用于设计和验证细粒度事件检测规则的系统转让专利
申请号 : CN201880098391.1
文献号 : CN112789614B
文献日 : 2021-09-28
发明人 : J·沙克 , D·卡拉 , G·钦奇瓦德卡尔
申请人 : 维萨国际服务协会
摘要 :
一种方法包括接收历史交互数据,所述历史交互数据包括多个历史交互。每个历史交互与多个数据字段相关联。所述方法包括:将多个权重分配到所述多个数据字段;使用所述多个权重和所述多个数据字段来生成神经网络;标识指示第一类别的第一多个特征指示符,所述第一类别与第二类别不同;接收从与受损账户相关的数据中导出的第二多个特征指示符;使用所述第一多个特征指示符和所述第二多个特征指示符来更新概率分布组件;以及接收交互的当前数据。所述方法还包括将所述概率分布组件应用于所述当前数据,以及使用所述概率分布组件对所述交互评分。
权利要求 :
1.一种用于交互的方法,包括:由计算机接收历史交互数据,其中所述历史交互数据包括多个历史交互,每个历史交互与多个数据字段相关联,所述数据字段相互依赖;
由所述计算机将多个权重分配到所述多个数据字段;
由所述计算机使用所述多个权重和所述多个数据字段来生成神经网络;
由所述计算机使用所述神经网络来标识指示第一类别的第一多个特征指示符,所述第一类别与第二类别不同;
由所述计算机接收从与受损账户相关的数据导出的第二多个特征指示符;
使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机中的概率分布组件;
由所述计算机接收交互的当前数据;
由所述计算机将所述概率分布组件应用于所述当前数据;以及由所述计算机使用所述概率分布组件来对所述交互评分。
2.根据权利要求1所述的方法,其中所述神经网络为第一神经网络,所述多个数据字段为第一多个数据字段,并且其中所述方法还包括:由计算机接收近期交互数据,其中所述近期交互数据包括多个近期交互,每个近期交互与第二多个数据字段相关联,所述数据字段相互依赖;
由所述计算机使用第二多个权重和与所述近期交互数据相关联的第二多个字段来生成第二神经网络;
由所述计算机使用所述第二神经网络来标识指示所述第一类别的第三多个特征指示符;以及
使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机中的所述概率分布组件包括:使用所述第一多个特征指示符、所述第二多个特征指示符和所述第三多个特征指示符来更新所述计算机中的所述概率分布组件。
3.根据权利要求2所述的方法,其中所述第一神经网络是离线神经网络,并且所述第二神经网络是在线神经网络。
4.根据权利要求1所述的方法,还包括:为用户简档生成关于时间的行为平面。
5.根据权利要求4所述的方法,其中多个特征指示符权重属于所述用户简档,并且其中所述多个特征指示符权重被映射在所述行为平面中。
6.根据权利要求5所述的方法,还包括:确定所述多个特征指示符的特征指示符权重与所述行为平面的多个偏差。
7.根据权利要求1所述的方法,其中是在来自由资源提供商操作的访问装置的授权请求消息中接收到所述当前数据。
8.根据权利要求7所述的方法,还包括:如果评分超出阈值,则拒绝对由所述资源提供商提供的资源的访问。
9.根据权利要求8所述的方法,还包括:如果所述评分不超出所述阈值,则修改所述授权请求消息以包括所述评分,并将修改后的授权请求消息传输到授权计算机。
10.根据权利要求1所述的方法,其中所述神经网络包括S型函数。
11.一种计算机,包括:
处理器;以及
计算机可读介质,所述计算机可读介质包括能够由所述处理器执行以用于实施包括以下操作的方法的代码:
接收历史交互数据,其中所述历史交互数据包括多个历史交互,每个历史交互与多个数据字段相关联,所述数据字段相互依赖;
将多个权重分配到所述多个数据字段;
使用所述多个权重和所述多个数据字段来生成神经网络;
使用所述神经网络来标识指示第一类别的第一多个特征指示符,所述第一类别与第二类别不同;
接收从与受损账户相关的数据中导出的第二多个特征指示符;
使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机中的概率分布组件;
接收交互的当前数据;
将所述概率分布组件应用于所述当前数据;以及使用所述概率分布组件对所述交互评分。
12.根据权利要求11所述的计算机,其中所述神经网络为第一神经网络,所述多个数据字段为第一多个数据字段,并且其中所述方法还包括:接收近期交互数据,其中所述近期交互数据包括多个近期交互,每个近期交互与第二多个数据字段相关联,所述数据字段相互依赖;
使用第二多个权重和与所述近期交互数据相关联的所述第二多个字段来生成第二神经网络;
使用所述第二神经网络来标识指示所述第一类别的第三多个特征指示符;以及使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机中的所述概率分布组件包括:使用所述第一多个特征指示符、所述第二多个特征指示符和所述第三多个特征指示符来更新所述计算机中的所述概率分布组件。
13.根据权利要求12所述的计算机,其中所述第一神经网络是离线神经网络,并且所述第二神经网络是在线神经网络。
14.根据权利要求11所述的计算机,其中所述方法还包括:生成所述多个字段中的字段的关于时间的行为平面。
15.根据权利要求14所述的计算机,其中多个特征指示符权重属于用户简档,并且其中所述多个特征指示符权重被映射在所述行为平面中。
16.根据权利要求15所述的计算机,还包括:确定所述多个特征指示符的特征指示符权重与所述行为平面的多个偏差。
17.根据权利要求11所述的计算机,其中是在来自由资源提供商操作的访问装置的授权请求消息中接收到所述当前数据。
18.根据权利要求17所述的计算机,其中所述方法还包括:如果评分超出阈值,则拒绝对由所述资源提供商提供的资源的访问。
19.根据权利要求18所述的计算机,其中所述方法还包括:如果所述评分不超出所述阈值,则修改所述授权请求消息以包括所述评分,并将修改后的授权请求消息传输到授权计算机。
20.根据权利要求11所述的计算机,其中所述神经网络包括S型函数。
说明书 :
用于设计和验证细粒度事件检测规则的系统
[0001] 相关申请交叉引用
[0002] 无。
背景技术
[0003] 数据安全性在用户与资源提供商之间进行交互(例如,交易)时是个持续关注点。虽然存在常规方法来防止未授权的交互发生,但此类系统还可以改进。例如,虽然某些常规
系统因拥有强大的安全规则而很好地防止未授权的交易发生,但强大的安全性也可能导致
不必要的交易拒绝。当用户希望访问安全数据、访问安全位置或进行支付交易时,这可能是
个问题。
系统因拥有强大的安全规则而很好地防止未授权的交易发生,但强大的安全性也可能导致
不必要的交易拒绝。当用户希望访问安全数据、访问安全位置或进行支付交易时,这可能是
个问题。
[0004] 本发明的实施例单独地和共同地解决这些和其它问题。
发明内容
[0005] 一个实施例包括一种方法,包括:由计算机接收历史交互数据,其中所述历史交互数据包括多个历史交互,每个历史交互与多个数据字段相关联,所述数据字段相互依赖;由
所述计算机将多个权重分配到所述多个数据字段;由所述计算机使用所述多个权重和所述
多个数据字段来生成神经网络;由所述计算机使用所述神经网络来标识指示第一类别的第
一多个特征指示符,所述第一类别与第二类别不同;由所述计算机接收从与受损账户相关
的数据导出的第二多个特征指示符;使用所述第一多个特征指示符和所述第二多个特征指
示符来更新所述计算机中的概率分布组件;由所述计算机接收交互的当前数据;由所述计
算机将所述概率分布组件应用于所述当前数据;以及由所述计算机使用所述概率分布组件
来对所述交互评分。
所述计算机将多个权重分配到所述多个数据字段;由所述计算机使用所述多个权重和所述
多个数据字段来生成神经网络;由所述计算机使用所述神经网络来标识指示第一类别的第
一多个特征指示符,所述第一类别与第二类别不同;由所述计算机接收从与受损账户相关
的数据导出的第二多个特征指示符;使用所述第一多个特征指示符和所述第二多个特征指
示符来更新所述计算机中的概率分布组件;由所述计算机接收交互的当前数据;由所述计
算机将所述概率分布组件应用于所述当前数据;以及由所述计算机使用所述概率分布组件
来对所述交互评分。
[0006] 另一实施例包括一种服务器计算机,包括:处理器;以及计算机可读介质,所述计算机可读介质包括能够由所述处理器执行以用于实施包括以下操作的方法的代码:接收历
史交互数据,其中所述历史交互数据包括多个历史交互,每个历史交互与多个数据字段相
关联,所述数据字段相互依赖;将多个权重分配到所述多个数据字段;使用所述多个权重和
所述多个数据字段来生成神经网络;使用所述神经网络来标识指示第一类别的第一多个特
征指示符,所述第一类别与第二类别不同;接收从与受损账户相关的数据导出的第二多个
