DE102021123579A1 - Identifizieren von schwesterknoten auf der grundlage eines kontextknotens - Google Patents

Identifizieren von schwesterknoten auf der grundlage eines kontextknotens Download PDF

Info

Publication number
DE102021123579A1
DE102021123579A1 DE102021123579.0A DE102021123579A DE102021123579A1 DE 102021123579 A1 DE102021123579 A1 DE 102021123579A1 DE 102021123579 A DE102021123579 A DE 102021123579A DE 102021123579 A1 DE102021123579 A1 DE 102021123579A1
Authority
DE
Germany
Prior art keywords
node
message
network
network graph
pattern
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021123579.0A
Other languages
English (en)
Inventor
Srinivasan S. Muthuswamy
Subhendu Das
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE102021123579A1 publication Critical patent/DE102021123579A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/901Indexing; Data structures therefor; Storage structures
    • G06F16/9024Graphs; Linked lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/9038Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/04Trading; Exchange, e.g. stocks, commodities, derivatives or currency exchange
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/08Insurance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/566Grouping or aggregating service requests, e.g. for unified processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Technology Law (AREA)
  • Marketing (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein durch einen Computer ausgeführtes Verfahren verwendet einen Kontextknoten, um Schwesterknoten zu identifizieren. Das Verfahren umfasst ein Empfangen von Eingabedaten durch einen Prozessor. Die Eingabedaten umfassen eine Mehrzahl von Nachrichten, wobei jede Nachricht einen Satz von Nachrichtendaten enthält. Das Verfahren umfasst des Weiteren ein Erzeugen, durch einen Musterdetektor und auf der Grundlage der Eingabedaten, eines Netzwerkgraphen, wobei der Netzwerkgraph eine Mehrzahl von Knoten umfasst. Das Verfahren umfasst auch ein Auswählen eines ersten Kontextknotens. Das Verfahren umfasst ein Feststellen eines ersten Musters für den ersten Kontextknoten. Das Verfahren umfasst des Weiteren ein Identifizieren, auf der Grundlage des ersten Musters, eines ersten Schwesterknotens. Das Verfahren umfasst auch ein Ausgeben, durch eine Netzwerkschnittstelle, des ersten Schwesterknotens und des Netzwerkgraphen.

Description

  • HINTERGRUND
  • Die vorliegende Offenbarung betrifft Netzwerkgraphen und, genauer gesagt, ein automatisches Identifizieren eines Hot Spots in einem Netzwerkgraphen.
  • Es besteht Bedarf an einer Überwachung von Transaktionen und Aktivität von Kontoinhabern in Institutionen, um betrügerische oder kriminelle Aktivität zu erkennen. Ein Erkennen von Aktivität, die auf betrügerische oder kriminelle Aktivität hinweist, ist aufgrund dessen, dass eine große Menge an Informationen eine Rolle spielt, wie beispielsweise mehrere Transaktionen, eine große Anzahl an Parteien und die Einfachheit der Durchführung der Transaktionen, zunehmend schwierig.
  • KURZDARSTELLUNG
  • Offengelegt wird ein durch einen Computer ausgeführtes Verfahren zur Verwendung eines Kontextknotens, um Schwesterknoten zu identifizieren. Das Verfahren umfasst ein Empfangen, durch einen Prozessor, von Eingabedaten, wobei die Eingabedaten eine Mehrzahl von Nachrichten umfassen, wobei jede Nachricht einen Satz von Nachrichtendaten enthält. Das Verfahren umfasst des Weiteren ein Erzeugen, durch einen Musterdetektor und auf der Grundlage der Eingabedaten, eines Netzwerkgraphen, wobei der Netzwerkgraph eine Mehrzahl von Knoten umfasst. Das Verfahren umfasst auch ein Auswählen eines ersten Kontextknotens, wobei der erste Kontextknoten eine erste Eigenschaft aufweist. Das Verfahren umfasst ein Feststellen eines ersten Musters für den ersten Kontextknoten. Das Verfahren umfasst des Weiteren ein Identifizieren, auf der Grundlage des ersten Musters, eines ersten Schwesterknotens, der die erste Eigenschaft aufweist. Das Verfahren umfasst auch ein Ausgeben, durch eine Netzwerkschnittstelle, des ersten Schwesterknotens und des Netzwerkgraphen. Weitere Aspekte der vorliegenden Offenbarung sind auf Systeme und Computerprogrammprodukte gerichtet, die eine mit dem vorstehend beschriebenen Verfahren konsistente Funktionalität enthalten.
  • Weitere Aspekte der vorliegenden Offenbarung sind auf Systeme und Computerprogrammprodukte gerichtet, die eine mit dem vorstehend beschriebenen Verfahren konsistente Funktionalität enthalten.
  • Die vorliegende Kurzdarstellung soll nicht jeden Aspekt, jede Ausführung und/oder jede Ausführungsform der vorliegenden Offenbarung veranschaulichen.
  • Figurenliste
  • Verschiedene Ausführungsformen werden hierin unter Bezugnahme auf einen anderen Gegenstand beschrieben. Insbesondere können einige Ausführungsformen unter Bezugnahme auf Verfahren beschrieben werden, wohingegen andere Ausführungsformen unter Bezugnahme auf Vorrichtungen und Systeme beschrieben werden können. Der Fachmann entnimmt der vorstehenden und der nachfolgenden Beschreibung jedoch, dass, vorbehaltlich anderer Angaben, zusätzlich zu einer beliebigen Kombination aus Merkmalen, die zu einem Typ von Gegenstand gehören, auch eine beliebige Kombination zwischen Merkmalen, die sich auf einen anderen Gegenstand beziehen, insbesondere zwischen Merkmalen der Verfahren und Merkmalen der Vorrichtungen und Systeme, als eine in diesem Schriftstück zu offenbarende Kombination betrachtet wird.
  • Die vorstehend definierten Aspekte und weitere hierin offenbarte Aspekte gehen aus den Beispielen von einer oder mehreren Ausführungsformen, die nachstehend zu beschreiben sind, hervor und werden unter Bezugnahme auf die Beispiele der einen oder der mehreren Ausführungsformen erklärt, auf welche die Erfindung jedoch nicht beschränkt ist. Verschiedene Ausführungsformen werden lediglich beispielhaft und unter Bezugnahme auf die folgenden Zeichnungen beschrieben:
    • 1 ist ein Blockschaltbild eines Datenverarbeitungssystems (DPS, data processing system) gemäß einer oder mehreren hierin offenbarten Ausführungsformen.
    • 2 stellt ein Blockschaltbild einer Ausführungsform eines Systems zum Verarbeiten von Daten einschließlich eines Erstellens eines Beziehungsnetzwerks, eines Definierens und Erkennens von Datenmustern gemäß einer oder mehreren hierin offenbarten Ausführungsformen dar.
    • 3 veranschaulicht eine Ausführungsform eines Netzwerkgraphen gemäß einer oder mehreren hierin offenbarten Ausführungsformen.
    • 4 stellt ein Blockschaltbild einer Ausführungsform eines Mustererkennungsmoduls gemäß einer oder mehreren hierin offenbarten Ausführungsformen dar.
    • 5 veranschaulicht einen Ablaufplan eines beispielhaften Verfahrens zum Identifizieren von Schwesterknoten auf der Grundlage eines Kontextknotens in einem Netzwerkgraphen gemäß einer oder mehreren hierin offenbarten Ausführungsformen.
  • AUSFÜHRLICHE BESCHREIBUNG
  • DATENVERARBEITUNGSSYSTEM IM ALLGEMEINEN
  • 1 ist ein Blockschaltbild eines beispielhaften Datenverarbeitungssystems (DPS) gemäß einer oder mehreren Ausführungsformen. In diesem veranschaulichenden Beispiel kann das DPS 100 einen Übertragungsbus 102, der Übertragungen zwischen einer Prozessoreinheit 104, einem Hauptspeicher 106, einem persistenten Speicher 108, einer Übertragungseinheit 110, einer E/A-Einheit 112 und einem Bildschirm 114 bereitstellen kann, umfassen.
  • Die Prozessoreinheit 104 dient zum Ausführen von Anweisungen für Software, die in den Hauptspeicher 106 geladen werden kann. Bei der Prozessoreinheit 104 kann es sich in Abhängigkeit von der jeweiligen Ausführung um eine Anzahl von Prozessoren, einen Mehrkernprozessor oder einen anderen Typ von Prozessor handeln. Eine Anzahl, wie hierin unter Bezugnahme auf ein Element verwendet, bedeutet ein oder mehrere Elemente. Des Weiteren kann die Prozessoreinheit 104 unter Verwendung einer Anzahl von heterogenen Prozessorsystemen ausgeführt sein, bei denen sich ein Hauptprozessor mit sekundären Prozessoren auf einem einzelnen Chip befindet. Als ein weiteres veranschaulichendes Beispiel kann es sich bei der Prozessoreinheit 104 um ein symmetrisches Mehrprozessorsystem handeln, das mehrere Prozessoren von demselben Typ enthält.
