算法构建社团的模块度，其中，模块度也可以称为模块化度量值，通过模块度可衡量网络的社团结构强度。

举例说明如下，本申请实施例中可以通过如下方式计算模块度Q:

其中，如果u,v属于同一社团，则δ(u,v)返回1，否则返回0。

代表所有权重的总和。

506、根据模块度的取值大小从有向含权网络中提取出多个社团，多个社团构成社团序列。

在本申请实施例中，根据步骤505中计算出的模块度的取值大小可以从有向含权网络中挖掘出多个社团。例如可以采用Louvain算法，分别对每个交易快照挖掘社团。如图2所示，按天切分交易流水，得出7个交易快照后，采用Louvain算法得出社团序列。其中，Louvain算法是一种快速社区发现算法，通过计算模块度Q，使得模块度Q最大时可以得到社团。

507、根据任意两个社团之间的共有节点个数计算任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

在本申请实施例中，生成社团序列之后，针对社团中任意两个社团，需要确定出哪些节点属于共有节点，其中，共有节点指的是在两个社团都有出现的节点，即共有节点与两个社团都存在归属关系，例如对于社团序列中的任意两个社团：C_i和C_j需要统计出共有节点个数：

在本申请实施例中，任意两个社团之间的共有节点个数可以用于衡量两个社团之间是否具有相似性，因为使用任意两个社团之间的共有节点个数计算任意两个社团的相似性参数，接下来分析社团序列内各个社团之间的关联性，举例说明如下，记k个社团集合组成的社团序列C：

C＝[C_1,1,...,C_2,1,...,C_k,1,...C_k,z]，

其中，C_i,j＝{v₁,...,v_|Ci,j|}代表第i个交易快照中发现的第j个社团，v_k代表属于该社团的节点。每个节点代表一个用户标志，标志可以是单个的支付账号，或者是用户的身份证号。

为便于描述，对社团序列进行重新标号，得到C＝[C₁,…,C_n]。基于社团序列的信息构建社团与成员的映射矩阵M，其中M(i,j)＝1代表第i个社团与第j个节点存在归属关系，M(i,j)＝0表示社团与节点间不存在归属关系。具体的，M通常以稀疏矩阵方式存储，从而有效提高存储效率。

接下来定义社团相似性评估函数f，用于判定社团C_i,C_j是否相似，其中τ∈[0,1]是相似度阈值，|C_i|代表集合的大小，社团相似性评估函数f如下所示：

根据相似性评估函数f，本申请实施例中可以采用BiClustering算法快速挖掘出具有相似成员的社团。其中，Biclustering算法可以筛选出在一定条件下存在相似可疑交易模式的社团。

针对上述步骤507中的根据任意两个社团之间的共有节点个数计算任意两个社团的相似性参数进行举例说明，请参阅图6所示，图6所示的方法步骤可以由计算机设备来执行，该计算机设备具体可以是终端或服务器，此处不做限定。具体的，根据任意两个社团之间的共有节点个数计算任意两个社团的相似性参数主要包括如下步骤：

601、从社团序列中选择具有最多节点个数的社团作为第一社团，以及选择社团序列中除第一社团之外的任意一个社团作为第二社团。

602、获取第一社团和第二社团之间的共有节点个数。

603、获取共有节点个数除以第二社团包括的节点个数得到的结果,作为第一社团和第二社团的相似性参数。

其中，本申请实施例中可以使用相似性评估函数进行相似性参数的计算，举例说明如下，本申请实施例中可以使用双聚(BiClustering)算法快速挖掘具有相似成员的社团。例如采用贪婪策略选取当前具有最多用户的社团为前述的第一社团，该第一社团作为备选集合C＝{c}。分析与C有共有成员的第二社团c’，如果c’和c之间的关系满足给定的相似性评估函数f中的相似性条件，则认为两个社团具有相似性。本申请实施例中相似性评估函数f中的相似性条件被定义为：如果c与c’共有成员数m与c’成员数的比值超过给定的阈值τ，则认为相似性评估函数f中的相似性条件满足，相反的，若c与c’共有成员数m与c’成员数的比值没有超过给定的阈值τ，则认为相似性评估函数f中的相似性条件不满足。

