CN102203724A - 用于欺诈检测和分析的用户建模 - Google Patents

Abstract

本发明提供了用于预测账户中用户的预期行为的系统和方法。该系统和方法自动生成对应于用户的因果模型。该系统和方法使用在用户的账户中由用户承办的第一组事件的事件参数来估计因果模型的多个组分。该系统和方法使用因果模型来预测用户在第二组事件期间的预期行为。

Description

用于欺诈检测和分析的用户建模

相关申请

本申请要求于2008年6月12日提交的第61/061,092号美国(US)专利申请的优先权。

本申请要求于2008年6月12日提交的第61/061,095号美国专利申请的优先权。

本申请要求于2008年6月12日提交的第61/061,096号美国专利申请的优先权。

本申请要求于2008年6月12日提交的第61/061,097号美国专利申请的优先权。

技术领域

本文中的公开总体上涉及欺诈检测和分析。具体地，本公开涉及使用基于行为的建模的欺诈检测。

背景技术

在线环境下追踪欺诈是一个难以解决的问题。欺诈者手段迅速地发展，并且现在的复杂犯罪方法意味着在线账户欺诈常常看上去完全不像欺诈。事实上，欺诈者可以看上去并且表现得完全像客户一样。由于现在的欺诈者使用将在线步骤和离线步骤(其中的任意一个看上去都是完全可接受的，但当以结合量考虑时，相当于欺诈攻击)这两者结合的多渠道欺诈方法，因此，使得进行精确检测更加困难。根据有限的欺诈资源识别值得行动的真正可疑事件就像大海捞针。

结果，客户金融和信息资产面临风险，并且在线渠道的完整性也面临风险。公司完全没有预见每个可能的在线欺诈威胁并对其作出反应的资源。现在的攻击暴露了过去的在线欺诈防止技术的不足，过去的在线欺诈防止技术跟不上所组织的欺诈网络及其惊人的创新速度。

被动策略对欺诈者不再有效。常常，当客户就损失抱怨时，金融机构才知道发生欺诈。通过在该犯罪行为后尝试定义新的检测规则来阻止欺诈者不再实际，这是因为根本无法预料每种新欺诈模式并对其作出反应。保持在被动方式使得追踪在线防风险措施的性能随着时间的过去而变得更加困难。充分监控趋势、策略控制和合规要求仍然使许多机构逃脱。

希望在通常有用更加必要的安全层解决在线欺诈问题的传统技术不能解决其核心问题。这些方案经常借用来自其他市场领域的技术(例如，信用卡欺诈、网站分析)，然后尝试利用混合结果扩展在线欺诈检测的功能。通常，这些方案对在线用户经验造成负面影响。

尝试解决在线欺诈问题的传统可选方案包括基于多重因素和风险的认证方案以及基于欺诈规则、欺诈指示符和欺诈模式的交易监控方案。由于基于多重因素和风险的认证方案通常导致错误检测(错误肯定)多并返回不起作用的信息，因此，基于多重因素和风险的认证方案是无效的。认证失败和对质疑问题的要求不是精确的欺诈指示符，并且质疑率太高而不能根据有限的欺诈调查资源来采取行动。它们(基于多重因素和风险的认证方案)的欺诈检测能力(例如，装置标识、小段信息(cookies)等)并没有传递所需的性能，并且缺乏丰富的行为模型和调查可疑活动所需的账户历史。近来，欺诈者已展示了完全智胜该技术的能力。

基于欺诈规则、欺诈指示符和欺诈模式的交易监控方案一般总是落后于最新的欺诈技术。这些方案仅仅对已知的威胁作出反应，而不是随着新新的威胁发生而认识到新的威胁。这些方案需要复杂的规则发展和维护(已知用于算法训练(algorithm training)的欺诈“真值集(truth set)”、以及正在进行的“护理和照料”维护，以尽量保持最新。结果，这些方案不能查出新的欺诈类型和模式。一旦违犯发生，大多数返回关于任何指定欺诈示例的最少细节、少量背景、个人用户行为的有限特征、不可视分析、粒度小的风险评分和最小取证。

引用结合

在本说明书中提到的每个专利、专利申请和/或公布在本文中通过引用全部结合于此，达到如同每个单独的专利、专利申请和/或公布被专门且单独地表示为通过引用结合于此的程度。

附图说明

图1是根据实施例的欺诈防止系统(FPS)的框图。

图2A和图2B示出根据实施例的与网上银行应用集成的FPS的框图。

图3是根据实施例的使用FPS预测预期行为的方法的流程图。

图4是根据实施例的使用FPS估计账户所有者的动作的方法的流程图。

图5是根据实施例的使用FPS确定由用户执行未来事件与由欺诈者执行未来事件的相对似然(likelihood)的方法的流程图。

图6是根据实施例的使用FPS来生成可能欺诈活动的警告的流程图。

图7示出根据现有技术的应用于用户(“普通用户”)活动的传统欺诈技术(“欺诈认识”)的使用。

图8示出根据实施例的应用于用户活动的动态账户建模的使用。

图9是根据实施例的FPS图形接口(AUI)的示例屏幕。

图10示出根据实施例的FPS图形接口(AUI)的示例屏幕(图9)的变形例。

图11是示出根据实施例的、用户的正常使用行为的示例AUI。

图12是示出根据实施例的、对用户的第一红色(RED)警报的示例AUI。

图13是示出根据实施例的、对用户的第二红色警报的示例AUI。

图14是示出根据实施例的、对于用户账户附加的示例AUI。

图15是示出根据实施例的欺诈匹配视图的示例AUI。

图16是示出根据实施例的、在相对于时间绘制的欺诈匹配视图中获得的结果的另一示例AUI。

具体实施方式

下文描述用在防止账户欺诈和身份盗用中的欺诈防止系统和方法，从而提供保护在线渠道和离线渠道的实时风险管理方案。本文中所述的欺诈防止系统和方法(本文中统称为欺诈防止系统(FPS))利用基于行为的建模和丰富分析支持端到端风险管理处理。如下文所详述的，FPS提供针对整个风险管理生命周期的基于分析的软件方案。

作为综合风险管理方案的一部分，实施例中的FPS通过以下步骤将数据分析、在线域(onlinedomain)和欺诈专门知识联系起来：提供个人行为的预测模型、动态地调节以识别异常且可疑的活动，并且提供能够起作用的警报和充分的调查能力。FPS自动检测新的且正发展的欺诈威胁，而无需任何欺诈规则/模式发展或正在进行的维护努力。

在以下描述中，为了提供对FPS的实施例的彻底理解和启用描述，介绍了许多具体细节。然而，相关领域的技术人员会认识到，在不具有一个或多个具体细节、或者具有其他组件、系统等的情况下也可以实现这些实施例。在其他情况下，没有示出或者没有详细描述已知结构或操作，以避免使所公开的实施例的各方面难以理解。

在本文所提供的描述和示例中，用户或客户为账户的所有者，欺诈者为不是用户或账户所有者的任何人，并且分析者或雇员为FPS系统的用户。

图1是根据实施例的FPS 100的框图。FPS 100包括耦合至风险应用104的风险引擎102。风险引擎102包括或提供使用个人在线客户行为的预测模型以及分析学(其一起检测欺诈并最小化错误肯定)的应用。不同于传统的方法，风险引擎应用包括实时动态账户建模，其自动检测新的欺诈攻击而不需要规则演变或算法训练。风险引擎104以有助于调查、解析和风险监控的可视分析接口为特征。本文中也将包括在风险应用104中和/或耦合至风险应用104的可视分析接口称为分析用户接口(AUI)。不只简单警报，风险应用104还向分析者传递高保真(high-fidelity)风险分数和在风险分数背后的广泛上下文信息，以支持综合分析和调查。

实施例中的风险引擎102使用个人在线客户行为的预测模型来检测新的和新兴的欺诈方案，因而，这将普通用户行为与可疑活动区分开。风险引擎102可在能得到时基于关于欺诈威胁的已知信息使用欺诈模型，但不取决于知道详细的欺诈模式或预先定义的欺诈规则。为了便于与客户的在线渠道综合，风险引擎102以用于更广泛综合和配置选择的基于实时API和文件这两者的批量控制器为特征。

如本文中所述，风险引擎102包括动态账户建模。动态账户建模(本文中也被称为“预测建模”或“建模”)使用每个个人在线用户的行为的预测模型。由于风险引擎102不取决于预先定义的欺诈规则并且自动检测异常行为，因此，在新的威胁出现时检测到新的威胁。而且，风险引擎102容易处理现实世界的状况(诸如，改变用户和欺诈者行为、使用代理服务器、公司防火墙、动态IP地址)，并且对客户硬件和软件升级。风险引擎的高级统计模型基于动态地对个人用户行为调节的概率，从而认识到每个用户的行为不同并且对于一个用户而言可能异常的行为对于另一个用户可能是正常的。

风险应用104提供可视分析接口以帮助调查、解析和风险监控。如本文中所详述的，风险应用104的组件利用细粒度风险评分来显示来自客户会话的在线账户活动的详细视图。风险应用104的交互配置使得在欺诈防止中所涉及的任何雇员都能够使用，包括欺诈分析者、IT安全人员、风险管理分析者、在线渠道分析者、乃至面对客户的雇员。风险应用104的功能包括但不限于警报管理、调查和取证、过程管理和性能测量，下文将详细描述以上各项。

风险应用104的警报管理功能包括高精确风险分数警报，其使用可调节阈值来仅指出最可疑的活动，从而查出被泄露的账户。高保真度评分使得欺诈团伙通过确保正确的调查优先权来优化其时间和成果。该本能的、能够起作用的信息聚焦于反欺诈成果。

风险应用104的调查和取证功能提供可视化工具以利用复杂的调查工具仔细审查可疑事件。该应用返回会话特有的上下文和详细的客户历史，以帮助调查。其检测协同攻击、在账户上的相关活动。其他商业操作可以补充支持详细的账户历史和客户活动，以有助于离线交易的风险评估。

风险应用104的过程管理功能包括案例管理工具，其允许调查者追踪任何偶发事件，管理相关工作流程，并基于个体或集体来分析欺诈案例历史。

风险应用104的性能测量功能对随着时间所趋向的欺诈控制的有效性进行测量并报告，从而增加风险管理组织对风险水平的理解。度量追踪风险趋势，聚集对账户的分析，并且利用查账结果帮助合规指示。

实施例中的FPS用于防止在线欺诈、离线欺诈和多渠道欺诈中的一个或多个。作为一个示例，图2A和图2B示出根据实施例的与网上银行应用集成的FPS的框图。在该示例中，使用实时应用编程接口(API)212和/或适合于风险引擎202和/或网上银行应用210的配置的一个或多个应用(例如，认证、风险评估、欺诈检测和警报、调查、合规报告、性能测量等)，将风险引擎202耦合至网上银行应用210。可以通过实时馈送事件信息或者通过处理包含事件信息的日志文件来将FPS与在线应用210集成。如上所述，风险应用204(在该示例中被标注为欺诈应用204)起到执行警报管理、调查与取证、过程管理和性能测量(仅举几个例子)的作用。

在该示例中的用户或“客户”220登录到网上银行系统210，并且使用网上银行系统210来执行他/她的账户中的事件(例如，检查账户余额、查看校验图像、转移资金等)。如本文中所述，FPS包括耦合至风险应用204的风险引擎202。风险引擎202是用于接收用户事件或一组事件的数据的实时事件处理器。风险引擎202还存储用于特定用户的用户账户模型。风险引擎202使用事件数据和用户账户模型来计算风险分数。风险引擎202使用所观察事件的风险分数和详情来更新用户账户模型，并且存储更新后的用户账户模型以在评价用户的(会话的)随后的下一组事件数据中使用。风险引擎202还将风险分数传输至网上银行应用210。风险应用204还提供警报并允许授权人员使用事件数据来执行关联、报告和调查。

不管物理系统配置如何，FPS起到使用与特定用户的行为相对应的基于行为的模型来检测并防止欺诈的作用。作为一个示例，图3是根据实施例的用于使用FPS预测预期行为的方法300的流程图。操作开始于动态地生成302对应于用户的因果模型。使用在用户的账户中由用户承办的第一组事件的事件参数来估计304因果模型的组分。使用因果模型在第二组事件期间预测306用户的预期行为。

FPS被配置为并作用于防止在线欺诈、离线欺诈和多渠道欺诈。更具体地，在线欺诈和离线欺诈包括账户接管欺诈，账户接管欺诈是这样的情况：有人窃取用户或账户所有者的账户访问凭证(用户名、口令、PIN等)、然后冒充成该用户并访问账户。多渠道欺诈包括用户与他/她的银行交互或者访问银行账户所通过的所有渠道(例如，ATM、客服中心、现场分行访问(live branch visit)等)。多渠道欺诈的示例是这样的情况：有人窃取账户访问凭证，在线访问账户并且改变简档信息或获取关于账户所有者的信息(例如，账户余额、账户号、来自校验图像的签名等)，然后使用经由账户访问得到的信息来经由其他渠道进行欺诈(通过上述的签名来进行欺诈)。这是在金融欺诈离线发生、但其通过欺诈者使用所窃取的访问凭证来访问用户的账户而在线开始的示例。

本文中所使用的事件包括在线事件、离线事件和/或多渠道事件。因此，第一组事件包括在线事件、离线事件和多渠道事件中的至少之一。第二组事件包括在线事件、离线事件和多渠道事件中的至少之一。在线事件是可以经由对账户的电子访问承办的事件。

对于在线事件，在线事件包括登录事件和活动事件中的一个或多个。一组事件包括会话，并且会话是一系列相关事件。该一系列相关在线事件包括会话登录事件和终止事件，并且可以包括一个或多个活动事件。

对于离线事件，离线事件包括账户访问事件和活动事件中的一个或多个。一组事件包括会话，并且会话是一系列相关事件。该一系列相关在线事件包括账户登录事件和终止事件，并且可以包括一个或多个活动事件。

多渠道事件包括在线事件和离线事件。因此，多渠道事件包括登录事件、账户访问事件和活动事件中的一个或多个。

作为FPS操作的另一示例，图4是根据本实施例的用于使用FPS预测账户所有者的预期行为的方法400的流程图。操作开始于接收402对应于第一事件的观察结果。实施例中的第一事件包括在电子访问账户期间在账户中所采取的行动。生成404观察结果与账户所有者的导出行为参数之间的概率关系。操作继续至生成406包括概率关系的账户模型，并且使用该账户模型来估计408所有者在第二事件期间的行动。

作为FPS操作的又一示例，图5是根据实施例的用于使用FPS确定未来事件由用户执行与未来事件由欺诈者执行的相对似然的方法500的流程图。操作开始于自动生成502对应于用户的因果模型。生成因果模型包括：使用用户的账户中由用户承办的先前事件的事件参数来估计因果模型的组分。操作继续至使用因果模型来预测用户在账户中的下一事件期间的预期行为504。预测用户的预期行为包括生成下一事件的预期事件参数。操作继续至使用预测欺诈模型来生成欺诈事件参数506。生成欺诈事件参数假设欺诈者正在进行下一事件，该欺诈者为除了用户外的任何人。操作继续至使用预期事件参数和欺诈事件参数来生成下一事件的风险分数508。该风险分数表示未来事件由用户执行与未来事件由欺诈者执行的相对似然。

图6是根据实施例的用于使用FPS来生成可能欺诈活动的警告600的流程图。操作开始于生成对应于用户的预测用户模型602。预测用户模型602包括表示在用户的账户中在第一事件期间观察到的事件参数的多个概率分布。使用预测用户模型602来生成预测事件参数604。期望在账户中在第二事件624期间观察到预测事件参数604，其中，第二事件在时间上接着第一事件。预测事件参数604的生成包括：假设用户正在进行第二组在线事件，生成表示预测事件参数的第一组预测概率分布。

使用预测欺诈模型612来生成第二组预测概率分布。第二组预测概率分布表示预期欺诈事件参数614，并且假设欺诈者正在进行第二组在线事件，其中，欺诈者是除了用户外的任何人。在第二事件期间将第二事件624的实际事件参数与预测事件参数604和614之间进行比较634，并且在实际事件参数624看来似乎是由除了用户外的人发起时生成警告606。警告606包括使用预测事件参数604的信息来生成风险分数，但本实施例并不限于此。使用第二事件624的事件参数的信息来更新644用户模型602。

如上所述，传统的欺诈检测基于预先规定的规则、所识别出的欺诈模式、或者记下已知欺诈并使用监督式学习技术来对其处理。在例如在线欺诈中，传统的欺诈检测是无效的，因为在线欺诈是非常动态的，并且用于进行欺诈的技术发展是非常动态的且不断变化。此外，与在线欺诈相关联的活动常常看上去不可疑(例如，查看账户信息、校验图像等)。这使得很难构思用于检测欺诈的规则，因为欺诈可能非常难于捉摸并且不断变化。

与尝试精确地确定欺诈看上去如何、或者精确地模拟欺诈并接着将该模型与普通(一般)用户进行比较相反，本文中所述的FPS的实施例而是分析每个个人用户和该用户的确切行为。由于每个用户的行为是多个不同用户的平均行为的建模中所包括的非常小的行为子集，因此，这是更有效的。因而，可以使用通常在单个用户方面观察到的特殊在线银行活动或行为(例如，从加利福尼亚的帕洛阿尔托登录，使用特定的计算机登录，使用特定的互联网服务提供商(ISP)登录，执行相同类型的活动(例如，检查账户余额、查看校验图像等))，来建立每个特定用户真正特有且仅有的用户在线行为模型。这使得更容易检测欺诈，因为欺诈者不知道用户在线是如何表现的，所以欺诈者很难看起来像账户所有者。显然，对于“一般”用户而言可能正常的行为对于特定用户而言可能是极其异常的。同样重要的是，甚至可能认为对于“一般”用户而言“异常”的行为可能对于特定个人而言是非常正常的。因此，这些情况在区分合法活动与欺诈活动方面都是非常有区别性的且有用的。

FPS使用每个个体用户的预测模型来检测在线欺诈。该实时或动态预测建模(在本文中海称为动态账户建模)是在实施例中的风险引擎上或下运行的应用。使用该方法，欺诈者的确切行为变得不那么重要，因为分析者更加关注于用户通常所干的事情的类型，而不是检测特定的已知欺诈模式。不同于将先前欺诈活动的欺诈数据用于训练系统或生成规则，FPS不需要规则或训练。因此，由于FPS基于用户的在线行为，FPS可以检测新类型的欺诈，即便可能之前没有见过该新欺诈。这导致检测率高并且错误警报率低。

一般，FPS将两种类型的模型用于防止欺诈。FPS通过用于计算假定特定用户的所观察事件的概率的预测用户模型(PUM)模拟特定用户的行为。FPS通过用于计算假定欺诈者的所观察事件的概率的预测欺诈模型(PFM)模拟欺诈者的行为。然后，使用这些概率来计算这些概率所对应的事件下一次发生的风险分数。

使用每个事件的两种假设来支持本文中所述的FPS的模型：第一假设假设所观察事件是由与特定账户相关联的真实用户执行的，以及第二假设假设所观察事件是由欺诈者执行的。例如，事件包括账户登录和/或在登录到账户时在该账户中所进行的任何特定活动。每个事件均包括一组参数，其中，参数包括但不限于在事件期间所使用的计算机的IP地址和标识数据(仅举几个例子)。

FPS基于第一假设，生成并维护PUM(每个用户所特有的因果模型)，并接着使用PUM来预测该模型所对应的该个体用户的预期行动。FPS通过基于先前的用户活动还有用户如何表现的正常期望来估计用户的概率函数，生成用户的PUM。当不能得到用户的先验活动信息时，FPS以类属的“普通”用户活动模型开始。当从用户所进行的事件或活动为用户收集活动数据时，基于所收集的对用户的观察结果来随着时间的过去估计用户模型的参数，从而在任何时间点，可得到用户的精确PUM。因而，随着时间的过去递归地发展PUM。当用户事件发生时，对用户事件评分，并且这提供了事件的风险分数。然后，使用事件参数来更新用户模型，并且使用更新后的用户模型来为随后的下一用户事件确定风险分数。

