用于欺诈检测和分析的用户建模制造技术

本发明专利技术提供了用于预测账户中用户的预期行为的系统和方法。该系统和方法自动生成对应于用户的因果模型。该系统和方法使用在用户的账户中由用户承办的第一组事件的事件参数来估计因果模型的多个组分。该系统和方法使用因果模型来预测用户在第二组事件期间的预期行为。

【技术实现步骤摘要】
【国外来华专利技术】用于欺诈检测和分析的用户建模相关申请本申请要求于2008年6月12日提交的第61/061,092号美国(US)专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,095号美国专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,096号美国专利申请的优先权。本申请要求于2008年6月12日提交的第61/061,097号美国专利申请的优先权。
本文中的公开总体上涉及欺诈检测和分析。具体地，本公开涉及使用基于行为的建模的欺诈检测。
技术介绍
在线环境下追踪欺诈是一个难以解决的问题。欺诈者手段迅速地发展，并且现在的复杂犯罪方法意味着在线账户欺诈常常看上去完全不像欺诈。事实上，欺诈者可以看上去并且表现得完全像客户一样。由于现在的欺诈者使用将在线步骤和离线步骤(其中的任意一个看上去都是完全可接受的，但当以结合量考虑时，相当于欺诈攻击)这两者结合的多渠道欺诈方法，因此，使得进行精确检测更加困难。根据有限的欺诈资源识别值得行动的真正可疑事件就像大海捞针。结果，客户金融和信息资产面临风险，并且在线渠道的完整性也面临风险。公司完全没有预见每个可能的在线欺诈威胁并对其作出反应的资源。现在的攻击暴露了过去的在线欺诈防止技术的不足，过去的在线欺诈防止技术跟不上所组织的欺诈网络及其惊人的创新速度。被动策略对欺诈者不再有效。常常，当客户就损失抱怨时，金融机构才知道发生欺诈。通过在该犯罪行为后尝试定义新的检测规则来阻止欺诈者不再实际，这是因为根本无法预料每种新欺诈模式并对其作出反应。保持在被动方式使得追踪在线防风险措施的性能随着时间的过去而变得更加困难。充分监控趋势、策略控制和合规要求仍然使许多机构逃脱。希望在通常有用更加必要的安全层解决在线欺诈问题的传统技术不能解决其核心问题。这些方案经常借用来自其他市场领域的技术(例如，信用卡欺诈、网站分析)，然后尝试利用混合结果扩展在线欺诈检测的功能。通常，这些方案对在线用户经验造成负面影响。尝试解决在线欺诈问题的传统可选方案包括基于多重因素和风险的认证方案以及基于欺诈规则、欺诈指示符和欺诈模式的交易监控方案。由于基于多重因素和风险的认证方案通常导致错误检测(错误肯定)多并返回不起作用的信息，因此，基于多重因素和风险的认证方案是无效的。认证失败和对质疑问题的要求不是精确的欺诈指示符，并且质疑率太高而不能根据有限的欺诈调查资源来采取行动。它们(基于多重因素和风险的认证方案)的欺诈检测能力(例如，装置标识、小段信息(cookies)等)并没有传递所需的性能，并且缺乏丰富的行为模型和调查可疑活动所需的账户历史。近来，欺诈者已展示了完全智胜该技术的能力。基于欺诈规则、欺诈指示符和欺诈模式的交易监控方案一般总是落后于最新的欺诈技术。这些方案仅仅对已知的威胁作出反应，而不是随着新新的威胁发生而认识到新的威胁。这些方案需要复杂的规则发展和维护(已知用于算法训练(algorithmtraining)的欺诈“真值集(truthset)”、以及正在进行的“护理和照料”维护，以尽量保持最新。结果，这些方案不能查出新的欺诈类型和模式。一旦违犯发生，大多数返回关于任何指定欺诈示例的最少细节、少量背景、个人用户行为的有限特征、不可视分析、粒度小的风险评分和最小取证。