恶意地址/恶意订单的识别系统、方法及装置与流程

本发明涉及互联网技术领域，特别是涉及一种恶意地址/恶意订单的识别系统、方法及装置。

背景技术：

随着互联网技术的发展，人们通过网络不仅可以实现观看视频、浏览网页、聊天等操作，还可以进行购物，并且实现购物的操作过程也十分方便。

然而，在实际应用中，却常常发生某些买家通过故意填写不完整的收货地址、错误的收货地址等恶意行为使商品无法送达，由此给商家带来经济损失、信誉损失的现象，因此，如何识别恶意地址对商家是极其重要的。现有识别恶意地址的方式主要有三种：(1)通过将待识别地址与预设恶意关键词进行匹配，来确定待识别地址是否为恶意地址；(2)通过将待识别地址与黑白名单中的地址分别进行匹配，来确定待识别地址是否为恶意地址；(3)通过对待识别地址进行层级结构化划分，然后与预设地址层级结构进行匹配，来确定待识别地址是否为恶意地址。

虽然上述三种方式均可以在一定程度上识别出部分恶意地址，但是无法识别出一些隐藏的恶意地址，或者可能会将正常的地址误判为恶意地址。例如，对于同一个关键词，在一个地址中可能为恶意关键词，但在另一个地址中可能为正常关键词，因此若将该关键词作为预设恶意地址进行识别，则可能出现将正常地址误判为恶意地址的现象。又如，由于黑白名单是根据商家发货后的实际反馈进行的人工维护的名单，所以利用黑白名单进行识别的方式不仅需要消耗人力，还不能及时识别出新的恶意地址。再如，对于一些地址层级结构完整但在现实生活中不存在的地址，如果利用预设地址层级结构进行识别，会将其误判为正常地址。因此，现有技术中识别恶意地址的准确率较低，从而使得识别恶意订单的准确率也较低。

技术实现要素：

有鉴于此，本发明提供一种恶意地址/恶意订单的识别系统、方法及装置，能够解决现有技术中识别恶意地址/恶意订单准确率较低的问题。

第一方面，本发明提供了一种恶意地址的识别系统，所述系统包括用户客户端、服务器和商家客户端；其中，

所述用户客户端用于接收输入的待识别地址，并将所述待识别地址发送给所述服务器；

所述服务器用于接收所述用户客户端发送的所述待识别地址，并对所述待识别地址进行地址层级化处理，获得所述待识别地址的各地址层级；利用由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；对获得的各个跳转概率进行相乘处理，获得所述待识别地址的正常地址概率，并将基于所述正常地址概率进行恶意地址识别的识别结果发送给所述商家客户端；

所述商家客户端用于接收并输出所述服务器发送的所述识别结果。

第二方面，本发明提供了一种恶意地址的识别方法，所述方法包括：

接收用户客户端发送的待识别地址；

对所述待识别地址进行地址层级化处理，获得所述待识别地址的各地址层级；

利用由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

对获得的各个跳转概率进行相乘处理，获得所述待识别地址的正常地址概率。

第三方面，本发明提供了一种恶意地址的识别装置，所述装置包括：

接收单元，用于接收用户客户端发送的待识别地址；

第一处理单元，用于对所述待识别地址进行地址层级化处理，获得所述待识别地址的各地址层级；

计算单元，用于利用由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

第二处理单元，用于对所述计算单元获得的各个跳转概率进行相乘处理，获得所述待识别地址的正常地址概率。

第四方面，本发明提供了一种恶意订单的识别系统，所述系统包括用户客户端、服务器和商家客户端；其中，

所述用户客户端用于接收输入的待识别订单，并将所述待识别订单发送给所述服务器；

所述服务器用于接收所述用户客户端发送的所述待识别订单，并基于由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；对获得的各个跳转概率进行相乘处理，获得所述地址的正常地址概率；根据所述正常地址概率判断所述待识别订单是否为恶意订单，并将判断结果发送给所述商家客户端；

所述商家客户端用于接收并显示所述服务器发送的所述判断结果。

第五方面，本发明提供了一种恶意订单的识别方法，所述方法包括：

接收用户客户端发送的待识别订单；

基于由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

对获得的各个跳转概率进行相乘处理，获得所述地址的正常地址概率；

根据所述正常地址概率判断所述待识别订单是否为恶意订单。

第六方面，本发明提供了一种恶意订单的识别装置，所述装置包括：

接收单元，用于接收用户客户端发送的待识别订单；

计算单元，用于基于由历史正常地址分析得到的地址层级跳转概率分布，计算所述待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，所述地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