基于用户的观察行为以及普通用户的统计分析来构建PUM。预先用公式表示PUM的结构，使得不需要揭示模型的结构，而是估计模型的未知参数。PUM发展使用在实施例中表示或用公式表示为贝叶斯网络的因果模型，其使现实世界导出参数(例如，用户的位置(国家、州、城市)、正用于事件的计算机的类型、在线会话期间检测到的活动)(的概率)与会话的可观察参数(例如，IP地址、HTTP报头信息、页面视图等)相关。IP地址提供位置信息(诸如，国家、州、城市)、网络段(network block，网络块)和互联网服务提供商的估计。HTTP报头提供操作系统(OS)、用户代理字符串、来源(referrer)字符串和用于事件的计算机的浏览器类型的信息。因此，可以使用用户的事件和会话的可观察参数的概率分布来模拟每个用户的行为。将贝叶斯网络分解成各个参数，并且参数分布与条件分布之间的关系基于先验(prior)、所观察数据、“新模式”概率模型等。

用户与对应于事件的实际可观察参数(包括时间、IP地址、浏览器、OS等)相关。FPS使用基于用户的观察行为的因果模型来预测未来行为。因此，PUM是由所使用或选择的现实世界参数、所观察事件参数、以及现实世界参数与所观察事件参数之间的关系形成的结构。

对特定用户使用因果模型允许FPS在不需要特定的已知规则、模式和/或指示符并且不需要已知欺诈案例的训练数据的情况下检测欺诈活动和事件。因此，FPS可以检测所有欺诈，已知的和未知的，包括之前从不曾见过的欺诈活动。

基于实施例的第二假设来生成PFM。PFM一般使用不是用户的所有其他在线账户持有人的所有其他会话或者事件数据。使用该数据来笼统地生成用户的概率。然后，使用多产欺诈者的已知信息(例如，欺诈来自尼日利亚的比率比来自其他(低风险)国家的高十倍)来调节这些概率，但这不是必须的。这不同于传统欺诈系统，该传统欺诈系统通过使用新的和/或其他规则、指示符或模式来信赖关于欺诈的信息。相反，FPS笼统地使用在线活动来发展PFM(表示欺诈者(每个人都不是特定的账户所有者)的因果模型)，并接着基于欺诈者如何行动来调节PFM的概率和期望。因此，FPS在其如何结合欺诈活动的信息方面是独特的。

如上所述，实施例中的模型包括为联合概率分布的PUM。PUM是因果模型。PUM的净效果或结果是假定PUM所对应的特定用户的、观察参数或事件的概率。因此，PUM是假定PUM所对应的特定用户的、用于下一事件事件参数的预测概率分布。

如上所述，FPS模型还包括为联合概率分布的PFM。PFM也是因果模型。PFM的净效果是假定欺诈者的、观察参数或事件的概率。因此，PFM是假定欺诈的、用于下一事件的事件参数的预测概率分布。

使用PUM和PFM的结果来针对下一事件计算风险分数。下一事件是在用户的账户中所进行的事件或行动，其看上去是由账户所有者发起或进行的。通过获得如使用PFM所确定的、假定欺诈的所观察事件的概率，并且将其除以如使用PUM所确定的、假定特定用户的所观察事件的概率，来确定或计算下一事件的风险分数。可以使用风险分数来生成对于下一事件的警报或警告。

FPS使用递归模型构建来生成PUM。PUM不表示在用户的账户中所曾见过的每个事件的全面详情，而是，其包括一个或多个所观察事件的多个特定参数中的每一个参数的个体概率分布。所观察参数的每个概率分布是遍及对应于账户的所观察事件的针对参数的统计分布。合并参数的各个概率分布，以形成作为PUM的联合概率分布。

一般，通过以所观察参数的形式收集事件数据来生成PUM，并且在每个事件后，基于所观察参数来更新事件所对应的用户的PUM。然后，PUM允许将所观察事件参数的分布传播(propagation)到行为事件参数的分布中，其中，该传播包括所观察参数的分布加上先验模型。

模型使用的示例开始于有人(用户或欺诈者)发起所观察事件。例如，所观察事件包括有人登录到用户的账户和/或在在线会话期间采取的任何活动(例如，检查账户余额、在账户之间转移资金、查看账户信息等)。所观察事件可以是或可以不是在线事件。每个事件包括或对应于一个或多个事件参数。事件参数是事件的直接可观察参数、或者可以测量或观察的原始数据。仅举几个例子，事件参数的示例包括但不限于包括在线事件正发生的网络的参数(例如，IP地址等)的网络信息(国家、州、城市是从网络信息得到的导出参数；与实际观察的事件数据相反，这是隐含的信息)、用户代理字符串(用于事件的装置或计算机的OS和浏览器是隐含的信息)、以及事件或会话时间(时间戳)。

实施例的模型(例如，PUM和PFM)用于假定用户在过去事件期间的行为的模型来针对下一事件预测实际观察的事件参数。接着，从PUM和可观察参数导出或传播不能直接观察的导出参数。导出参数的示例包括但不限于在事件时间用户的地理位置(例如，国家、州、城市等)、用于事件的装置(例如，装置类型/模型、装置OS、装置浏览器、软件应用等)、互联网服务提供商(ISP)和用户的事件本地时刻等。实施例的因果模型包括导出参数与事件(可观察)参数之间的概率关系、以及不同导出参数之间的概率关系。参数之间的关系的示例可以是，用户的国家(事件参数)与ISP(导出参数)相关，并且ISP可以与特定的一组IP地址(事件参数)相关。

将实施例中的因果模型表示为贝叶斯网络(BN)。实施例中的BN使用或包括模拟或表示参数之间的关系(不同导出参数之间的关系、事件参数与导出参数之间的关系等)的条件概率分布。如在PUM中实现的BN是或表示导出参数的分布、观察参数的分布以及观察参数与导出参数之间的关系。从PUM输出的结果是下一事件的预期事件参数的预期分布。使用预期事件参数的分布来计算风险分数。如下文所述那样生成PUM。

PUM用于预测下一事件的事件参数。所预测的事件参数包括在下一事件期间可观察的事件参数的预测概率分布。因此，PUM生成用于下一事件的事件参数的预测分布。然后，观察下一事件，并收集或接收所观察事件参数的信息。假定所观察事件参数值(例如，实际IP地址)、以及可使用的所有可能IP地址的预测概率分布(来自PUM，假定用户的实际IP地址的概率)，结果是假定PUM的、特定的所观察事件参数(例如，IP地址)的概率。这是在所有参数上执行的。

因此，实施例中的因果模型生成假定当前PUM(即，如由PUM定义的预测分布)来观察所观察参数值的似然，并且生成假定当前PFM(即，如由PFM定义的预测分布)来观察所观察参数值的似然。然后，如上所述，使用这些结果来计算风险分数。

如本文中所述，通过以所观察参数的形式收集事件数据来生成PUM，并且在每个事件后，基于所观察参数更新事件所对应的用户的PUM。然后，PUM允许将所观察事件的分布传播到行为事件的分布中，其中，该传播包括所观察参数的分布加上先验模型。

更新处理对PUM中的一个或多个所观察参数的分布进行更新，以产生更新后的PUM。因此，更新后的PUM以与特定的所观察参数相关的更新后的概率分布的形式包括一个或多个所观察参数的更新期望。作为示例，由于已观察在事件期间由用户使用的特定参数(例如，在美国(观察到的)的IP地址(位置、导出参数))，该信息被传播回至PUM中，以更新对应分布，从而在随后的下一事件期间，存在在下一事件中见到相同或类似参数(US的IP地址)的更高期望。

自从上一次更新模型开始，使用实际观察到的事件参数来周期性地更新模型。通过更新包括在模型中的每个所观察参数的概率分布，来更新实施例的联合概率分布。实施例的模型更新处理是递归的，并且考虑上一次观察到的事件、先前用户模型(即，PUM)和先验用户模型(仅举几个例子)。先前用户模型包括对于上一次或最近观察到的事件而言是最近的PUM。先验用户模型包括在已观察到任何事件前的预测概率分布(即，PUM)。

模型更新处理包括两种备选方案。在更新处理的第一实施例中，使用当前观察事件的数据来更新先前用户模型，并且作为响应于观察事件的每次发生而更新先验用户模型的递归处理的一部分，认为先验用户模型嵌入先前用户模型中，并因而更新该先验用户模型。

在更新处理的第二实施例中，更新处理维持每个观察事件参数的观察频率分布。结果，替代更新先前用户模型，使用当前观察到的事件的数据更新每个事件参数概率。将更新后的对于每个事件参数的观察频率分布与先验用户模型综合，以生成更新后PUM。

在接收用户的任何观察事件数据前，使用笼统的关于用户的一般统计信息和/或从用户或从用户的账户简档收集的特定用户数据，最初可以调节包括在先验模型中的概率分布。例如，还可以使用均匀概率分布来调节概率分布。还可以使用与用户(例如，美国居民，并且1％的美国居民使用特定段的IP地址)的住处信息相对应的概率数据来调节概率分布。此外，可以使用用户的金融机构数据来调节概率分布(例如，用户是XYZ银行客户，并且95％的XYZ银行客户在美国)。

实施例中的欺诈模型(即，PFM)与PUM类似之处在于，其是基于事件的观察参数和导出参数的预测分布。这与基于规则的传统系统(其使用与欺诈相关的特定指示符(规则))相反。然而，可以对规则加权，加权不是概率分布，所以这些系统与本文中所述的实施例毫无共同之处。

图7示出了根据现有技术的、使用应用于用户704(普通用户704)的活动的传统欺诈技术702(欺诈知识702)的困难和限制。如上所述，这些传统技术可以检测一些已知的欺诈事件710和712，但是不能检测真实欺诈事件720，同时生成对不是欺诈活动的事件730和732的许多错误肯定。相反，图8示出根据实施例的、应用于用户活动的动态账户建模701的使用。动态账户建模701针对用户账户的事件活动应用特定用户的预测模型701，并且这样做时，检测之前隐藏的欺诈720，并且减少对不是欺诈活动的事件730和732的错误警报。

实施例中的FPS包括用于用户账户的图形接口，其示出账户活动以及对应的参数数据。本文中将图形接口称为分析用户接口(AUI)。仅举几个例子，AUI针对账户中的任意事件显示风险分数和事件参数中的至少一个。AUI包括表示时间的横轴和表示事件参数的纵轴。如上所述，事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器中的一个或多个数据。

AUI包括多列，并且每列表示在账户中所进行的至少一个事件。根据日期排列实施例中的列。AUI还包括多行，并且一组行表示事件的事件参数。考虑到行和列，AUI包括多个相交区域，并且每个相交区域由行与列的相交来限定。相交区域对应于至少一个事件的事件参数。此外，相交区域包括使事件参数与账户模型的对应概率相关的颜色编码。颜色编码表示事件参数对应于用户的相对似然比。

AUI还包括表示事件的风险的风险行。由风险行与列的相交限定的每个相交区域对应于与列相对应的至少一个事件的风险分数。相交区域包括使风险分数与至少一个事件相关的颜色编码。颜色编码表示用户进行了事件的相对似然比。

图9是根据实施例的AUI的示例屏幕800。一种类型的AUI屏幕包括一个或多个信息部分802-804以及图表部分806。AUI的图表部分806包括横轴810和纵轴812。横轴810表示时间(例如，日期)。可以将横轴或时间轴810建模为工作日和周末，并且按照例如早上、中午、晚上来再划分每日，但是本实施例并不限于此。AUI的纵轴812表示参数的类别(例如，国家、城市、州、互联网服务提供商、网络、IP类型等)以及按照类别在历史上对用户的活动观察得到的所有不同的参数值。AUI的每列820表示按照日期组织的用户登录事件或用户会话。AUI包括显示区域内的颜色编码条870，并且颜色编码条是用于该显示所对应的用户的整个风险列。

AUI显示表示与事件的每个参数的组分风险分数相对应的阈值的颜色编码(例如，红色830、黄色832、绿色834等)。如上所述，FPS基于以下事实来模拟行为：当接收到将特定用户绑定于特定参数值(例如，JaneDoe在美国登录占98％)的更多数据时，其确定该特定参数对于特定用户而言不同的概率(例如，Jane Doe从墨西哥登录的概率是多少)。当从用户处收集到更多事件数据时，模型参数的预测概率分布变得更加严密或狭窄，并且AUI上所显示的颜色与事件的每个参数和对应于该参数的相对模型概率(欺诈与用户)相关。

例如，对于事件840，可以将国家(美国841)、城市、州(维也纳，弗吉尼亚842)、提供商(AOL 843)和IP类型(代理服务器844)的参数编码为绿色，以示出根据动态账户建模的、账户所有者发起事件的高概率。相反，对于事件840，可以针对事件将国家(德国851)和城市、州(法兰克福852)的参数编码为红色，以示出根据动态账户建模的、账户所有者发起事件的低概率，同时可以针对相同事件来将提供商(AOL 843)和IP类型(代理服务器844)的参数编码为绿色，以示出根据动态账户建模的、账户所有者发起事件的高概率。

可以使用AUI的信息部分802-804来显示适合于FPS和任何集成应用的多种参数或数据。例如，AUI可以显示具有下划线颜色(例如，红色、黄色、绿色等)的加下划线的参数值860，其与和特定参数相关联的风险量相关(例如，弗吉尼亚(州)和维也纳(城市)具有红色下划线以表示欺诈者活动的高概率)。

FPS模型的自适应属性例如在用户可频繁旅行从而频繁改变参数的情况下尤其有用。FPS动态地适应于该行为，使得如在基于规则的传统系统下会发生的那样，没有始终将该行为标记为欺诈。因此，该模型使用表明从用户处已观察到特定行为(例如，在丹佛的用户)的数据来随着时间适应(例如，用户从丹佛登录)，所以概率是从相同用户在将来会观察到相同行为(例如，用户在随后事件中从丹佛登录)的概率。

图10示出根据实施例的AUI的示例屏幕(图9)的变型。参照该示例屏幕，在表示会话的相同列1001内的时间线上示出了来自相同在线会话的全部相关活动事件的信息。关于在每个会话中发生的活动的类型的概要信息由颜色编码条1002表示。颜色(红色、黄色或绿色)表示对于特定会话的该类型活动的相关联风险。在相同屏幕上，还可以在AUI的一个或多个信息框或区域1003内示出关于所选会话内的每个活动的详细信息。

如果FPS示出可疑欺诈活动，则风险应用允许分析者执行欺诈匹配。实施例中的欺诈匹配允许分析者在尝试识别其他欺诈案例时在具有类似特征的所有机构账户上搜索其他会话(例如，来源于墨西哥的会话、与提供商AOL的会话等)。

FPS欺诈匹配使得能够在一个会话的数据与机构的所有其他数据之间进行比较，以识别具有一个或多个类似参数的全部会话。因此，机构可以使用欺诈匹配功能，以识别具有与可疑欺诈攻击类似或相同的参数(例如，ISP、国家、机器等)的其他可疑会话。

因此，FPS可以基于在特定时段(例如，日、多日、周等)内机构内的全部用户的整体活动来提供风险评估，以便帮助机构确定是否受到攻击。这是在与传统系统相比时FPS的主要差别，因为与传统系统的方法相比，FPS采取尝试并阻止所有欺诈的风险管理方法。

FPS的所有特征一起起作用，以允许金融机构例如了解欺诈，而不是尝试对是否阻止作为欺诈的交易作出完美的二元判定(其是无用的)。FPS认识到，重要性在于了解欺诈，使得可以使用可观察参数(与导出参数相关或转变为导出参数)来早些认出欺诈，并且与尝试阻止任何可疑活动(当根据基于规则的传统系统将非欺诈交易标记为欺诈时，如果不完美地完成，则其仅导致客户不满意和不方便)相比，使损失最小化。根据风险管理观点，欺诈匹配应用允许机构查看根据一个或所定义的一组准则随着时间的过去而搜集到的全部数据，以便预见与准则相关的欺诈活动的总百分比。这使得可作出更明智的决定，例如，因为已知利用某一ISP的业务量的极高百分比不是欺诈的，可防止的决定基于在近来的时段内欺诈活动的高发生来阻止来自ISP的所有业务量。

本文所述的FPS组件(例如，风险引擎、风险应用、动态账户模型等)可以是单个系统、多个系统和\或地理上分离的系统的组件。FPS组件还可以是单个系统、多个系统和\或地理上分离的系统的子组件或子系统。FPS组件可以耦合至主机系统或与主机系统耦合的系统的一个或多个其他组件(未示出)。

实施例中的FPS包括处理系统并且/或者在处理系统下和/或与处理系统结合运行。如现有技术中已知的，处理系统包括在一起操作的基于处理器的装置或计算装置的任意集合、或者处理系统或装置的组件的任意集合。例如，处理系统可以包括可移动计算机、在通信网络中操作的可移动通信装置和/或网络服务器中的一个或多个。可移动计算机可以是选自基于个人计算机和其他处理器的装置中的多个装置和/或装置结合中的任意一个，但并不限于此。处理系统可以包括在更大型的计算机系统内的组件。

实施例中的处理系统包括至少一个处理器和至少一个存储装置或子系统。处理系统还包括或耦合到至少一个数据库。一般本文中所使用的术语“处理器”是指任何逻辑处理单元，诸如一个或多个中央处理单元(CPU)、数字信号处理器(DSP)、专用集成电路(ASIC)等。可以将处理器和存储器作为整体集成到单个芯片上，分布在FPS的多个芯片或组件之中，并且/或者由算法的一些结合提供。可以按照软件算法、程序、固件、硬件、组件、电路、任意组合来实现本文中所述的FPS方法。

FPS组件可以定位在一起或者处于分离的位置。通信路径连接FPS组件，并且包括用于在部件之间传送或传输文件的任意介质。通信路径包括无线连接器、有线连接器和混合无线/有线连接器。通信路径还包括到网络(包括局域网(LAN)、城域网(MAN)、广域网(WAN)、专属网络、局间或后端网络和互联网)的耦合或连接器。此外，通信路径包括如软盘、硬盘驱动器和CD-ROM盘一样的可移动固定介质、以及闪存RAM、通用串行总线(BUS)连接器、RS-232连接器、电话线、总线和电子邮件消息。

接下来将描述由FPS使用金融机构的账户所有者的实际数据生成的欺诈分析示例。提出该示例只是为了帮助描述FPS的操作，并不旨在将FPS的实施例仅限制于这些示例的范围。

欺诈分析示例

图11是根据实施例的、用户的正常使用行为的示例AUI。这是频繁用户，并且他/她一周登录几次。该用户的正常行为包括两种模式：(1)使用具有单个机器的SBC/PacBell从旧金山海湾地区访问；以及(2)使用另一机器从被称为DSS.MIL的机构(其是政府机构)偶尔访问。

在该示例中，FPS被配置为仅处理登录尝试(即，系统既不能得到是登录成功还是登录失败的信息，也不能够得到在单个在线会话内发生的其他活动)。为了可读性，AUI显示针对上述的账户标识符字符串生成的单独的用户名(user_26201)。

于4/2/2007(列相邻标记或滑动条1102)，对于该用户而言存在2个红色警报。

图12是示出根据实施例的、对账户事件1202的第一红色警报的示例AUI。发生了经由位于印第安纳州的代理服务器从使用提供商“spscdns.net”的网络段70.9.83.0尝试登录。基于进一步调查，人们相信，该网络是由Sprint Mobile Broadband操作的，并且IP地址是可隐藏用户的真实位置(即，用户可能不在印第安纳州)的代理服务器。该尝试来自于该用户看不到的新OS(Vista)。登录是在格林尼治时间04/02/2007下午11:57或印第安纳时间04/02/2007下午06:57发生的。