  • Der Hauptspeicher 106 und der persistente Speicher 108 sind Beispiele für Speichereinheiten 116. Eine Speichereinheit kann eine beliebige Hardwarekomponente sein, die Informationen wie zum Beispiel, ohne darauf beschränkt zu sein, Daten, Programmcode in funktionaler Form und/oder andere geeignete Informationen entweder temporär und/oder dauerhaft speichern kann. Der Hauptspeicher 106 in diesen Beispielen kann zum Beispiel ein Direktzugriffsspeicher oder eine beliebige andere geeignete flüchtige oder nicht flüchtige Speichereinheit sein. Der persistente Speicher 108 kann in Abhängigkeit von der jeweiligen Ausführung verschiedene Formen annehmen.
  • Zum Beispiel kann der persistente Speicher 108 eine oder mehrere Komponenten oder Einheiten enthalten. Zum Beispiel kann der persistente Speicher 108 ein Festplattenlaufwerk, ein Flashspeicher, eine wieder beschreibbare optische Platte, ein wieder beschreibbares Magnetband oder eine Kombination des Vorstehenden sein. Die von dem persistenten Speicher 108 verwendeten Datenträger können auch austauschbar sein. Zum Beispiel kann ein austauschbares Festplattenlaufwerk für den persistenten Speicher 108 verwendet werden.
  • Die Übertragungseinheit 110 in diesen Beispielen kann Übertragungen mit anderen DPS oder Einheiten vorsehen. In diesen Beispielen ist die Übertragungseinheit 110 eine Netzschnittstellenkarte. Die Übertragungseinheit 110 kann durch die Verwendung von physischen oder drahtlosen oder aber von sowohl physischen als auch drahtlosen Datenübertragungsverbindungen Übertragungen bereitstellen.
  • Die Eingabe-/Ausgabeeinheit 112 kann eine Eingabe und Ausgabe von Daten mit anderen Einheiten, die mit dem DPS 100 verbunden sein können, ermöglichen. Beispielsweise kann die Eingabe-/Ausgabeeinheit 112 eine Verbindung für eine Benutzereingabe durch eine Tastatur, eine Maus und/oder eine andere geeignete Eingabeeinheit bereitstellen. Des Weiteren kann die Eingabe-/Ausgabeeinheit 112 eine Ausgabe an einen Drucker senden. Der Bildschirm 114 kann einen Mechanismus bereitstellen, um einem Benutzer Informationen anzuzeigen.
  • Anweisungen für das Betriebssystem, Anwendungen und/oder Programme können sich in den Speichereinheiten 116 befinden, die mit der Prozessoreinheit 104 durch den Übertragungsbus 102 in Verbindung stehen. In diesen veranschaulichenden Beispielen befinden sich die Anweisungen in einer funktionalen Form auf dem persistenten Speicher 108. Diese Anweisungen können zur Ausführung durch die Prozessoreinheit 104 in den Hauptspeicher 106 geladen werden. Die Prozesse der verschiedenen Ausführungsformen können durch die Prozessoreinheit 104 unter Verwendung von durch einen Computer ausgeführten Anweisungen durchgeführt werden, welche sich in einem Hauptspeicher wie beispielsweise dem Hauptspeicher 106 befinden können.
  • Diese Anweisungen werden als Programmcode, durch einen Computer verwendbarer Programmcode oder durch einen Computer lesbarer Programmcode bezeichnet, der von einem Prozessor in der Prozessoreinheit 104 gelesen und ausgeführt werden kann. Der Programmcode in den verschiedenen Ausführungsformen kann auf verschiedenen physischen oder tangiblen, durch einen Computer lesbaren Datenträgern wie beispielsweise dem Hauptspeicher 106 oder dem persistenten Speicher 108 realisiert sein.
  • Der Programmcode 118 kann sich in einer funktionalen Form auf den durch einen Computer lesbaren Datenträgern 120 befinden, die selektiv austauschbar sind, und er kann zur Ausführung durch die Prozessoreinheit 104 auf das DPS 100 geladen oder an es übertragen werden. Der Programmcode 118 und die durch einen Computer lesbaren Datenträger 120 können in diesen Beispielen ein Computerprogrammprodukt 122 bilden. In einem Beispiel kann es sich bei den durch einen Computer lesbaren Datenträgern 120 um durch einen Computer lesbare Speichermedien 124 oder durch einen Computer lesbare Signaldatenträger 126 handeln. Die durch einen Computer lesbaren Datenträger 124 können zum Beispiel eine optische oder eine Magnetplatte umfassen, die in ein Laufwerk oder in eine andere Einheit eingelegt oder eingesetzt wird, das bzw. die Teil des persistenten Speichers 108 ist, um an eine Speichereinheit, wie beispielsweise ein Festplattenlaufwerk, übertragen zu werden, die Teil des persistenten Speichers 108 ist. Die durch einen Computer lesbaren Speichermedien 124 können auch die Form eines persistenten Speichers, wie beispielsweise eines Festplattenlaufwerks, eines Thumb-Drives oder eines Flashspeichers, annehmen, der mit dem DPS 100 verbunden ist. In einigen Fällen können die durch einen Computer lesbaren Speichermedien 124 möglicherweise nicht aus dem DPS 100 entfernt werden.
  • Alternativ kann der Programmcode 118 unter Verwendung der durch einen Computer lesbaren Signaldatenträger 126 an das DPS 100 übertragen werden. Bei den durch einen Computer lesbaren Signaldatenträgern 126 kann es sich zum Beispiel um ein weitergegebenes Datensignal handeln, das den Programmcode 118 enthält. Zum Beispiel kann es sich bei den durch einen Computer lesbaren Signaldatenträgern 126 um ein elektromagnetisches Signal, ein optisches Signal und/oder einen beliebigen anderen geeigneten Typ von Signal handeln. Diese Signale können über Datenübertragungsverbindungen wie beispielsweise drahtlose Datenübertragungsverbindungen, Glasfaserkabel, Koaxialkabel, einen Draht und/oder einen beliebigen anderen geeigneten Typ von Datenübertragungsverbindung übertragen werden. Anders ausgedrückt, die Datenübertragungsverbindung und/oder die Verbindung kann in den veranschaulichenden Beispielen physisch oder drahtlos sein.
  • In einigen veranschaulichenden Ausführungsformen kann der Programmcode 118 von einer anderen Einheit oder einem DPS durch die durch einen Computer lesbaren Signaldatenträger 126 zur Verwendung innerhalb des DPS 100 über ein Netzwerk in den persistenten Speicher 108 heruntergeladen werden. Zum Beispiel kann ein in einem durch einen Computer lesbaren Speichermedium in einem Server-DPS gespeicherter Programmcode über ein Netzwerk von dem Server in das DPS 100 heruntergeladen werden. Das DPS, das den Programmcode 118 bereitstellt, kann ein Server-Computer, ein Client-Computer oder eine andere Einheit sein, die den Programmcode 118 speichern und übertragen kann.
  • Die für das DPS 100 veranschaulichten verschiedenen Komponenten sind nicht dazu gedacht, architektonische Einschränkungen für die Art und Weise, in der verschiedene Ausführungsformen ausgeführt werden können, vorzusehen. Die verschiedenen veranschaulichenden Ausführungsformen können in einem DPS ausgeführt werden, das zusätzlich zu den oder anstelle der Komponenten, die für das DPS 100 veranschaulicht sind, Komponenten enthält. Andere in 1 gezeigte Komponenten.
  • Es besteht Bedarf an einer Überwachung von Transaktionen und Aktivität von Kontoinhabern in verschiedenen Institutionen, um unzulässige Aktivität zu erkennen, zu der beliebige oder alle betrügerische, kriminelle und unbefugte Aktivität gehören kann. Ein Erkennen von unzulässiger Aktivität ist aufgrund dessen, dass eine große Menge an Informationen eine Rolle spielt, wie beispielsweise mehrere Finanztransaktionen, eine große Anzahl an Parteien und die Einfachheit der Durchführung der Transaktionen, zunehmend schwierig.
  • Eine positive Identifizierung einer betrügerischen Transaktion und/oder einer an einer betrügerischen Aktivität beteiligten Partei kann Einblicke in Verfahren, Strategien, Organisationen, Orte usw. geben, die verwendet werden können, um andere Betrugsinstanzen zu erkennen und zu verringern. Ausführungsformen der vorliegenden Offenbarung streben an, eine Instanz betrügerischer Aktivität zu verwenden, um ähnliche Fälle von betrügerischer Aktivität zu identifizieren, nachdem Eigenschaften und Muster der identifizierten Instanz analysiert wurden und nach denjenigen Mustern und Eigenschaften in verschiedenen Fällen gesucht wurde.
  • Die vorliegende Offenbarung ist auf ein System und Verfahren zur Verwendung eines Kontextknotens gerichtet, um Schwesterknoten (oder Spiegelknoten) in einem Netzwerkgraphen zu identifizieren. Bei einem Schwesterknoten kann es sich um einen beliebigen Knoten handeln, der mindestens eine gängige Eigenschaft wie der Kontextknoten hat und/oder sich an der relativen Position eines Musters wie der Kontextknoten befindet.
