專(zhuān)利名稱(chēng):用于欺詐檢測(cè)和分析的用戶(hù)建模的制作方法
技術(shù)領(lǐng)域:
本文中的公開(kāi)總體上涉及欺詐檢測(cè)和分析。具體地��,本公開(kāi)涉及使用基于行為的建模的欺詐檢測(cè)。
背景技術(shù):
在線(xiàn)環(huán)境下追蹤欺詐是一個(gè)難以解決的問(wèn)題��。欺詐者手段迅速地發(fā)展�����,并且現(xiàn)在的復(fù)雜犯罪方法意味著在線(xiàn)賬戶(hù)欺詐常?�?瓷先ネ耆幌衿墼p����。事實(shí)上,欺詐者可以看上去并且表現(xiàn)得完全像客戶(hù)一樣��。由于現(xiàn)在的欺詐者使用將在線(xiàn)步驟和離線(xiàn)步驟(其中的任意一個(gè)看上去都是完全可接受的�����,但當(dāng)以結(jié)合量考慮時(shí)���,相當(dāng)于欺詐攻擊)這兩者結(jié)合的多渠道欺詐方法�,因此�����,使得進(jìn)行精確檢測(cè)更加困難����。根據(jù)有限的欺詐資源識(shí)別值得行動(dòng)的真正可疑事件就像大海撈針。結(jié)果��,客戶(hù)金融和信息資產(chǎn)面臨風(fēng)險(xiǎn)�����,并且在線(xiàn)渠道的完整性也面臨風(fēng)險(xiǎn)���。公司完全沒(méi)有預(yù)見(jiàn)每個(gè)可能的在線(xiàn)欺詐威脅并對(duì)其作出反應(yīng)的資源?���,F(xiàn)在的攻擊暴露了過(guò)去的在線(xiàn)欺詐防止技術(shù)的不足�,過(guò)去的在線(xiàn)欺詐防止技術(shù)跟不上所組織的欺詐網(wǎng)絡(luò)及其驚人的創(chuàng)新速度。被動(dòng)策略對(duì)欺詐者不再有效����。常常,當(dāng)客戶(hù)就損失抱怨時(shí)�,金融機(jī)構(gòu)才知道發(fā)生欺詐。通過(guò)在該犯罪行為后嘗試定義新的檢測(cè)規(guī)則來(lái)阻止欺詐者不再實(shí)際�����,這是因?yàn)楦緹o(wú)法預(yù)料每種新欺詐模式并對(duì)其作出反應(yīng)。保持在被動(dòng)方式使得追蹤在線(xiàn)防風(fēng)險(xiǎn)措施的性能隨著時(shí)間的過(guò)去而變得更加困難��。充分監(jiān)控趨勢(shì)�����、策略控制和合規(guī)要求仍然使許多機(jī)構(gòu)逃脫�。希望在通常有用更加必要的安全層解決在線(xiàn)欺詐問(wèn)題的傳統(tǒng)技術(shù)不能解決其核心問(wèn)題。這些方案經(jīng)常借用來(lái)自其他市場(chǎng)領(lǐng)域的技術(shù)(例如�����,信用卡欺詐����、網(wǎng)站分析),然后嘗試?yán)没旌辖Y(jié)果擴(kuò)展在線(xiàn)欺詐檢測(cè)的功能�����。通常�,這些方案對(duì)在線(xiàn)用戶(hù)經(jīng)驗(yàn)造成負(fù)面影響。嘗試解決在線(xiàn)欺詐問(wèn)題的傳統(tǒng)可選方案包括基于多重因素和風(fēng)險(xiǎn)的認(rèn)證方案以及基于欺詐規(guī)則��、欺詐指示符和欺詐模式的交易監(jiān)控方案。由于基于多重因素和風(fēng)險(xiǎn)的認(rèn)證方案通常導(dǎo)致錯(cuò)誤檢測(cè)(錯(cuò)誤肯定)多并返回不起作用的信息����,因此��,基于多重因素和風(fēng)險(xiǎn)的認(rèn)證方案是無(wú)效的����。認(rèn)證失敗和對(duì)質(zhì)疑問(wèn)題的要求不是精確的欺詐指示符,并且質(zhì)疑率太高而不能根據(jù)有限的欺詐調(diào)查資源來(lái)采取行動(dòng)���。它們(基于多重因素和風(fēng)險(xiǎn)的認(rèn)證方案)的欺詐檢測(cè)能力(例如���,裝置標(biāo)識(shí)、小段信息(cookies)等)并沒(méi)有傳遞所需的性能�����, 并且缺乏豐富的行為模型和調(diào)查可疑活動(dòng)所需的賬戶(hù)歷史�。近來(lái),欺詐者已展示了完全智勝該技術(shù)的能力���?���;谄墼p規(guī)則、欺詐指示符和欺詐模式的交易監(jiān)控方案一般總是落后于最新的欺詐技術(shù)����。這些方案僅僅對(duì)已知的威脅作出反應(yīng),而不是隨著新新的威脅發(fā)生而認(rèn)識(shí)到新的威脅����。這些方案需要復(fù)雜的規(guī)則發(fā)展和維護(hù)(已知用于算法訓(xùn)練(algorithm training) 的欺詐“真值集(truth set)”、以及正在進(jìn)行的“護(hù)理和照料”維護(hù)�����,以盡量保持最新�。結(jié)果,這些方案不能查出新的欺詐類(lèi)型和模式��。一旦違犯發(fā)生��,大多數(shù)返回關(guān)于任何指定欺詐示例的最少細(xì)節(jié)����、少量背景、個(gè)人用戶(hù)行為的有限特征、不可視分析��、粒度小的風(fēng)險(xiǎn)評(píng)分和最小取證����。引用結(jié)合在本說(shuō)明書(shū)中提到的每個(gè)專(zhuān)利、專(zhuān)利申請(qǐng)和/或公布在本文中通過(guò)引用全部結(jié)合于此�����,達(dá)到如同每個(gè)單獨(dú)的專(zhuān)利�����、專(zhuān)利申請(qǐng)和/或公布被專(zhuān)門(mén)且單獨(dú)地表示為通過(guò)引用結(jié)合于此的程度����。
圖1是根據(jù)實(shí)施例的欺詐防止系統(tǒng)(FPS)的框圖�。圖2A和圖2B示出根據(jù)實(shí)施例的與網(wǎng)上銀行應(yīng)用集成的FPS的框圖。圖3是根據(jù)實(shí)施例的使用FPS預(yù)測(cè)預(yù)期行為的方法的流程圖。圖4是根據(jù)實(shí)施例的使用FPS估計(jì)賬戶(hù)所有者的動(dòng)作的方法的流程圖。圖5是根據(jù)實(shí)施例的使用FPS確定由用戶(hù)執(zhí)行未來(lái)事件與由欺詐者執(zhí)行未來(lái)事件的相對(duì)似然(likelihood)的方法的流程圖��。圖6是根據(jù)實(shí)施例的使用FPS來(lái)生成可能欺詐活動(dòng)的警告的流程圖����。圖7示出根據(jù)現(xiàn)有技術(shù)的應(yīng)用于用戶(hù)(“普通用戶(hù)”)活動(dòng)的傳統(tǒng)欺詐技術(shù)(“欺詐認(rèn)識(shí)”)的使用。圖8示出根據(jù)實(shí)施例的應(yīng)用于用戶(hù)活動(dòng)的動(dòng)態(tài)賬戶(hù)建模的使用���。圖9是根據(jù)實(shí)施例的FPS圖形接口(AUI)的示例屏幕��。圖10示出根據(jù)實(shí)施例的FPS圖形接口(AUI)的示例屏幕(圖9)的變形例��。圖11是示出根據(jù)實(shí)施例的�����、用戶(hù)的正常使用行為的示例AUI�����。圖12是示出根據(jù)實(shí)施例的����、對(duì)用戶(hù)的第一紅色(RED)警報(bào)的示例AUI��。圖13是示出根據(jù)實(shí)施例的����、對(duì)用戶(hù)的第二紅色警報(bào)的示例AUI。圖14是示出根據(jù)實(shí)施例的�����、對(duì)于用戶(hù)賬戶(hù)附加的示例AUI。圖15是示出根據(jù)實(shí)施例的欺詐匹配視圖的示例AUI����。圖16是示出根據(jù)實(shí)施例的、在相對(duì)于時(shí)間繪制的欺詐匹配視圖中獲得的結(jié)果的另一示例AUI����。
具體實(shí)施例方式下文描述用在防止賬戶(hù)欺詐和身份盜用中的欺詐防止系統(tǒng)和方法,從而提供保護(hù)在線(xiàn)渠道和離線(xiàn)渠道的實(shí)時(shí)風(fēng)險(xiǎn)管理方案���。本文中所述的欺詐防止系統(tǒng)和方法(本文中統(tǒng)稱(chēng)為欺詐防止系統(tǒng)(FPS))利用基于行為的建模和豐富分析支持端到端風(fēng)險(xiǎn)管理處理。如下文所詳述的�,F(xiàn)PS提供針對(duì)整個(gè)風(fēng)險(xiǎn)管理生命周期的基于分析的軟件方案。作為綜合風(fēng)險(xiǎn)管理方案的一部分�,實(shí)施例中的FPS通過(guò)以下步驟將數(shù)據(jù)分析、在線(xiàn)域(onlinedomain)和欺詐專(zhuān)門(mén)知識(shí)聯(lián)系起來(lái)提供個(gè)人行為的預(yù)測(cè)模型��、動(dòng)態(tài)地調(diào)節(jié)以識(shí)別異常且可疑的活動(dòng)����,并且提供能夠起作用的警報(bào)和充分的調(diào)查能力。FPS自動(dòng)檢測(cè)新的且正發(fā)展的欺詐威脅�����,而無(wú)需任何欺詐規(guī)則/模式發(fā)展或正在進(jìn)行的維護(hù)努力。在以下描述中�,為了提供對(duì)FPS的實(shí)施例的徹底理解和啟用描述,介紹了許多具體細(xì)節(jié)�。然而,相關(guān)領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到��,在不具有一個(gè)或多個(gè)具體細(xì)節(jié)���、或者具有其他組件���、系統(tǒng)等的情況下也可以實(shí)現(xiàn)這些實(shí)施例。在其他情況下�,沒(méi)有示出或者沒(méi)有詳細(xì)描述已知結(jié)構(gòu)或操作,以避免使所公開(kāi)的實(shí)施例的各方面難以理解����。在本文所提供的描述和示例中,用戶(hù)或客戶(hù)為賬戶(hù)的所有者�����,欺詐者為不是用戶(hù)或賬戶(hù)所有者的任何人��,并且分析者或雇員為FPS系統(tǒng)的用戶(hù)。圖1是根據(jù)實(shí)施例的FPS 100的框圖��。FPS 100包括耦合至風(fēng)險(xiǎn)應(yīng)用104的風(fēng)險(xiǎn)引擎102����。風(fēng)險(xiǎn)引擎102包括或提供使用個(gè)人在線(xiàn)客戶(hù)行為的預(yù)測(cè)模型以及分析學(xué)(其一起檢測(cè)欺詐并最小化錯(cuò)誤肯定)的應(yīng)用。不同于傳統(tǒng)的方法���,風(fēng)險(xiǎn)引擎應(yīng)用包括實(shí)時(shí)動(dòng)態(tài)賬戶(hù)建模��,其自動(dòng)檢測(cè)新的欺詐攻擊而不需要規(guī)則演變或算法訓(xùn)練���。風(fēng)險(xiǎn)引擎104以有助于調(diào)查、解析和風(fēng)險(xiǎn)監(jiān)控的可視分析接口為特征��。本文中也將包括在風(fēng)險(xiǎn)應(yīng)用104中和/ 或耦合至風(fēng)險(xiǎn)應(yīng)用104的可視分析接口稱(chēng)為分析用戶(hù)接口(AUI)����。不只簡(jiǎn)單警報(bào)����,風(fēng)險(xiǎn)應(yīng)用 104還向分析者傳遞高保真(high-fidelity)風(fēng)險(xiǎn)分?jǐn)?shù)和在風(fēng)險(xiǎn)分?jǐn)?shù)背后的廣泛上下文信息,以支持綜合分析和調(diào)查��。實(shí)施例中的風(fēng)險(xiǎn)引擎102使用個(gè)人在線(xiàn)客戶(hù)行為的預(yù)測(cè)模型來(lái)檢測(cè)新的和新興的欺詐方案,因而�,這將普通用戶(hù)行為與可疑活動(dòng)區(qū)分開(kāi)。風(fēng)險(xiǎn)引擎102可在能得到時(shí)基于關(guān)于欺詐威脅的已知信息使用欺詐模型��,但不取決于知道詳細(xì)的欺詐模式或預(yù)先定義的欺詐規(guī)則���。為了便于與客戶(hù)的在線(xiàn)渠道綜合�����,風(fēng)險(xiǎn)引擎102以用于更廣泛綜合和配置選擇的基于實(shí)時(shí)API和文件這兩者的批量控制器為特征��。如本文中所述�,風(fēng)險(xiǎn)引擎102包括動(dòng)態(tài)賬戶(hù)建模��。動(dòng)態(tài)賬戶(hù)建模(本文中也被稱(chēng)為“預(yù)測(cè)建?���!被颉敖!?使用每個(gè)個(gè)人在線(xiàn)用戶(hù)的行為的預(yù)測(cè)模型�����。由于風(fēng)險(xiǎn)引擎102 不取決于預(yù)先定義的欺詐規(guī)則并且自動(dòng)檢測(cè)異常行為�����,因此,在新的威脅出現(xiàn)時(shí)檢測(cè)到新的威脅��。而且�,風(fēng)險(xiǎn)引擎102容易處理現(xiàn)實(shí)世界的狀況(諸如,改變用戶(hù)和欺詐者行為����、使用代理服務(wù)器、公司防火墻���、動(dòng)態(tài)IP地址)��,并且對(duì)客戶(hù)硬件和軟件升級(jí)��。風(fēng)險(xiǎn)引擎的高級(jí)統(tǒng)計(jì)模型基于動(dòng)態(tài)地對(duì)個(gè)人用戶(hù)行為調(diào)節(jié)的概率���,從而認(rèn)識(shí)到每個(gè)用戶(hù)的行為不同并且對(duì)于一個(gè)用戶(hù)而言可能異常的行為對(duì)于另一個(gè)用戶(hù)可能是正常的。風(fēng)險(xiǎn)應(yīng)用104提供可視分析接口以幫助調(diào)查�����、解析和風(fēng)險(xiǎn)監(jiān)控��。如本文中所詳述的�����,風(fēng)險(xiǎn)應(yīng)用104的組件利用細(xì)粒度風(fēng)險(xiǎn)評(píng)分來(lái)顯示來(lái)自客戶(hù)會(huì)話(huà)的在線(xiàn)賬戶(hù)活動(dòng)的詳細(xì)視圖�����。風(fēng)險(xiǎn)應(yīng)用104的交互配置使得在欺詐防止中所涉及的任何雇員都能夠使用�����,包括欺詐分析者�、IT安全人員、風(fēng)險(xiǎn)管理分析者��、在線(xiàn)渠道分析者���、乃至面對(duì)客戶(hù)的雇員��。風(fēng)險(xiǎn)應(yīng)用104的功能包括但不限于警報(bào)管理���、調(diào)查和取證、過(guò)程管理和性能測(cè)量�����,下文將詳細(xì)描述以上各項(xiàng)。風(fēng)險(xiǎn)應(yīng)用104的警報(bào)管理功能包括高精確風(fēng)險(xiǎn)分?jǐn)?shù)警報(bào)���,其使用可調(diào)節(jié)閾值來(lái)僅指出最可疑的活動(dòng)�����,從而查出被泄露的賬戶(hù)��。高保真度評(píng)分使得欺詐團(tuán)伙通過(guò)確保正確的調(diào)查優(yōu)先權(quán)來(lái)優(yōu)化其時(shí)間和成果���。該本能的、能夠起作用的信息聚焦于反欺詐成果�����。風(fēng)險(xiǎn)應(yīng)用104的調(diào)查和取證功能提供可視化工具以利用復(fù)雜的調(diào)查工具仔細(xì)審查可疑事件�����。該應(yīng)用返回會(huì)話(huà)特有的上下文和詳細(xì)的客戶(hù)歷史��,以幫助調(diào)查。其檢測(cè)協(xié)同攻擊�、在賬戶(hù)上的相關(guān)活動(dòng)���。其他商業(yè)操作可以補(bǔ)充支持詳細(xì)的賬戶(hù)歷史和客戶(hù)活動(dòng)�,以有助于離線(xiàn)交易的風(fēng)險(xiǎn)評(píng)估���。風(fēng)險(xiǎn)應(yīng)用104的過(guò)程管理功能包括案例管理工具�����,其允許調(diào)查者追蹤任何偶發(fā)事件�,管理相關(guān)工作流程����,并基于個(gè)體或集體來(lái)分析欺詐案例歷史。風(fēng)險(xiǎn)應(yīng)用104的性能測(cè)量功能對(duì)隨著時(shí)間所趨向的欺詐控制的有效性進(jìn)行測(cè)量并報(bào)告���,從而增加風(fēng)險(xiǎn)管理組織對(duì)風(fēng)險(xiǎn)水平的理解�����。度量追蹤風(fēng)險(xiǎn)趨勢(shì)��,聚集對(duì)賬戶(hù)的分析��,并且利用查賬結(jié)果幫助合規(guī)指示���。實(shí)施例中的FPS用于防止在線(xiàn)欺詐�����、離線(xiàn)欺詐和多渠道欺詐中的一個(gè)或多個(gè)�����。作為一個(gè)示例�,圖2A和圖2B示出根據(jù)實(shí)施例的與網(wǎng)上銀行應(yīng)用集成的FPS的框圖���。在該示例中�,使用實(shí)時(shí)應(yīng)用編程接口(API)212和/或適合于風(fēng)險(xiǎn)引擎202和/或網(wǎng)上銀行應(yīng)用 210的配置的一個(gè)或多個(gè)應(yīng)用(例如�,認(rèn)證、風(fēng)險(xiǎn)評(píng)估�、欺詐檢測(cè)和警報(bào)、調(diào)查����、合規(guī)報(bào)告���、 性能測(cè)量等),將風(fēng)險(xiǎn)引擎202耦合至網(wǎng)上銀行應(yīng)用210����?��?梢酝ㄟ^(guò)實(shí)時(shí)饋送事件信息或者通過(guò)處理包含事件信息的日志文件來(lái)將FPS與在線(xiàn)應(yīng)用210集成���。如上所述,風(fēng)險(xiǎn)應(yīng)用 204 (在該示例中被標(biāo)注為欺詐應(yīng)用204)起到執(zhí)行警報(bào)管理���、調(diào)查與取證����、過(guò)程管理和性能測(cè)量(僅舉幾個(gè)例子)的作用�。在該示例中的用戶(hù)或“客戶(hù)” 220登錄到網(wǎng)上銀行系統(tǒng)210,并且使用網(wǎng)上銀行系統(tǒng)210來(lái)執(zhí)行他/她的賬戶(hù)中的事件(例如�����,檢查賬戶(hù)余額�、查看校驗(yàn)圖像��、轉(zhuǎn)移資金等)�����。 