为便于更好的理解和实施本申请实施例的上述方案，下面举例相应的应用场景来进行具体说明。

本申请实施例提出一种无监督的可疑社团发现方法，挖掘动态网络内具有稳定网络结构的社团作为可疑社团。本申请实施例可以有效提升社团质量，降低可疑社团的数量，减少人工寻证的工作量。本申请实施例还可以检测多种类型的可疑社团，包括未知风险类型的可疑社团。

本申请实施例中基于真实的交易数据，发现多种稳定的可疑交易模式。主要交易模式包括星型模式和近似团模式。如图3a和图3b所示，星型交易模式以少数几个中心账号为基础，在不同日期内与几乎同一批节点发生高频、大额的交易，图3a和图3b所示的星型模型是借贷社团的实例图，社团成员以“份子钱”的形式参与民间集资和放贷。如图4a、图4b和图4c所示，近似团模式中，部分成员与其他所有成员有多笔交易且为大额。上述两种模式均有跨时间段或间隔时间段存在。

经过人工随机抽样审核发现，本申请实施例筛选的社团可以涵盖赌博、借贷等多种类型的风险类型。发现可疑团伙的准确率也能达到90％左右。如图7a和图7b所示，为本申请实施例中采用近似团模式的房卡赌博社团的实例图。同样的，如图8a和图8b所示，为本申请实施例中采用近似团模式的房卡赌博社团的实例图。图7a和图7b、图8a和图8b是基于本申请实施例发现的两种新的赌博模式，这类赌博团伙地域属性极强，身份证所在地、绑定手机所在地、可信活跃地绝大多数均一致，绝大多数为正常实名老账户，一般的方法很难发现。通过本申请实施例的筛选并经人工寻证，发现这类社团是在线充值、离线赌博的社团。如图9a和图9b所示，为本申请实施例中采用星型模式的上下分赌博社团的实例图，图9a和图9b是基于本申请实施例发现的上下分模式的赌博手游。

需要说明的是，本申请实施例提出了一种无监督可疑团伙发现方法，针对交易快照进行社团挖掘，上述实施例中挖掘算法可以采用的是Louvain算法。实际上，任何的挖掘方法都可以在此处使用，例如标签传播算法，此处不做限定。另外本申请实施例中为提升相似社团挖掘的效率，采用一种快速的分析方法，例如BiClustering进行分析。实际上，在计算力足够的情况下是可以通过暴力计算(即穷举计算)获取任意两个社团的相似性，结果与BiClustering算法具有一致性的结构。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请实施例并不受所描述的动作顺序的限制，因为依据本申请实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请实施例所必须的。

为便于更好的实施本申请实施例的上述方案，下面还提供用于实施上述方案的相关装置。

请参阅图10a所示，本申请实施例提供的一种可疑社团的发现装置1000，可以包括：网络构建模块1001、社团序列生成模块1002、可疑社团发现模块1003，其中，

网络构建模块1001，用于根据多个账户之间的交易快照构建有向含权网络，所述有向含权网络中的每个节点对应于所述多个账户的一个账户，连接两个节点的边用于指示与所述两个节点关联的账户之间发生交易事件，所述边的方向指示所述交易事件的执行方向；

社团序列生成模块1002，用于根据所述有向含权网络获取到社团序列，所述社团序列包括：从所述有相含权网络中提取出的多个社团，其中，每个所述社团中包括有多个节点以及连接两个节点的边；

可疑社团发现模块1003，用于从所述社团序列中获取任意两个社团的相似性参数，并将所述相似性参数超过相似性阈值的至少两个社团确定为可疑社团。

在本申请的一些实施例中，如图10b所示，所述可疑社团的发现装置1000还包括：快照截取模块1004，用于所述网络构建模块1001账户之间的交易快照构建有向含权网络之前，根据预设的起始时间和终止时间从动态网络中截取出多个交易快照，所述动态网络中包括有所述多个账户之间的历史交易信息。

进一步的，在本申请的一些实施例中，所述网络构建模块1001，具体用于针对所述多个交易快照中每个交易快照提取出节点数据、边数据和权重数据，所述节点数据包括：所述多个账户分别对应的节点，所述边数据包括：连接所述节点数据中两个节点的边，所述权重数据包括：所述边数据中边的权重，所述权重根据两个节点分别关联的账户之间的交易金额确定；根据所述每个交易快照中的节点数据、边数据和权重数据生成所述有向含权网络。

