CN114553456A - 数字身份网络警报 - Google Patents

Abstract

公开了用于检测与数字身份相关联的某些在线活动的系统和方法。数字身份网络可被监控用于与登记的用户标识(用户ID)相关的潜在欺诈活动(诸如新账户开通和某些交易)，而无需个人标识信息(PII)。可生成并发送对应的警报，以向相关联的用户通知这种可疑的活动，从而可防止欺诈账户访问或交易。

Description

数字身份网络警报

技术领域

所公开的技术总体上涉及互联网安全，并且涉及通过利用事件驱动的警报来检测并防止潜在的身份盗窃网络犯罪。

背景技术

随着全球商业变得更加依赖互联网进行数字通信和交易，网络犯罪的不断增加和复杂性需要新的策略来将可信客户与网络罪犯区分开来。

开通在线账户和/或认证用户进行在线交易通常需要私人身份信息。密码、用户名、社会安全号、信用卡号和其他敏感的与身份相关的信息可被罪犯窃取，并且在受害者不知道的情况下被利用，这通常会给受害者造成昂贵的财务问题和严重不便。如果欺诈者获得对用户的账户的访问，登录信息可以被改变，并且用户可能不能访问他或她的账户。

指示身份盗窃的线索可包括原因不明的银行账户提款、信用报告上的陌生账户或费用、遗漏邮件、商户拒付的支票、来自收债人的关于未知债务的电话、拒绝医疗帐单索赔等。经常地，当身份信息被窃取并用于欺诈时，受害者可能不会意识到损害的严重性，直到太晚而不能防止损害。

响应于身份盗窃事件增加的互联网时代问题，最近出现了若干身份监控和/或恢复服务来帮助数据破坏和身份盗窃的受害者。例如，此类服务可利用传统的数据库(诸如国家改变地址数据库)来检查用户的邮件是否被重新寄送。身份监控的有效性取决于诸如数据库的质量和准确度、服务检查每个数据库的频率等因素。还可能存在服务不能监控的活动，诸如与税收、政府福利和/或实时在线活动有关的那些活动。此外，常规使用匹配个人可识别信息(PII)来直接检测涉及可能的身份盗窃的活动本身可能产生严重的隐私和安全问题。

存在对实时或接近实时地检测和识别在线欺诈的威胁以防止或限制这种身份盗窃相关的网络犯罪的改进方法的需求。

发明内容

可以通过所公开的技术的某些实现方式来解决以上需求中的一些或全部。本文公开了用于检测与表示用户的数字身份相关联的某些在线活动的系统和方法。所公开的技术的某些实现方式可在(例如，经由具有安装的网站应用程序编程接口(API)的网站服务器)检测到与数字身份相关的在线活动时提供警报。在某些示例性实现方式中，匿名化的数字身份网络(DIN)可监控在线活动以用于与登记的用户标识(用户ID)有关的潜在的欺诈事件(诸如新账户开通)，而无需直接使用个人可识别信息(PII)。可生成并发送对应的警报，以向相关联的用户通知这种可疑的活动，从而可防止进一步的欺诈账户访问或交易。

根据示例实现方式，提供了一种系统。该系统包括：一个或更多个处理器；与一个或更多个处理器通信的存储器；以及存储在存储器中的指令，该指令由一个或更多个处理器执行时使得系统执行：响应于经由用户设备发起用户的身份监控登记，经由通信网络接收用户标识(用户ID)和相关联的个人标识信息(PII)；从用户设备提取唯一的设备标识(设备ID)；基于设备ID和PII中的一个或更多个来生成匿名化的数字标识(数字ID)；将数字ID与用户ID相关联；经由与在对应的多个网站上执行的多个网站应用程序编程接口(API)通信的数字身份网络(DIN)，检测对应于数字ID的身份相关的事件；使用与一个或更多个处理器通信的机器学习模型来确定身份相关的事件是否满足一个或更多个阈值标准；响应于身份相关的事件满足阈值标准，生成警报；以及传送警报。

在另一个示例实现方式中，提供了一种计算机实现的方法，该方法包括：响应于经由用户设备发起用户的身份监控登记，接收用户标识(用户ID)和相关联的个人标识信息(PII)；从用户设备提取唯一的设备标识(设备ID)；基于设备ID和PII中的一个或更多个来生成匿名化的数字标识(数字ID)；将数字ID与用户ID相关联；经由与在对应的多个网站上执行的多个网站应用程序编程接口(API)通信的数字身份网络(DIN)，检测对应于数字ID的身份相关的事件；使用与一个或更多个处理器通信的机器学习模型来确定身份相关的事件是否满足一个或更多个阈值标准；响应于身份相关的事件满足阈值标准而生成警报；以及传送警报。

根据另一个示例实现方式，提供了一种计算机可读介质。计算机可读介质包括计算机可执行指令，当计算机可执行指令由一个或更多个处理器执行时，使得一个或更多个处理器执行以下方法：响应于经由用户设备发起用户的身份监控登记，接收用户标识(用户ID)和相关联的个人标识信息(PII)；从用户设备提取唯一的设备标识(设备ID)；基于设备ID和PII中的一个或更多个来生成匿名化的数字标识(数字ID)；将数字ID与用户ID相关联；经由与在对应的多个网站上执行的多个网站应用程序编程接口(API)通信的数字身份网络(DIN)，检测对应于数字ID的身份相关的事件；使用与一个或更多个处理器通信的机器学习模型来确定身份相关的事件是否满足一个或更多个阈值标准；响应于身份相关的事件满足阈值标准而生成警报；以及传送警报。

所公开的技术的其他实现方式、特征和方面在本文被详细描述并且被认为是所要求保护的所公开的技术的一部分。参考以下详细描述、附图以及权利要求，可以理解其他实现方式、特征和方面。

附图说明

现在将参考附图和流程图，这些附图和流程图不一定按比例绘制，其中：

图1是根据所公开的技术的示例实现方式的用于基于指示用户的身份的潜在的欺诈使用的所检测到的活动来提供警报的说明性数字身份网络警报系统100的框图。

图2示出了根据所公开的技术的示例实现方式的可以由图1的数字身份网络警报系统100利用以检测指示潜在的或实际的身份盗窃的交易并提供相关联的警报的示例过程200。

图3是根据所公开的技术的示例实现方式的可以利用消息总线代理的示例警报系统基础设施300的框图。

图4是根据所公开的技术的示例实现方式的示例计算设备400的框图。

图5是根据所公开的技术的示例实现方式的用于用户和设备登记的过程的说明性流程图500。

图6是根据所公开的技术的示例实现方式的用于事件监控、警报门控和改善的过程的说明性流程图600。

图7示出了可以用于所公开的技术的某些示例实现方式中的过程700的不同层。

图8是根据所公开的技术的示例实现方式的方法800的流程图。

具体实施方式

现在将参考附图在下文中更全面地描述所公开的技术的各种示例实施例，其中，示出了本公开的一些但并非所有实施例。然而，该技术可以以许多不同的形式实施，并且不应被解释为局限于本文所阐述的实现方式；相反，提供这些实现方式使得本公开将是全面和完整的，并且将向本领域技术人员传达所公开的技术的范围。

所公开的技术可以用于监控在线活动，并且响应于检测到与用户相关的潜在的或实际的欺诈在线活动而提供警报，同时保护用户的敏感个人数据。例如，身份监控服务可利用所公开的技术的某些实现方式，来监控在线活动，并向相关联的用户及时提供警报，而不产生隐私问题。如在美国专利No.10,764,297中所讨论的，例如，可以经由匿名化的人物标识符为每个用户创建唯一的数字标识(数字ID)，该匿名化的人物标识符可以包括表示用户的字母数字标识符和连接到用户的身份的所有已知属性，该美国专利No.10,764,297通过引用如同完整呈现一样并入本文。

在某些示例性实现方式中，可以响应于(例如，经由安装在已登记的商业网站服务器上的网站监控应用程序编程接口(application programming interface，API))检测到的与用户的数字ID相对应的在线活动，提供一个或更多个警报。网站监控API例如可以捕获在线交易信息，该在线交易信息可以包括但不限于：关于用户设备的详细资料；用户的位置；用于交易的连接类型；用户的电子邮件地址；用户交易量；用户在网页上花费多少时间等。通过多次交易，该信息可用于为该用户建立唯一的数字ID。数字ID可表示用户在进行在线交易和活动时创建的详细资料的唯一组合。在某些示例性实现方式中，通过利用在每次交易中收集的每条信息之间的复杂的、联网的互关系，每个数字ID都可以随时间演变成真正的全球数字身份。

根据所公开的技术的某些示例性实现方式，可以使用实时检查选择实体之间的关系并且可以在计算中使用加权和的算法来创建数字ID。在某些示例性实现方式中，可以生成置信度评分以指示当前交易中的实体与被分配给该交易的数字ID的实体有多紧密地匹配。

根据某些示例性实现方式，与用户相关联的个人可识别信息(PII)可以用于生成用户的数字ID。数字ID可以使用具有诸如用户名、电子邮件地址、电话号码运送地址、支付卡信息、IP地址、设备简档、在线活动、交易等属性的PII来生成。然而，PII可以通过以下中的一项或更多项来保护：加密、由所生成的数字ID对PII的间接使用和利用不存储PII的数字身份网络(Digital Identity Network，DIN)。这些属性以及这些属性之间的关系可以通过DIN来积累，该DIN可以处理来自全球数万个网站和移动app的数百万的日常数字交易。

