【技术实现步骤摘要】
【国外来华专利技术】用于欺诈检测和分析的用户建模相关申请本申请要求于2008年6月12日提交的第61/061,092号美国(US)专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,095号美国专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,096号美国专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,097号美国专利申请的优先权。
本文中的公开总体上涉及欺诈检测和分析。具体地,本公开涉及使用基于行为的建模的欺诈检测。
技术介绍
在线环境下追踪欺诈是一个难以解决的问题。欺诈者手段迅速地发展,并且现在的复杂犯罪方法意味着在线账户欺诈常常看上去完全不像欺诈。事实上,欺诈者可以看上去并且表现得完全像客户一样。由于现在的欺诈者使用将在线步骤和离线步骤(其中的任意一个看上去都是完全可接受的,但当以结合量考虑时,相当于欺诈攻击)这两者结合的多渠道欺诈方法,因此,使得进行精确检测更加困难。根据有限的欺诈资源识别值得行动的真正可疑事件就像大海捞针。结果,客户金融和信息资产面临风险,并且在线渠道的完整性也面临风险。公司完全没有预见每个可能的在线欺诈威胁并对其作出反应的资源。现在的攻击暴露了过去的在线欺诈防止技术的不足,过去的在线欺诈防止技术跟不上所组织的欺诈网络及其惊人的创新速度。被动策略对欺诈者不再有效。常常,当客户就损失抱怨时,金融机构才知道发生欺诈。通过在该犯罪行为后尝试定义新的检测规则来阻止欺诈者不再实际,这是因为根本无法预料每种新欺诈模式并对其作出反应。保持在被动方式使得追踪在线防风险措施的性能随着时间的过去而变得更加 ...
【技术保护点】
1.一种方法,包括:自动生成对应于用户的因果模型;使用所述用户的账户中由所述用户承办的第一组事件的事件参数来估计所述因果模型的多个组分;以及使用所述因果模型来预测所述用户在第二组事件期间的预期行为。
【技术特征摘要】
【国外来华专利技术】US61/061,0922008年6月12日1.一种用于预测账户中用户的预期行为的方法,包括:自动生成表示用户的账户中由所述用户承办的活动的因果模型;使用所述账户中由所述用户承办的第一组事件的事件参数来估计所述因果模型的多个组分,其中,所述事件参数包括在所述第一组事件期间收集的数据;在假设第二组事件由所述用户承办的情况下、使用所述因果模型来预测所述用户在所述第二组事件期间的预期行为;以及在假设所述第二组事件由欺诈者承办的情况下、使用预测欺诈模型来预测所述欺诈者在所述第二组事件期间的预期行为,其中,所述预测欺诈模型独立于所述因果模型,并且使用表示多个欺诈者在多个第三方账户中的活动的数据来生成所述预测欺诈模型。2.根据权利要求1所述的方法,其中,自动生成所述因果模型包括:生成所述多个组分中的组分之间的统计关系。3.根据权利要求1所述的方法,包括将所述因果模型表示为贝叶斯网络。4.根据权利要求1所述的方法,其中,自动生成所述因果模型包括:生成包括所述多个组分的联合概率分布。5.根据权利要求4所述的方法,其中,所述多个组分包括表示所述事件参数的多个概率分布函数。6.根据权利要求5所述的方法,其中,所述事件参数是在所述第一组事件期间所收集的可观察参数。7.根据权利要求6所述的方法,其中,所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。8.根据权利要求7所述的方法,其中,所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。9.根据权利要求7所述的方法,其中,所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。10.根据权利要求1所述的方法,其中,自动生成所述因果模型包括:生成所述事件参数与导出参数之间的统计关系。11.根据权利要求10所述的方法,其中,所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。12.根据权利要求1所述的方法,其中,预测所述用户的所述预期行为包括:生成所述第二组事件的预期事件参数。13.根据权利要求12所述的方法,其中,生成所述预期事件参数包括:生成表示所述预期事件参数的第一组预测概率分布,其中,生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。14.根据权利要求1所述的方法,包括:接收预测欺诈模型;以及生成表示预期欺诈事件参数的第二组预测概率分布,其中,生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件,其中,所述欺诈者是除了所述用户外的任何人。15.根据权利要求14所述的方法,包括:通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分,来自动生成所述预测欺诈模型,其中,所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。16.根据权利要求15所述的方法,其中,自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。17.根据权利要求15所述的方法,其中,自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。18.根据权利要求17所述的方法,其中,所述导出欺诈参数包括用于所述欺诈事件的装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。19.根据权利要求14所述的方法,包括:使用预期事件参数和所述预期欺诈事件参数以及观察参数来实时生成所述第二组事件中的事件的风险分数。20.根据权利要求1所述的方法,包括:当所述预期行为表明除了所述用户外的人正在进行所述第二组事件中的事件时,生成与所述第二组事件中的所述事件相对应的警报。21.根据权利要求1所述的方法,包括:使用在所述第二组事件期间收集的第二组事件参数,来自动更新所述因果模型。22.