进一步的，在本申请的一些实施例中，所述社团序列生成模块1002，具体用于根据所述有向含权网络中的节点数据、边数据和权重数据构建关系矩阵，所述关系矩阵包括：所述节点数据中的任意两个节点之间的权重；根据所述节点数据中每个节点的权重总和以及所述关系矩阵获取社团的模块度；根据所述模块度的取值大小从所述有向含权网络中提取出多个社团，所述多个社团构成所述社团序列。

在本申请的一些实施例中，所述可疑社团发现模块1003，具体用于根据所述任意两个社团之间的共有节点个数计算所述任意两个社团的相似性参数。

在本申请的一些实施例中，所述可疑社团发现模块1003，具体用于从所述社团序列中选择具有最多节点个数的社团作为第一社团，以及选择所述社团序列中除所述第一社团之外的任意一个社团作为第二社团；获取所述第一社团和所述第二社团之间的共有节点个数；获取所述共有节点个数除以所述第二社团包括的节点个数得到的结果,作为所述第一社团和所述第二社团的相似性参数。

在本申请的一些实施例中，所述可疑社团具有稳定的网络结构，所述稳定的网络结构是指属于所述可疑社团的两个社团都具有相似的节点，且节点之间的关系属于相似的可疑交易模式。

在本申请的一些实施例中，所述可疑交易模式包括如下至少一种：星型模式和近似团模式。

通过以上实施例对本申请实施例的描述可知，首先根据多个账户之间的交易快照构建有向含权网络，有向含权网络中的每个节点对应于多个账户的一个账户，连接两个节点的边用于指示与两个节点关联的账户之间发生交易事件，边的方向指示交易事件的执行方向，然后根据有向含权网络获取到社团序列，社团序列包括：从有相含权网络中提取出的多个社团，其中，每个社团中包括有多个节点以及连接两个节点的边，最后从社团序列中获取任意两个社团的相似性参数，并将相似性参数超过相似性阈值的至少两个社团确定为可疑社团。由于本申请实施例中可以基于有相含权网络生成社团序列，只需要使用该社团序列获取社团之间的相似性参数，通过相似性参数与相似性阈值的大小关系就可以识别出可疑社团，本申请实施例中属于无监督的可疑社团发现算法，通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，不需要预先提取可疑社团的特征，不依赖于具体类型的可疑社团，也不需要使用账号的标签信息，从而可以识别未知风险类型的可疑社团，提高了可疑社团的发现效率；另外通过相似性参数超过相似性阈值的方式来识别两个社团属于可疑社团，主要两个社团的相似性参数超过了该相似性阈值，即符合成为可疑社团的条件，因此提高了可疑社团的发现质量。

本申请实施例还提供了另一种终端，该终端具体可以包括前述的可疑社团的发现装置，如图11所示，为了便于说明，仅示出了与本申请实施例相关的部分，具体技术细节未揭示的，请参照本申请实施例方法部分。该终端可以为包括手机、平板电脑、PDA(PersonalDigital Assistant，个人数字助理)、POS(Point of Sales，销售终端)、车载电脑等任意终端设备，以终端为手机为例：

图11示出的是与本申请实施例提供的终端相关的手机的部分结构的框图。参考图11，手机包括：射频(Radio Frequency，RF)电路1110、存储器1120、输入单元1130、显示单元1140、传感器1150、音频电路1160、无线保真(wireless fidelity，WiFi)模块1170、处理器1180、以及电源1190等部件。本领域技术人员可以理解，图11中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图11对手机的各个构成部件进行具体的介绍：

RF电路1110可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器1180处理；另外，将设计上行的数据发送给基站。通常，RF电路1110包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier，LNA)、双工器等。此外，RF电路1110还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统(GlobalSystem of Mobile communication，GSM)、通用分组无线服务(General Packet RadioService，GPRS)、码分多址(Code Division Multiple Access，CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution，LTE)、电子邮件、短消息服务(Short Messaging Service，SMS)等。