图13是示出根据实施例的、对于账户事件1302的第二红色警报的示例AUI。第二红色警报在第一红色警报之后约2小时发生，并且从使用来自佛罗里达的迈阿密的提供商Comcast的网络段70.9.83.0尝试登录。在这种情况下，浏览器(Firefox)不同于来自该用户的任何先前会话。登录是在格林尼治时间星期二04/403/2007上午01:45或者迈阿密时间周一04/02/2007下午08:45发生的。

图14是示出根据实施例的、对于账户活动1402的其他信息的示例AUI。该活动发生在八小时后，并且是来自看上去是真正账户所有者的四次登录尝试的序列(很可能登录失败)。还应该注意，在3月21日，用户(很可能是真正用户)从菲尼克斯的Hilton旅馆登录；可能没有理由将此与欺诈情况联系起来，但为了未来参考而值得记录。

使用FPS欺诈匹配来搜索其他类似用户会话。图15示出根据实施例的欺诈匹配视图的示例AUI。对使用Comcast网络段67.191.79.0的其他用户会话执行搜索。仅识别出的会话如下：来自前一欺诈案例的五个会话；来自该欺诈案例的一个会话；以及对应于第一红色警报的其他会话。

图16是示出根据实施例的、在相对于时间绘制的欺诈匹配视图中获得的结果的另一示例AUI。执行相关事件的各种分析的能力提供了唯一的洞察力。在该示例中，时间线视图允许分析者确定相关的可疑活动是否随着时间而改变(也许作为普遍欺诈攻击的结果)

以下将详细描述动态账户建模。

基于风险的假设检验

贝叶斯网络是已知的概率模型的表示，其中，该概率模型将一组变量及其概率独立性表示为节点(参数)和边(从属关系)的图表。贝叶斯假设检验是一种这样的已和技术：其可以确定用于区分给定一组观察数据的两种或多种可能假设的最佳判定准则和用于每种假设的已知概率模型。

账户所有者(用户)是拥有网上账户的现实世界的人。在ID被盗的情况下，本文将欺诈者定义为除账户所有者外的任何人。数学上，两者假设为：

·H₀＝观察事件(例如，登录事件)由账户持有者(也称为用户)生成

·H₁＝观察事件(例如，登录事件)由其他人(即，欺诈者)生成

如果通过假设事件由实际用户生成而观察当前事件来知道真实条件概率，并且已知事件由欺诈者生成的条件概率，则最佳欺诈/非欺诈判定统计量是由下式定义的相对似然比L：

使用贝叶斯规则，可以将等式(0.1)重写为：

$\left(0.2\right),L\left(E\right)=\frac{P\left(E\right|F)P\left(F\right)}{P\left(E\right|U)P\left(U\right)}$

并且，可选地重写为：

L(E)＝ρλ(E)

(0.3)其中

$\mathrm{\λ}\left(E\right)=\frac{P\left(E\right|F)}{P\left(E\right|U)},$ 以及 $\mathrm{\ρ}=\frac{P\left(F\right)}{P\left(U\right)}=\frac{P\left(F\right)}{1-P\left(F\right)}$

以下适用于上述等式中：

·P(E|F)是欺诈模型，其是假定事件由欺诈者(除用户之外的某人)引起来观察事件E的参数的期望

·P(E|U)是用户模型，其是鉴定事件由实用户引起来观察事件E的参数的期望

·P(F)是欺诈的先验概率(也称为先验欺诈期望)，其是事件会是由欺诈者引起的先验概率(在不知道关于事件的其他任何事物的情况下)

·P(U)是用户的先验概率(也称为先验用户期望)，其是事件会是由欺诈者引起的先验概率(在不知道关于事件的其他任何事物的情况下)如果事件相互独立，则先验概率和此后的ρ是恒定的。当是这种情况下时，由于可以代替地对判定统计λ(E)执行(以适当比例)关于L(E)的任意判断准则，所以可以忽视ρ的影响。

例如，可以通过引入阈值来将λ(E)用作二元判定处理：

(0.4)判定欺诈如果λ(E)＞τ

判定用户如果λ(E)≤τ

可选地，可以使用λ(E)来从高欺诈风险到低欺诈风险来对一组事件分级。

通常，更容易对对数似然比起作用。在本文中形式上将事件的风险定义为：

$\left(0.5\right),R\left(E\right)=\ln \left(\mathrm{\λ}\left(E\right)\right)=\ln \left(\frac{P\left(E\right|F)}{P\left(E\right|U)}\right)$

然后，按照与λ(E)或L(E)相同的方式，将R(E)用作判定统计量。

预测模型

现在，问题是如何计算R(E)。而且，更具体地，如何计算两个条件概率P(E|F)和P(E|U)。在这种情况下，观察与用户的账户相关联的一系列事件，其中，将第k个观察事件表示为E^k。此外，可以基于先前的观察来更新对用户的了解。将关于用户的该先前观察的信息表示为U^k-1，以使P(E|U^k-1)表示在观察一系列事件E¹...E^k-1后所估计的用户模型。因此，可以将等式(0.3)和(0.5)重写为：

L(E^k)＝ρλ(E^k)

$\mathrm{\ρ}=\frac{P\left(F\right)}{1-P\left(F\right)}$

$\left(0.6\right),\≈P\left(F\right)$ 对于P(F)＜＜1

$\mathrm{\λ}\left(E^k\right)=\frac{P\left(E^k\right|F)}{P\left(E^k\right|U^{k-1})}$

R(E^k)＝ln(λ(E^k))

应注意，在该模型中，事件欺诈模型P(X^k|F)和欺诈(和用户)的先验期望是恒定的，即，它们不会基于观察先前事件E¹...E^k-1而改变。

实际上，根据事件的实际观察数据来表示条件概率。在这种情况下，观察数据是在线应用能够在事件时收集与事件相关的一组参数(例如，用户的浏览器的客户机IP地址和用户代理字符串)。对于矢量D^k＝[X，Y，...，Z]，这表示观察参数(即，观察数据)，其中，每个元素表示观察参数之一。

可以将欺诈模型和用户模型的定义表示为：

这些模型中的每个模型是关于观察参数的预测模型，一个针对欺诈者，以及一个针对用户。当计算λ(E^k)和R(E^k)时，关注将能够在一些真实世界情况下用于优势的这些模型的比率。

为了说明的目的，假设有两种可直接观察的参数：

·X＝与HTTP会话相关联的IP地址

·Y＝用于访问应用的装置的用户代理字符串

然后，对于观察事件，D＝(IPAddr＝x，UserAgent＝y)计算如下：

$\left(0.8\right),\mathrm{\λ}\left(E\right)=\frac{P(\mathrm{IPAddr}=x,\mathrm{UserAgenl}=y|F)}{P(\mathrm{IPAddr}=x,\mathrm{UserAgent}=y|U)}$

问题在于，这些概率通常都是未知的，并且如果不能以这种形式计算，则一般很难知道。即使假设观察参数之间是独立的，这会面临计算所得到的似然比的各项(或者至少各个比率)这一简单又难以处理的问题：

$\left(0.9\right),\mathrm{\λ}\left(E\right)=\frac{P(\mathrm{IPAddr}=x|F)P(\mathrm{UserAgent}=y|F)}{P(\mathrm{IPAddr}=x|U)P(\mathrm{UserAgent}=y|U)}$

该问题通过将概率分解成多个可管理分量来解决。这样做的一种方式是引入如上所述的导出的、真实世界行为参数作为条件参数。例如，可以将P(IPAddr＝x|U)重新用公式表示为：

$P(\mathrm{IPAddr}=x|U)=\underset{\mathrm{Country}}{\mathrm{\Σ}}P(\mathrm{IPAddr}=x|U,\mathrm{Country}=y)P(\mathrm{Country}=y|U)$

对于动态账户建模方法而言，这种将复杂概率模型分解成因果相关参数的计算上更可行网络的方法是关键。一旦已将模型重新用公式表示为因果模型，贝叶斯网络形式方法允许通过相关参数的网络传播信息。为了简化以下讨论，这通常会关注于仅有一个观察参数X的情况。通过引入条件参数和分布，将此延伸到表示如本文所述的整个PUM的全贝叶斯网络。

用户模型

为了便于说明，以下针对具有离散特征(其可以仅呈现定义好的一组值)、有限基数(存在有限的(也许是未知的)一组值)、以及范畴(每个值与其他值无关，即，这些值之间不存明显或隐含的次序关系或距离)的参数的种类来描述基础数学。可以针对其他参数类型(例如，连续参数)来开发类似模型。类似地，在本文的教导下，延伸到条件参数也一直进步。

将多个变量描述如下：

·U^k表示在已观察k个事件后更新的用户信息(模型)

·X^k+1是事件k+1的观察参数，其中，X∈{x₁，x₂，...，x_n}

关于X^k+1的预测用户模型(分布)是以下矢量：

P(X^k+1|U^k)＝P(X|U^k)

(0.10)＝{p(x₁|U^k)，p(x₂|U^k)，...，p(x_n|U^k)}

类似地，在观察用户的任意事件前，这将使关于X的先验分布为：

P(X¹|U⁰)＝P(X|U⁰)

(0.11)＝{p(x₁|U⁰)，p(x₂|U⁰)，..，p(x_n|U⁰)}

合成先验和观察

一种用于合成先验概率分布和观察事件的方法是使用狄利克雷分布。还可以使用其他分布或合成技术。使用狄利克雷分布来估计未知的多项概率分布。更具体地，其将贝塔分布延伸到多维，并且规定先验分布与观察分布之间的平滑过渡并考虑对过渡如何快速地发生的控制。

狄利克雷分布是二次分布(在分布上的分布)。例如，对于呈现一的事件参数X以及每个事件X∈{x₁，x₂，...，x_n}和P_x＝{p(x₁)，p(x₂)，...，p(x_m)}仅为一的值，可以将关于P_x的狄利克雷分布表示为：

$\left(0.12\right),p\left(P_X\right)=D\left(P_X\right|P_X^0,\mathrm{\α})$

以及

$\left(0.13\right),D\left(P_X\right|P_X^0,\mathrm{\α})\stackrel{\mathrm{\Δ}}{=}{\underset{i}{\mathrm{\Π}}\left(p\left(x_i\right)\right)}^{(\mathrm{\α}{p}^0\left(x_i\right)-1)}$

这里，

·p(P_X)是作为概率分布P_X正确的概率的标量

·

是关于X的先验(假定)分布(矢量)，以及

·α是实质上表示相信先验分布的程度的比例因子(以观察数量为单位)。

即，该比例因子控制远离先验分布以及逼近观察分布的收敛速率。

在该推导后，由下式给出最大似然估计

${\hat{P}}_X=E\left[p\left(x_i\right)\right|P_X^0,\mathrm{\α},m_i,k]=\frac{\mathrm{\α}{p}^0\left(x_i\right)+m_i}{\mathrm{\α}+k}$

其中，m_i是x_i被观察的次数，以及

是观察事件的总数。

可以将狄利克雷用作预测用户模型的估计，从而可以将等式(0.10)的每个元素估计为：

$\left(0.15\right),\hat{p}\left(x_i\right|U^{k-1})=\frac{\mathrm{\αp}\left(x_i\right|U^0)+m_i}{\mathrm{\α}+k}$

可以将狄利克雷模型(等式(0.15))重写为：

$\left(0.16\right),\hat{p}\left(x_i\right|U^{k-1})=\mathrm{\βp}\left(x_i\right|U^0)+(1-\mathrm{\β})\left(\frac{m_i}{k}\right)$

其中，

$\mathrm{\β}=\frac{\mathrm{\α}}{\mathrm{\α}+k}.$

$1-\mathrm{\β}=\frac{k}{\mathrm{\α}+k}$

因此，对于指定用户，所估计的用户模型提供在关于X的先验分布与观察分布之间的平滑且直观过渡。对于观察分布的收敛速率由以k(即，观察事件)为单位的参数α控制。

这对于一些参数类型而言是好模型，然而，其未能说明关于用户行为的其他期望。值得注意的是，对于一些参数类型(例如，位置)，对于任意指定用户仅期望几个观察值。而且，对于这些参数，预见新参数值的期望可给予用户的先前观察行为。在下一分段中提出用于结合这种类型的期望的模型。

改进的事件模型(新模式概率)

改进的事件模型考虑将仅利用有限的一组参数值来观察单个用户的期望。此外，该事件模型认识到，用户切换为新(先前未观察)的参数值是关注其自身的事件。例如，期望在一个或者也许少数不同国家中的个体用户，并且看到新国家中的用户是引起注意的发生。

通过前一段的所有定义考虑所观察的随机变量X。在等待第k+1次观察时，其可以基于新随机变量

使用改进实验描述可能结果的特性，其中，如果之前已观察到观察值X^k+1(对于用户)，则

以及如果这是第一次观察到该值(对于该用户)，则

也就是说，

是新模式事件。这可以将新模式概率η定义为：

将新模式事件与实际观察值合成，可以将其重写为：

其中，如下定义：

·η是基于所观察的先前事件的、对于该用户的新模式概率。可以按照包括基于历史数据的统计模型的多种不同方式对新模式概率η建模

·υ是先前观察的关于X的先验概率质量，具体为：

(0.19)

·以及

是先前观察值x_i的估计概率，例如，等式(0.16)。

使用新模式模型(即，等式(0.19)或者其变量)或更传统的模型(诸如，狄利克雷模型(即，等式(0.16))的判定由正在被建模的参数的类型确定。如果参数包括关于是否应该观察新模式(值)的强期望，则等式(0.18)在这方面提供其他逼真度。然而，如果将该参数简单地建模为其值的期望，则等式(0.16)提供模拟该行为的更简单且直接的方式。

信任模型

信任模型说明对用户观察的事件可能已由欺诈者引起。如果是这种情况，则不应该利用观察信息来更新用户模型。当然，由于系统不能绝对确定事件是由用户引起还是由欺诈者引起，所以这必须在概率上进行。

信任模型对于在多个会话中出现的欺诈情况而言是尤其重要的。这帮助防止欺诈者在尝试更多可疑活动前通过多次看上去良好的会话愚弄系统(通过偏倚该模型)。

基本思想是在观察事件后考虑两种可能的更新用户模型。

1.U⁺是包括先前事件E的影响的作为结果的用户模型

2.U^-是忽视先前事件E的影响的作为结果的用户模型

然后，可以将后一事件E’的似然写为：

P(E′|U)＝P(E′|U⁺)P(U⁺是正确的|U)

(0.20)+P(E′|U^-)P(U^-是正确的|U)

＝P(E′|U⁺)P(U⁺是正确的|U)

+P(E′|U^-)(1-P(U⁺是正确的|U))

其中，P(U⁺是正确的|U)实质上是实际上由用户引起事件E的概率。将该项定义为事件的信任T_E：

(0.21)

将其与等式(0.1)和(0.3)合并得到：

$\mathrm{\ρ\λ}\left(E\right)=L\left(E\right)$

$=\frac{P\left(F\right|E)}{P\left(U\right|E)}$

$\left(0.22\right),=\frac{1-P\left(U\right|E)}{P\left(U\right|E)}$

$=\frac{1-T_E}{T_E}$

重新整理以求出T_E：

$T_E=\frac{1}{1+\mathrm{\ρ\λ}\left(E\right)}$

$\left(0.23\right),\mathrm{\ρ}=\frac{P\left(F\right)}{1-P\left(F\right)}\≈P\left(F\right)$

直观地，P(F)将总是

从而当相对似然比

时，事件的信任将≈1。相反，当λ(E)≥1/P(F)时，事件的信任将显著降低。

可以将先前事件的信任用在用户模型的估计(更新)中。对于以等式(0.16)描述的狄利克雷用户模型，可以使用累积信任，而不是为了导出预测用户模型的每个参数值而观察的计数(也称为模式)。具体为：

$\left(0.24\right),\hat{p}\left(x_i\right|U^{k-1})={\mathrm{\β}}_{\mathrm{\τ}}p\left(x_i\right|U^0)+(1-{\mathrm{\β}}_{\mathrm{\τ}})\frac{{\mathrm{\τ}}_i}{{\mathrm{\Σ}}_i{\mathrm{\τ}}_j}$

其中，现在基于关于参数的所有观察值的累积信任，计算先验权重系数β_τ，即：

$\left(0.25\right),{\mathrm{\β}}_{\mathrm{\τ}}=\frac{\mathrm{\α}}{\mathrm{\α}+{\mathrm{\Σ}}_i{\mathrm{\τ}}_j}$

这里，按照如下定义：

·p(x_i|U⁰)是观察值x_i的先验(用户)概率

·α是狄利克雷比例因子(以观察数量为单位)

·τ_i是事件的累积信任，其中，针对该用户观察x_i：

·∑_iτ_i是对于该用户关于X的所有观察值的总累积信任

返回参考(等式(0.23))中的T_E的定义和解释，在事件一般与用户模型一致(即，

)的情况下，T_E≈1，所以该等式的作用相当于原始狄利克雷模型(等式(0.15))。然而，如果事件具有非常高的风险(λ(E)≥1/P(F))，则所得到的T_K可能远远低于1，并且其会对所得到的更新用户模型具有相应减小的影响。同样，通过使用类似替代，可以将信任分数用在等式(0.18)的新模式模型中。

时间衰减模型

到目前为止的用户模型的推导不把经过的时间计算在内，并且更具体地，用户可以随着时间改变行为，以使很久以前的观察行为不能反映当前的期望行为。通过引入用于用户模型的时间衰减模型来解决该问题。

支持时间衰减模型的基本思想在于，观察事件的关联随着时间减小。指数衰减函数形成模型的计算上吸引基础。使用指数衰减函数，每个事件的相对权重根据函数衰减：

$\left(0.26\right),\mathrm{\ω}(t,t_{\mathrm{Event}})=e^{\frac{t-t_{\mathrm{Event}}}{\mathrm{\λ}}}$

以下应用于该函数：

·t是当前时间(或者在观察事件后的任意时间)

·t_Event是观察事件的时间

·λ是模型的衰减参数(与t单位相同)可以从一个时间点到另一时间点递归地应用该加权函数。具体地，对于在两个未来时间点t₂＞t₁＞t_Event：

$\mathrm{\ω}(t_2,t_{\mathrm{Event}})=e^{-\left(\frac{t_2-t_{\mathrm{Event}}}{\mathrm{\λ}}\right)}=e^{-\left(\frac{(t_2-t_1)+(t_1-t_{\mathrm{Event}})}{\mathrm{\λ}}\right)}$

$\left(0.27\right),=e^{-\frac{(t_2-t_1)}{\mathrm{\λ}}}{e}^{-\frac{(t_1-t_{\mathrm{Event}})}{\mathrm{\λ}}}$

$=\mathrm{\ω}(t_2,t_1)\mathrm{\ω}(t_1,t_{\mathrm{Event}})$

利用该背景，现在描述时间衰减模型。对于参数值x_i∈X，将M_i(t)定义为累积观察质量。累积观察质量可以基于事件计数(即，每个事件的基权重为1)、时间的信任(时间的基权重为T_E)、或者对每个观察事件加权的其他度量。然而，如所定义的，累积观察权重还可以随着时间变化。

使用指数衰减函数，给定特定指数时间常数，对于指定时间t的累积观察质量的特定形式的定义为：

$\left(0.28\right),M_{\mathrm{\λ},i}\left(t\right)=M_{\mathrm{\λ},i}^{\mathrm{Last}}{e}^{\frac{-(t-t_i^{\mathrm{Last}})}{\mathrm{\λ}}}$