处理单元，用于对获得的各个跳转概率进行相乘处理，获得所述地址的正常地址概率；

判断单元，用于根据所述正常地址概率判断所述待识别订单是否为恶意订单。

借由上述技术方案，本发明提供的恶意地址/恶意订单的识别系统、方法及装置，能够在服务器获取待识别地址以及由历史正常地址分析得到的地址层级跳转概率分布后，先对该待识别地址进行地址层级化处理，获得该待识别地址的各地址层级，然后利用获取的地址层级跳转概率分布，计算该待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，并对各个跳转概率进行相乘处理，获得该待识别地址属于正常地址的概率，以便根据该概率判断待识别地址是否为恶意地址，或者根据该概率判断包括该待识别地址的订单是否为恶意订单。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并可以根据该正常地址概率来确定待识别地址是否为恶意地址，从而根据是否为恶意地址来确定待识别订单是否为恶意订单，进而提高了恶意地址/恶意订单识别的准确率。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种恶意地址的识别系统示意图；

图2示出了本发明实施例提供的一种商家客户端侧选择界面示意图；

图3示出了本发明实施例提供的一种恶意地址的识别方法的流程图；

图4示出了本发明实施例提供的另一种恶意地址的识别方法的流程图；

图5示出了本发明实施例提供的恶意地址识别过程中服务器与客户端的交互图；

图6示出了本发明实施例提供的一种恶意地址的识别装置的组成框图；

图7示出了本发明实施例提供的另一种恶意地址的识别装置的组成框图；

图8示出了本发明实施例提供的一种恶意订单的识别方法的流程图；

图9示出了本发明实施例提供的一种恶意订单的识别装置的组成框图；

图10示出了本发明实施例提供的另一种恶意订单的识别装置的组成框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为了提高识别恶意地址的准确率，本发明实施例提供了一种恶意地址的识别系统，如图1所示，系统包括用户客户端11、服务器12和商家客户端13；其中，

用户客户端11用于接收输入的待识别地址，并将待识别地址发送给服务器12；

服务器12用于接收用户客户端11发送的待识别地址，并对待识别地址进行地址层级化处理，获得待识别地址的各地址层级；利用由历史正常地址分析得到的地址层级跳转概率分布，计算待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；对获得的各个跳转概率进行相乘处理，获得待识别地址的正常地址概率，并将基于正常地址概率进行恶意地址识别的识别结果发送给商家客户端13；

商家客户端13用于接收并输出服务器12发送的识别结果。

本发明实施例提供的恶意地址的识别系统，能够在服务器接收到用户客户端发送的待识别地址后，先对该待识别地址进行地址层级化处理，获得该待识别地址的各地址层级，然后利用地址层级跳转概率分布，计算该待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，并对各个跳转概率进行相乘处理，获得该待识别地址属于正常地址的概率，以便根据该概率判断待识别地址是否为恶意地址。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并可以根据该正常地址概率来确定待识别地址是否为恶意地址，从而提高了恶意地址识别的准确率。

进一步的，服务器12用于当识别结果是待识别地址为恶意地址时，向商家客户端13发送预警提示信息；

商家客户端13用于接收并输出服务器12发送的预警提示信息。

进一步的，商家客户端13用于在接收到预警提示信息后，输出用于选择对待识别地址进行二次识别的识别结果的选择界面，并接收基于选择界面输入的、二次识别的识别结果，将二次识别的识别结果返回给服务器12。

示例性的，如图2所示，当商家客户端接收到预警提示信息后，不仅会在界面显示该预警提示信息，还会显示一个供商家选择二次识别结果的选择界面，如该选择界面上可以有一个文本内容“请联系买家再次确认地址***是否为恶意地址”，以及两个选择按钮“是”和“否”，供用户选择。

需要说明的是，预警提示信息可以位于选择界面，也可以位于另一个界面。

进一步的，商家客户端13用于在未接收到预警提示信息的情况下，输出用于选择对待识别地址进行二次识别的识别结果的选择界面，并接收基于选择界面输入的、用于描述待识别地址为恶意地址的识别结果，并将携带恶意标识的待识别地址返回给服务器12。