引用结合在本说明书中提到的每个专利、专利申请和/或公布在本文中通过引用全部结合于此，达到如同每个单独的专利、专利申请和/或公布被专门且单独地表示为通过引用结合于此的程度。附图说明图1是根据实施例的欺诈防止系统(FPS)的框图。图2A和图2B示出根据实施例的与网上银行应用集成的FPS的框图。图3是根据实施例的使用FPS预测预期行为的方法的流程图。图4是根据实施例的使用FPS估计账户所有者的动作的方法的流程图。图5是根据实施例的使用FPS确定由用户执行未来事件与由欺诈者执行未来事件的相对似然(likelihood)的方法的流程图。图6是根据实施例的使用FPS来生成可能欺诈活动的警告的流程图。图7示出根据现有技术的应用于用户(“普通用户”)活动的传统欺诈技术(“欺诈认识”)的使用。图8示出根据实施例的应用于用户活动的动态账户建模的使用。图9是根据实施例的FPS图形接口(AUI)的示例屏幕。图10示出根据实施例的FPS图形接口(AUI)的示例屏幕(图9)的变形例。图11是示出根据实施例的、用户的正常使用行为的示例AUI。图12是示出根据实施例的、对用户的第一红色(RED)警报的示例AUI。图13是示出根据实施例的、对用户的第二红色警报的示例AUI。图14是示出根据实施例的、对于用户账户附加的示例AUI。图15是示出根据实施例的欺诈匹配视图的示例AUI。图16是示出根据实施例的、在相对于时间绘制的欺诈匹配视图中获得的结果的另一示例AUI。具体实施方式下文描述用在防止账户欺诈和身份盗用中的欺诈防止系统和方法，从而提供保护在线渠道和离线渠道的实时风险管理方案。本文中所述的欺诈防止系统和方法(本文中统称为欺诈防止系统(FPS))利用基于行为的建模和丰富分析支持端到端风险管理处理。如下文所详述的，FPS提供针对整个风险管理生命周期的基于分析的软件方案。作为综合风险管理方案的一部分，实施例中的FPS通过以下步骤将数据分析、在线域(onlinedomain)和欺诈专门知识联系起来：提供个人行为的预测模型、动态地调节以识别异常且可疑的活动，并且提供能够起作用的警报和充分的调查能力。FPS自动检测新的且正发展的欺诈威胁，而无需任何欺诈规则/模式发展或正在进行的维护努力。在以下描述中，为了提供对FPS的实施例的彻底理解和启用描述，介绍了许多具体细节。然而，相关领域的技术人员会认识到，在不具有一个或多个具体细节、或者具有其他组件、系统等的情况下也可以实现这些实施例。在其他情况下，没有示出或者没有详细描述已知结构或操作，以避免使所公开的实施例的各方面难以理解。在本文所提供的描述和示例中，用户或客户为账户的所有者，欺诈者为不是用户或账户所有者的任何人，并且分析者或雇员为FPS系统的用户。图1是根据实施例的FPS100的框图。FPS100包括耦合至风险应用104的风险引擎102。风险引擎102包括或提供使用个人在线客户行为的预测模型以及分析学(其一起检测欺诈并最小化错误肯定)的应用。不同于传统的方法，风险引擎应用包括实时动态账户建模，其自动检测新的欺诈攻击而不需要规则演变或算法训练。风险引擎104以有助于调查、解析和风险监控的可视分析接口为特征。本文中也将包括在风险应用104中和/或耦合至风险应用104的可视分析接口称为分析用户接口(AUI)。不只简单警报，风险应用104还向分析者传递高保真(high-fidelity)风险分数和在风险分数背后的广泛上下文信息，以支持综合分析和调查。实施例中的风险引擎102使用个人在线客户行为的预测模型来检测新的和新兴的欺诈方案，因而，这将普通用户行为与可疑活动区分开。风险引擎102可在能得到时基于关于欺诈威胁的已知信息使用欺诈模型，但不取决于知道详细的欺诈模式或预先定义的欺诈规则。为了便于与客户的在线渠道综合，风险引擎102以用于更广泛综合和配置选择的基于实时API和文件这两者的批量控制器为特征。如本文本文档来自技高网...