以下应用于累积观察质量：

·

是紧接在观察x_i的最近事件后对于值x_i的累积观察质量

·

是观察x_i的最近事件的时间戳。将的值存储为用户模型的一部分(每个x_i具有其自身的)

·t是当前时间，并且通常由评价下一事件的时间设定

·λ是指数时间常数，并且是模型的静态参数递归地计算和

作为用户模型更新处理的一部分。具体地，无论何时观察包含值x_i的事件，都使用下式来更新用户模型

$M_{\mathrm{\λ},i}^{\mathrm{Last}|k}=m_i^{E^k}+M_{\mathrm{\λ},i}^{\mathrm{Last}|k-1}{e}^{\frac{-(t^{\mathrm{Event}}-t_i^{\mathrm{Last}|k-1})}{\mathrm{\λ}}},$

(0.29)

$t_i^{\mathrm{Last}|k}=t^{\mathrm{Event}}$

其中：

·是紧接在当前事件k(其中，观察x_i)后对于值x_i的新(更新)累积观察质量

·

是在观察最近事件前对于x_i的累积观察质量

·

是基于当前(单个)事件k的对于x_i的递增观察质量

○如果观察质量基于所观察的计数，则

○如果观察质量基于事件信任，则

·t^Event是最近事件k的时间戳(其中，观察x_i)

·

是基于事件k的对于x_i观察的新(更新)持续时间

·

是在最近的事件前对于值x_i观察的最近持续时间

如果这是第一次观察x_i(对于该用户)，则初始更新减小为：

$M_{\mathrm{\λ},i}^{\mathrm{Last}|k}=m_i^{E^k}$

$\left(0.30\right),t_i^{\mathrm{Last}|k}=t^{\mathrm{Event}}$

评价事件与时间衰减模型的处理完全相同，除了在计算事件的风险分数时，使用累积观察质量M_λ，i(t)，而不是所观察的计数或累积信任。具体为，

·如果事件计数用作的基础，则在等式(0.16)中使用M_λ，i(t)来替代m_i。此外使用

(其总计关于所有先前观察值x_i的累积观察质量)来计算k(其现在是实值的)。

·在等式(0.24)中使用M_λ，i(t)来代替τ_i，或者如果将事件信任作为的基础。类似地，现在使用总和来代替

完成归一化。

可以使用更复杂的衰减模型，例如，多个指数衰减的加权平均。

欺诈假冒模型

上述的公式化假设欺诈者与用户无关地行动，即，欺诈者不知道关于普通用户或者关于特定用户的任何情况，并且/或者即使欺诈者了解，欺诈者由于了解而不能够或者选择做任何不同的事。随着欺诈者变得更加复杂，该假设不再有效，并且可能影响算法的性能。

假冒模型解决了该问题。可以考虑两种相关但不同的情况：

1.欺诈者已经了解普通用户(也许对于特定的目标银行)。实质上，欺诈者可能能够利用该了解来猜测典型用户会做什么。例如，攻击美国银行的欺诈者可能安全地假设大多数用户将从美国访问在线应用，所以欺诈者可使用美国代理服务器来隐藏欺诈者的位置，并且也许更重要地看上去像普通用户。当然，这对于一些参数(例如，国家)是更相关的，但对于其他参数不相关，因为欺诈者可能不能够充分地猜测用户会使用什么(例如，在用户代理字符串的情况下)以及/或者很难模仿他们的行为(例如，来自完全相同的网络段)。

2.欺诈者已能够了解关于特定用户的一些情况(通过从Phishing Site收集数据或者通过将恶意软件安装在用户的机器上)。而且，基于该信息，欺诈者可以改变攻击简档以看上去像特定用户。这创造了更多机会和更复杂的攻击简档。仍然，相比于其他参数，这是与一些参数更相关。例如，比较容易看上去像特定用户代理字符串，但更加难以使用刚好相同的网络段(其会需要用户的机器上的复杂恶意软件)。

两种情况都基于相同的基本模型，然而，在不同时间应用该模型：1)通过调节对于欺诈者的参数先验来处理猜测能力，同时2)动态地处理主动假冒特定用户的能力。

对于欺诈者可以猜测普通用户的行为的情况，可以对欺诈模型中的参数先验进行调节，以说明该概率。具体地，这定义了欺诈者可以针对模型中的每个参数猜测用户的行为的概率：

实质上，这说明，利用概率P_Guess，欺诈者获知普通用户(对于特定目标银行和/或应用)的先验概率(对于特定参数)。这可以通过修改所考虑的参数的欺诈参数先验来容易地计算在该模型内。这是使用下式来进行的：

$\left(0.32\right),P\left(X\right|{\hat{F}}^0)=P_{\mathrm{Guess}}P\left(X\right|U^0)+(1-P_{\mathrm{Guess}})P\left(X\right|F^0)$

使用该修改后的欺诈参数先验来替代原始欺诈参数先验。实际上，这是离线完成的，并且风险引擎简单地使用修改后的欺诈参数先验值。

更引起关注且具有挑战的情况是，当欺诈者实际上能够观察用户并接着模仿行为(或者至少观察参数)时。在这种情况下，假冒模型必须考虑如下多种效果：欺诈者会尝试模仿特定观察参数的概率；欺诈者能够观察特定用户的(或者了解)特定行为(观察参数)(例如，欺诈者能够观察用户在访问在线应用时会具有的实际IP地址或用户代理字符串)的概率；欺诈者能够模仿为用户所观察的特定参数值的概率。对于任何特定参数，这通过以下的单个、统计地定义的参数模拟这些条件的组合的概率：

然后，在任何时间点，所得到的欺诈模型是原始欺诈模型(其仅是先验)和假冒欺诈模型的概率组合。

(0.34)  P(X^k|F^k-1)＝P_lmp′P(X^k|U^k-1)+(1-P_lmp)P(X^k|F⁰)

在计算事件的似然比和风险时可以直接使用该模型(参见等式(0.6))：

${\mathrm{\λ}}_{\mathrm{lmp}}\left(X^k\right)=\frac{P_{\mathrm{lmp}}P\left(X^k\right|U^{k-1})+(1-P_{\mathrm{lmp}})P\left(X^k\right|F^0)}{P\left(X^k\right|U^{k-1})}$

$\left(0.35\right),=P_{\mathrm{lmp}}+(1-P_{\mathrm{lmp}})\frac{P\left(X^k\right|F^0)}{P\left(X^k\right|U^{k-1})}$

$=P_{\mathrm{lmp}}+(1-P_{\mathrm{lmp}})\mathrm{\λ}\left(X^k\right)$

因此，

(0.36)   R(X^k)＝ln(P_lmp+(1-P_lmp)λ(X^k))

查看限值，如果P_lmp＜＜1，则在原始欺诈似然比λ(X^k)＞1(即，原始风险＞0)的情况下，所得到的似然比和风险通常受到影响。然而，如果λ(X^k)＜1(即，原始风险是较大的负数)，则包括P_lmp有效地对风险设定更低限制：

(0.37)   R(X^k)≥ln(P_lmp)

直观地，这是有意义的，因为它主要是说，如果欺诈者可能假冒用户的观察参数，则这将限制信任量，其被置于观察正常从用户看到的、期望的参数值。实际上，当用户模型包括许多参数并且基于每个参数的性质定义P_lmp时，这变得有用。例如，使用代理服务器来允许欺诈者模仿用户的国家比模仿用户的正确城市容易。

此外，尽管可以使用以等式(0.34)表达的全模型，但也可以使用根据等式(0.37)简单地设定最小风险的简化模型，并且该简化模型会提供大量相同的值(即，通过限制观察一个期望参数对总风险分数产生的信任量)。因此，如果基本参数也是有条件的，则将P_lmp解释为条件概率。

欺诈同现模型

欺诈同现模型尝试模拟针对单个在线账户的欺诈攻击通常包括一阵会话的观察。例如，可以使用初次会话(或会话)来窃取凭证或者确认所窃取的凭证是正确的，并且一旦确认了，另一攻击矢量会用于执行欺诈；可以使用多个会话，每个会话进行一段欺诈活动以将金融活动保持在交易监控规则的雷达下；如果一个欺诈攻击针对账户成功，则欺诈者会回来并再次尝试。

应注意，在这些情况下，欺诈会话的序列可以或者不可以具有简单简档。此外，在大多数情况下，欺诈者尝试尽可能快地移动，以在他们的活动被发现或者他们对账户的访问被关闭前执行欺诈。数学上，这隐含了观察(潜在的)欺诈会话应该影响后一事件还可能是欺诈的期望。使用更新后的用户模型U^k-1来重写事件E^k的等式(0.3)：

L(E^k)＝ρλ(E^k)

(0.38)  其中

$\mathrm{\λ}\left(E^k\right)=\frac{P\left(E^k\right|F)}{P\left(E^k\right|U^{k-1})},$ 以及 $\mathrm{\ρ}=\frac{P\left(F\right)}{P\left(U\right)}=\frac{P\left(F\right)}{1-P\left(F\right)}$

在该等式中，P(F)是任何观察事件E是由欺诈者而非用户引起的先验概率。在前面的章节中，假设每个事件是独立的并且P(F)是恒定的，以使L(E)和λ(E)可以被用作等效的判定统计量。然而，如先前讨论的，这不是观察一个欺诈事件可以改变看出随后事件的欺诈(即，P(F))的一些期望的情况。

应注意，除了修改P(F)，这还可以包括针对欺诈的一些形式的动态事件预测模型，即，针对用户模型做的P(E^k|F^k-1)。然而，这是很难限定的事，并且会给所得到的算法和模型添加许多复杂性。

因此，关键在于，基于(潜在欺诈活动的)先前观察来修改估计P(F)。理想地，这将递归地进行，以使所得到的模型不会必须记住每个先前事件。

一种这样的模型是指数衰减。该模型作出以下假设：后一欺诈活动(在单个账户上)往往在有限的时间帧内(例如，在同一天或几天内)发生。还利用了基于时间的指数衰减模型的有利半衰期特征。

具体地，假设发现在时间t_F处的欺诈事件E_F，并且在发现在时间t’处的后一事件E’的情况下该事件也是欺诈的先验期望(其随着时间衰减)增大。一种对此进行模拟的方式是将指数衰减模型，用于基于知道E_F是欺诈而增大的先验期望：

(0.39)

其中

·P(F₀)是原始(在观察到任意事件前)的任意事件是欺诈的先验概率。

·ε是定义紧接在观察到事件EF后的新先验欺诈的模型的参数。

·μ是定义增大的欺诈期望的半衰期衰减的模型的参数。

直观上，当发现欺诈事件EF时，发现另一欺诈事件的先验期望直接从P(F₀)跳至ε，并接着衰减回至P(F₀)，其中在指数半衰期等于μ。

当然，在实际情况下，不确定某一先前事件E_i是欺诈。为了说明这种不确定性，可以考虑两种情况，其中，一种情况以E_i是否由欺诈引起为条件，以及另一种情况以E_i是否不由欺诈引起为条件。第一种情况使用如上定义的P(F^k|Eⁱ)作为随后欺诈先验，同时第二种情况使用原始欺诈先验P(F₀)：

(0.40)P(F^k|Eⁱ)＝P(F^k|Eⁱ是欺诈)P(Fⁱ|Eⁱ)+P(F₀)(1-P(Fⁱ|Eⁱ))

使用等式(0.21)替代P(Fⁱ|Eⁱ)＝1-T_E，并且重写为：

$P\left(F^k\right|E^i)=P\left(F_0\right)T_{E^i}+[P\left(F_0\right)+(\mathrm{\ϵ}-P\left(F_0\right))e^{-(t_k-t_i)/\mathrm{\μ}}](1-T_{E^i})$

(0.41) $=P\left(F_0\right)+(1-T_{E^i})(\mathrm{\ϵ}-P\left(F_0\right))e^{-(t_k-t_i)/\mathrm{\μ}}$

应注意，对于任何关注的情况，ε》P(F₀)，这可以进一步简化为：

$\left(0.42\right),P\left(F^k\right|E^i)\≈P\left(F_0\right)+(1-T_{E^i})\mathrm{\ϵ}{e}^{-(t_k-t_i)/\mathrm{\μ}}$

其是基于一些先前的潜在欺诈事件E_i的新欺诈先验。应注意，可选地，这可以将ε定义为在欺诈先验中增大，并且在这种情况下，等式(0.42)会是精确的。实践中，这两种方法都是等效的。

潜在地存在许多先前观察到的事件(对于该用户账户)，并且一般应该考虑每个的可能分布。这通过引入欺诈同现更新模型来完成。

由于增大的欺诈期望的衰减是指数的，因此，从任意单个事件起的衰减的比例仅取决于衰减间隔的长度以及

这允许基于所有先前观察事件{E¹，...，E^k-1}来为下一观察事件E^k的欺诈先验定义递归模型：

$P\left(F^k\right)=P\left(F_0\right)+{\mathrm{\γ}}_{k-1}\mathrm{\ϵ}{e}^{\left(\frac{-(t_k-t_{k-1})}{\mathrm{\μ}}\right)}$

$\left(0.43\right),{\mathrm{\γ}}_k=g({\mathrm{\γ}}_{k-1},T_{E^k}.(t_k-t_{k-1}))$

γ₀＝0

在该公式中，γ_k-1实质上表示通过观察事件E^k-1的累积不信任。更新函数γ_k＝g()的选择定义了如何结合来自多个事件的影响。可以将如预期一样表现的简单递归更新模型定义为：

$\left(0.44\right),{\mathrm{\γ}}_k=\max ((1-T_{E^k}),{\mathrm{\γ}}_{k-1}{e}^{-(t_k-t_{k-1})/\mathrm{\μ}})$

可以通过在确保γ_k≤1时使用先前事件的一些累积来进行其他变化。例如，如果存在过多的高可疑事件，则可选模型可以允许γ_k增至某一值。例如，

$\left(0.45\right),{\mathrm{\γ}}_k=(1-T_{E^k})+{\mathrm{\γ}}_{k-1}{e}^{-(t_k-t_{k-1})/\mathrm{\μ}}$

使用欺诈同现模型计算似然比和相关联的风险分数可以直接使用等式(0.42)。然而，发现(以及大概实现)该组分的相关影响是有用的。为了这样做，将欺诈同现系数Γ^k定义为

${\mathrm{\Γ}}^k\stackrel{\mathrm{\Δ}}{=}\frac{\stackrel{\‾}{L}\left(E^k\right)}{L\left(E^k\right)}$

$\left(0.46\right),=\frac{\frac{P\left(E^k\right|F)}{P\left(E^k\right|U^{k-1})}\left(\frac{P\left(F^k\right)}{1-P\left(F^k\right)}\right)}{\frac{P\left(E^k\right|F)}{P\left(E^k\right|U^{k-1})}\left(\frac{P\left(F_0\right)}{1-P\left(F_0\right)}\right)}$

在这种情况下，L是原始似然比，以及

是结合欺诈同现模型的似然比。观察到在这两种情况下的第一项是相同的并且F₀《1，这简化为：

$\left(0.47\right),{\mathrm{\Γ}}^k=\frac{P\left(F^k\right)}{P\left(F_0\right)(1-P\left(F^k\right))}$

代入等式(0.43)，得到：

$\left(0.48\right),{\mathrm{\Γ}}^k=\frac{P\left(F_0\right)+{\mathrm{\γ}}_{k-1}\mathrm{\ϵ}{e}^{\left(\frac{-(t_k-t_{k-1})}{\mathrm{\μ}}\right)}}{P\left(F_0\right)(1-P\left(F_0\right)-{\mathrm{\γ}}_{k-1}\mathrm{\ϵ}{e}^{\left(\frac{-(t_k-t_{k-1})}{\mathrm{\μ}}\right)})}$

而且最终，观察到对于任何关注的情况P(F₀)《1-ε，这得到：

${\mathrm{\Γ}}^k=\frac{1+\mathrm{Ea}}{1-\mathrm{\ϵa}}$

其中

$\left(0.49\right),E=\frac{\mathrm{\ϵ}}{P\left(F_0\right)}$

$a={\mathrm{\γ}}_{k-1}{e}^{\left(\frac{-(t_k-t_{k-1})}{\mathrm{\μ}}\right)}$

使得：

$\stackrel{\‾}{L}\left(E^k\right)={\mathrm{\Γ}}^{k}L\left(E^k\right)$

(0.50)                    以及

$\stackrel{\‾}{R}\left(E^k\right)=\ln \left({\mathrm{\Γ}}^k\right)+R\left(E^k\right)$

因此，欺诈同现模型基本上将后一事件的风险增加了由先前事件递归地导出的累积不信任所确定的量。

会话模型

除了确定单个事件的风险外，FPS可以确定一系列相关事件的风险。例如，在在线活动的情况下，在线会话包括一个登录事件、接着一个或多个活动事件(例如，查看账户余额、发起资金转移、观看检验图像等)、及之后的一些形式的终止事件(用户的明确注销或者一些形式的会话超时)。

考虑到包括活动事件的0、1个以上观察的通用会话模型。应认识到，在任意时间点，会话可以打开(其中，观察到其他活动)或者关闭(以及不能观察到其他活动)。

将用户的第k次会话标识为：

(0.51)S_k＝(A₁，A₂，...，A_N)

其中，A_n是观察活动事件。每个活动事件A_n具有类型(或类别)属性C_n，其取我们通过矢量V_n指定的一组预定类型和一组观察参数之一的值。明确地：

A_n＝(C_n，V_n)

(0.52)C_n∈{c¹，c²，...，c^m}

V_n＝(v¹，v²，...，v^p)

可以区分打开会话(可接收未来活动事件的会话)和关闭会话(不能接受未来活动事件的会话)。当必要时，将打开会话指定为

并且将关闭会话指定为

通常，会话的似然比和相关联风险为：

$\mathrm{\λ}\left(S_k\right)=\frac{P\left(S_k\right|F^{k-1})}{P\left(S_k\right|U^{k-1})}$

$\left(0.53\right),=\frac{P(A_1,A_2,...,A_N|F^{k-1})}{P(A_1,A_2,...,A_N|U^{k-1})}$

R(S_k)＝log(λ(S_k))

在线登录会话是通用会话模型的特殊情况。具体地，(忽略登录失败的情况下)，在线登录会话以登录事件(其发起打开会话)开始，然后具有0、1个以上活动事件，并且最终以一些形式的终止事件结束，终止事件还用于关闭会话。终止事件可以是由用户进行的明确注销，或者其可以是网上银行应用或风险引擎的超时。

基本上，登录事件和终止事件是也指定会话的开始和结束的特定类型的事件。将对应的打开会话和关闭会话定义为：

(0.54)

在这些定义中，L表示登录事件，以及T表示终止事件。通过定义，可以存在一个且仅一个登录事件。同样，对于关闭会话，在打开会话不具有终止事件时，存在一个且仅一个终止事件。通常，L和T都可以具有与它们相关联的参数和类型。

在大多数情况下，给定特定用户或欺诈模型，我们可以安全地假设登录事件和终止事件这两者都有条件地独立于彼此和所有其他活动事件。这允许将用于在线登录会话模型的等式(0.33)重写为：

$\mathrm{\λ}\left(S_k\right)=\frac{P\left(S_k\right|F^{k-1})}{P\left(S_k\right|U^{k-1})}$

$=\frac{P\left(L\right|F^{k-1})}{P\left(L\right|U^{k-1})}\frac{P\left(T\right|F^{k-1})}{P\left(T\right|U^{k-1})}\frac{P(A_1,A_2,...,A_N|F^{k-1})}{P(A_1,A_2,...A_N|U^{k-1})}$

(0.55)         以及

R(S_k)＝log(λ(S_k))

＝R_L(S_k)+R_A(S_k)+R_l(S_k)

其中：

● $R_L\left(S_k\right)=\log \frac{P\left(L_k\right|F^{k-1})}{P\left(L_k\right|U^{k-1})}$