图1是描绘说明性数字身份网络警报系统100的框图，该数字身份网络警报系统100被配置为响应于指示登记的用户的身份信息的潜在的或实际的欺诈使用的一个或更多个检测到的活动而提供警报。

作为第一步骤，用户102可以向身份监控服务104发起进行登记的请求。在登记过程期间，用户102可以利用其自己的用户设备106来输入其基本身份信息(诸如姓名、电子邮件地址、电话号码、物理地址等)，该基本身份信息可以被统称为用户的PII 103的一部分，用户的PII 103还可以包括附加的“敏感”个人信息(诸如银行账户信息、社会安全号、驾驶执照号、护照号等)。

用户设备106可例如经由广域网(诸如互联网120)将所输入的信息传送至身份监控服务104。由于用户102输入的身份信息可以包括敏感的PII 103，所以可以通过安全连接以加密的形式传送该身份信息。例如，广泛使用的TCP/IP通信协议包括在安全套接层(SSL)协议上建立的安全协议，以允许使用加密数据进行安全数据传输。SSL可以被系统100利用以提供加密、源认证和数据完整性，作为用于保护在用户设备106和身份监控服务104服务器之间交换的PII 103和/或任何附加的所需登记信息的手段。

在某些示例性实现方式中，登记信息和/或在登记期间收集的任何附加的PII 103可以对应于认证“认知”因素，该认证“认知”因素可以对应于(或用于验证)用户102知道的事物。这样的信息可以容易地由认证用户102提供，但是可能需要身份欺诈的犯罪者来执行欺骗、网络钓鱼、黑客行为等以获得这样的信息。在一些实现方式中，从用户102收集的登记信息可以被用来(例如，从一个或更多个独立的源)独立地获得与用户102相关的附加PII103信息和/或独立地验证由用户102提供的登记信息。

如由图1的身份监控服务104和风险防卫平台130周围的虚线椭圆所描绘的，与用户102相关的PII 103可以由身份监控服务104存储并且仅与风险防卫平台130通信，对于该风险防卫平台130，可以生成表示用户102的数字ID 114，而不需要共享PII 103或将PII103存储在系统100上的其他地方。通过隔绝PII 103，生成代表性数字ID 114，以及将数字ID 114与用户ID相关联，数字身份网络132可以(经由安装的网站监控API 126)监控各个商业服务器122和相关联的网页124上的活动，而不需要在此过程中在其他地方进一步传送任何PII 103，因此限制或消除可能由PII 103的传送或无意识暴露导致的任何相关的隐私安全问题。

同样，在向身份监控服务104登记过程期间，可以评估用户设备106以产生设备简档108，该设备简档108可以用作附加的安全层，因为该设备简档108可以用于验证用户102拥有的事物。设备简档108可以基于(或包括)用户设备106信息，例如当前蜂窝服务提供商、媒体文件、容量、系统信息、型号、序列号、Wi-Fi地址、蓝牙地址、IMEI号、ICCID号、固件版本、安装的驱动器、安装的字体等。

在某些示例性实现方式中，用户设备106的评估可以经由集成到DIN 132中的Javascript属性查询API 133来执行。在其他示例性实现方式中，用户设备106的评估可以经由集成在身份监控服务104的网站上的Javascript设备评估API(未示出)来执行。对于新用户102，用户设备106的评估过程可在新账户创建期间执行。对于现有用户，用户设备106的评估过程可通过单独的注册过程来完成。在某些示例实现方式中，设备评估API和/或属性查询API 133可请求和接收来自身份盗窃保护服务110(Identity Theft ProtectionService，ITPS)的策略。该策略可设置特定于ITPS 110产品的全球信任标签，该ITPS 110产品包含特定于身份监控服务104的唯一的客户标识符。当发生并检测到实际或潜在的身份盗窃情况时，该唯一的客户标识符可用作使数据相关联的手段。在某些示例性实现方式中，身份监控服务104可以适当利用与诸如取消登记(在策略中移除信任标签)或更新(在策略中移除信任标签+设置信任标签)的动作有关的附加策略。

如以下将讨论的，在用户设备106的评估期间(或之后)，设备简档108信息的全部或部分可以被传送到身份盗窃保护服务110(ITPS)，该身份盗窃保护服务110(ITPS)可以与所生成的数字ID 114一起被用于监控和检测与用户102相关的各种在线活动，如新账户开通、地址变更请求、贷款应用、社交媒体活动、订单交易、支付交易、账户登录等。

登记过程可以包括由身份监控服务104为用户102创建账户。因此，例如，包括字母数字字符串的唯一的用户ID可以与登记的用户102相关联。此用户ID可以由身份监控服务104传送到ITPS 110。ITPS 110可以利用用户ID来与所生成的数字ID 114相关联，并且当在经由数字身份网络(DIN)132检测到与用户102相关的在线事件时，警报被传递回身份监控服务102时，用户ID可以被用于识别相关联的用户102，这将在下面进一步讨论。在某些示例性实现方式中，系统100利用的用户ID可以不同于用户102用于登录到身份监控服务104的用户名。

如图1中所描绘的，DIN 132可以与对应于各种商业和/或政府机构的服务器122通信，这些商业和/或政府机构经由集成到相应网站124中的网站监控API 126提供与其客户134的在线交互。网站监控API 126可以被配置为响应于经由网站124进行的在线活动(账户开通、交易等)将关于客户134和/或客户的设备136的某些识别信息传递至DIN 132。作为响应，并且在某些示例性实现方式中，DIN 132可以将此信息传递至ITPS 110，该ITPS 110可以检查与先前生成的数字ID 114中的任何数字ID的相关性，该数字ID 114可以对应于登记的用户102和/或获得设备简档108的用户设备106。

在某些实现方式中，当发生某些事件时(例如(但不限于)新账户开通、地址变更请求、贷款应用、社交媒体活动、订单交易、支付交易、账户登录等)，可以向身份监控服务104发送识别用户ID的警报，某些事件指示登记的用户102的身份信息可能被欺诈的使用。因此，警报可以为身份监控服务104提供及时的信息以阻止身份盗窃活动并防止进一步相关的损坏。在一些实现方式中，还可(例如，经由登记的用户102的用户设备106)直接向登记的用户102提供(潜在地可疑的)活动的警报，使得登记的用户102可指示警报对应于其身份的合法使用。

根据所公开的技术的某些示例性实现方式，当登记的用户102还是正在用先前已经与用户102的数字ID 114相关联的设备136访问商业网站124的客户134时，该系统可以不生成警报。然而，在一些实例中，如果设备136位置信息不同于登记的用户102驻存的区域(即，不同的国家，或已知对应于高犯罪率的区域)，则可生成警报。在某些实现方式中，当在第一位置处检测到账户登录，然后在给定的时间段内，在距第一位置超过阈值距离的第二位置处检测到使用相同登录信息的另一事件时，可以生成警报。根据所公开的技术的某些示例性实现方式，当登记的用户102使用新的或与(设备简档108是已知的)登记的设备106不同的设备136时，可生成警报。

当生成警报时，生成警报的事件的细节可被发送到RDP 130，并且自定义警报随后可通过ITPS 110生成并被发送到身份监控服务104，身份监控服务104可随后使用该警报来通知其登记的用户102发生的与他们的身份相关联的事件。

根据所公开的技术的某些示例性实现方式，ITPS 110可以将数字ID 114与用户ID一起存储在数据库112中。然而，在登记时收集或导出的PII 103可以不被存储在数据库112中，从而有效地使数字ID 114匿名化。利用所生成的(可以与RDP 130处的PII 103间接相关的)数字ID 114，系统100可以监控跨整个DIN 132的活动。在某些示例性实现方式中，RDP130可将数字ID 114与对应的登记的用户102映射或关联。当在与DIN 132通信的网站124中的任何网站上的交易中看到所监控的数字身份时，可以生成警报。根据所公开的技术的某些示例性实现方式，RDP 130可以使用由身份监控公司104提供的用户ID来获取这些警报。在某些示例性实现方式中，RDP 130可针对身份监控公司104的登记的用户102生成警报。

在某些实现方式中，DIN 132可以经由安装在合作伙伴网站124上的网站监控API126跟踪交易，并且可以识别和捕获任何不规则或异常的交易数据，例如以便确定该交易是否需要发出警报。在某些示例性实现方式中(并且如下面将参照图4进一步讨论的)，消息总线可以被用作DIN 132与ITPS 110之间的通信系统以在面向服务的架构中提供相互交互的软件应用程序。在某些示例性实现方式中，全球策略可以被用于针对每个检测到的交易事件调用ITPS 110中的某些逻辑功能。因此，逻辑可检查类似身份盗窃的异常。在可随意添加新逻辑的意义上，逻辑功能可以是灵活的。本领域技术人员可以认识到，逻辑功能中的灵活性可以经由项目组合管理来实现，该项目组合管理可以用于对项目和相关联的方法进行判断，例如以便为客户启用特征。