【技术保护点】
１．一种方法，包括：自动生成对应于用户的因果模型；使用所述用户的账户中由所述用户承办的第一组事件的事件参数来估计所述因果模型的多个组分；以及使用所述因果模型来预测所述用户在第二组事件期间的预期行为。

【技术特征摘要】
【国外来华专利技术】US61/061,0922008年6月12日1.一种用于预测账户中用户的预期行为的方法，包括：自动生成表示用户的账户中由所述用户承办的活动的因果模型；使用所述账户中由所述用户承办的第一组事件的事件参数来估计所述因果模型的多个组分，其中，所述事件参数包括在所述第一组事件期间收集的数据；在假设第二组事件由所述用户承办的情况下、使用所述因果模型来预测所述用户在所述第二组事件期间的预期行为；以及在假设所述第二组事件由欺诈者承办的情况下、使用预测欺诈模型来预测所述欺诈者在所述第二组事件期间的预期行为，其中，所述预测欺诈模型独立于所述因果模型，并且使用表示多个欺诈者在多个第三方账户中的活动的数据来生成所述预测欺诈模型。2.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成所述多个组分中的组分之间的统计关系。3.根据权利要求1所述的方法，包括将所述因果模型表示为贝叶斯网络。4.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成包括所述多个组分的联合概率分布。5.根据权利要求4所述的方法，其中，所述多个组分包括表示所述事件参数的多个概率分布函数。6.根据权利要求5所述的方法，其中，所述事件参数是在所述第一组事件期间所收集的可观察参数。7.根据权利要求6所述的方法，其中，所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。8.根据权利要求7所述的方法，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。9.根据权利要求7所述的方法，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。10.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成所述事件参数与导出参数之间的统计关系。11.根据权利要求10所述的方法，其中，所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。12.根据权利要求1所述的方法，其中，预测所述用户的所述预期行为包括：生成所述第二组事件的预期事件参数。13.根据权利要求12所述的方法，其中，生成所述预期事件参数包括：生成表示所述预期事件参数的第一组预测概率分布，其中，生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。14.根据权利要求1所述的方法，包括：接收预测欺诈模型；以及生成表示预期欺诈事件参数的第二组预测概率分布，其中，生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件，其中，所述欺诈者是除了所述用户外的任何人。15.根据权利要求14所述的方法，包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分，来自动生成所述预测欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。16.根据权利要求15所述的方法，其中，自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。17.根据权利要求15所述的方法，其中，自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。18.根据权利要求17所述的方法，其中，所述导出欺诈参数包括用于所述欺诈事件的装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。19.根据权利要求14所述的方法，包括：使用预期事件参数和所述预期欺诈事件参数以及观察参数来实时生成所述第二组事件中的事件的风险分数。20.根据权利要求1所述的方法，包括：当所述预期行为表明除了所述用户外的人正在进行所述第二组事件中的事件时，生成与所述第二组事件中的所述事件相对应的警报。21.根据权利要求1所述的方法，包括：使用在所述第二组事件期间收集的第二组事件参数，来自动更新所述因果模型。22.根据权利要求21所述的方法，其中，所述第二组事件参数是在所述第二组事件期间所收集的可观察参数。23.根据权利要求21所述的方法，其中，自动更新所述因果模型包括更新包括所述多个组分的联合概率分布。24.根据权利要求21所述的方法，其中，自动更新所述因果模型包括更新所述多个组分中的至少一个组分。25.根据权利要求21所述的方法，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。26.根据权利要求21所述的方法，包括：针对所述第一组事件中的每个所述事件参数，生成概率分布函数；以及通过将所述第二组事件中的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。27.根据权利要求26所述的方法，包括：接收对应于所述用户的基线因果模型，所述基线因果模型是在不使用任何事件的数据的情况下生成的；以及通过生成包括所述多个组分的联合概率分布来生成所述因果模型，其中，所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。