如本文中所述�,F(xiàn)PS包括耦合至風(fēng)險(xiǎn)應(yīng)用204的風(fēng)險(xiǎn)引擎202����。風(fēng)險(xiǎn)引擎202是用于接收用戶(hù)事件或一組事件的數(shù)據(jù)的實(shí)時(shí)事件處理器。風(fēng)險(xiǎn)引擎202還存儲(chǔ)用于特定用戶(hù)的用戶(hù)賬戶(hù)模型�。風(fēng)險(xiǎn)引擎202使用事件數(shù)據(jù)和用戶(hù)賬戶(hù)模型來(lái)計(jì)算風(fēng)險(xiǎn)分?jǐn)?shù)。風(fēng)險(xiǎn)引擎202使用所觀察事件的風(fēng)險(xiǎn)分?jǐn)?shù)和詳情來(lái)更新用戶(hù)賬戶(hù)模型�����,并且存儲(chǔ)更新后的用戶(hù)賬戶(hù)模型以在評(píng)價(jià)用戶(hù)的(會(huì)話(huà)的)隨后的下一組事件數(shù)據(jù)中使用��。風(fēng)險(xiǎn)引擎202還將風(fēng)險(xiǎn)分?jǐn)?shù)傳輸至網(wǎng)上銀行應(yīng)用210�。風(fēng)險(xiǎn)應(yīng)用204還提供警報(bào)并允許授權(quán)人員使用事件數(shù)據(jù)來(lái)執(zhí)行關(guān)聯(lián)、報(bào)告和調(diào)查����。不管物理系統(tǒng)配置如何,F(xiàn)PS起到使用與特定用戶(hù)的行為相對(duì)應(yīng)的基于行為的模型來(lái)檢測(cè)并防止欺詐的作用���。作為一個(gè)示例�����,圖3是根據(jù)實(shí)施例的用于使用FPS預(yù)測(cè)預(yù)期行為的方法300的流程圖��。操作開(kāi)始于動(dòng)態(tài)地生成302對(duì)應(yīng)于用戶(hù)的因果模型�����。使用在用戶(hù)的賬戶(hù)中由用戶(hù)承辦的第一組事件的事件參數(shù)來(lái)估計(jì)304因果模型的組分��。使用因果模型在第二組事件期間預(yù)測(cè)306用戶(hù)的預(yù)期行為��。FPS被配置為并作用于防止在線(xiàn)欺詐����、離線(xiàn)欺詐和多渠道欺詐�。更具體地,在線(xiàn)欺詐和離線(xiàn)欺詐包括賬戶(hù)接管欺詐�,賬戶(hù)接管欺詐是這樣的情況有人竊取用戶(hù)或賬戶(hù)所有者的賬戶(hù)訪問(wèn)憑證(用戶(hù)名、口令�、PIN等)、然后冒充成該用戶(hù)并訪問(wèn)賬戶(hù)���。多渠道欺詐包括用戶(hù)與他/她的銀行交互或者訪問(wèn)銀行賬戶(hù)所通過(guò)的所有渠道(例如�����,ATM�����、客服中心����、現(xiàn)場(chǎng)分行訪問(wèn)(live branch visit)等)。多渠道欺詐的示例是這樣的情況有人竊取賬戶(hù)訪問(wèn)憑證��,在線(xiàn)訪問(wèn)賬戶(hù)并且改變簡(jiǎn)檔信息或獲取關(guān)于賬戶(hù)所有者的信息(例如��,賬戶(hù)余額�����、賬戶(hù)號(hào)�����、來(lái)自校驗(yàn)圖像的簽名等)��,然后使用經(jīng)由賬戶(hù)訪問(wèn)得到的信息來(lái)經(jīng)由其他渠道進(jìn)行欺詐(通過(guò)上述的簽名來(lái)進(jìn)行欺詐)。這是在金融欺詐離線(xiàn)發(fā)生�、但其通過(guò)欺詐者使用所竊取的訪問(wèn)憑證來(lái)訪問(wèn)用戶(hù)的賬戶(hù)而在線(xiàn)開(kāi)始的示例。本文中所使用的事件包括在線(xiàn)事件�、離線(xiàn)事件和/或多渠道事件。因此��,第一組事件包括在線(xiàn)事件�、離線(xiàn)事件和多渠道事件中的至少之一。第二組事件包括在線(xiàn)事件�����、離線(xiàn)事件和多渠道事件中的至少之一�����。在線(xiàn)事件是可以經(jīng)由對(duì)賬戶(hù)的電子訪問(wèn)承辦的事件�����。對(duì)于在線(xiàn)事件��,在線(xiàn)事件包括登錄事件和活動(dòng)事件中的一個(gè)或多個(gè)���。一組事件包括會(huì)話(huà)���,并且會(huì)話(huà)是一系列相關(guān)事件。該一系列相關(guān)在線(xiàn)事件包括會(huì)話(huà)登錄事件和終止事件���,并且可以包括一個(gè)或多個(gè)活動(dòng)事件��。對(duì)于離線(xiàn)事件����,離線(xiàn)事件包括賬戶(hù)訪問(wèn)事件和活動(dòng)事件中的一個(gè)或多個(gè)�。一組事件包括會(huì)話(huà),并且會(huì)話(huà)是一系列相關(guān)事件��。該一系列相關(guān)在線(xiàn)事件包括賬戶(hù)登錄事件和終止事件��,并且可以包括一個(gè)或多個(gè)活動(dòng)事件�。多渠道事件包括在線(xiàn)事件和離線(xiàn)事件。因此�,多渠道事件包括登錄事件、賬戶(hù)訪問(wèn)事件和活動(dòng)事件中的一個(gè)或多個(gè)�����。作為FPS操作的另一示例,圖4是根據(jù)本實(shí)施例的用于使用FPS預(yù)測(cè)賬戶(hù)所有者的預(yù)期行為的方法400的流程圖��。操作開(kāi)始于接收402對(duì)應(yīng)于第一事件的觀察結(jié)果�。實(shí)施例中的第一事件包括在電子訪問(wèn)賬戶(hù)期間在賬戶(hù)中所采取的行動(dòng)。生成404觀察結(jié)果與賬戶(hù)所有者的導(dǎo)出行為參數(shù)之間的概率關(guān)系��。操作繼續(xù)至生成406包括概率關(guān)系的賬戶(hù)模型��,并且使用該賬戶(hù)模型來(lái)估計(jì)408所有者在第二事件期間的行動(dòng)����。作為FPS操作的又一示例,圖5是根據(jù)實(shí)施例的用于使用FPS確定未來(lái)事件由用戶(hù)執(zhí)行與未來(lái)事件由欺詐者執(zhí)行的相對(duì)似然的方法500的流程圖��。操作開(kāi)始于自動(dòng)生成 502對(duì)應(yīng)于用戶(hù)的因果模型���。生成因果模型包括使用用戶(hù)的賬戶(hù)中由用戶(hù)承辦的先前事件的事件參數(shù)來(lái)估計(jì)因果模型的組分�����。操作繼續(xù)至使用因果模型來(lái)預(yù)測(cè)用戶(hù)在賬戶(hù)中的下一事件期間的預(yù)期行為504。預(yù)測(cè)用戶(hù)的預(yù)期行為包括生成下一事件的預(yù)期事件參數(shù)����。操作繼續(xù)至使用預(yù)測(cè)欺詐模型來(lái)生成欺詐事件參數(shù)506。生成欺詐事件參數(shù)假設(shè)欺詐者正在進(jìn)行下一事件,該欺詐者為除了用戶(hù)外的任何人�。操作繼續(xù)至使用預(yù)期事件參數(shù)和欺詐事件參數(shù)來(lái)生成下一事件的風(fēng)險(xiǎn)分?jǐn)?shù)508。該風(fēng)險(xiǎn)分?jǐn)?shù)表示未來(lái)事件由用戶(hù)執(zhí)行與未來(lái)事件由欺詐者執(zhí)行的相對(duì)似然����。圖6是根據(jù)實(shí)施例的用于使用FPS來(lái)生成可能欺詐活動(dòng)的警告600的流程圖。操作開(kāi)始于生成對(duì)應(yīng)于用戶(hù)的預(yù)測(cè)用戶(hù)模型602���。預(yù)測(cè)用戶(hù)模型602包括表示在用戶(hù)的賬戶(hù)中在第一事件期間觀察到的事件參數(shù)的多個(gè)概率分布�。使用預(yù)測(cè)用戶(hù)模型602來(lái)生成預(yù)測(cè)事件參數(shù)604�。期望在賬戶(hù)中在第二事件624期間觀察到預(yù)測(cè)事件參數(shù)604,其中�����,第二事件在時(shí)間上接著第一事件�。預(yù)測(cè)事件參數(shù)604的生成包括假設(shè)用戶(hù)正在進(jìn)行第二組在線(xiàn)事件,生成表示預(yù)測(cè)事件參數(shù)的第一組預(yù)測(cè)概率分布���。使用預(yù)測(cè)欺詐模型612來(lái)生成第二組預(yù)測(cè)概率分布�����。第二組預(yù)測(cè)概率分布表示預(yù)期欺詐事件參數(shù)614�����,并且假設(shè)欺詐者正在進(jìn)行第二組在線(xiàn)事件���,其中����,欺詐者是除了用戶(hù)外的任何人�����。在第二事件期間將第二事件624的實(shí)際事件參數(shù)與預(yù)測(cè)事件參數(shù)604和614 之間進(jìn)行比較634�,并且在實(shí)際事件參數(shù)624看來(lái)似乎是由除了用戶(hù)外的人發(fā)起時(shí)生成警告606。警告606包括使用預(yù)測(cè)事件參數(shù)604的信息來(lái)生成風(fēng)險(xiǎn)分?jǐn)?shù)���,但本實(shí)施例并不限于此���。使用第二事件624的事件參數(shù)的信息來(lái)更新644用戶(hù)模型602。如上所述����,傳統(tǒng)的欺詐檢測(cè)基于預(yù)先規(guī)定的規(guī)則、所識(shí)別出的欺詐模式�、或者記下已知欺詐并使用監(jiān)督式學(xué)習(xí)技術(shù)來(lái)對(duì)其處理。在例如在線(xiàn)欺詐中��,傳統(tǒng)的欺詐檢測(cè)是無(wú)效的�,因?yàn)樵诰€(xiàn)欺詐是非常動(dòng)態(tài)的,并且用于進(jìn)行欺詐的技術(shù)發(fā)展是非常動(dòng)態(tài)的且不斷變化��。 此外���,與在線(xiàn)欺詐相關(guān)聯(lián)的活動(dòng)常?����?瓷先ゲ豢梢?例如��,查看賬戶(hù)信息����、校驗(yàn)圖像等)����。這使得很難構(gòu)思用于檢測(cè)欺詐的規(guī)則,因?yàn)槠墼p可能非常難于捉摸并且不斷變化���。與嘗試精確地確定欺詐看上去如何����、或者精確地模擬欺詐并接著將該模型與普通 (一般)用戶(hù)進(jìn)行比較相反,本文中所述的FPS的實(shí)施例而是分析每個(gè)個(gè)人用戶(hù)和該用戶(hù)的確切行為����。由于每個(gè)用戶(hù)的行為是多個(gè)不同用戶(hù)的平均行為的建模中所包括的非常小的行為子集,因此��,這是更有效的�����。因而����,可以使用通常在單個(gè)用戶(hù)方面觀察到的特殊在線(xiàn)銀行活動(dòng)或行為(例如,從加利福尼亞的帕洛阿爾托登錄�,使用特定的計(jì)算機(jī)登錄,使用特定的互聯(lián)網(wǎng)服務(wù)提供商(ISP)登錄����,執(zhí)行相同類(lèi)型的活動(dòng)(例如,檢查賬戶(hù)余額����、查看校驗(yàn)圖像等))�����,來(lái)建立每個(gè)特定用戶(hù)真正特有且僅有的用戶(hù)在線(xiàn)行為模型。這使得更容易檢測(cè)欺詐��, 因?yàn)槠墼p者不知道用戶(hù)在線(xiàn)是如何表現(xiàn)的�����,所以欺詐者很難看起來(lái)像賬戶(hù)所有者����。顯然,對(duì)于“一般”用戶(hù)而言可能正常的行為對(duì)于特定用戶(hù)而言可能是極其異常的�。同樣重要的是, 甚至可能認(rèn)為對(duì)于“一般”用戶(hù)而言“異?���!钡男袨榭赡軐?duì)于特定個(gè)人而言是非常正常的。 因此��,這些情況在區(qū)分合法活動(dòng)與欺詐活動(dòng)方面都是非常有區(qū)別性的且有用的���。FPS使用每個(gè)個(gè)體用戶(hù)的預(yù)測(cè)模型來(lái)檢測(cè)在線(xiàn)欺詐���。該實(shí)時(shí)或動(dòng)態(tài)預(yù)測(cè)建模(在本文中海稱(chēng)為動(dòng)態(tài)賬戶(hù)建模)是在實(shí)施例中的風(fēng)險(xiǎn)引擎上或下運(yùn)行的應(yīng)用�。使用該方法����, 欺詐者的確切行為變得不那么重要,因?yàn)榉治稣吒雨P(guān)注于用戶(hù)通常所干的事情的類(lèi)型���, 而不是檢測(cè)特定的已知欺詐模式����。不同于將先前欺詐活動(dòng)的欺詐數(shù)據(jù)用于訓(xùn)練系統(tǒng)或生成規(guī)則��,F(xiàn)PS不需要規(guī)則或訓(xùn)練�。因此,由于FPS基于用戶(hù)的在線(xiàn)行為���,F(xiàn)PS可以檢測(cè)新類(lèi)型的欺詐����,即便可能之前沒(méi)有見(jiàn)過(guò)該新欺詐��。這導(dǎo)致檢測(cè)率高并且錯(cuò)誤警報(bào)率低��。一般,F(xiàn)PS將兩種類(lèi)型的模型用于防止欺詐�。FPS通過(guò)用于計(jì)算假定特定用戶(hù)的所觀察事件的概率的預(yù)測(cè)用戶(hù)模型(PUM)模擬特定用戶(hù)的行為。FPS通過(guò)用于計(jì)算假定欺詐者的所觀察事件的概率的預(yù)測(cè)欺詐模型(PFM)模擬欺詐者的行為��。然后���,使用這些概率來(lái)計(jì)算這些概率所對(duì)應(yīng)的事件下一次發(fā)生的風(fēng)險(xiǎn)分?jǐn)?shù)。使用每個(gè)事件的兩種假設(shè)來(lái)支持本文中所述的FPS的模型第一假設(shè)假設(shè)所觀察事件是由與特定賬戶(hù)相關(guān)聯(lián)的真實(shí)用戶(hù)執(zhí)行的���,以及第二假設(shè)假設(shè)所觀察事件是由欺詐者執(zhí)行的�����。例如�����,事件包括賬戶(hù)登錄和/或在登錄到賬戶(hù)時(shí)在該賬戶(hù)中所進(jìn)行的任何特定活動(dòng)���。每個(gè)事件均包括一組參數(shù),其中����,參數(shù)包括但不限于在事件期間所使用的計(jì)算機(jī)的IP 地址和標(biāo)識(shí)數(shù)據(jù)(僅舉幾個(gè)例子)���。FPS基于第一假設(shè),生成并維護(hù)PUM(每個(gè)用戶(hù)所特有的因果模型)���,并接著使用 PUM來(lái)預(yù)測(cè)該模型所對(duì)應(yīng)的該個(gè)體用戶(hù)的預(yù)期行動(dòng)�。FPS通過(guò)基于先前的用戶(hù)活動(dòng)還有用戶(hù)如何表現(xiàn)的正常期望來(lái)估計(jì)用戶(hù)的概率函數(shù)�,生成用戶(hù)的PUM。當(dāng)不能得到用戶(hù)的先驗(yàn)活動(dòng)信息時(shí)����,F(xiàn)PS以類(lèi)屬的“普通”用戶(hù)活動(dòng)模型開(kāi)始。當(dāng)從用戶(hù)所進(jìn)行的事件或活動(dòng)為用戶(hù)收集活動(dòng)數(shù)據(jù)時(shí)����,基于所收集的對(duì)用戶(hù)的觀察結(jié)果來(lái)隨著時(shí)間的過(guò)去估計(jì)用戶(hù)模型的參數(shù),從而在任何時(shí)間點(diǎn)��,可得到用戶(hù)的精確PUM�。因而,隨著時(shí)間的過(guò)去遞歸地發(fā)展PUM����。當(dāng)用戶(hù)事件發(fā)生時(shí),對(duì)用戶(hù)事件評(píng)分,并且這提供了事件的風(fēng)險(xiǎn)分?jǐn)?shù)��。然后�����,使用事件參數(shù)來(lái)更新用戶(hù)模型����,并且使用更新后的用戶(hù)模型來(lái)為隨后的下一用戶(hù)事件確定風(fēng)險(xiǎn)分?jǐn)?shù)?���;谟脩?hù)的觀察行為以及普通用戶(hù)的統(tǒng)計(jì)分析來(lái)構(gòu)建PUM�。預(yù)先用公式表示PUM 的結(jié)構(gòu),使得不需要揭示模型的結(jié)構(gòu)��,而是估計(jì)模型的未知參數(shù)��。PUM發(fā)展使用在實(shí)施例中表示或用公式表示為貝葉斯網(wǎng)絡(luò)的因果模型�����,其使現(xiàn)實(shí)世界導(dǎo)出參數(shù)(例如����,用戶(hù)的位置 (國(guó)家�����、州�����、城市)���、正用于事件的計(jì)算機(jī)的類(lèi)型、在線(xiàn)會(huì)話(huà)期間檢測(cè)到的活動(dòng))(的概率)與會(huì)話(huà)的可觀察參數(shù)(例如���,IP地址��、HTTP報(bào)頭信息��、頁(yè)面視圖等)相關(guān)����。IP地址提供位置信息(諸如�����,國(guó)家、州��、城市)��、網(wǎng)絡(luò)段(network block�,網(wǎng)絡(luò)塊)和互聯(lián)網(wǎng)服務(wù)提供商的估計(jì)。HTTP報(bào)頭提供操作系統(tǒng)(OS)��、用戶(hù)代理字符串����、來(lái)源(referrer)字符串和用于事件的計(jì)算機(jī)的瀏覽器類(lèi)型的信息。因此���,可以使用用戶(hù)的事件和會(huì)話(huà)的可觀察參數(shù)的概率分布來(lái)模擬每個(gè)用戶(hù)的行為�。將貝葉斯網(wǎng)絡(luò)分解成各個(gè)參數(shù)��,并且參數(shù)分布與條件分布之間的關(guān)系基于先驗(yàn)(prior)�����、所觀察數(shù)據(jù)�、“新模式”概率模型等��。用戶(hù)與對(duì)應(yīng)于事件的實(shí)際可觀察參數(shù)(包括時(shí)間、IP地址���、瀏覽器���、OS等)相關(guān)。 FPS使用基于用戶(hù)的觀察行為的因果模型來(lái)預(yù)測(cè)未來(lái)行為��。因此����,PUM是由所使用或選擇的現(xiàn)實(shí)世界參數(shù)、所觀察事件參數(shù)�、以及現(xiàn)實(shí)世界參數(shù)與所觀察事件參數(shù)之間的關(guān)系形成的結(jié)構(gòu)。對(duì)特定用戶(hù)使用因果模型允許FPS在不需要特定的已知規(guī)則��、模式和/或指示符并且不需要已知欺詐案例的訓(xùn)練數(shù)據(jù)的情況下檢測(cè)欺詐活動(dòng)和事件����。