CN118119959A - 用于自动剖析异常的方法、系统和计算机程序产品 - Google Patents

Abstract

用于自动剖析异常的方法、系统和计算机程序产品：接收异常交易；选择异常交易子集，该异常交易子集与多个特征相关联；基于该多个特征和该多个特征的分布，生成与该多个特征相关联的权重；基于该多个特征和多个权重，使用无监督聚类算法将该异常交易子集分割成多个异常交易段；以及利用特征简档来标记该多个段的段子集，该特征简档包括来自该段子集的每个段的与该段中的该异常交易的该多个特征的该多个权重中的最高权重相关联的特征。

Description

用于自动剖析异常的方法、系统和计算机程序产品

相关申请的交叉引用

本申请要求2021年10月20日提交的美国临时专利申请第63/257,662号的优先权，该美国临时专利申请的公开内容以全文引用的方式并入本文中。

技术领域

本公开涉及异常检测，并且在一些非限制性实施方案或方面中，涉及用于自动剖析异常的方法、系统和计算机程序产品。

背景技术

尽管存在用于自动标记交易处理网络中的异常的系统，但也使用人工工作来剖析所标记的异常并且推荐针对所标记的异常的对应策略，诸如对于套现、账户移交、不知情的配置改变等。因此，需要一种可有效地自动剖析在流数据中接收到的异常(例如确定被识别为异常的交易是否实际上是欺诈交易和/或异常的类别或类型等)的机制。

发明内容

因此，提供了用于自动剖析异常的改进的系统、设备、产品、装置和/或方法。

根据一些非限制性实施方案或方面，提供了一种计算机实现的方法，包括：利用至少一个处理器接收由异常检测系统在多个交易内识别为异常的多个异常交易；利用至少一个处理器选择多个异常交易的异常交易子集，其中异常交易子集与多个特征相关联；利用至少一个处理器，基于与异常交易子集相关联的多个特征和与异常交易子集相关联的多个特征的分布，生成与关联于异常交易子集的多个特征相关联的多个权重；利用至少一个处理器，基于与异常交易子集相关联的多个特征和与关联于异常交易子集的多个特征相关联的多个权重，使用无监督聚类算法将异常交易子集分割成多个异常交易段；以及利用至少一个处理器利用特征简档来标记多个段的段子集，该特征简档包括来自段子集的每个段的与该段中的异常交易的多个特征的多个权重中的最高权重相关联的特征。

在一些非限制性实施方案或方面中，选择多个异常交易的异常交易子集包括基于处于显著性水平α的多个异常交易的多项式总体的真值的距离d来确定异常交易子集的样本大小n。

在一些非限制性实施方案或方面中，根据以下等式来生成与关联于异常交易子集的多个特征相关联的多个权重：

其中x_i是多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与特征x_i相关联的多个权重中的权重。

在一些非限制性实施方案或方面中，该无监督聚类算法包括基于模变换的聚类算法。

在一些非限制性实施方案或方面中，该方法还包括：在于交易处理网络中处理多个交易期间，利用至少一个处理器使用异常检测系统来生成在多个交易内被识别为异常的多个异常交易。

在一些非限制性实施方案或方面中，该异常检测系统包括欺诈检测模型，并且其中多个异常交易被识别为欺诈交易。

在一些非限制性实施方案或方面中，该方法还包括：利用至少一个处理器接收交易处理网络中当前正在处理的当前交易；利用至少一个处理器使用异常检测系统来生成被识别为当前异常的当前异常交易；利用至少一个处理器通过将与当前异常交易相关联的一个或多个特征与特征简档进行比较来自动标记当前异常交易，其中响应于与当前异常交易相关联的一个或多个特征的阈值数量与特征简档中的特征的阈值数量相匹配，利用特征简档来标记当前异常交易；以及利用至少一个处理器基于当前异常交易来更新特征简档。

根据一些非限制性实施方案或方面，提供了一种系统，包括：至少一个处理器，该至少一个处理器被编程为并且/或者被配置成：接收由异常检测系统在多个交易内识别为异常的多个异常交易；选择多个异常交易的异常交易子集，其中异常交易子集与多个特征相关联；基于与异常交易子集相关联的多个特征和与异常交易子集相关联的多个特征的分布，生成与关联于异常交易子集的多个特征相关联的多个权重；基于与异常交易子集相关联的多个特征和与关联于异常交易子集的多个特征相关联的多个权重，使用无监督聚类算法将异常交易子集分割成多个异常交易段；以及利用特征简档来标记多个段的段子集，该特征简档包括来自段子集的每个段的与该段中的异常交易的多个特征的多个权重中的最高权重相关联的特征。

在一些非限制性实施方案或方面中，该至少一个处理器被编程为并且/或者被配置成：通过基于处于显著性水平α的多个异常交易的多项式总体的真值的距离d来确定异常交易子集的样本大小n，而选择多个异常交易的异常交易子集。

在一些非限制性实施方案或方面中，该至少一个处理器被编程为并且/或者被配置成：根据以下等式来生成与关联于异常交易子集的多个特征相关联的多个权重：

其中x_i是多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与特征x_i相关联的多个权重中的权重。

在一些非限制性实施方案或方面中，该无监督聚类算法包括基于模变换的聚类算法。

在一些非限制性实施方案或方面中，该至少一个处理器被进一步编程为并且/或者被进一步配置成：在于交易处理网络中处理多个交易期间，使用异常检测系统来生成在多个交易内被识别为异常的多个异常交易。

在一些非限制性实施方案或方面中，该异常检测系统包括欺诈检测模型，并且其中多个异常交易被识别为欺诈交易。

在一些非限制性实施方案或方面中，该至少一个处理器被进一步编程为并且/或者被进一步配置成：接收交易处理网络中当前正在处理的当前交易；使用异常检测系统来生成被识别为当前异常的当前异常交易；通过将与当前异常交易相关联的一个或多个特征与特征简档进行比较来自动标记当前异常交易，其中响应于与当前异常交易相关联的一个或多个特征的阈值数量与特征简档中的特征的阈值数量相匹配，利用特征简档来标记当前异常交易；以及基于当前异常交易来更新特征简档。

根据一些非限制性实施方案或方面，提供了一种计算机程序产品，包括非暂态计算机可读介质，该非暂态计算机可读介质包括程序指令，该程序指令在由至少一个处理器执行时使得该至少一个处理器：接收由异常检测系统在多个交易内识别为异常的多个异常交易；选择多个异常交易的异常交易子集，其中异常交易子集与多个特征相关联；基于与异常交易子集相关联的多个特征和与异常交易子集相关联的多个特征的分布，生成与关联于异常交易子集的多个特征相关联的多个权重；基于与异常交易子集相关联的多个特征和与关联于异常交易子集的多个特征相关联的多个权重，使用无监督聚类算法将异常交易子集分割成多个异常交易段；以及利用特征简档来标记多个段的段子集，该特征简档包括来自段子集的每个段的与该段中的异常交易的多个特征的多个权重中的最高权重相关联的特征。