是登录事件的风险，可以如上所述计算登录事件的风险。

● $R_l\left(S_k\right)=\log \frac{P\left(T_k\right|F^{k-1})}{P\left(T_k\right|U^{k-1})}$

是终止事件的风险。这可以集合先前或预期行为(例如，用户可能总是明确地注销)。在大多数情况下，这两种条件概率都是恒定的，并且通常彼此相等，所以可以安全地忽视该整项。

● $R_{\stackrel{\‾}{A}}\left(S_k\right)=R(A_1,A_2,...,A_N)=\log \frac{P(A_1,A_2,...,A_N|F^{k-1})}{P(A_1,A_2,...,A_N|U^{k-1})}$

是在会话内的全部活动事件的复合风险(也称为活动风险)，并且下文进行描述。

计算复合活动风险

将会话S_k的活动似然比和相关联活动风险的估计设为：

$\left(0.56\right),{\mathrm{\λ}}_{\stackrel{\‾}{A}}\left(S_k\right)\stackrel{\mathrm{\Δ}}{=}\mathrm{\λ}(A_1,A_2,...,A_N)=\frac{P(A_1,A_2,...A_N|F^{k-1})}{P(A_1,A_2,...,A_N|U^{k-1})}$

$R_{\stackrel{\‾}{A}}\left(S_k\right)\stackrel{\mathrm{\Δ}}{=}R(A_1,A_2,...,A_N)=\log \left(\mathrm{\λ}\left(S_k\right)\right)$

计算该通用形式是不切实际的。然而，使用更易于处理以一起起作用的更简单模型来估计这些项引起更加显著的影响。存在许多解决该问题的方式。对于本说明书，已将通用形式分解成如下三个组分：

$\left(0.57\right),{\mathrm{\λ}}_{\stackrel{\‾}{A}}\left(S_k\right)\≈{\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{freq}}\left(S_k\right)\×{\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{order}}\left(S_k\right)\×{\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{params}}\left(S_k\right)$

其中

●

是每个活动类型的观察计数的会话中来自每个活动的复合分布

●

是观察活动类型的特定顺序的会话中来自每个活动的复合分布。这将

限定成任意可能顺序的基本概率以活动类型计数为条件。

●

是在会话中的每个活动的特定观察参数的复合分布。这将

限定成基本概率似然以观察活动的类型为条件，并且通常它们可取决于先前观察活动。

通过采用自然对数，将对应的风险值定义为

$\left(0.58\right),R_{\stackrel{\‾}{A}}\left(S_k\right)=R_{\stackrel{\‾}{A}}^{\mathrm{freq}}\left(S_k\right)+R_{\stackrel{\‾}{A}}^{\mathrm{order}}\left(S_k\right)+R_{\stackrel{\‾}{A}}^{\mathrm{params}}\left(S_k\right)$

考虑每项。

对于关闭会话，可以将

写为似然比的乘积，其中，各项对应于发现每个活动类型c的观察数量n_c的期望：

$\left(0.59\right),{\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{freq}}\left({\hat{S}}_k\right)=\underset{c\∈\{c^1,c^2,...c^M\}}{\mathrm{\Π}}\frac{P(N_c=n_c|F^{k-1})}{P(N_c=n_c|U^{k-1})}$

类似地，计算打开会话的风险。然而，对于打开会话，可已知将针对该会话观察的最小数活动。这是通过使用≥代替概率内的＝来表示：

类似地，可以将相关联的

值计算为：

$R_{\stackrel{\‾}{A}}^{\mathrm{freq}}\left({\hat{S}}_k\right)=\underset{c\∈\{c^1,c^2,...,c^M\}}{\mathrm{\Σ}}\log \left(\frac{P(N_c=n_c|F^{k-1})}{P(N_c=n_c|U^{k-1})}\right)$

(0.61)        and

应注意，即使在会话中没有观察到该类型的特定活动，也将所有获得活动类型包括在计算中。

在大多数情况下，无论是由欺诈者进行还是用户进行，会话内的活动的特定顺序在统计上是不同的。在数学上，这意味着可作出如下假设：

${\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{order}}=1$

$R_{\stackrel{\‾}{A}}^{\mathrm{order}}=0$

在最普遍的情况下，每个活动的观察参数的期望概率分布可以取决于先前观察活动。此外，通常，相关的先前活动可能已在该会话或一些其他更早的会话(或者两者的结合)中发生。来自先前会话的信息包含在更新后的用户活动模型U^k-1和更新后的欺诈活动模型F^k-1(如果使用一个)中。由于在会话的寿命内维持关于活动的全部信息，所以可直接使用关于在当前会话中发生的前一活动的信息。

因此，以最普通的形式，可以将

写为每个活动的似然的乘积：

${\mathrm{\λ}}_{\stackrel{\‾}{A}}^{\mathrm{params}}\left(S_k\right)=\underset{j}{\mathrm{\Π}}{\mathrm{\λ}}_{A_j}^{\mathrm{farams}}$

(0.62)            其中

${\mathrm{\λ}}_{A_j}^{\mathrm{params}}=\frac{P\left(V_j\right|C_j,A_1,A_2,...,A_{j-1},F^{k-1})}{P\left(V_j\right|C_j,A_1,A_2,...,A_{j-1},U^{k-1})}$

并且，类似地：

$R_{\stackrel{\‾}{A}}^{\mathrm{params}}\left(S_k\right)=\underset{j}{\mathrm{\Σ}}{R}_{A_j}^{\mathrm{params}}$

(0.63)            其中

$R_{A_j}^{\mathrm{params}}=\log \left({\mathrm{\λ}}_{A_j}^{\mathrm{params}}\right)$

在大多数情况下，活动的参数与先前活动无关(可能已经以活动的类型为条件)。如果活动的参数与任意先前活动无关，则

$\left(0.64\right),{\mathrm{\λ}}_{A_j}^{\mathrm{parms}}=\frac{P\left(V_j\right|C_j,F^{k-1})}{P\left(V_j\right|C_j,U^{k-1})}$

会话成本模型

从商业和风险的观点，不同类型的活动会附带不同成本。例如，遗漏对资金转移的欺诈很可能比遗漏对检查账户余额的欺诈成本更高。为了考虑此情况，在计算会话的风险时引入了成本的概念。

与将可能成本分配给每个判定结果的该判定理论方法放在一起，并且由于该判定空间实质上是用于说明会话是欺诈还是用户，因此，可以存在四种可能的判定结果：

●当会话来自用户时，FPS确定该会话是欺诈。这被称为错误警报的成本并被表示为：

○

●当该会话实际上是欺诈时，FPS确定会话为欺诈。这可以被称为正确欺诈的成本并表示为：

○

(当实际上为F时确定为F)

●当该会话实际上是欺诈时，FPS确定会话为用户。这可以被称为失误欺诈的成本并表示为：

○

●当该会话实际上来自用户时，FPS确定会话为用户。这可以被称为成本正确用户并表示为：

○(当实际上为U时确定为U)

通常，当可作出会话是欺诈的判定时，期望成本是：

(0.65)

(当实际上为U时确定F)

(当实际上为F时确定F)P(F|S_k)

通常，当作出会话来自用户的判定时，期望成本是：

(0.66)

(当实际上为F时确定U)

(当实际上为F时确定U)

因此，为了使期望成本最小，通过使用下式来简化判定准则：

(0.67)如果：

选择U

以及

如果：

选择F

而且，可选地：

(0.68)如果：

选择F

以及

否则，选择U

各个成本可以表示对于商业的任何成本，包括实际欺诈损失、用户响应警报的资源和如果停止交易对客户的消极影响。假设作出正确判定的成本为0，即，

应该认识到，作出不正确判定的成本可以取决于会话本身(经由相关联的活动)。利用该情况，将等式(0.68)的判定准则重写为：

使用贝叶斯规则：

认识到用户先验和欺诈先验相关为P(U₀)＝1-P(F₀)，并且欺诈先验P(F₀)不变，可以将这些项移至阈值中，以使：

θ(S_k)λ(S_k)＞e^r

or

log(θ(S_k))+R(S_k)＞τ

其中

(0.71)

$\mathrm{\τ}=\log \left[\frac{1-P\left(F_0\right)}{P\left(F_0\right)}\right]$

可以将足够的统计量定义为：

(0.72)

也就是说，会话的调节成本的风险是对能够合并不同类型会话的成本的简单风险分数的概括。因此，可以将会话的调节成本的风险用作会话的主要判定统计量。

成本比θ不取决于会话的内容(即，成本对于所有会话都是相同的)，所以可以将其移进阈值内，以使原始R(S_k)是足够的统计量。这在仅考虑如登录事件一样的单个事件类型时通常是有效的。

活动模型

通常，存在多种类型的活动，并且适用于活动类型的风险模型应该基于活动的性质。在该章节中，描述可以用于多种类型的活动的通用模型。可以基于类似逻辑导出并使用其他模型。

所描述的该模型基于在会话中是否已观察到该类型的任何活动(不管多少)来计算活动的风险。成本分摊可以包括基本成本、每个观察活动的增加成本以及可以绑定于活动的定量观察参数(例如，资金转移量)。

用于根据指定类型的所有活动(即，

)计算风险组分的一般形式如下：

$\left(0.73\right),R_{{\stackrel{\‾}{A}}_{c^i}}\left(S_k\right)=R_{{\stackrel{\‾}{A}}_{c^i}}^{\mathrm{freq}}\left(S_k\right)+\underset{A_j\∈{\stackrel{\‾}{A}}_{c^i}}{\mathrm{\Σ}}{R}_{A_{c^i}}^{\mathrm{params}}\left(S_k\right)$

对于该活动模型模板，应该将该类型的所有活动认为是不能区分的，即，P(V|C，F^k-1)＝P(V|C，U^k-1)，以使

$\left(0.74\right){,R}_{A_j}^{\mathrm{params}}\left(S_k\right)=0$

量

是基于在该会话中观察到该类型的活动(即，

)或者没有观察到该类型的活动(即，

)。根据贝塔分布导出该模型，以估计针对该用户观察该类型的活动的似然，即：

其中，ρ_F＝fraud_occurance_prior(欺诈_发生_先验)

○这是在假定欺诈的情况下在会话内发现该活动类型的先验概率

ρ_F＝user_occurance_prior(用户_发生_先验)

○这是在假定欺诈的情况下在会话内发现该活动类型的先验概率

α＝alpha_occurance(α_发生)

○这是在对于用户的与狄利克雷模型相关联的α(以会话数量为单位)

的cⁱ的所观察到的会话发生

○这是包含该活动类型的对于该用户的先验会话的观察发生(计数或优选地为累积信任)

的总共观察到的会话发生

○这是先验会话(无论是否观察到该活动类型)的观察会话的总数(计数或者优选地为累积信任)

使用等式(0.75)中的定义，计算为：

1.如果S_k是打开的并且未观察到这种类型的活动，则(参见等式(0.61))：

$\left(0.76\right),R_{{\stackrel{\‾}{A}}_{c^i}}^{\mathrm{freq}}\left(S_k\right)=\log \left(\frac{P(N_{c^i}\≥0|F^{k-1})}{P(N_{c^i}\≥0|U^{k-1})}\right)=\log \left(\frac{1}{1}\right)$

$=0$

2.如果S_k是关闭的并且未观察到该类型的活动，则：

3.如果已观察到该类型的至少一个活动(不管S_k是打开还是关闭)，则：

(0.78)

遗漏的欺诈和错误警报成本模型使用可以用于模拟多种情况的一般参数化形式。具体地(对于欺诈成本)；

其中，

●

是在该会话中已观察到的类型cⁱ的活动的数量，包括当前活动

●

是与活动A相关联的量词参数

●β是作为活动模型模板参数所提供的成本系数

○

(遗漏_类型_成本)

○

(遗漏_计数_成本)

○

(遗漏_量词_成本)

错误警报成本模型使用相同的一般参数形式，但具有单独的一组成本系数。

其中

●β是作为活动模型模板参数提供的成本系数

○

(FA_类型_成本)

○

(FA_计数_成本)

○

(FA_量词_成本)

本文所述的实施例包括一种方法，该方法包括：自动生成对应于用户的因果模型；使用用户的账户中由用户承办的第一组事件的事件参数来估计因果模型的多个组件；以及使用因果模型来预测用户在第二组事件期间的预期行为。

实施例中的自动生成因果模型包括：生成多个组分中的组分之间的统计关系。

实施例中的方法包括将因果模型表示为贝叶斯网络。

实施例中的自动生成因果模型包括：生成包括多个组分的联合概率分布。

实施例中的多个组分包括表示事件参数的多个概率分布函数。

实施例中的事件参数是在第一组事件期间所收集的可观察参数。

实施例中的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

实施例中的IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

实施例中的HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

实施例中的自动生成因果模型包括：生成事件参数与导出参数之间的统计关系。

实施例中的导出参数包括装置发起第二组事件的地理区域、装置的位装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的预测用户的预期行为包括：生成第二组事件的预期事件参数。

实施例中的生成预期事件参数包括：生成表示预期事件参数的第一组预测概率分布，其中，生成第一组预测概率分布假设用户正进行第二组事件。

实施例中的方法包括接收预测欺诈模型。实施例中的方法包括生成表示预期欺诈事件参数的第二组预测概率分布，其中，生成第二组预测概率分布假设欺诈者正在进行第二组事件，其中，欺诈者是除了用户外的任何人。

实施例中的方法包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数估计预测欺诈模型的多个欺诈组分，来自动生成预测欺诈模型，其中，先前欺诈事件是由于曾由欺诈者进行而被怀疑的事件。

实施例中的自动生成预测欺诈模型包括生成多个欺诈组分中的欺诈组分之间的统计关系。

实施例中的自动生成预测欺诈模型包括生成欺诈事件参数与导出欺诈参数之间的统计关系。

实施例中的导出欺诈参数包括装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的方法包括使用预期事件参数和预期欺诈事件参数以及观察参数，来实时生成第二组事件中的事件的风险分数。

实施例中的方法包括：当预期行为表明除了用户外的人正在进行事件时，生成与第二组事件中的事件相对应的警报。

实施例中的方法包括：使用在第二组事件期间收集的第二组事件参数来自动更新因果模型。

实施例中的第二组事件参数是在第二组事件期间所收集的可观察参数。

实施例中的自动更新因果模型包括更新包括多个组分的联合概率分布。

实施例中的自动更新因果模型包括更新多个组分中的至少一个。

实施例中的自动更新因果模型包括：更新表示事件参数的多个概率分布函数中的至少一个概率分布函数，更新通过考虑第二组事件参数的数据来修改多个概率分布函数中的至少一个概率分布函数。

实施例中的方法包括：针对第一组事件的每个事件参数，生成概率分布函数。实施例中的方法包括：通过将第二组事件的第二组事件参数的数据应用于概率分布函数，来针对每个事件参数生成更新概率分布函数。

实施例中的方法包括接收对应于用户的基线因果模型，该基线因果模型是在不使用任何事件的数据的情况下生成的。实施例中的方法包括通过生成包括多个组分的联合概率分布来生成因果模型，其中，多个组分包括对于在因果模型中表示的任何事件参数的更新概率分布函数。

实施例中的第一组事件和第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。

实施例中的在线事件是经由对账户的电子访问而承办的事件。

实施例中的事件包括登录事件。

实施例中事件包括活动事件。

实施例中的一组事件包括会话，其中，该会话是一系列相关事件。

实施例中的一系列相关事件包括会话登录事件和终止事件。

实施例中的一系列相关事件包括至少一个活动事件。

实施例中的方法包括：概率地确定第二组事件由用户进行过。实施例中的方法包括：使用在第二组事件期间所收集的第二组事件参数，自动更新因果模型。

实施例中的方法包括将因果模型更新为包括信任因子，该信任因子表示第二组事件实际上由用户过进行的概率。

实施例中的方法包括将因果模型更新为累积信任因子，该累积信任因子表示多组事件中的事件参数实际上由用户进行过的横跨多组事件上的累积概率。

实施例中的自动生成因果模型包括生成包括衰减参数的因果模型。

实施例中的衰减参数包括指数衰减函数，通过该指数衰减函数账户中一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。

本文所述的实施例包括一种方法，该方法包括：接收对应于第一事件的多个观察，第一事件包括在对账户的电子访问期间在账户中执行的动作；生成观察与账户的所有者的导出参数之间的概率关系；自动生成包括概率关系的账户模型；以及使用账户模型来估计所有者在第二事件期间的动作，其中，第二事件在时间上跟随第一事件。

本文所述的实施例包括一种方法，该方法包括：自动生成对应于用户的因果模型，该生成包括使用在用户的账户中由用户承办的先前事件的事件参数来估计因果模型的多个组分；使用因果模型预测用户在账户中的下一事件期间的预期行为，其中，预测用户的预期行为包括生成下一事件的预测事件参数；接收下一事件的观察事件参数；以及更新用在未来事件中的因果模型，该更新包括基于预期事件参数与观察事件参数之间的关系重新生成多个组分。

本文中所述的实施例包括一种系统，该系统包括执行至少一个应用的处理器，该应用接收在用户的账户中由用户承办的第一组事件的事件参数，该应用通过使用第一组事件的事件参数估计因果模型的多个组分，来自动生成对应于用户的因果模型，该应用使用因果模型来输出对用户在第二组事件期间的预期行为的预测。

实施例中的自动生成因果模型包括生成多个组分中的组分之间的统计关系。

实施例中的自动生成因果模型包括生成包括多个组分的联合概率分布。

实施例中的多个组分包括表示事件参数的多个概率分布函数。

实施例中的事件参数是在第一组事件期间所收集的可观察参数。

实施例中的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

实施例中的IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

实施例中的HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

实施例中的自动生成因果模型包括：生成事件参数与导出参数之间的统计关系。

实施例中导出参数包括装置发起第二组事件的地理区域、装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的预测用户的预期行为包括：生成第二组事件的预期事件参数。

实施例中的生成预期事件参数包括生成表示预期事件参数的第一组预测概率分布，其中，生成第一组预测概率分布假设用户正进行第二组事件。

实施例中的系统包括接收预测欺诈模型。实施例中的系统包括生成表示预期欺诈事件参数的第二组预测概率分布，其中，生成第二组预测概率分布假设欺诈者正在进行第二组事件，其中，欺诈者是除了用户外的任何人。

实施例中的系统包括：使用预期事件参数和预期欺诈事件参数以及观察参数，实时生成第二组事件中的事件的风险分数。

实施例中的系统包括：当预期行为表明除了用户外的人正在进行事件时，生成与第二组事件中的事件相对应的警报。

实施例中的系统包括：使用在第二组事件期间收集的第二组事件参数，来自动更新因果模型。

实施例中的自动更新因果模型包括：更新表示事件参数的多个概率分布函数中的至少一个，该更新通过考虑第二组事件参数的数据来修改多个概率分布函数中的至少一个。

实施例中的系统包括：针对第一组事件的每个事件参数，生成概率分布函数。实施例中的系统包括：通过将第二组事件的第二组事件参数的数据应用于概率分布函数，来针对每个事件参数生成更新后的概率分布函数。

实施例中的第一组事件和第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。

实施例中的在线事件是经由对账户的电子访问而承办的事件。

实施例中的事件包括登录事件。

实施例中的事件包括活动事件。

实施例中的一组事件包括会话，其中，会话是一系列相关事件。

实施例中的系统包括：概率地确定第二组事件由用户进行；使用在第二组事件期间所收集的第二组事件参数来自动更新因果模型。

实施例中的系统包括将因果模型更新为包括信任因子，该信任因子表示第二组事件实际上由用户进行过的概率。

实施例中的系统包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示多组事件中的事件参数实际上由用户进行过的跨越多组事件的累积概率。