因此,F(xiàn)PS可以檢測(cè)所有欺詐���,已知的和未知的����,包括之前從不曾見(jiàn)過(guò)的欺詐活動(dòng)?;趯?shí)施例的第二假設(shè)來(lái)生成PFM。PFM —般使用不是用戶(hù)的所有其他在線(xiàn)賬戶(hù)持有人的所有其他會(huì)話(huà)或者事件數(shù)據(jù)��。使用該數(shù)據(jù)來(lái)籠統(tǒng)地生成用戶(hù)的概率����。然后,使用多產(chǎn)欺詐者的已知信息(例如���,欺詐來(lái)自尼日利亞的比率比來(lái)自其他(低風(fēng)險(xiǎn))國(guó)家的高十倍)來(lái)調(diào)節(jié)這些概率�,但這不是必須的���。這不同于傳統(tǒng)欺詐系統(tǒng)����,該傳統(tǒng)欺詐系統(tǒng)通過(guò)使用新的和/或其他規(guī)則���、指示符或模式來(lái)信賴(lài)關(guān)于欺詐的信息。相反�����,F(xiàn)PS籠統(tǒng)地使用在線(xiàn)活動(dòng)來(lái)發(fā)展PFM(表示欺詐者(每個(gè)人都不是特定的賬戶(hù)所有者)的因果模型),并接著基于欺詐者如何行動(dòng)來(lái)調(diào)節(jié)PFM的概率和期望�����。因此�,F(xiàn)PS在其如何結(jié)合欺詐活動(dòng)的信息方面是獨(dú)特的。如上所述����,實(shí)施例中的模型包括為聯(lián)合概率分布的PUM。PUM是因果模型�����。PUM的凈效果或結(jié)果是假定PUM所對(duì)應(yīng)的特定用戶(hù)的����、觀察參數(shù)或事件的概率。因此���,PUM是假定 PUM所對(duì)應(yīng)的特定用戶(hù)的���、用于下一事件事件參數(shù)的預(yù)測(cè)概率分布。如上所述���,F(xiàn)PS模型還包括為聯(lián)合概率分布的PFM��。PFM也是因果模型����。PFM的凈效果是假定欺詐者的、觀察參數(shù)或事件的概率�����。因此��,PFM是假定欺詐的�、用于下一事件的事件參數(shù)的預(yù)測(cè)概率分布。使用PUM和PFM的結(jié)果來(lái)針對(duì)下一事件計(jì)算風(fēng)險(xiǎn)分?jǐn)?shù)��。下一事件是在用戶(hù)的賬戶(hù)中所進(jìn)行的事件或行動(dòng)���,其看上去是由賬戶(hù)所有者發(fā)起或進(jìn)行的��。通過(guò)獲得如使用PFM所確定的����、假定欺詐的所觀察事件的概率,并且將其除以如使用PUM所確定的���、假定特定用戶(hù)的所觀察事件的概率,來(lái)確定或計(jì)算下一事件的風(fēng)險(xiǎn)分?jǐn)?shù)����。可以使用風(fēng)險(xiǎn)分?jǐn)?shù)來(lái)生成對(duì)于
下一事件的警報(bào)或警告���。FPS使用遞歸模型構(gòu)建來(lái)生成PUM�����。PUM不表示在用戶(hù)的賬戶(hù)中所曾見(jiàn)過(guò)的每個(gè)事件的全面詳情�,而是�����,其包括一個(gè)或多個(gè)所觀察事件的多個(gè)特定參數(shù)中的每一個(gè)參數(shù)的個(gè)體概率分布����。所觀察參數(shù)的每個(gè)概率分布是遍及對(duì)應(yīng)于賬戶(hù)的所觀察事件的針對(duì)參數(shù)的統(tǒng)計(jì)分布。合并參數(shù)的各個(gè)概率分布�����,以形成作為PUM的聯(lián)合概率分布。一般����,通過(guò)以所觀察參數(shù)的形式收集事件數(shù)據(jù)來(lái)生成PUM,并且在每個(gè)事件后���,基于所觀察參數(shù)來(lái)更新事件所對(duì)應(yīng)的用戶(hù)的PUM�。然后����,PUM允許將所觀察事件參數(shù)的分布傳播(propagation)到行為事件參數(shù)的分布中,其中���,該傳播包括所觀察參數(shù)的分布加上先驗(yàn)?zāi)P?���。模型使用的示例開(kāi)始于有人(用戶(hù)或欺詐者)發(fā)起所觀察事件��。例如���,所觀察事件包括有人登錄到用戶(hù)的賬戶(hù)和/或在在線(xiàn)會(huì)話(huà)期間采取的任何活動(dòng)(例如����,檢查賬戶(hù)余額、在賬戶(hù)之間轉(zhuǎn)移資金�、查看賬戶(hù)信息等)。所觀察事件可以是或可以不是在線(xiàn)事件��。每個(gè)事件包括或?qū)?yīng)于一個(gè)或多個(gè)事件參數(shù)���。事件參數(shù)是事件的直接可觀察參數(shù)、或者可以測(cè)量或觀察的原始數(shù)據(jù)��。僅舉幾個(gè)例子��,事件參數(shù)的示例包括但不限于包括在線(xiàn)事件正發(fā)生的網(wǎng)絡(luò)的參數(shù)(例如���,IP地址等)的網(wǎng)絡(luò)信息(國(guó)家���、州、城市是從網(wǎng)絡(luò)信息得到的導(dǎo)出參數(shù)���;與實(shí)際觀察的事件數(shù)據(jù)相反�,這是隱含的信息)�����、用戶(hù)代理字符串(用于事件的裝置或計(jì)算機(jī)的OS和瀏覽器是隱含的信息)、以及事件或會(huì)話(huà)時(shí)間(時(shí)間戳)��。實(shí)施例的模型(例如�����,PUM和PFM)用于假定用戶(hù)在過(guò)去事件期間的行為的模型來(lái)針對(duì)下一事件預(yù)測(cè)實(shí)際觀察的事件參數(shù)���。接著�,從PUM和可觀察參數(shù)導(dǎo)出或傳播不能直接觀察的導(dǎo)出參數(shù)��。導(dǎo)出參數(shù)的示例包括但不限于在事件時(shí)間用戶(hù)的地理位置(例如���,國(guó)家�、 州���、城市等)���、用于事件的裝置(例如,裝置類(lèi)型/模型�、裝置OS��、裝置瀏覽器�����、軟件應(yīng)用等)�����、 互聯(lián)網(wǎng)服務(wù)提供商(ISP)和用戶(hù)的事件本地時(shí)刻等。實(shí)施例的因果模型包括導(dǎo)出參數(shù)與事件(可觀察)參數(shù)之間的概率關(guān)系�����、以及不同導(dǎo)出參數(shù)之間的概率關(guān)系����。參數(shù)之間的關(guān)系的示例可以是,用戶(hù)的國(guó)家(事件參數(shù))與ISP(導(dǎo)出參數(shù))相關(guān)�,并且ISP可以與特定的一組IP地址(事件參數(shù))相關(guān)。將實(shí)施例中的因果模型表示為貝葉斯網(wǎng)絡(luò)(BN)�����。實(shí)施例中的BN使用或包括模擬或表示參數(shù)之間的關(guān)系(不同導(dǎo)出參數(shù)之間的關(guān)系�����、事件參數(shù)與導(dǎo)出參數(shù)之間的關(guān)系等) 的條件概率分布。如在PUM中實(shí)現(xiàn)的BN是或表示導(dǎo)出參數(shù)的分布��、觀察參數(shù)的分布以及觀察參數(shù)與導(dǎo)出參數(shù)之間的關(guān)系。從PUM輸出的結(jié)果是下一事件的預(yù)期事件參數(shù)的預(yù)期分布��。使用預(yù)期事件參數(shù)的分布來(lái)計(jì)算風(fēng)險(xiǎn)分?jǐn)?shù)�。如下文所述那樣生成PUM�����。PUM用于預(yù)測(cè)下一事件的事件參數(shù)�����。所預(yù)測(cè)的事件參數(shù)包括在下一事件期間可觀察的事件參數(shù)的預(yù)測(cè)概率分布����。因此,PUM生成用于下一事件的事件參數(shù)的預(yù)測(cè)分布�����。然后����,觀察下一事件�,并收集或接收所觀察事件參數(shù)的信息����。假定所觀察事件參數(shù)值(例如, 實(shí)際IP地址)��、以及可使用的所有可能IP地址的預(yù)測(cè)概率分布(來(lái)自PUM����,假定用戶(hù)的實(shí)際IP地址的概率),結(jié)果是假定PUM的��、特定的所觀察事件參數(shù)(例如��,IP地址)的概率�。 這是在所有參數(shù)上執(zhí)行的�����。因此�����,實(shí)施例中的因果模型生成假定當(dāng)前PUM( S卩,如由PUM定義的預(yù)測(cè)分布)來(lái)觀察所觀察參數(shù)值的似然�,并且生成假定當(dāng)前PFM( S卩,如由PFM定義的預(yù)測(cè)分布)來(lái)觀察所觀察參數(shù)值的似然�。然后,如上所述��,使用這些結(jié)果來(lái)計(jì)算風(fēng)險(xiǎn)分?jǐn)?shù)��。如本文中所述�����,通過(guò)以所觀察參數(shù)的形式收集事件數(shù)據(jù)來(lái)生成PUM�����,并且在每個(gè)事件后���,基于所觀察參數(shù)更新事件所對(duì)應(yīng)的用戶(hù)的PUM����。然后����,PUM允許將所觀察事件的分布傳播到行為事件的分布中���,其中,該傳播包括所觀察參數(shù)的分布加上先驗(yàn)?zāi)P汀?br>
更新處理對(duì)PUM中的一個(gè)或多個(gè)所觀察參數(shù)的分布進(jìn)行更新���,以產(chǎn)生更新后的 PUM��。因此���,更新后的PUM以與特定的所觀察參數(shù)相關(guān)的更新后的概率分布的形式包括一個(gè)或多個(gè)所觀察參數(shù)的更新期望。作為示例����,由于已觀察在事件期間由用戶(hù)使用的特定參數(shù)(例如,在美國(guó)(觀察到的)的IP地址(位置����、導(dǎo)出參數(shù)))���,該信息被傳播回至PUM中����, 以更新對(duì)應(yīng)分布�,從而在隨后的下一事件期間�,存在在下一事件中見(jiàn)到相同或類(lèi)似參數(shù)(US 的IP地址)的更高期望���。自從上一次更新模型開(kāi)始����,使用實(shí)際觀察到的事件參數(shù)來(lái)周期性地更新模型��。通過(guò)更新包括在模型中的每個(gè)所觀察參數(shù)的概率分布����,來(lái)更新實(shí)施例的聯(lián)合概率分布。實(shí)施例的模型更新處理是遞歸的�,并且考慮上一次觀察到的事件、先前用戶(hù)模型(即��,PUM)和先驗(yàn)用戶(hù)模型(僅舉幾個(gè)例子)�。先前用戶(hù)模型包括對(duì)于上一次或最近觀察到的事件而言是最近的PUM。先驗(yàn)用戶(hù)模型包括在已觀察到任何事件前的預(yù)測(cè)概率分布(即����,PUM)。模型更新處理包括兩種備選方案�。在更新處理的第一實(shí)施例中,使用當(dāng)前觀察事件的數(shù)據(jù)來(lái)更新先前用戶(hù)模型,并且作為響應(yīng)于觀察事件的每次發(fā)生而更新先驗(yàn)用戶(hù)模型的遞歸處理的一部分�����,認(rèn)為先驗(yàn)用戶(hù)模型嵌入先前用戶(hù)模型中��,并因而更新該先驗(yàn)用戶(hù)模型�����。在更新處理的第二實(shí)施例中�����,更新處理維持每個(gè)觀察事件參數(shù)的觀察頻率分布����。 結(jié)果,替代更新先前用戶(hù)模型��,使用當(dāng)前觀察到的事件的數(shù)據(jù)更新每個(gè)事件參數(shù)概率�����。將更新后的對(duì)于每個(gè)事件參數(shù)的觀察頻率分布與先驗(yàn)用戶(hù)模型綜合���,以生成更新后PUM0在接收用戶(hù)的任何觀察事件數(shù)據(jù)前�,使用籠統(tǒng)的關(guān)于用戶(hù)的一般統(tǒng)計(jì)信息和/或從用戶(hù)或從用戶(hù)的賬戶(hù)簡(jiǎn)檔收集的特定用戶(hù)數(shù)據(jù)��,最初可以調(diào)節(jié)包括在先驗(yàn)?zāi)P椭械母怕史植?�。例如��,還可以使用均勻概率分布來(lái)調(diào)節(jié)概率分布�����。還可以使用與用戶(hù)(例如��,美國(guó)居民�,并且的美國(guó)居民使用特定段的IP地址)的住處信息相對(duì)應(yīng)的概率數(shù)據(jù)來(lái)調(diào)節(jié)概率分布。此外���,可以使用用戶(hù)的金融機(jī)構(gòu)數(shù)據(jù)來(lái)調(diào)節(jié)概率分布(例如��,用戶(hù)是XYZ銀行客戶(hù)���, 并且95%的XYZ銀行客戶(hù)在美國(guó))。實(shí)施例中的欺詐模型(即�,PFM)與PUM類(lèi)似之處在于,其是基于事件的觀察參數(shù)和導(dǎo)出參數(shù)的預(yù)測(cè)分布。這與基于規(guī)則的傳統(tǒng)系統(tǒng)(其使用與欺詐相關(guān)的特定指示符(規(guī)則))相反�����。然而�,可以對(duì)規(guī)則加權(quán),加權(quán)不是概率分布��,所以這些系統(tǒng)與本文中所述的實(shí)施例毫無(wú)共同之處���。圖7示出了根據(jù)現(xiàn)有技術(shù)的��、使用應(yīng)用于用戶(hù)704(普通用戶(hù)704)的活動(dòng)的傳統(tǒng)欺詐技術(shù)702 (欺詐知識(shí)702)的困難和限制�。如上所述�����,這些傳統(tǒng)技術(shù)可以檢測(cè)一些已知的欺詐事件710和712��,但是不能檢測(cè)真實(shí)欺詐事件720��,同時(shí)生成對(duì)不是欺詐活動(dòng)的事件 730和732的許多錯(cuò)誤肯定�����。相反,圖8示出根據(jù)實(shí)施例的���、應(yīng)用于用戶(hù)活動(dòng)的動(dòng)態(tài)賬戶(hù)建模701的使用。動(dòng)態(tài)賬戶(hù)建模701針對(duì)用戶(hù)賬戶(hù)的事件活動(dòng)應(yīng)用特定用戶(hù)的預(yù)測(cè)模型701���, 并且這樣做時(shí)���,檢測(cè)之前隱藏的欺詐720,并且減少對(duì)不是欺詐活動(dòng)的事件730和732的錯(cuò)誤警報(bào)���。實(shí)施例中的FPS包括用于用戶(hù)賬戶(hù)的圖形接口��,其示出賬戶(hù)活動(dòng)以及對(duì)應(yīng)的參數(shù)數(shù)據(jù)�。本文中將圖形接口稱(chēng)為分析用戶(hù)接口(AUI)�����。僅舉幾個(gè)例子����,AUI針對(duì)賬戶(hù)中的任意事件顯示風(fēng)險(xiǎn)分?jǐn)?shù)和事件參數(shù)中的至少一個(gè)。AUI包括表示時(shí)間的橫軸和表示事件參數(shù)的縱軸����。如上所述����,事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)����。IP數(shù)據(jù)包括IP地址、IP地址國(guó)家����、IP地址城市、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)��。HTTP數(shù)據(jù)包括操作系統(tǒng)���、用戶(hù)代理字符串����、來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器中的一個(gè)或多個(gè)數(shù)據(jù)��。AUI包括多列�����,并且每列表示在賬戶(hù)中所進(jìn)行的至少一個(gè)事件。根據(jù)日期排列實(shí)施例中的列�。AUI還包括多行,并且一組行表示事件的事件參數(shù)����?����?紤]到行和列�,AUI包括多個(gè)相交區(qū)域,并且每個(gè)相交區(qū)域由行與列的相交來(lái)限定�����。相交區(qū)域?qū)?yīng)于至少一個(gè)事件的事件參數(shù)���。此外�,相交區(qū)域包括使事件參數(shù)與賬戶(hù)模型的對(duì)應(yīng)概率相關(guān)的顏色編碼���。顏色編碼表示事件參數(shù)對(duì)應(yīng)于用戶(hù)的相對(duì)似然比�。AUI還包括表示事件的風(fēng)險(xiǎn)的風(fēng)險(xiǎn)行���。由風(fēng)險(xiǎn)行與列的相交限定的每個(gè)相交區(qū)域?qū)?yīng)于與列相對(duì)應(yīng)的至少一個(gè)事件的風(fēng)險(xiǎn)分?jǐn)?shù)�����。相交區(qū)域包括使風(fēng)險(xiǎn)分?jǐn)?shù)與至少一個(gè)事件相關(guān)的顏色編碼���。顏色編碼表示用戶(hù)進(jìn)行了事件的相對(duì)似然比��。圖9是根據(jù)實(shí)施例的AUI的示例屏幕800�����。一種類(lèi)型的AUI屏幕包括一個(gè)或多個(gè)信息部分802-804以及圖表部分806����。AUI的圖表部分806包括橫軸810和縱軸812��。橫軸 810表示時(shí)間(例如�����,日期)����?�?梢詫M軸或時(shí)間軸810建模為工作日和周末��,并且按照例如早上��、中午�����、晚上來(lái)再劃分每日��,但是本實(shí)施例并不限于此。AUI的縱軸812表示參數(shù)的類(lèi)別(例如�����,國(guó)家�、城市、州����、互聯(lián)網(wǎng)服務(wù)提供商、網(wǎng)絡(luò)�����、IP類(lèi)型等)以及按照類(lèi)別在歷史上對(duì)用戶(hù)的活動(dòng)觀察得到的所有不同的參數(shù)值。AUI的每列820表示按照日期組織的用戶(hù)登錄事件或用戶(hù)會(huì)話(huà)��。AUI包括顯示區(qū)域內(nèi)的顏色編碼條870�,并且顏色編碼條是用于該顯示所對(duì)應(yīng)的用戶(hù)的整個(gè)風(fēng)險(xiǎn)列。AUI顯示表示與事件的每個(gè)參數(shù)的組分風(fēng)險(xiǎn)分?jǐn)?shù)相對(duì)應(yīng)的閾值的顏色編碼(例如�,紅色830、黃色832�����、綠色834等)�����。