  • Zum Zwecke dieser Offenbarung werden die Begriffe Beziehungsnetzwerk, Relationsgraph, Graph und Netzwerkgraph austauschbar verwendet. Bei einem Kontextknoten kann es sich um einen beliebigen Knoten in dem Netzwerkgraphen handeln, der als für einen beliebigen betrügerischen Zweck in dem Netzwerkgraphen relevant identifiziert wurde. Wenn der Netzwerkgraph zum Beispiel ein Netz aus Finanztransaktionen darstellt, kann der Kontextknoten eine Partei darstellen, die an Geldwäsche beteiligt ist. Als ein weiteres Beispiel kann der Kontextknoten, wenn der Netzwerkgraph digitalen Nachrichtenverkehr darstellt, eine Datenverarbeitungseinheit darstellen, bei der es sich um eine Quelle von Phishing-Nachrichten handelt. Als ein drittes Beispiel kann der Kontextknoten, wenn der Netzwerkgraph eine Erzeugung von experimentellen Daten darstellt, einen manipulierten Datensatz darstellen. Zum Zweck dieser Offenbarung kann es sich bei betrügerischer Aktivität (eine Aktivität in Bezug auf den Kontextknoten) um eine beliebige Aktivität handeln, die mit gesellschaftlichen Normen, Gesetzen, Vorschriften, Richtlinien und dergleichen unvereinbar ist.
  • Ausführungsformen der vorliegenden Offenbarung können ein Beziehungsnetzwerk (oder einen Netzwerkgraphen oder Graphen) (z.B. ein umfangreiches Beziehungsnetzwerk) erstellen und/oder Datenmuster in dem Beziehungsnetzwerk (z.B. dem Graphen) definieren und erkennen. In einigen Ausführungsformen umfassen die Systeme und Verfahren ein Aufnehmen von Daten und ein Verarbeiten der Daten, um ein Beziehungsnetzwerk oder Datennetzwerk zu bilden, das eine Mehrzahl von Knoten und die Beziehungen zwischen den Knoten aufweist. In einigen Ausführungsformen umfassen das System und Verfahren ein Auswählen von Daten, deren Entdeckung durch einen Benutzer beabsichtigt ist, ein Initialisieren eines Mustererkennungsmoduls mit einer Konfiguration und Definitionen für das gewünschte Datenmuster zur Erkennung, ein Ausführen des Mustererkennungsmoduls, um Nachrichten durch das Beziehungsnetzwerk weiterzureichen, und ein Ausführen eines Einblicke-Moduls, um Nachrichten zusammenzufassen und Einblicke zu erzeugen. In einer oder mehreren Ausführungsformen erfassen das System und Verfahren Datenmuster und Aktivität auf eine einheitliche Weise, um ein großes Beziehungsnetzwerk oder einen großen Graphen zu erstellen und Nachrichtenweitergabetechniken auszuführen, um Datenmuster zu erkennen.
  • Der Netzwerkgraph kann eine Mehrzahl von Knoten umfassen, wobei jeder Knoten auf eine einzelne Einheit, wie von den Graphen definiert, hinweist (z.B. Bankkonto, Person, Standort, Datenverarbeitungseinheit, Geschäftsentität usw.). In einigen Ausführungsformen wird ein Kontextknoten in dem Netzwerkgraphen identifiziert. Bei dem Kontextknoten kann es sich um einen beliebigen Knoten in dem Netzwerkgraphen handeln, der als in dem Netzwerkgraphen relevant identifiziert wurde (z.B. ein als Durchlaufstation für Geldwäsche, Datendiebstahl, Hacken usw. identifiziertes Bankkonto). Bei den erkannten Mustern kann es sich um auf den Kontextknoten bezogene Muster handeln.
  • Das System und Verfahren in einer oder mehreren Ausführungsformen kann verschiedene Datenmuster erfassen und erkennen, die auf den Kontextknoten hinweisen. In einigen Ausführungsformen verwendet das System die Muster und/oder die Umgebung des Kontextknotens, um einen oder mehrere Schwesterknoten in einem anderen Teil des Netzwerkgraphen und/oder in einem anderen Netzwerkgraphen zu identifizieren.
  • In einigen Ausführungsformen kann jeder Kontextknoten ein Typ von Knoten sein. Es kann eine vordefinierte Anzahl von möglichen Typen geben. Jeder Typ kann auf einem Typ von Netzwerkgraphen beruhen. Zum Beispiel kann ein Netzwerkgraph für ein Computernetzwerk andere Arten von Knoten als ein Netzwerkgraph für einen Finanztransaktions-Netzwerkgraphen haben.
  • Die vorstehend erwähnten Vorteile sind beispielhafte Vorteile, und es gibt Ausführungsformen, die alle, einige oder keine der vorstehend erwähnten Vorteile enthalten können, wobei sie jedoch weiterhin unter die Wesensart und den Umfang der vorliegenden Offenbarung fallen.
  • 2 veranschaulicht ein Blockschaltbild einer Ausführungsform eines Systems und Verfahrens, um ein großes Beziehungsnetzwerk oder einen großen Graphen zu erstellen und/oder um verschiedene Datenmuster in dem Beziehungsnetzwerk zu definieren und zu erkennen und/oder um beruhend auf dem Beziehungsnetzwerk Einblicke zu sammeln und zusammenzufassen. In einigen Ausführungsformen arbeitet das System 200 auf einem oder mehreren mit dem DPS 100 konsistenten Systemen. In einem ersten Teil 210 des Systems 200 liest ein Datenaufnahmemodul 220 Eingabedaten 230 und erstellt einen Graphen 240. Der Graph 240 ist in einer oder mehreren Ausführungsformen ein umfangreiches Beziehungsnetzwerk, das auch als Datennetzwerk bezeichnet wird. Das Datenaufnahmemodul 220 umfasst Schaltungen und/oder Logik, um die Eingabedaten 230 zu empfangen und die Daten zu verarbeiten, um den Graphen oder den Netzwerkgraphen 240 auszugeben. Das System 200 ist insbesondere so ausgelegt, dass es Datenmuster in dem Beziehungsnetzwerk definiert und/oder erkennt, die auf verdächtige Aktivität, üblicherweise in Verbindung mit Betrug, Geldwäsche, Datenmanipulation, Phishing-Versuchen und/oder sonstiger krimineller oder unethischer Aktivität, hinweisen. In einer oder mehreren Ausführungsformen umfassen die Eingabedaten 230 Parteien, Konten, Transaktionen usw. Wenn ein Finanzinstitut, wie beispielsweise eine Bank, zum Beispiel feststellen möchte, ob es ein Geldwäscheschema oder einen anderen Betrug gibt, zum Beispiel infolge staatlicher Aufsicht oder infolge von Vorschriften wie beispielsweise Antigeldwäschegesetzen, können die Eingabedaten 230 umfassen: die Transaktionen, die bei dem Finanzinstitut stattfinden oder von dem Finanzinstitut verarbeitet werden; die Parteien einer beliebigen Finanztransaktion bei dem oder durch das Finanzinstitut; sowie Kontoinformationen (die Kunden) des Finanzinstituts. Im Falle einer Versicherungsgesellschaft und dergleichen können die Eingabedaten 230 umfassen: die Parteien, die in Geschäftsbeziehung mit der Versicherungsgesellschaft stehen; die an die Versicherungsgesellschaft gerichteten Ansprüche; Vertragsinformationen (die Kunden) der Versicherungsgesellschaft, die Identität von beliebigen Agenturen oder Maklern, die an der Unterzeichnung des Vertrags mitwirkten, und beliebige Parteien, die bei der Regelung des Anspruchs mitwirkten, z.B. eine Autowerkstätte, die ein Fahrzeug repariert, ein Arzt, der einen Patienten behandelt, usw. Die obigen Beispiele sind nicht beschränkend und es kann andere Situationen geben, in denen das System 200 Anwendung findet und zusätzliche oder andere Eingabedaten bereitgestellt werden können.
  • Die Eingabedaten 230 werden in das Datenaufnahmemodul 220 eingegeben, das sie als einen Netzwerkgraphen 240 ausgibt. Das Datenaufnahmemodul 220 enthält Schaltungen und/oder Logik, um die Eingabedaten 230 zu empfangen und die Daten zu verarbeiten, um den Netzwerkgraphen 240 zu erstellen. In den meisten Fällen werden große Mengen an Daten eingegeben und von dem Datenaufnahmemodul 220 verarbeitet, und bei dem Netzwerkgraphen 240 handelt es sich um einen umfangreichen Netzwerkgraph 240. Der Netzwerkgraph 240 umfasst zum Beispiel Objekte und Beziehungen. Bei Objekten kann es sich zum Beispiel um Personen, Konten, Policen usw. handeln. Der Transaktions- oder Beziehungsnetzwerkgraph 240 aus der Verarbeitung der Eingabedaten 230 eines Finanzinstituts würde zum Beispiel Parteien, Partei-Konto-Beziehungen, Konto-Konto-Transaktionsbeziehungen und Partei-Partei-Beziehungen umfassen.