进一步的，依据上述系统实施例，本发明的另一个实施例还提供了一种恶意地址的识别方法，如图3所示，该方法主要包括：

201、接收用户客户端发送的待识别地址。

当用户下单成功后，用户客户端(即买家客户端)可以将订单上传给服务器，服务器接收到该订单后，能够对该订单进行恶意地址识别操作，并将订单以及订单的识别结果发送给商家客户端，以便商家根据识别结果对该订单进行相应处理。由于服务器接收到的待识别订单中往往会存在一些没有意义的数据，所以为了防止这些数据干扰待识别地址的识别，在获得待识别订单后，服务器需要对该待识别订单先进行预处理，然后再从预处理后的待识别订单中提取待识别地址。

因此，获取待识别地址的具体实现过程可以为：获取待识别订单；对待识别订单进行冗余处理以及格式化处理；从处理后的待识别订单中获取待识别地址。

其中，对待识别订单进行冗余处理以及格式化处理具体包括：

(1)对待识别订单的待识别地址中满足预设过滤条件的文字进行过滤。

由于用户可能会在地址中填写一些表情符号、无意义的英文字母以及其他一些无意义的数据，所以可以检测待识别地址中是否含有这些信息，若含有则将这些信息进行过滤。

(2)对待识别订单中的脏数据进行过滤。

由于服务器在保存待识别订单时，可能会保存一些包含html(hypertextmarkuplanguage，超文本标记语言)文本、json(javascriptobjectnotation)字符串等异常信息的脏数据，所以服务器可以将这些脏数据进行过滤。

(3)根据预设格式化处理规则，对过滤后的待识别订单进行格式化处理。

由于用户在填写地址、电话等信息时，可能会添加空格、使用繁体字、使用拼音等，所以为了便于后续能够准确识别待识别地址，在对待识别订单进行过滤后，还需要进行去除空格、全角半角转换、繁简体转换、拼音转汉字等格式化操作，从而使得获得的地址具有统一的格式。

需要说明的是，在对历史正常地址以及历史恶意地址进行分析时，同样也需要进行上述预处理操作。

202、对待识别地址进行地址层级化处理，获得待识别地址的各地址层级。

因为地址的每一层级仅与邻近的上一层级有关，而与其他层级无关，所以地址层级结构符合马尔科夫性，从而可以利用条件随机场模型进行地址层级化处理。其中，对待识别地址进行地址层级化处理的具体实现方式为：在获得待识别地址后，服务器可以通过条件随机场模型对待识别地址进行分词、地址层级标注，从而获得待识别地址的各个地址层级。例如，待识别地址为四川省成都市青羊区苏坡街道**家园5号楼1单元，则各地址层级分别为：“省：四川省、市：成都市、区县：青羊区、道路：苏坡街道、小区：**家园、楼号：5号楼、单元号：1单元”。

203、利用由历史正常地址分析得到的地址层级跳转概率分布，计算待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率。

其中，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率。由于历史正常地址为商家送货成功的地址，所以服务器在获得大量的历史正常地址后，可以对历史正常地址的地址层级跳转情况进行统计与分析，从中获得地址层级跳转概率分布，以便通过地址层级跳转概率分布确定待识别地址的各地址层级之间的跳转情况。

当获得待识别地址的各地址层级后，服务器可以利用地址层级跳转概率分布计算出待识别地址中相邻地址层级的跳转概率，即第n层级跳转至第n+1层级的概率。例如，在获得待识别地址的各地址层级“省：四川省、市：成都市、区县：青羊区、道路：苏坡街道、小区：**家园、楼号：5号楼、单元号：1单元”后，可以利用地址层级跳转概率分布，获得“四川省跳转至成都市的概率、成都市跳转至青羊区的概率、青羊区跳转至苏坡街道的概率、苏坡街道跳转至**家园的概率、**家园跳转至5号楼的概率、以及5号楼跳转至1单元的概率”。

204、对获得的各个跳转概率进行相乘处理，获得待识别地址的正常地址概率。

在对历史正常地址的地址层级跳转概率进行训练时，可以利用全国范围内大量地址进行训练，并在获得待识别地址各地址层级的跳转概率后，可以将这些跳转概率相乘，获得待识别地址属于正常地址的概率。

在实际应用中，有的恶意地址可能是由多个省内的不同地方顺序拼凑而成，例如，上海市闸北区龙岗区龙岗镇龙岗街道高科技工业园区内深圳***有限公司，其中，“上海市闸北区”属于上海市地址，“龙岗区龙岗镇龙岗街道高科技工业园区内深圳***有限公司”属于广东省地址。因此，当利用全国范围大量正常地址进行训练时，只有在闸北区到龙岗区这个地址层级间的跳转是异常的，而其他都是正常跳转，从而获得的整个地址属于正常地址的概率较大，进而将其误判为正常地址；而若单独利用上海市内海量历史正常地址进行训练，则整个地址只有上海市到闸北区的跳转是正常的，而其他地址层级间的跳转都是异常的，从而获得整个地址属于恶意地址的概率较大，进而将其确定为恶意地址。因此，在增加省份这一变量后，恶意地址识别的准确率得到提高。