实施例中的自动生成因果模型包括生成包括衰减参数的因果模型。

实施例中的衰减参数包括账户中一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变的指数衰减函数。

本文中所述的实施例包括一种系统，该系统包括执行至少一个应用的处理器，该应用接收在用户的账户中由用户承办的第一组事件的事件参数，该应用自动生成对应于用户的账户模型，账户模型包括多个组分，其中，生成账户模型包括使用第一组事件的事件参数来生成多个组分，该应用使用账户模型来预测用户在第二组事件期间的预期行为，该应用生成用在一组未来事件中的账户模型的更新版本，该更新包括使用第二组事件重新生成多个组分。

本文中所述的实施例包括一种方法，该方法包括：自动生成对应于用户的因果模型，该生成包括使用在用户的账户中由用户承办的先前事件的事件参数来估计因果模型的多个组分；使用因果模型来预测用户在账户中的下一事件期间的预期行为，其中，预测用户的预期行为包括生成下一事件的预期事件参数；使用预测欺诈模型，生成欺诈事件参数，其中，生成欺诈事件参数假设欺诈者正在进行下一事件，其中，欺诈者是除用户之外的任何人；以及使用预期事件参数和欺诈事件参数来生成下一事件的风险分数，该风险分数表示由用户执行未来事件与由欺诈者执行未来事件的相对似然。

实施例中的方法包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计预测欺诈模型的多个欺诈组分，来自动生成预测欺诈模型，其中，先前欺诈事件是由于曾由欺诈者进行而被怀疑的事件。

实施例中的自动生成预测欺诈模型包括生成多个欺诈组分中的欺诈组分之间的统计关系。

实施例中的自动生成预测欺诈模型包括生成包括多个欺诈组分的联合概率分布。

实施例中的多个欺诈组分包括表示欺诈事件参数的多个欺诈概率分布函数。

实施例中的欺诈事件参数是在先前欺诈事件期间所收集的可观察欺诈参数。

实施例中的自动生成预测欺诈模型包括生成欺诈事件参数与导出欺诈参数之间的统计关系。

实施例中的导出欺诈参数包括装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的方法包括生成预测欺诈模型。

实施例中的生成预测欺诈模型包括：生成原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率且没有关于事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成原始欺诈模型和假冒模型的概率组合。

实施例中的方法包括：生成原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率且没有关于所述事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成包括假冒概率的预测欺诈模型，其中，假冒概率是欺诈者成功地假冒由用户承办的一组事件的事件参数的参数值的概率。

实施例中的假冒模型包括所述欺诈者模仿由用户承办的一组事件的事件参数的概率。

实施例中的假冒模型包括欺诈者观察由用户承办的一组事件的事件参数的概率。

实施例中的方法包括：识别至少一个先前欺诈事件，先前欺诈事件包括可能由所述欺诈者引起的在账户中的先前事件。实施例中的方法包括通过使用在账户中所承办的至少一个先前欺诈事件的事件参数估计欺诈模型的多个组分，来生成原始欺诈模型，至少一个先前欺诈事件可能由欺诈者进行。

实施例中的方法包括基于可能由欺诈者进行的至少一个先前事件来修改预测欺诈模型。

实施例中的方法包括生成包括可能由欺诈者进行至少一个先前事件的欺诈同现系数的预测欺诈模型。

实施例中的欺诈同现系数表示从可能由欺诈者进行的至少一个先前事件递归导出的累积不信任。

实施例中的欺诈同现系数包括表示可能由欺诈者进行的多个先前事件的影响的系数。

实施例中的自动生成因果模型包括生成多个组分中的组分之间的统计关系。

实施例中的自动生成因果模型包括生成包括多个组分的联合概率分布。

实施例中的多个组分包括表示先前事件的事件参数的多个概率分布函数。

实施例中的事件参数是在先前事件期间所收集的可观察参数。

实施例中的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

实施例中的IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

实施例中的HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

实施例中的自动生成因果模型包括生成事件参数与导出参数之间的统计关系。

实施例中的导出参数包括正在发起下一事件的地理区域、装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的预测用户的预期行为包括生成下一事件的预期事件参数。

实施例中的生成预期事件参数包括生成表示预期事件参数的第一组预期概率分布，其中，生成第一组预期概率分布假设用户正进行下一事件。

实施例中的方法包括：当风险分数表示除了用户外的人正在进行下一事件时，生成对应于下一事件的警报。

实施例中的方法包括使用在下一事件期间所收集的第二组事件参数来自动更新因果模型。

实施例中的第二组事件参数是在下一事件期间所收集的可观察参数。

实施例中的自动更新因果模型包括更新包括多个组分的联合概率分布。

实施例中的自动更新因果模型包括更新多个组分中的至少一个。

实施例中的自动更新因果模型包括更新表示事件参数的多个概率分布函数中的至少一个概率分布函数，该更新通过考虑第二组事件参数的数据来修改多个概率分布函数中的至少一个概率分布函数。

实施例中的方法针对先前事件的每个事件参数生成概率分布函数。实施例中的方法包括通过将下一事件的第二组事件参数的数据应用于概率分布函数，来针对每个事件参数来生成更新后的概率分布函数。

实施例中的方法包括接收对应于用户的基线因果模型，该基线因果模型是在没有使用任何事件的数据的情况下生成的。实施例中的方法包括通过生成包括多个组分的联合概率分布来生成因果模型，其中，多个组分包括对于在因果模型中表示的任何事件参数的更新后的概率分布函数。

实施例中的先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个。

实施例中的在线事件是经由对账户的电子访问所承办的事件。

实施例中的事件包括登录事件。

实施例中的事件包括活动事件。

实施例中的方法包括概率地确定下一事件由用户进行过。实施例中的方法包括使用在下一事件期间所收集的第二组事件参数来自动更新因果模型。

实施例中的方法包括将因果模型更新为包括信任因子，该信任因子表示下一事件实际上由用户进行过的概率。

实施例中的方法包括将因果模型更新为包括累积信任因子，该累积信任因子表示在多个事件中的事件参数实际上是由用户进行过的跨越所述多个事件的累积概率。

实施例中的自动生成因果模型包括生成包括衰减参数的因果模型。

实施例中的衰减参数包括指数衰减函数，通过指数衰减函数账户中的每个事件的相对权重随着自事件起经过的时间而变化。

本文中所述的实施例包括一种方法，该方法包括：自动生成对应于用户的账户模型，该账户模型的生成使用在用户的账户由用户执行的先前事件的事件参数，来生成在账户中的下一事件的事件参数的预测分布，其中，账户模型包括事件参数的预测分布；当下一事件发生时，接收下一事件的观察事件参数；使用账户模型来生成第一概率，其中，第一概率是假设用户正进行下一事件来观察观察事件参数的概率；使用欺诈模型来生成第二概率，其中，第二概率是假设欺诈者正进行下一事件来观察观察事件参数的概率，其中，欺诈者是除了用户外的人；以及使用第一概率和第二概率来生成风险分数，风险分数表示下一事件由用户执行与下一事件由欺诈者执行的相对似然。

本文中所述的实施例包括一种方法，该方法包括：生成第一事件的观察和账户的所有者的导出参数之间的概率关系；自动生成包括概率关系的账户模型；使用第二事件的观察来动态更新账户模型；以及使用账户模型来预测在第三事件期间是所有者还是欺诈者正维持第三事件，其中，事件包括在对账户的电子访问期间在账户中采取的动作。

本文中所述的实施例包括一种系统，该系统包括用于执行至少一个应用的处理器，该应用自动生成对应于用户的预测用户模型，其中，预测用户模型包括表示在用户的账户中在第一事件期间所观察的事件参数的多个概率分布，该应用使用预测用户模型来生成预测事件参数，期望在账户中的第二事件期间观察预测事件参数，第二事件跟随第一事件，该应用将第二事件的实际事件参数与在第二事件期间的预测事件参数进行比较，并且在实际事件参数看来是由除了用户外的人发起时，生成对应于第二事件的警报。

本文中所述的实施例包括一种系统，该系统包括用于执行至少一个应用的处理器，该应用通过使用在用户的账户中由用户承办的先前事件的事件参数估计因果模型的多个组分，来自动生成对应于用户的因果模型，该应用使用因果模型预测用户在在账户中的下一事件期间的预期行为，其中，预测用户的预期行为包括生成下一事件的预期事件参数，该应用使用预期欺诈模型，生成欺诈事件参数，其中，生成欺诈事件参数假设欺诈者正进行下一事件，其中，欺诈者是除了用户外的任何人，该应用使用预期事件参数和欺诈事件参数来生成下一事件的风险分数，该风险分数表示未来事件由用户执行与未来事件由欺诈者执行的相对似然。

实施例中的系统包括：通过使用在多个账户中承办的先前欺诈事件的欺诈事件参数估计预测欺诈模型的多个欺诈组分，来自动生成预测欺诈模型，其中，先前欺诈事件是由于曾由欺诈者进行而被怀疑的事件。

实施例中的自动生成预测欺诈模型包括生成多个欺诈组分中的欺诈组分之间的统计关系。

实施例中的自动生成预期欺诈模型包括生成包括多个欺诈组分的联合概率分布。

实施例中的多个欺诈组分包括表示欺诈事件参数的多个欺诈概率分布函数，其中，欺诈事件参数是在先前欺诈事件期间所收集的可观察欺诈参数。

实施例中的自动生成预测欺诈模型包括生成欺诈事件参数与导出欺诈参数之间的统计关系。

实施例中的导出欺诈参数包括装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的系统包括生成预测欺诈模型。

实施例中的生成预测欺诈模型包括生成原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率且没有关于事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成原始欺诈模型和假冒模型的概率组合。

实施例中的系统包括生成所述原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率且没有关于事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成包括假冒概率的预测欺诈模型，其中，假冒概率是欺诈者成功地假冒由用户承办的一组事件的事件参数的参数值的概率。

实施例中的假冒模型包括欺诈者模仿由用户承办的一组事件的事件参数的概率。

实施例中的假冒模型包括欺诈者观察由用户承办的一组事件的事件参数的概率。

实施例中的系统包括识别至少一个先前欺诈事件，先前欺诈事件包括在账户中可能由所述欺诈者引起的先前事件。实施例中的系统包括通过使用在账户中所承办的至少一个先前欺诈事件的事件参数估计欺诈模型的多个组分，来生成原始欺诈模型，该至少一个先前欺诈事件可能由欺诈者引起。

实施例中的系统包括基于可能由欺诈者进行的至少一个先前事件来修改预测欺诈模型。

实施例中的系统包括生成包括可能由欺诈者进行至少一个先前事件的欺诈同现系数的预测欺诈模型。

实施例中的欺诈同现系数表示从可能由欺诈者进行的至少一个先前事件递归导出的累积不信任。

实施例中的欺诈同现系数包括表示可能由欺诈者进行的多个先前事件的影响的系数。

实施例中的自动生成因果模型包括生成多个组分中的组分之间的联合概率分布。

实施例中的多个组分包括表示先前事件的事件参数的多个概率分布函数。

实施例中的先前事件的事件参数是在先前事件期间所收集的可观察参数。

实施例中的先前事件的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据。

实施例中的IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

实施例中的HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

实施例中的自动生成因果模型包括生成事件参数与导出参数之间的统计关系。

实施例中的导出参数包括正在发起下一事件的地理区域、装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的预测用户的预期行为包括生成下一事件的预期事件参数，其中，生成预期事件参数包括生成表示预期事件参数的第一组预测概率分布，其中，生成第一组预测概率分布假设用户正进行下一事件。

实施例中的系统包括：当预期行为表明除了用户外的人正进行下一事件时，生成对应于下一事件的警报。

实施例中的系统包括使用在下一事件期间所收集的第二组事件来自动更新因果模型，其中，第二组事件参数是在下一事件期间所收集的可观察参数。

实施例中的自动更新因果模型包括更新表示事件参数的多个概率分布函数中的至少一个，该更新通过考虑第二组事件参数的数据来修改多个概率分布函数中的至少一个。

实施例中的先前事件和下一事件包括在线事件、离线事件和多渠道事件中的至少一个，其中，在线事件是经由对账户的电子访问而承办的事件。

实施例中的事件包括登录事件和活动事件中的至少一个。

实施例中的系统包括概率地确定下一事件由所述用户进行过的概率。实施例中的系统包括使用在下一事件期间所收集的第二组事件来自动更新因果模型。

实施例中的系统包括将因果模型更新为包括信任因子，该信任因子表示下一事件实际上由所述用户进行过的概率。

实施例中的系统包括将因果模型更新为包括累积信任因子，该累积信任因子表示在多个事件中的事件参数实际上由用户进行过的跨越多个事件的累积概率。

实施例中的自动生成因果模型包括生成包括衰减参数的因果模型，其中，该衰减参数包括指数衰减函数，通过指数衰减函数账户中的每个事件的相对权重随着自从事件起经过的时间而变化。

本文中的实施例包括一种系统，该系统包括：在处理器上运行并耦合至包括账户的金融系统的风险引擎，该风险引擎生成与用户和在账户中进行的事件相对应的账户模型，该账户模型的生成使用在账户中由用户执行的先前事件的事件参数，来生成在账户中的下一事件的事件参数的预测分布，该风险引擎在下一事件发生时接收下一事件的事件参数，该风险引擎使用账户模型来生成第一概率，其中，第一概率是假设用户正进行下一事件来观察事件参数的概率，风险引擎使用欺诈模型来生成第二概率，其中，第二概率是假设欺诈者正进行下一事件来观察事件参数的概率，其中，欺诈者是除了用户外的人，其中，在账户中所进行的事件包括先前事件和下一事件，风险引擎使用第一概率和第二概率来生成风险分数，该风险分数表示下一事件由用户执行与下一事件由欺诈者执行的相对似然；以及在处理器上运行的风险应用，风险应用包括分析用户接口(AUI)，AUI针对所述账户中的任意事件显示风险分数和事件参数中的至少一个。

实施例中的AUI包括表示按时间排序的一系列事件的横轴。

实施例中的AUI包括表示事件参数的纵轴。

实施例中的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

实施例中的IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

实施例中的HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

实施例中的AUI包括多列，其中，多列中的每列表示在账户中所进行的事件中的至少一个事件，其中，多列根据日期来排列。

实施例中的AUI包括多行，其中，多行中的一组行表示事件的事件参数。

实施例中的AUI包括多个相交区域，每个相交区域由一组行中的行和列的相交而限定，其中，相交区域对应于至少一个事件的事件参数，其中，相交区域包括将事件参数与账户模型的对应概率相关的颜色编码。

实施例中的颜色编码表示每个参数对应于用户的相对似然比。

实施例中的AUI包括表示事件的风险的风险行，其中，由风险行与列限定的每个相交区域对应于与列相对应的至少一个事件的风险分数。

实施例中的相交区域包括将风险分数与至少一个事件相关的颜色编码。

实施例中的颜色编码表示用户进行过至少一个事件的相对似然比。

实施例中的至少一个事件包括在线事件、离线事件和多渠道事件中的至少一个。

实施例中的在线事件是经由对账户的电子访问所承办的事件。

实施例中的至少一个事件包括登录事件。

实施例中的至少一个事件包括活动事件。

实施例中的至少一个事件包括会话，其中，会话是一系列相关事件。

实施例中的一系列相关事件包括会话登录事件和终止事件。

实施例中的一系列相关事件包括接着登录事件的至少一个活动事件。

实施例中的生成账户模型包括生成预测分布之间的统计关系。

实施例中的生成账户模型包括生成包括预测分布的联合概率分布。

实施例中的预测分布包括表示事件参数的多个概率分布函数。

实施例中的事件参数是在先前事件期间所收集的可观察参数。

实施例中的生成账户模型包括生成事件参数与导出参数之间的统计关系。

实施例中的导出参数包括装置发起下一事件的地理区域、装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的生成风险分数包括生成下一事件的预期事件参数。

实施例中的生成预期事件参数包括生成表示预期事件参数的第一组预期概率分布，其中，生成第一组预期概率分布假设用户正进行第二组事件。

实施例中的系统包括接收预测欺诈模型。实施例中的系统包括生成表示预期欺诈事件参数的第二组预期概率分布，其中，生成第二组预期概率分布假设欺诈者正进行下一事件。

实施例中的系统包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计预测欺诈模型的多个欺诈组分，来自动生成预期欺诈模型，其中，先前欺诈事件是由于曾由欺诈者进行而被怀疑的事件。

实施例中的自动生成预测欺诈模型包括生成多个欺诈组分中的欺诈组分之间的统计关系。

实施例中的自动生成预测欺诈模型包括生成欺诈事件参数和导出欺诈参数之间的统计关系。

实施例中的导出欺诈参数包括装置的位置、装置的标识和装置的电子服务提供商中的一个或多个。

实施例中的系统包括生成预测欺诈模型。

实施例中的生成预测欺诈模型包括生成原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率并且没有关于事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成原始欺诈模型和假冒模型的概率组合。

实施例中的系统包括生成原始欺诈模型，该原始欺诈模型包括假定事件由欺诈者引起来观察事件的概率且没有关于事件的任何其他信息。

实施例中的生成预测欺诈模型包括生成包括假冒概率的预测欺诈模型，其中，假冒概率是欺诈者成功地假冒由用户承办的一组事件的事件参数的概率。

实施例中的假冒模型包括欺诈者模仿由用户承办的一组事件的事件参数的概率。

实施例中的假冒模型包括欺诈者观察由用户承办的一组事件的事件参数的概率。

实施例中的系统包括识别至少一个先前欺诈事件，先前欺诈事件包括在账户中可能由所述欺诈者引起的先前事件。实施例中的系统包括通过使用在账户中所承办的至少一个先前欺诈事件的事件参数估计欺诈模型的多个组分，来生成原始欺诈模型，该至少一个先前欺诈事件可能由欺诈者进行。

实施例中的系统包括基于可能由欺诈者进行的至少一个先前事件来修改预测欺诈模型。

实施例中的系统包括生成包括可能由欺诈者进行的至少一个先前事件的欺诈同现系数的预测欺诈模型。

实施例中的欺诈同现系数表示从可能由欺诈者进行的至少一个先前事件递归导出的累积不信任。

实施例中的欺诈同现系数包括表示可能由欺诈者进行的多个先前事件的影响的系数。

实施例中的系统包括：使用在下一事件期间所收集的第二组事件参数来选择性地更新账户模型。

实施例中的第二组事件参数是在下一事件期间所收集的可观察参数。

实施例中的自动更新账户模型包括更新包括账户模型的多个组分的联合概率分布。

实施例中的自动更新账户模型包括更新账户模型的多个组分中的至少一个。

实施例中的自动更新账户模型包括更新表示事件参数的多个概率分布函数中的至少一个概率分布函数，该更新通过考虑第二组事件参数的数据来修改多个概率分布函数中的至少一个概率分布函数。

实施例中的系统包括针对所述先验事件的每个事件参数生成对于先验事件的每个事件参数的概率分布函数。实施例中的系统包括通过将下一事件的第二组事件参数的数据应用于概率分布函数，来针对每个事件参数生成更新后的概率分布函数。

实施例中的系统包括接收对应于用户的基线帐户模型，该基线帐户模型是在没有使用任何事件的数据的情况下生成的。实施例中的系统包括通过生成包括账户模型的多个组分的联合概率分布来生成帐户模型，其中，多个组分包括对于在帐户模型中表示的任何事件参数的更新后的概率分布函数。