特征指示符;使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机
中的概率分布组件;接收交互的当前数据;将所述概率分布组件应用于所述当前数据;以及
使用所述概率分布组件对所述交互评分。
史交互数据,其中所述历史交互数据包括多个历史交互,每个历史交互与多个数据字段相
关联,所述数据字段相互依赖;将多个权重分配到所述多个数据字段;使用所述多个权重和
所述多个数据字段来生成神经网络;使用所述神经网络来标识指示第一类别的第一多个特
征指示符,所述第一类别与第二类别不同;接收从与受损账户相关的数据导出的第二多个
特征指示符;使用所述第一多个特征指示符和所述第二多个特征指示符来更新所述计算机
中的概率分布组件;接收交互的当前数据;将所述概率分布组件应用于所述当前数据;以及
使用所述概率分布组件对所述交互评分。
[0007] 下文进一步详细描述这些和其它实施例。
附图说明
[0008] 图1示出根据本发明的实施例的系统的框图。
[0009] 图2示出根据本发明的实施例的示出规则验证架构的系统。
[0010] 图3示出人工神经网络欺诈估计器的示意图。
[0011] 图4示出根据本发明的实施例的另一规则验证架构的框图。
[0012] 图5示出了示出实施例的流程图。
[0013] 图6示出根据实施例的访问系统的框图。
具体实施方式
[0014] 对一些术语的论述在本发明的实施例中可能是有用的。
[0015] “用户装置”可以是可以与用户装置交互的任何合适的装置(例如,支付卡或移动电话)。用户装置可以采用任何合适的形式。用户装置的一些实例包括蜂窝电话、PDA、个人
计算机(PC)、平板计算机等。在用户装置是移动装置的一些实施例中,移动装置可以包括显
示器、存储器、处理器、计算机可读介质和任何其它合适的组件。
计算机(PC)、平板计算机等。在用户装置是移动装置的一些实施例中,移动装置可以包括显
示器、存储器、处理器、计算机可读介质和任何其它合适的组件。
[0016] “移动装置”(有时被称作移动通信装置)可以包括用户可以运输或操作的任何电子装置,所述装置还可以提供与网络的远程通信能力。移动通信装置可以使用移动电话(无
线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi‑Fi、蓝牙、低功耗蓝牙(BLE)、Wi‑Max
或可以提供对例如因特网或专用网络等网络的访问的任何其它通信介质来进行通信。移动
装置的实例包括移动电话(例如,蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、可穿
戴装置(例如手表)、车辆(例如,汽车和摩托车)、个人音乐播放器、手持式专用阅读器等。移
动装置可以包括用于执行此类功能的任何合适的硬件和软件,并且还可以包括多个装置或
组件(例如,当装置通过系固到另一装置‑‑即,使用其它装置作为调制解调器‑‑而远程访问
网络时,一起使用的两个装置可以被认为是单个移动装置)。
线)网络、无线数据网络(例如,3G、4G或类似网络)、Wi‑Fi、蓝牙、低功耗蓝牙(BLE)、Wi‑Max
或可以提供对例如因特网或专用网络等网络的访问的任何其它通信介质来进行通信。移动
装置的实例包括移动电话(例如,蜂窝电话)、PDA、平板计算机、上网本、膝上型计算机、可穿
戴装置(例如手表)、车辆(例如,汽车和摩托车)、个人音乐播放器、手持式专用阅读器等。移
动装置可以包括用于执行此类功能的任何合适的硬件和软件,并且还可以包括多个装置或
组件(例如,当装置通过系固到另一装置‑‑即,使用其它装置作为调制解调器‑‑而远程访问
网络时,一起使用的两个装置可以被认为是单个移动装置)。
[0017] “资源提供商”可以是在交易期间提供资源(例如,商品、服务、对安全数据的访问、对位置的访问等)的任何合适的实体。例如,资源提供实体可以是商家、场所运营商、建筑物
所有者、政府实体等。“商家”通常可以是参与交易且可以出售商品或服务或提供对商品或
服务的取用的实体。
所有者、政府实体等。“商家”通常可以是参与交易且可以出售商品或服务或提供对商品或
服务的取用的实体。
[0018] “应用程序”可以是用于特定目的的计算机程序。
[0019] “认证数据”可以包括适于认证用户或移动装置的任何数据。认证数据可以从用户或由用户操作的装置获得。从用户获得的认证数据的实例可以包括PIN(个人标识号)、生物
特征数据、密码等。可以从装置获得的认证数据的实例可以包括装置序列号、硬件安全元件
标识符、装置指纹、电话号码、IMEI号等。
特征数据、密码等。可以从装置获得的认证数据的实例可以包括装置序列号、硬件安全元件
标识符、装置指纹、电话号码、IMEI号等。
[0020] “访问数据”可以包括任何合适的数据,所述数据可用于访问资源或创建可以访问资源的数据。在一些实施例中,访问数据可以是支付账户的账户信息。账户信息可以包括
PAN(主账号)、支付令牌、到期日期和验证值(例如,CVV、CVV2、dCVV、dCVV2)等。在其它实施
例中,访问数据可以是可用于激活账户数据的数据。例如,在一些情况下,账户信息可以存
储在移动装置上,但是可以直到移动装置接收到特定信息才被激活。在其它实施例中,访问
数据可以包括可用于访问位置的数据。此类访问数据可以是赛事的票证信息、用于访问建
筑物的数据、运输票证信息等。在其它实施例中,访问数据可包括用于获得对敏感数据的访
问权的数据。访问数据的实例可以包括服务器计算机准予访问敏感数据所需要的代码或其
它数据。
PAN(主账号)、支付令牌、到期日期和验证值(例如,CVV、CVV2、dCVV、dCVV2)等。在其它实施
例中,访问数据可以是可用于激活账户数据的数据。例如,在一些情况下,账户信息可以存
储在移动装置上,但是可以直到移动装置接收到特定信息才被激活。在其它实施例中,访问
数据可以包括可用于访问位置的数据。此类访问数据可以是赛事的票证信息、用于访问建
筑物的数据、运输票证信息等。在其它实施例中,访问数据可包括用于获得对敏感数据的访
问权的数据。访问数据的实例可以包括服务器计算机准予访问敏感数据所需要的代码或其
它数据。
[0021] “访问请求”可以包括访问资源的请求。资源可以是物理资源(例如,商品)、数字资源(例如,电子文档、电子数据等)或服务。在一些情况下,可以通过传输包括访问请求数据
的访问请求消息来提交访问请求。通常,与请求者相关联的装置可以将访问请求消息传输
到与资源提供商相关联的装置。
的访问请求消息来提交访问请求。通常,与请求者相关联的装置可以将访问请求消息传输
到与资源提供商相关联的装置。
[0022] “访问请求数据”可以包括关于访问请求或与访问请求相关的任何信息。访问请求数据可以包括访问数据。访问请求数据可以包括可用于处理和/或验证访问请求的信息。例
如,访问请求数据可以包括与参与处理访问请求的实体(例如,资源提供商计算机、处理器
服务器计算机、授权计算机等)相关联的细节,例如实体标识符(例如,名称等)、与实体相关
联的位置信息和指示实体类型的信息(例如,类别代码)。示例性访问请求数据可以包括指
示访问请求量、访问请求位置、接收到的资源(例如,产品、文档等)、关于接收到的资源的信
息(例如,大小、量、类型等)、资源提供实体数据(例如,资源提供商数据、文档所有者数据
等)、用户数据、访问请求的日期和时间、用于进行访问请求的方法(例如,接触式、非接触式
等)的信息,以及其它相关信息。访问请求数据还可以被称为访问请求信息、交易数据、交易
信息等。
如,访问请求数据可以包括与参与处理访问请求的实体(例如,资源提供商计算机、处理器
服务器计算机、授权计算机等)相关联的细节,例如实体标识符(例如,名称等)、与实体相关
联的位置信息和指示实体类型的信息(例如,类别代码)。示例性访问请求数据可以包括指
示访问请求量、访问请求位置、接收到的资源(例如,产品、文档等)、关于接收到的资源的信
息(例如,大小、量、类型等)、资源提供实体数据(例如,资源提供商数据、文档所有者数据
等)、用户数据、访问请求的日期和时间、用于进行访问请求的方法(例如,接触式、非接触式
等)的信息,以及其它相关信息。访问请求数据还可以被称为访问请求信息、交易数据、交易
信息等。
[0023] “访问装置”可以是用于提供对外部计算机系统的访问的任何合适的装置。访问装置可以呈任何合适的形式。访问装置的一些实例包括销售点(POS)装置、蜂窝电话、PDA、个
人计算机(PC)、平板PC、手持式专用阅读器、机顶盒、电子收款机(ECR)、自动柜员机(ATM)、
虚拟收款机(VCR)、查询一体机、安全系统、访问系统、网站等。访问装置可以使用任何合适
的接触或非接触操作模式,以向移动装置发送或从其接收数据或与移动装置相关联。在访
问装置可包括POS终端的一些实施例中,可使用任何合适的POS终端且其可包括读取器、处
理器和计算机可读介质。读取器可包括任何合适的接触或非接触操作模式。例如,示例性读