在实际应用中，在增加省份这一变量后，计算待识别地址属于正常地址的概率计算公式可以为：

其中，s表示待识别地址，wi表示待识别地址中的第i地址层级，c表示待识别地址所属省份。

本发明实施例提供的恶意地址的识别方法，能够在获取待识别地址后，先对该待识别地址进行地址层级化处理，获得该待识别地址的各地址层级，然后利用地址层级跳转概率分布，计算该待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，并对各个跳转概率进行相乘处理，获得该待识别地址属于正常地址的概率，以便根据该概率判断待识别地址是否为恶意地址。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并可以根据该正常地址概率来确定待识别地址是否为恶意地址，从而提高了恶意地址识别的准确率。

进一步的，在获得待识别地址属于正常地址的概率后，可以根据预设识别规则以及待识别地址的正常地址概率，判断待识别地址是否为恶意地址。

具体的，在获得待识别地址的正常地址概率后，可以直接利用正常地址概率判断待识别地址是否为恶意地址，也可以对待识别地址对应的其他特征进行分析，然后根据正常地址概率以及其他特征综合判断待识别地址是否为恶意地址(如下述步骤305至307所述)。其中，直接利用正常地址概率判断待识别地址是否为恶意地址的具体实现方式为：判断待识别地址的正常地址概率是否大于预设概率阈值；若待识别地址的正常地址概率大于预设概率阈值，则确定待识别地址为正常地址；若待识别地址的正常地址概率小于或等于预设概率阈值，则确定待识别地址为恶意地址。

此外，当服务器获得识别结果后，可以将该识别结果发送给商家客户端，以便商家客户端接收并显示识别结果，供商家根据识别结果确定是否发货。

进一步的，依据上述实施例，本发明的另一个实施例还提供了一种恶意地址的识别方法，如图4所示，该方法主要包括：

301、接收用户客户端发送的待识别地址。。

302、对待识别地址进行地址层级化处理，获得待识别地址的各地址层级。

303、利用由历史正常地址分析得到的地址层级跳转概率分布，计算待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率。

304、对获得的各个跳转概率进行相乘处理，获得待识别地址的正常地址概率。

305、从待识别地址对应的待识别订单和/或待识别订单对应的历史订单中提取用于识别待识别地址是否为恶意地址的预设识别特征。

具体的，预设识别特征包括以下任意一项或者任意几项的组合：地址文本信息特征、历史购物行为特征、订单特征以及交叉特征。

相应的，本步骤可以具体细化为下述步骤a-d：

(a)从待识别地址中提取对应的地址文本信息特征。

其中，地址文本信息特征包括：是否包括预设长度的数字、是否包括预设敏感词以及是否包括广告信息等。其中，预设长度包括手机号长度、座机号长度、qq号长度等。

由于用户可能会为了辱骂商家或者为自己、自己的商品打广告而在地址中填写一些辱骂信息、手机号、广告信息等，并且填写这些内容的用户可能会填写一个恶意地址，所以可以从待识别地址中提取地址文本信息特征，以便从该维度分析待识别地址是否为恶意地址。

(b)从待识别订单对应的历史订单中提取历史购物行为特征。

由于用户的历史购物行为能够反映其是否可能会填写一个恶意地址，例如经常与商家发生纠纷、经常无故退款、交易成功率较低的用户填写恶意地址的可能性较大，而从未与商家发生纠纷、从未退过款、交易成功率较高的用户填写恶意地址的可能性较小，所以可以从待识别订单对应的历史订单中提取历史购物行为特征，并将该特征作为判断待识别地址是否为恶意地址的一个维度。

此外，在实际应用中，历史购物行为特征主要包括：预设时间段内支付订单数、预设时间段内支付总额、预设时间段内的退款发起总量、预设时间段内交易成功率、预设时间段内纠纷商家数、预设时间段内投诉发起率、预设时间段内退款纠纷占比等。其中，各个历史购物行为特征的预设时间段可以相同，也可以不同。

(c)从待识别订单中提取对应的订单特征。

具体的，订单特征包括：待识别订单中的电话号码是否正常、待识别地址的使用次数是否大于预设使用阈值、待识别订单对应的店铺的相关状态以及待识别订单到对应的商品的相关状态。其中，店铺的相关状态包括：店铺的开店时间、最近时间段内店铺评分的波动、店铺被恶意攻击的次数等；商品的相关状态包括：商品的销量、商品的价格、商品是否热门等。