  • Nochmals unter Bezugnahme auf 2 umfasst der zweite Teil 250 des Systems 200 ein Eingabekonfigurationsmodul 260 und ein Mustererkennungsmodul 270 für übereinstimmende Datenmuster 280. Das Eingabekonfigurationsmodul 260 richtet das System so ein, dass es gewünschte Datenmuster erkennt, die auf eine Aktivität oder ein Verhalten in dem Transaktionsnetzwerk hinweisen. Das Eingabekonfigurationsmodul 260 enthält Schaltungen und/oder Logik, um die Eingabekonfiguration 265 von dem Benutzer zu empfangen und um Informationen und Daten zu verarbeiten und/oder an das Mustererkennungsmodul 270 zu übertragen. Ein Benutzer gibt die Eingabekonfiguration 265 in das System 200 und insbesondere in den zweiten Teil 250 des Systems gegenüber dem Eingabekonfigurationsmodul 260 ein, so dass das System den Typ der Datenmuster kennt, die auf verdächtige Aktivität oder verdächtiges Verhalten hinweisen, nach der/dem das System 200 und insbesondere der zweite Teil 250 des Systems 200 sucht und die/das es erkennt. Das heißt, der Benutzer definiert (durch das Eingabekonfigurationsmodul 260) den Typ des übereinstimmenden Datenmusters 280, den das System 200 erkennen sollte, und insbesondere den Typ des übereinstimmenden Datenmusters 280, nach dem der zweite Teil 250 (z.B. das Mustererkennungsmodul 270) des Systems 200 in dem Beziehungsnetzwerk oder Graphen 240 suchen sollte. Das Mustererkennungsmodul 270 liest Daten aus dem Netzwerk oder Graphen 240 und erkennt übereinstimmende Datenmuster 280 von einem Verhalten oder einer Aktivität in dem Netzwerkgraphen 240, das/die durch die von dem Benutzer ausgewählte und eingegebene Eingabekonfiguration definiert ist. Das Mustererkennungsmodul 270 enthält Schaltungen und/oder Logik, um Eingabekonfigurationsdaten aus dem Eingabekonfigurationsmodul 260 zu empfangen, um Beziehungsnetzwerkdaten zu empfangen, die Eingabekonfiguration und den Netzwerkgraphen 240 zu verarbeiten, um Datenmuster zu erkennen, und um, in einer oder mehreren Ausführungsformen, Einblicke zu erstellen, darunter in einem Aspekt ein Zusammenfassen und ein Anwenden der Einblicke auf den Netzwerkgraphen 240.
  • 3 veranschaulicht ein Beispiel eines vollständigen (oder eines Teils von einem) Netzwerkgraphen 300 (z.B. dem Graphen 240), der von dem Datenaufnahmemodul 220 erzeugt wurde. In einigen Ausführungsformen beruht der Netzwerkgraph auf Eingabedaten 230 eines Computerservicecenters, eines Finanzinstituts oder einer Versicherungseinrichtung. Es kann darauf hingewiesen werden, dass das Beziehungsnetzwerk oder der Graph 240 üblicherweise weitaus mehr Daten umfasst und viel umfangreicher ist, als in 3 veranschaulicht, und/oder zusätzliche Knoten umfasst, die in 3 nicht gezeigt sind. 3 umfasst eine Mehrzahl von Knoten 302, 304, 306, 308, 310, 312, 314, 316, 318, 320, 322, 324, 326, 328, 330 und 332. Jeder Knoten stellt eine eindeutige Einheit dar. Bei der Einheit kann es sich um ein Konto, ein Institut, eine Person, ein Gebiet, einen Computer, einen Server, einen Benutzer und dergleichen handeln. Verbindungen 350 zeigen eine Beziehung zwischen den durch die Verbindung verbundenen Knoten (z.B. eine Übersicht eines Musters eines Transaktionsflusses, einer Beziehung zwischen jeder Partei usw.). Die Verbindungen 350 in 3 umfassen eine Hinweisrichtung (z.B. Datenfluss, Geldfluss, Absender und Empfänger usw.). In einigen Ausführungsformen bedeutet der Anzeiger nicht unbedingt, dass ein Nachrichtenverkehr unidirektional ist, Nachrichten können entgegengesetzt zur angegebenen Richtung unterwegs sein. Der Richtungsanzeiger kann einen Großteil des Nachrichtenverkehrs darstellen. Der Richtungsanzeiger kann auf der Grundlage eines anderen Teils oder einer anderen Ansicht des Netzwerkgraphen 300 geändert werden. In einigen Ausführungsformen geben die Verbindungen 350 keine Richtung, sondern vielmehr eine beliebige Verbindung zwischen den beiden Knoten an.
  • In verschiedenen Ausführungsformen können die Netzwerkgraphen Knoten einer Vielfalt an Kategorien umfassen. In einigen Ausführungsformen ist ein Täuschungsknoten eine Kategorie von Knoten. Der Täuschungsknoten wird absichtlich in einen Prozess (z.B. einen Geldüberweisungsablauf) eingefügt, um ein verdächtiges Muster zu verschleiern. Der Knoten 324 kann ein Beispiel eines Täuschungsknotens sein. Da eine Finanztransaktion auf dem Weg zum Knoten 326 durch den Knoten 324 geleitet werden kann, um einen Verdacht gegenüber der Verbindung zwischen dem Knoten 322 und dem Knoten 326 abzuwenden. In einigen Ausführungsformen ist ein Fan-in-Knoten eine Kategorie von Knoten. Bei einem Fan-in-Knoten kann es sich um einen beliebigen Knoten handeln, der ein Ziel von mehr als einem Absender ist. Im Netzwerkgraphen 300 kann der Knoten 312 ein Fan-in-Knoten sein. Ein Fan-in-Knoten zeichnet sich durch die zusammengefasste Menge an Daten (z.B. Bargeld, Daten usw.), die in den Knoten übertragen werden, die Anzahl von Sendeknoten (z.B. Knoten 302 bis 310), den Zeitraum, in dem das Fan-in stattfindet, und den Typ der Transaktion/Nachricht aus. In einigen Ausführungsformen ist ein Fan-out-Knoten eine Kategorie von Knoten. Bei einem Fan-out-Knoten kann es sich um einen beliebigen Knoten handeln, der Nachrichten/Transaktionen an zwei oder mehr Zielknoten sendet. Ein Fan-out-Knoten kann die gleichen Eigenschaften wie der Fan-in-Knoten aufweisen, mit der Ausnahme, dass sie für das Senden anstelle des Empfangens umgekehrt sind. Zum Beispiel können der Knoten 316 und der Knoten 326 Fan-out-Knoten sein. In einigen Ausführungsformen kann ein Maklerknoten eine Kategorie von Knoten sein. Bei einem Maklerknoten kann es sich um einen beliebigen Knoten handeln, der sich zwischen einem Fan-in-Knoten und einem Fan-out-Knoten befindet. Der Maklerknoten kann die von dem Fan-in-Knoten empfangene Nachricht (selbst wenn sie nicht direkt von dem Fan-in-Knoten empfangen wurde) weiterreichen und sie durch eine beliebige Anzahl von Hops an einen Fan-out-Knoten senden. Zum Beispiel kann es sich bei den Knoten 316, dem Knoten 322 und dem Knoten 326 um Maklerknoten handeln.
  • Eine Knotenkategorie kann über mehrere Arten von Netzwerkgraphen (z.B. Datenverarbeitungs-Netzwerkgraphen, Finanztransaktions-Netzwerkgraphen, Versicherungsanspruch-Netzwerkgraphen usw.) verallgemeinert werden, während ein Knotentyp für den Typ von Netzwerkgraphen spezifisch ist. Zum Beispiel kann ein Fan-in-Knoten sowohl in Computer-Netzwerkgraphen als auch in einem Finanztransaktions-Netzwerkgraphen vorhanden sein, jedoch kann der Fan-in-Knoten in einem Datenverarbeitungs-Netzwerkgraphen ein Knoten von einem Hub-Typ sein, während der Fan-in-Knoten in dem Finanztransaktions-Netzwerkgraphen entweder ein Ziel- oder ein Vermittlerknoten sein kann.
  • 4 veranschaulicht eine Ausführungsform des Mustererkennungsmoduls 270. Um das Mustererkennungsmodul 270 zu veranschaulichen, Ausführungsformen aber nicht zu beschränken, wird 4 im Kontext von 2 beschrieben. Wo Elemente, auf die in 4 Bezug genommen wird, mit in 2 gezeigten Elementen übereinstimmen können, werden in beiden Figuren dieselben Bezugszahlen verwendet.