如上所述�,F(xiàn)PS基于以下事實(shí)來(lái)模擬行為當(dāng)接收到將特定用戶(hù)綁定于特定參數(shù)值(例如,JaneDoe在美國(guó)登錄占98%)的更多數(shù)據(jù)時(shí)��,其確定該特定參數(shù)對(duì)于特定用戶(hù)而言不同的概率(例如�,Jane Doe從墨西哥登錄的概率是多少)。 當(dāng)從用戶(hù)處收集到更多事件數(shù)據(jù)時(shí)�����,模型參數(shù)的預(yù)測(cè)概率分布變得更加嚴(yán)密或狹窄,并且 AUI上所顯示的顏色與事件的每個(gè)參數(shù)和對(duì)應(yīng)于該參數(shù)的相對(duì)模型概率(欺詐與用戶(hù))相關(guān)�。例如,對(duì)于事件840����,可以將國(guó)家(美國(guó)841)、城市���、州(維也納���,弗吉尼亞842)、 提供商(A0L 843)和IP類(lèi)型(代理服務(wù)器844)的參數(shù)編碼為綠色�����,以示出根據(jù)動(dòng)態(tài)賬戶(hù)建模的��、賬戶(hù)所有者發(fā)起事件的高概率�����。相反��,對(duì)于事件840��,可以針對(duì)事件將國(guó)家(德國(guó) 851)和城市����、州(法蘭克福852)的參數(shù)編碼為紅色,以示出根據(jù)動(dòng)態(tài)賬戶(hù)建模的�����、賬戶(hù)所有者發(fā)起事件的低概率����,同時(shí)可以針對(duì)相同事件來(lái)將提供商(A0L 843)和IP類(lèi)型(代理服務(wù)器844)的參數(shù)編碼為綠色,以示出根據(jù)動(dòng)態(tài)賬戶(hù)建模的�、賬戶(hù)所有者發(fā)起事件的高概率?��?梢允褂肁UI的信息部分802-804來(lái)顯示適合于FPS和任何集成應(yīng)用的多種參數(shù)或數(shù)據(jù)���。例如,AUI可以顯示具有下劃線(xiàn)顏色(例如�,紅色、黃色�����、綠色等)的加下劃線(xiàn)的參數(shù)值860,其與和特定參數(shù)相關(guān)聯(lián)的風(fēng)險(xiǎn)量相關(guān)(例如����,弗吉尼亞(州)和維也納(城市) 具有紅色下劃線(xiàn)以表示欺詐者活動(dòng)的高概率)。FPS模型的自適應(yīng)屬性例如在用戶(hù)可頻繁旅行從而頻繁改變參數(shù)的情況下尤其有用���。FPS動(dòng)態(tài)地適應(yīng)于該行為����,使得如在基于規(guī)則的傳統(tǒng)系統(tǒng)下會(huì)發(fā)生的那樣�����,沒(méi)有始終將該行為標(biāo)記為欺詐����。因此,該模型使用表明從用戶(hù)處已觀察到特定行為(例如�,在丹佛的用戶(hù))的數(shù)據(jù)來(lái)隨著時(shí)間適應(yīng)(例如����,用戶(hù)從丹佛登錄),所以概率是從相同用戶(hù)在將來(lái)會(huì)觀察到相同行為(例如���,用戶(hù)在隨后事件中從丹佛登錄)的概率�����。圖10示出根據(jù)實(shí)施例的AUI的示例屏幕(圖9)的變型�����。參照該示例屏幕��,在表示會(huì)話(huà)的相同列1001內(nèi)的時(shí)間線(xiàn)上示出了來(lái)自相同在線(xiàn)會(huì)話(huà)的全部相關(guān)活動(dòng)事件的信息���。 關(guān)于在每個(gè)會(huì)話(huà)中發(fā)生的活動(dòng)的類(lèi)型的概要信息由顏色編碼條1002表示��。顏色(紅色�、黃色或綠色)表示對(duì)于特定會(huì)話(huà)的該類(lèi)型活動(dòng)的相關(guān)聯(lián)風(fēng)險(xiǎn)��。在相同屏幕上����,還可以在AUI 的一個(gè)或多個(gè)信息框或區(qū)域1003內(nèi)示出關(guān)于所選會(huì)話(huà)內(nèi)的每個(gè)活動(dòng)的詳細(xì)信息。如果FPS示出可疑欺詐活動(dòng)�,則風(fēng)險(xiǎn)應(yīng)用允許分析者執(zhí)行欺詐匹配。實(shí)施例中的欺詐匹配允許分析者在嘗試識(shí)別其他欺詐案例時(shí)在具有類(lèi)似特征的所有機(jī)構(gòu)賬戶(hù)上搜索其他會(huì)話(huà)(例如���,來(lái)源于墨西哥的會(huì)話(huà)���、與提供商AOL的會(huì)話(huà)等)�����。FPS欺詐匹配使得能夠在一個(gè)會(huì)話(huà)的數(shù)據(jù)與機(jī)構(gòu)的所有其他數(shù)據(jù)之間進(jìn)行比較���, 以識(shí)別具有一個(gè)或多個(gè)類(lèi)似參數(shù)的全部會(huì)話(huà)。因此��,機(jī)構(gòu)可以使用欺詐匹配功能��,以識(shí)別具有與可疑欺詐攻擊類(lèi)似或相同的參數(shù)(例如���,ISP��、國(guó)家��、機(jī)器等)的其他可疑會(huì)話(huà)�。因此���,F(xiàn)PS可以基于在特定時(shí)段(例如�����,日��、多日�����、周等)內(nèi)機(jī)構(gòu)內(nèi)的全部用戶(hù)的整體活動(dòng)來(lái)提供風(fēng)險(xiǎn)評(píng)估��,以便幫助機(jī)構(gòu)確定是否受到攻擊�。這是在與傳統(tǒng)系統(tǒng)相比時(shí)FPS 的主要差別����,因?yàn)榕c傳統(tǒng)系統(tǒng)的方法相比,F(xiàn)PS采取嘗試并阻止所有欺詐的風(fēng)險(xiǎn)管理方法���。FPS的所有特征一起起作用�����,以允許金融機(jī)構(gòu)例如了解欺詐����,而不是嘗試對(duì)是否阻止作為欺詐的交易作出完美的二元判定(其是無(wú)用的)。FPS認(rèn)識(shí)到��,重要性在于了解欺詐��, 使得可以使用可觀察參數(shù)(與導(dǎo)出參數(shù)相關(guān)或轉(zhuǎn)變?yōu)閷?dǎo)出參數(shù))來(lái)早些認(rèn)出欺詐�,并且與嘗試阻止任何可疑活動(dòng)(當(dāng)根據(jù)基于規(guī)則的傳統(tǒng)系統(tǒng)將非欺詐交易標(biāo)記為欺詐時(shí),如果不完美地完成����,則其僅導(dǎo)致客戶(hù)不滿(mǎn)意和不方便)相比,使損失最小化���。根據(jù)風(fēng)險(xiǎn)管理觀點(diǎn)�, 欺詐匹配應(yīng)用允許機(jī)構(gòu)查看根據(jù)一個(gè)或所定義的一組準(zhǔn)則隨著時(shí)間的過(guò)去而搜集到的全部數(shù)據(jù)���,以便預(yù)見(jiàn)與準(zhǔn)則相關(guān)的欺詐活動(dòng)的總百分比��。這使得可作出更明智的決定�,例如�����, 因?yàn)橐阎媚骋?ISP的業(yè)務(wù)量的極高百分比不是欺詐的��,可防止的決定基于在近來(lái)的時(shí)段內(nèi)欺詐活動(dòng)的高發(fā)生來(lái)阻止來(lái)自ISP的所有業(yè)務(wù)量。本文所述的FPS組件(例如����,風(fēng)險(xiǎn)引擎�����、風(fēng)險(xiǎn)應(yīng)用�����、動(dòng)態(tài)賬戶(hù)模型等)可以是單個(gè)系統(tǒng)���、多個(gè)系統(tǒng)和\或地理上分離的系統(tǒng)的組件��。FPS組件還可以是單個(gè)系統(tǒng)���、多個(gè)系統(tǒng)和 \或地理上分離的系統(tǒng)的子組件或子系統(tǒng)。FPS組件可以耦合至主機(jī)系統(tǒng)或與主機(jī)系統(tǒng)耦合的系統(tǒng)的一個(gè)或多個(gè)其他組件(未示出)����。實(shí)施例中的FPS包括處理系統(tǒng)并且/或者在處理系統(tǒng)下和/或與處理系統(tǒng)結(jié)合運(yùn)行。如現(xiàn)有技術(shù)中已知的���,處理系統(tǒng)包括在一起操作的基于處理器的裝置或計(jì)算裝置的任意集合��、或者處理系統(tǒng)或裝置的組件的任意集合��。例如��,處理系統(tǒng)可以包括可移動(dòng)計(jì)算機(jī)�����、 在通信網(wǎng)絡(luò)中操作的可移動(dòng)通信裝置和/或網(wǎng)絡(luò)服務(wù)器中的一個(gè)或多個(gè)����。可移動(dòng)計(jì)算機(jī)可以是選自基于個(gè)人計(jì)算機(jī)和其他處理器的裝置中的多個(gè)裝置和/或裝置結(jié)合中的任意一個(gè)��,但并不限于此�����。處理系統(tǒng)可以包括在更大型的計(jì)算機(jī)系統(tǒng)內(nèi)的組件���。實(shí)施例中的處理系統(tǒng)包括至少一個(gè)處理器和至少一個(gè)存儲(chǔ)裝置或子系統(tǒng)�。處理系統(tǒng)還包括或耦合到至少一個(gè)數(shù)據(jù)庫(kù)。一般本文中所使用的術(shù)語(yǔ)“處理器”是指任何邏輯處理單元����,諸如一個(gè)或多個(gè)中央處理單元(CPU)、數(shù)字信號(hào)處理器(DSP)����、專(zhuān)用集成電路(ASIC) 等��?���?梢詫⑻幚砥骱痛鎯?chǔ)器作為整體集成到單個(gè)芯片上,分布在FPS的多個(gè)芯片或組件之中���,并且/或者由算法的一些結(jié)合提供����?����?梢园凑哲浖惴?�、程序、固件��、硬件����、組件、電路���、 任意組合來(lái)實(shí)現(xiàn)本文中所述的FPS方法��。FPS組件可以定位在一起或者處于分離的位置�。通信路徑連接FPS組件��,并且包括用于在部件之間傳送或傳輸文件的任意介質(zhì)��。通信路徑包括無(wú)線(xiàn)連接器�����、有線(xiàn)連接器和混合無(wú)線(xiàn)/有線(xiàn)連接器�。通信路徑還包括到網(wǎng)絡(luò)(包括局域網(wǎng)(LAN)、城域網(wǎng)(MAN)�、廣域網(wǎng)(WAN)、專(zhuān)屬網(wǎng)絡(luò)�、局間或后端網(wǎng)絡(luò)和互聯(lián)網(wǎng))的耦合或連接器����。此外���,通信路徑包括如軟盤(pán)�、硬盤(pán)驅(qū)動(dòng)器和⑶-ROM盤(pán)一樣的可移動(dòng)固定介質(zhì)���、以及閃存RAM���、通用串行總線(xiàn)(BUS)連接器、RS-232連接器���、電話(huà)線(xiàn)、總線(xiàn)和電子郵件消息����。接下來(lái)將描述由FPS使用金融機(jī)構(gòu)的賬戶(hù)所有者的實(shí)際數(shù)據(jù)生成的欺詐分析示例。提出該示例只是為了幫助描述FPS的操作�,并不旨在將FPS的實(shí)施例僅限制于這些示例的范圍。欺詐分析示例圖11是根據(jù)實(shí)施例的��、用戶(hù)的正常使用行為的示例AUI����。這是頻繁用戶(hù)�,并且他/ 她一周登錄幾次����。該用戶(hù)的正常行為包括兩種模式(1)使用具有單個(gè)機(jī)器的SBC/PacBell 從舊金山海灣地區(qū)訪問(wèn);以及(2)使用另一機(jī)器從被稱(chēng)為DSS. MIL的機(jī)構(gòu)(其是政府機(jī)構(gòu)) 偶爾訪問(wèn)����。在該示例中,F(xiàn)PS被配置為僅處理登錄嘗試(即���,系統(tǒng)既不能得到是登錄成功還是登錄失敗的信息�����,也不能夠得到在單個(gè)在線(xiàn)會(huì)話(huà)內(nèi)發(fā)生的其他活動(dòng))�。為了可讀性����,AUI顯示針對(duì)上述的賬戶(hù)標(biāo)識(shí)符字符串生成的單獨(dú)的用戶(hù)名(User_26201)。于4/2/2007 (列相鄰標(biāo)記或滑動(dòng)條1102)�����,對(duì)于該用戶(hù)而言存在2個(gè)紅色警報(bào)。圖12是示出根據(jù)實(shí)施例的����、對(duì)賬戶(hù)事件1202的第一紅色警報(bào)的示例AUI。發(fā)生了經(jīng)由位于印第安納州的代理服務(wù)器從使用提供商“spscdns. net”的網(wǎng)絡(luò)段70. 9. 83. 0嘗試登錄�����?���;谶M(jìn)一步調(diào)查,人們相信���,該網(wǎng)絡(luò)是由Sprint Mobile Broadband操作的�,并且IP 地址是可隱藏用戶(hù)的真實(shí)位置(即��,用戶(hù)可能不在印第安納州)的代理服務(wù)器�����。該嘗試來(lái)自于該用戶(hù)看不到的新OS (Vista)�����。登錄是在格林尼治時(shí)間04/02/2007下午11 57或印第安納時(shí)間04/02/2007下午06:57發(fā)生的�����。圖13是示出根據(jù)實(shí)施例的�����、對(duì)于賬戶(hù)事件1302的第二紅色警報(bào)的示例AUI����。第二紅色警報(bào)在第一紅色警報(bào)之后約2小時(shí)發(fā)生,并且從使用來(lái)自佛羅里達(dá)的邁阿密的提供商Comcast的網(wǎng)絡(luò)段70. 9. 83. 0嘗試登錄����。在這種情況下,瀏覽器(Firefox)不同于來(lái)自該用戶(hù)的任何先前會(huì)話(huà)����。登錄是在格林尼治時(shí)間星期二 04/403/2007上午01:45或者邁阿密時(shí)間周一 04/02/2007下午08:45發(fā)生的。圖14是示出根據(jù)實(shí)施例的��、對(duì)于賬戶(hù)活動(dòng)1402的其他信息的示例AUI���。該活動(dòng)發(fā)生在八小時(shí)后����,并且是來(lái)自看上去是真正賬戶(hù)所有者的四次登錄嘗試的序列(很可能登錄失敗)。還應(yīng)該注意����,在3月21日,用戶(hù)(很可能是真正用戶(hù))從菲尼克斯的Hilton旅館登錄�����;可能沒(méi)有理由將此與欺詐情況聯(lián)系起來(lái)��,但為了未來(lái)參考而值得記錄����。使用FPS欺詐匹配來(lái)搜索其他類(lèi)似用戶(hù)會(huì)話(huà)。圖15示出根據(jù)實(shí)施例的欺詐匹配視圖的示例AUI��。對(duì)使用Comcast網(wǎng)絡(luò)段67. 191. 79. 0的其他用戶(hù)會(huì)話(huà)執(zhí)行搜索�。僅識(shí)別出的會(huì)話(huà)如下來(lái)自前一欺詐案例的五個(gè)會(huì)話(huà);來(lái)自該欺詐案例的一個(gè)會(huì)話(huà)��;以及對(duì)應(yīng)于第一紅色警報(bào)的其他會(huì)話(huà)�����。
圖16是示出根據(jù)實(shí)施例的��、在相對(duì)于時(shí)間繪制的欺詐匹配視圖中獲得的結(jié)果的另一示例AUI�����。執(zhí)行相關(guān)事件的各種分析的能力提供了唯一的洞察力���。在該示例中���,時(shí)間線(xiàn)視圖允許分析者確定相關(guān)的可疑活動(dòng)是否隨著時(shí)間而改變(也許作為普遍欺詐攻擊的結(jié)果)以下將詳細(xì)描述動(dòng)態(tài)賬戶(hù)建模?��;陲L(fēng)險(xiǎn)的假設(shè)檢騎貝葉斯網(wǎng)絡(luò)是已知的概率模型的表示�����,其中�����,該概率模型將一組變量及其概率獨(dú)立性表示為節(jié)點(diǎn)(參數(shù))和邊(從屬關(guān)系)的圖表�。貝葉斯假設(shè)檢驗(yàn)是一種這樣的已和技術(shù)其可以確定用于區(qū)分給定一組觀察數(shù)據(jù)的兩種或多種可能假設(shè)的最佳判定準(zhǔn)則和用于每種假設(shè)的已知概率模型���。賬戶(hù)所有者(用戶(hù))是擁有網(wǎng)上賬戶(hù)的現(xiàn)實(shí)世界的人���。在ID被盜的情況下���,本文將欺詐者定義為除賬戶(hù)所有者外的任何人。數(shù)學(xué)上�,兩者假設(shè)為· H0 =觀察事件(例如,登錄事件)由賬戶(hù)持有者(也稱(chēng)為用戶(hù))生成^H1 =觀察事件(例如��,登錄事件)由其他人(即���,欺詐者)生成如果通過(guò)假設(shè)事件由實(shí)際用戶(hù)生成而觀察當(dāng)前事件來(lái)知道真實(shí)條件概率���,并且已知事件由欺詐者生成的條件概率,則最佳欺詐/非欺詐判定統(tǒng)計(jì)量是由下式定義的相對(duì)似然比L:
mn"ι 杜�、-汽欺詐者 LiffJ^p(i7Ii)
ν J !L· { -ψ~ , 一 ————墨 ~.一 ———.了�、 . ^
-‘ P(用戶(hù)事件) P(U I F)使用貝葉斯規(guī)則,可以將等式(0. 1)重寫(xiě)為
剛(0.2)‘ _=_聊)
P(E I U)P(U)并且����,可選地重寫(xiě)為L(zhǎng)(E) = P λ (E)(0.3)其中
…、I F)P(F) P(F)A(E) = ν 1 J 以及ρ = —^ 二 ^
P[E\U), “ P(U) I-P(F)以下適用于上述等式中· P(E|F)是欺詐模型,其是假定事件由欺詐者(除用戶(hù)之外的某人)引起來(lái)觀察事件E的參數(shù)的期望· P(E|U)是用戶(hù)模型�����,其是鑒定事件由實(shí)用戶(hù)引起來(lái)觀察事件E的參數(shù)的期望-P(F)是欺詐的先驗(yàn)概率(也稱(chēng)為先驗(yàn)欺詐期望)����,其是事件會(huì)是由欺詐者引起的先驗(yàn)概率(在不知道關(guān)于事件的其他任何事物的情況下)-P(U)是用戶(hù)的先驗(yàn)概率(也稱(chēng)為先驗(yàn)用戶(hù)期望)����,其是事件會(huì)是由欺詐者引起的先驗(yàn)概率(在不知道關(guān)于事件的其他任何事物的情況下)如果事件相互獨(dú)立,則先驗(yàn)概率和此后的P是恒定的��。當(dāng)是這種情況下時(shí)�����,由于可以代替地對(duì)判定統(tǒng)計(jì)λ (E)執(zhí)行(以適當(dāng)比例)關(guān)于L(E)的任意判斷準(zhǔn)則�����,所以可以忽視P的影響�����。例如,可以通過(guò)引入閾值來(lái)將λ (E)用作二元判定處理(0. 4)判定欺詐如果λ (E) > τ判定用戶(hù)如果λ (E) < τ可選地���,可以使用λ (E)來(lái)從高欺詐風(fēng)險(xiǎn)到低欺詐風(fēng)險(xiǎn)來(lái)對(duì)一組事件分級(jí)�。通常�,更容易對(duì)對(duì)數(shù)似然比起作用。在本文中形式上將事件的風(fēng)險(xiǎn)定義為