在某些示例性实现方式中，原因代码和相关联的交易数据可以被放置在消息总线上，并且在检测到异常事件时被推送至代理。在某些示例性实现方式中，消息代理可以在存储器中高速缓存消息，从而提供ITPS 110以赶上和/或保持当前的决策和/或警报。在某些示例性实现方式中，消息有效载荷可包括唯一的标识符和一个或更多个触发的原因代码。唯一的标识符例如可以针对给定的用户ID生成并且可以与特定用户102相关。原因代码可识别导致警报被发起的异常的类型。例如，一个原因代码可表示在预定时间段内检测到与用户的电子邮件账户相关联的多个用户设备；另一原因代码可表示检测到经由虚拟机的实际或尝试的用户账户登录；另一原因代码可表示使用先前未建立简档的设备的实际或尝试的用户账户访问；另一原因代码可表示不寻常的花费模式等。在一些实现方式中，有效载荷还可包括关于其事件触发原因代码的客户的行业的识别信息。

根据所公开的技术的某些示例性实现方式，IDPS 110可以包括被挂接到共享代理的消息订阅者，该消息订阅者可以被配置为从策略引擎摄取消息有效载荷并填充事件数据库。在一些实现方式中，数据库可以是包含原因代码的先进先出(FIFO)堆栈。

在某些示例性实现方式中，身份监控服务104可以请求来自ITPS 110的警报(“获得警报”)，作为响应，其可以返回来自ITPS 110和相关联的数据库的所有所生成的警报。在其他实现方式中，系统100可以是基于推送(即，消费者/生产者模型)的以避免对此终端的连续轮询。

根据所公开的技术的某些示例性实现方式，实时动态决策平台(DynamicDecision Platform，DDP)140可以与ITPS 110和DIN 132中的一个或更多个进行通信，并且可以包括实时决策，例如，以确定交易是否将被认为是异常的、确定这种交易是否将需要警报、和/或确定与该交易相关联的风险等级或类别。在某些示例性实现方式中，DDP 140可结合和/或利用行为分析、机器学习、案件管理、和/或融合能力来作出准确和及时的信任/风险决策。DDP 140利用的行为分析可包括智能规则，以实现对合法用户行为的更好理解和更准确地检测真正的欺诈。DDP 140利用的机器学习可将数字身份情报与(上述)智能规则集成，以产生具有较少假阳性的优化模型。在某些示例行实现方式中，工作流和过程编排可被用来将外部数据源集成到DDP 140中。在某些示例性实现方式中，预集成的第三方服务可被访问用于需要附加保证和/或异常处理的交易。在某些示例性实现方式中，案件管理可被用来通过监控、更新和隔离需要附加审查的交易来实现认证和欺诈决策的连续优化。因此，所公开的技术为身份盗窃检测和/或预防的实际应用提供了某些技术方案，并提供了改进的过程和系统以评估并提供对具有缩减资源的日益复杂的交易案件量的警报。

图2示出了根据所公开的技术的示例实现方式的用于检测指示潜在或实际的身份盗窃的交易并且用于提供相关联的警报的示例过程200。在某些示例性实现方式中，如上面关于图1所讨论的数字身份网络警报系统100可以用于过程200的部分或全部。过程200可以在用户102的登记之后开始，如之前所讨论的，用户102的登记可以包括用户设备106的设备简档和数字ID 114的创建。

作为过程200的第一步骤，ITPS 110可以调用属性查询API 133，例如以便执行具有警报标准的策略。在某些示例性实现方式中，属性查询API 133可以选择性地将数字ID114提交到DIN 132。在某些示例性实现方式中，警报标准可以包括基于位置的标准。例如，当在第一位置处检测到账户登录，然后在给定时段内，在距第一位置超过阈值距离的第二位置处检测到使用相同登录信息的另一事件时，可以生成警报。在某些示例性实现方式中，警报标准可包括不寻常的花费习惯，并且当检测到与数字ID 114相关的不寻常的花费模式时，可生成警报。在某些示例性实现方式中，警报标准可包括某些登录活动，其中可在检测到高登录速度和/或超过密码重置请求的阈值次数时生成警报。

在过程200的第二步骤中，属性查询API 133可以从DIN 132提取结果，这可以是完全匿名化的，从而使得数字ID 114可以例如与由身份监控服务104提供的用户ID相关联，而不与PII相关联。在某些示例性实现方式中，所提取的结果可以经由属性查询API 133的响应被发送回ITPS 110。

在过程200的第三步骤中，ITPS 110可以向RDP 130通知满足针对数字ID 114的警报标准。

在过程200的第四步骤中，RDP 130可以向身份监控服务104后端通知警报、相关联的背景和足够的信息来识别用户102(诸如用户ID)，而无需在此识别过程中使用任何PII。其中DIN 132可被完全匿名化的该隐私特征允许DIN 132经由网站API 126监控网站124以用于与数字ID 114相关的活动。一旦检测到与数字ID 114相关的交易，警报数据就可经由网站API 126被发送到RDP 130，RDP 130可存储与由身份监控公司提供的用户ID相关联的PII。在某些示例性实现方式中，可以向身份监控服务104发送包括供应商ID和用户ID的警报。

在过程200的第五步骤中，身份监控服务104后端可以将警报(和相关联的背景)传输到警报服务202，每当检测到可以指示身份盗窃相关的活动的异常交易或相关活动时，警报服务202可以向用户102发出警报。

在某些示例性实现方式中，一旦用户102接收到警报，用户102就可以响应以确认警报是否对应于合法活动。机器学习模型和/或DDP 140所利用的相关联的行为分析可使用此类反馈，以进一步改善对合法用户行为的理解，并且更准确地检测真正的欺诈。如果所检测到的活动被用户102标记为在外观上未知、非法或以其他方式欺诈，则身份监控服务104(和/或用户102)可干预对应的业务，例如，以终止相关联的交易，或以其他方式停止欺诈活动。

图3是示例警报系统基础设施300的框图，其中，消息总线代理312可以用于数字身份网络警报系统(诸如以上参考图1讨论的系统100)的第一节点302与第二节点304之间的消息通信。根据所公开的技术的某些示例性实现方式，如图1中所示，第一节点302可以是DIN 132，并且第二节点304可以是RDP 130、ITPS 110或DDP 140。在其他示例性实现方式中，如图1所示，第一节点302可以是ITPS 110并且第二节点304可以是RDP 130或身份监控服务104。

作为DIN 132是第一节点302并且ITPS 110是第二节点304的示例，ITPS 110可以包括被挂接到共享消息总线代理312中的消息总线订阅者312，该消息总线订阅者312可以被配置为从与第一节点302相关联的消息总线生产者310(即，在这种情况下的DIN 132)摄取消息有效载荷311。在某些示例性实现方式中，全球策略306可以利用身份异常检测逻辑和/或信任标签检查规则作为针对检测到的交易或事件的门卫，并且此类门卫可以用于评估交易或事件并发起或抑制对应的警报。在某些示例性实现方式中，(例如，与身份监控服务104相关联的)客户策略308可以进一步改善或修改全球策略306的检测逻辑和/或规则的需求。

在某些示例性实现方式中，并且如以上简要讨论的，某些原因代码和相关联的交易数据可以用于形成消息有效载荷311，并且消息有效载荷311可以经由消息总线生产者310被放置在消息总线上。在某些示例性实现方式中，在检测到(和门控)异常事件时，可将消息推送到消息总线代理312。在某些示例性实现方式中，消息总线代理312可以在存储器中高速缓存消息，从而允许第二节点304(例如，在这种情况下的ITPS 110)赶上和/或保持当前的决策和/或警报。在某些示例性实现方式中，消息有效载荷311可包括唯一的标识符和一个或更多个触发的原因代码。唯一的标识符例如可以针对给定用户ID生成并且可以与特定用户102相关。原因代码可识别导致警报被发起的异常的类型。例如，一个原因代码可表示在预定时间段内检测到与用户的电子邮件账户相关联的多个用户设备；另一原因代码可表示检测到经由虚拟机的实际或尝试的用户账户登录；另一原因代码可表示使用先前未建立简档的设备的实际或尝试的用户账户访问；另一原因代码可表示不寻常的花费模式等。在一些实现方式中，消息有效载荷311还可以包括关于其事件触发原因代码的客户的行业的识别信息。

根据所公开的技术的某些示例性实现方式，第二节点304(例如，在该示例性情况下的ITPS 110)可以包括与共享消息总线代理312进行通信的消息总线订阅者314，该消息总线订阅者314可以被配置为摄取消息有效载荷311以填充警报数据库或堆栈316以供传送。在某些示例性实现方式中，数据库316可以是先进先出(FIFO)堆栈。在某些示例性实现方式中，可以利用警报推送和/或拉取逻辑318来控制相关联的警报的递送。例如，在一个实施例中，身份监控服务104可以以周期性方式(例如每10分钟)指定拉取它们的堆栈警报。在另一实施例中，身份监控服务104可能希望在生成警报时将警报推送到它们，以避免连续轮询。在另一个实施例中，身份监控服务104可以从ITPS 110请求警报(“获得警报”)，作为响应，ITPS 110可以返回来自ITPS 110和相关联的数据库316的所有所生成的警报。