  • Das Mustererkennungsmodul 270 umfasst in einer oder mehreren Ausführungsformen einen Nachrichten-Orchestrator 475, ein Seedmodul 482, einen Nachrichtendispatcher 480 und ein Einblicke-Modul 484. Das Mustererkennungsmodul 270 umfasst in einem Aspekt auch eine Nachrichtenrepository 490 und eine Einblicke-Repository 495. Der Nachrichten-Orchestrator 475 enthält Schaltungen und/oder Logik, um das Seedmodul 482, den Nachrichtendispatcher 480 und das Einblicke-Modul 484 zu steuern und um die Module aufzurufen, um übereinstimmende Datenmuster 280 in dem Netzwerk oder Graphen 240 zu erkennen. Als Überblick empfängt der Nachrichten-Orchestrator 475 die Eingabekonfiguration 260, die den Nachrichten-Orchestrator 475 hinsichtlich des Typs des übereinstimmenden Datenmusters 280, das erkannt werden soll, und der während der Datenmuster-Erkennung anzuwendenden Kriterien, Filter und/oder Regeln anweist. Der Nachrichten-Orchestrator 475 ruft das Seedmodul 482 auf und reicht die Eingabekonfiguration in einer Ausführungsform an das Seedmodul 482 weiter oder definiert die Eingabekonfiguration für das Seedmodul 482. Das Seedmodul 482 enthält Schaltungen und/oder Logik, um die Seednachrichten, die in einer Ausführungsform an die Nachrichtenrepository 490 gesendet werden, zu erzeugen, zu initialisieren oder einzuleiten. Nachdem die Nachrichten an die Nachrichtenrepository 490 übertragen wurden, gibt das Seedmodul 482 die Steuerung an den Nachrichten-Orchestrator 475 zurück. Der Nachrichten-Orchestrator 475 bezieht dann den Nachrichtendispatcher 480 ein, der Schaltungen und/oder Logik enthält, um die Nachrichten zu lesen und jede Nachricht an ihren Zielempfänger zu versenden, wie von den/dem von der Eingabekonfiguration 260 ausgewählten Kriterien, Filter und/oder Regeln definiert. Der Nachrichtendispatcher 480 gibt alle Nachrichten weiter und versendet sie, bis in der Nachrichtenrepository 490 keine weiteren zu verarbeitenden Nachrichten mehr vorhanden sind. Der Nachrichtendispatcher 480 verwaltet auch die Nachrichtenrepository 490. Der Nachrichtendispatcher 480 gibt die Nachrichten weiter, indem er das Netzwerk/den Graphen 240 liest und die Nachrichten gemäß den von der Eingabekonfiguration 260 definierten und ausgewählten Kriterien, Filtern und/oder Regeln weiterleitet, sichert und/oder beendet. Die Nachrichten, die die von dem System (auf der Grundlage der Eingabekonfiguration) definierten Kriterien erfüllen, werden von dem Einblicke-Modul 484 als Einblicke in der Einblicke-Repository 495 gesichert. Das Einblicke-Modul 484 enthält Schaltungen und/oder Logik, um die Einblicke in der Einblicke-Repository 495 zu verwalten und zu sichern. Der Nachrichten-Orchestrator 475 ruft das Einblicke-Modul 484 auf, um die in der Einblicke-Repository 495 gesicherten Einblicke zusammenzufassen, und in einer oder mehreren Ausführungsformen sichert er die Einblicke und/oder wendet er sie auf den Graphen 240 an. Der Nachrichten-Orchestrator 475, das Seedmodul 482, der Nachrichtendispatcher 480 und das Einblicke-Modul 484 enthalten alle Schaltungen und/oder Logik, um ihre genannten Funktionen durchzuführen.
  • Auf der Grundlage der von dem Nachrichten-Orchestrator 475 empfangenen Eingabekonfiguration 260 erzeugt das Seedmodul 482 die Start-Seednachrichten oder bereitet sie vor. Die Nachrichten, darunter die Start-Seednachrichten, enthalten und identifizieren Informationen auf der Grundlage des Typs des zu erkennenden Musters und der Kriterien, Filter und/oder Regeln, die durch die Eingabekonfiguration 260 ausgewählt und durch das Seedmodul 482 und den Nachrichtendispatcher 480 ausgeführt werden. Die in einer (weitergegebenen) Nachricht, darunter einer Start-Seednachricht, identifizierten und/oder enthaltenen Informationen können enthalten: Daten des ursprünglichen Absenders/Kennung; Absenderdaten/Kennung; Empfängerdaten/Kennung; Zielempfängerdaten/Kennung; Datum-/Uhrzeit-Daten; Tracedaten; und Score (sonstige Transaktionsdaten). Bei den Tracedaten handelt es sich um den durch den Netzwerkgraphen 240 genommenen Pfad vom Initiator- oder Seedknoten (dem ursprünglichen Absender) zum Empfängerknoten. Die in der Seednachricht identifizierten Informationen werden aktualisiert, während die Nachricht in dem Beziehungsnetzwerk weitergeleitet und weitergegeben wird.
  • Wenn das Seedmodul 482 die Start-Seednachrichten vorbereitet, wird der „ursprüngliche Absender“ (z.B. 305 A) in dem Netzwerkgraphen 240 identifiziert und als der Initiator- oder Seedknoten bezeichnet. Das auf der Eingabekonfiguration 260 und dem Beziehungsnetzwerkgraphen 240 beruhende Seedmodul 482 führt einen Filter aus, wie zum Beispiel ein Anwenden der als Eingabekonfigurationsdaten ausgewählten Regeln oder Kriterien, um alle Seed- oder Initiatorknoten zu identifizieren. Das Seedmodul 482 identifiziert in einer oder mehreren Ausführungsformen auch den „Absender“, der im Falle der Startnachrichten gleich dem „ursprünglichen Absender“ ist. Das Seedmodul 482 identifiziert in einer Ausführungsform auch den „Empfänger“ und den „Zielempfänger“. Ein „Absender“, der nicht mit dem „ursprünglichen Absender“ identisch ist, kann zuerst ein „Empfänger“ gewesen sein und die Nachricht anschließend weiterleiten, um ein „Absender“ (oder ein „zusätzlicher Absender“) zu werden. Der „Empfänger“ ist der bestimmte Knoten, der die Nachricht empfängt, und kann ein Partei-Objekt oder ein Konto-Objekt sein. Um den „Empfänger“ festzustellen, schaut sich das Seedmodul 482 in einem Aspekt die Beziehungsdaten des Initiator- oder Seedknotens aus dem Beziehungsnetzwerk oder Graphen 240 an, und aus dem Beziehungsnetzwerkgraphen 240 identifiziert das Seedmodul 482 alle Knoten, mit denen der Initiatorknoten direkt verbunden ist. Das Seedmodul 482 erzeugt oder bereitet die Startnachrichten auf der Grundlage der Knoten vor, mit denen der Initiator- oder Seedknoten direkt verbunden ist. Das heißt, in einer oder mehreren Ausführungsformen erstellt das Seedmodul 482 eine Startnachricht für jeden Knoten, mit dem der Initiator- oder Seedknoten direkt verbunden ist. Wenn der Initiator- oder Seedknoten zum Beispiel mit vier (4) Knoten direkt verbunden ist, werden in einer Ausführungsform vier (4) Startnachrichten erstellt. Das Seedmodul 482 identifiziert beim Erstellen der Startnachrichten den Initiator- oder Seedknoten als den „ursprünglichen Absender“ und den direkt verbundenen Knoten als den „Empfänger“. Der „Zielempfänger“ ist der Objekttyp, z.B. ein Partei- oder Kontoknoten/-objekt oder ein beliebiger anderer Typ von Objekt, von dem angenommen wird, dass er das weitergegebene Risiko trägt.
  • Das Seedmodul 482 gibt auch den Trace oder Pfad für die Startnachricht 505 an. Das Seedmodul 482 legt auch den Gewichtungsscore fest oder weist ihn zu, der der Beziehung zwischen den Knoten auf der Grundlage der Eingabekonfiguration 260 zugeordnet werden soll. Das heißt, die Gewichtung oder der Score wird von dem Benutzer festgelegt und kann nach dem Typ der Aktivität, nach der in dem Netzwerk gesucht wird, festgelegt werden. Diese Startnachrichten müssen an die Nachrichtenrepository 490 gesendet und/oder darin gespeichert werden, so dass das Seedmodul 482 den Nachrichtendispatcher 480 einbezieht, um die Startnachricht(en) an die Nachrichtenrepository 490 zu senden, und die Startnachrichten werden an die Nachrichtenrepository 490 gesendet und darin gespeichert. Die Steuerung wird dann vom Seedmodul 482 an den Nachrichten-Orchestrator 475 zurückgegeben.