在一些非限制性实施方案或方面中，该程序指令在由至少一个处理器执行时进一步使得至少一个处理器通过基于多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定异常交易子集的样本大小n，而选择多个异常交易的异常交易子集。

在一些非限制性实施方案或方面中，该程序指令在由至少一个处理器执行时进一步使得至少一个处理器根据以下等式来生成与关联于异常交易子集的多个特征相关联的多个权重：

其中x_i是多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与特征x_i相关联的多个权重中的权重。

在一些非限制性实施方案或方面中，该无监督聚类算法包括基于模变换的聚类算法。

在一些非限制性实施方案或方面中，该程序指令在由至少一个处理器执行时进一步使得至少一个处理器：在于交易处理网络中处理多个交易期间，使用异常检测系统来生成在多个交易内被识别为异常的多个异常交易。

在一些非限制性实施方案或方面中，该程序指令在由至少一个处理器执行时进一步使得至少一个处理器：接收交易处理网络中当前正在处理的当前交易；使用异常检测系统来生成被识别为当前异常的当前异常交易；通过将与当前异常交易相关联的一个或多个特征与特征简档进行比较来自动标记当前异常交易，其中响应于与当前异常交易相关联的一个或多个特征的阈值数量与特征简档中的特征的阈值数量相匹配，利用特征简档来标记当前异常交易；以及基于当前异常交易来更新特征简档。

在以下编号条款中阐述另外的实施方案或方面：

条款1.一种计算机实现的方法，包括：利用至少一个处理器接收由异常检测系统在多个交易内识别为异常的多个异常交易；利用所述至少一个处理器选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；利用所述至少一个处理器，基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；利用所述至少一个处理器，基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及利用所述至少一个处理器利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

条款2.如条款2所述的计算机实现的方法，其中选择所述多个异常交易的所述异常交易子集包括基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n。

条款3.如条款1或2所述的计算机实现的方法，其中根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

条款4.如条款1至3中任一项所述的计算机实现的方法，其中所述无监督聚类算法包括基于模变换的聚类算法。

条款5.如条款1至4中任一项所述的计算机实现的方法，还包括：在于交易处理网络中处理所述多个交易期间，利用所述至少一个处理器使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

条款6.如条款1至5中任一项所述的计算机实现的方法，其中所述异常检测系统包括欺诈检测模型，并且其中所述多个异常交易被识别为欺诈交易。

条款7.如条款1至6中任一项所述的计算机实现的方法，还包括：利用所述至少一个处理器接收所述交易处理网络中当前正在处理的当前交易；利用所述至少一个处理器使用所述异常检测系统来生成被识别为当前异常的当前异常交易；利用所述至少一个处理器通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及利用所述至少一个处理器基于所述当前异常交易来更新所述特征简档。

条款8.一种系统，包括：至少一个处理器，所述至少一个处理器被编程为并且/或者被配置成：接收由异常检测系统在多个交易内识别为异常的多个异常交易；选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

条款9.如条款8所述的系统，其中所述至少一个处理器被编程为并且/或者被配置成：通过基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n，而选择所述多个异常交易的所述异常交易子集。

条款10.如条款8或9所述的系统，其中所述至少一个处理器被编程为并且/或者被配置成：根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

条款11.如条款8至10中任一项所述的系统，其中所述无监督聚类算法包括基于模变换的聚类算法。

条款12.如条款8至11中任一项所述的系统，其中所述至少一个处理器被进一步编程为并且/或者被进一步配置成：在于交易处理网络中处理所述多个交易期间，使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

条款13.如条款8至12中任一项所述的系统，其中所述异常检测系统包括欺诈检测模型，并且其中所述多个异常交易被识别为欺诈交易。

条款14.如条款8至13中任一项所述的系统，其中所述至少一个处理器被进一步编程为并且/或者被进一步配置成：接收所述交易处理网络中当前正在处理的当前交易；使用所述异常检测系统来生成被识别为当前异常的当前异常交易；通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及基于所述当前异常交易来更新所述特征简档。

条款15.一种计算机程序产品，包括非暂态计算机可读介质，所述非暂态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时使得所述至少一个处理器：接收由异常检测系统在多个交易内识别为异常的多个异常交易；选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

条款16.如条款15所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器通过基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n，而选择所述多个异常交易的所述异常交易子集。

条款17.如条款15或16所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

条款18.如条款15至17中任一项所述的计算机程序产品，其中所述无监督聚类算法包括基于模变换的聚类算法。

条款19.如条款15至18中任一项所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器：在于交易处理网络中处理所述多个交易期间，使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

条款20.如条款15至19中任一项所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器：接收所述交易处理网络中当前正在处理的当前交易；使用所述异常检测系统来生成被识别为当前异常的当前异常交易；通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及基于所述当前异常交易来更新所述特征简档。

在参考附图考虑以下描述和所附权利要求书时，本公开的这些和其他特征和特性以及相关结构元件和各部分的组合的操作方法和功能以及制造经济性将变得更加显而易见，所有附图形成本说明书的部分，其中相似附图标号在各图中标示对应部分。然而，应明确地理解，各图式仅用于说明和描述目的，并非旨在作为对限制的定义。除非上下文另外明确规定，否则在本说明书和权利要求书中所用时，单数形式“一”及“所述”包括多个指示物。

附图说明

下文参考示意性附图中示出的示范性实施方案更详细地解释额外优势和细节，附图中：

图1是其中可实施本文所描述的系统、设备、产品、装置和/或方法的环境的非限制性实施方案或方面的图；

图2是图1的一个或多个设备和/或一个或多个系统的部件的非限制性实施方案或方面的图；

图3A和图3B是用于自动剖析异常的过程的非限制性实施方案或方面的流程图；

图4是用于选择用于同时估计多项式总体的参数的样本大小的表；

图5是用于特征分布评分的过程的非限制性实施方案或方面的具体实现的图；并且

图6是用于自动剖析由实时支付(RTP)系统识别的异常的过程的非限制性实施方案或方面的具体实现的图。

具体实施方式

应理解，除了明确指定为相反的情况之外，本公开可采用各种替代变化和步骤顺序。还应当理解，附图中所示的以及在以下说明书中描述的特定设备和过程仅仅是示例性和非限制性实施方案或方面。因此，与本文公开的实施方案或方面有关的特定尺寸和其他物理特性不应被视为限制。