由于用户在填写地址时，可能会故意填写错误的电话号码，或者填写不曾使用过的新地址，并且恶意行为往往集中在大商家或者热门商品上，所以服务器可以从待识别订单提取这些订单特征，并通过订单特征这一维度来分析待识别地址是否为恶意地址。

(d)根据地址文本信息特征、历史购物行为特征、订单特征以及待识别地址的正常地址概率中至少两项的组合，获取待识别地址对应的交叉特征。

在实际应用中，将地址文本信息特征、历史购物行为特征、订单特征以及待识别地址的正常地址概率这些基本特征进行交叉组合，可以产生更抽象的特征描述，例如将地址文本信息特征与订单特征进行交叉组合，可以获得待识别地址中不仅没有包含无意义的文本描述(即地址中没有携带电话号码、qq号、预设敏感词、广告信息等信息)，且该地址为用户的常用地址。因此，可以将待识别地址对应的交叉特征作为识别恶意地址的又一个维度。

306、获取通过历史订单训练的预设识别模型。

具体的，服务器训练预设识别模型的实现方式可以为：先获取历史订单；然后根据地址层级跳转概率分布，获得历史订单中携带的历史地址的正常地址概率；再从历史订单中提取预设识别特征；最后通过各个历史地址的正常地址概率以及对应的预设识别特征训练预设识别模型。

其中，历史订单中包括预设比例的历史正常订单和历史恶意订单，且当历史正常订单与历史恶意订单的比例大约为4：1时，恶意地址识别的准确率相对较高。

需要说明的是，在实际应用中，本步骤需要训练的预设识别模型可以为gbdt(gradientboostingdecisiontree，梯度提升决策树)模型，也可以为其他模型，例如svm(supportvectormachine，支持向量机)模型、lr(logisticregression，逻辑回归)模型、神经网络模型等。

307、根据待识别地址的正常地址概率、预设识别特征以及预设识别模型，判断待识别地址是否为恶意地址。

在获得待识别地址的正常地址概率以及预设识别特征之后，服务器可以将这些特征输入到预设识别模型中进行识别，以便预设识别模型可以对这些特征进行综合分析，获得待识别地址最终属于正常地址的概率或者恶意地址的概率，并根据预设正常概率阈值或者预设恶意地址概率阈值来确定该待识别地址是否为恶意地址。

308、若判断待识别地址为恶意地址，则向商家客户端发送预警提示信息，以便商家客户端接收并输出预警提示信息。

当服务器判断待识别地址为恶意地址后，为了避免商家因恶意地址而造成经济、信誉等损失，服务器在向商家客户端发送待识别订单的同时，可以向其发送用于指示地址可能为恶意地址的预警提示信息，商家接收到该预警提示信息后，可以根据订单中的电话与买家进行联系，从而判断该地址是否确实为恶意地址；若商家确定该地址为恶意地址，则可以拒绝发货，若商家确定该地址为正常地址，而非恶意地址，则可以放心发货。

此外，若服务器判断该待识别地址为正常地址，则可以仅向商家客户端发送待识别订单，而无需发送预警提示信息；当商家发现接收到的订单没有预警提示信息时，会直接根据订单中的地址进行发货。然而，服务器可能会将恶意地址误判为正常地址，因此，当商家在实际发货过程中发现地址无法送达时，商家可以在商家客户端中选择地址为恶意地址的按钮，以便商家客户端将携带恶意标识的待识别地址发送给服务器，并在服务器接收到携带恶意标识的待识别地址后，对历史正常地址库、历史恶意地址库进行更新，以及对预设识别模型进行重新训练。

309、接收商家客户端发送的、基于预警提示信息对待识别地址进行二次识别的识别结果。

在实际应用中，当商家确定待识别地址为恶意地址时，可以在预警工具的页面(或者上述系统实施例中提及的选择界面)中选择用于指示确定为恶意地址的按钮，以便商家客户端将携带恶意标识的待识别地址发送给服务器；当商家确定待识别地址是正常地址而非恶意地址时，可以在预警工具的页面中选择用于指示确定为正常地址的按钮，以便商家客户端将携带正常标识的待识别地址发送给服务器。