卡器可以包括射频(RF)天线、光学扫描器、条形码读取器或磁条读取器,以与移动装置交
互。
人计算机(PC)、平板PC、手持式专用阅读器、机顶盒、电子收款机(ECR)、自动柜员机(ATM)、
虚拟收款机(VCR)、查询一体机、安全系统、访问系统、网站等。访问装置可以使用任何合适
的接触或非接触操作模式,以向移动装置发送或从其接收数据或与移动装置相关联。在访
问装置可包括POS终端的一些实施例中,可使用任何合适的POS终端且其可包括读取器、处
理器和计算机可读介质。读取器可包括任何合适的接触或非接触操作模式。例如,示例性读
卡器可以包括射频(RF)天线、光学扫描器、条形码读取器或磁条读取器,以与移动装置交
互。
[0024] “凭证”可以是充当价值、所有权、身份或权限的可靠证据的任何合适的信息。凭证可以是一串数字、字母或任何其它合适的字符,以及可用作确认的任何对象或文件。凭证的
实例包括价值凭证、标识卡、认证文件、通行卡、口令和其它登录信息等。凭证的其它实例包
括PAN(主账号)、PII(个人可标识信息)(例如,姓名、地址和电话号码)等。
实例包括价值凭证、标识卡、认证文件、通行卡、口令和其它登录信息等。凭证的其它实例包
括PAN(主账号)、PII(个人可标识信息)(例如,姓名、地址和电话号码)等。
[0025] “授权实体”可以是通常使用授权计算机来授权请求的实体。授权实体可以是发行方、政府机构、文件存储库、访问管理员等。“发行方”通常可以包括维持用户账户的商业实
体(例如,银行)。发行方还可向用户发行存储在蜂窝电话、智能卡、平板电脑或笔记本电脑
等用户装置上的支付凭证。
体(例如,银行)。发行方还可向用户发行存储在蜂窝电话、智能卡、平板电脑或笔记本电脑
等用户装置上的支付凭证。
[0026] “服务提供商”可以是可通常通过服务提供商计算机来提供例如商品、服务、信息和/或访问等资源的实体。服务提供商的实例包括商家、数字钱包、支付处理器等。
[0027] “用户”可以包括个别或计算装置。在一些实施例中,用户可以与一个或多个个人账户和/或移动装置相关联。在一些实施例中,用户可以是持卡人、账户持有人或消费者。
[0028] “授权请求消息”可以是发送给支付处理网络和/或支付卡的发行方以请求交易授权的电子消息。根据一些实施例的授权请求消息可符合ISO8583,这是针对交换与用户使用
支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以
包括可与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应
于“标识信息”的额外数据元素,仅作为实例包括:服务代码、CVV(卡验证值)、dCVV(动态卡
验证值)、到期日期等。授权请求消息还可以包括“交易信息”,例如与当前交易相关联的任
何信息,例如,交易金额、商家标识符、商家位置等,以及可以用于确定是否标识和/或授权
交易的任何其它信息。
支付装置或支付账户进行的支付相关联的电子交易信息的系统的标准。授权请求消息可以
包括可与支付装置或支付账户相关联的发行方账户标识符。授权请求消息还可以包括对应
于“标识信息”的额外数据元素,仅作为实例包括:服务代码、CVV(卡验证值)、dCVV(动态卡
验证值)、到期日期等。授权请求消息还可以包括“交易信息”,例如与当前交易相关联的任
何信息,例如,交易金额、商家标识符、商家位置等,以及可以用于确定是否标识和/或授权
交易的任何其它信息。
[0029] “授权响应消息”可以是由发行金融机构或支付处理网络生成的对授权请求消息的电子消息应答。仅作为实例,授权响应消息可以包括以下状态指示符中的一个或多个:批
准‑交易被批准;拒绝‑交易未被批准;或呼叫中心‑响应未决的更多信息,商家必须呼叫免
费授权电话号码。授权响应消息还可以包括授权码,其可以是信用卡发行银行响应于电子
消息中的授权请求消息(直接地或通过支付处理网络)返回给商家的访问装置(例如,POS设
备)的指示交易被批准的代码。代码可以用作授权的证据。如上所述,在一些实施例中,支付
处理网络可向商家生成或转发授权响应消息。
准‑交易被批准;拒绝‑交易未被批准;或呼叫中心‑响应未决的更多信息,商家必须呼叫免
费授权电话号码。授权响应消息还可以包括授权码,其可以是信用卡发行银行响应于电子
消息中的授权请求消息(直接地或通过支付处理网络)返回给商家的访问装置(例如,POS设
备)的指示交易被批准的代码。代码可以用作授权的证据。如上所述,在一些实施例中,支付
处理网络可向商家生成或转发授权响应消息。
[0030] “处理器”可包括任何合适的一个或多个数据计算装置。处理器可以包括一起工作以实现期望的功能的一个或多个微处理器。处理器可以包括CPU,所述CPU包括足以执行用
于执行用户和/或系统生成的请求的程序组件的至少一个高速数据处理器。CPU可以是微处
理器,例如AMD的Athlon、Duron和/或Opteron;IBM和/或摩托罗拉(Motorola)的PowerPC;
IBM和索尼(Sony)的Cell处理器;英特尔(Intel)的Celeron、Itanium、Pentium、Xeon和/或
XScale;和/或类似处理器。
于执行用户和/或系统生成的请求的程序组件的至少一个高速数据处理器。CPU可以是微处
理器,例如AMD的Athlon、Duron和/或Opteron;IBM和/或摩托罗拉(Motorola)的PowerPC;
IBM和索尼(Sony)的Cell处理器;英特尔(Intel)的Celeron、Itanium、Pentium、Xeon和/或
XScale;和/或类似处理器。
[0031] “存储器”可以是可存储电子数据的任何合适的一个或多个装置。合适的存储器可包括非瞬态计算机可读介质,其存储可由处理器执行以实现所要方法的指令。存储器的实
例可以包括一个或多个存储器芯片、磁盘驱动器等。此类存储器可使用任何合适的电气、光
学和/或磁性操作模式来操作。
例可以包括一个或多个存储器芯片、磁盘驱动器等。此类存储器可使用任何合适的电气、光
学和/或磁性操作模式来操作。
[0032] “标准”可以包括用于确定一个或多个历史数据的信息。在一些实施例中,标准可以包括年龄、大小、日期范围、金额、位置、发行方或数据集的任何其它合适的属性。例如,标
准可以指定检索在过去24小时内发生的交易。可以在一些实施例中合并标准,以制定包括
多个标准的规则,例如,1/1/18‑3/1/18、超过500美元且在美国以外。
准可以指定检索在过去24小时内发生的交易。可以在一些实施例中合并标准,以制定包括
多个标准的规则,例如,1/1/18‑3/1/18、超过500美元且在美国以外。
[0033] “历史交互数据”可以包括关于之前收集并存储在数据库或其它合适存储介质中的交互的任何数据或信息。历史交互数据可以包括任何合适数量的数据文件。
[0034] “数据文件”可以包括一个或多个字段的集合或集,一起形成记录。示例性历史数据可以包括历史交易数据文件,包括交易金额和其它字段,以及交易结果或确定(例如,被
接受、作为具有欺诈性被拒绝、待考虑、报告为具有欺诈性等)。
接受、作为具有欺诈性被拒绝、待考虑、报告为具有欺诈性等)。
[0035] “规则文件”可以包括一组规则。在一些实施例中,规则文件可以指示由同一方定义的一组规则。例如,将在一组交易上验证的规则文件可以由发行方定义。在一些实施例
中,规则文件还可用于将具有某些逻辑或层级关联的规则分组。在一些实施例中,规则文件
可以包含任何合适数量的规则。
中,规则文件还可用于将具有某些逻辑或层级关联的规则分组。在一些实施例中,规则文件
可以包含任何合适数量的规则。
[0036] “服务器计算机”可包括功能强大的计算机或计算机集群。举例来说,服务器计算机可以是大型主机、小型计算机集群或充当单元的一组服务器。在一个实例中,服务器计算
机可以是耦合到网络服务器的数据库服务器。服务器计算机可包括一个或多个计算装置,
并且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的
请求。
机可以是耦合到网络服务器的数据库服务器。服务器计算机可包括一个或多个计算装置,
并且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的
请求。
[0037] “数据字段”可以是存储数据的位置。数据字段可以存在于消息中,所述消息例如请求某些交互(例如,交易)的授权的授权请求消息。数据字段中也可以有值。数据字段的实
例包括用于存储数据的字段,所述数据例如用户或装置标识符、交易金额、PIN代码之类的
安全数据、资源提供商标识符(例如,商家标识符)等。
例包括用于存储数据的字段,所述数据例如用户或装置标识符、交易金额、PIN代码之类的
安全数据、资源提供商标识符(例如,商家标识符)等。
[0038] “类别”可以是具有某些共同特性或属性且通过种类、类型或质量区别于其它事物的一组或一类事物。第一类别的实例可以是“欺诈”,而另一第二类别可以是“非欺诈”。类别