  • Das System 200 wurde nun mit den Start-Seednachrichten initialisiert, die erzeugt und in der Nachrichtenrepository gespeichert wurden, und der Nachrichten-Orchestrator 475 hat die Kontrolle. Der Nachrichten-Orchestrator 475 ruft den Nachrichtendispatcher 480 auf, um die Startnachrichten durch den Netzwerkgraphen 240 weiterzugeben und bestimmte übereinstimmende Datenmuster 280 zu erkennen. Der Nachrichtendispatcher 480 schaut sich die Nachrichtenrepository 490 an und liest die Startnachricht(en). Der Nachrichtendispatcher 480 liest die Nachrichten für einen gegebenen Knoten und: (a) wenn das/der gegebene Objekt/Knoten der Empfängerknoten ist und der Reichweitenfaktor (bei dem es sich um ein Maß des Grades der Beziehung zu dem Initiatorknoten handelt) erreicht ist, wird die Nachricht als ein Einblick in der Einblicke-Repository 495 archiviert (gespeichert); (b) wenn das/der gegebene Objekt/Knoten der Empfängerknoten ist, der Reichweitenfaktor aber nicht erreicht ist, wird die Nachricht als ein Einblick in der Einblicke-Repository 495 archiviert (gespeichert) und die Nachricht wird in dem Netzwerkgraphen 240 weitergeleitet; und (c) wenn das/der gegebene Objekt/Knoten ein Durchgriffsknoten ist, wird die Nachricht in dem Netzwerkgraphen 240 weitergeleitet und es werden keine Einblicke in der Einblicke-Repository 495 gesichert. In einer oder mehreren Ausführungsformen wird die Nachricht an die sich in unmittelbarer Umgebung befindlichen, direkt verbundenen Knoten, wie aus dem Beziehungsnetzwerkgraphen 240 festgestellt, weitergeleitet. In einem Aspekt und gemäß der Eingabekonfiguration wird/werden die Nachricht(en) nicht an einen Knoten weitergeleitet, der eine Schleife bildet. Das heißt, in einer Ausführungsform wird eine Nachricht, deren Trace oder Pfad eine Schleife bildet, in der sie mehr als ein Mal an denselben Knoten weitergegeben oder weitergeleitet wird, als ungültig betrachtet und von dem Nachrichtendispatcher 480 (oder dem System 200) nicht übernommen oder ausgeführt. In einem anderen Aspekt und gemäß der Eingabekonfiguration dürfen die Nachrichten eine Schleife bilden. Um Einblicke in der Einblicke-Repository 495 zu sichern, ruft der Nachrichtendispatcher 480 in einer oder mehreren Ausführungsformen das Einblicke-Modul 484 auf, um die Nachricht in der Einblicke-Repository 495 zu sichern. In einer oder mehreren Ausführungsformen können die Einblicke auf Knotenbasis gesichert werden. Bei dem Reichweitenfaktor, der auch als Beziehungsgrad bezeichnet wird, handelt es sich um die Anzahl von Empfängerknoten in dem Pfad oder Trace, die wieder mit dem Initiator- oder Seedknoten zu verbinden sind. Der Reichweitenfaktor oder Beziehungsgrad ist in einer oder mehreren Ausführungsformen programmierbar und variabel und kann von einem Benutzer eingegeben werden, wenn die Eingabekonfiguration 260 für das System 200 oder insbesondere für den zweiten Teil 250 des Systems 200 festgelegt wird.
  • Der Nachrichtendispatcher 480 ruft die erste Startnachricht oder Seednachricht aus der Nachrichtenrepository 490 ab und auf der Grundlage der Informationen in der Startnachricht: sichert er die Start- oder Seednachricht in der Einblicke-Repository 495, wie vorstehend beschrieben; beendet die Startnachricht auf der Grundlage des Reichweitenfaktors; und/oder leitet die Seednachricht in dem Beziehungsnetzwerk als eine weitergegebene Nachricht auf der Grundlage des Reichweitenfaktors und/oder beruhend darauf, ob es sich bei dem Empfängerknoten um einen Durchgriffsknoten handelt, wie in dem System definiert, weiter. Für eine beliebige Seed- oder Startnachricht, die als weitergegebene Nachricht weitergeleitet werden soll, werden alle mit dem Empfängerknoten der Seednachricht direkt verbundene Knoten in dem Beziehungsnetzwerkgraphen 240 identifiziert und die Seednachricht wird als eine weitergegebene Nachricht an diese direkt verbundenen Knoten weitergeleitet.
  • Für jede weitergegebene Nachricht wird, wenn der direkt verbundene Knoten:
    1. (a) innerhalb des Reichweitenfaktors liegt, die weitergegebene Nachricht gesichert und in dem Beziehungsnetzwerkgraphen 240 weitergegeben; (b) auf dem Reichweitenfaktor liegt, die weitergegebene Nachricht als ein Einblick gesichert und in dem Beziehungsnetzwerkgraphen 240 nicht weitergeleitet (d.h., die weitergegebene Nachricht wird beendet); und (c) ein Durchgriffsknoten ist, wird die weitergegebene Nachricht in dem Netzwerkgraphen 240 weitergeleitet. Dieser Prozess des Feststellens der direkt verbundenen Knoten und des Weiterleitens der weitergegebenen Nachricht in dem Beziehungsnetzwerkgraphen 240 wird fortgesetzt, bis die weitergegebene Nachricht vollständig weitergegeben und weitergeleitet ist und keine gültigen, direkt verbundenen Knoten mehr hat (z.B. liegt die weitergegebene Nachricht außerhalb des Reichweitenfaktors oder in einer oder mehreren Ausführungsformen bildet der Pfad oder Trace der weitergegebenen Nachricht eine Schleife). Während die Seednachrichten und die weitergegebenen Nachrichten durch den Beziehungsnetzwerkgraphen 240 weitergegeben werden, ändern sich in einem oder mehreren Aspekten die in den Nachrichten enthaltenen Informationen und werden aktualisiert.
  • Der Nachrichtendispatcher 480 gibt die Nachrichten durch den Netzwerkgraphen 240 weiter, bis jede Nachricht vollständig weitergegeben ist (z.B. außerhalb des von der Eingabekonfiguration 260 festgestellten Reichweitenfaktors liegt). Der Nachrichtendispatcher 480 gibt jede Nachricht durch den Netzwerkgraphen 240 weiter, bis keine Nachrichten in dem System (d.h. in der Nachrichtenrepository 490) mehr übrig sind. Wenn alle Nachrichten verarbeitet und durch den Netzwerkgraphen 240 weitergegeben sind, schaltet die Steuerung vom Nachrichtendispatcher 480 zurück zum Nachrichten-Orchestrator 475. Der Nachrichten-Orchestrator 475 kann das Einblicke-Modul 484 aufrufen, um Einblicke zu sammeln (z.B. die in der Einblicke-Repository 495 gesicherten Nachrichten). In einer oder mehreren Ausführungsformen schaut sich das Einblicke-Modul 484 alle archivierten, in jedem Knoten gesicherten Nachrichten in der Einblicke-Repository 495 an und erzeugt Einblicke für jeden Knoten. In einem Aspekt werden bei Auswahl der Zusammenfassungsfunktion die in der Einblicke-Repository 495 gesicherten Nachrichten nach der Bedingung zusammengefasst (z.B. ein Grad Beziehungsunterschied oder zwei Grad Beziehungsunterschied) und Scores werden zum Beispiel knotenweise akkumuliert. In einer oder mehreren Ausführungsformen empfängt der Nachrichten-Orchestrator 475 die Einblicke, z.B. die gesicherten Nachrichten, von dem Einblicke-Modul 484 und fügt die Einblicke oder Teile davon zu dem Netzwerk oder Graphen 240 hinzu. Die Einblicke und die Art des Sicherns der Einblicke kann mit dem System und dem Muster, das erkannt werden soll, variieren. Die Eingabekonfiguration 260 in einem oder mehreren Aspekten gestattet es, die Eingabekriterien, die zu sammelnden Einblicke und die Art und Weise, in der diese Einblicke dem Endbenutzer übergeben und/oder an den Endbenutzer übertragen werden, zu variieren.
  • Es ist vorgesehen, dass das System im Laufe der Zeit mit zusätzlichen Eingabedaten aktualisiert wird. Zum Beispiel könnte eine Bank, ein Finanzinstitut, eine Versicherungsgesellschaft usw. nach einer ersten Ausführung des Systems und des Verfahrens das System in regelmäßigen Abständen, zum Beispiel täglich, monatlich, halbjährlich usw., mit zusätzlichen Daten aktualisieren. In einer oder mehreren Ausführungsformen erkennt das System Aktualisierungen des Netzwerkgraphen 240 als ein(en) neu hinzugefügtes Objekt/neu hinzugefügten Knoten, eine neu hinzugefügte Beziehung, eine vorhandene Beziehung, die aktualisiert wurde, ein gelöschtes Objekt/einen gelöschten Knoten oder eine gelöschte Beziehung. Das System in einer oder mehreren Ausführungsformen überprüft die Traces und stellt fest, welche Pfade wiederholt werden müssen, auf denen z.B. eine erneute Weitergabe erfolgen muss, oder wo es neue zu durchlaufende Pfade gibt. Das System und das Verfahren können in einer oder mehreren Ausführungsformen aktualisiert werden, und in einer Ausführungsform wird ein Trace verwendet, um einen oder mehrere Pfade festzustellen, die erforderlich sind, um die Nachrichtenweitergabe in dem Beziehungs- oder Datennetzwerk neu zu erstellen, um aktualisierte Einblicke auf der Grundlage von neuen aktualisierten Daten zu erhalten oder um einen beliebigen neuen Pfad festzustellen, der aufgrund der neuen Daten durchlaufen werden muss. Das System leitet bei der Durchführung der Aktualisierung die Weitergabe ein, fügt Aktualisierungen zu den Archiven hinzu und führt das Einblicke-Modul auf den betroffenen Knoten erneut aus, wo Aktualisierungen zu der Einblicke-Repository hinzugefügt und Einblicke neu erzeugt werden.