310、若识别结果是待识别地址为正常地址，则更新历史正常地址库、历史恶意地址库以及预设识别模型。

当商家客户端发送的二次识别的识别结果是待识别地址为正常地址，则服务器确定其判断错误，并立即更新历史正常地址库、历史恶意地址库，然后对地址层级跳转概率分布进行重新分析，对预设识别模型进行重新训练。

此外，以gbdt模型为例，本发明实施例中服务器与客户端之间的交互过程可以如图5所示，且通过上述实施例可知，本发明实施例不仅能够基于地址层级跳转概率分布初步获得待识别地址属于正常地址的概率，还能够从历史订单以及待识别订单中获得地址文本信息特征、历史购物行为特征、订单特征以及交叉特征等其他预设识别特征，并将待识别地址的正常地址概率以及这些预设识别特征输入至gbdt模型(或者其他识别模型)中进行综合分析，判断待识别地址是否为恶意地址，从而进一步提高了恶意地址识别的准确率。此外，当服务器最终确定该待识别地址为恶意地址时，还能够向商家客户端发送预警提示信息，从而使得商家能够通过与买家联系核实该地址是否为恶意地址，来决定是否发货，进而避免产生损失。进一步的，在商家根据实际情况确定地址是否为恶意地址后，还能够在商家客户端上选择对应的确定按钮，以便商家客户端将实际确定结果反馈给服务器，从而服务器可以根据商家客户端的反馈来确定其是否发生误判，若发生误判，则可以及时对gbdt模型进行重新训练，使gbdt模型更加完善，并由此提高了后续恶意地址识别的准确率。

进一步的，依据上述方法实施例，本发明的另一个实施例还提供了一种恶意地址的识别装置，如图6所示，该装置主要包括：接收单元41、第一处理单元42、计算单元43、第二处理单元44。其中，

接收单元41，用于接收用户客户端发送的待识别地址；

第一处理单元42，用于对待识别地址进行地址层级化处理，获得待识别地址的各地址层级；

计算单元43，用于利用由历史正常地址分析得到的地址层级跳转概率分布，计算待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

第二处理单元44，用于对计算单元43获得的各个跳转概率进行相乘处理，获得待识别地址的正常地址概率。

本发明实施例提供的恶意地址的识别装置，能够在获取待识别地址后，先对该待识别地址进行地址层级化处理，获得该待识别地址的各地址层级，然后利用地址层级跳转概率分布，计算该待识别地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，并对各个跳转概率进行相乘处理，获得该待识别地址属于正常地址的概率，以便根据该概率判断待识别地址是否为恶意地址。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并可以根据该正常地址概率来确定待识别地址是否为恶意地址，从而提高了恶意地址识别的准确率。

进一步的，如图7所示，该装置还包括：

判断单元45，用于在获得所述待识别地址的正常地址概率之后，根据预设识别规则以及待识别地址的正常地址概率，判断待识别地址是否为恶意地址。

进一步的，如图7所示，判断单元45包括：

提取模块451，用于从待识别地址对应的待识别订单和/或待识别订单对应的历史订单中提取用于识别待识别地址是否为恶意地址的预设识别特征；

获取模块452，用于获取通过历史订单训练的预设识别模型；

第一判断模块453，用于根据待识别地址的正常地址概率、预设识别特征以及预设识别模型，判断待识别地址是否为恶意地址。

进一步的，如图7所示，提取模块451包括：

第一提取子模块4511，用于从待识别地址中提取对应的地址文本信息特征；

第二提取子模块4512，用于从待识别订单对应的历史订单中提取历史购物行为特征；

第三提取子模块4513，用于从待识别订单中提取对应的订单特征。

进一步的，如图7所示，提取模块451还包括：

获取子模块4514，用于根据地址文本信息特征、历史购物行为特征、订单特征以及待识别地址的正常地址概率中至少两项的组合，获取待识别地址对应的交叉特征。

进一步的，第一提取子模块4511提取的地址文本信息特征包括：是否包括预设长度的数字、是否包括预设敏感词以及是否包括广告信息；

第三提取子模块4513提取的订单特征包括：待识别订单中的电话号码是否正常、待识别地址的使用次数是否大于预设使用阈值、待识别订单对应的店铺的相关状态以及待识别订单到对应的商品的相关状态。