權(quán)利要求
1.一種方法���,包括自動(dòng)生成對(duì)應(yīng)于用戶(hù)的因果模型����;使用所述用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的第一組事件的事件參數(shù)來(lái)估計(jì)所述因果模型的多個(gè)組分�����;以及使用所述因果模型來(lái)預(yù)測(cè)所述用戶(hù)在第二組事件期間的預(yù)期行為��。
2.根據(jù)權(quán)利要求1所述的方法�,其中,自動(dòng)生成所述因果模型包括生成所述多個(gè)組分中的組分之間的統(tǒng)計(jì)關(guān)系�����。
3.根據(jù)權(quán)利要求1所述的方法�,包括將所述因果模型表示為貝葉斯網(wǎng)絡(luò)����。
4.根據(jù)權(quán)利要求1所述的方法�,其中,自動(dòng)生成所述因果模型包括生成包括所述多個(gè)組分的聯(lián)合概率分布����。
5.根據(jù)權(quán)利要求4所述的方法����,其中,所述多個(gè)組分包括表示所述事件參數(shù)的多個(gè)概率分布函數(shù)�����。
6.根據(jù)權(quán)利要求5所述的方法���,其中���,所述事件參數(shù)是在所述第一組事件期間所收集的可觀察參數(shù)。
7.根據(jù)權(quán)利要求6所述的方法�,其中,所述事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)��。
8.根據(jù)權(quán)利要求7所述的方法,其中���,所述IP數(shù)據(jù)包括IP地址�、IP地址國(guó)家�����、IP地址城市��、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)�。
9.根據(jù)權(quán)利要求7所述的方法,其中���,所述HTTP數(shù)據(jù)包括操作系統(tǒng)���、用戶(hù)代理字符串、 來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器的數(shù)據(jù)中的一個(gè)或多個(gè)���。
10.根據(jù)權(quán)利要求1所述的方法��,其中��,自動(dòng)生成所述因果模型包括生成所述事件參數(shù)與導(dǎo)出參數(shù)之間的統(tǒng)計(jì)關(guān)系����。
11.根據(jù)權(quán)利要求10所述的方法,其中��,所述導(dǎo)出參數(shù)包括裝置發(fā)起所述第二組事件的地理區(qū)域���、所述裝置的位置���、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)����。
12.根據(jù)權(quán)利要求1所述的方法,其中���,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述第二組事件的預(yù)期事件參數(shù)�。
13.根據(jù)權(quán)利要求12所述的方法����,其中,生成所述預(yù)期事件參數(shù)包括生成表示所述預(yù)期事件參數(shù)的第一組預(yù)測(cè)概率分布����,其中��,生成所述第一組預(yù)測(cè)概率分布假設(shè)所述用戶(hù)正進(jìn)行所述第二組事件�����。
14.根據(jù)權(quán)利要求1所述的方法��,包括接收預(yù)測(cè)欺詐模型�����;以及生成表示預(yù)期欺詐事件參數(shù)的第二組預(yù)測(cè)概率分布����,其中��,生成所述第二組預(yù)測(cè)概率分布假設(shè)欺詐者正在進(jìn)行所述第二組事件�����,其中�����,所述欺詐者是除了所述用戶(hù)外的任何人��。
15.根據(jù)權(quán)利要求14所述的方法,包括通過(guò)使用在多個(gè)賬戶(hù)中所承辦的先前欺詐事件的欺詐事件參數(shù)而估計(jì)所述預(yù)測(cè)欺詐模型的多個(gè)欺詐組分���,來(lái)自動(dòng)生成所述預(yù)測(cè)欺詐模型����,其中�,所述先前欺詐事件是由于曾由所述欺詐者進(jìn)行而被懷疑的事件。
16.根據(jù)權(quán)利要求15所述的方法�����,其中�,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述多個(gè)欺詐組分中的欺詐組分之間的統(tǒng)計(jì)關(guān)系�。
17.根據(jù)權(quán)利要求15所述的方法,其中�����,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述欺詐事件參數(shù)與導(dǎo)出欺詐參數(shù)之間的統(tǒng)計(jì)關(guān)系�。
18.根據(jù)權(quán)利要求17所述的方法,其中�����,所述導(dǎo)出欺詐參數(shù)包括所述裝置的位置、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)����。
19.根據(jù)權(quán)利要求14所述的方法,包括使用所述預(yù)期事件參數(shù)和所述預(yù)期欺詐事件參數(shù)以及所述觀察參數(shù)來(lái)實(shí)時(shí)生成所述第二組事件中的事件的風(fēng)險(xiǎn)分?jǐn)?shù)��。
20.根據(jù)權(quán)利要求1所述的方法�,包括當(dāng)所述預(yù)期行為表明除了所述用戶(hù)外的人正在進(jìn)行所述事件時(shí),生成與所述第二組事件中的事件相對(duì)應(yīng)的警報(bào)�。
21.根據(jù)權(quán)利要求1所述的方法,包括使用在所述第二組事件期間收集的第二組事件參數(shù)��,來(lái)自動(dòng)更新所述因果模型���。
22.根據(jù)權(quán)利要求21所述的方法��,其中�,所述第二組事件參數(shù)是在所述第二組事件期間所收集的可觀察參數(shù)����。
23.根據(jù)權(quán)利要求21所述的方法,其中���,自動(dòng)更新所述因果模型包括更新包括所述多個(gè)組分的聯(lián)合概率分布��。
24.根據(jù)權(quán)利要求21所述的方法���,其中��,自動(dòng)更新所述因果模型包括更新所述多個(gè)組分中的至少一個(gè)組分����。
25.根據(jù)權(quán)利要求21所述的方法����,其中,自動(dòng)更新所述因果模型包括更新表示所述事件參數(shù)的多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)��,所述更新通過(guò)考慮所述第二組事件參數(shù)的數(shù)據(jù)來(lái)修改所述多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)�����。
26.根據(jù)權(quán)利要求21所述的方法���,包括針對(duì)所述第一組事件中的每個(gè)所述事件參數(shù),生成概率分布函數(shù)���;以及通過(guò)將所述第二組事件中的第二組事件參數(shù)的數(shù)據(jù)應(yīng)用于所述概率分布函數(shù)����,來(lái)針對(duì)每個(gè)所述事件參數(shù)生成更新后的概率分布函數(shù)。
27.根據(jù)權(quán)利要求沈所述的方法����,包括接收對(duì)應(yīng)于所述用戶(hù)的基線(xiàn)因果模型,所述基線(xiàn)因果模型是在不使用任何事件的數(shù)據(jù)的情況下生成的����;以及通過(guò)生成包括所述多個(gè)組分的聯(lián)合概率分布來(lái)生成所述因果模型,其中���,所述多個(gè)組分包括對(duì)于在所述因果模型中表示的任何事件參數(shù)的所述更新后的概率分布函數(shù)���。
28.根據(jù)權(quán)利要求1所述的方法,其中���,所述第一組事件和所述第二組事件包括在線(xiàn)事件��、離線(xiàn)事件和多渠道事件中的至少一個(gè)�����。
29.根據(jù)權(quán)利要求觀所述的方法���,其中�����,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)而承辦的事件��。
30.根據(jù)權(quán)利要求1所述的方法��,其中�,事件包括登錄事件���。
31.根據(jù)權(quán)利要求1所述的方法�,其中�����,事件包括活動(dòng)事件��。
32.根據(jù)權(quán)利要求1所述的方法,其中���,一組事件包括會(huì)話(huà)����,其中,所述會(huì)話(huà)是一系列相關(guān)事件����。
33.根據(jù)權(quán)利要求32所述的方法,其中��,所述一系列相關(guān)事件包括會(huì)話(huà)登錄事件和終止事件����。
34.根據(jù)權(quán)利要求33所述的方法,其中�����,所述一系列相關(guān)事件包括至少一個(gè)活動(dòng)事件���。
35.根據(jù)權(quán)利要求1所述的方法���,包括概率地確定所述第二組事件由所述用戶(hù)進(jìn)行過(guò);使用在所述第二組事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型���。
36.根據(jù)權(quán)利要求35所述的方法��,包括將所述因果模型更新為包括信任因子�,所述信任因子表示所述第二組事件實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的概率。
37.根據(jù)權(quán)利要求35所述的方法���,包括將所述因果模型更新為包括累積信任因子�����,所述累積信任因子表示多組事件中的事件參數(shù)實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的橫跨所述多組事件的累積概率���。
38.根據(jù)權(quán)利要求1所述的方法,其中��,自動(dòng)生成所述因果模型包括生成包括衰減參數(shù)的所述因果模型���。
39.根據(jù)權(quán)利要求38所述的方法����,其中���,所述衰減參數(shù)包括指數(shù)衰減函數(shù)�����,通過(guò)所述指數(shù)衰減函數(shù)所述賬戶(hù)中的一組事件中的每個(gè)事件的相對(duì)權(quán)重隨著從該事件起經(jīng)過(guò)的時(shí)間而改變��。
40.一種方法���,包括接收對(duì)應(yīng)于第一事件的多個(gè)觀察,所述第一事件包括在對(duì)賬戶(hù)的電子訪問(wèn)期間在所述賬戶(hù)中執(zhí)行的動(dòng)作����;生成所述觀察與所述賬戶(hù)的所有者的導(dǎo)出參數(shù)之間的概率關(guān)系;自動(dòng)生成包括所述概率關(guān)系的賬戶(hù)模型�;以及使用所述賬戶(hù)模型來(lái)估計(jì)所述所有者在第二事件期間的動(dòng)作,其中�����,所述第二事件在時(shí)間上跟隨所述第一事件��。
41.一種方法�,包括自動(dòng)生成對(duì)應(yīng)于用戶(hù)的因果模型,所述生成包括使用在所述用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的先前事件的事件參數(shù)來(lái)估計(jì)所述因果模型的多個(gè)組分�����;使用所述因果模型預(yù)測(cè)所述用戶(hù)在所述賬戶(hù)中的下一事件期間的預(yù)期行為,其中����,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述下一事件的預(yù)測(cè)事件參數(shù);接收所述下一事件的觀察事件參數(shù)��;以及更新用在未來(lái)事件中的所述因果模型�����,所述更新包括基于所述預(yù)期事件參數(shù)與觀察事件參數(shù)之間的關(guān)系重新生成所述多個(gè)組分�����。
42.一種系統(tǒng)�����,包括執(zhí)行至少一個(gè)應(yīng)用的處理器�,所述應(yīng)用接收在用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的第一組事件的事件參數(shù),所述應(yīng)用通過(guò)使用所述第一組事件的所述事件參數(shù)估計(jì)因果模型的多個(gè)組分來(lái)自動(dòng)生成對(duì)應(yīng)于用戶(hù)的所述因果模型��,所述應(yīng)用使用所述因果模型來(lái)輸出對(duì)所述用戶(hù)在第二組事件期間的預(yù)期行為的預(yù)測(cè)��。
43.根據(jù)權(quán)利要求42所述的系統(tǒng)�,其中���,自動(dòng)生成所述因果模型包括生成所述多個(gè)組分中的組分之間的統(tǒng)計(jì)關(guān)系。
44.根據(jù)權(quán)利要求42所述的系統(tǒng)��,其中�����,自動(dòng)生成所述因果模型包括生成包括所述多個(gè)組分的聯(lián)合概率分布�����。
45.根據(jù)權(quán)利要求44所述的系統(tǒng)���,其中,所述多個(gè)組分包括表示所述事件參數(shù)的多個(gè)概率分布函數(shù)�。
46.根據(jù)權(quán)利要求45所述的系統(tǒng),其中����,所述事件參數(shù)是在所述第一組事件期間所收集的可觀察參數(shù)。
47.根據(jù)權(quán)利要求46所述的系統(tǒng)��,其中��,所述事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)。
48.根據(jù)權(quán)利要求47所述的系統(tǒng)����,其中,所述IP數(shù)據(jù)包括IP地址��、IP地址國(guó)家���、IP地址城市����、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)���。
49.根據(jù)權(quán)利要求47所述的系統(tǒng)��,其中���,所述HTTP數(shù)據(jù)包括操作系統(tǒng)、用戶(hù)代理字符串���、來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器的數(shù)據(jù)中的一個(gè)或多個(gè)���。
50.根據(jù)權(quán)利要求42所述的系統(tǒng)��,其中�����,自動(dòng)生成所述因果模型包括生成所述事件參數(shù)與導(dǎo)出參數(shù)之間的統(tǒng)計(jì)關(guān)系�。
51.根據(jù)權(quán)利要求50所述的系統(tǒng)��,其中���,所述導(dǎo)出參數(shù)包括裝置發(fā)起所述第二組事件的地理區(qū)域、所述裝置的位置���、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)��。
52.根據(jù)權(quán)利要求42所述的系統(tǒng)��,其中��,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述第二組事件的預(yù)期事件參數(shù)���。
53.根據(jù)權(quán)利要求52所述的系統(tǒng),其中,生成所述預(yù)期事件參數(shù)包括生成表示所述預(yù)期事件參數(shù)的第一組預(yù)測(cè)概率分布��,其中����,生成所述第一組預(yù)測(cè)概率分布假設(shè)所述用戶(hù)正進(jìn)行所述第二組事件。
54.根據(jù)權(quán)利要求53所述的系統(tǒng)�,包括接收預(yù)測(cè)欺詐模型;以及生成表示預(yù)期欺詐事件參數(shù)的第二組預(yù)測(cè)概率分布��,其中�,生成所述第二組預(yù)測(cè)概率分布假設(shè)欺詐者正在進(jìn)行所述第二組事件,其中�����,所述欺詐者是除了所述用戶(hù)外的任何人��。
55.根據(jù)權(quán)利要求M所述的系統(tǒng)���,包括使用所述預(yù)期事件參數(shù)和所述預(yù)期欺詐事件參數(shù)以及所述觀察參數(shù)來(lái)實(shí)時(shí)生成所述第二組事件中的事件的風(fēng)險(xiǎn)分?jǐn)?shù)��。
56.根據(jù)權(quán)利要求42所述的系統(tǒng)�����,包括當(dāng)所述預(yù)期行為表明除了所述用戶(hù)外的人正在進(jìn)行所述事件時(shí)���,生成與所述第二組事件中的事件相對(duì)應(yīng)的警報(bào)�。
57.根據(jù)權(quán)利要求42所述的系統(tǒng)���,包括使用在所述第二組事件期間收集的第二組事件參數(shù)����,來(lái)自動(dòng)更新所述因果模型���。
58.根據(jù)權(quán)利要求57所述的系統(tǒng)����,其中��,自動(dòng)更新所述因果模型包括更新表示所述事件參數(shù)的多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù),所述更新通過(guò)考慮所述第二組事件參數(shù)的數(shù)據(jù)來(lái)修改所述多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)。