的其它实例可以包括“敏感”和“非敏感”。
的其它实例可以包括“敏感”和“非敏感”。
[0039] “神经网络”或“人工神经网络”可以是以人脑为模型的计算机系统。ANN基于称为人工神经元的连接单元或节点的集合,所述人工神经元松散地模拟了生物大脑中的神经
元。每个连接,比如在生物大脑中的突触,可以将信号从一个人工神经元传输到另一人工神
经元。接收信号的人工神经元可以处理信号,且接着向与所述人工神经元连接的额外人工
神经元发信号。
元。每个连接,比如在生物大脑中的突触,可以将信号从一个人工神经元传输到另一人工神
经元。接收信号的人工神经元可以处理信号,且接着向与所述人工神经元连接的额外人工
神经元发信号。
[0040] 在常见的ANN实施方案中,人工神经元之间的连接处的信号是实数,且每个人工神经元的输出是通过其输入的总和的某种非线性函数来计算的。人工神经元之间的连接称为
‘边缘’。人工神经元和边缘典型地具有随着学习进行而调整的权重。权重增大或减小连接
处的信号的强度。人工神经元可以具有阈值,使得仅在集合信号超越所述阈值时才发送信
号。通常,人工神经元聚集成层。不同的层可以对其输入执行不同种类的转换。信号可能在
多次穿过层之后,从第一层(输入层)行进到最后一层(输出层)。
‘边缘’。人工神经元和边缘典型地具有随着学习进行而调整的权重。权重增大或减小连接
处的信号的强度。人工神经元可以具有阈值,使得仅在集合信号超越所述阈值时才发送信
号。通常,人工神经元聚集成层。不同的层可以对其输入执行不同种类的转换。信号可能在
多次穿过层之后,从第一层(输入层)行进到最后一层(输出层)。
[0041] “离线神经网络”可以包括根据离线数据训练的神经网络。“离线数据”可以包括与当前交互无关联的数据,并且可以基于当前用户以及其它用户的交互。在一些实施例中,用
于训练离线神经网络的数据可以批量加载到历史交互数据库(例如,历史交易数据库)。
于训练离线神经网络的数据可以批量加载到历史交互数据库(例如,历史交易数据库)。
[0042] “在线神经网络”可以包括使用至少在线数据训练的神经网络。“在线数据”可以包括尚未加载到历史交互数据库的数据,并且与在当前交互的某一时间段(例如,一小时)内
发生的交互相关联。
发生的交互相关联。
[0043] “受损账户”可以包括已被未授权实体例如通过黑客攻击或中间人攻击访问的账户。与受损账户相关的数据可以包括账号、到期日期、PIN码、用户标识符、社会保障号、用户
名、生物特征等数据。此类数据通常被视为敏感数据,并且不会广泛提供给公众。
名、生物特征等数据。此类数据通常被视为敏感数据,并且不会广泛提供给公众。
[0044] “交互”可以包括互惠作用或影响。两方之间的交易,例如消费者与商家之间的交易,可以是交互的实例。其它交互可以包括用户在某些场所内使用特定数据或内容。
[0045] 交互的“当前数据”可以包括与特定交互相关联的数据。例如,如果交互是特定支付交易,则与所述特定支付交易相关联的当前数据可以包括交易金额、用于进行当前交互
的主账号或令牌、与用户交互的商家的商家标识符等。与访问安全数据的交易相关联的当
前数据可以包括正在使用的装置的装置ID、访问日期、访问时间以及用于访问安全数据的
装置的地理位置。
的主账号或令牌、与用户交互的商家的商家标识符等。与访问安全数据的交易相关联的当
前数据可以包括正在使用的装置的装置ID、访问日期、访问时间以及用于访问安全数据的
装置的地理位置。
[0046] “特征指示符”可以包括已被标识为适用于基于输入来预测结果的模型的变量。特征指示符可以从神经网络等分析模型中标识出。例如,神经网络可能已将特定交易金额范
围和特定商家ID标识为与欺诈高度相关。特定交易金额范围和特定商家ID可以被视为特征
指示符的实例。
围和特定商家ID标识为与欺诈高度相关。特定交易金额范围和特定商家ID可以被视为特征
指示符的实例。
[0047] 图1示出根据实施例的交易处理系统的框图。图1示出可操作用户装置10的用户8。用户8可以使用用户装置10在例如商家的资源提供商处为商品或服务付费。商家可以操作
资源提供商计算机30和/或访问装置20。商家可以经由收单方操作的传输计算机40和例如
支付处理网络的处理网络50与由发行方操作的授权计算机60通信。测试服务器70可以与处
理网络通信,或者可以存在于处理网络50内。
资源提供商计算机30和/或访问装置20。商家可以经由收单方操作的传输计算机40和例如
支付处理网络的处理网络50与由发行方操作的授权计算机60通信。测试服务器70可以与处
理网络通信,或者可以存在于处理网络50内。
[0048] 支付处理网络可以包括用以支持和递送授权服务、异常文件服务以及清算和结算TM
服务的数据处理子系统、网络和操作。示例性支付处理网络可以包括VisaNet 。例如
TM
VisaNet 等支付处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。
TM
VisaNet 确切地说包括处理授权请求的VIP系统(Visa集成式支付系统),和执行清算和结
算服务的Base II系统。支付处理网络可以使用任何合适的有线或无线网络,包括因特网。
服务的数据处理子系统、网络和操作。示例性支付处理网络可以包括VisaNet 。例如
TM
VisaNet 等支付处理网络能够处理信用卡交易、借记卡交易和其它类型的商业交易。
TM
VisaNet 确切地说包括处理授权请求的VIP系统(Visa集成式支付系统),和执行清算和结
算服务的Base II系统。支付处理网络可以使用任何合适的有线或无线网络,包括因特网。
[0049] 可以如下描述在访问装置20(例如,POS位置)处使用用户装置10的典型支付交易流程。用户8将其用户装置10呈现给访问装置20以为物品或服务付费。用户装置10和访问装
置20交互,使得来自用户装置10的访问数据(例如,PAN、支付令牌、验证值、到期日期等)由
访问装置20接收(例如,经由接触或非接触接口)。然后,资源提供商计算机30可以经由外部
通信接口从访问装置20接收此信息。然后,资源提供商计算机30可以生成授权请求消息,所
述授权请求消息包括从访问装置20接收到的信息(即,对应于用户装置10的信息)以及额外
交易信息(例如,交易金额、商家特定信息等),并将此信息以电子方式传输到传输计算机
40。然后,传输计算机40可以接收、处理和转发授权请求消息到处理网络50以进行授权。
置20交互,使得来自用户装置10的访问数据(例如,PAN、支付令牌、验证值、到期日期等)由
访问装置20接收(例如,经由接触或非接触接口)。然后,资源提供商计算机30可以经由外部
通信接口从访问装置20接收此信息。然后,资源提供商计算机30可以生成授权请求消息,所
述授权请求消息包括从访问装置20接收到的信息(即,对应于用户装置10的信息)以及额外
交易信息(例如,交易金额、商家特定信息等),并将此信息以电子方式传输到传输计算机
40。然后,传输计算机40可以接收、处理和转发授权请求消息到处理网络50以进行授权。
[0050] 处理网络50可以将授权请求消息或授权请求消息中的数据转发到测试服务器70。测试服务器70可以使用模型来评估授权请求消息中的数据,并且可以生成评分。所述评分
可以是欺诈评分,其指示正在进行的交易具有欺诈性的可能性。如果欺诈评分超出阈值,则
交易可以被拒绝。如果欺诈评分不超出阈值,则交易可以继续或可以被批准。在一些实施例
中,授权请求消息可被修改为包括评分。然后,授权请求消息可以被转发到授权计算机50。
下文进一步详细描述了有关示例性测试服务器以及测试服务器执行过程的其它细节。
可以是欺诈评分,其指示正在进行的交易具有欺诈性的可能性。如果欺诈评分超出阈值,则
交易可以被拒绝。如果欺诈评分不超出阈值,则交易可以继续或可以被批准。在一些实施例
中,授权请求消息可被修改为包括评分。然后,授权请求消息可以被转发到授权计算机50。
下文进一步详细描述了有关示例性测试服务器以及测试服务器执行过程的其它细节。
[0051] 大体来说,在支付交易发生之前,处理网络50已经关于发行方的交易将如何被授权而与每个发行方建立协议。在一些情况下,例如当交易金额低于阈值时,处理网络50可以
被配置成基于其所具有的关于用户账户的信息来授权交易,而无需生成并传输授权请求消
息到授权计算机60。在其它情况下,例如当交易金额高于阈值时,处理网络50可以接收授权
请求消息,确定与用户装置10相关联的发行方,且将交易的授权请求消息转发到授权计算
机60以进行验证和授权。一旦交易被授权,授权计算机60可以生成授权响应消息(其可以包
括指示交易被批准或被拒绝的授权码),并且经由其外部通信接口将此电子消息传输到处
理网络50。处理网络50可以随后将授权响应消息转发到传输计算机40,所述传输计算机又
可以随后将包括授权指示的电子消息传输到资源提供商计算机30,然后传输到访问装置
20。