本文所使用的方面、部件、元件、结构、动作、步骤、功能、指令等都不应当被理解为关键的或必要的，除非明确地如此描述。并且，如本文所使用，冠词“一(a)”和“一(an)”旨在包括一个或多个项目，并且可以与“一个或多个”和“至少一个”互换使用。此外，如本文所使用，术语“集合”希望包括一个或多个项目(例如，相关项目、不相关项目、相关项目与不相关项目的组合等)，并且可与“一个或多个”或“至少一个”互换使用。在希望仅有一个项目的情况下，使用术语“一个”或类似语言。而且，如本文所使用，术语“具有”等希望是开放式术语。另外，除非另外明确陈述，否则短语“基于”希望意味着“至少部分地基于”。

如本文所使用，术语“通信”可以指数据(例如，信息、信号、消息、指令、命令等)的接收、接纳、发送、传送、提供等。一个单元(例如，设备、系统、设备或系统的部件、其组合等)与另一单元通信意味着所述一个单元能够直接或间接地从所述另一单元接收信息和/或向所述另一单元传输信息。这可以指在本质上有线和/或无线的直接或间接连接(例如，直接通信连接、间接通信连接等)。另外，尽管所发送的信息可以在第一单元与第二单元之间被修改、处理、中继和/或路由，但这两个单元也可以彼此通信。例如，即使第一单元被动地接收信息且不会主动地将信息发送到第二单元，第一单元也可以与第二单元通信。作为另一示例，如果至少一个中间单元处理从第一单元接收的信息且将处理后的信息传送到第二单元，那么第一单元可以与第二单元通信。

显然，本文所描述的系统和/或方法可以不同形式的硬件、软件或硬件和软件的组合实施。用于实施这些系统和/或方法的实际专用控制硬件或软件代码并不限制实施方式。因此，本文在不参考特定软件代码的情况下描述了系统和/或方法的操作和行为，应当理解，软件和硬件可以设计成基于本文的描述来实施系统和/或方法。

本文中结合阈值描述一些非限制性实施方案或方面。如本文所使用，满足阈值可以指大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等的值。

如本文所使用，术语“交易服务提供商”可指向商家或其他实体接收交易授权请求且在一些情况下通过交易服务提供商与发行方机构之间的协议来提供支付保证的实体。例如，交易服务提供商可包括例如之类的支付网络，或处理交易的任何其他实体。术语“交易处理系统”可以指由交易服务提供商或代表交易服务提供商操作的一个或多个计算设备，例如执行一个或多个软件应用程序的交易处理服务器。交易处理系统可包括一个或多个处理器，并且在一些非限制性实施方案中可由交易服务提供商或代表交易服务提供商操作。

如本文所使用，术语“账户标识符”可包括一个或多个主账号(PAN)、令牌或与顾客账户相关联的其他标识符。术语“令牌”可指用作诸如PAN等原始账户标识符的替代或替换标识符的标识符。账户标识符可以是文字数字的，或是字符和/或符号的任何组合。令牌可与一个或多个数据结构(例如一个或多个数据库等)中的PAN或其他原始账户标识符相关联，使得令牌可用于进行交易而无需直接使用原始账户标识符。在一些示例中，诸如PAN的原始账户标识符可与用于不同个人或目的的多个令牌相关联。

如本文所使用，术语“发行方机构”、“便携式金融设备发行方”、“发行方”或“发行方银行”可以指一个或多个实体，该一个或多个实体向用户(例如，客户、消费者、组织等)提供一个或多个账户以进行交易(例如，支付交易)，诸如发起信用卡支付交易和/或借记卡支付交易。例如，发行方机构可向用户提供诸如PAN的账户标识符，该账户标识符唯一地标识与该用户相关联的一个或多个账户。账户标识符可以在诸如实体金融工具(例如，支付卡)等便携式金融设备上体现，和/或可以是电子的并且用于电子支付。在一些非限制性实施方案或方面中，发行方机构可以与唯一地标识发行方机构的银行标识号码(BIN)相关联。如本文所使用，术语“发行方机构系统”可以指由发行方机构或代表发行方机构操作的一个或多个计算机系统，诸如执行一个或多个软件应用程序的服务器计算机。例如，发行方机构系统可以包括用于授权支付交易的一个或多个授权服务器。

如本文所用，术语“商家”可以指基于交易(例如，支付交易)向用户(例如，客户)提供商品和/或服务或者对商品和/或服务的访问的个人或实体。如本文所用，术语“商家”或“商家系统”还可指由商家或代表商家操作的一个或多个计算机系统、计算设备和/或软件应用程序，例如执行一个或多个软件应用程序的服务器计算机。如本文所使用，“销售点(POS)系统”可指由商家用来与用户进行支付交易的一个或多个计算机和/或外围设备，包括一个或多个读卡器、近场通信(NFC)接收器、射频标识(RFID)接收器和/或其他非接触收发器或接收器、基于接触的接收器、支付终端、计算机、服务器、输入设备和/或可用于发起支付交易的其他类似设备。POS系统可以是商家系统的一部分。商家系统还可包括用于通过商家网页或软件应用程序来促进在线基于互联网的交易的商家插件。商家插件可包括在商家服务器上运行或由第三方托管以用于促进此些在线交易的软件。

如本文所使用，术语“移动设备”可以指被配置为与一个或多个网络通信的一个或多个便携式电子设备。作为示例，移动设备可以包括蜂窝电话(例如，智能电话或标准蜂窝电话)、便携式计算机(例如，平板计算机、膝上型计算机等)、可穿戴设备(例如，手表、眼镜、镜片、衣服等)、个人数字助理(PDA)和/或其他类似设备。如本文所使用，术语“客户端设备”和“用户设备”是指被配置为与一个或多个服务器或远程设备和/或系统通信的任何电子设备。客户端设备或用户设备可以包括移动设备、支持网络的设备(例如，支持网络的电视、冰箱、恒温器等)、计算机、POS系统和/或能够与网络通信的任何其他设备或系统。

如本文所使用，术语“计算设备”可以指被配置成处理数据的一个或多个电子设备。在一些示例中，计算设备可以包括接收、处理和输出数据的必要部件，例如处理器、显示器、存储器、输入设备、网络接口等。计算设备可以是移动设备。例如，移动设备可包括蜂窝电话(例如，智能电话或标准蜂窝电话)、便携式计算机、可穿戴设备(例如，手表、眼镜、镜片、服装和/或其类似者)、PDA和/或其他类似设备。计算设备还可以是台式计算机或其他形式的非移动计算机。

如本文所用，术语“支付设备”可以指便携式金融设备、电子支付设备、支付卡(例如，信用卡或借记卡)、礼品卡、智能卡、智能介质、工资卡、医疗保健卡、腕带、含有账户信息的机器可读介质、钥匙链设备或吊坠、RFID应答器、零售商折扣或会员卡、蜂窝式电话、电子钱包移动应用程序、PDA、寻呼机、安全卡、计算机、访问卡、无线终端、应答器等。在一些非限制性实施方案或方面中，支付设备可包括用以存储信息(例如，账户标识符、账户持有人姓名等)的易失性或非易失性存储器。