图4是根据所公开的技术的示例性实现方式的计算设备400的框图。在某些示例性实现方式中，计算设备400可被实施为用户设备106，如图1所示。在某些示例性实现方式中，计算设备400可被实施为服务器122，如图1所示。在某些示例性实现方式中，计算设备400可被实施为如图3所示的第一节点302和/或第二节点304。

图4的计算设备400包括中央处理单元(CPU)402和显示接口404，其中，计算机指令被处理；该显示接口404充当通信接口并且提供用于在显示器上展现视频、图形、图像、和文本的功能。在所公开的技术的某些示例性实现方式中，显示接口404可直接连接到本地显示器，诸如与移动计算设备相关联的触摸屏显示器。在另一示例性实现方式中，显示接口404可被配置为用于为不一定物理连接到计算设备的外部/远程显示器提供数据、图像和其他信息。例如，桌面监控器可被用于镜像呈现在计算设备400上的图形和其他信息。在某些示例性实现方式中，显示接口404可例如经由Wi-Fi信道或其他可用的网络连接接口412与外部/远程显示器无线通信。

在示例性实现方式中，网络连接接口412可以被配置为通信接口，例如，以提供用于在显示器上展现视频、图形、图像、文本、其他信息、或它们的任何组合的功能。在一个示例中，通信接口可包括串行端口、并行端口、通用输入和输出(GPIO)端口、游戏端口、通用串行总线(USB)、微型USB端口、高清晰度多媒体(HDMI)端口、视频端口、音频端口、蓝牙端口、近场通信(NFC)端口、不同的类似通信接口或其任何组合。

计算设备400可以包括键盘接口406，该键盘接口406为键盘提供通信接口。在一个示例性实现方式中，计算设备400可包括指点设备和/或触摸屏接口408。根据所公开的技术的某些示例性实现方式，指点设备和/或触摸屏接口408可以向诸如指点设备、触摸屏、深度相机等的各种设备提供通信接口，这些设备可以与显示器相关联或者可以不与显示器相关联。

计算设备400可以被配置为经由输入/输出接口(例如，键盘接口406、显示接口404、触摸屏接口408、网络连接接口412、相机接口414、声音接口416等)中的一个或更多个使用输入设备以允许用户将信息捕获到计算设备400中。输入设备可包括鼠标、轨迹球、定向垫、跟踪垫、触摸验证跟踪垫、存在敏感跟踪垫、存在敏感显示器、滚轮、数字相机、数字摄像机、网络相机、麦克风、诸如加速度计或陀螺仪的传感器、智能卡、虹膜读取器、指纹读取器、声纹读取器等。此外，输入设备可以与计算设备400集成或者可以是单独的设备。

计算设备400的示例性实现方式可以包括天线接口410和网络连接接口412，天线接口410向天线提供通信接口，网络连接接口412向网络提供通信接口。在某些实现方式中，提供相机接口414用于例如从相机捕获数字图像。在某些实现方式中，提供声音接口416作为通信接口，用于使用麦克风将声音转换成电信号并且用于使用扬声器将电信号转换成声音。根据示例实现方式，提供随机存取存储器(RAM)418，其中计算机指令和数据可以被存储在易失性存储器设备中用于由CPU 402处理。

根据示例实现方式，计算设备400包括只读存储器(ROM)420，其中用于基本系统功能(如基本输入和输出(I/O)、启动、或从键盘接收击键)的不变的低级系统代码或数据被存储在非易失性存储器设备中。根据示例实现方式，计算设备400包括存储介质422或其他合适的类型的存储器(例如，RAM、ROM、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移动磁带盘、闪存驱动器)，其中，文件包括操作系统424、应用程序426(包括，例如，网络浏览器应用、发票提取模块等)、以及被存储的数据文件428。根据示例性实现方式，计算设备400包括电源430，电源430提供适当的交流(AC)或直流(DC)以向部件供电。根据示例性实现方式，计算设备400可以包括电话子系统432，该电话子系统432允许设备400通过电话网络传送和接收声音。组成设备和CPU 402通过总线434彼此通信。

根据示例实现方式，CPU 402具有适当的结构以成为计算机处理器。在一种布置中，计算机CPU 402可以包括多于一个的处理单元。RAM 418与计算机总线434接口连接以在软件程序(诸如操作系统应用程序和设备驱动器)的执行期间向CPU 402提供快速RAM存储。更具体地，CPU 402将计算机可执行的过程步骤从存储介质422或其他介质加载到RAM 418的字段中以便执行软件程序。数据可以被存储在RAM 418中，其中数据可以由计算机CPU402在执行期间访问。在一个示例配置中，设备400包括至少128MB的RAM和256MB的闪存。

存储介质422本身可以包括多个物理驱动单元，如独立磁盘冗余阵列(RAID)、软盘驱动器、闪存、USB闪存驱动器、外部硬盘驱动器、拇指驱动器、笔驱动器、键驱动器、高密度数字多功能盘(HD-DVD)光盘驱动器、内部硬盘驱动器、蓝光光盘驱动器、或全息数字数据存储(HDDS)光盘驱动器、外部微型双列直插式存储器模块(DIMM)同步动态随机存取存储器(SDRAM)、或外部微型DIMM SDRAM。这样的计算机可读存储介质允许设备400访问存储在可移除和不可移除存储介质上的计算机可执行的过程步骤、应用程序等(诸如图1-图5中描述的过程)，以从设备400卸载数据或者将数据上传到设备400上。计算机程序产品，诸如利用通信系统的计算机程序产品可被有形地实施在存储介质422中，存储介质422可包括机器可读存储介质。

本文的通信系统和方法的各种实现方式可以在非暂时性计算机可读介质中实施以便由处理器执行。示例实现方式可用于移动计算设备(例如，智能电话或平板计算机)的应用中，但其他计算设备也可用于诸如便携式计算机、平板PC、互联网平板计算机、PDA、超移动PC(UMPC)等。

图5是根据所公开的技术的示例性实现方式的用于用户和设备登记的过程500的说明性流程图。登记过程500的某些元件和实现方式可以对应于以上关于图1所讨论的那些元件和实现方式。在登记过程500的框502中，用户可通过建立用户名和通过输入某些个人可识别信息(PII)来登记以在身份监控服务中建立账户，该个人可识别信息(PII)可包括(但不限于)典型的PII，诸如全名、邮寄地址、电子邮件地址、电话号码、出生日期等。在一些实现方式中，身份监控公司可以请求或需要附加的PII，诸如社会安全号、出生城市、信用卡号等。在一些实现方式中，输入的PII可以包括“敏感”信息，该“敏感”信息将仅用于积极地识别或认证用户。在某些实现方式中，由用户提供的数据可以例如由安全套接层(SSL)协议加密，以确保源认证和数据完整性，作为用于保护在用户设备、身份监控服务服务器和/或附属服务(诸如相对于图1所讨论的身份盗窃保护服务110)之间交换的PII和/或任何附加的所需登记信息的手段。

在登记过程500的框504中，可以对用户设备(即，由用户用于登记过程500的计算设备)进行评估并且可以生成、保存用户设备简档并将用户设备简档与用户相关联。在某些实现方式中，设备可以由附属于但独立于身份监控服务的服务(例如，由关于图1所讨论的身份盗窃保护服务110)来评估和建立简档。设备简档可以基于(或包括)用户设备信息，例如当前蜂窝服务提供商、媒体文件、容量、系统信息、型号、序列号、Wi-Fi地址、蓝牙地址、IMEI号、ICCID号、固件版本、安装的驱动器、安装的字体等。

在登记过程500的框506中，数字ID可以被生成并且与用户链接。在某些示例性实现方式中，设备简档还可以链接到用户和/或数字ID，例如，以监控和检测与用户相关的各种在线活动，例如，新账户开通、交易、地址变更请求、贷款应用、社交媒体活动等。如本领域技术人员可以理解的，并且如本文先前讨论的，数字ID可以被匿名化(并且间接地与用户相关联)以消除隐私问题和/或用户的个人可识别信息的暴露。

图6是根据所公开的技术的示例实现方式的用于事件监控、警报门控以及(可选的)改善的过程600的说明性流程图。如参考图5所讨论的，过程600可以在登记之后开始。在框602中，过程600可以利用应用程序编程接口(诸如参考图1所讨论的与数字身份网络通信并在附属的商业网站124上执行的网站监控API 126)来监控账户活动(诸如账户开通、密码重置等)，该账户活动可以与向身份监控服务登记的用户的数字ID相关。响应于检测到这样的活动，网站监控API 126可以将所检测的这样的活动传递到数字身份网络(DIN)。

在框604中，过程600可以包括可被应用的一个或更多个规则和/或逻辑的应用。在某些示例性实现方式中，与相关联的活动(如供应商、时间、设备位置、特定活动等)有关的识别信息和关于相关联的数字ID的信息可以通过DIN被接收和/或导出用于规则、逻辑、警报门控等的进一步应用。在某些示例性实现方式中，例如，可检查识别可信和/或不可信源、用户、用户设备等的信任标签以提高效率，使得当相关联的参数被标记为可信时，可绕过使用规则和逻辑的附加耗时的处理。