存储器1120可用于存储软件程序以及模块，处理器1180通过运行存储在存储器1120的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器1120可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等；存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外，存储器1120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元1130可用于接收输入的数字或字符信息，以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地，输入单元1130可包括触控面板1131以及其他输入设备1132。触控面板1131，也称为触摸屏，可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1131上或在触控面板1131附近的操作)，并根据预先设定的程式驱动相应的连接装置。可选的，触控面板1131可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器1180，并能接收处理器1180发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1131。除了触控面板1131，输入单元1130还可以包括其他输入设备1132。具体地，其他输入设备1132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元1140可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元1140可包括显示面板1141，可选的，可以采用液晶显示器(LiquidCrystal Display，LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1141。进一步的，触控面板1131可覆盖显示面板1141，当触控面板1131检测到在其上或附近的触摸操作后，传送给处理器1180以确定触摸事件的类型，随后处理器1180根据触摸事件的类型在显示面板1141上提供相应的视觉输出。虽然在图11中，触控面板1131与显示面板1141是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板1131与显示面板1141集成而实现手机的输入和输出功能。

手机还可包括至少一种传感器1150，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板1141的亮度，接近传感器可在手机移动到耳边时，关闭显示面板1141和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上(一般为三轴)加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等；至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路1160、扬声器1161，传声器1162可提供用户与手机之间的音频接口。音频电路1160可将接收到的音频数据转换后的电信号，传输到扬声器1161，由扬声器1161转换为声音信号输出；另一方面，传声器1162将收集的声音信号转换为电信号，由音频电路1160接收后转换为音频数据，再将音频数据输出处理器1180处理后，经RF电路1110以发送给比如另一手机，或者将音频数据输出至存储器1120以便进一步处理。

WiFi属于短距离无线传输技术，手机通过WiFi模块1170可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图11示出了WiFi模块1170，但是可以理解的是，其并不属于手机的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器1180是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器1120内的软件程序和/或模块，以及调用存储在存储器1120内的数据，执行手机的各种功能和处理数据。可选的，处理器1180可包括一个或多个处理单元；优选的，处理器1180可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1180中。

手机还包括给各个部件供电的电源1190(比如电池)，优选的，电源可以通过电源管理系统与处理器1180逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。

在本申请实施例中，该终端所包括的处理器1180还具有控制执行以上由终端执行的可疑社团的发现方法流程。

图12是本申请实施例提供的一种服务器结构示意图，该服务器1200具体包括前述的可疑社团的发现装置，服务器1200可因配置或性能不同而产生比较大的差异，可以包括一个或一个以上中央处理器(central processing units，CPU)1222(例如，一个或一个以上处理器)和存储器1232，一个或一个以上存储应用程序1242或数据1244的存储介质1230(例如一个或一个以上海量存储设备)。其中，存储器1232和存储介质1230可以是短暂存储或持久存储。存储在存储介质1230的程序可以包括一个或一个以上模块(图示没标出)，每个模块可以包括对服务器中的一系列指令操作。更进一步地，中央处理器1222可以设置为与存储介质1230通信，在服务器1200上执行存储介质1230中的一系列指令操作。

服务器1200还可以包括一个或一个以上电源1226，一个或一个以上有线或无线网络接口1250，一个或一个以上输入输出接口1258，和/或，一个或一个以上操作系统1241，例如Windows Server^TM，Mac OS X^TM，Unix^TM,Linux^TM，FreeBSD^TM等等。

上述实施例中由服务器所执行的可疑社团的发现方法步骤可以基于该图12所示的服务器结构。

另外需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请实施例提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本申请实施例可借助软件加必需的通用硬件的方式来实现，当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下，凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现，而且，用来实现同一功能的具体硬件结构也可以是多种多样的，例如模拟电路、数字电路或专用电路等。但是，对本申请实施例而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解，本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘、U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请实施例各个实施例所述的方法。

综上所述，以上实施例仅用以说明本申请实施例的技术方案，而非对其限制；尽管参照上述实施例对本申请实施例进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对上述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请实施例各实施例技术方案的精神和范围。

Claims (8)

1.一种可疑社团的发现方法，其特征在于，包括：

针对多个账户之间的多个交易快照中每个交易快照提取出节点数据、边数据和权重数据，所述节点数据包括：所述多个账户分别对应的节点，所述边数据包括：连接所述节点数据中两个节点的边，所述权重数据包括：所述边数据中边的权重，所述权重根据两个节点分别关联的账户之间的交易金额确定；

根据所述每个交易快照中的节点数据、边数据和权重数据生成有向含权网络；所述有向含权网络中的每个节点对应于所述多个账户的一个账户，连接两个节点的边用于指示与所述两个节点关联的账户之间发生交易事件，所述边的方向指示所述交易事件的执行方向；