根据权利要求21所述的方法,其中,所述第二组事件参数是在所述第二组事件期间所收集的可观察参数。23.根据权利要求21所述的方法,其中,自动更新所述因果模型包括更新包括所述多个组分的联合概率分布。24.根据权利要求21所述的方法,其中,自动更新所述因果模型包括更新所述多个组分中的至少一个组分。25.根据权利要求21所述的方法,其中,自动更新所述因果模型包括:更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数,所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。26.根据权利要求21所述的方法,包括:针对所述第一组事件中的每个所述事件参数,生成概率分布函数;以及通过将所述第二组事件中的第二组事件参数的数据应用于所述概率分布函数,来针对每个所述事件参数生成更新后的概率分布函数。27.根据权利要求26所述的方法,包括:接收对应于所述用户的基线因果模型,所述基线因果模型是在不使用任何事件的数据的情况下生成的;以及通过生成包括所述多个组分的联合概率分布来生成所述因果模型,其中,所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。28.根据权利要求1所述的方法,其中,所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。29.根据权利要求28所述的方法,其中,在线事件是经由对所述账户的电子访问而承办的事件。30.根据权利要求1所述的方法,其中,事件包括登录事件。31.根据权利要求1所述的方法,其中,事件包括活动事件。32.根据权利要求1所述的方法,其中,一组事件包括会话,其中,所述会话是一系列相关事件。33.根据权利要求32所述的方法,其中,所述一系列相关事件包括会话登录事件和终止事件。34.根据权利要求33所述的方法,其中,所述一系列相关事件包括至少一个活动事件。35.根据权利要求1所述的方法,包括:概率地确定所述第二组事件由所述用户进行过;使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型。36.根据权利要求35所述的方法,包括将所述因果模型更新为包括信任因子,所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。37.根据权利要求35所述的方法,包括将所述因果模型更新为包括累积信任因子,所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的横跨所述多组事件的累积概率。38.根据权利要求1所述的方法,其中,自动生成所述因果模型包括生成包括衰减参数的所述因果模型。39.根据权利要求38所述的方法,其中,所述衰减参数包括指数衰减函数,通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。40.一种用于预测账户中用户的预期行为的方法,包括:接收对应于第一事件的多个观察,所述第一事件包括在对账户的电子访问期间在所述账户中执行的动作;生成所述观察与所述账户的所有者的导出参数之间的概率关系;自动生成包括所述概率关系的账户模型;使用所述账户模型来估计所述所有者在第二事件期间的动作,其中,所述第二事件在时间上跟随所述第一事件;以及使用预测欺诈模型来预测欺诈者在所述第二事件期间的预期行为,其中,所述预测欺诈模型独立于所述概率关系。41.一种用于预测账户中用户的预期行为的方法,包括:自动生成表示用户的账户中由所述用户承办的活动的因果模型,所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分;在假设下一事件由所述用户承办的情况下、使用所述因果模型预测所述用户在所述账户中的所述下一事件期间的预期行为,其中,预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数;使用预测欺诈模型预测欺诈者在所述下一事件期间的预期行为,其中,所述预测欺诈模型独立于所述因果模型;接收所述下一事件的观察事件参数;以及更新用在未来事件中的所述因果模型,所述更新包括基于所述预期事件参数与观察事件参数之间的关系重新生成所述多个组分。42.一种用于预测账户中用户的预期行为的系统,包括:用于接收在用户的账户中由所述用户承办的第一组事件的事件参数的装置;用于通过使用所述第一组事件的所述事件参数估计因果模型的多个组分来自动生成表示所述用户的账户中由所述用户承办的活动的所述因果模型的装置;用于在假设第二组事件由所述用户承办的情况下、使用所述因果模型来输出对所述用户在所述第二组事件期间的预期行为的预测的装置;以及用于在假设所述第二组事件由欺诈者承办的情况下、使用欺诈模型来输出对所述欺诈者在所述第二组事件期间的预期行为的预测的装置。43.根据权利要求42所述的系统,其中,自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。44.根据权利要求42所述的系统,其中,自动生成所述因果模型包括生成包括所述多个组分的联合概率分布。45.根据权利要求44所述的系统,其中,所述多个组分包括表示所述事件参数的多个概率分布函数。46.根据权利要求45所述的系统,其中,所述事件参数是在所述第一组事件期间所收集的可观察参数。47.根据权利要求46所述的系统,其中,所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。48.根据权利要求47所述的系统,其中,所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。49.根据权利要求47所述的系统,其中,所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。50.根据权利要求42所述的系统,其中,自动生成所述因果模型包括:生成所述事件参数与导出参数之间的统计关系。51.根据权利要求50所述的系统,其中,所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。52.