在决策框606中，过程600可以包括对所检测到的活动是否指示(实际或潜在的)身份盗窃的评估。在某些实现方式中，该决策框606可以利用来自框604的规则、逻辑、信任标签等。在框608中，在评估事件或活动指示(实际或潜在的)身份盗窃时，可以向身份监控服务发送警报。在某些示例性实现方式中，可以经由相关联的登记的用户的简档化的用户设备将这样的警报直接发送至相关联的登记的用户。在框610中，如果事件或活动被评估为安全的，或不指示或实际或潜在的身份盗窃，则可取消且不发送相对应的警报。

在框612中，过程600可以利用决策/评估和任何相关的信息作为对机器学习模型的输入，该机器学习模型可以例如被用作在框604中更新或改善规则、逻辑和/或信任标签的反馈。因此，过程600可以被连续地改善以改进对潜在的欺诈事件的检测和识别，同时抑制假阳性。在这方面，所公开的技术的某些示例性实施例可以通过提高警报处理速度和/或提高警报准确度的可靠性来提供基础技术的改进。

图7示出了可以用于所公开的技术的某些示例性实现方式的技术过程700的不同层。根据所公开的技术的某些示例性实现方式，第一层702可以用于提供身份和设备情报以使得能够在检测到不规则的、可疑的、或(实际的或潜在的)欺诈活动或事件时监控在线活动、评估事件并提供适当的警报。

表1：所利用的源和记录

表1是可以由本文公开的系统和方法利用的(具有近似数量计数的)记录和源的类型的(部分)列表。记录可以包括财产记录、破产记录、犯罪记录、机动车辆注册和标题记录、消费者姓名、消费者地址、保险索赔记录、商业联系记录等。所公开的技术的某些实现方式可以利用各种数据库，其中众包的情报从跨数千客户的数百万日常事件馈送。某些实现方式每年可以利用/评估近400亿个事件，覆盖全球185个国家。某些实现方式可识别机器人和非人类会话、描述欺诈者、检测会话异常、识别人类和识别可信的客户行为。

图7还描绘了第二层704，该第二层704可以被在本文公开的系统和方法利用以提供决策分析，以便将合法的在线活动与可能的欺诈活动区分开来。例如，在密码重置的使用情况下，已经确定欺诈者很可能使用粘贴而不是手动键盘输入来填充用户界面中的相关联的字段。某些实现方式可以利用粘贴检测、打字速度、自动填写的使用等作为潜在的欺诈活动的指示。根据所公开的技术的某些示例性实现方式，技术过程700可以包括第三层706以处理用户认证和验证。例如，相关的过程可包括身份解析，该身份解析可利用数据库中的多个字段来解析和去重复记录。技术过程700可以包括第四层708，第四层708指向对经由先前层的过程702、704、706获得的结果的调查和审查。因此，如上所述，来自第四层708的反馈可以被用于改善工作流、报告、策略、检测精度等。

图8是根据所公开的技术的示例性实现方式的方法800的说明性流程图。在框802中，方法800包括：响应于经由用户设备发起用户的身份监控登记，接收用户标识(用户ID)和相关联的个人标识信息(PII)。在框804中，方法800包括从用户设备提取唯一的设备标识(设备ID)。在框806中，方法800包括基于设备ID和PII中的一个或更多个来生成匿名化的数字标识(数字ID)。在框808中，方法800包括将数字ID与用户ID相关联。在框810中，方法800包括经由与在对应的多个网站上执行的多个应用程序编程接口(API)通信的数字身份网络(DIN)检测对应于数字ID的身份相关的事件。在框812中，方法800包括使用与一个或更多个处理器通信的机器学习模型来确定身份相关的事件是否满足一个或更多个阈值标准。在框814中，方法800包括响应于身份相关的事件满足阈值标准而生成警报。在框816中，方法800包括传送警报。

在某些示例性实现方式中，警报可以包括用户ID和身份相关的事件的标识中的一个或更多个。在某些示例性实现方式中，可将警报传送给与用户的登记相关联的身份监控服务。在某些示例性实现方式中，可以经由文本和电子邮件中的一个或更多个向与用户ID相关联的用户发送警报。

根据所公开的技术的某些示例性实现方式，阈值标准可以基于规则、逻辑和信任标签中的一个或更多个。

在某些示例性实现方式中，可以将确定身份相关的事件是否满足一个或更多个阈值标准的结果反馈给机器学习模型以改善机器学习模型。

根据所公开的技术的某些示例性实现方式，生成数字ID可以包括生成用户ID和设备ID的组合。

根据所公开的技术的某些示例性实现方式，数字身份网络(DIN)可以与托管对应的多个网站的多个商业服务器通信。

在某些示例性实现方式中，API被配置为将加密的事件信息传送至DIN。

根据所公开的技术的某些示例性实现方式，设备ID可以包括以下各项中的一项或更多项：蜂窝服务提供商、媒体文件、容量、系统信息、型号、序列号、Wi-Fi地址、蓝牙地址、IMEI号、ICCID号、固件版本、安装的驱动器、安装的字体等。

所公开的技术的某些实现方式可以用于基于地理和/或社交网络映射来识别与某些活动相关联的个体和/或网络。在一个示例实现方式中，可分析个体的社交网络以确定同事、亲戚、商业伙伴等相对于某些活动的地理位置。根据一个示例实现方式，活动可以与身份盗窃的事件相关。在另一示例实现方式中，活动可以与在线购买相关，例如，其中货物可以被运送到空余(或止赎)地址并由(取回货物的)人在本地监控或控制而不链接到该地址。

在示例实施例中，与(与登记的用户相关联的)数字ID相关的信息的时间相关的数字映射可以用于识别与某些活动相关联的一个或更多个可能的个体或犯罪的犯罪者。例如，在一个实施例中，可以针对到与某些活动相关联的位置的地理接近度和/或到身份盗窃受害者的地址的地理接近度来分析人的时间相关的数字映射。在某些示例实施例中，可以基于信息的属性应用阈值、权重等，并且可以执行评分以产生这样的活动中可以涉及特定实体的置信度水平。

根据一个示例实施例，可以针对给定人群中的每个人确定时间相关的数字映射。例如，所公开的技术的实施例可被用来为美国的每个人确定时间相关的数字映射，以确定以某种方式相关的个体，个体包括但不限于家庭、商业伙伴、朋友、过去的室友等。在示例实施例中，可以将活动的位置、地址或区域(例如，身份盗窃受害者的地址)与个体的社交网络中的人员的当前家庭和/或工作地址进行比较。在某些示例实施例中，可以计算这样的位置之间的距离。根据示例实施例，这样的数据可以用于识别某些模式、置信度值、评分等。在示例实现方式中，可以考虑社交网络的所有成员。在其他示例实现方式中，可以仅考虑具有某些连接标准的个体来降低计算复杂度。

所公开的技术的某些实施例可以提供优于常规系统和技术的改进的准确度。例如，试图识别某些欺诈活动(如身份盗窃)的犯罪者的执法部门可以利用单独地检查每个事件的常规集中分析技术。常规技术通常利用高阈值来过滤待分析的大量事件。换言之，因为必须用常规技术分析的数据非常大，所以可能需要高度的可疑活动以便识别与该活动相关联的个体或实体。在没有高阈值的情况下，常规技术可能具有太多潜在的欺诈事件而不能进行调查。结果，使用常规技术的实体通常忽略来自关于某些可疑活动能够保持在这些高阈值以下的组的合谋。

本文所公开的系统和方法可以能够有效地利用容易获得的数据来帮助检测涉及某些活动的个体。根据所公开的技术的示例性实现方式，大量的数据可以被分组为更小的、不同的单元或网络。在示例实施例中，可以测量每个网络内看似低风险的活动以识别潜在的组织的组，而无需将低阈值应用于作为整体的大量数据。

在一个示例实施例中，可以识别实体的域用于分析。例如，可以收集与大量(可能成千上万)个体相关联的数据用于分析。数据可包括个体、组织、公司等的身份。根据所公开的技术的某些示例实施例，然后可以收集实体之间的一种或更多种类型的关系。

在某些实施例中，过滤机制可以对网络操作并且可以保留具有异常行为的那些网络。这样的过滤可以常规地利用图形或网络分析，并且这种形式的查询/过滤可以利用子图形匹配例程或模糊的子图形匹配。然而，子图形匹配例程或模糊子图形匹配技术可能是NP完全，因此对于分析大数据集是不切实际的。NP-完全问题最显著的特征是没有已知的快速解决方案。也就是说，使用任何当前已知的算法解决该问题所需的时间随着问题规模的增长而迅速增加。这意味着即使使用现今可用的任何计算能力，解决这些问题中的许多中等规模版本所需的时间也很容易达到数十亿或数万亿年。即使所分析的数据集可能非常大，也可以利用所公开的技术的实施例来确定或提供实体之间的连接。

根据所公开的技术的示例实现方式，实体可以被识别并且可以包括人、公司、地点、对象、虚拟身份等。在示例实施例中，可以以多种方式形成关系，并且关系具有多种质量。例如，可以利用数据库中共同字段中的值的同现(co-occurrence)，诸如相同的姓。也可以使用实体与一个或更多个其他属性(诸如已经在两个或更多地址处居住的人)的多个同现来形成关系。

根据示例实施例，还可以基于共同关系的高重现和/或频率来形成关系。例如，向人Y发送大于N次的电子邮件的人X的记录可以指示人X与人Y之间的关系。在另一示例实施例中，如果人X向人Y发送电子邮件或从人Y接收电子邮件，并且在短时间段内，人Z发送电子邮件或从人Y接收电子邮件，则可以暗示人X和人Z之间的关系。