实施例中的先前事件和下一事件包括在线事件、离线事件和多渠道事件中的至少一个。

实施例中的在线事件是经由对账户的电子访问所承办的事件。

实施例中的事件包括登录事件。

实施例中的事件包括活动事件。

实施例中的事件包括会话，其中，会话是一系列相关事件。

实施例中的一系列相关事件包括会话登录事件和终止事件。

实施例中的一系列相关事件包括接着至少一个活动事件。

实施例中的系统包括概率地确定下一事件由用户进行。实施例中的系统包括使用在下一事件期间所收集的第二组事件参数，自动更新账户模型。

实施例中的系统包括将因果模型更新为包括信任因子，该信任因子表示下一事件实际上由用户过进行的概率。

实施例中的系统包括将帐户模型更新为包括累积信任因子，该累积信任因子表示多个事件中的事件参数实际上由用户过进行的跨越多个事件的累积概率。

实施例中的自动生成账户模型包括生成包括衰减参数的帐户模型。

实施例中的衰减参数包括指数衰减函数，通过指数衰减函数账户中的事件中的每个事件的相对权重随着从该事件起经过的时间而改变。

本文中所述的实施例包括一种系统，该系统包括：在处理器上运行的风险引擎，该风险引擎从金融系统接收对应于先验事件的观察，该先验事件包括在电子访问账户期间在金融系统的账户中所采取的动作，风险引擎使用观察来估计账户模型的参数并且动态地生成包括参数的账户模型，账户模型仅对应于用户，风险引擎使用账户模型的输出来生成风险分数，风险分数是在先验事件后的在账户中的事件由用户执行与由欺诈者执行的相对似然；以及在处理器上运行的风险应用，该风险应用包括分析用户接口(AUI)，AUI针对账户中的任意事件显示风险分数和账户中的任意事件的事件参数中的至少一个。

可以将本文所述的FPS的各方面实现为编程成各种电路中的任意一种电路的功能性，包括可编程逻辑器件(PLD)(诸如，现场可编程门阵列(FPGA)、可编程阵列逻辑(PAL)器件、电可编程逻辑和存储器件以及基于标准单元的器件)、以及专用集成电路(ASIC)。用于实现FPS的各方面的一些其他可能性包括：具有存储器(诸如，电可擦除可编程只读存储器(EEPROM))、嵌入式微处理器、固件、软件等。此外可以在具有基于软件的电路仿真的微处理器、离散逻辑(顺序的和组合的)、自定义器件、模糊(神经)逻辑、量子器件和上述器件类型的任意混合中实现FPS的各方面。当然，可按各种组件类型提供基本器件技术，例如，如互补金属氧化物半导体(CMOS)的金属氧化物半导体场效应晶体管(MOSFET)技术、如发射极耦合逻辑(ECL)的双极技术、聚合体技术(例如，硅共轭聚合物和金属共轭聚合物金属结构)、混合模拟和数字等。

应该注意，可使用计算机辅助设计工具来描述本文中所公开的任意系统、方法和/或其他组件，并根据其行为、寄存器转移、逻辑组件、晶体管、布局几何和/或其他特性表现(或表示)本文中所公开的任意系统、方法和/或其他组件，如包括在各种计算机可读介质中的数据和/或指令。可收录有这样格式化的数据和/或指令的计算机可读介质包括但不限于，各种形式的非易失性存储介质(例如，光学、磁性或半导体存储介质)，以及可用于通过无线、光学或有线的信号传输介质来传输这样的格式化数据和/或指令的载波，或其任意组合。通过载波传送这样的格式化数据和/或指令的示例包括但不限于经由多个数据传输协议(例如，HTTP、FTP、SMTP等)在互联网和/或其他计算机网络上的传输(上传、下载、电子邮寄等)。当经由一个或多个计算机可读介质在计算机系统内接收到上述组件的基于这种数据和/或指令的表示时，可通过计算机系统内的处理实体(例如，一个或多个处理器)连同运行一个或多个其他计算机程序一起来对其进行处理。

除非上下文另外明确地要求，否则在整篇说明书和权利要求书中，与排他或穷尽的意思相反，将词“包括”等解释为包含的意思；也就是说，为“包括但不限于”的意思。使用单数或复数的词也分别包括复数或单数。另外，在本申请中使用时，词“本文中”、“在下文”、“上文”、“下文”和类似含义的词是指作为整体的本申请，而不是本申请的任何特定部分。当在引用两项以上的列表时使用词“或者”时，该词覆盖该词的所有下列解释：列表中的任意项、列表中的全部项和列表中的项的组合。

FPS的实施例的以上描述并不旨在将系统和方法穷尽或限制为所披露的明确形式。尽管为了说明的目的在本文中描述了FPS的特定实施例和示例，但是如相关领域的技术人员会认识到的，在系统和方法的范围内，可以进行各种等同修改。本文中所提供的FPS的教导可以应用于其他系统和方法，而不仅仅应用于上述的系统和方法。

可以组合上述的各种实施例的元件和动作，以提供其他实施例。可以根据上述详细描述对FPS进行这些和其他改变。

通常，在所附权利要求中，不应将所使用的术语解释为将FPS限制为在说明书和权利要求书中所披露的特定实施例，而应解释为包括根据权利要求书起作用的所有系统。因此，FPS并不受公开限制，而是FPS的范围完全由权利要求书确定。

尽管以一些权利要求形式提出了FPS的一些方面，但是发明人以任意数量的权利要求形式设想FPS的各方面。相应地，发明人保留了在提交申请后添加附加权利要求的权利，以追加对于FPS的其他方面的这样的附加权利要求形式。

Claims (223)

1.一种方法，包括：

自动生成对应于用户的因果模型；

使用所述用户的账户中由所述用户承办的第一组事件的事件参数来估计所述因果模型的多个组分；以及

使用所述因果模型来预测所述用户在第二组事件期间的预期行为。

2.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成所述多个组分中的组分之间的统计关系。

3.根据权利要求1所述的方法，包括将所述因果模型表示为贝叶斯网络。

4.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成包括所述多个组分的联合概率分布。

5.根据权利要求4所述的方法，其中，所述多个组分包括表示所述事件参数的多个概率分布函数。

6.根据权利要求5所述的方法，其中，所述事件参数是在所述第一组事件期间所收集的可观察参数。

7.根据权利要求6所述的方法，其中，所述事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

8.根据权利要求7所述的方法，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

9.根据权利要求7所述的方法，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

10.根据权利要求1所述的方法，其中，自动生成所述因果模型包括：生成所述事件参数与导出参数之间的统计关系。

11.根据权利要求10所述的方法，其中，所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

12.根据权利要求1所述的方法，其中，预测所述用户的所述预期行为包括：生成所述第二组事件的预期事件参数。

13.根据权利要求12所述的方法，其中，生成所述预期事件参数包括：生成表示所述预期事件参数的第一组预测概率分布，其中，生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。

14.根据权利要求1所述的方法，包括：

接收预测欺诈模型；以及

生成表示预期欺诈事件参数的第二组预测概率分布，其中，生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件，其中，所述欺诈者是除了所述用户外的任何人。

15.根据权利要求14所述的方法，包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分，来自动生成所述预测欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。

16.根据权利要求15所述的方法，其中，自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。

17.根据权利要求15所述的方法，其中，自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。

18.根据权利要求17所述的方法，其中，所述导出欺诈参数包括所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

19.根据权利要求14所述的方法，包括：使用所述预期事件参数和所述预期欺诈事件参数以及所述观察参数来实时生成所述第二组事件中的事件的风险分数。

20.根据权利要求1所述的方法，包括：当所述预期行为表明除了所述用户外的人正在进行所述事件时，生成与所述第二组事件中的事件相对应的警报。

21.根据权利要求1所述的方法，包括：使用在所述第二组事件期间收集的第二组事件参数，来自动更新所述因果模型。

22.根据权利要求21所述的方法，其中，所述第二组事件参数是在所述第二组事件期间所收集的可观察参数。

23.根据权利要求21所述的方法，其中，自动更新所述因果模型包括更新包括所述多个组分的联合概率分布。

24.根据权利要求21所述的方法，其中，自动更新所述因果模型包括更新所述多个组分中的至少一个组分。

25.根据权利要求21所述的方法，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。

26.根据权利要求21所述的方法，包括：

针对所述第一组事件中的每个所述事件参数，生成概率分布函数；以及

通过将所述第二组事件中的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。

27.根据权利要求26所述的方法，包括：

接收对应于所述用户的基线因果模型，所述基线因果模型是在不使用任何事件的数据的情况下生成的；以及

通过生成包括所述多个组分的联合概率分布来生成所述因果模型，其中，所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。

28.根据权利要求1所述的方法，其中，所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。

29.根据权利要求28所述的方法，其中，在线事件是经由对所述账户的电子访问而承办的事件。

30.根据权利要求1所述的方法，其中，事件包括登录事件。

31.根据权利要求1所述的方法，其中，事件包括活动事件。

32.根据权利要求1所述的方法，其中，一组事件包括会话，其中，所述会话是一系列相关事件。

33.根据权利要求32所述的方法，其中，所述一系列相关事件包括会话登录事件和终止事件。

34.根据权利要求33所述的方法，其中，所述一系列相关事件包括至少一个活动事件。

35.根据权利要求1所述的方法，包括：

概率地确定所述第二组事件由所述用户进行过；

使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型。

36.根据权利要求35所述的方法，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。

37.根据权利要求35所述的方法，包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的横跨所述多组事件的累积概率。

38.根据权利要求1所述的方法，其中，自动生成所述因果模型包括生成包括衰减参数的所述因果模型。

39.根据权利要求38所述的方法，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。

40.一种方法，包括：

接收对应于第一事件的多个观察，所述第一事件包括在对账户的电子访问期间在所述账户中执行的动作；

生成所述观察与所述账户的所有者的导出参数之间的概率关系；

自动生成包括所述概率关系的账户模型；以及

使用所述账户模型来估计所述所有者在第二事件期间的动作，其中，所述第二事件在时间上跟随所述第一事件。

41.一种方法，包括：

自动生成对应于用户的因果模型，所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分；

使用所述因果模型预测所述用户在所述账户中的下一事件期间的预期行为，其中，预测所述用户的所述预期行为包括生成所述下一事件的预测事件参数；

接收所述下一事件的观察事件参数；以及

更新用在未来事件中的所述因果模型，所述更新包括基于所述预期事件参数与观察事件参数之间的关系重新生成所述多个组分。

42.一种系统，包括执行至少一个应用的处理器，所述应用接收在用户的账户中由所述用户承办的第一组事件的事件参数，所述应用通过使用所述第一组事件的所述事件参数估计因果模型的多个组分来自动生成对应于用户的所述因果模型，所述应用使用所述因果模型来输出对所述用户在第二组事件期间的预期行为的预测。

43.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。

44.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成包括所述多个组分的联合概率分布。

45.根据权利要求44所述的系统，其中，所述多个组分包括表示所述事件参数的多个概率分布函数。

46.根据权利要求45所述的系统，其中，所述事件参数是在所述第一组事件期间所收集的可观察参数。

47.根据权利要求46所述的系统，其中，所述事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

48.根据权利要求47所述的系统，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

49.根据权利要求47所述的系统，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

50.根据权利要求42所述的系统，其中，自动生成所述因果模型包括：生成所述事件参数与导出参数之间的统计关系。

51.根据权利要求50所述的系统，其中，所述导出参数包括装置发起所述第二组事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

52.根据权利要求42所述的系统，其中，预测所述用户的所述预期行为包括：生成所述第二组事件的预期事件参数。

53.根据权利要求52所述的系统，其中，生成所述预期事件参数包括生成表示所述预期事件参数的第一组预测概率分布，其中，生成所述第一组预测概率分布假设所述用户正进行所述第二组事件。

54.根据权利要求53所述的系统，包括：

接收预测欺诈模型；以及

生成表示预期欺诈事件参数的第二组预测概率分布，其中，生成所述第二组预测概率分布假设欺诈者正在进行所述第二组事件，其中，所述欺诈者是除了所述用户外的任何人。

55.根据权利要求54所述的系统，包括：使用所述预期事件参数和所述预期欺诈事件参数以及所述观察参数来实时生成所述第二组事件中的事件的风险分数。

56.根据权利要求42所述的系统，包括：当所述预期行为表明除了所述用户外的人正在进行所述事件时，生成与所述第二组事件中的事件相对应的警报。

57.根据权利要求42所述的系统，包括：使用在所述第二组事件期间收集的第二组事件参数，来自动更新所述因果模型。

58.根据权利要求57所述的系统，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。

59.根据权利要求57所述的系统，包括：

针对所述第一组事件中的每个所述事件参数，生成概率分布函数；以及

通过将所述第二组事件的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。

60.根据权利要求42所述的系统，其中，所述第一组事件和所述第二组事件包括在线事件、离线事件和多渠道事件中的至少一个。

61.根据权利要求60所述的系统，其中，在线事件是经由对所述账户的电子访问而承办的事件。

62.根据权利要求42所述的系统，其中，事件包括登录事件。

63.根据权利要求42所述的系统，其中，事件包括活动事件。

64.根据权利要求42所述的系统，其中，一组事件包括会话，其中，所述会话是一系列相关事件。

65.根据权利要求42所述的系统，包括：

概率地确定所述第二组事件由所述用户进行过；

使用在所述第二组事件期间所收集的第二组事件参数来自动更新所述因果模型。

66.根据权利要求65所述的系统，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述第二组事件实际上由所述用户进行过的概率。

67.根据权利要求65所述的系统，包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示多组事件中的事件参数实际上由所述用户进行过的跨越所述多组事件的累积概率。

68.根据权利要求42所述的系统，其中，自动生成所述因果模型包括生成包括衰减参数的所述因果模型。

69.根据权利要求68所述的系统，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的一组事件中的每个事件的相对权重随着从该事件起经过的时间而改变。

70.一种系统，包括执行至少一个应用的处理器，所述应用接收在用户的账户中由所述用户承办的第一组事件的事件参数，所述应用自动生成对应于所述用户的账户模型，所述账户模型包括多个组分，其中，生成所述账户模型包括使用所述第一组事件的事件参数来生成所述多个组分，所述应用使用所述账户模型来预测所述用户在第二组事件期间的预期行为，所述应用生成用在一组未来事件中的所述账户模型的更新版本，所述更新包括使用所述第二组事件重新生成所述多个组分。

71.一种方法，包括：

自动生成对应于用户的因果模型，所述生成包括使用在所述用户的账户中由所述用户承办的先前事件的事件参数来估计所述因果模型的多个组分；

使用所述因果模型来预测所述用户在所述账户中的下一事件期间的预期行为，其中，预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数；

使用预测欺诈模型，生成欺诈事件参数，其中，生成所述欺诈事件参数假设欺诈者正在进行所述下一事件，其中，所述欺诈者是除所述用户之外的任何人；以及

使用所述预期事件参数和所述欺诈事件参数来生成所述下一事件的风险分数，所述风险分数表示由所述用户执行未来事件与由所述欺诈者执行未来事件的相对似然。

72.根据权利要求71所述的方法，包括：通过使用在多个账户中所承办的先前欺诈事件的所述欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分，来自动生成所述预测欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。

73.根据权利要求72所述的方法，其中，自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。

74.根据权利要求72所述的方法，其中，自动生成所述预测欺诈模型包括：生成包括所述多个欺诈组分的联合概率分布。

75.根据权利要求74所述的方法，其中，所述多个欺诈组分包括表示所述欺诈事件参数的多个欺诈概率分布函数。

76.根据权利要求75所述的方法，其中，所述欺诈事件参数是在所述先前欺诈事件期间所收集的可观察欺诈参数。

77.权利要求71所述的方法，其中，自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。

78.根据权利要求77所述的方法，其中，所述导出欺诈参数包括所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

79.根据权利要求71所述的方法，包括生成所述预测欺诈模型。

80.根据权利要求79所述的方法，其中，生成所述预测欺诈模型包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

81.根据权利要求79所述的方法，其中，生成所述预测欺诈模型包括：生成所述原始欺诈模型和假冒模型的概率组合。

82.根据权利要求81所述的方法，包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

83.根据权利要求81所述的方法，其中，生成所述预测欺诈模型包括生成包括假冒概率的所述预测欺诈模型，其中，所述假冒概率是所述欺诈者成功地假冒由所述用户承办的一组事件的事件参数的参数值的概率。

84.根据权利要求81所述的方法，其中，所述假冒模型包括所述欺诈者模仿由所述用户承办的一组事件的事件参数的概率。

85.根据权利要求81所述的方法，其中，所述假冒模型包括所述欺诈者观察由所述用户承办的一组事件的事件参数的概率。

86.根据权利要求81所述的方法，包括：

识别至少一个先前欺诈事件，先前欺诈事件包括在所述账户中可能由所述欺诈者引起的先前事件；

通过使用在所述账户中所承办的至少一个先前欺诈事件的事件参数估计所述欺诈模型的多个组分，来生成所述原始欺诈模型，所述至少一个先前欺诈事件可能由所述欺诈者进行。

87.根据权利要求86所述的方法，包括：基于可能由所述欺诈者进行的至少一个先前事件来修改所述预测欺诈模型。

88.根据权利要求86所述的方法，包括：生成包括可能由所述欺诈者进行至少一个先前事件的欺诈同现系数的所述预测欺诈模型。

89.根据权利要求88所述的方法，其中，所述欺诈同现系数表示从可能由所述欺诈者进行的所述至少一个先前事件递归导出的累积不信任。

90.根据权利要求88所述的方法，其中，所述欺诈同现系数包括表示可能由所述欺诈者进行的多个先前事件的影响的系数。

91.根据权利要求71所述的方法，其中，自动生成所述因果模型包括生成所述多个组分中的组分之间的统计关系。

92.根据权利要求71所述的方法，其中，自动生成所述因果模型包括：生成包括所述多个组分的联合概率分布。

93.根据权利要求92所述的方法，其中，所述多个组分包括表示所述先前事件的事件参数的多个概率分布函数。

94.根据权利要求93所述的方法，其中，所述事件参数是在所述先前事件期间所收集的可观察参数。

95.根据权利要求94所述的方法，其中，所述事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

96.根据权利要求95所述的方法，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

97.根据权利要求95所述的方法，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

98.根据权利要求71所述的方法，其中，自动生成所述因果模型包括生成所述事件参数与导出参数之间的统计关系。

99.根据权利要求98所述的方法，其中，所述导出参数包括装置正在发起所述下一事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

100.根据权利要求71所述的方法，其中，预测所述用户的所述预期行为包括：生成所述下一事件的预期事件参数。

101.根据权利要求100所述的方法，其中，生成所述预期事件参数包括：生成表示所述预期事件参数的第一组预期概率分布，其中，生成所述第一组预期概率分布假设所述用户正进行所述下一事件。

102.根据权利要求71所述的方法，包括：当所述风险分数表示除了所述用户外的人正在进行所述下一事件时，生成对应于所述下一事件的警报。

103.根据权利要求71所述的方法，包括：使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。

104.根据权利要求103所述的方法，其中，所述第二组事件参数是在所述下一事件期间所收集的可观察参数。

105.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新包括所述多个组分的联合概率分布。

106.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新所述多个组分中的至少一个组分。

107.根据权利要求103所述的方法，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。

108.根据权利要求103所述的方法，包括：

针对所述先前事件的每个所述事件参数，生成概率分布函数；以及

通过将所述下一事件的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。

109.根据权利要求108所述的方法，包括：

接收对应于所述用户的基线因果模型，所述基线因果模型是在没有使用任何事件的数据的情况下生成的；以及

通过生成包括所述多个组分的联合概率分布来生成所述因果模型，其中，所述多个组分包括对于在所述因果模型中表示的任何事件参数的所述更新后的概率分布函数。

110.根据权利要求71所述的方法，其中，所述先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个。

111.根据权利要求110所述的方法，其中，在线事件是经由对所述账户的电子访问所承办的事件。

112.根据权利要求71所述的方法，其中，事件包括登录事件。

113.根据权利要求71所述的方法，其中，事件包括活动事件。

114.根据权利要求71所述的方法，包括：

概率地确定所述下一事件由所述用户进行过；

使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。

115.根据权利要求114所述的方法，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述下一事件实际上由所述用户进行过的概率。