如本文所用，术语“服务器”和/或“处理器”可以指或包括由诸如互联网的网络环境中的多方操作或促进所述多方的通信和处理的一个或多个计算设备，但应了解，可通过一个或多个公共或专用网络环境促进通信，并且可能有各种其他布置。另外，在网络环境中直接或间接通信的多个计算设备(例如，服务器、POS设备、移动设备等)可构成“系统”。如本文所使用，对“服务器”或“处理器”的提及可指陈述为实施先前步骤或功能的先前所述服务器和/或处理器、不同的服务器和/或处理器，和/或服务器和/或处理器的组合。例如，如在说明书和权利要求书中所使用，陈述为实施第一步骤或功能的第一服务器和/或第一处理器可指代陈述为实施第二步骤或功能的相同或不同服务器和/或处理器。

如本文所使用，术语“收单方”可以指由交易服务提供商许可和/或由交易服务提供商批准以使用交易服务提供商的便携式金融设备发起交易的实体。收单方还可以指由收单方或代表收单方操作的一个或多个计算机系统，诸如执行一个或多个软件应用程序的服务器计算机(例如，“收单方服务器”)。“收单方”可以是商家银行，或者在一些情况下，商家系统可以是收单方。所述交易可以包括原始信用交易(OCT)和账户资金交易(AFT)。交易服务提供商可以授权收单方签署服务提供商的商家以使用交易服务提供商的便携式金融设备发起交易。收单方可以与支付服务商签约，以使服务商能够赞助商家。收单方可以根据交易服务提供商的规章监视支付服务商的合规性。收单方可以对支付服务商进行尽职调查，并确保在签署受赞助商家之前进行适当的尽职调查。收单方可以对他们运营或赞助的所有交易服务提供商程序承担责任。收单方可以对其支付服务商以及其或其支付服务商赞助的商家的行为负责。

如本文所使用，术语“支付网关”可以指实体和/或由这种实体或代表这种实体操作的支付处理系统，所述实体(例如，商家服务提供商、支付服务提供商、支付服务商、与收单方签约的支付服务商、支付集合商等)将支付服务(例如，交易服务提供商支付服务、支付处理服务等)提供给一个或多个商家。支付服务可以与由交易服务提供商管理的便携式金融设备的使用相关联。如本文所使用，术语“支付网关系统”可以指由支付网关或代表支付网关操作的一个或多个计算机系统、计算机设备、服务器、服务器群组等。

如本文所使用，术语“认证系统”可指认证用户和/或账户的一个或多个计算设备，例如但不限于交易处理系统、商家系统、发行方系统、支付网关、第三方认证服务等。

如本文所使用，术语“请求”、“响应”、“请求消息”和“响应消息”可以指用于在两个或更多个部件或单元之间传送数据的一个或多个消息、数据包、信号和/或数据结构。

如本文所使用，术语“应用程序编程接口”(API)可以指允许不同系统或(硬件和/或软件)系统部件之间的通信的计算机代码。例如，API可包括可由其他系统或其他(硬件和/或软件)系统部件使用和/或访问的功能调用、功能、子例程、通信协议、字段等。

如本文所使用，术语“用户界面”或“图形用户界面”是指生成的显示，例如用户可以直接或间接(例如，通过键盘、鼠标、触摸屏等)与其交互的一个或多个图形用户界面(GUI)。

由于针对不同异常的交易特征的强度或贡献不均匀，现有自动剖析算法可能无法直接应用于交易数据。例如，交易通道可能是针对提现异常的强指标或贡献因素，但却是针对与大型本地音乐活动相关联的异常的相对较弱的指标或贡献因素。此外，现有自动剖析系统不能基于未标记的大规模流数据来快速自动剖析异常。

本公开的非限制性实施方案或方面提供了进行以下操作的方法、系统和计算机程序产品：接收由异常检测系统在多个交易内识别为异常的多个异常交易；选择多个异常交易的异常交易子集，其中异常交易子集与多个特征相关联；基于与异常交易子集相关联的多个特征和与异常交易子集相关联的多个特征的分布，生成与关联于异常交易子集的多个特征相关联的多个权重；基于与异常交易子集相关联的多个特征和与关联于异常交易子集的多个特征相关联的多个权重，使用无监督聚类算法将异常交易子集分割成多个异常交易段；以及利用特征简档来标记多个段的段子集，该特征简档包括来自段子集的每个段的与该段中的异常交易的多个特征的多个权重中的最高权重相关联的特征。

以此方式，本公开的非限制性实施方案或方面可以提供一种使用基于分布的特征评分来实时或接近实时地自动剖析异常的框架，该框架使得无监督聚类算法能够更好地学习异常的模式，并且对于该框架，不同聚类社区中的特征评分可以突出显示每个社区的相似性以提供社区简档或报告。此外，本公开的非限制性实施方案或方面可以用作任何当前实时异常检测监视系统的扩展，诸如用于欺诈剖析、事件剖析、实时支付(RTP)等。

作为示例，本公开的非限制性实施方案或方面可以提供基于分布的新颖特征评分，该新颖特征评分使得聚类算法能够更多地关注对于特定异常是较强指标或贡献因素的特征，其中无监督聚类算法使得能够使用作为丢失标签的交易以及/或者优化多个聚类。此外，本公开的非限制性实施方案或方面可以将异常交易社区与正常交易社区分开以及/或者基于特征分布评分来对异常社区进行剖析。此外，本公开的非限制性实施方案或方面可以在不破坏分布的情况下，使用如Steven K.Thompson在1987年的名称为“Sample Sizefor Estimating Multinomial Proportions”的论文中所公开的采样方法对交易进行采样以使大规模数据集的近实时性成为可能(例如可以选择多个异常交易的异常交易子集等)，该论文的全部内容以引用的方式并入本文中。

现在参考图1，图1是其中可实现本文中描述的设备、系统、方法和/或产品的示例环境100的图。如图1中所示，环境100包括交易处理网络101、用户设备112和/或通信网络116，交易处理网络可包括商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108、发行方系统110。交易处理网络101、商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108、发行方系统110和/或用户设备112可通过有线连接、无线连接或有线连接和无线连接的组合互连(例如，建立连接以进行通信等)。