59.根據(jù)權(quán)利要求57所述的系統(tǒng)�����,包括 針對(duì)所述第一組事件中的每個(gè)所述事件參數(shù)�����,生成概率分布函數(shù);以及通過(guò)將所述第二組事件的第二組事件參數(shù)的數(shù)據(jù)應(yīng)用于所述概率分布函數(shù)�����,來(lái)針對(duì)每個(gè)所述事件參數(shù)生成更新后的概率分布函數(shù)���。
60.根據(jù)權(quán)利要求42所述的系統(tǒng)����,其中���,所述第一組事件和所述第二組事件包括在線(xiàn)事件���、離線(xiàn)事件和多渠道事件中的至少一個(gè)。
61.根據(jù)權(quán)利要求60所述的系統(tǒng)���,其中�,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)而承辦的事件�����。
62.根據(jù)權(quán)利要求42所述的系統(tǒng),其中�,事件包括登錄事件。
63.根據(jù)權(quán)利要求42所述的系統(tǒng)����,其中,事件包括活動(dòng)事件���。
64.根據(jù)權(quán)利要求42所述的系統(tǒng)���,其中,一組事件包括會(huì)話(huà)�,其中,所述會(huì)話(huà)是一系列相關(guān)事件���。
65.根據(jù)權(quán)利要求42所述的系統(tǒng)���,包括概率地確定所述第二組事件由所述用戶(hù)進(jìn)行過(guò)�;使用在所述第二組事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型。
66.根據(jù)權(quán)利要求65所述的系統(tǒng)���,包括將所述因果模型更新為包括信任因子���,所述信任因子表示所述第二組事件實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的概率�。
67.根據(jù)權(quán)利要求65所述的系統(tǒng)���,包括將所述因果模型更新為包括累積信任因子���,所述累積信任因子表示多組事件中的事件參數(shù)實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的跨越所述多組事件的累積概率。
68.根據(jù)權(quán)利要求42所述的系統(tǒng)��,其中�����,自動(dòng)生成所述因果模型包括生成包括衰減參數(shù)的所述因果模型�����。
69.根據(jù)權(quán)利要求68所述的系統(tǒng)�����,其中�����,所述衰減參數(shù)包括指數(shù)衰減函數(shù),通過(guò)所述指數(shù)衰減函數(shù)所述賬戶(hù)中的一組事件中的每個(gè)事件的相對(duì)權(quán)重隨著從該事件起經(jīng)過(guò)的時(shí)間而改變��。
70.一種系統(tǒng)�����,包括執(zhí)行至少一個(gè)應(yīng)用的處理器��,所述應(yīng)用接收在用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的第一組事件的事件參數(shù)���,所述應(yīng)用自動(dòng)生成對(duì)應(yīng)于所述用戶(hù)的賬戶(hù)模型�,所述賬戶(hù)模型包括多個(gè)組分����,其中,生成所述賬戶(hù)模型包括使用所述第一組事件的事件參數(shù)來(lái)生成所述多個(gè)組分�����,所述應(yīng)用使用所述賬戶(hù)模型來(lái)預(yù)測(cè)所述用戶(hù)在第二組事件期間的預(yù)期行為�����,所述應(yīng)用生成用在一組未來(lái)事件中的所述賬戶(hù)模型的更新版本�,所述更新包括使用所述第二組事件重新生成所述多個(gè)組分。
71.一種方法�����,包括自動(dòng)生成對(duì)應(yīng)于用戶(hù)的因果模型�����,所述生成包括使用在所述用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的先前事件的事件參數(shù)來(lái)估計(jì)所述因果模型的多個(gè)組分��;使用所述因果模型來(lái)預(yù)測(cè)所述用戶(hù)在所述賬戶(hù)中的下一事件期間的預(yù)期行為�,其中, 預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述下一事件的預(yù)期事件參數(shù)���;使用預(yù)測(cè)欺詐模型���,生成欺詐事件參數(shù),其中�����,生成所述欺詐事件參數(shù)假設(shè)欺詐者正在進(jìn)行所述下一事件�����,其中,所述欺詐者是除所述用戶(hù)之外的任何人���;以及使用所述預(yù)期事件參數(shù)和所述欺詐事件參數(shù)來(lái)生成所述下一事件的風(fēng)險(xiǎn)分?jǐn)?shù)���,所述風(fēng)險(xiǎn)分?jǐn)?shù)表示由所述用戶(hù)執(zhí)行未來(lái)事件與由所述欺詐者執(zhí)行未來(lái)事件的相對(duì)似然。
72.根據(jù)權(quán)利要求71所述的方法�,包括通過(guò)使用在多個(gè)賬戶(hù)中所承辦的先前欺詐事件的所述欺詐事件參數(shù)而估計(jì)所述預(yù)測(cè)欺詐模型的多個(gè)欺詐組分,來(lái)自動(dòng)生成所述預(yù)測(cè)欺詐模型���,其中��,所述先前欺詐事件是由于曾由所述欺詐者進(jìn)行而被懷疑的事件��。
73.根據(jù)權(quán)利要求72所述的方法��,其中�,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述多個(gè)欺詐組分中的欺詐組分之間的統(tǒng)計(jì)關(guān)系��。
74.根據(jù)權(quán)利要求72所述的方法�,其中,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成包括所述多個(gè)欺詐組分的聯(lián)合概率分布�。
75.根據(jù)權(quán)利要求74所述的方法,其中,所述多個(gè)欺詐組分包括表示所述欺詐事件參數(shù)的多個(gè)欺詐概率分布函數(shù)��。
76.根據(jù)權(quán)利要求75所述的方法��,其中�,所述欺詐事件參數(shù)是在所述先前欺詐事件期間所收集的可觀察欺詐參數(shù)�����。
77.權(quán)利要求71所述的方法�����,其中�,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述欺詐事件參數(shù)與導(dǎo)出欺詐參數(shù)之間的統(tǒng)計(jì)關(guān)系。
78.根據(jù)權(quán)利要求77所述的方法��,其中�,所述導(dǎo)出欺詐參數(shù)包括所述裝置的位置、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)����。
79.根據(jù)權(quán)利要求71所述的方法,包括生成所述預(yù)測(cè)欺詐模型�����。
80.根據(jù)權(quán)利要求79所述的方法,其中���,生成所述預(yù)測(cè)欺詐模型包括生成原始欺詐模型�,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他信息����。
81.根據(jù)權(quán)利要求79所述的方法,其中�,生成所述預(yù)測(cè)欺詐模型包括生成所述原始欺詐模型和假冒模型的概率組合。
82.根據(jù)權(quán)利要求81所述的方法�,包括生成原始欺詐模型,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他信息���。
83.根據(jù)權(quán)利要求81所述的方法�,其中��,生成所述預(yù)測(cè)欺詐模型包括生成包括假冒概率的所述預(yù)測(cè)欺詐模型��,其中�,所述假冒概率是所述欺詐者成功地假冒由所述用戶(hù)承辦的一組事件的事件參數(shù)的參數(shù)值的概率。
84.根據(jù)權(quán)利要求81所述的方法���,其中�,所述假冒模型包括所述欺詐者模仿由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率。
85.根據(jù)權(quán)利要求81所述的方法��,其中�����,所述假冒模型包括所述欺詐者觀察由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率��。
86.根據(jù)權(quán)利要求81所述的方法�,包括識(shí)別至少一個(gè)先前欺詐事件����,先前欺詐事件包括在所述賬戶(hù)中可能由所述欺詐者引起的先前事件;通過(guò)使用在所述賬戶(hù)中所承辦的至少一個(gè)先前欺詐事件的事件參數(shù)估計(jì)所述欺詐模型的多個(gè)組分��,來(lái)生成所述原始欺詐模型��,所述至少一個(gè)先前欺詐事件可能由所述欺詐者進(jìn)行���。
87.根據(jù)權(quán)利要求86所述的方法�����,包括基于可能由所述欺詐者進(jìn)行的至少一個(gè)先前事件來(lái)修改所述預(yù)測(cè)欺詐模型�。
88.根據(jù)權(quán)利要求86所述的方法,包括生成包括可能由所述欺詐者進(jìn)行至少一個(gè)先前事件的欺詐同現(xiàn)系數(shù)的所述預(yù)測(cè)欺詐模型��。
89.根據(jù)權(quán)利要求88所述的方法���,其中��,所述欺詐同現(xiàn)系數(shù)表示從可能由所述欺詐者進(jìn)行的所述至少一個(gè)先前事件遞歸導(dǎo)出的累積不信任�。
90.根據(jù)權(quán)利要求88所述的方法����,其中,所述欺詐同現(xiàn)系數(shù)包括表示可能由所述欺詐者進(jìn)行的多個(gè)先前事件的影響的系數(shù)����。
91.根據(jù)權(quán)利要求71所述的方法,其中�,自動(dòng)生成所述因果模型包括生成所述多個(gè)組分中的組分之間的統(tǒng)計(jì)關(guān)系。
92.根據(jù)權(quán)利要求71所述的方法�,其中,自動(dòng)生成所述因果模型包括生成包括所述多個(gè)組分的聯(lián)合概率分布���。
93.根據(jù)權(quán)利要求92所述的方法���,其中����,所述多個(gè)組分包括表示所述先前事件的事件參數(shù)的多個(gè)概率分布函數(shù)���。
94.根據(jù)權(quán)利要求93所述的方法��,其中��,所述事件參數(shù)是在所述先前事件期間所收集的可觀察參數(shù)�����。
95.根據(jù)權(quán)利要求94所述的方法,其中�,所述事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)。
96.根據(jù)權(quán)利要求95所述的方法���,其中����,所述IP數(shù)據(jù)包括IP地址���、IP地址國(guó)家�、IP地址城市、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)���。
97.根據(jù)權(quán)利要求95所述的方法��,其中���,所述HTTP數(shù)據(jù)包括操作系統(tǒng)、用戶(hù)代理字符串�、來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器的數(shù)據(jù)中的一個(gè)或多個(gè)。
98.根據(jù)權(quán)利要求71所述的方法�����,其中�,自動(dòng)生成所述因果模型包括生成所述事件參數(shù)與導(dǎo)出參數(shù)之間的統(tǒng)計(jì)關(guān)系。
99.根據(jù)權(quán)利要求98所述的方法�����,其中���,所述導(dǎo)出參數(shù)包括裝置正在發(fā)起所述下一事件的地理區(qū)域����、所述裝置的位置、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)���。
100.根據(jù)權(quán)利要求71所述的方法�����,其中���,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述下一事件的預(yù)期事件參數(shù)。
101.根據(jù)權(quán)利要求100所述的方法�����,其中�����,生成所述預(yù)期事件參數(shù)包括生成表示所述預(yù)期事件參數(shù)的第一組預(yù)期概率分布�����,其中�����,生成所述第一組預(yù)期概率分布假設(shè)所述用戶(hù)正進(jìn)行所述下一事件����。
102.根據(jù)權(quán)利要求71所述的方法,包括當(dāng)所述風(fēng)險(xiǎn)分?jǐn)?shù)表示除了所述用戶(hù)外的人正在進(jìn)行所述下一事件時(shí)�����,生成對(duì)應(yīng)于所述下一事件的警報(bào)����。
103.根據(jù)權(quán)利要求71所述的方法,包括使用在所述下一事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型����。
104.根據(jù)權(quán)利要求103所述的方法,其中����,所述第二組事件參數(shù)是在所述下一事件期間所收集的可觀察參數(shù)。
105.根據(jù)權(quán)利要求103所述的方法��,其中,自動(dòng)更新所述因果模型包括更新包括所述多個(gè)組分的聯(lián)合概率分布�。
106.根據(jù)權(quán)利要求103所述的方法,其中��,自動(dòng)更新所述因果模型包括更新所述多個(gè)組分中的至少一個(gè)組分�����。
107.根據(jù)權(quán)利要求103所述的方法�,其中,自動(dòng)更新所述因果模型包括更新表示所述事件參數(shù)的多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)���,所述更新通過(guò)考慮所述第二組事件參數(shù)的數(shù)據(jù)來(lái)修改所述多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)��。
108.根據(jù)權(quán)利要求103所述的方法�����,包括針對(duì)所述先前事件的每個(gè)所述事件參數(shù)�,生成概率分布函數(shù)���;以及通過(guò)將所述下一事件的第二組事件參數(shù)的數(shù)據(jù)應(yīng)用于所述概率分布函數(shù),來(lái)針對(duì)每個(gè)所述事件參數(shù)生成更新后的概率分布函數(shù)���。
109.根據(jù)權(quán)利要求108所述的方法��,包括接收對(duì)應(yīng)于所述用戶(hù)的基線(xiàn)因果模型�,所述基線(xiàn)因果模型是在沒(méi)有使用任何事件的數(shù)據(jù)的情況下生成的;以及通過(guò)生成包括所述多個(gè)組分的聯(lián)合概率分布來(lái)生成所述因果模型����,其中,所述多個(gè)組分包括對(duì)于在所述因果模型中表示的任何事件參數(shù)的所述更新后的概率分布函數(shù)����。
110.根據(jù)權(quán)利要求71所述的方法,其中�,所述先前事件和所述下一事件包括在線(xiàn)事件、離線(xiàn)事件和多渠道事件中的至少一個(gè)���。
111.根據(jù)權(quán)利要求110所述的方法����,其中����,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)所承辦的事件。
112.根據(jù)權(quán)利要求71所述的方法�����,其中,事件包括登錄事件��。
113.根據(jù)權(quán)利要求71所述的方法�����,其中�,事件包括活動(dòng)事件。
114.根據(jù)權(quán)利要求71所述的方法�,包括概率地確定所述下一事件由所述用戶(hù)進(jìn)行過(guò);使用在所述下一事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型�。
115.根據(jù)權(quán)利要求114所述的方法,包括將所述因果模型更新為包括信任因子����,所述信任因子表示所述下一事件實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的概率。
116.根據(jù)權(quán)利要求114所述的方法�,包括將所述因果模型更新為包括累積信任因子, 所述累積信任因子表示在多個(gè)事件中的事件參數(shù)實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的跨越所述多個(gè)事件的累積概率�����。
117.根據(jù)權(quán)利要求71所述的方法�,其中�����,自動(dòng)生成所述因果模型包括生成包括衰減參數(shù)的所述因果模型。
118.根據(jù)權(quán)利要求117所述的方法��,其中���,所述衰減參數(shù)包括指數(shù)衰減函數(shù)����,通過(guò)所述指數(shù)衰減函數(shù)所述賬戶(hù)中的每個(gè)事件的相對(duì)權(quán)重隨著自所述事件起經(jīng)過(guò)的時(shí)間而變化�����。