28.根据权利要求1所述的方法，其中，所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。29.根据权利要求28所述的方法，其中，在线事件是经由对所述账户的电子访问而承办的事件。30.根据权利要求1所述的方法，其中，事件包括登录事件。31.根据权利要求1所述的方法，其中，事件包括活动事件。32.根据权利要求1所述的方法，其中，一组事件包括会话，其中，所述会话是一系列相关事件。33.根据权利要求32所述的方法，其中，所述一系列相关事件包括会话登录事件和终止事件。34.根据权利要求33所述的方法，其中，所述一系列相关事件包括至少一个活动事件。35.根据权利要求1所述的方法，包括：概率地确定所述第二组事件由所述用户进行过；使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型。36.根据权利要求35所述的方法，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。37.根据权利要求35所述的方法，包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的横跨所述多组事件的累积概率。38.根据权利要求1所述的方法，其中，自动生成所述因果模型包括生成包括衰减参数的所述因果模型。39.根据权利要求38所述的方法，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。40.一种用于预测账户中用户的预期行为的方法，包括：接收对应于第一事件的多个观察，所述第一事件包括在对账户的电子访问期间在所述账户中执行的动作；生成所述观察与所述账户的所有者的导出参数之间的概率关系；自动生成包括所述概率关系的账户模型；使用所述账户模型来估计所述所有者在第二事件期间的动作，其中，所述第二事件在时间上跟随所述第一事件；以及使用预测欺诈模型来预测欺诈者在所述第二事件期间的预期行为，其中，所述预测欺诈模型独立于所述概率关系。41.一种用于预测账户中用户的预期行为的方法，包括：自动生成表示用户的账户中由所述用户承办的活动的因果模型，所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分；在假设下一事件由所述用户承办的情况下、使用所述因果模型预测所述用户在所述账户中的所述下一事件期间的预期行为，其中，预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数；使用预测欺诈模型预测欺诈者在所述下一事件期间的预期行为，其中，所述预测欺诈模型独立于所述因果模型；接收所述下一事件的观察事件参数；以及更新用在未来事件中的所述因果模型，所述更新包括基于所述预期事件参数与观察事件参数之间的关系重新生成所述多个组分。42.一种用于预测账户中用户的预期行为的系统，包括：用于接收在用户的账户中由所述用户承办的第一组事件的事件参数的装置；用于通过使用所述第一组事件的所述事件参数估计因果模型的多个组分来自动生成表示所述用户的账户中由所述用户承办的活动的所述因果模型的装置；用于在假设第二组事件由所述用户承办的情况下、使用所述因果模型来输出对所述用户在所述第二组事件期间的预期行为的预测的装置；以及用于在假设所述第二组事件由欺诈者承办的情况下、使用欺诈模型来输出对所述欺诈者在所述第二组事件期间的预期行为的预测的装置。43.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。44.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成包括所述多个组分的联合概率分布。45.根据权利要求44所述的系统，其中，所述多个组分包括表示所述事件参数的多个概率分布函数。46.根据权利要求45所述的系统，其中，所述事件参数是在所述第一组事件期间所收集的可观察参数。47.根据权利要求46所述的系统，其中，所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。48.根据权利要求47所述的系统，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。49.根据权利要求47所述的系统，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。50.根据权利要求42所述的系统，其中，自动生成所述因果模型包括：生成所述事件参数与导出参数之间的统计关系。51.根据权利要求50所述的系统，其中，所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。52.根据权利要求42所述的系统，其中，预测所述用户的所述预期行为包括：生成所述第二组事件的预期事件参数。53.根据权利要求52所述的系统，其中，生成所述预期事件参数包括生成表示所述预期事件参数的第一组预测概率分布，其中，生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。54.根据权利要求53所述的系统，包括：用于接收预测欺诈模型的装置；以及用于生成表示预期欺诈事件参数的第二组预测概率分布的装置，其中，生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件，其中，所述欺诈者是除了所述用户外的任何人。55.根据权利要求54所述的系统，包括：用于使用所述预期事件参数和所述预期欺诈事件参数以及观察参数来实时生成所述第二组事件中的事件的风险分数的装置。