商家系统102可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从支付网关系统104、收单方系统106、交易服务提供商系统108、发行方系统110和/或用户设备112接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到支付网关系统104、收单方系统106、交易服务提供商系统108、发行方系统110和/或用户设备112。商家系统102可包括能够通过与用户设备112的通信连接(例如，NFC通信连接、RFID通信连接、通信连接等)从用户设备112接收信息和/或数据并且/或者通过所述通信连接将信息和/或数据传送到用户设备112的设备。例如，商家系统102可包括计算设备，例如服务器、服务器群组、客户端设备、客户端设备群组和/或其他类似设备。在一些非限制性实施方案或方面中，商家系统102可以与本文所描述的商家相关联。在一些非限制性实施方案或方面中，商家系统102可以包括能够供商家用以与用户进行支付交易的一个或多个设备，诸如计算机、计算机系统和/或外围设备。例如，商家系统102可包括POS设备和/或POS系统。

支付网关系统104可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从商家系统102、收单方系统106、交易服务提供商系统108、发行方系统110和/或用户设备112接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到商家系统102、收单方系统106、交易服务提供商系统108、发行方系统110和/或用户设备112。例如，支付网关系统104可包括计算设备，诸如服务器、服务器群组和/或其他类似设备。在一些非限制性实施方案或方面中，支付网关系统104与本文所描述的支付网关相关联。

收单方系统106可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从商家系统102、支付网关系统104、交易服务提供商系统108、发行方系统110和/或用户设备112接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到商家系统102、支付网关系统104、交易服务提供商系统108、发行方系统110和/或用户设备112。例如，收单方系统106可包括计算设备，诸如服务器、服务器群组和/或其他类似设备。在一些非限制性实施方案或方面中，收单方系统106可与本文所描述的收单方相关联。

交易服务提供商系统108可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从商家系统102、支付网关系统104、收单方系统106、发行方系统110和/或用户设备112接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到商家系统102、支付网关系统104、收单方系统106、发行方系统110和/或用户设备112。例如，交易服务提供商系统108可包括计算设备，诸如服务器(例如，交易处理服务器等)、服务器群组和/或其他类似设备。在一些非限制性实施方案或方面中，交易服务提供商系统108可与本文所描述的交易服务提供商相关联。在一些非限制性实施方案或方面中，交易服务提供商系统108可以包括并且/或者访问包括交易数据的一个或多个内部和/或外部数据库。

发行方系统110可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或用户设备112接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或用户设备112。例如，发行方系统110可包括计算设备，诸如服务器、服务器群组和/或其他类似设备。在一些非限制性实施方案或方面中，发行方系统110可与本文所描述的发行方机构相关联。例如，发行方系统110可与发行支付账户或工具(例如，信用账户、借记账户、信用卡、借记卡等)给用户(例如，与用户设备112相关联的用户等)的发行方机构相关联。

在一些非限制性实施方案或方面中，交易处理网络101包括通信路径中用于处理交易的多个系统。例如，交易处理网络101可包括通信路径(例如，通信路径、通信信道、通信网络等)中的商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或发行方系统110)以用于处理电子支付交易。例如，交易处理网络101可经由商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或发行方系统110之间的通信路径来处理(例如，发起、进行、授权等)电子支付交易。

用户设备112可包括一个或多个设备，该一个或多个设备能够(例如，通过通信网络116等)从商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或发行方系统110接收信息和/或数据，并且/或者(例如，通过通信网络116等)将信息和/或数据传送到商家系统102、支付网关系统104、收单方系统106、交易服务提供商系统108和/或发行方系统110。例如，用户设备112可包括客户端设备等。在一些非限制性实施方案或方面中，用户设备112能够通过短程无线通信连接(例如，NFC通信连接、RFID通信连接、通信连接等)(例如，从商家系统102等)接收信息，和/或通过短程无线通信连接传送信息(例如，到商家系统102)。在一些非限制性实施方案或方面中，用户设备112可以包括与用户设备112相关联的应用程序，诸如存储在用户设备112上的应用程序、在用户设备112上存储并且/或者执行的移动应用程序(例如移动设备应用程序、针对移动设备的本机应用程序、针对移动设备的移动云应用程序、电子钱包应用程序、发行方银行应用程序等)。在一些非限制性实施方案或方面中，对于支付网络中的一个或多个交易，用户设备112可以与支付网络中的发送方账户和/或接收账户相关联。

通信网络116可以包括一个或多个有线和/或无线网络。例如，通信网络116可包括蜂窝网络(例如长期演进(LTE)网络、第三代(3G)网络、第四代(4G)网络、第五代(5G)网络、码分多址接入(CDMA)网络等)、公用陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如公共交换电话网络(PSTN)、专用网络、特设网络、内联网、互联网、基于光纤的网络、云计算网络等，和/或这些或其他类型的网络的组合。

提供图1所示的设备和系统的数目和布置作为实例。可存在额外设备和/或系统、更少设备和/或系统、不同设备和/或系统，和/或以与图1所示的那些不同的方式布置的设备和/或系统。此外，可在单个设备和/或系统内实施图1所示的两个或更多个设备和/或系统，或图1所示的单个设备和/或系统可实施为多个分布式设备和/或系统。另外或替代地，环境100的一组设备和/或系统(例如，一个或多个设备或系统)可执行被描述为由环境100的另一组设备和/或系统执行的一个或多个功能。

现在参考图2，图2是设备200的示例部件的图。设备200可对应于商家系统102的一个或多个设备、支付网关系统104的一个或多个设备、收单方系统106的一个或多个设备、交易服务提供商系统108的一个或多个设备、发行方系统110的一个或多个设备，和/或用户设备112(例如，用户设备112的系统的一个或多个设备等)。在一些非限制性实施方案或方面中，商家系统102的一个或多个设备、支付网关系统104的一个或多个设备、收单方系统106的一个或多个设备、交易服务提供商系统108的一个或多个设备、发行方系统110的一个或多个设备和/或用户设备112(例如，用户设备112的系统的一个或多个设备等)可包括至少一个设备200和/或设备200的至少一个部件。如图2所示，设备200可包括总线202、处理器204、存储器206、存储部件208、输入部件210、输出部件212，和通信接口214。

总线202可以包括准许设备200的部件之间的通信的部件。在一些非限制性实施方案或方面中，处理器204可以在硬件、软件，或硬件和软件的组合中实施。例如，处理器204可包括处理器(例如，中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)等)、微处理器、数字信号处理器(DSP)和/或可以被编程为执行功能的任何处理部件(例如，现场可编程门阵列(FPGA)、专用集成电路(ASIC)等)。存储器206可以包括随机存取存储器(RAM)、只读存储器(ROM)，以及/或者存储供处理器204使用的信息和/或指令的另一类型的动态或静态存储设备(例如闪存存储器、磁存储器、光学存储器等)。

存储部件208可存储与设备200的操作和使用相关联的信息和/或软件。例如，存储部件208可以包括硬盘(例如，磁盘、光盘、磁光盘、固态磁盘等)、压缩光盘(CD)、数字多功能光盘(DVD)、软盘、盒带、磁带和/或另一类型的计算机可读介质，以及对应的驱动器。