116.根据权利要求114所述的方法，包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示在多个事件中的事件参数实际上由所述用户进行过的跨越所述多个事件的累积概率。

117.根据权利要求71所述的方法，其中，自动生成所述因果模型包括：生成包括衰减参数的所述因果模型。

118.根据权利要求117所述的方法，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的每个事件的相对权重随着自所述事件起经过的时间而变化。

119.一种方法，包括：

自动生成对应于用户的账户模型，所述账户模型的所述生成使用在所述用户的账户中由所述用户执行的先前事件的事件参数来生成在所述账户中的下一事件的所述事件参数的预测分布，其中，所述账户模型包括所述事件参数的所述预测分布；

当所述下一事件发生时，接收所述下一事件的观察事件参数；

使用所述账户模型来生成第一概率，其中，所述第一概率是假设所述用户正进行所述下一事件来观察所述观察事件参数的概率；

使用欺诈模型来生成第二概率，其中，所述第二概率是假设欺诈者正进行所述下一事件来观察所述观察事件参数的概率，其中，所述欺诈者是除了所述用户外的人；以及

使用所述第一概率和所述第二概率来生成风险分数，所述风险分数表示所述下一事件由所述用户执行与所述下一事件由所述欺诈者执行的相对似然。

120.一种方法，包括：

生成第一事件的观察和账户的所有者的导出参数之间的概率关系；

自动生成包括所述概率关系的账户模型；

使用第二事件的观察来动态更新所述账户模型；以及

使用所述账户模型来预测在第三事件期间是所述所有者还是欺诈者正维持所述第三事件，其中，事件包括在对所述账户的电子访问期间在所述账户中采取的动作。

121.一种系统，包括用于执行至少一个应用的处理器，所述应用自动生成对应于用户的预测用户模型，其中，所述预测用户模型包括表示在所述用户的账户中的第一事件期间所观察的事件参数的多个概率分布，所述应用使用所述预测用户模型来生成预测事件参数，期望在所述账户中的第二事件期间观察所述预测事件参数，所述第二事件跟随所述第一事件，所述应用将所述第二事件的实际事件参数与在所述第二事件期间的所述预测事件参数进行比较并且在所述实际事件参数看来是由除了所述用户外的人发起时生成对应于所述第二事件的警报。

122.一种系统，包括用于执行至少一个应用的处理器，所述应用通过使用在用户的账户中由所述用户承办的先前事件的事件参数而估计因果模型的多个组分，来自动生成对应于所述用户的所述因果模型，所述应用使用所述因果模型预测所述用户在所述账户中的下一事件期间的预期行为，其中，预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数，所述应用使用预期欺诈模型，生成欺诈事件参数，其中，生成所述欺诈事件参数假设欺诈者正进行所述下一事件，其中，所述欺诈者是除了所述用户外的任何人，所述应用使用所述预期事件参数和所述欺诈事件参数来生成所述下一事件的风险分数，所述风险分数表示未来事件由所述用户执行与所述未来事件由所述欺诈者执行的相对似然。

123.根据权利要求122所述的系统，包括：通过使用在多个账户中承办的先前欺诈事件的所述欺诈事件参数估计所述预期欺诈模型的多个欺诈组分，来自动生成所述预测欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。

124.根据权利要求123所述的系统，其中，自动生成所述预测欺诈模型包括生成所述多个欺诈组分中的欺诈组分之间的统计关系。

125.根据权利要求123所述的系统，其中，自动生成所述预期欺诈模型包括生成包括所述多个欺诈组分的联合概率分布。

126.根据权利要求125所述的系统，其中，所述多个欺诈组分包括表示所述欺诈事件参数的多个欺诈概率分布函数，其中，所述欺诈事件参数是在所述先前欺诈事件期间所收集的可观察欺诈参数。

127.根据权利要求122所述的系统，其中，自动生成所述预测欺诈模型包括生成所述欺诈事件参数与导出欺诈参数之间的统计关系。

128.根据权利要求127所述的系统，其中，所述导出欺诈参数包括所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

129.根据权利要求122所述的系统，包括生成所述预测欺诈模型。

130.根据权利要求129所述的系统，其中，生成所述预测欺诈模型包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

131.根据权利要求129所述的系统，其中，生成所述预测欺诈模型包括：生成所述原始欺诈模型和假冒模型的概率组合。

132.根据权利要求131所述的系统，包括：生成所述原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

133.根据权利要求131所述的系统，其中，生成所述预测欺诈模型包括：生成包括假冒概率的所述预测欺诈模型，其中，所述假冒概率是所述欺诈者成功地假冒由所述用户承办的一组事件的事件参数的参数值的概率。

134.根据权利要求131所述的系统，其中，所述假冒模型包括所述欺诈者模仿由所述用户承办的一组事件的事件参数的概率。

135.根据权利要求131所述的系统，其中，所述假冒模型包括所述欺诈者观察由所述用户承办的一组事件的事件参数的概率。

136.根据权利要求131所述的系统，包括：

识别至少一个先前欺诈事件，先前欺诈事件包括在所述账户中可能由所述欺诈者引起的先前事件；

通过使用在所述账户中所承办的至少一个先前欺诈事件的事件参数而估计所述欺诈模型的多个组分，来生成所述原始欺诈模型，所述至少一个先前欺诈事件可能由所述欺诈者进行。

137.根据权利要求136所述的系统，包括：基于可能由所述欺诈者进行的至少一个先前事件来修改所述预测欺诈模型。

138.根据权利要求136所述的系统，包括：生成包括可能由所述欺诈者进行至少一个先前事件的欺诈同现系数的所述预测欺诈模型。

139.根据权利要求138所述的系统，其中，所述欺诈同现系数表示从可能由所述欺诈者进行的所述至少一个先前事件递归导出的累积不信任。

140.根据权利要求138所述的系统，其中，所述欺诈同现系数包括表示可能由所述欺诈者进行的多个先前事件的影响的系数。

141.根据权利要求122所述的系统，其中，自动生成所述因果模型包括：生成包括所述多个组分的联合概率分布。

142.根据权利要求141所述的系统，其中，所述多个组分包括表示所述先前事件的事件参数的多个概率分布函数。

143.根据权利要求142所述的系统，其中，所述先前事件的事件参数是在所述先前事件期间所收集的可观察参数。

144.根据权利要求143所述的系统，其中，所述先前事件的事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

145.根据权利要求144所述的系统，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

146.根据权利要求144所述的系统，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

147.根据权利要求122所述的系统，其中，自动生成所述因果模型包括：生成所述事件参数与导出参数之间的统计关系。

148.根据权利要求147所述的系统，其中，所述导出参数包括装置正在发起所述下一事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

149.根据权利要求122所述的系统，预测所述用户的所述预期行为包括生成所述下一事件的预期事件参数，其中，生成所述预期事件参数包括生成表示所述预期事件参数的第一组预测概率分布，其中，生成所述第一组预测概率分布假设所述用户正进行所述下一事件。

150.根据权利要求122所述的系统，包括：当所述预期行为表明除了所述用户外的人正进行所述下一事件时，生成对应于所述下一事件的警报。

151.根据权利要求122所述的系统，包括：使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型，其中，所述第二组事件参数是在下一事件期间所收集的可观察参数。

152.根据权利要求151所述的系统，其中，自动更新所述因果模型包括：更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。

153.根据权利要求122所述的系统，其中，所述先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个，其中，在线事件是经由对所述账户的电子访问而承办的事件。

154.根据权利要求122所述的系统，其中，事件包括登录事件和活动事件中的至少一个。

155.根据权利要求122所述的系统，包括：

概率地确定所述下一事件由所述用户进行过；

使用在所述下一事件期间所收集的第二组事件参数来自动更新所述因果模型。

156.根据权利要求155所述的系统，包括将所述因果模型更新为包括信任因子，所述信任因子表示所述下一事件实际上由所述用户进行过的概率。

157.根据权利要求155所述的系统，包括将所述因果模型更新为包括累积信任因子，所述累积信任因子表示在多个事件中的事件参数实际上由所述用户进行过的跨越所述多个事件的累积概率。

158.根据权利要求122所述的系统，其中，自动生成所述因果模型包括生成包括衰减参数的所述因果模型，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的每个事件的相对权重随着自所述事件起经过的时间而变化。

159.一种系统，包括：

在处理器上运行并耦合至包括账户的金融系统的风险引擎，所述风险引擎生成与用户和在所述账户中进行的事件相对应的账户模型，所述账户模型的所述生成使用在所述账户中由所述用户执行的先前事件的事件参数，来生成在所述账户中的下一事件的所述事件参数的预测分布，所述风险引擎在所述下一事件发生时接收所述下一事件的事件参数，所述风险引擎使用所述账户模型来生成第一概率，其中，所述第一概率是假设所述用户正进行所述下一事件来观察所述事件参数的概率，所述风险引擎使用欺诈模型来生成第二概率，其中，所述第二概率是假设所述欺诈者正进行所述下一事件来观察所述事件参数的概率，其中，所述欺诈者是除了所述用户外的人，其中，在所述账户中所进行的事件包括所述先前事件和所述下一事件，所述风险引擎使用所述第一概率和所述第二概率来生成风险分数，所述风险分数表示所述下一事件由所述用户执行与所述下一事件由所述欺诈者执行的相对似然；以及

在所述处理器上运行的风险应用，所述风险应用包括分析用户接口(AUI)，所述AUI针对所述账户中的任意事件显示所述风险分数和所述事件参数中的至少一个。

160.根据权利要求159所述的系统，其中，所述AUI包括表示按时间排序的一系列事件的横轴。

161.根据权利要求160所述的系统，其中，所述AUI包括表示所述事件参数的纵轴。

162.根据权利要求161所述的系统，其中，所述事件参数包括互联网协议(IP)数据和超文本传输协议(HTTP)数据中的一个或多个。

163.根据权利要求162所述的系统，其中，所述IP数据包括IP地址、IP地址国家、IP地址城市、IP网络段和支持事件的互联网服务提供商中的一个或多个。

164.根据权利要求162所述的系统，其中，所述HTTP数据包括操作系统、用户代理字符串、来源字符串和用于事件的计算机的互联网浏览器的数据中的一个或多个。

165.根据权利要求161所述的系统，其中，所述AUI包括多列，其中，所述多列中的每列表示在所述账户中所进行的事件中的至少一个事件，其中，所述多列根据日期来排列。

166.根据权利要求165所述的系统，其中，所述AUI包括多行，其中，所述多行中的一组行表示所述事件的事件参数。

167.根据权利要求165所述的系统，其中，所述AUI包括多个相交区域，每个相交区域由所述一组行中的行和列的相交而限定，其中，所述相交区域对应于所述至少一个事件的事件参数，其中，所述相交区域包括将所述事件参数与所述账户模型的对应概率相关的颜色编码。

168.根据权利要求167所述的系统，其中，所述颜色编码表示事件参数对应于所述用户的相对似然比。

169.根据权利要求165所述的系统，其中，所述AUI包括表示所述事件的风险的风险行，其中，由所述风险行与列的相交限定的每个相交区域对应于与所述列相对应的至少一个事件的所述风险分数。

170.根据权利要求169所述的系统，其中，所述相交区域包括将所述风险分数与所述至少一个事件相关的颜色编码。

171.根据权利要求170所述的系统，其中，所述颜色编码表示用户进行过所述至少一个事件的相对似然比。

172.根据权利要求165所述的系统，其中，所述至少一个事件包括在线事件、离线事件和多渠道事件中的至少一个。

173.根据权利要求172所述的系统，其中，在线事件是经由对所述账户的电子访问所承办的事件。

174.根据权利要求165所述的系统，其中，所述至少一个事件包括登录事件。

175.根据权利要求165所述的系统，其中，所述至少一个事件包括活动事件。

176.根据权利要求165所述的系统，其中，所述至少一个事件包括会话，其中，所述会话是一系列相关事件。

177.根据权利要求176所述的系统，其中，所述一系列相关事件包括会话登录事件和终止事件。

178.根据权利要求177所述的系统，其中，所述一系列相关事件包括跟随所述登录事件的至少一个活动事件。

179.根据权利要求159所述的系统，其中，生成所述账户模型包括生成预测分布之间的统计关系。

180.根据权利要求159所述的系统，其中，生成所述账户模型包括生成包括所述预测分布的联合概率分布。

181.根据权利要求180所述的系统，其中，所述预测分布包括表示所述事件参数的多个概率分布函数。

182.根据权利要求181所述的系统，其中，所述事件参数是在所述先前事件期间所收集的可观察参数。

183.根据权利要求159所述的系统，其中，生成所述账户模型包括生成所述事件参数与导出参数之间的统计关系。

184.根据权利要求183所述的系统，其中，所述导出参数包括装置发起所述下一事件的地理区域、所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

185.根据权利要求159所述的系统，其中，生成所述风险分数包括生成所述下一事件的预期事件参数。

186.根据权利要求185所述的系统，其中，生成所述预期事件参数包括生成表示所述预期事件参数的第一组预期概率分布，其中，生成所述第一组预期概率分布假设所述用户正进行所述第二组事件。

187.根据权利要求159所述的系统，包括：

接收预测欺诈模型；以及

生成表示预期欺诈事件参数的第二组预期概率分布，其中，生成所述第二组预期概率分布假设欺诈者正进行所述下一事件。

188.根据权利要求187所述的系统，包括：通过使用在多个账户中所承办的先前欺诈事件的欺诈事件参数而估计所述预测欺诈模型的多个欺诈组分，来自动生成所述预期欺诈模型，其中，所述先前欺诈事件是由于曾由所述欺诈者进行而被怀疑的事件。

189.根据权利要求188所述的系统，其中，自动生成所述预测欺诈模型包括：生成所述多个欺诈组分中的欺诈组分之间的统计关系。

190.根据权利要求188所述的系统，其中，自动生成所述预测欺诈模型包括：生成所述欺诈事件参数和导出欺诈参数之间的统计关系。

191.根据权利要求190所述的系统，所述导出欺诈参数包括所述装置的位置、所述装置的标识和所述装置的电子服务提供商中的一个或多个。

192.根据权利要求187所述的系统，包括生成所述预测欺诈模型。

193.根据权利要求192所述的系统，其中，生成所述预测欺诈模型包括：生成原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

194.根据权利要求192所述的系统，其中，生成所述预测欺诈模型包括：生成所述原始欺诈模型和假冒模型的概率组合。

195.根据权利要求194所述的系统，包括：生成所述原始欺诈模型，所述原始欺诈模型包括假定事件由所述欺诈者引起来观察所述事件的概率且没有关于所述事件的任何其他信息。

196.根据权利要求194所述的系统，其中，生成所述预测欺诈模型包括：生成包括假冒概率的所述预测欺诈模型，其中，所述假冒概率是所述欺诈者成功地假冒由所述用户承办的一组事件的事件参数的参数值的概率。

197.根据权利要求194所述的系统，其中，所述假冒模型包括所述欺诈者模仿由所述用户承办的一组事件的事件参数的概率。

198.根据权利要求194所述的系统，其中，所述假冒模型包括所述欺诈者观察由所述用户承办的一组事件的事件参数的概率。

199.根据权利要求194所述的系统，包括：

识别至少一个先前欺诈事件，先前欺诈事件包括在所述账户中可能由所述欺诈者引起的先前事件；

通过使用在所述账户中所承办的至少一个先前欺诈事件的事件参数而估计所述欺诈模型的多个组分，来生成所述原始欺诈模型，所述至少一个先前欺诈事件可能由所述欺诈者进行。

200.根据权利要求199所述的系统，包括基于可能由所述欺诈者进行的至少一个先前事件来修改所述预测欺诈模型。

201.根据权利要求199所述的系统，包括生成包括可能由所述欺诈者进行的至少一个先前事件的欺诈同现系数的所述预测欺诈模型。

202.根据权利要求201所述的系统，其中，所述欺诈同现系数表示从可能由所述欺诈者进行的所述至少一个先前事件递归导出的累积不信任。

203.根据权利要求201所述的系统，其中，所述欺诈同现系数包括表示可能由所述欺诈者进行的多个先前事件的影响的系数。

204.根据权利要求159所述的系统，包括：使用在所述下一事件期间所收集的第二组事件参数来选择性地更新所述账户模型。

205.根据权利要求204所述的系统，其中，所述第二组事件参数是在所述下一事件期间所收集的可观察参数。

206.根据权利要求204所述的系统，其中，自动更新所述账户模型包括更新包括所述账户模型的多个组分的联合概率分布。

207.根据权利要求204所述的系统，其中，自动更新所述账户模型包括更新所述账户模型的多个组分中的至少一个组分。

208.根据权利要求204所述的系统，其中，自动更新所述账户模型包括更新表示所述事件参数的多个概率分布函数中的至少一个概率分布函数，所述更新通过考虑所述第二组事件参数的数据来修改所述多个概率分布函数中的至少一个概率分布函数。

209.根据权利要求204所述的系统，包括：

针对所述先验事件的每个所述事件参数，生成概率分布函数；以及

通过将所述下一事件的第二组事件参数的数据应用于所述概率分布函数，来针对每个所述事件参数生成更新后的概率分布函数。

210.根据权利要求209所述的系统，包括：

接收对应于所述用户的基线帐户模型，所述基线帐户模型是在没有使用任何事件的数据的情况下生成的；以及

通过生成包括所述账户模型的多个组分的联合概率分布来生成所述帐户模型，其中，所述多个组分包括对于在所述帐户模型中表示的任何事件参数的所述更新后的概率分布函数。

211.根据权利要求159所述的系统，其中，所述先前事件和所述下一事件包括在线事件、离线事件和多渠道事件中的至少一个。

212.根据权利要求211所述的系统，其中，在线事件是经由对所述账户的电子访问所承办的事件。

213.根据权利要求159所述的系统，其中，事件包括登录事件。

214.根据权利要求159所述的系统，其中，事件包括活动事件。

215.根据权利要求159所述的系统，其中，所述事件包括会话，其中，所述会话是一系列相关事件。

216.根据权利要求215所述的系统，其中，所述一系列相关事件包括会话登录事件和终止事件。

217.根据权利要求216所述的系统，其中，所述一系列相关事件包括至少一个活动事件。

218.根据权利要求159所述的系统，包括：

概率地确定所述下一事件由所述用户进行过；

使用在所述下一事件期间所收集的第二组事件参数，来自动更新所述账户模型。

219.根据权利要求218所述的系统，包括：将所述帐户模型更新为包括信任因子，所述信任因子表示所述下一事件实际上由所述用户进行过的概率。

220.根据权利要求218所述的系统，包括将所述帐户模型更新为包括累积信任因子，所述累积信任因子表示多个事件中的事件参数实际上由所述用户进行过的跨越所述多个事件的累积概率。

221.根据权利要求159所述的系统，其中，自动生成所述账户模型包括：生成包括衰减参数的所述帐户模型。

222.根据权利要求221所述的系统，其中，所述衰减参数包括指数衰减函数，通过所述指数衰减函数所述账户中的事件中的每个事件的相对权重随着从该事件起经过的时间而改变。

223.一种系统，包括：

在处理器上运行的风险引擎，所述风险引擎从金融系统接收对应于先验事件的观察，所述先验事件包括在电子访问所述账户期间在所述金融系统的账户中所采取的动作，所述风险引擎使用所述观察来估计账户模型的参数并且动态地生成包括所述参数的账户模型，所述账户模型仅对应于所述用户，所述风险引擎使用所述账户模型的输出来生成风险分数，所述风险分数是在所述先验事件后的在所述账户中的事件由所述用户执行与由所述欺诈者执行的相对似然；以及

在所述处理器上运行的风险应用，所述风险应用包括分析用户接口(AUI)，所述AUI针对所述账户中的任意事件显示所述风险分数和所述账户中的任意事件的事件参数中的至少一个。

Images