56.根据权利要求42所述的系统，包括：用于当所述预期行为表明除了所述用户外的人正在进行所述事件时，生成与所述第二组事件中的事件相对应的警报的装置。57.根据权利要求42所述的系统，包括：用于使用在所述第二组事件期间收集的第二组事件参数，来自动更新所述因果模型的装置。58.根据权利要求57所述的系统，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。59.根据权利要求57所述的系统，包括：用于针对所述第一组事件中的每个所述事件参数，生成概率分布函数的装置；以及用于通过将所述第二组事件的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数的装置。60.根据权利要求42所述的系统，其中，所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。61.根据权利要求60所述的系统，其中，在线事件是经由对所述账户的电子访问而承办的事件。62.根据权利要求42所述的系统，其中，事件包括登录事件。63.根据权利要求42所述的系统，其中，事件包括活动事件。64.根据权利要求42所述的系统，其中，一组事件包括会话，其中，所述会话是一系列相关事件。65.根据权利要求42所述的系统，包括：用于概率地确定所述第二组事件由所述用户进行过的装置；用于使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型的装置。66.根据权利要求65所述的系统，包括用于将所述因果模型更新为包括信任因子的装置，所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。67.根据权利要求65所述的系统，包括用于将所述因果模型更新为包括累积信任因子的装置，所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的跨越所述多组事件的累积概率。68.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成包括衰减参数的所述因果模型。69.根据权利要求68所述的系统，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。70.一种用于预测账户中用户的预期行为的系统，包括：用于接收在用户的账户中由所述用户承办的第一组事件的事件参数的装置；用于自动生成表示用户的账户中由所述用户承办的活动的账户模型的装置，所述账户模型包括多个组分，其中，生成所述账户模型包括使用所述第一组事件的事件参数来生成所述多个组分；用于在假设第二组事件由所述用户承办的情况下、使用所述账户模型来预测所述用户在所述第二组事件期间的预期行为的装置；用于使用预测欺诈模型来预测欺诈者在所述第二组事件期间的预期行为的装置；以及用于生成用在一组未来事件中的所述账户模型的更新版本的装置，所述更新包括使用所述第二组事件重新生成所述多个组分。71.一种用于欺诈检测和分析的方法，包括：自动生成对应于用户的因果模型，所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分；使用所述因果模型来预测所述用户在所述账户中的下一事件期间的预期行为，其中，预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数；使用预测欺诈模型，生成欺诈事件参数，其中，生成所述欺诈事件参数假设欺诈者正在进行所述下一事件，其中，所述欺诈者是除所述用户之外的任何人；以及使用所述预期事件参数和所述欺诈事件参数来生成所述下一事件的风险分数，所述风险分数表示由所述用户执行未来事件与由所述欺诈者执行未来事件的相对似然。72.根据权利要求71所述的方法，包括：通过使用在多个账户中所承办的先前欺诈事件的所述欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分，来自动生成所述预测欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。73.根据权利要求72所述的方法，其中，自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。74.根据权利要求72所述的方法，其中，自动生成所述预测欺诈模型包括：生成包括所述多个欺诈组分的联合概率分布。75.根据权利要求74所述的方法，其中，所述多个欺诈组分包括表示所述欺诈事件参数的多个欺诈概率分布函数。76.根据权利要求75所述的方法，其中，所述欺诈事件参数是在所述先前欺诈事件期间所收集的可观察欺诈参数。77.权利要求71所述的方法，其中，自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。78.根据权利要求77所述的方法，其中，所述导出欺诈参数包括用于所述欺诈事件的装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。79.根据权利要求71所述的方法，包括生成所述预测欺诈模型。80.根据权利要求79所述的方法，其中，生成所述预测欺诈模型包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。81.根据权利要求80所述的方法，其中，生成所述预测欺诈模型包括：生成所述原始欺诈模型和假冒模型的概率组合。82.根据权利要求81所述的方法，包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。