被配置成基于其所具有的关于用户账户的信息来授权交易,而无需生成并传输授权请求消
息到授权计算机60。在其它情况下,例如当交易金额高于阈值时,处理网络50可以接收授权
请求消息,确定与用户装置10相关联的发行方,且将交易的授权请求消息转发到授权计算
机60以进行验证和授权。一旦交易被授权,授权计算机60可以生成授权响应消息(其可以包
括指示交易被批准或被拒绝的授权码),并且经由其外部通信接口将此电子消息传输到处
理网络50。处理网络50可以随后将授权响应消息转发到传输计算机40,所述传输计算机又
可以随后将包括授权指示的电子消息传输到资源提供商计算机30,然后传输到访问装置
20。
[0052] 如果访问数据呈令牌的形式,则处理网络50可以将令牌交换为真实凭证(例如,PAN)。然后,任何授权请求消息可被修改为包括真实凭证,并且其可以被转发到授权计算机
60以进行验证。授权计算机60可以生成具有批准或拒绝的授权响应消息。授权响应消息可
以传输到处理网络50,并且处理网络50可以将凭证替换为令牌。然后,处理网络50可以将授
权响应消息传输回访问装置20。
60以进行验证。授权计算机60可以生成具有批准或拒绝的授权响应消息。授权响应消息可
以传输到处理网络50,并且处理网络50可以将凭证替换为令牌。然后,处理网络50可以将授
权响应消息传输回访问装置20。
[0053] 在一天结束时或在某一其它合适的时间间隔,可以对交易执行在资源计算机30、传输计算机40、处理网络50和授权计算机60之间的清算和结算过程。
[0054] 实施例可以包括基于至少历史训练数据以及来自受损账户的数据创建评分,其可用于确定交易是否应该继续进行。在一些实施例中,包含历史训练数据的测试服务器可以
从损害分析师管理平台接收与受损账户相关联的数据,以生成可以准确评估交易是否应归
类于第一类别(例如,欺诈)或第二类别(例如,非欺诈)的模型。
从损害分析师管理平台接收与受损账户相关联的数据,以生成可以准确评估交易是否应归
类于第一类别(例如,欺诈)或第二类别(例如,非欺诈)的模型。
[0055] 在此类实施例中,发行方还可以使用测试服务器更准确地评估可由例如发行方之类的授权实体提议的欺诈规则。除了创建评分之外,测试服务器还可以允许发行方等授权
实体创建帮助将合法交易从欺诈性或潜在欺诈性交易中分离出来的自定义规则。
实体创建帮助将合法交易从欺诈性或潜在欺诈性交易中分离出来的自定义规则。
[0056] 本发明的一些实施例可以使用“交易分析”。交易分析可以基于由例如发行方之类的授权实体定义的规则执行。在本发明的实施例中,可以在单个规则中嵌入多个决策标准。
在实施例中,例如发行方之类的授权实体可以对照历史交易数据来测试其提议的自定义规
则的正确性或有效性。在验证一组规则的能行性之后,例如发行方之类的授权实体可以在
测试服务器平台中“发布”所述规则。已发布的规则集可以针对由发行方实时指定的账户范
围的所有后续交易来进行评估。
在实施例中,例如发行方之类的授权实体可以对照历史交易数据来测试其提议的自定义规
则的正确性或有效性。在验证一组规则的能行性之后,例如发行方之类的授权实体可以在
测试服务器平台中“发布”所述规则。已发布的规则集可以针对由发行方实时指定的账户范
围的所有后续交易来进行评估。
[0057] 测试服务器可以允许例如发行方之类的授权实体指定账号范围,针对所述账号范围,所提议的规则集可以被应用。如果授权实体可以将规则应用于特定账户,这将更合乎需
要。因此,在一些实施例中,测试服务器还可以在其评估交易是否可以继续进行时使用关于
受损账户的信息。
要。因此,在一些实施例中,测试服务器还可以在其评估交易是否可以继续进行时使用关于
受损账户的信息。
[0058] 实施例还可以包括或利用损害分析师管理平台或“CAMs”平台,所述平台允许发行方、收单方和商家等实体提供关于涉及潜在受损的账户的通知。例如,发行方可以提供详细
信息,确切说明支付或卡账户的哪些特征指示符(例如,PIN、CVV和持卡人个人信息等)受
损。在损害分析师管理平台接收并处理此信息后,其通过警报通知来通知受影响的发行方。
信息,确切说明支付或卡账户的哪些特征指示符(例如,PIN、CVV和持卡人个人信息等)受
损。在损害分析师管理平台接收并处理此信息后,其通过警报通知来通知受影响的发行方。
[0059] 实施例包括一种新架构,所述架构可以允许在除现有账户范围级别之外的个别账户级别上进行交易分析,最大限度地减少对真实交易的拒绝和误报情况,实施使发行方能
够最大限度地减少对真实交易的拒绝并更精确地截获欺诈性交易的欺诈概率评分的概念,
以及改进欺诈检测。
够最大限度地减少对真实交易的拒绝并更精确地截获欺诈性交易的欺诈概率评分的概念,
以及改进欺诈检测。
[0060] 实施例可以包括可提供许多优点的系统和方法。首先,实施例可以为例如发行方之类的授权实体提供平台,以基于个别账户或账户范围级别上相关联的风险来自定义规
则。目前,这些规则是在对与某一范围内的账户相关联的风险一无所知的情况下针对所述
账户范围设计的。第二,实施例可以提供针对当前欺诈趋势方法的规则能行性估计。第三,
实施例可以提供规则阻止当前欺诈和批准合法交易的成功率的预测概率。第四,实施例可
以在基于可能涉及潜在欺诈活动的受损账户来创建规则时向例如发行方之类的授权实体
提供建议。
则。目前,这些规则是在对与某一范围内的账户相关联的风险一无所知的情况下针对所述
账户范围设计的。第二,实施例可以提供针对当前欺诈趋势方法的规则能行性估计。第三,
实施例可以提供规则阻止当前欺诈和批准合法交易的成功率的预测概率。第四,实施例可
以在基于可能涉及潜在欺诈活动的受损账户来创建规则时向例如发行方之类的授权实体
提供建议。
[0061] 本发明的实施例可以评估授权请求消息中的数据,以确定是否应批准或拒绝交易。下面的表1示出典型交易授权请求中存在的一些字段及其值的实例。
[0062]
[0063] 在实施例中,可以使用交易中各种字段的组合来创建欺诈检测规则。举例来说,欺诈标识规则可以具有简单标准,例如:“如果商家名称为‘ABC欺诈公司’,则拒绝交易。”如下
所示,可以编写复杂规则,例如:“对于给定账号,如果在30分钟内发生多于三个交易,总交
易金额大于1000美元,且商家位置不在美国,则将交易标记为可能具有欺诈性。”对于给定
账号,此规则可以表示如下:
所示,可以编写复杂规则,例如:“对于给定账号,如果在30分钟内发生多于三个交易,总交
易金额大于1000美元,且商家位置不在美国,则将交易标记为可能具有欺诈性。”对于给定
账号,此规则可以表示如下:
[0064] 欺诈标准:
[0065] 图2示出根据实施例的系统的实例。图2中的系统可用于示出根据实施例的测试服务器可以如何获得对交易评分所需的数据。
[0066] 系统可以包括与数据加载器260进行操作性通信的用户接口210(其可以是客户端计算机的一部分,所述客户端计算机可以包括处理器以及耦合到处理器的计算机可读介质
和网络接口)。数据加载器260可以是驻存在计算机上的软件,所述软件可以与用户接口
210、测试服务器230以及损害分析师管理系统280(CAMs系统)进行通信,且可以协调其间的
数据传送。
和网络接口)。数据加载器260可以是驻存在计算机上的软件,所述软件可以与用户接口
210、测试服务器230以及损害分析师管理系统280(CAMs系统)进行通信,且可以协调其间的
数据传送。
[0067] 在图2中,发行方可以通过用户接口210连接到测试服务器230。发行方代表(即,用户)可以使用规则管理器216来创建规则,并且可以提交一组规则以使用规则测试模块212
来进行验证。规则验证过程的结果由规则测试报告模块214提供给用户。
来进行验证。规则验证过程的结果由规则测试报告模块214提供给用户。
[0068] 发行方代表可以通过用户接口210连接到损害分析师管理系统280。发行方代表可以使用提交CAMS警报模块218来提交包含受损账户的警报文件268。可以通过警报下载模块
220、报告模块224和搜索模块222对受损账户进行过滤、处理并将其提供给用户。
220、报告模块224和搜索模块222对受损账户进行过滤、处理并将其提供给用户。
[0069] 用户接口210使用数据加载器260与测试服务器230通信。数据加载器260向测试服务器230提交用户请求的规则文件270,并从测试服务器230接收响应报告文件266。
[0070] 欺诈数据可以由发行方和持卡人通过独立过程以平面文件262的形式提交。平面文件可以是可包含数据的文件。欺诈数据可以存储在欺诈交易数据库236中。
[0071] 来自支付处理网络(例如,VisaNet)的交易数据通过独立过程获得。此数据还呈平面文件264的形式,并且存储在历史交易数据库240中。
[0072] 测试服务器230可以包括至少三个组件和两个数据库。至少三个组件可以包括过程监督器232、本地数据处理器234和规则验证过程模块238。过程监督器232协调测试服务