进一步的，获取模块452还用于获取历史订单，历史订单中包括预设比例的历史正常订单和历史恶意订单；

获取模块452还用于根据条件随机场模型以及地址层级跳转概率分布，获得历史订单中携带的历史地址的正常地址概率；

提取模块451还用于从历史订单中提取预设识别特征；

如图7所示，判断单元45还包括：

训练模块454，用于通过各个历史地址的正常地址概率以及对应的预设识别特征训练预设识别模型。

进一步的，如图7所示，判断单元45包括：

第二判断模块455，用于判断待识别地址的正常地址概率是否大于预设概率阈值；

确定模块456，用于当第二判断模块的判断结果为待识别地址的正常地址概率大于预设概率阈值时，确定待识别地址为正常地址，当第二判断模块的判断结果为待识别地址的正常地址概率小于或等于预设概率阈值时，确定待识别地址为恶意地址。

进一步的，如图7所示，该装置还包括：

第一发送单元46，用于将判断待识别地址是否为恶意地址的识别结果发送给商家客户端，以便商家客户端接收并输出识别结果。

进一步的，如图7所示，该装置还包括：

第二发送单元47，用于当判断单元45判断待识别地址为恶意地址时，向商家客户端发送预警提示信息，以便所述商家客户端接收并输出所述预警提示信息；

接收单元41，用于接收商家客户端发送的、基于预警提示信息对待识别地址进行二次识别的识别结果；

第一更新单元48，用于当第一接收单元48接收的识别结果是待识别地址为正常地址时，更新历史正常地址库、历史恶意地址库以及预设识别模型。

进一步的，接收单元41，用于接收商家客户端发送的携带恶意标识的待识别地址；

如图7所示，该装置还包括：

第二更新单元49，用于更新历史正常地址库、历史恶意地址库以及预设识别模型。

进一步的，待识别地址为在第一处理单元42对待识别订单进行冗余处理以及格式化处理后获得的地址。

进一步的，如图7所示，第一处理单元42包括：

过滤模块421，用于对待识别订单的待识别地址中满足预设过滤条件的文字进行过滤；

过滤模块421还用于对待识别订单中的脏数据进行过滤；

处理模块422，用于根据预设格式化处理规则，对过滤模块421过滤后的待识别订单进行格式化处理。

本发明实施例提供的恶意地址的识别装置，不仅能够基于地址层级跳转概率分布初步获得待识别地址属于正常地址的概率，还能够从历史订单以及待识别订单中获得地址文本信息特征、历史购物行为特征、订单特征以及交叉特征等其他预设识别特征，并将待识别地址的正常地址概率以及这些预设识别特征输入至预设识别模型中进行综合分析，判断待识别地址是否为恶意地址，从而进一步提高了恶意地址识别的准确率。此外，当服务器最终确定该待识别地址为恶意地址时，还能够向商家客户端发送预警提示信息，从而使得商家能够通过与买家联系核实该地址是否为恶意地址，来决定是否发货，进而避免产生损失。进一步的，在商家根据实际情况确定地址是否为恶意地址后，还能够在商家客户端上选择对应的确定按钮，以便商家客户端将实际确定结果反馈给服务器，从而服务器可以根据商家客户端的反馈来确定其是否发生误判，若发生误判，则可以及时对预设识别模型进行重新训练，使预设识别模型更加完善，并由此提高了后续恶意地址识别的准确率。

进一步的，为了提高识别恶意订单的准确率，本发明的另一个实施例提供了一种恶意订单的识别系统，该系统包括用户客户端、服务器和商家客户端；其中，

用户客户端用于接收输入的待识别订单，并将待识别订单发送给服务器；

服务器用于接收用户客户端发送的待识别订单，并基于由历史正常地址分析得到的地址层级跳转概率分布，计算待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；对获得的各个跳转概率进行相乘处理，获得地址的正常地址概率；根据正常地址概率判断待识别订单是否为恶意订单，并将判断结果发送给商家客户端；

商家客户端用于接收并显示服务器发送的判断结果。

本发明实施例提供的恶意订单的识别系统，在服务器接收到用户客户端发送的待识别订单后，先利用地址层级跳转概率分布，计算该待识别订单中的地址属于正常地址的概率，然后再利用该概率判断该待识别订单是否为恶意订单。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并根据正常地址概率确定地址是否为恶意地址，从而提高了识别恶意地址的准确率，进而提高了识别恶意订单的准确率。

进一步的，依据上述实施例中提及的恶意订单的识别系统，本发明的另一个实施例提供了一种恶意订单的识别方法，如图8所示，该方法主要包括：

501、接收用户客户端发送的待识别订单。

当用户下单成功后，用户客户端可以将订单上传给服务器，服务器接收到该订单后，能够对该订单进行恶意地址识别操作。

502、基于由历史正常地址分析得到的地址层级跳转概率分布，计算待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率。