根据所述有向含权网络中的节点数据、边数据和权重数据构建关系矩阵，所述关系矩阵包括：所述节点数据中的任意两个节点之间的权重；

根据所述节点数据中每个节点的权重总和以及所述关系矩阵获取社团的模块度；

根据所述模块度的取值大小从所述有向含权网络中提取出多个社团，所述多个社团构成社团序列，其中，每个所述社团中包括有多个节点以及连接两个节点的边；

从所述社团序列中选择具有最多节点个数的社团作为第一社团，以及选择所述社团序列中除所述第一社团之外的任意一个社团作为第二社团；

获取所述第一社团和所述第二社团之间的共有节点个数；

获取所述共有节点个数除以所述第二社团包括的节点个数得到的结果,作为所述第一社团和所述第二社团的相似性参数，并将所述相似性参数超过相似性阈值的至少两个社团确定为可疑社团；

其中，所述可疑社团具有稳定的网络结构，所述稳定的网络结构是指属于所述可疑社团的两个社团都具有相似的节点，且节点之间的关系属于相似的可疑交易模式；所述可疑交易模式是指所述可疑社团内的多个节点之间具有相似的拓扑结构。

2.根据权利要求1所述的方法，其特征在于，所述针对多个账户之间的多个交易快照中每个交易快照提取出节点数据、边数据和权重数据之前，所述方法还包括：

根据预设的起始时间和终止时间从动态网络中截取出所述多个交易快照，所述动态网络中包括有所述多个账户之间的历史交易信息。

3.根据权利要求1所述的方法，其特征在于，所述可疑交易模式包括如下至少一种：星型模式和近似团模式。

4.一种可疑社团的发现装置，其特征在于，包括：

网络构建模块，用于针对多个账户之间的多个交易快照中每个交易快照提取出节点数据、边数据和权重数据，所述节点数据包括：所述多个账户分别对应的节点，所述边数据包括：连接所述节点数据中两个节点的边，所述权重数据包括：所述边数据中边的权重，所述权重根据两个节点分别关联的账户之间的交易金额确定；根据所述每个交易快照中的节点数据、边数据和权重数据生成有向含权网络；所述有向含权网络中的每个节点对应于所述多个账户的一个账户，连接两个节点的边用于指示与所述两个节点关联的账户之间发生交易事件，所述边的方向指示所述交易事件的执行方向；

社团序列生成模块，用于根据所述有向含权网络中的节点数据、边数据和权重数据构建关系矩阵，所述关系矩阵包括：所述节点数据中的任意两个节点之间的权重；根据所述节点数据中每个节点的权重总和以及所述关系矩阵获取社团的模块度；根据所述模块度的取值大小从所述有向含权网络中提取出多个社团，所述多个社团构成社团序列，其中，每个所述社团中包括有多个节点以及连接两个节点的边；

可疑社团发现模块，用于从所述社团序列中选择具有最多节点个数的社团作为第一社团，以及选择所述社团序列中除所述第一社团之外的任意一个社团作为第二社团；获取所述第一社团和所述第二社团之间的共有节点个数；获取所述共有节点个数除以所述第二社团包括的节点个数得到的结果,作为所述第一社团和所述第二社团的相似性参数，并将所述相似性参数超过相似性阈值的至少两个社团确定为可疑社团；

其中，所述可疑社团具有稳定的网络结构，所述稳定的网络结构是指属于所述可疑社团的两个社团都具有相似的节点，且节点之间的关系属于相似的可疑交易模式；所述可疑交易模式是指所述可疑社团内的多个节点之间具有相似的拓扑结构。

5.根据权利要求4所述的装置，其特征在于，所述可疑社团的发现装置还包括：

快照截取模块，用于所述网络构建模块针对多个账户之间的多个交易快照中每个交易快照提取出节点数据、边数据和权重数据之前，根据预设的起始时间和终止时间从动态网络中截取出所述多个交易快照，所述动态网络中包括有所述多个账户之间的历史交易信息。

6.根据权利要求4所述的装置，其特征在于，所述可疑交易模式包括如下至少一种：星型模式和近似团模式。

7.一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1至3任意一项所述的方法。

8.一种计算机设备，其特征在于，所述计算机设备包括：处理器和存储器；

所述存储器，用于存储指令；

所述处理器，用于执行所述存储器中的所述指令，执行如权利要求1至3中任一项所述的方法。