器230内部的各种过程。本地数据处理器234可以负责所有存储器内数据处理需求。规则验
证过程模块238可以读取来自欺诈性交易数据库236的欺诈性交易和来自历史交易数据库
240的历史交易数据。规则验证过程模块238使用本地数据处理器234执行规则验证。规则验
证过程238的结果可以存储在欺诈性交易数据库236中。
器230内部的各种过程。本地数据处理器234可以负责所有存储器内数据处理需求。规则验
证过程模块238可以读取来自欺诈性交易数据库236的欺诈性交易和来自历史交易数据库
240的历史交易数据。规则验证过程模块238使用本地数据处理器234执行规则验证。规则验
证过程238的结果可以存储在欺诈性交易数据库236中。
[0073] 在一些实施例中,发行方将包含潜在或确定受损账户的警报文件提交到损害分析师管理系统280。发行方通过选择受损信息的各种片段来选择损害级别,并且这些信息片段
将与相关警报信息一起存储在受损账户数据库288中。
将与相关警报信息一起存储在受损账户数据库288中。
[0074] 损害分析师管理系统280选取由发行方提交的警报文件,并验证内部记录。此步骤去除不完整和重复的记录。
[0075] 处理后的警报文件220由损害分析师管理系统280后端警报分发和通知过程模块286每个发行方的基础上进行分解。可以向其它受影响的发行方通知其所订阅的账户范围
内受损的账户。警报文件被提供给发行方以用于下载受损账户的详细信息。发行方还可以
搜索损害事件的详细信息并查看相应的警报文件。发行方还可以下载包含关于受损账户的
信息的报告。
内受损的账户。警报文件被提供给发行方以用于下载受损账户的详细信息。发行方还可以
搜索损害事件的详细信息并查看相应的警报文件。发行方还可以下载包含关于受损账户的
信息的报告。
[0076] 图3示出了示出实施例的数据流图。所述实施例可以表征为人工神经网络欺诈估计器。欺诈估计器可以体现为测试服务器上的软件。
[0077] 如图3中所示,可以将确认的欺诈数据308添加到历史交互训练数据302。历史交易训练数据(特定类型的历史交互数据302)和确认的欺诈数据可以由计算机接收。历史交易
训练数据包括多个历史交易。每个历史交易与多个数据字段相关联,数据字段相互依赖。上
文在表1中提供了数据字段的实例。
训练数据包括多个历史交易。每个历史交易与多个数据字段相关联,数据字段相互依赖。上
文在表1中提供了数据字段的实例。
[0078] 历史交易训练数据可以包括大量交易的数据。此类交易可以是信用卡交易、借记卡交易或预付卡交易。在支付情境之外,此类交易可以包括数据访问交易、位置访问交易
等。历史交易训练数据中的交易数据可以包括已被标记(或分类)为欺诈性、非欺诈性和尚
未被确定的交易。确认的欺诈数据308可以包括近期被确认为已具有欺诈性的数据。可以使
用任何合适的时间段。例如,已在过去一天、一周或一月内被确认为具有欺诈性的交易数据
可以添加到确认的欺诈数据308。
等。历史交易训练数据中的交易数据可以包括已被标记(或分类)为欺诈性、非欺诈性和尚
未被确定的交易。确认的欺诈数据308可以包括近期被确认为已具有欺诈性的数据。可以使
用任何合适的时间段。例如,已在过去一天、一周或一月内被确认为具有欺诈性的交易数据
可以添加到确认的欺诈数据308。
[0079] 一旦获得历史交易训练数据,则将历史交互训练数据302输入到离线人工神经网络304A中。离线神经网络304A可以包括具有调谐参数的代码逻辑。
[0080] 在离线神经网络304A的形成中,计算机可以将多个权重分配到多个数据字段,并且计算机可以使用多个权重和多个数据字段来生成离线神经网络。然后,可能由计算机使
用离线神经网络304A来标识指示例如“欺诈”的第一类别的第一多个特征指示符,所述第一
类别与例如“非欺诈”的第二类别不同。因此,可以通过离线神经网络304A将某些欺诈特性
标识为特别指示欺诈。然后,此实例中的这些特征指示符或欺诈特性306可以包括在总体欺
诈指示符314中。
用离线神经网络304A来标识指示例如“欺诈”的第一类别的第一多个特征指示符,所述第一
类别与例如“非欺诈”的第二类别不同。因此,可以通过离线神经网络304A将某些欺诈特性
标识为特别指示欺诈。然后,此实例中的这些特征指示符或欺诈特性306可以包括在总体欺
诈指示符314中。
[0081] 所述方法还可以包括由计算机接收从与受损账户相关的数据导出的第二多个特征指示符。例如,可以从先前描述的损害分析师管理系统获得受损账户信息316。从受损账
户信息316中,可以提取受损的特征指示符,例如商家ID、CVV(卡验证值)和PIN。受损的特征
指示符可以包括可能已在数据泄露或其它账户损害中被获得的数据。例如,商家数据库可
能被黑客攻击,并且黑客可能已经窃取了账户数据,例如支付账号、CVV和PIN。此类数据以
及被攻击的商家的商家标识符,如果存在于授权请求消息中的交易数据中,则可能造成更
高的欺诈风险。此类数据可以表征为第二多个特征指示符。这些特征指示符可以添加到总
体欺诈指示符314。
户信息316中,可以提取受损的特征指示符,例如商家ID、CVV(卡验证值)和PIN。受损的特征
指示符可以包括可能已在数据泄露或其它账户损害中被获得的数据。例如,商家数据库可
能被黑客攻击,并且黑客可能已经窃取了账户数据,例如支付账号、CVV和PIN。此类数据以
及被攻击的商家的商家标识符,如果存在于授权请求消息中的交易数据中,则可能造成更
高的欺诈风险。此类数据可以表征为第二多个特征指示符。这些特征指示符可以添加到总
体欺诈指示符314。
[0082] 最后,实时交易数据310可以馈送到在线人工神经网络304B。在线人工神经网络304B可以包括具有调谐参数的代码逻辑304B。指示欺诈的特征可以从在线人工神经网络
304B确定,并且可以与总体欺诈指示符314一起收集。所标识的特征可以是第三多个特征。
来自离线人工神经网络304A的数据或特征可以提供给在线人工神经网络304B,以在某些情
况下帮助其进行训练。
304B确定,并且可以与总体欺诈指示符314一起收集。所标识的特征可以是第三多个特征。
来自离线人工神经网络304A的数据或特征可以提供给在线人工神经网络304B,以在某些情
况下帮助其进行训练。
[0083] 所述方法还可以包括使用第一多个特征、第二多个特征和第三多个特征来更新计算机中的概率分布组件。例如,一旦从离线人工神经网络304A、在线人工神经网络304B和受
损账户316收集到总体欺诈指示符,则可以使用概率分布组件318来考虑这些欺诈指示符的
集合。
损账户316收集到总体欺诈指示符,则可以使用概率分布组件318来考虑这些欺诈指示符的
集合。
[0084] 然后,概率分布组件318可以产生欺诈评分320。概率分布组件可以是驻存在先前描述的测试服务器上的软件模块。概率分布组件318可以是可应用于交易的当前数据中的
当前特征指示符的模型。概率分布组件318可以使用来自离线神经网络304A的欺诈特性
306、来自在线神经网络304B的数据以及关于受损账户316的数据来构建欺诈评分模型。欺
诈评分320可以由概率分布组件318输出。
当前特征指示符的模型。概率分布组件318可以使用来自离线神经网络304A的欺诈特性
306、来自在线神经网络304B的数据以及关于受损账户316的数据来构建欺诈评分模型。欺
诈评分320可以由概率分布组件318输出。
[0085] 说明性地,概率分布组件可以对由来自离线神经网络304A的欺诈特性306提供的数据、来自在线神经网络304B的数据以及关于受损账户316的数据的重要性进行加权,以构
建欺诈评分模型。在此实例中,来自离线神经网络304A的欺诈特性306可能指示:在商家X处
使用账号Y进行的低于100美元的交易可属于“低风险”。然而,来自在线神经网络304B的数
据可能指示商家X处已经发生了异常数量的退款,并且有关受损账户316的数据可能指示账
号Y近期在商家Z处受损。归因于来自在线网络神经网络304B的数据以及关于受损账户316
的数据,当前交易的评分可能是“高风险”,而不是如最初由离线神经网络304A标识的“低风
险”。
建欺诈评分模型。在此实例中,来自离线神经网络304A的欺诈特性306可能指示:在商家X处
使用账号Y进行的低于100美元的交易可属于“低风险”。然而,来自在线神经网络304B的数
据可能指示商家X处已经发生了异常数量的退款,并且有关受损账户316的数据可能指示账
号Y近期在商家Z处受损。归因于来自在线网络神经网络304B的数据以及关于受损账户316
的数据,当前交易的评分可能是“高风险”,而不是如最初由离线神经网络304A标识的“低风
险”。
[0086] 图4示出根据一些实施例的系统。图4中的系统具有测试服务器430中组件的更详细的分解。图4示出彼此进行操作性通信的用户接口410、数据加载器460和测试服务器430。
[0087] 用户接口410可以包括规则测试模块412、规则测试报告模块414和规则管理器416。这些组件可以分别类似于图1中的212、214和216。此外,在此特定实施方案中,实施例