其中，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率。

具体的，服务器可以先对待识别订单的地址进行地址层级化处理，获得地址的各地址层级(详见上述步骤202)；然后基于地址层级跳转概率分布，计算每个地址层级跳转至相邻的下一地址层级的跳转概率(详见上述步骤203)。

503、对获得的各个跳转概率进行相乘处理，获得地址的正常地址概率。

本步骤的具体实现方式与上述步骤204相同，在此不再赘述。

504、根据正常地址概率判断待识别订单是否为恶意订单。

具体的，服务器可以先根据正常地址概率判断待识别订单的地址是否为恶意地址；若待识别订单的地址为恶意地址，则确定待识别订单为恶意订单；若待识别订单的地址为正常地址，则确定待识别订单为正常订单。

其中，根据正常地址概率判断待识别订单的地址是否为恶意地址的具体实现方式与上述“恶意地址的识别方法”的实施例中的具体实现方式相同，在此不再赘述。

进一步的，由于在实际应用中，恶意用户除了通过过添加恶意地址的方式给商家带来困扰外，往往还通过其他方式困扰商家，例如填写所务的电话号码，使得商家无法与其进行联系，所以当判断待识别订单的地址为正常地址时，还需要再判断待识别订单中的电话号码是否正常。若电话号码异常，则确定待识别订单为恶意订单；若电话号码正常，则确定待识别订单为正常订单。

其中，判断电话号码是否异常的方法可以为：构建一个正常电话号码库，将待识别电话号码与正常电话号码库进行匹配，若匹配失败，则确定待识别电话号码异常，若匹配成功，则确定待识别电话号码正常。

本发明实施例提供的恶意订单的识别方法，在服务器接收到用户客户端发送的待识别订单后，先利用地址层级跳转概率分布，计算该待识别订单中的地址属于正常地址的概率，然后再利用该概率判断该待识别订单是否为恶意订单。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并根据正常地址概率确定地址是否为恶意地址，从而提高了识别恶意地址的准确率，进而提高了识别恶意订单的准确率。

进一步的，依据图8所示的方法，本发明的另一个实施例提供了一种恶意订单的识别装置，如图9所示，该装置主要包括：

接收单元61，用于接收用户客户端发送的待识别订单；

计算单元62，用于基于由历史正常地址分析得到的地址层级跳转概率分布，计算待识别订单的地址中每个地址层级跳转至相邻的下一地址层级的跳转概率，地址层级跳转概率分布包括任意一个地址层级跳转至另一个地址层级的跳转概率；

处理单元63，用于对获得的各个跳转概率进行相乘处理，获得地址的正常地址概率；

判断单元64，用于根据正常地址概率判断待识别订单是否为恶意订单。

进一步的，如图10所示，判断单元64包括：

判断模块641，用于根据正常地址概率判断待识别订单的地址是否为恶意地址；

确定模块642，用于当待识别订单的地址为恶意地址时，确定待识别订单为恶意订单。

进一步的，判断模块641还用于当待识别订单的地址为正常地址时，判断待识别订单中的电话号码是否正常；

确定模块642还用于当电话号码异常时，确定待识别订单为恶意订单。

进一步的，如图10所示，计算单元62包括：

处理模块621，用于对待识别订单的地址进行地址层级化处理，获得地址的各地址层级；

计算模块622，用于基于地址层级跳转概率分布，计算每个地址层级跳转至相邻的下一地址层级的跳转概率。

本发明实施例提供的恶意订单的识别装置，在服务器接收到用户客户端发送的待识别订单后，先利用地址层级跳转概率分布，计算该待识别订单中的地址属于正常地址的概率，然后再利用该概率判断该待识别订单是否为恶意订单。由此可知，与现有技术中粗滤地通过恶意关键词、黑白名单或者地址层级结构来判断待识别地址是否为恶意地址相比，本发明通过对历史正常地址中各地址层级之间相关性进行统计与分析，并利用分析结果来判断待识别地址各地址层级的跳转概率，再由跳转概率获得整个待识别地址属于正常地址的概率，从而不仅能够获得包含恶意关键词的地址的正常地址概率、包含在黑白名单中的地址的正常地址概率以及地址层级结构完整的地址的正常地址概率，还能够获得不包含恶意关键词的地址的正常地址概率、不包含在黑白名单中的地址的正常地址概率以及地址层级结构不完整的地址的正常地址概率，并根据正常地址概率确定地址是否为恶意地址，从而提高了识别恶意地址的准确率，进而提高了识别恶意订单的准确率。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法、装置及系统中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的恶意地址/恶意订单的识别系统、方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。