119.一種方法�����,包括自動(dòng)生成對(duì)應(yīng)于用戶(hù)的賬戶(hù)模型����,所述賬戶(hù)模型的所述生成使用在所述用戶(hù)的賬戶(hù)中由所述用戶(hù)執(zhí)行的先前事件的事件參數(shù)來(lái)生成在所述賬戶(hù)中的下一事件的所述事件參數(shù)的預(yù)測(cè)分布,其中��,所述賬戶(hù)模型包括所述事件參數(shù)的所述預(yù)測(cè)分布; 當(dāng)所述下一事件發(fā)生時(shí)�����,接收所述下一事件的觀察事件參數(shù)��; 使用所述賬戶(hù)模型來(lái)生成第一概率��,其中�����,所述第一概率是假設(shè)所述用戶(hù)正進(jìn)行所述下一事件來(lái)觀察所述觀察事件參數(shù)的概率����;使用欺詐模型來(lái)生成第二概率,其中�,所述第二概率是假設(shè)欺詐者正進(jìn)行所述下一事件來(lái)觀察所述觀察事件參數(shù)的概率,其中���,所述欺詐者是除了所述用戶(hù)外的人����;以及使用所述第一概率和所述第二概率來(lái)生成風(fēng)險(xiǎn)分?jǐn)?shù)�����,所述風(fēng)險(xiǎn)分?jǐn)?shù)表示所述下一事件由所述用戶(hù)執(zhí)行與所述下一事件由所述欺詐者執(zhí)行的相對(duì)似然。
120.—種方法�,包括生成第一事件的觀察和賬戶(hù)的所有者的導(dǎo)出參數(shù)之間的概率關(guān)系; 自動(dòng)生成包括所述概率關(guān)系的賬戶(hù)模型��; 使用第二事件的觀察來(lái)動(dòng)態(tài)更新所述賬戶(hù)模型���;以及使用所述賬戶(hù)模型來(lái)預(yù)測(cè)在第三事件期間是所述所有者還是欺詐者正維持所述第三事件,其中���,事件包括在對(duì)所述賬戶(hù)的電子訪問(wèn)期間在所述賬戶(hù)中采取的動(dòng)作��。
121.—種系統(tǒng)�,包括用于執(zhí)行至少一個(gè)應(yīng)用的處理器����,所述應(yīng)用自動(dòng)生成對(duì)應(yīng)于用戶(hù)的預(yù)測(cè)用戶(hù)模型,其中��,所述預(yù)測(cè)用戶(hù)模型包括表示在所述用戶(hù)的賬戶(hù)中的第一事件期間所觀察的事件參數(shù)的多個(gè)概率分布��,所述應(yīng)用使用所述預(yù)測(cè)用戶(hù)模型來(lái)生成預(yù)測(cè)事件參數(shù)�,期望在所述賬戶(hù)中的第二事件期間觀察所述預(yù)測(cè)事件參數(shù)��,所述第二事件跟隨所述第一事件�����,所述應(yīng)用將所述第二事件的實(shí)際事件參數(shù)與在所述第二事件期間的所述預(yù)測(cè)事件參數(shù)進(jìn)行比較并且在所述實(shí)際事件參數(shù)看來(lái)是由除了所述用戶(hù)外的人發(fā)起時(shí)生成對(duì)應(yīng)于所述第二事件的警報(bào)��。
122.—種系統(tǒng)����,包括用于執(zhí)行至少一個(gè)應(yīng)用的處理器���,所述應(yīng)用通過(guò)使用在用戶(hù)的賬戶(hù)中由所述用戶(hù)承辦的先前事件的事件參數(shù)而估計(jì)因果模型的多個(gè)組分�����,來(lái)自動(dòng)生成對(duì)應(yīng)于所述用戶(hù)的所述因果模型���,所述應(yīng)用使用所述因果模型預(yù)測(cè)所述用戶(hù)在所述賬戶(hù)中的下一事件期間的預(yù)期行為,其中���,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述下一事件的預(yù)期事件參數(shù)���,所述應(yīng)用使用預(yù)期欺詐模型�����,生成欺詐事件參數(shù)���,其中,生成所述欺詐事件參數(shù)假設(shè)欺詐者正進(jìn)行所述下一事件����,其中����,所述欺詐者是除了所述用戶(hù)外的任何人,所述應(yīng)用使用所述預(yù)期事件參數(shù)和所述欺詐事件參數(shù)來(lái)生成所述下一事件的風(fēng)險(xiǎn)分?jǐn)?shù)���,所述風(fēng)險(xiǎn)分?jǐn)?shù)表示未來(lái)事件由所述用戶(hù)執(zhí)行與所述未來(lái)事件由所述欺詐者執(zhí)行的相對(duì)似然�。
123.根據(jù)權(quán)利要求122所述的系統(tǒng)�,包括通過(guò)使用在多個(gè)賬戶(hù)中承辦的先前欺詐事件的所述欺詐事件參數(shù)估計(jì)所述預(yù)期欺詐模型的多個(gè)欺詐組分,來(lái)自動(dòng)生成所述預(yù)測(cè)欺詐模型����,其中,所述先前欺詐事件是由于曾由所述欺詐者進(jìn)行而被懷疑的事件���。
124.根據(jù)權(quán)利要求123所述的系統(tǒng)�,其中,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述多個(gè)欺詐組分中的欺詐組分之間的統(tǒng)計(jì)關(guān)系�����。
125.根據(jù)權(quán)利要求123所述的系統(tǒng)����,其中,自動(dòng)生成所述預(yù)期欺詐模型包括生成包括所述多個(gè)欺詐組分的聯(lián)合概率分布�����。
126.根據(jù)權(quán)利要求125所述的系統(tǒng)�����,其中�����,所述多個(gè)欺詐組分包括表示所述欺詐事件參數(shù)的多個(gè)欺詐概率分布函數(shù)�,其中,所述欺詐事件參數(shù)是在所述先前欺詐事件期間所收集的可觀察欺詐參數(shù)。
127.根據(jù)權(quán)利要求122所述的系統(tǒng)�,其中,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述欺詐事件參數(shù)與導(dǎo)出欺詐參數(shù)之間的統(tǒng)計(jì)關(guān)系��。
128.根據(jù)權(quán)利要求127所述的系統(tǒng)��,其中�,所述導(dǎo)出欺詐參數(shù)包括所述裝置的位置、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)���。
129.根據(jù)權(quán)利要求122所述的系統(tǒng)���,包括生成所述預(yù)測(cè)欺詐模型。
130.根據(jù)權(quán)利要求1 所述的系統(tǒng)�����,其中�����,生成所述預(yù)測(cè)欺詐模型包括生成原始欺詐模型���,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他信息。
131.根據(jù)權(quán)利要求1 所述的系統(tǒng),其中��,生成所述預(yù)測(cè)欺詐模型包括生成所述原始欺詐模型和假冒模型的概率組合�����。
132.根據(jù)權(quán)利要求131所述的系統(tǒng)�,包括生成所述原始欺詐模型,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他 fn息ο
133.根據(jù)權(quán)利要求131所述的系統(tǒng)�����,其中����,生成所述預(yù)測(cè)欺詐模型包括生成包括假冒概率的所述預(yù)測(cè)欺詐模型,其中����,所述假冒概率是所述欺詐者成功地假冒由所述用戶(hù)承辦的一組事件的事件參數(shù)的參數(shù)值的概率。
134.根據(jù)權(quán)利要求131所述的系統(tǒng)����,其中,所述假冒模型包括所述欺詐者模仿由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率�����。
135.根據(jù)權(quán)利要求131所述的系統(tǒng),其中�,所述假冒模型包括所述欺詐者觀察由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率。
136.根據(jù)權(quán)利要求131所述的系統(tǒng)����,包括識(shí)別至少一個(gè)先前欺詐事件,先前欺詐事件包括在所述賬戶(hù)中可能由所述欺詐者引起的先前事件�����;通過(guò)使用在所述賬戶(hù)中所承辦的至少一個(gè)先前欺詐事件的事件參數(shù)而估計(jì)所述欺詐模型的多個(gè)組分����,來(lái)生成所述原始欺詐模型,所述至少一個(gè)先前欺詐事件可能由所述欺詐者進(jìn)行��。
137.根據(jù)權(quán)利要求136所述的系統(tǒng)�����,包括基于可能由所述欺詐者進(jìn)行的至少一個(gè)先前事件來(lái)修改所述預(yù)測(cè)欺詐模型��。
138.根據(jù)權(quán)利要求136所述的系統(tǒng)��,包括生成包括可能由所述欺詐者進(jìn)行至少一個(gè)先前事件的欺詐同現(xiàn)系數(shù)的所述預(yù)測(cè)欺詐模型����。
139.根據(jù)權(quán)利要求138所述的系統(tǒng),其中��,所述欺詐同現(xiàn)系數(shù)表示從可能由所述欺詐者進(jìn)行的所述至少一個(gè)先前事件遞歸導(dǎo)出的累積不信任���。
140.根據(jù)權(quán)利要求138所述的系統(tǒng)�,其中�,所述欺詐同現(xiàn)系數(shù)包括表示可能由所述欺詐者進(jìn)行的多個(gè)先前事件的影響的系數(shù)。
141.根據(jù)權(quán)利要求122所述的系統(tǒng)��,其中���,自動(dòng)生成所述因果模型包括生成包括所述多個(gè)組分的聯(lián)合概率分布����。
142.根據(jù)權(quán)利要求141所述的系統(tǒng)�����,其中����,所述多個(gè)組分包括表示所述先前事件的事件參數(shù)的多個(gè)概率分布函數(shù)���。
143.根據(jù)權(quán)利要求142所述的系統(tǒng),其中�,所述先前事件的事件參數(shù)是在所述先前事件期間所收集的可觀察參數(shù)。
144.根據(jù)權(quán)利要求143所述的系統(tǒng)��,其中�,所述先前事件的事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議 (IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)。
145.根據(jù)權(quán)利要求144所述的系統(tǒng)��,其中�����,所述IP數(shù)據(jù)包括IP地址����、IP地址國(guó)家、IP 地址城市���、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)。
146.根據(jù)權(quán)利要求144所述的系統(tǒng)�,其中�����,所述HTTP數(shù)據(jù)包括操作系統(tǒng)�、用戶(hù)代理字符串�����、來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器的數(shù)據(jù)中的一個(gè)或多個(gè)���。
147.根據(jù)權(quán)利要求122所述的系統(tǒng)����,其中����,自動(dòng)生成所述因果模型包括生成所述事件參數(shù)與導(dǎo)出參數(shù)之間的統(tǒng)計(jì)關(guān)系。
148.根據(jù)權(quán)利要求147所述的系統(tǒng)����,其中,所述導(dǎo)出參數(shù)包括裝置正在發(fā)起所述下一事件的地理區(qū)域����、所述裝置的位置���、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)。
149.根據(jù)權(quán)利要求122所述的系統(tǒng)�,預(yù)測(cè)所述用戶(hù)的所述預(yù)期行為包括生成所述下一事件的預(yù)期事件參數(shù),其中�����,生成所述預(yù)期事件參數(shù)包括生成表示所述預(yù)期事件參數(shù)的第一組預(yù)測(cè)概率分布���,其中���,生成所述第一組預(yù)測(cè)概率分布假設(shè)所述用戶(hù)正進(jìn)行所述下一事件。
150.根據(jù)權(quán)利要求122所述的系統(tǒng)�,包括當(dāng)所述預(yù)期行為表明除了所述用戶(hù)外的人正進(jìn)行所述下一事件時(shí),生成對(duì)應(yīng)于所述下一事件的警報(bào)����。
151.根據(jù)權(quán)利要求122所述的系統(tǒng),包括使用在所述下一事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型��,其中�,所述第二組事件參數(shù)是在下一事件期間所收集的可觀察參數(shù)。
152.根據(jù)權(quán)利要求151所述的系統(tǒng)���,其中�����,自動(dòng)更新所述因果模型包括更新表示所述事件參數(shù)的多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)��,所述更新通過(guò)考慮所述第二組事件參數(shù)的數(shù)據(jù)來(lái)修改所述多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)�����。
153.根據(jù)權(quán)利要求122所述的系統(tǒng)����,其中�����,所述先前事件和所述下一事件包括在線(xiàn)事件�、離線(xiàn)事件和多渠道事件中的至少一個(gè),其中�,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)而承辦的事件。
154.根據(jù)權(quán)利要求122所述的系統(tǒng)���,其中�����,事件包括登錄事件和活動(dòng)事件中的至少一個(gè)���。
155.根據(jù)權(quán)利要求122所述的系統(tǒng)����,包括概率地確定所述下一事件由所述用戶(hù)進(jìn)行過(guò)�����;使用在所述下一事件期間所收集的第二組事件參數(shù)來(lái)自動(dòng)更新所述因果模型�。
156.根據(jù)權(quán)利要求155所述的系統(tǒng),包括將所述因果模型更新為包括信任因子��,所述信任因子表示所述下一事件實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的概率�。
157.根據(jù)權(quán)利要求155所述的系統(tǒng),包括將所述因果模型更新為包括累積信任因子�, 所述累積信任因子表示在多個(gè)事件中的事件參數(shù)實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的跨越所述多個(gè)事件的累積概率。
158.根據(jù)權(quán)利要求122所述的系統(tǒng)����,其中,自動(dòng)生成所述因果模型包括生成包括衰減參數(shù)的所述因果模型,其中����,所述衰減參數(shù)包括指數(shù)衰減函數(shù),通過(guò)所述指數(shù)衰減函數(shù)所述賬戶(hù)中的每個(gè)事件的相對(duì)權(quán)重隨著自所述事件起經(jīng)過(guò)的時(shí)間而變化���。
159.—種系統(tǒng),包括在處理器上運(yùn)行并耦合至包括賬戶(hù)的金融系統(tǒng)的風(fēng)險(xiǎn)引擎���,所述風(fēng)險(xiǎn)引擎生成與用戶(hù)和在所述賬戶(hù)中進(jìn)行的事件相對(duì)應(yīng)的賬戶(hù)模型���,所述賬戶(hù)模型的所述生成使用在所述賬戶(hù)中由所述用戶(hù)執(zhí)行的先前事件的事件參數(shù),來(lái)生成在所述賬戶(hù)中的下一事件的所述事件參數(shù)的預(yù)測(cè)分布�,所述風(fēng)險(xiǎn)引擎在所述下一事件發(fā)生時(shí)接收所述下一事件的事件參數(shù),所述風(fēng)險(xiǎn)引擎使用所述賬戶(hù)模型來(lái)生成第一概率��,其中���,所述第一概率是假設(shè)所述用戶(hù)正進(jìn)行所述下一事件來(lái)觀察所述事件參數(shù)的概率���,所述風(fēng)險(xiǎn)引擎使用欺詐模型來(lái)生成第二概率, 其中�����,所述第二概率是假設(shè)所述欺詐者正進(jìn)行所述下一事件來(lái)觀察所述事件參數(shù)的概率, 其中���,所述欺詐者是除了所述用戶(hù)外的人�����,其中�,在所述賬戶(hù)中所進(jìn)行的事件包括所述先前事件和所述下一事件�,所述風(fēng)險(xiǎn)引擎使用所述第一概率和所述第二概率來(lái)生成風(fēng)險(xiǎn)分?jǐn)?shù), 所述風(fēng)險(xiǎn)分?jǐn)?shù)表示所述下一事件由所述用戶(hù)執(zhí)行與所述下一事件由所述欺詐者執(zhí)行的相對(duì)似然�����;以及在所述處理器上運(yùn)行的風(fēng)險(xiǎn)應(yīng)用��,所述風(fēng)險(xiǎn)應(yīng)用包括分析用戶(hù)接口(AUI)����,所述AUI針對(duì)所述賬戶(hù)中的任意事件顯示所述風(fēng)險(xiǎn)分?jǐn)?shù)和所述事件參數(shù)中的至少一個(gè)。
160.根據(jù)權(quán)利要求159所述的系統(tǒng)����,其中�����,所述AUI包括表示按時(shí)間排序的一系列事件的橫軸����。
161.根據(jù)權(quán)利要求160所述的系統(tǒng)���,其中�,所述AUI包括表示所述事件參數(shù)的縱軸���。
162.根據(jù)權(quán)利要求161所述的系統(tǒng),其中��,所述事件參數(shù)包括互聯(lián)網(wǎng)協(xié)議(IP)數(shù)據(jù)和超文本傳輸協(xié)議(HTTP)數(shù)據(jù)中的一個(gè)或多個(gè)���。
163.根據(jù)權(quán)利要求162所述的系統(tǒng)�����,其中�����,所述IP數(shù)據(jù)包括IP地址�����、IP地址國(guó)家�����、IP 地址城市�、IP網(wǎng)絡(luò)段和支持事件的互聯(lián)網(wǎng)服務(wù)提供商中的一個(gè)或多個(gè)。