将三个新服务添加到用户接口410。所述新服务包括规则欺诈评分模块418、预测趋势欺诈
规则模块420和预测欺诈交易模块422。
将三个新服务添加到用户接口410。所述新服务包括规则欺诈评分模块418、预测趋势欺诈
规则模块420和预测欺诈交易模块422。
[0088] 图4中的测试服务器430包括过程监督器432、本地数据处理器428、欺诈性交易数据库448和历史交易数据库452,所述欺诈性交易数据库和历史交易数据库可以类似于图1
中的236和240。测试服务器430还包括行为层组件434、趋势欺诈特征层组件436、值特征层
438和规则验证计量器440。
中的236和240。测试服务器430还包括行为层组件434、趋势欺诈特征层组件436、值特征层
438和规则验证计量器440。
[0089] 行为层434可以包括与模型中的每个特征相关联的权重。行为层434可以包括与账号相关联的行为简档。
[0090] 趋势欺诈特征层436可以包括与当前交易数据相关联的特征和权重。
[0091] 值特征层438可以结合来自行为层434和趋势欺诈层436的输出,以标识潜在欺诈性行为。
[0092] 规则验证计量器440可用于验证可经由用户接口410提供的规则。任何发行方提供的规则的验证都可以用来自值特征层438的数据和来自受损账户450的数据来进行确认。例
如,如果发行方提交了一个规则,规定如果交易超过100美元且位于商家X,则所述交易应被
批准。来自受损账户450的数据可以指示商家X近期出现数据泄露以及用于交易的账号存储
在商家X处。此信息可用于验证发行方的规则,或使得发行方更改规则。例如,由于账号受
损,可以更改规则,以使得如果交易超过100美元,则应拒绝在商家X处进行的任何交易。
如,如果发行方提交了一个规则,规定如果交易超过100美元且位于商家X,则所述交易应被
批准。来自受损账户450的数据可以指示商家X近期出现数据泄露以及用于交易的账号存储
在商家X处。此信息可用于验证发行方的规则,或使得发行方更改规则。例如,由于账号受
损,可以更改规则,以使得如果交易超过100美元,则应拒绝在商家X处进行的任何交易。
[0093] 测试服务器430可以运行负责提供用户接口410中的规则测试模块412、规则管理器418、预测趋势欺诈规则420和预测欺诈交易模块422所需的所有信息。对于欺诈验证,测
试服务器可以包括欺诈评分数据库448和欺诈性交易数据库448。
试服务器可以包括欺诈评分数据库448和欺诈性交易数据库448。
[0094] 在神经网络组件456中,从历史交易数据452中提取的特征用于创建优化的决策树或其它合适的分析模型。交易数据452可用于生成使用权重作为n变量的值而存储在数据库
中的神经网络。历史交易数据库452中的数据可以包含如上文在表1中所示的许多不同字段
中的数据。在创建决策树时,还考虑了变量的相互依赖性。例如,如果有效交易发生在格林
尼治标准时间21时30分(2130GMT),金额为X,而另一有效交易发生在格林尼治标准时间22
时30分(2230GMT),金额为Y,并且两个交易都在旧金山的商家处发生。可以调整“旧金山”商
家位置的权重,以适应这些有效交易。同样地,可以针对在定义的时间段内发生多个交易的
各种商家标识符来计算不同权重。
中的神经网络。历史交易数据库452中的数据可以包含如上文在表1中所示的许多不同字段
中的数据。在创建决策树时,还考虑了变量的相互依赖性。例如,如果有效交易发生在格林
尼治标准时间21时30分(2130GMT),金额为X,而另一有效交易发生在格林尼治标准时间22
时30分(2230GMT),金额为Y,并且两个交易都在旧金山的商家处发生。可以调整“旧金山”商
家位置的权重,以适应这些有效交易。同样地,可以针对在定义的时间段内发生多个交易的
各种商家标识符来计算不同权重。
[0095] 实施例可以使用关于时间的账号行为平面。行为平面可以基于与账号相关联的某些购买模式而随时间创建。例如,用户可以使用账号在电子商店和咖啡店进行频繁购买,而
另一用户可以在杂货店和加油站进行频繁购买。这些账号中的每一个都可以具有不同的行
为平面。用于创建行为平面的交易的各种特征可以相互依赖。如果发生当前交易,则可以将
来自所述交易的特征与所述账户的行为简档进行比较,以确定标准偏差评分。如果评分超
出阈值,则这可以指示欺诈。此信息可以并入到概率分布组件318中和/或可以从图3中的离
线人工神经网络304A中导出,以作为输入来产生欺诈评分320。此类信息还可以用于测试服
务器430以产生欺诈评分。
另一用户可以在杂货店和加油站进行频繁购买。这些账号中的每一个都可以具有不同的行
为平面。用于创建行为平面的交易的各种特征可以相互依赖。如果发生当前交易,则可以将
来自所述交易的特征与所述账户的行为简档进行比较,以确定标准偏差评分。如果评分超
出阈值,则这可以指示欺诈。此信息可以并入到概率分布组件318中和/或可以从图3中的离
线人工神经网络304A中导出,以作为输入来产生欺诈评分320。此类信息还可以用于测试服
务器430以产生欺诈评分。
[0096] 当交易发生时,可以从交易数据中提取各种特征,并针对概率分布组件(图3中的318)中的如上文所描述的当前欺诈模型运行所述各种特征。可以将每个特征的加权值与一
组当前趋势分析特征权重进行比较,并且将未加权值相互比较,以评估针对欺诈特征权重
的加权值的接近度。可由中间值生成的所得评分可以针对用户简档和欺诈简档两者提供交
易有效性的见解。此比较的一个优点在于,其消除了误报情况并为欺诈性交易创建了准确
的评分。
组当前趋势分析特征权重进行比较,并且将未加权值相互比较,以评估针对欺诈特征权重
的加权值的接近度。可由中间值生成的所得评分可以针对用户简档和欺诈简档两者提供交
易有效性的见解。此比较的一个优点在于,其消除了误报情况并为欺诈性交易创建了准确
的评分。
[0097] 说明性地,用户简档可以在针对特征的简单行为平面中具有如下权重。例如,在时间T1时,账户X的当前神经网络的交易权重Tw1为0.6且其商家ID权重Mw1为0.2。在时间T2
时,发生交易且所述交易在具有商家ID 555的商家处以500美元的交易金额进行。此信息可
以反馈回神经网络,并且交易金额的权重变为0.7,且商家ID的权重w2变为0.8。在时间T1和
时间T2时,相对于神经网络中的金额特征和商家ID特征的权重偏差可能在预测平面模型之
外,且将导致高风险评分。
时,发生交易且所述交易在具有商家ID 555的商家处以500美元的交易金额进行。此信息可
以反馈回神经网络,并且交易金额的权重变为0.7,且商家ID的权重w2变为0.8。在时间T1和
时间T2时,相对于神经网络中的金额特征和商家ID特征的权重偏差可能在预测平面模型之
外,且将导致高风险评分。
[0098] 以下实例将概述典型情景:(1)当前交易特征与正常行为平面的多个偏差;以及(2)与欺诈特征权重密切匹配的多个权重。
[0099] 对于欺诈性交易数据库448,对照保持潜在和确认的受损账户的存储库(例如,数据库450)检查交易中的账号。在一些实施例中,对于受损账户,可以使用反向传播对例如在
线或离线神经网络等神经网络的神经网络权重进行调整,以提高平面的灵敏度,并在新的
交易权重不同的情况下,对某些受损特征生成更高的风险评分,所述受损特征例如PIN、
CVV、到期日期、SSN(社会保障号)、持卡人信息和受损商家等。
线或离线神经网络等神经网络的神经网络权重进行调整,以提高平面的灵敏度,并在新的
交易权重不同的情况下,对某些受损特征生成更高的风险评分,所述受损特征例如PIN、
CVV、到期日期、SSN(社会保障号)、持卡人信息和受损商家等。
[0100] 说明性地,训练后的行为平面在商家位置(M)处在时间段Tp内的n个合计交易金额的权重可为0.4,且神经元M(Sn)的S型值(sigmoid value)可为0.58。对于任何新的交易,其
欺诈评估会在时间段T(p+1)内对(n+1)个合计交易金额生成调整为0.5的权重,并且所述交
易是已知受损商家的位置X处发生,则这针对M生成0.64的S型值(Sn+1)。
欺诈评估会在时间段T(p+1)内对(n+1)个合计交易金额生成调整为0.5的权重,并且所述交
易是已知受损商家的位置X处发生,则这针对M生成0.64的S型值(Sn+1)。
[0101] 潜在受损账户的前馈评分可通过如下函数计算。
[0102] 受损神经元的S型值=输入值(x)*权重(x)*神经元的欺诈权重。此处,神经元的欺诈权重是通过另一分析模式(例如,另一决策树)计算的,所述模式根据不断变化的欺诈技
术数据来不断更新神经元的权重,所述数据从各种来源(例如,支付处理器、发行方、用户
等)来到损害分析管理系统。
术数据来不断更新神经元的权重,所述数据从各种来源(例如,支付处理器、发行方、用户
等)来到损害分析管理系统。