  • 5 ist ein beispielhafter Ablaufplan gemäß mindestens einer Ausführungsform der vorliegenden Offenbarung, der ein Verfahren zum Verwenden eines Kontextknotens veranschaulicht und beschreibt, um einen oder mehrere Schwesterknoten zu identifizieren. Während das Verfahren 500 der Einfachheit halber und nicht mit der Absicht beschrieben wird, die Offenbarung dahingehend zu beschränken, dass sie eine Reihe und/oder eine Anzahl von Schritten aufweist, braucht der Prozess nicht als eine Reihe von Schritten durchgeführt zu werden und/oder die Schritte brauchen nicht in der unter Bezugnahme auf 5 gezeigten und beschriebenen Reihenfolge durchgeführt zu werden, sondern der Prozess kann integriert werden und/oder ein oder mehrere Schritte können zusammen, gleichzeitig, durchgeführt werden oder die Schritte können in der offenbarten Reihenfolge oder in einer alternativen Reihenfolge durchgeführt werden.
  • Das Verfahren 500 umfasst, bei 505, ein Empfangen von Eingabedaten. In einigen Ausführungsformen umfassen die Eingabedaten Nachrichtendaten (oder Transaktionsdaten). In einigen Ausführungsformen werden die Eingabedaten als Eingabedaten 230 empfangen. Die Nachrichtendaten können alle relevanten Daten für jede Nachricht umfassen. Wenn die Eingabedaten zum Beispiel Informationen über Finanztransaktionen umfassen können, können an Finanztransaktionen beteiligte Parteien, mit den Transaktionen verbundene Kontonummern, Beträge und Zeitpunkte der Transaktionen, Kunden der Transaktionen sowie ein Ursprungs- und endgültiger Ort der Transaktionen (z.B. Überweisungen) in die Nachricht einbezogen sein. Als ein weiteres Beispiel können die Eingabedaten andere Transaktionsinformationen wie zum Beispiel Informationen über eine Versicherungstransaktion umfassen. Als ein drittes Beispiel können die Eingabedaten Nachrichten in einem Datenverarbeitungsnetzwerk umfassen, wobei jede Datenverarbeitungseinheit ein Knoten ist und der Netzwerkgraph Netzwerkverkehr darstellt.
  • In einigen Ausführungsformen umfassen die Eingabedaten Eingabekonfigurationskriterien. Die Konfigurationskriterien informieren das System darüber, welche Datenmuster in dem Beziehungsnetzwerk entdeckt werden sollen und, in einer oder mehreren Ausführungsformen, welche Kriterien, Filter und/oder Regeln beim Erkennen von Datenmustern und/oder Hot Spots in dem Beziehungsnetzwerk verwendet werden sollen.
  • Das Verfahren 500 umfasst, bei 510, ein Erzeugen von einem oder mehreren Netzwerkgraphen (z.B. des Graphen 240, des Netzwerkgraphen 300). In einigen Ausführungsformen umfasst ein Erzeugen der Netzmap: Erkennen von Datenmustern in dem Beziehungsnetzwerk oder Graphen; und/oder in einem oder mehreren Aspekten umfasst es ein Empfangen einer dem System durch einen Benutzer bereitgestellten Eingabekonfiguration. Die Eingabekonfiguration informiert das System darüber, welche Datenmuster in dem Beziehungsnetzwerk erkannt werden sollen und, in einer oder mehreren Ausführungsformen, welche Kriterien, Filter und/oder Regeln beim Erkennen von Datenmustern in dem Beziehungsnetzwerk verwendet werden sollen. In einigen Ausführungsformen umfasst die Netzmap eine oder mehrere Knoten und Verbindungen zwischen den Knoten. Jeder Knoten kann ein Konto, einen Benutzer, eine Organisation oder etwas Ähnliches darstellen. Die Verbindungen können Beziehungen, wie beispielsweise eine Transaktion zwischen den beiden Knoten, und/oder andere Verbindungen (beide nutzen z.B. eine gemeinschaftliche Bank) darstellen.
  • Das Verfahren 500 umfasst, bei 515, ein Identifizieren eines Kontextknotens. Ein Knoten, der Eigenschaften hat, deren Entdeckung in anderen Knoten gewollt ist, kann ein Kontextknoten sein. In einigen Ausführungsformen kann die Eigenschaft eine Knotenkategorie sein (z.B. Fan-in-Knoten, Fan-out-Knoten usw.). In einigen Ausführungsformen kann die Eigenschaft auf dem Muster des Netzwerkgraphen beruhen. In einigen Ausführungsformen kann der Knotentyp auf einer Kennung beruhen (z.B. einer Person oder einem Konto, die/das durch den Knoten dargestellt wird, dem Typ der Datenverarbeitungseinheit, einem Datenerzeugungsereignis usw.). In einigen Ausführungsformen wird ein Kontextknoten von einem Benutzer identifiziert. Der Benutzer kann eine grafische Anzeige des Netzwerks darstellen. In einigen Ausführungsformen kann eine Identifizierung darauf beruhen, dass ein Benutzer den Netzwerkgraphen analysiert. In einigen Ausführungsformen beruht die Identifizierung darauf, dass der Kontextknoten mit betrügerischer Aktivität korreliert. In einigen Ausführungsformen wird eine Eingabe von einem Benutzer empfangen, wobei die Eingabe den Kontextknoten und/oder einen Knotentyp umfasst.
  • In einigen Ausführungsformen wird der Kontextknoten als ein Knotentyp identifiziert. Der Knotentyp kann aus einem vorher festgelegten Satz von Typen ausgewählt werden. Bei dem vorher festgelegten Satz von Typen kann es sich um eine beliebige Anzahl von Typen handeln. In einigen Ausführungsformen kann der Satz von Typen auf einem Kontext des Netzwerkgraphen beruhen. Wenn der Netzwerkgraph zum Beispiel Finanztransaktionen darstellt und so konfiguriert ist, dass er Geldwäsche identifiziert, kann der Satz von Knoten in einem Geldwäscheschema abgebildet sein. Ein beispielhafter Satz von Typen kann eine Quelle, ein Ziel und ein Vermittler sein. Als ein weiteres Beispiel könnte der Satz von Typen, wenn der Netzwerkgraph auf Versicherungsansprüche bezogen ist, einen Antragsteller, einen Anspruchsberechtigten, einen Versicherungsnehmer und einen Sachbearbeiter umfassen.
  • In einigen Ausführungsformen umfasst ein Identifizieren der Kontextknoten ein Identifizieren von einem oder mehreren Täuschungsknoten in dem Netzwerkgraphen. In einigen Ausführungsformen kann der Benutzer die Täuschungsknoten auswählen. In einigen Ausführungsformen werden die Täuschungsknoten als Reaktion darauf, dass sie ausgewählt werden, aus dem Netzwerkgraphen entfernt. In einigen Ausführungsformen verbleiben die Täuschungsknoten in dem Netzwerkgraphen, jedoch ignoriert die nachfolgende Analyse die Täuschungsknoten (z.B. wird das Muster ohne den Täuschungsknoten erkannt).
  • Das Verfahren 500 umfasst, bei 520, ein Feststellen von mindestens einem Muster für den Kontextknoten. In einigen Ausführungsformen wird das Muster festgestellt, indem der Kontextknoten im Kontext des Netzwerkgraphen analysiert wird. In einigen Ausführungsformen beruht das Muster auf der Anzahl der Knoten, mit denen der Kontextknoten verbunden ist, auf der Anzahl der sekundären Knoten, einer Knotenkategorie (z.B. Fan-in-Knoten, Fan-out-Knoten, Maklerknoten usw.), der Richtung des Nachrichtenflusses (z.B. unidirektional, bidirektional usw.) und/oder anderen Knoteneigenschaften (z.B. Nachrichtengröße, Standort usw.). Bei einem sekundären Knoten kann es sich um einen Knoten handeln, der sich innerhalb von n Hops des Kontextknotens befindet, wobei n als Teil des Musters festgestellt werden und/oder vordefiniert sein kann. Die Anzahl der analysierten sekundären Knoten kann auf dem Knotentyp und/oder dem Graphtyp beruhen. In einigen Ausführungsformen ignoriert die Analyse als Täuschungsknoten gekennzeichnete Knoten. In einigen Ausführungsformen werden die identifizierten Muster dem Benutzer angezeigt. Der Benutzer kann Täuschungsknoten hinzufügen und/oder entfernen und den Kontextknoten erneut analysieren. In einigen Ausführungsformen können zwei oder mehr verschiedene Muster für einen einzelnen Kontextknoten identifiziert werden.
  • Das Verfahren 500 umfasst, bei 525, ein Identifizieren von einem oder mehreren Schwesterknoten. Ein Schwesterknoten kann ein beliebiger Knoten sein, der sich entsprechend innerhalb der festgestellten Muster befindet. Im Kontext des Netzwerkgraphen 300 sei zum Beispiel angenommen, dass der Knoten 316 der Kontextknoten ist und das festgestellte Muster ein beliebiger Knoten sein kann, der ein Ziel des Knotens 318 ist. Der Knoten 326 würde als ein Schwesterknoten des Knotens 316 identifiziert werden. In einigen Ausführungsformen umfasst ein Identifizieren von Schwesterknoten ein Ausführen eines Nachrichtenweitergabealgorithmus (wie zuvor erläutert), um ähnliche Muster zu identifizieren. In einigen Ausführungsformen können die Schwesterknoten in denselben Netzwerkgraphen und/oder in einem anderen Netzwerkgraphen identifiziert werden.