根据权利要求42所述的系统,其中,预测所述用户的所述预期行为包括:生成所述第二组事件的预期事件参数。53.根据权利要求52所述的系统,其中,生成所述预期事件参数包括生成表示所述预期事件参数的第一组预测概率分布,其中,生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。54.根据权利要求53所述的系统,包括:用于接收预测欺诈模型的装置;以及用于生成表示预期欺诈事件参数的第二组预测概率分布的装置,其中,生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件,其中,所述欺诈者是除了所述用户外的任何人。55.根据权利要求54所述的系统,包括:用于使用所述预期事件参数和所述预期欺诈事件参数以及观察参数来实时生成所述第二组事件中的事件的风险分数的装置。56.根据权利要求42所述的系统,包括:用于当所述预期行为表明除了所述用户外的人正在进行所述事件时,生成与所述第二组事件中的事件相对应的警报的装置。57.根据权利要求42所述的系统,包括:用于使用在所述第二组事件期间收集的第二组事件参数,来自动更新所述因果模型的装置。58.根据权利要求57所述的系统,其中,自动更新所述因果模型包括:更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数,所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。59.根据权利要求57所述的系统,包括:用于针对所述第一组事件中的每个所述事件参数,生成概率分布函数的装置;以及用于通过将所述第二组事件的第二组事件参数的数据应用于所述概率分布函数,来针对每个所述事件参数生成更新后的概率分布函数的装置。60.根据权利要求42所述的系统,其中,所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。61.根据权利要求60所述的系统,其中,在线事件是经由对所述账户的电子访问而承办的事件。62.根据权利要求42所述的系统,其中,事件包括登录事件。63.根据权利要求42所述的系统,其中,事件包括活动事件。64.根据权利要求42所述的系统,其中,一组事件包括会话,其中,所述会话是一系列相关事件。65.根据权利要求42所述的系统,包括:用于概率地确定所述第二组事件由所述用户进行过的装置;用于使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型的装置。66.根据权利要求65所述的系统,包括用于将所述因果模型更新为包括信任因子的装置,所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。67.根据权利要求65所述的系统,包括用于将所述因果模型更新为包括累积信任因子的装置,所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的跨越所述多组事件的累积概率。68.根据权利要求42所述的系统,其中,自动生成所述因果模型包括生成包括衰减参数的所述因果模型。69.根据权利要求68所述的系统,其中,所述衰减参数包括指数衰减函数,通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。70.一种用于预测账户中用户的预期行为的系统,包括:用于接收在用户的账户中由所述用户承办的第一组事件的事件参数的装置;用于自动生成表示用户的账户中由所述用户承办的活动的账户模型的装置,所述账户模型包括多个组分,其中,生成所述账户模型包括使用所述第一组事件的事件参数来生成所述多个组分;用于在假设第二组事件由所述用户承办的情况下、使用所述账户模型来预测所述用户在所述第二组事件期间的预期行为的装置;用于使用预测欺诈模型来预测欺诈者在所述第二组事件期间的预期行为的装置;以及用于生成用在一组未来事件中的所述账户模型的更新版本的装置,所述更新包括使用所述第二组事件重新生成所述多个组分。71.一种用于欺诈检测和分析的方法,包括:自动生成对应于用户的因果模型,所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分;使用所述因果模型来预测所述用户在所述账户中的下一事件期间的预期行为,其中,预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数;使用预测欺诈模型,生成欺诈事件参数,其中,生成所述欺诈事件参数假设欺诈者正在进行所述下一事件,其中,所述欺诈者是除所述用户之外的任何人;以及使用所述预期事件参数和所述欺诈事件参数来生成所述下一事件的风险分数,所述风险分数表示由所述用户执行未来事件与由所述欺诈者执行未来事件的相对似然。72.根据权利要求71所述的方法,包括:通过使用在多个账户中所承办的先前欺诈事件的所述欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分,来自动生成所述预测欺诈模型,其中,所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。73.根据权利要求72所述的方法,其中,自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。74.根据权利要求72所述的方法,其中,自动生成所述预测欺诈模型包括:生成包括所述多个欺诈组分的联合概率分布。75.根据权利要求74所述的方法,其中,所述多个欺诈组分包括表示所述欺诈事件参数的多个欺诈概率分布函数。76.根据权利要求75所述的方法,其中,所述欺诈事件参数是在所述先前欺诈事件期间所收集的可观察欺诈参数。77.权利要求71所述的方法,其中,自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。78.根据权利要求77所述的方法,其中,所述导出欺诈参数包括用于所述欺诈事件的装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。79.根据权利要求71所述的方法,包括生成所述预测欺诈模型。80.