164.根據(jù)權(quán)利要求162所述的系統(tǒng)�����,其中���,所述HTTP數(shù)據(jù)包括操作系統(tǒng)��、用戶(hù)代理字符串�����、來(lái)源字符串和用于事件的計(jì)算機(jī)的互聯(lián)網(wǎng)瀏覽器的數(shù)據(jù)中的一個(gè)或多個(gè)��。
165.根據(jù)權(quán)利要求161所述的系統(tǒng)�����,其中�,所述AUI包括多列,其中�,所述多列中的每列表示在所述賬戶(hù)中所進(jìn)行的事件中的至少一個(gè)事件,其中��,所述多列根據(jù)日期來(lái)排列���。
166.根據(jù)權(quán)利要求165所述的系統(tǒng)����,其中�,所述AUI包括多行���,其中���,所述多行中的一組行表示所述事件的事件參數(shù)。
167.根據(jù)權(quán)利要求165所述的系統(tǒng)���,其中����,所述AUI包括多個(gè)相交區(qū)域,每個(gè)相交區(qū)域由所述一組行中的行和列的相交而限定�,其中,所述相交區(qū)域?qū)?yīng)于所述至少一個(gè)事件的事件參數(shù)�����,其中��,所述相交區(qū)域包括將所述事件參數(shù)與所述賬戶(hù)模型的對(duì)應(yīng)概率相關(guān)的顏色編碼���。
168.根據(jù)權(quán)利要求167所述的系統(tǒng)��,其中����,所述顏色編碼表示事件參數(shù)對(duì)應(yīng)于所述用戶(hù)的相對(duì)似然比����。
169.根據(jù)權(quán)利要求165所述的系統(tǒng),其中���,所述AUI包括表示所述事件的風(fēng)險(xiǎn)的風(fēng)險(xiǎn)行�,其中,由所述風(fēng)險(xiǎn)行與列的相交限定的每個(gè)相交區(qū)域?qū)?yīng)于與所述列相對(duì)應(yīng)的至少一個(gè)事件的所述風(fēng)險(xiǎn)分?jǐn)?shù)����。
170.根據(jù)權(quán)利要求169所述的系統(tǒng),其中���,所述相交區(qū)域包括將所述風(fēng)險(xiǎn)分?jǐn)?shù)與所述至少一個(gè)事件相關(guān)的顏色編碼���。
171.根據(jù)權(quán)利要求170所述的系統(tǒng),其中��,所述顏色編碼表示用戶(hù)進(jìn)行過(guò)所述至少一個(gè)事件的相對(duì)似然比�。
172.根據(jù)權(quán)利要求165所述的系統(tǒng),其中��,所述至少一個(gè)事件包括在線(xiàn)事件�����、離線(xiàn)事件和多渠道事件中的至少一個(gè)���。
173.根據(jù)權(quán)利要求172所述的系統(tǒng),其中�����,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)所承辦的事件。
174.根據(jù)權(quán)利要求165所述的系統(tǒng)�����,其中��,所述至少一個(gè)事件包括登錄事件�。
175.根據(jù)權(quán)利要求165所述的系統(tǒng),其中���,所述至少一個(gè)事件包括活動(dòng)事件�����。
176.根據(jù)權(quán)利要求165所述的系統(tǒng)�����,其中�����,所述至少一個(gè)事件包括會(huì)話(huà)���,其中����,所述會(huì)話(huà)是一系列相關(guān)事件�。
177.根據(jù)權(quán)利要求176所述的系統(tǒng),其中���,所述一系列相關(guān)事件包括會(huì)話(huà)登錄事件和終止事件���。
178.根據(jù)權(quán)利要求177所述的系統(tǒng),其中���,所述一系列相關(guān)事件包括跟隨所述登錄事件的至少一個(gè)活動(dòng)事件�。
179.根據(jù)權(quán)利要求159所述的系統(tǒng)���,其中����,生成所述賬戶(hù)模型包括生成預(yù)測(cè)分布之間的統(tǒng)計(jì)關(guān)系�����。
180.根據(jù)權(quán)利要求159所述的系統(tǒng)�,其中,生成所述賬戶(hù)模型包括生成包括所述預(yù)測(cè)分布的聯(lián)合概率分布�。
181.根據(jù)權(quán)利要求180所述的系統(tǒng),其中���,所述預(yù)測(cè)分布包括表示所述事件參數(shù)的多個(gè)概率分布函數(shù)���。
182.根據(jù)權(quán)利要求181所述的系統(tǒng),其中��,所述事件參數(shù)是在所述先前事件期間所收集的可觀察參數(shù)�����。
183.根據(jù)權(quán)利要求159所述的系統(tǒng)�,其中,生成所述賬戶(hù)模型包括生成所述事件參數(shù)與導(dǎo)出參數(shù)之間的統(tǒng)計(jì)關(guān)系��。
184.根據(jù)權(quán)利要求183所述的系統(tǒng)�,其中,所述導(dǎo)出參數(shù)包括裝置發(fā)起所述下一事件的地理區(qū)域����、所述裝置的位置�����、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)��。
185.根據(jù)權(quán)利要求159所述的系統(tǒng)�����,其中����,生成所述風(fēng)險(xiǎn)分?jǐn)?shù)包括生成所述下一事件的預(yù)期事件參數(shù)����。
186.根據(jù)權(quán)利要求185所述的系統(tǒng),其中���,生成所述預(yù)期事件參數(shù)包括生成表示所述預(yù)期事件參數(shù)的第一組預(yù)期概率分布���,其中,生成所述第一組預(yù)期概率分布假設(shè)所述用戶(hù)正進(jìn)行所述第二組事件����。
187.根據(jù)權(quán)利要求159所述的系統(tǒng)���,包括接收預(yù)測(cè)欺詐模型��;以及生成表示預(yù)期欺詐事件參數(shù)的第二組預(yù)期概率分布�,其中,生成所述第二組預(yù)期概率分布假設(shè)欺詐者正進(jìn)行所述下一事件�����。
188.根據(jù)權(quán)利要求187所述的系統(tǒng)�����,包括通過(guò)使用在多個(gè)賬戶(hù)中所承辦的先前欺詐事件的欺詐事件參數(shù)而估計(jì)所述預(yù)測(cè)欺詐模型的多個(gè)欺詐組分����,來(lái)自動(dòng)生成所述預(yù)期欺詐模型,其中����,所述先前欺詐事件是由于曾由所述欺詐者進(jìn)行而被懷疑的事件。
189.根據(jù)權(quán)利要求188所述的系統(tǒng)�����,其中,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述多個(gè)欺詐組分中的欺詐組分之間的統(tǒng)計(jì)關(guān)系���。
190.根據(jù)權(quán)利要求188所述的系統(tǒng)�����,其中�,自動(dòng)生成所述預(yù)測(cè)欺詐模型包括生成所述欺詐事件參數(shù)和導(dǎo)出欺詐參數(shù)之間的統(tǒng)計(jì)關(guān)系��。
191.根據(jù)權(quán)利要求190所述的系統(tǒng)�,所述導(dǎo)出欺詐參數(shù)包括所述裝置的位置、所述裝置的標(biāo)識(shí)和所述裝置的電子服務(wù)提供商中的一個(gè)或多個(gè)����。
192.根據(jù)權(quán)利要求187所述的系統(tǒng),包括生成所述預(yù)測(cè)欺詐模型��。
193.根據(jù)權(quán)利要求192所述的系統(tǒng)���,其中���,生成所述預(yù)測(cè)欺詐模型包括生成原始欺詐模型���,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他信息。
194.根據(jù)權(quán)利要求192所述的系統(tǒng)��,其中����,生成所述預(yù)測(cè)欺詐模型包括生成所述原始欺詐模型和假冒模型的概率組合�����。
195.根據(jù)權(quán)利要求194所述的系統(tǒng)�,包括生成所述原始欺詐模型,所述原始欺詐模型包括假定事件由所述欺詐者引起來(lái)觀察所述事件的概率且沒(méi)有關(guān)于所述事件的任何其他信息��。
196.根據(jù)權(quán)利要求194所述的系統(tǒng)��,其中�����,生成所述預(yù)測(cè)欺詐模型包括生成包括假冒概率的所述預(yù)測(cè)欺詐模型���,其中�����,所述假冒概率是所述欺詐者成功地假冒由所述用戶(hù)承辦的一組事件的事件參數(shù)的參數(shù)值的概率��。
197.根據(jù)權(quán)利要求194所述的系統(tǒng)�,其中,所述假冒模型包括所述欺詐者模仿由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率����。
198.根據(jù)權(quán)利要求194所述的系統(tǒng),其中�����,所述假冒模型包括所述欺詐者觀察由所述用戶(hù)承辦的一組事件的事件參數(shù)的概率�����。
199.根據(jù)權(quán)利要求194所述的系統(tǒng)����,包括識(shí)別至少一個(gè)先前欺詐事件,先前欺詐事件包括在所述賬戶(hù)中可能由所述欺詐者引起的先前事件�;通過(guò)使用在所述賬戶(hù)中所承辦的至少一個(gè)先前欺詐事件的事件參數(shù)而估計(jì)所述欺詐模型的多個(gè)組分,來(lái)生成所述原始欺詐模型��,所述至少一個(gè)先前欺詐事件可能由所述欺詐者進(jìn)行。
200.根據(jù)權(quán)利要求199所述的系統(tǒng)���,包括基于可能由所述欺詐者進(jìn)行的至少一個(gè)先前事件來(lái)修改所述預(yù)測(cè)欺詐模型���。
201.根據(jù)權(quán)利要求199所述的系統(tǒng),包括生成包括可能由所述欺詐者進(jìn)行的至少一個(gè)先前事件的欺詐同現(xiàn)系數(shù)的所述預(yù)測(cè)欺詐模型�。
202.根據(jù)權(quán)利要求201所述的系統(tǒng),其中���,所述欺詐同現(xiàn)系數(shù)表示從可能由所述欺詐者進(jìn)行的所述至少一個(gè)先前事件遞歸導(dǎo)出的累積不信任�����。
203.根據(jù)權(quán)利要求201所述的系統(tǒng),其中�����,所述欺詐同現(xiàn)系數(shù)包括表示可能由所述欺詐者進(jìn)行的多個(gè)先前事件的影響的系數(shù)����。
204.根據(jù)權(quán)利要求159所述的系統(tǒng),包括使用在所述下一事件期間所收集的第二組事件參數(shù)來(lái)選擇性地更新所述賬戶(hù)模型��。
205.根據(jù)權(quán)利要求204所述的系統(tǒng),其中����,所述第二組事件參數(shù)是在所述下一事件期間所收集的可觀察參數(shù)。
206.根據(jù)權(quán)利要求204所述的系統(tǒng)���,其中���,自動(dòng)更新所述賬戶(hù)模型包括更新包括所述賬戶(hù)模型的多個(gè)組分的聯(lián)合概率分布。
207.根據(jù)權(quán)利要求204所述的系統(tǒng)���,其中�,自動(dòng)更新所述賬戶(hù)模型包括更新所述賬戶(hù)模型的多個(gè)組分中的至少一個(gè)組分���。
208.根據(jù)權(quán)利要求204所述的系統(tǒng)����,其中���,自動(dòng)更新所述賬戶(hù)模型包括更新表示所述事件參數(shù)的多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)���,所述更新通過(guò)考慮所述第二組事件參數(shù)的數(shù)據(jù)來(lái)修改所述多個(gè)概率分布函數(shù)中的至少一個(gè)概率分布函數(shù)�。
209.根據(jù)權(quán)利要求204所述的系統(tǒng)�����,包括針對(duì)所述先驗(yàn)事件的每個(gè)所述事件參數(shù)�,生成概率分布函數(shù);以及通過(guò)將所述下一事件的第二組事件參數(shù)的數(shù)據(jù)應(yīng)用于所述概率分布函數(shù)��,來(lái)針對(duì)每個(gè)所述事件參數(shù)生成更新后的概率分布函數(shù)����。
210.根據(jù)權(quán)利要求209所述的系統(tǒng),包括接收對(duì)應(yīng)于所述用戶(hù)的基線(xiàn)帳戶(hù)模型���,所述基線(xiàn)帳戶(hù)模型是在沒(méi)有使用任何事件的數(shù)據(jù)的情況下生成的���;以及通過(guò)生成包括所述賬戶(hù)模型的多個(gè)組分的聯(lián)合概率分布來(lái)生成所述帳戶(hù)模型�����,其中�, 所述多個(gè)組分包括對(duì)于在所述帳戶(hù)模型中表示的任何事件參數(shù)的所述更新后的概率分布函數(shù)。
211.根據(jù)權(quán)利要求159所述的系統(tǒng),其中����,所述先前事件和所述下一事件包括在線(xiàn)事件、離線(xiàn)事件和多渠道事件中的至少一個(gè)����。
212.根據(jù)權(quán)利要求211所述的系統(tǒng),其中��,在線(xiàn)事件是經(jīng)由對(duì)所述賬戶(hù)的電子訪問(wèn)所承辦的事件�����。
213.根據(jù)權(quán)利要求159所述的系統(tǒng)�����,其中�,事件包括登錄事件。
214.根據(jù)權(quán)利要求159所述的系統(tǒng)�,其中,事件包括活動(dòng)事件���。
215.根據(jù)權(quán)利要求159所述的系統(tǒng)�,其中,所述事件包括會(huì)話(huà)���,其中�����,所述會(huì)話(huà)是一系列相關(guān)事件��。
216.根據(jù)權(quán)利要求215所述的系統(tǒng)����,其中����,所述一系列相關(guān)事件包括會(huì)話(huà)登錄事件和終止事件。
217.根據(jù)權(quán)利要求216所述的系統(tǒng)����,其中,所述一系列相關(guān)事件包括至少一個(gè)活動(dòng)事件�。
218.根據(jù)權(quán)利要求159所述的系統(tǒng),包括概率地確定所述下一事件由所述用戶(hù)進(jìn)行過(guò)����;使用在所述下一事件期間所收集的第二組事件參數(shù),來(lái)自動(dòng)更新所述賬戶(hù)模型��。
219.根據(jù)權(quán)利要求218所述的系統(tǒng)�����,包括將所述帳戶(hù)模型更新為包括信任因子�����,所述信任因子表示所述下一事件實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的概率���。
220.根據(jù)權(quán)利要求218所述的系統(tǒng)����,包括將所述帳戶(hù)模型更新為包括累積信任因子���, 所述累積信任因子表示多個(gè)事件中的事件參數(shù)實(shí)際上由所述用戶(hù)進(jìn)行過(guò)的跨越所述多個(gè)事件的累積概率�。
221.根據(jù)權(quán)利要求159所述的系統(tǒng)���,其中����,自動(dòng)生成所述賬戶(hù)模型包括生成包括衰減參數(shù)的所述帳戶(hù)模型。
222.根據(jù)權(quán)利要求221所述的系統(tǒng)�,其中,所述衰減參數(shù)包括指數(shù)衰減函數(shù)����,通過(guò)所述指數(shù)衰減函數(shù)所述賬戶(hù)中的事件中的每個(gè)事件的相對(duì)權(quán)重隨著從該事件起經(jīng)過(guò)的時(shí)間而改變。
223.—種系統(tǒng)����,包括在處理器上運(yùn)行的風(fēng)險(xiǎn)引擎,所述風(fēng)險(xiǎn)引擎從金融系統(tǒng)接收對(duì)應(yīng)于先驗(yàn)事件的觀察�, 所述先驗(yàn)事件包括在電子訪問(wèn)所述賬戶(hù)期間在所述金融系統(tǒng)的賬戶(hù)中所采取的動(dòng)作,所述風(fēng)險(xiǎn)引擎使用所述觀察來(lái)估計(jì)賬戶(hù)模型的參數(shù)并且動(dòng)態(tài)地生成包括所述參數(shù)的賬戶(hù)模型����, 所述賬戶(hù)模型僅對(duì)應(yīng)于所述用戶(hù),所述風(fēng)險(xiǎn)引擎使用所述賬戶(hù)模型的輸出來(lái)生成風(fēng)險(xiǎn)分?jǐn)?shù)��,所述風(fēng)險(xiǎn)分?jǐn)?shù)是在所述先驗(yàn)事件后的在所述賬戶(hù)中的事件由所述用戶(hù)執(zhí)行與由所述欺詐者執(zhí)行的相對(duì)似然�;以及在所述處理器上運(yùn)行的風(fēng)險(xiǎn)應(yīng)用,所述風(fēng)險(xiǎn)應(yīng)用包括分析用戶(hù)接口(AUI)�����,所述AUI針對(duì)所述賬戶(hù)中的任意事件顯示所述風(fēng)險(xiǎn)分?jǐn)?shù)和所述賬戶(hù)中的任意事件的事件參數(shù)中的至少一個(gè)���。
全文摘要
本發(fā)明提供了用于預(yù)測(cè)賬戶(hù)中用戶(hù)的預(yù)期行為的系統(tǒng)和方法�����。該系統(tǒng)和方法自動(dòng)生成對(duì)應(yīng)于用戶(hù)的因果模型�。該系統(tǒng)和方法使用在用戶(hù)的賬戶(hù)中由用戶(hù)承辦的第一組事件的事件參數(shù)來(lái)估計(jì)因果模型的多個(gè)組分�����。該系統(tǒng)和方法使用因果模型來(lái)預(yù)測(cè)用戶(hù)在第二組事件期間的預(yù)期行為���。
文檔編號(hào)G06F7/04GK102203724SQ200980130776
公開(kāi)日2011年9月28日 申請(qǐng)日期2009年6月12日 優(yōu)先權(quán)日2008年6月12日
發(fā)明者湯姆·米爾頓伯格 申請(qǐng)人:加迪安分析有限公司