83.根据权利要求81所述的方法，其中，生成所述预测欺诈模型包括生成包括假冒概率的所述预测欺诈模型，其中，所述假冒概率是所述欺诈者成功地假冒由所述用户承办的一组事件的事件参数的参数值的概率。84.根据权利要求81所述的方法，其中，所述假冒模型包括所述欺诈者模仿由所述用户承办的一组事件的事件参数的概率。85.根据权利要求81所述的方法，其中，所述假冒模型包括所述欺诈者观察由所述用户承办的一组事件的事件参数的概率。86.根据权利要求81所述的方法，包括：识别至少一个先前欺诈事件，先前欺诈事件包括在所述账户中可能由所述欺诈者引起的先前事件；通过使用在所述账户中所承办的至少一个先前欺诈事件的事件参数估计所述欺诈模型的多个组分，来生成所述原始欺诈模型，所述至少一个先前欺诈事件可能由所述欺诈者进行。87.根据权利要求86所述的方法，包括：基于可能由所述欺诈者进行的至少一个先前事件来修改所述预测欺诈模型。88.根据权利要求86所述的方法，包括：生成包括可能由所述欺诈者进行至少一个先前事件的欺诈同现系数的所述预测欺诈模型。89.根据权利要求88所述的方法，其中，所述欺诈同现系数表示从可能由所述欺诈者进行的所述至少一个先前事件递归导出的累积不信任。90.根据权利要求88所述的方法，其中，所述欺诈同现系数包括表示可能由所述欺诈者进行的多个先前事件的影响的系数。91.根据权利要求71所述的方法，其中，自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。92.根据权利要求71所述的方法，其中，自动生成所述因果模型包括：生成包括所述多个组分的联合概率分布。93.根据权利要求92所述的方法，其中，所述多个组分包括表示所述先前事件的事件参数的多个概率分布函数。94.根据权利要求93所述的方法，其中，所述事件参数是在所述先前事件期间所收集的可观察参数。95.根据权利要求94所述的方法，其中，所述事件参数包括互联网协议IP数据和超文本传输协议HTTP数据中的一个或多个。96.根据权利要求95所述的方法，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。97.根据权利要求95所述的方法，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。98.根据权利要求71所述的方法，其中，自动生成所述因果模型包括生成所述事件参数与导出参数之间的统计关系。99.根据权利要求98所述的方法，其中，所述导出参数包括装置正在发起所述下一事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。100.根据权利要求71所述的方法，其中，预测所述用户的所述预期行为包括：生成所述下一事件的预期事件参数。101.根据权利要求100所述的方法，其中，生成所述预期事件参数包括：生成表示所述预期事件参数的第一组预期概率分布，其中，生成所述第一组预期概率分布假设所述用户正进行所述下一事件。102.根据权利要求71所述的方法，包括：当所述风险分数表示除了所述用户外的人正在进行所述下一事件时，生成对应于所述下一事件的警报。103.根据权利要求71所述的方法，包括：使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。104.根据权利要求103所述的方法，其中，所述第二组事件参数是在所述下一事件期间所收集的可观察参数。105.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新包括所述多个组分的联合概率分布。106.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新所述多个组分中的至少一个组分。107.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。108.根据权利要求103所述的方法，包括：针对所述先前事件的每个所述事件参数，生成概率分布函数；以及通过将所述下一事件的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。109.根据权利要求108所述的方法，包括：接收对应于所述用户的基线因果模型，所述基线因果模型是在没有使用任何事件的数据的情况下生成的；以及通过生成包括所述多个组分的联合概率分布来生成所述因果模型，其中，所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。110.根据权利要求71所述的方法，其中，所述先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个。111.根据权利要求110所述的方法，其中，在线事件是经由对所述账户的电子访问所承办的事件。112.根据权利要求71所述的方法，其中，事件包括登录事件。113.根据权利要求71所述的方法，其中，事件包括活动事件。114.根据权利要求71所述的方法，包括：概率地确定所述下一事件由所述用户进行过；使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。115.根据权利要求114所述的方法，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述下一事件实际上由所述用户进行过的概率。116.根据权利要求114所...

【专利技术属性】
技术研发人员：汤姆·米尔顿伯格，
申请(专利权)人：加迪安分析有限公司，
类型：发明
国别省市：US