输入部件210可以包括准许设备200例如通过用户输入(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关、麦克风等)接收信息的部件。另外或替代地，输入部件210可以包括用于感测信息的传感器(例如全球定位系统(GPS)部件、加速度计、陀螺仪、致动器等)。输出部件212可以包括从设备200提供输出信息的部件(例如，显示器、扬声器、一个或多个发光二极管(LED)等)。

通信接口214可以包括使得设备200能够诸如经由有线连接、无线连接或有线连接和无线连接的组合与其他设备通信的收发器类部件(例如收发器、单独的接收器和发射器等)。通信接口214可以准许设备200接收来自另一设备的信息和/或向另一设备提供信息。例如，通信接口214可包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、接口、蜂窝网络接口等。

设备200可以执行本文描述的一个或多个过程。设备200可以基于处理器204(例如中央处理单元(CPU)、图形处理单元(GPU)等)来执行这些过程，该处理器执行由诸如存储器206和/或存储部件208的计算机可读介质存储的软件指令。计算机可读介质(例如，非暂时性计算机可读介质)在本文中定义为非暂时性存储器设备。非暂态存储器设备包括位于单个物理存储设备内部的存储器空间或散布于多个物理存储设备上的存储器空间。

软件指令可以经由通信接口214从另一计算机可读介质或从另一设备读取到存储器206和/或存储部件208中。当执行时，存储在存储器206和/或存储部件208中的软件指令可以使处理器204执行本文中所描述的一个或多个过程。附加地或替代地，硬接线电路系统可以代替或结合软件指令使用以执行本文所述的一个或多个过程。因此，本文所描述的实施方案或方面不限于硬件电路系统和软件的任何特定组合。

存储器206和/或存储部件208可包括数据存储设备或一个或多个数据结构(例如，数据库等)。设备200能够从存储器206和/或存储部件208中的数据存储设备或一个或多个数据结构接收信息、将信息存储在所述数据存储设备或一个或多个数据结构中、向所述数据存储设备或一个或多个数据结构传送信息或搜索其中存储的信息。

提供图2中示出的部件的数目和布置作为实例。在一些非限制性实施方案或方面中，设备200可以包括额外部件、更少部件、不同部件或以与图2所示的那些不同的方式布置的部件。另外或替代地，设备200的一组部件(例如一个或多个部件)可以执行被描述为由设备200的另一组部件执行的一个或多个功能。

现在参考图3A和图3B，图3A和图3B是过程300自动剖析异常的非限制性实施方案或方面的流程图。在一些非限制性实施方案或方面中，过程300中的一个或多个步骤可(例如完全、部分地，等等)由交易服务提供商系统108(例如交易服务提供商系统108的一个或多个设备)执行。在一些非限制性实施方案或方面中，过程300的一个或多个步骤可以(例如完全地、部分地等)由独立于或者包括交易服务提供商系统108的另一设备或设备群组来执行，该另一设备或设备群组诸如(例如商家系统102的一个或多个设备)、支付网关系统104(例如支付网关系统104的一个或多个设备)、收单方系统106(例如收单方系统106的一个或多个设备)、发行方系统110(例如发行方系统110的一个或多个设备)和/或用户设备112。

如图3A中所示出，在步骤302处，过程300包括生成在多个交易内被识别为异常的多个异常交易。例如，在于交易处理网络(例如交易处理网络101等)中处理多个交易期间，交易服务提供商系统108可以使用异常检测系统生成在多个交易内被识别为异常的多个异常交易。作为示例，在于交易处理网络(例如交易处理网络101等)中处理交易期间，交易服务提供商系统108可以基于交易参数和/或与交易相关联的特征使用异常检测系统来确定交易是否是被识别为异常的异常交易。在这种示例中，交易服务提供商系统108可以生成或者提供被识别为异常的交易作为异常交易，并且/或者异常交易可以与多个特征相关联。

异常检测系统可以包括欺诈检测系统或模型、事件剖析系统或模型、实时支付(RTP)系统或模型等。欺诈检测系统或模型可以被配置成接收与交易相关联的交易参数，并且基于交易参数将交易中的欺诈交易识别为异常。事件剖析系统或模型可以被配置成接收与交易相关联的交易参数，并且基于交易参数将与交易中的预定事件(例如自动柜员机(ATM)兑现、大型音乐节、体育赛事等)相关联的交易识别为异常。实时支付系统或模型可以被配置成接收与交易(例如商业和个人对个人(P2P)支付交易等)相关联的交易参数)，并且基于交易参数将交易中用于监视和/或警告的交易识别为异常。

在一些非限制性实施方案或方面中，异常检测系统可以(例如完全地、部分地等)由交易服务提供商系统108(例如交易服务提供商系统108的一个或多个设备)来实现。在一些非限制性实施方案或方面中，异常检测系统可以(例如完全地、部分地等)由独立于或者包括交易服务提供商系统108的另一设备或设备群组来实现，该另一设备或设备群组诸如(例如商家系统102的一个或多个设备)、支付网关系统104(例如支付网关系统104的一个或多个设备)、收单方系统106(例如收单方系统106的一个或多个设备)、发行方系统110(例如发行方系统110的一个或多个设备)和/或用户设备112。

交易可以与支付交易(例如电子支付网络中的支付交易等)相关联以及/或者对应于支付交易，并且/或者包括与交易相关联的交易数据(例如与交易相关联的交易参数等)。例如，交易数据可以包括与交易相关联的交易参数，诸如账户标识符(例如PAN等)、交易金额、交易日期和/或时间、与交易相关联的产品和/或服务的类型、货币兑换率、货币类型、商家类型、商家名称、商家位置等。然而，非限制性实施方案或方面不限于此，并且交易的交易参数可以包括任何数据，包括与任何类型的交易相关联的任何类型的参数。

与交易(例如异常交易等)相关联的特征(例如分类特征、数字特征、局部特征、图形特征或嵌入等)可以包括交易的交易参数、基于交易参数确定的特征(例如使用特征工程化等)等。然而，非限制性实施方案或方面不限于此，并且交易的特征可以包括任何数据，包括可从与交易相关联的数据中生成的任何类型的特征。

如图3A中所示出，在步骤304处，过程300包括接收由异常检测系统在多个交易内识别为异常的多个异常交易。例如，交易服务提供商系统108可以接收由异常检测系统在多个交易内识别为异常的多个异常交易。作为示例，交易服务提供商系统108可以从异常检测系统接收由异常检测系统在多个交易内识别为异常的多个异常交易(例如被识别为欺诈交易的多个异常交易等)。