根据所公开的技术的示例实现方式，实体之间的关系可以包括布尔、加权、有向、无向和/或多个关系的组合。根据所公开的技术的某些示例实施例，实体的聚类可以依赖于关系步骤。在一个实施例中，实体可以通过至少两种不同的关系类型相关。在一个实施例中，可以通过检查实体间在某些方向上的连接的权重或强度并以其他关系(包括时间关系)为条件，来建立用于网络连接分析的关系。例如，在一个实施例中，可以检查实体X、Y和Z之间的方向关系，并且如果在X和Y之间建立链路之后(实时)发生了Y和Z之间的链路，则可以遵循X、Y和Z之间的连接。

一旦网络被识别，就可以利用许多方法来对网络进行过滤。例如，在一个实施例中，可以对网络进行评分。在另一实施例中，可以使用阈值来识别感兴趣的网络。根据所公开的技术的示例实施例，可以利用模型来计算每个网络上的统计的数量。在一个实施例中，模型可以像确定计数一样简单。在另一实施例中，模型可检测网络内的关系，例如，与网络的形心相关的实体也彼此相关。此分析可提供对网络内部存在的关系的凝聚性的测量。根据所公开的技术的示例实施例，一旦统计被计算，则每个网络的评分和加权可用于确定哪些网络上升到高于特定的阈值，并且可被分类为“感兴趣”。根据所公开的技术的示例实施例，可以使用启发式评分模型(诸如线性回归、神经网络分析等)来完成对所确定的统计的加权和/或评分。

如由于需要被跟踪和分析的绝对数据量而可能需要的，所公开的技术的示例实现方式可以在本文所描述的过程中利用专用计算系统和定制查询语言来提供有意义的结果。

所公开的技术的某些示例实现方式提供了计算机处理速度、存储器利用率、和/或编程语言的真实改进。这样的改进提供了某些技术贡献，其能够检测个体之间的关系。在某些示例实现方式中，本文所公开的改进的计算机系统可实现对整个人群(诸如美国的所有已知人)以及相关联的活动的分析。在提供有效异常值检测和信息所需的规模的情况下，计算这样的大量数据已经通过如本文所公开的计算机处理速度、存储器利用率、和/或编程语言的改进来实现。本领域普通技术人员可认识到，诸如人类活动、笔和纸分析等的传统方法、或者甚至使用通用计算机和/或现成软件的传统计算都不足以提供用于有效关系链接的数据处理水平。如本文所公开的，本文所公开的专用计算机和专用编程语言可以提供改进的计算机速度和/或存储器利用，从而实现所公开的发明，改进的计算机速度和/或存储器利用率提供计算技术中的改进。

困扰涉及大量数据集的先前“关系确定”解决方案的问题之一是所需的极长运行时间和大量的存储器/磁盘空间。由本文所公开的技术提供的技术方案之一涉及计算机系统和软件的实现和效率改进，以处理关系数据，并在合理的时间量内提供期望的数据。所公开的技术的某些示例性实现方式可以用于提高基于身份的欺诈指示的检测效率。

确定记录之间的关系，例如，可以遵循经典的n平方过程用于时间和磁盘空间两者。根据所公开的技术的示例实现方式，例如可以在生成可嵌入公共lisp(embeddablecommon lisp，ECL)时，利用轻型自联接。但是磁盘空间利用率可能仍然很高。所公开的技术的某些示例实现方式可以使得核联接能够被拆分成多个部分，每个部分被保留。这具有以下优点：将潜在地非常长的联接分解成n个部分，同时给予其他部分时间片。如果最终链接相当稀疏，则这具有将磁盘消耗减少n倍的效果。在性能方面，应注意，如果可使n足够高使得每一联接的输出不会溢出到磁盘，那么关系计算过程可具有显著更快的性能。

根据某些示例实现方式，可以由某些附加的特殊编程和分析软件来执行记录的链接。例如，记录链接适合被称为数据融合的一般类别的数据处理，其可被定义为组合来自多个异构数据源的信息的问题。数据融合可包括数据准备步骤，诸如在记录链接之前对原始输入数据进行解析、剖析、净化、标准化和解析与标准化，以改善输入数据的质量并且使得数据更一致且可比较(这些数据准备步骤有时被称为ETL或提取、变换、加载)。

数据剖析、数据卫生和数据源一致性检查，以及记录链接过程的关键部件在数据融合过程中具有它们自己的值并且可以在本文用于杠杆作用，甚至当记录链接不是特定数据工作单元的必要部分时也是如此。所公开的技术的实现方式可以利用诸如术语专一性的概念来确定在链接过程的范围内的特定字段的相关性/权重，以及基于输入数据的数学模型，而不需要手编代码的用户规则，这可能是该方法的总效率的关键。

所公开的技术的某些示例实现方式可以用于通过验证身份、活动和其他因素以及使用关系信息来确定勾结(collusive)活动可能存在于何处来防止欺诈。

根据所公开的技术的示例实现方式，并且如以上所讨论的，持久性数据结构可以被用作拆分核联接的一部分，例如，用于增加计算机处理器的性能和/或用于在确定记录之间的关系时降低盘/存储器利用率要求。根据所公开的技术的某些示例实现方式，持久性数据结构是当其被修改时保留其自身的先前版本的数据结构。这样的数据结构可能实际上是不可变的，因为它们的操作不会就地更新结构，而是可能产生新的更新结构。某些示例实现方式可以利用可以根据两个先前版本创建新版本的融合或合并操作。在某些示例实现方式中，也可以使用数据的就地更新来创建持久性数据结构，并且这些持久性数据结构通常可以使用比其纯粹的功能对应物更少的时间或存储空间。在某些示例实现方式中，可以通过简单得复制来实现持久性。所公开的技术的某些示例实现方式利用新版本和旧版本之间的相似性来在版本之间共享结构。

所公开的技术的某些实施例可以使得能够检测可能的、可能发生的和/或实际的与身份盗窃相关的欺诈，例如，如与信用、支付或福利的请求相关联的欺诈。某些示例实现方式提供了消除输入信息的歧义以及确定欺诈的可能性。在某些示例实现方式中，可以从请求实体接收与对信用、支付或福利的请求相关的输入信息。在某些示例实现方式中，可以从请求实体接收与对来自商业或政府机构的活动的请求相关的输入信息。在某些示例实现方式中，该实体可以是自然人(即，人类)。在其他示例实现方式中，该实体可被表示为自然人，但实际上可与人造身份相关联。

根据所公开的技术的示例实现方式，与实体相关联的输入信息可以被处理、加权、评分等，例如以便消除信息的歧义。例如，某些实现方式可利用一个或更多个输入数据字段来验证或校正其他输入数据字段。

表2：数字ID结果

表2提供了用于数字ID的结果的附加信息。根据所公开的技术的某些示例实现方式，由于个体在多个组织之间保护相同登录/账户名称的可能性较低，实体的子集(账户号、账户名、账户登录)可以被限制于仅本地使用。例如，约翰史密斯可能在几年前使用登录用户名“约翰史密斯”下注册了第一组织。然后，最近试图使用相同的登录用户名与第二供应商进行注册可能是不成功的，因为已经使用了“约翰史密斯”，因此可以使用用户名“约翰史密斯723”替代。

根据所公开的技术的某些示例实现方式，在已经创建数字ID之后，所公开的技术的某些示例实现方式可以利用数字ID来将坏身份与好身份分开。可以利用这样的认知来验证合法的返回客户并减少交易摩擦。如果检测到可疑的行为，则可以利用所公开的技术的某些示例实现方式来主动地阻止访问账户或进行交易的尝试。通过将好客户与欺诈者准确地区分开来，冒充合法客户的网络罪犯可通过其所尝试的欺诈和/或异常交易被快速检测到。

在某些示例实现方式中，信任评分可以用作数字ID情报的综合风险评估评分。信任评分的某些示例实现方式可表示数字ID的欺诈风险、威胁、漏洞和信誉，并且可利用数字身份网络的大数据能力和全球共享情报来生成这样的评分。在某些示例实现方式中，以下分析部件可被构建到针对数字ID的信任评分中：全球原因代码、全球智能规则变量、数字ID枢转变量、数字ID置信度评分、欺诈数据、和/或潜在的威胁数据。

在某些示例实现方式中，信任评分可以是客户可访问的，并且可以在客户策略中直接用于在识别可信消费者时做出更好的决策以减少假阳性。所公开的技术的某些示例实现方式可以利用相关联的模型中的信任评分来改善欺诈检测性能。在某些示例实现方式中，一个或更多个属性变量可以包括与实体标识符相关联的设备、电子消息和交易中的一个或更多个的数量或频率。在某些示例实现方式中，聚合威胁评分可进一步基于与实体标识符相关联的欺诈的已知实例。根据所公开的技术的示例实现方式，聚合威胁评分可以包括根据时间信息的基于时间的衰减权重。在某些示例实现方式中，实体或用户是人、家庭和家族中的一个或更多个。在某些示例实现方式中，多个属性指示可表示归属于实体或用户标识符的资产。