根据权利要求79所述的方法,其中,生成所述预测欺诈模型包括:生成原始欺诈模型,所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。81.根据权利要求80所述的方法,其中,生成所述预测欺诈模型包括:生成所述原始欺诈模型和假冒模型的概率组合。82.根据权利要求81所述的方法,包括:生成原始欺诈模型,所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。83.根据权利要求81所述的方法,其中,生成所述预测欺诈模型包括生成包括假冒概率的所述预测欺诈模型,其中,所述假冒概率是所述欺诈者成功地假冒由所述用户承办的一组事件的事件参数的参数值的概率。84.根据权利要求81所述的方法,其中,所述假冒模型包括所述欺诈者模仿由所述用户承办的一组事件的事件参数的概率。85.根据权利要求81所述的方法,其中,所述假冒模型包括所述欺诈者观察由所述用户承办的一组事件的事件参数的概率。86.根据权利要求81所述的方法,包括:识别至少一个先前欺诈事件,先前欺诈事件包括在所述账户中可能由所述欺诈者引起的先前事件;通过使用在所述账户中所承办的至少一个先前欺诈事件的事件参数估计所述欺诈模型的多个组分,来生成所述原始欺诈模型,所述至少一个先前欺诈事件可能由所述欺诈者进行。87.根据权利要求86所述的方法,包括:基于可能由所述欺诈者进行的至少一个先前事件来修改所述预测欺诈模型。88.根据权利要求86所述的方法,包括:生成包括可能由所述欺诈者进行至少一个先前事件的欺诈同现系数的所述预测欺诈模型。89.根据权利要求88所述的方法,其中,所述欺诈同现系数表示从可能由所述欺诈者进行的所述至少一个先前事件递归导出的累积不信任。90.根据权利要求88所述的方法,其中,所述欺诈同现系数包括表示可能由所述欺诈者进行的多个先前事件的影响的系数。91.根据权利要求71所述的方法,其中,自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。92.根据权利要求71所述的方法,其中,自动生成所述因果模型包括:生成包括所述多个组分的联合概率分布。93.根据权利要求92所述的方法,其中,所述多个组分包括表示所述先前事件的事件参数的多个概率分布函数。94.根据权利要求93所述的方法,其中,所述事件参数是在所述先前事件期间所收集的可观察参数。95.根据权利要求94所述的方法,其中,所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。96.根据权利要求95所述的方法,其中,所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。97.根据权利要求95所述的方法,其中,所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。98.根据权利要求71所述的方法,其中,自动生成所述因果模型包括生成所述事件参数与导出参数之间的统计关系。99.根据权利要求98所述的方法,其中,所述导出参数包括装置正在发起所述下一事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。100.根据权利要求71所述的方法,其中,预测所述用户的所述预期行为包括:生成所述下一事件的预期事件参数。101.根据权利要求100所述的方法,其中,生成所述预期事件参数包括:生成表示所述预期事件参数的第一组预期概率分布,其中,生成所述第一组预期概率分布假设所述用户正进行所述下一事件。102.根据权利要求71所述的方法,包括:当所述风险分数表示除了所述用户外的人正在进行所述下一事件时,生成对应于所述下一事件的警报。103.根据权利要求71所述的方法,包括:使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。104.根据权利要求103所述的方法,其中,所述第二组事件参数是在所述下一事件期间所收集的可观察参数。105.根据权利要求103所述的方法,其中,自动更新所述因果模型包括:更新包括所述多个组分的联合概率分布。106.根据权利要求103所述的方法,其中,自动更新所述因果模型包括:更新所述多个组分中的至少一个组分。107.根据权利要求103所述的方法,其中,自动更新所述因果模型包括:更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数,所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。108.根据权利要求103所述的方法,包括:针对所述先前事件的每个所述事件参数,生成概率分布函数;以及通过将所述下一事件的第二组事件参数的数据应用于所述概率分布函数,来针对每个所述事件参数生成更新后的概率分布函数。109.根据权利要求108所述的方法,包括:接收对应于所述用户的基线因果模型,所述基线因果模型是在没有使用任何事件的数据的情况下生成的;以及通过生成包括所述多个组分的联合概率分布来生成所述因果模型,其中,所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。110.根据权利要求71所述的方法,其中,所述先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个。111.根据权利要求110所述的方法,其中,在线事件是经由对所述账户的电子访问所承办的事件。112.根据权利要求71所述的方法,其中,事件包括登录事件。113.根据权利要求71所述的方法,其中,事件包括活动事件。114.根据权利要求71所述的方法,包括:概率地确定所述下一事件由所述用户进行过;使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。115.根据权利要求114所述的方法,包括将所述因果模型更新为包括信任因子,所述信任因子表示所述下一事件实际上由所述用户进行过的概率。116.根据权利要求114所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。