如图3A中所示出，在步骤306处，过程300包括选择多个异常交易的异常交易子集。例如，交易服务提供商系统108可以选择(例如随机采样等)多个异常交易中的异常交易子集。在这种示例中，异常交易子集可以与多个特征相关联。作为示例，异常交易子集中的每个异常交易可以与多个特征相关联。

还参考图4，该图是用于选择用于同时估计多项式总体的参数的样本大小的表400，交易服务提供商系统108可以通过基于多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定异常交易子集的样本大小n，而选择多个异常交易的异常交易子集。作为示例，交易服务提供商系统108可以在不破坏分布的情况下对多个异常交易进行采样(例如随机选择多个异常交易的异常交易子集等)，这可以通过使用如Steven K.Thompson在1987年的名称为“Sample Size for Estimating Multinomial Proportions”的论文中公开的用于确定样本大小的采样方法来实现针对大规模数据集的近实时自动剖析，该论文的全部内容以引用的方式并入本文中。

如图3A中所示出，在步骤308处，过程300包括生成与异常交易子集的特征相关联的权重。例如，交易服务提供商系统108可以基于与异常交易子集相关联的多个特征和与异常交易子集相关联的多个特征的分布来生成与关联于异常交易子集的多个特征相关联的多个权重。作为示例，交易服务提供商系统108可以接收异常交易子集中的异常交易，并且基于异常交易的特征和该特征的分布来生成针对异常交易的特征中的每个特征的权重。

还参考图5，该图是用于特征分布评分的过程的非限制性实施方案或方面的具体实现500的图，交易服务提供商系统108可以根据以下等式(1)和(2)来生成与关联于异常交易子集的多个特征相关联的多个权重：

其中x_i是多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与特征x_i相关联的多个权重中的权重。例如，根据非限制性实施方案或方面的用于特征分布评分的过程可以通过基于分布对特征进行加权来提高自动剖析过程的性能，该自动剖析过程可以包括基于特征分布评分进行社区剖析以自动剖析聚类社区，从而对用于社区剖析的非必要特征给予较少权重以使得聚类或分割能够更多关注更相关的特征。相比之下，由于交易特征的不均匀相关性，现有自动剖析系统不能直接应用于交易数据。例如，通道可能与识别与兑现异常相关联的交易非常相关，但与识别与大型本地音乐活动(也是异常)相关联的交易不太相关。

如图3A中所示出，在步骤310处，过程300包括将异常交易子集分割成多个异常交易段。例如，交易服务提供商系统108可以基于与异常交易子集相关联的多个特征和与关联于异常交易子集的多个特征相关联的多个权重，使用无监督聚类算法将异常交易子集分割成多个异常交易段。在这种示例中，无监督聚类算法可用于将异常交易子集分割或者聚类成多个异常交易段，因为异常交易子集(以及从中选择子集的多个异常交易)可能是未标记的(例如不与标记相关联等)。

用于将异常交易子集分割成多个异常交易段的无监督聚类算法可以包括基于模变换的聚类、K均值聚类、基于密度的带噪声应用空间聚类(DBSCAN)等。在这种示例中，可以通过无监督聚类算法来优化多个段或聚类社区。

如图3A中所示出，在步骤312处，过程300包括利用来自段子集中的每个段的最高加权特征来标记多个异常交易段的段子集。例如，交易服务提供商系统108可以利用特征简档来标记多个段的段子集(例如社区等)，该特征简档包括来自段子集的每个段的与该段中的异常交易的多个特征的多个权重中的最高权重相关联的特征。作为示例，交易服务提供商系统108可以接收多个异常交易段，并且对于每个段，将来自该段的具有最高权重的特征指派给针对包括该段的子集或社区的标记或特征简档。在这种示例中，如果对于段或社区没有找到或者不存在最高加权特征，则该段中的交易可以被确定为非异常交易或正常交易(例如不是异常社区的一部分等)。以此方式，交易服务提供商系统108可以生成标记有其中所包括的段的最高加权特征的至少一个异常段子集或异常社区，以及包括没有找到或者不存在最高加权特征的一个或多个段的至少一个非异常社区或正常社区。在这种示例中，可以生成多个异常段子集或异常社区以区分不同类型的实际异常(例如不同类型的欺诈等)。

如图3A中所示出，在步骤314处，过程300包括接收当前交易。例如，交易服务提供商系统108可以接收交易处理网络(例如交易处理网络101等)中当前正在处理的当前交易。作为示例，交易服务提供商系统108可以接收与当前交易相关联的交易参数和/或特征。例如并且还参考图6，该图是用于自动剖析由实时支付(RTP)系统识别的异常的过程的非限制性实施方案或方面的具体实现600的图，RTP系统602可以接收与交易处理网络中当前正在处理的交易相关联的原始交易数据。

如图3B中所示出，在步骤316处，过程300包括生成被识别为当前异常的当前异常交易。例如，交易服务提供商系统108可以使用异常检测系统生成被识别为当前异常的当前异常交易。作为示例，交易服务提供商系统108可以使用异常检测系统以将当前交易识别为异常交易，并且生成被识别为当前异常的当前异常交易。例如并且再次参考图6，RTP系统602可以对与当前交易相关联的交易数据执行特征工程化、交易风险评分等，以将当前交易识别为异常，并且提供当前交易作为当前异常交易和/或待被主动监视的交易。

如图3B中所示出，在步骤318处，过程300包括自动标记当前异常交易。例如，交易服务提供商系统108可以通过将与当前异常交易相关联的一个或多个特征与特征简档进行比较来自动标记当前异常交易。作为示例，响应于与当前异常交易相关联的一个或多个特征的阈值数量与特征简档中的特征的阈值数量相匹配，交易服务提供商系统108可以利用特征简档来自动标记当前异常交易。例如并且再次参考图6，实时自动剖析(RTAP)系统604可以从RTP系统602接收与当前异常交易相关联的参数和/或特征，将与当前异常交易相关联的参数和/或特征与标记有其最高加权特征的一个或多个异常社区子集的一个或多个标记或者特征简档进行比较，并且利用与特征简档相关联的一个或多个子集或社区的特征简档来自动标记当前异常交易，该特征简档与和当前异常交易相关联的一个或多个特征的阈值数量相匹配。

在一些非限制性实施方案或方面中，交易服务提供商系统108可以提供与指派给当前异常交易的特征简档或社区相关联的报告。在一些非限制性实施方案或方面中，响应于当前异常交易被指派给异常社区，交易服务提供商系统108(和/或发行方系统110等)可以自动拒绝交易处理网络(例如交易处理网络101等)中的当前异常交易。例如并且再次参考图6，RTAP系统604可以自动通知交易服务提供商系统108和/或发行方系统110当前异常交易是实际异常，并且响应于接收到通知，交易服务提供商系统108和/或发行方系统110可以自动拒绝并且/或者暂停RTP网络中对当前异常交易的处理。作为示例，RTAP系统604可以自动通知交易服务提供商系统108和/或发行方系统110当前异常交易不是实际异常(例如不是真实欺诈等)，并且响应于接收到通知，交易服务提供商系统108和/或发行方系统110可以自动授权并且/或者继续RTP网络中对当前异常交易的处理。