[0103] 神经网络逻辑使用从输入层到输出层的各种激活函数来调整分支中的对应权重,并且不受本文中所论述的函数限制。此外,这些函数通过提供从随机森林(Random
Forests)运行的更准确输出的更新激活函数来连续更新。
Forests)运行的更准确输出的更新激活函数来连续更新。
[0104] 在实施例中可以使用任何合适类型的激活函数。
[0105] 以下可以是示例性S型(sigmoid)激活函数:
[0106] 初始输出特征神经元权重 输出值[特征[i]*特征的输入值]最终输‑Ofw
出神经元权重Ofw=1/(1+e )
出神经元权重Ofw=1/(1+e )
[0107] 以下可以是示例性双曲正切(TanH)激活函数。
[0108] 特征神经元的初始隐藏权重 输出值[特征[i]*特征的输入值]
[0109] 最终输出神经元权重Hfw=(eHfw‑e‑Hfw)/(eHfw+e‑Hfw)
[0110] 评分统计模块442能够实现各种特征。例如,在欺诈评分方面,发行方目前不知道给定规则可截获多少个欺诈性交易。使用实施例,支付处理器可以向发行方提供以下信息:
被规则截获的欺诈性交易的百分比、可能被规则拒绝的合法交易的数量以及针对欺诈的规
则的能行性评分。
被规则截获的欺诈性交易的百分比、可能被规则拒绝的合法交易的数量以及针对欺诈的规
则的能行性评分。
[0111] 在趋势欺诈规则方面,实施例能够提议可基于账户范围截获更准确的欺诈性交易且可提供这些账户范围的行为简档的规则。
[0112] 在欺诈性交易方面,实施例能够通过生成被截获的疑似欺诈性交易以及可能被规则拒绝的具有低风险评分的合法交易的报告来提供发行方所创建规则的能行性见解。这使
得发行方能够改进其规则,以更准确地针对欺诈行为。
得发行方能够改进其规则,以更准确地针对欺诈行为。
[0113] 图5示出了示出根据本发明的实施例的方法的流程图。
[0114] 在步骤S502,所述方法可以包括由计算机接收历史交互数据,其中历史交互数据包括多个历史交互,每个历史交互与多个数据字段相关联,数据字段相互依赖。计算机还将
多个权重分配到多个数据字段,然后在步骤S504,使用多个权重和多个数据字段生成(例
如,训练)神经网络。
多个权重分配到多个数据字段,然后在步骤S504,使用多个权重和多个数据字段生成(例
如,训练)神经网络。
[0115] 在步骤S506,计算机使用神经网络来标识或以其它方式获得指示第一类别的第一多个特征指示符,所述第一类别与第二类别不同。例如,第一类别可以被标为“欺诈”,而第
二类别可以被标为“非欺诈”。可能已由神经网络标识为区分交互是欺诈性还是非欺诈性的
特征指示符可以包括特定商家ID和特定交易金额范围。
二类别可以被标为“非欺诈”。可能已由神经网络标识为区分交互是欺诈性还是非欺诈性的
特征指示符可以包括特定商家ID和特定交易金额范围。
[0116] 在步骤S508,计算机接收从与受损账户相关的数据中导出的第二多个特征指示符,并且可以在步骤S510获得第二多个特征。例如,包括的账户可以包括被黑客攻击的商家
数据库中的账户。与这些账号相关联的账号和PIN码可能已被盗。与受损账户相关的数据可
以包括账号和PIN。
数据库中的账户。与这些账号相关联的账号和PIN码可能已被盗。与受损账户相关的数据可
以包括账号和PIN。
[0117] 在步骤S512,计算机接收近期交互数据,其中近期交互数据包括多个近期交互,每个近期交互与第二多个数据字段相关联,数据字段相互依赖。多个近期交互可以是多个近
期支付交易。这些近期支付交易的交互数据可以包括包含交易金额、账号、资源提供商标识
符、批准、拒绝、退款、撤销等的数据。
期支付交易。这些近期支付交易的交互数据可以包括包含交易金额、账号、资源提供商标识
符、批准、拒绝、退款、撤销等的数据。
[0118] 在步骤S514,计算机使用第二多个权重和与近期交互数据相关联的第二多个字段来生成第二神经网络。
[0119] 在步骤S516,计算机使用第二神经网络来标识指示第一类别的第三多个特征指示符。例如,第三多个特征指示符可以指示例如与资源提供商相关联的特定资源提供商标识
符之类的特征,并且这些资源提供商处异常数量的拒绝或退款可以是特征指示符的实例。
符之类的特征,并且这些资源提供商处异常数量的拒绝或退款可以是特征指示符的实例。
[0120] 在步骤S518,计算机使用第一多个特征指示符、第二多个特征指示符和第三多个特征指示符来更新计算机中的概率分布组件。此时,概率分布组件可以形成可用于对交互
评分的模型。
评分的模型。
[0121] 在步骤S522,可以由计算机接收交互的当前数据。交互可以是由用户与资源提供商进行的交易。更具体地说,交互可以是与商家进行的信用卡或借记卡交易。当前数据可以
是授权请求消息中存在的数据。此类数据可以包括账号、交易金额、商家ID、交易位置等。
是授权请求消息中存在的数据。此类数据可以包括账号、交易金额、商家ID、交易位置等。
[0122] 在步骤S524,可以对当前交互进行评分。交互可以由图3中先前描述的概率分布组件318来评分。可以适当地对第一、第二和第三多个特征指示符进行加权,以便得出当前交
互的评分。
互的评分。
[0123] 在步骤S526,可以根据评分而批准或拒绝当前交互。例如,如果评分高于阈值,则可以拒绝交互,而如果评分低于阈值,则可以批准交互。阈值可以是根据任何合适的标度的
任何合适的阈值。例如,标度可以是100,并且评分超过75可以指示“欺诈”,而评分低于或等
于75将指示“非欺诈”。
任何合适的阈值。例如,标度可以是100,并且评分超过75可以指示“欺诈”,而评分低于或等
于75将指示“非欺诈”。
[0124] 应注意,评分可用于批准或拒绝交易,或可以是可用于其它目的的信息。例如,可以将评分发送给发行方,以便发行方可以验证所提议的规则。例如,发行方可以提议规则,
并且所述规则可以应用于一组交易。还可以根据实施例对这组交易进行评分,并且可以根
据发行方所提议的规则将这些评分与交易分类进行比较。以此方式,可以评估发行方所提
议的规则的能行性。
并且所述规则可以应用于一组交易。还可以根据实施例对这组交易进行评分,并且可以根
据发行方所提议的规则将这些评分与交易分类进行比较。以此方式,可以评估发行方所提
议的规则的能行性。
[0125] 图6示出建筑物访问系统的框图。图6示出由用户600操作的用户装置610。如上文所描述,用户装置610已具有访问数据。移动装置610可以与访问装置620进行交互,并将访
问数据传递到访问装置620。访问装置620可以向测试服务器640提供访问数据,以验证接收
到的访问数据,并基于历史交互数据、近期交互数据以及与受损账户相关的数据来计算评
分。然后,测试服务器640可以基于确定评分是否超出阈值而判定用户600是否应被允许进
入建筑物630。测试服务器640可以将指示此判定的信号传输回访问装置620。然后,访问装
置620可以继续让用户600进入建筑物630。
问数据传递到访问装置620。访问装置620可以向测试服务器640提供访问数据,以验证接收
到的访问数据,并基于历史交互数据、近期交互数据以及与受损账户相关的数据来计算评
分。然后,测试服务器640可以基于确定评分是否超出阈值而判定用户600是否应被允许进
入建筑物630。测试服务器640可以将指示此判定的信号传输回访问装置620。然后,访问装
置620可以继续让用户600进入建筑物630。
[0126] 本申请中描述的任何软件组件或功能可以使用例如常规的或面向对象的技术并且使用任何合适的计算机语言(例如,Java、C++或Perl)实施为由处理器执行的软件代码。
软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软
盘的磁性介质或例如CD‑ROM的光学介质的计算机可读介质上的一系列指令或命令。任何此
类计算机可读介质可以驻存在单个计算设备上或单个计算设备内,并且可存在于系统或网
络内的不同计算设备上或不同计算设备内。
软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软
盘的磁性介质或例如CD‑ROM的光学介质的计算机可读介质上的一系列指令或命令。任何此
类计算机可读介质可以驻存在单个计算设备上或单个计算设备内,并且可存在于系统或网
络内的不同计算设备上或不同计算设备内。
[0127] 以上描述是说明性的而非限制性的。本发明的许多变化在所属领域的技术人员查阅本公开后可变得显而易见。因此,本发明的范围可不参考以上描述来确定,而是可参考待
决的权利要求以及其完整范围或等同物来确定。
决的权利要求以及其完整范围或等同物来确定。
[0128] 在不脱离本发明的范围的情况下,任何实施例的一个或多个特征可与任何其它实施例的一个或多个特征组合。
[0129] 除非明确指示有相反的意思,否则“一”或“所述”的叙述旨在表示“一个或多个”。
[0130] 上文提及的所有专利、专利申请、公开案和描述都出于所有目的以全文引用的方式并入。并非承认它们是现有技术。