根据所公开的技术的某些示例实现方式，不同的建模方法可以用于根据数字ID实现信任评分，该数字ID取决于可用数据、期望的准确度、和/或时间或计算约束。

所公开的技术的某些示例实现方式可以提供以下技术效果和/或技术功能：(a)可以一起利用在线和离线数据属性两者以形成匿名化的动态且唯一的人物标识符(ID)；生成身份解析过程可以由真实世界的数字化交互驱动，而不仅仅是映射到字段的数据；利用机器学习的数字身份图形可以连接不同的在线和离线属性，并将它们表达为被匿名化的一个唯一的人物标识符；利用人物标识符和底层数据属性两者来确保完整的匿名化；在令牌化、加密的身份属性之后建立系统，身份属性不能被攻击或逆转成个人可识别信息(PII)；可以通过离线和在线数据的合并来提供人物身份和属性的视图；可以在跨越新账户开通、登录交易和支付交易的消费者触摸点上利用一致的、通用的和无摩擦的方法。

给定解析的数字身份及其在互联网和移动信道中的活动，本文所公开的实施例提供了一组接口和分析特征，以用于欺诈预防、标识、具有寻求其他使用情况(如信用评估、跨设备广告定向和其他)的潜在的用户分类。

根据所公开的技术的示例实现方式，根据所公开的技术的匿名化的人物标识符是：(a)稳定的和代表性的；(b)准确的涵盖；(c)可解释的和相关的；以及(d)安全的。根据所公开的技术，匿名化的人物标识符可以抵抗共享元素(例如：共享IP地址、共享电子邮件、和/或共享设备)的污染。作为步骤一的指导，90％的实体可能需要是单一的，8％的实体可能属于相同的家庭或工作地点，2％的实体可能是彻底错误的。换言之，相对于家庭或组织，将能够单独地识别对不正确的身份解析的假阳性耐受性(即，群体的比例)。

假设用户经常具有居住在不同家庭中的每个类别的多个资产，例如，不同的私人电子邮件、工作电子邮件，匿名化的人物标识符的概念仅可以与能够创建与资产强烈相关的单个实体一样有用。在没有这种相关性的情况下，超出单个跟踪的属性之外可能没有信息增益和值。作为指导，实体应当会聚于90％的单个人的单个匿名化的人物标识符、8％的单个人的2个匿名化的人物标识符和2％的单个人的具有3个或更多的匿名化的人物标识符。

匿名化的人物标识符可以激励对数据的使用的置信度。解析实体所需的数据和附加到实体的数据可能需要在可能的程度上是当前的。作为高级引导实体解析数据(哪些电子邮件属于哪个匿名的人物标识符)可以在48小时内是当前的，而连接到匿名化的人物标识符的事件和断言应当接近实时。所公开的技术涉及可能需要维持全球状态以便确保每个事件是‘匹配’过程和‘插入’过程的事件驱动的身份解析过程。例如，黑客可能在中国和澳大利亚相隔数秒地击中用户账户，并且全球身份解析可能需要实时发生，使得同一攻击者被准确地识别，并且第二攻击可能潜在地被更彻底地避免。

因为身份可以具有不同的暂时的特性，所以身份链接在短时间段内的大发散可以指示对身份的攻击。所公开的技术的某些示例实现方式提供了在标记、忽略或解决短寿命关联的同时解析长期稳定身份的能力。

如本文使用的，术语“数据”、“内容”、“信息”以及类似术语可以互换地使用，以指代能够根据所公开的技术被传送、接收和/或存储的数据。因此，任何这样的术语的使用不应被视为限制本公开的精神和范围。进一步地，在本文中描述了计算设备从另一个计算设备接收数据的情况下，要理解的是，可以直接从另一个计算设备中接收数据，或者可以经由一个或更多个中间计算设备(例如，一个或更多个服务器、中继器、路由器、网络接入点、基站、主机等，在本文中有时称为“网络”)间接接收数据。类似地，在本文中描述计算设备以将数据发送到另一计算设备的情况下，应理解，数据可直接被发送到另一计算设备或可经由一个或更多个中间计算设备(例如，一个或更多个服务器、中继器、路由器、网络接入点、基站、主机等)间接发送。

如本文中所使用的，术语“人类身份”、“用户”、“客户端”、“消费者”和“客户”可以互换地使用，以指代但不限于人类、客户端、客户、购买者、购物者、用户等，其可以使用任何数量的客户端设备和/或在线身份来接收联网数字内容和与联网数字内容交互。

术语“API”是指应用程序编程接口(API)，该应用程序编程接口(API)是用于建立应用软件的一组子例程定义、协议和工具。API是各种软件部件之间的一组清楚定义的通信方法。API可以用于基于网络的系统、操作系统、数据库系统、计算机硬件或软件库。API规范可以采取许多形式，但是通常包括例程、数据结构、对象类、变量或远程调用的规范。POSIX、Microsoft Windows API、C++标准模板库和Java API是不同形式的API的示例。

本公开的方法、装置和计算机程序产品可以由各种设备中的任何设备来实施。例如，示例实施例的方法、装置和计算机程序产品可以由被配置为与一个或更多个设备(诸如一个或更多个客户端设备)通信的联网设备(诸如服务器或其他网络实体)来实施。另外或替代地，计算设备可包括固定计算设备，例如个人计算机或计算机工作站。更进一步地，示例实施例可以由各种移动设备中的任何移动设备(诸如便携式数字助理(PDA)、移动电话、智能电话、膝上型计算机、平板计算机、可穿戴式设备或上述设备的任何组合)来实施。

如将认识到的，任何此类计算机程序指令和/或其他类型的代码可以被加载到计算机、处理器或其他可编程装置的电路上以产生机器，使得计算机、处理器或在机器上执行代码的其他可编程电路创建用于实现(包括在本文描述的那些功能的)各种功能的装置。

还应该注意的是，由在本文讨论的示例显示器呈现的所有或一些信息可以基于由在本文的装置的一个或更多个部件接收、生成和/或维护的数据。在一些实施例中，一个或更多个外部系统(诸如远程云计算和/或数据存储系统)也可以被利用来提供本文所讨论的功能中的至少一些。

如上文所述并且如基于本公开将理解的，本公开的实施例可以被配置为方法、移动设备、后端网络设备等。因此，实施例可包括各种装置，该装置包括全部硬件或软件和硬件的任何组合。此外，实施例可采取至少一个非暂时性计算机可读存储介质上的计算机程序产品的形式，所述至少一个非暂时性计算机可读存储介质具有在存储介质中实施的计算机可读程序指令(例如，计算机软件)。可以利用任何合适的计算机可读存储介质，包括非暂时性硬盘、CD-ROM、闪存、光存储设备或磁存储设备。

在本文描述的主题和操作的实施例可以在数字电子电路中实现，或在包括本说明书中公开的结构及其结构等效物的计算机软件、固件或硬件中实现，或在其中的一个或更多个的组合中实现。本文描述的主题的实施例可以实现为一个或更多个计算机程序，即，在计算机存储介质上编码的计算机程序指令中的一个或更多个模块，用于由信息/数据处理装置执行或用于控制信息/数据处理装置的操作。替换地或附加地，程序指令可被编码在人工生成的传播信号(例如，机器生成的电、光或电磁信号)上，该传播信号被生成以编码信息/数据以供传送至合适的接收器装置，从而由信息/数据处理装置执行。计算机存储介质可以是或包括在计算机可读存储设备、计算机可读存储基板、随机或串行存取存储器阵列或设备、或它们中的一个或更多个的组合中。此外，虽然计算机存储介质不是传播信号，但是计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的源或目的地。计算机存储介质还可以是或包括在一个或更多个单独的物理部件或介质(例如，多个CD、盘或其他存储设备)中。

本文中所描述的操作可以被实现为由信息/数据处理装置对存储在一个或更多个计算机可读存储设备上或从其他源接收的信息/数据执行的操作。

术语“数据处理装置”、“计算设备”、和“移动计算设备”涵盖用于处理数据的所有种类的装置、设备和机器，举例来讲，包括可编程处理器、计算机、片上系统、或以上各项的多个或组合。该装置可以包括专用逻辑电路，例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外，该装置还可以包括为所讨论的计算机程序创建执行环境的代码，例如，构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境、虚拟机、或它们中的一个或更多个的组合的代码。装置和执行环境可以实现各种不同的计算模型基础设施，诸如web服务、分布式计算和网格计算基础设施。

计算机程序(也称为程序、软件、软件应用、脚本或代码)可以以任何形式的编程语言(包括编译或解释语言、说明性或过程语言)编写，并且其可以以任何形式(包括作为独立程序或作为模块、部件、子例程、对象或适于在计算环境中使用的其他单元)部署。计算机程序可以(但不需要)对应于文件系统中的文件。程序可以被存储在保存其他程序或信息/数据的文件的一部分(例如，存储在标记语言文档中的一个或更多个脚本)中、专用于所讨论的程序的单个文件中、或多个协调的文件(例如，存储一个或更多个模块、子程序、或代码的多个部分的文件)中。计算机程序可以被部署为在位于一个站点或分布在多个站点并且通过通信网络互连的一个计算机上或多个计算机上执行。