如图3B中所示出，在步骤320处，过程300包括更新特征简档。例如，交易服务提供商系统108可以基于当前异常交易来更新特征简档。作为示例，交易服务提供商系统108可以基于当前异常交易来更新针对包括当前异常交易所指派的段的子集或社区的特征简档。在这种示例中，交易服务提供商系统108可以利用所更新的特征简档来自动重新标记段子集或社区，该所更新的特征简档包括来自现在包括有当前异常交易的段的特征。例如，交易服务提供商系统108可以在处理下一当前异常交易之前自动重新标记段子集或社区。

尽管已出于说明和描述的目的详细描述了实施方案或方面，但应当理解，这种细节仅用于所述目的，并且所述实施方案或方面不限于所公开的实施方案或方面，而是相反，旨在涵盖在所附权利要求书的精神和范围内的修改和等效布置。例如，应当理解，本公开预期，尽可能地，任何实施方案或方面的一个或多个特征可以与任何其他实施方案或方面的一个或多个特征组合。实际上，这些特征中的任一个可以未在权利要求书中具体地叙述和/或在说明书中公开的方式组合。尽管下文列出的每项从属权利要求可能直接取决于仅一项权利要求，但可能的实施方式的公开内容包括与权利要求集中的每项其他权利要求相组合的每项从属权利要求。

Claims (20)

1.一种计算机实现的方法，包括：

利用至少一个处理器接收由异常检测系统在多个交易内识别为异常的多个异常交易；

利用所述至少一个处理器选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；

利用所述至少一个处理器，基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；

利用所述至少一个处理器，基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及

利用所述至少一个处理器利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

2.如权利要求1所述的计算机实现的方法，其中选择所述多个异常交易的所述异常交易子集包括基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n。

3.如权利要求1所述的计算机实现的方法，其中根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

4.如权利要求1所述的计算机实现的方法，其中所述无监督聚类算法包括基于模变换的聚类算法。

5.如权利要求1所述的计算机实现的方法，还包括：

在于交易处理网络中处理所述多个交易期间，利用所述至少一个处理器使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

6.如权利要求5所述的计算机实现的方法，其中所述异常检测系统包括欺诈检测模型，并且其中所述多个异常交易被识别为欺诈交易。

7.如权利要求5所述的计算机实现的方法，还包括：

利用所述至少一个处理器接收所述交易处理网络中当前正在处理的当前交易；

利用所述至少一个处理器使用所述异常检测系统来生成被识别为当前异常的当前异常交易；

利用所述至少一个处理器通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及

利用所述至少一个处理器基于所述当前异常交易来更新所述特征简档。

8.一种系统，包括：

至少一个处理器，所述至少一个处理器被编程为并且/或者被配置成：

接收由异常检测系统在多个交易内识别为异常的多个异常交易；

选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；

基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；

基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及

利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

9.如权利要求8所述的系统，其中所述至少一个处理器被编程为并且/或者被配置成：通过基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n，而选择所述多个异常交易的所述异常交易子集。

10.如权利要求8所述的系统，其中所述至少一个处理器被编程为并且/或者被配置成：根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

11.如权利要求8所述的系统，其中所述无监督聚类算法包括基于模变换的聚类算法。

12.如权利要求8所述的系统，其中所述至少一个处理器被进一步编程为并且/或者被进一步配置成：

在于交易处理网络中处理所述多个交易期间，使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

13.如权利要求12所述的系统，其中所述异常检测系统包括欺诈检测模型，并且其中所述多个异常交易被识别为欺诈交易。

14.如权利要求12所述的系统，其中所述至少一个处理器被进一步编程为并且/或者被进一步配置成：

接收所述交易处理网络中当前正在处理的当前交易；

使用所述异常检测系统来生成被识别为当前异常的当前异常交易；

通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及

基于所述当前异常交易来更新所述特征简档。

15.一种计算机程序产品，包括非暂态计算机可读介质，所述非暂态计算机可读介质包括程序指令，所述程序指令在由至少一个处理器执行时使得所述至少一个处理器：

接收由异常检测系统在多个交易内识别为异常的多个异常交易；

选择所述多个异常交易的异常交易子集，其中所述异常交易子集与多个特征相关联；

基于与所述异常交易子集相关联的所述多个特征和与所述异常交易子集相关联的所述多个特征的分布，生成与关联于所述异常交易子集的所述多个特征相关联的多个权重；

基于与所述异常交易子集相关联的所述多个特征和与关联于所述异常交易子集的所述多个特征相关联的所述多个权重，使用无监督聚类算法将所述异常交易子集分割成多个异常交易段；以及

利用特征简档来标记所述多个段的段子集，所述特征简档包括来自所述段子集的每个段的与所述段中的所述异常交易的所述多个特征的所述多个权重中的最高权重相关联的特征。

16.如权利要求15所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器通过基于所述多个异常交易的多项式总体的处于显著性水平α的真值的距离d来确定所述异常交易子集的样本大小n，而选择所述多个异常交易的所述异常交易子集。

17.如权利要求15所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器根据以下等式来生成与关联于所述异常交易子集的所述多个特征相关联的所述多个权重：

其中x_i是所述多个特征中的特征，其中x_i:p(x_i)i＝1,2,…,K，其中i是特征类别，其中K是特征类别数量，其中p(x_i)是所述特征的分布，其中p(x₁)>p(x₂)>…>p(x_K)，其中q_N(x)是概率分布的累积和，其中N是选定特征类别数量，并且其中s(x)是与所述特征x_i相关联的所述多个权重中的权重。

18.如权利要求15所述的计算机程序产品，其中所述无监督聚类算法包括基于模变换的聚类算法。

19.如权利要求15所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器：

在于交易处理网络中处理所述多个交易期间，使用所述异常检测系统来生成在所述多个交易内被识别为异常的所述多个异常交易。

20.如权利要求19所述的计算机程序产品，其中所述程序指令在由所述至少一个处理器执行时进一步使得所述至少一个处理器：

接收所述交易处理网络中当前正在处理的当前交易；

使用所述异常检测系统来生成被识别为当前异常的当前异常交易；

通过将与所述当前异常交易相关联的一个或多个特征与所述特征简档进行比较来自动标记所述当前异常交易，其中响应于与所述当前异常交易相关联的所述一个或多个特征的阈值数量与所述特征简档中的特征的阈值数量相匹配，利用所述特征简档来标记所述当前异常交易；以及

基于所述当前异常交易来更新所述特征简档。