在本文描述的过程和逻辑流可以由一个或更多个可编程处理器执行，该一个或更多个可编程处理器执行一个或更多个计算机程序以便通过对输入信息/数据进行操作并且生成输出来执行动作。例如，适合于执行计算机程序的处理器包括通用和专用微处理器以及任何种类的数字计算机的任何一个或更多个处理器。通常，处理器将从只读存储器或随机存取存储器或两者接收指令和信息/数据。计算机的基本元件是用于根据指令执行动作的处理器和用于存储指令和数据的一个或更多个存储器设备。通常，计算机还将包括用于存储数据的一个或更多个大容量存储设备(例如，磁盘、磁光盘或光盘)或者可操作地耦接以从该一个或更多个大容量存储设备接收信息/数据或者向该一个或更多个大容量存储设备传输信息/数据或以上两者。然而，计算机不需要具有这种设备。适合于存储计算机程序指令和信息/数据的设备包括所有形式的非易失性存储器、介质和存储器设备，包括例如半导体存储器设备(例如EPROM、EEPROM和闪存设备)；磁盘(例如内部硬盘或可移动盘)；磁光盘；以及CD-ROM和DVD-ROM盘。处理器和存储器可以由专用逻辑电路补充或并入专用逻辑电路中。

为了提供与用户的交互，本文描述的主题的实施例可以在计算机上实现，该计算机具有用于向用户显示信息/数据的显示设备(例如，CRT(阴极射线管)或LCD(液晶显示器)监控器)以及用户可以通过其向计算机提供输入的键盘和指点设备(例如，鼠标或轨迹球)。也可以使用其他类型的设备来提供与用户的交互；例如，提供给用户的反馈可以是任何形式的感官反馈(例如，视觉反馈、听觉反馈或触觉反馈)；并且可以以任何形式接收来自用户的输入，包括声音、语音或触觉输入。此外，计算机可以通过向用户所使用的设备发送文档和从该设备接收文档来与用户交互；例如，通过响应于从用户的客户端设备上的web浏览器接收的请求而向该web浏览器发送网页。

可以在计算系统中实现本文所描述的主题的实施例，该计算系统包括后端部件(例如，作为信息/数据服务器)、或包括中间件部件(例如，应用服务器)、或包括前端部件(例如，具有图形用户界面或网页浏览器的客户端计算机，用户可以通过该图形用户界面或网页浏览器与本文所描述的主题的实现方式交互)、或包括一个或更多个此类后端部件、中间件部件、或前端部件的任何组合。该系统的部件可以通过数字信息/数据通信的任何形式或介质(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网络(例如，互联网)和对等网络(例如，自组织对等网络)。

计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且通常通过通信网络进行交互。客户端和服务器的关系借助于在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序而出现。在一些实施例中，服务器将信息/数据(例如，HTML页面)传送到客户端设备(例如，用于向与客户端设备交互的用户显示信息/数据以及从与客户端设备交互的用户接收用户输入的目的)。可以在服务器处从客户端设备接收在客户端设备处生成的信息/数据(例如，用户交互的结果)。

如本文所使用的，除非另外指明，否则术语“或”在本文用于可替代和结合意义两者。术语“说明性”和“示例性”用作没有质量水平的指示的示例。在全文中，相同的标号表示相同的元件。

尽管本说明书包含许多具体实现方式细节，但这些细节不应被解释为对任何公开的范围或可以要求保护的内容的范围的限制，而是被解释为对特定公开的实施例的特定特征的描述。本文在单独的实施例的背景中描述的某些特征也可在单个实施例中以组合方式实现。相反，在单个实施例的背景中描述的各种特征也可单独地或以任何合适的子组合在多个实施例中实现。此外，虽然特征可以在上面描述为在某些组合中起作用并且甚至最初如此要求保护，但是在一些情况下可以从组合中去除来自所要求保护的组合的一个或更多个特征，并且所要求保护的组合可以涉及子组合或子组合的变型。

类似地，虽然在附图中以特定顺序描绘了操作，但是这不应当被理解为要求以所示的特定顺序或按连续的顺序来执行这种操作，或者要求执行所有示出的操作，以实现所期望的结果。在某些情况下，多任务处理和并行处理可以是有利的。此外，上述实施例中的各种系统部件的分离不应被理解为在所有实施例中都需要这样的分离，并且应当理解，所描述的程序部件和系统通常可以集成在单个软件产品中或封装到多个软件产品中。

因此，已经描述了主题的特定实施例。其他实施例在以下权利要求的范围内。在一些情况下，权利要求书中所叙述的动作可以以不同的顺序执行且仍实现所期望的结果。此外，在附图中描绘的过程不一定需要所示出的特定顺序或连续的顺序来实现所期望的结果。在某些实现方式中，多任务处理和并行处理可以是有利的。

受益于以上描述和相关附图中呈现的教导，这些公开所属领域的普通技术人员将想到在本文所阐述的公开的许多修改和其他实施例。因此，应当理解的是，本公开并不限于所公开的具体实施例，并且修改和其他实施例旨在包括在所附权利要求的范围内。虽然本文采用了特定术语，但是它们仅以一般性和描述性的意义使用，而不是为了限制的目的。

Claims (20)

1.一种系统，包括：

一个或更多个处理器；

存储器，所述存储器与所述一个或更多个处理器通信；

指令，所述指令存储在所述存储器中，所述指令在由所述一个或更多个处理器执行时使所述系统执行：

响应于经由用户设备发起用户的身份监控登记，经由通信网络接收用户标识(用户ID)和相关联的个人标识信息(PII)；

从所述用户设备提取唯一的设备标识(设备ID)；

基于所述设备ID和所述PII中的一个或更多个来生成匿名化的数字标识(数字ID)；

将所述数字ID与所述用户ID相关联；

经由与在对应的多个网站上执行的多个网站监控应用程序编程接口(API)通信的数字身份网络(DIN)，检测对应于所述数字ID的身份相关的事件；

使用与所述一个或更多个处理器通信的机器学习模型来确定所述身份相关的事件是否满足一个或更多个阈值标准；

响应于所述身份相关的事件满足所述阈值标准，生成警报；以及

传送所述警报。

2.根据权利要求1所述的系统，其中，所述警报包括所述用户ID和所述身份相关的事件的标识。

3.根据权利要求1所述的系统，其中，将所述警报传送到与所述用户的身份监控登记相关联的身份监控服务。

4.根据权利要求1所述的系统，其中，经由文本和电子邮件中的一个或更多个将所述警报发送至与所述用户ID相关联的用户。

5.根据权利要求1所述的系统，其中，所述阈值标准基于规则、逻辑和信任标签中的一个或更多个。

6.根据权利要求1所述的系统，其中，将所确定的结果进行反馈，以改善所述机器学习模型。

7.根据权利要求1所述的系统，其中，生成所述数字ID包括所述用户ID和所述设备ID的组合。

8.根据权利要求1所述的系统，其中，所述DIN与多个商业服务器通信，所述多个商业服务器托管对应的多个网站。

9.根据权利要求1所述的系统，其中，所述网站监控API被配置为将加密的事件信息传送至所述DIN。

10.根据权利要求1所述的系统，其中，所述设备ID包括以下中的一项或更多项：蜂窝服务提供商、媒体文件、容量、系统信息、型号、序列号、Wi-Fi地址、蓝牙地址、IMEI号、ICCID号、固件版本、安装的驱动器以及安装的字体。

11.一种方法，包括：

响应于经由用户设备发起用户的身份监控登记，接收用户标识(用户ID)和相关联的个人标识信息(PII)；

从所述用户设备提取唯一的设备标识(设备ID)；

基于所述设备ID和所述PII中的一个或更多个来生成匿名化的数字标识(数字ID)；

将所述数字ID与所述用户ID相关联；

经由与在对应的多个网站上执行的多个网站监控应用程序编程接口(API)通信的数字身份网络(DIN)，检测对应于所述数字ID的身份相关的事件；

使用与所述一个或更多个处理器通信的机器学习模型来确定所述身份相关的事件是否满足一个或更多个阈值标准；

响应于所述身份相关的事件满足所述阈值标准，生成警报；以及

传送所述警报。

12.根据权利要求11所述的方法，其中，所述警报包括所述用户ID和所述身份相关的事件的标识。

13.根据权利要求11所述的方法，其中，将所述警报传送至与所述用户的身份监控登记相关联的身份监控服务。

14.根据权利要求11所述的方法，其中，经由文本和电子邮件中的一个或更多个将所述警报发送至与所述用户ID相关联的用户。

15.根据权利要求11所述的方法，其中，所述阈值标准基于规则、逻辑和信任标签中的一个或更多个。

16.根据权利要求11所述的方法，其中，将所确定的结果进行反馈，以改善所述机器学习模型。

17.根据权利要求11所述的方法，其中，生成所述数字ID包括所述用户ID和所述设备ID的组合。

18.根据权利要求11所述的方法，其中，所述DIN与多个商业服务器通信，所述多个商业服务器托管对应的多个网站。

19.根据权利要求11所述的方法，其中，所述网站监控API被配置为将加密的事件信息传送至所述DIN。

20.根据权利要求11所述的方法，其中，所述设备ID包括以下中的一项或更多项：蜂窝服务提供商、媒体文件、容量、系统信息、型号、序列号、Wi-Fi地址、蓝牙地址、IMEI号、ICCID号、固件版本、安装的驱动器以及安装的字体。

Images