  • Das Verfahren 500 umfasst, bei 530, ein Ausgeben von Ergebnissen. Dazu kann ein Anzeigen des einen oder der mehreren Schwesterknoten und des einen oder der mehreren festgestellten Muster gehören. In einigen Ausführungsformen umfasst die Ausgabe ein Anzeigen des Netzwerkgraphen, wobei das eine oder die mehreren Muster in dem Netzwerkgraphen angegeben (z.B. hervorgehoben) sind. In einigen Ausführungsformen umfasst die Ausgabe ein Anzeigen der Schwesterknoten im Kontext ihrer Netzwerkgraphen. In einigen Ausführungsformen kann die Ausgabe ein Benachrichtigen (z.B. einen Alarm, eine E-Mail-Benachrichtigung usw.) des Benutzers umfassen, dass ein Hot Spot identifiziert wurde.
  • Ein Beispiel des Gesamtprozesses wird erläutert, wobei angenommen wird, dass der Netzwerkgraph 300 einen Finanztransaktions-Netzwerkgraphen darstellt. Jeder Knoten kann eine Partei darstellen, und jede Verbindung 350 stellt eine Richtung der Geldüberweisung dar. Ein Finanztransaktions-Netzwerkgraph kann vier relevante Knotentypen haben: eine Quelle; ein Ziel; einen Vermittler; und einen Begünstigten. Zunächst wird nach einem Eingeben der Daten ein Netzwerkgraph 300 erzeugt. Der Knoten 316 kann als der Kontextknoten von einem Typ „Vermittler“ identifiziert werden. In einigen Ausführungsformen kann der Knoten 324 als ein Täuschungsknoten gekennzeichnet sein. In diesem Fall kann er die Anzahl der Hops zwischen dem Knoten 316 und den letztendlichen Zielen des Knotens 328, des Knotens 330 und des Knotens 332 erhöhen. Ein Kennzeichnen des Knotens 324 als ein Täuschungsknoten kann bewirken, dass die Analyse alle Transaktionen, die den Knoten 324 durchlaufen, als einen einzelnen Hop zwischen dem Knoten 322 und dem Knoten 326 behandelt. Als Nächstes wird eine Analyse durchgeführt und ein oder mehrere Muster stellen den Umgebungsknoten 316 fest. In einigen Ausführungsformen kann der Netzwerkgraph 300 das Muster sein, das sich innerhalb eines größeren Netzwerkgraphen befindet. Ein erstes festgestelltes Muster kann der Maklerknoten innerhalb von einem Hop eines Fan-in-Knotens (z.B. des Knotens 312) und innerhalb von zwei Hops eines Fan-out-Knotens (z.B. des Knotens 326) sein. Ein zweites festgestelltes Muster kann einen Maklerknoten in einer Reihe von mindestens zwei aufeinanderfolgenden Maklerknoten umfassen. Das zweite Muster kann zusätzliche Merkmale wie beispielsweise eine gängige Anzahl von Transaktionen und eine gängige Geldmenge umfassen, die jeden Maklerknoten durchlaufen. Einige andere Beispiele von Mustern können auf der Quelle, ob direkt oder indirekt, der durchlaufenden Geldmenge, der Zeitdauer, über die das Geld von dem Knoten gehalten wird, und anderen ähnlichen Faktoren beruhen.
  • Als Nächstes könnte der Nachrichtenweitergabealgorithmus auf einem anderen Abschnitt des Netzwerkgraphen ausgeführt werden und/oder eine zweite Finanztransaktion nächster Arbeitsgraph. Auf der Grundlage des ersten Musters kann der Knoten 322 als ein Schwesterknoten identifiziert werden. Er liegt innerhalb von einem Hop des Fan-in-Knotens 316 (z.B. Ziel des Knotens 312, des Knotens 314 und des Knotens 318) und innerhalb von einem Hop des Fan-out-Knotens 326. Auf der Grundlage des zweiten Musters kann der Knoten 324 ein Schwesterknoten sein. Er kann sich in einer Reihe mit dem Knoten 322 und dem Knoten 316 befinden. Schließlich können diese Schwesterknoten und beliebige andere möglicherweise identifizierten Schwesterknoten dem Benutzer angezeigt werden.
  • COMPUTERTECHNOLOGIE UND DURCH EINEN COMPUTER LESBARE DATENTRÄGER
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt auf jeder möglichen Integrationsstufe technischer Details handeln. Das Computerprogrammprodukt kann ein durch einen Computer lesbares Speichermedium (oder -medien) mit durch einen Computer lesbaren Programmanweisungen darauf umfassen, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch ein System zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren Speichermediums gehören die folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein tragbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination daraus. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie zum Beispiel Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. Lichtwellenleiterkabel durchlaufende Lichtimpulse) oder durch einen Draht übermittelte elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk, ein Weitverkehrsnetz und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten, Konfigurationsdaten für eine integrierte Schaltung oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie Smalltalk, C++ o.ä. sowie prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann der entfernt angeordnete Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter ein lokales Netzwerk (LAN) oder ein Weitverkehrsnetz (WAN), oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen können elektronische Schaltungen, darunter zum Beispiel programmierbare Logikschaltungen, vor Ort programmierbare Gatter-Anordnungen (FPGA, field-programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronischen Schaltungen zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder bzw. Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen ausgeführt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers bzw. der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zur Umsetzung der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um das Ausführen einer Reihe von Prozessschritten auf dem Computer bzw. der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer ausgeführten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Ausführungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in dem Ablaufplan oder in den Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, das bzw. der eine oder mehrere ausführbare Anweisungen zur Ausführung der bestimmten logischen Funktion(en) aufweist. In einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit weitgehend gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.

Claims (16)

  1. Durch einen Computer ausgeführtes Verfahren, das umfasst: Empfangen, durch einen Prozessor, von Eingabedaten, wobei die Eingabedaten eine Mehrzahl von Nachrichten umfassen, wobei jede Nachricht einen Satz von Nachrichtendaten enthält; Erzeugen, durch einen Musterdetektor und auf der Grundlage der Eingabedaten, eines Netzwerkgraphen, wobei der Netzwerkgraph eine Mehrzahl von Knoten umfasst; Auswählen eines ersten Kontextknotens der Mehrzahl von Knoten, wobei der erste Kontextknoten eine erste Eigenschaft aufweist; Feststellen eines ersten Musters für den ersten Kontextknoten; Identifizieren, auf der Grundlage des ersten Musters, eines ersten Schwesterknotens, der die erste Eigenschaft aufweist; und Ausgeben, durch eine Netzwerkschnittstelle, des ersten Schwesterknotens und des Netzwerkgraphen.
  2. Verfahren nach Anspruch 1, wobei das Verfahren des Weiteren umfasst: Identifizieren des ersten Kontextknotens als einen ersten Knotentyp; und Empfangen, von einem Benutzer, einer ersten Eingabe, wobei die erste Eingabe den ersten Kontextknoten umfasst; und wobei das Auswählen des ersten Kontextknotens und das Identifizieren des ersten Knotentyps als Reaktion auf ein Empfangen der ersten Eingabe erfolgt.
  3. Verfahren nach Anspruch 2, wobei der Netzwerkgraph durch einen Graphtyp identifiziert wird und der erste Knotentyp in einem Satz von Knotentypen enthalten ist und der Satz von Knotentypen mit dem Graphtyp korreliert.
  4. Verfahren nach Anspruch 3, wobei der Graphtyp ein Finanztransaktions-Netzwerkgraph ist.
  5. Verfahren nach Anspruch 3, wobei der Satz von Knotentypen mindestens umfasst: einen Quellenknoten, einen Zielknoten und einen Vermittlerknoten.
  6. Verfahren nach Anspruch 2, wobei das Feststellen des ersten Musters aufweist: Analysieren eines Pfads für jede Nachricht der Mehrzahl von Nachrichten, die den ersten Kontextknoten durchläuft.
  7. Verfahren nach Anspruch 6, wobei die erste Eingabe einen Täuschungsknoten umfasst.
  8. Verfahren nach Anspruch 7, wobei ein Analysieren des Pfades für jede Nachricht der Mehrzahl von Nachrichten den Täuschungsknoten ignoriert.
  9. Verfahren nach Anspruch 1, wobei ein Identifizieren des ersten Schwesterknotens aufweist: Ausführen eines Nachrichtenweitergabealgorithmus.
  10. Verfahren nach Anspruch 9, wobei ein Identifizieren des ersten Schwesterknotens des Weiteren aufweist: Feststellen, als Reaktion auf ein Ausführen des Nachrichtenweitergabealgorithmus, dass sich der erste Schwesterknoten an einer relativen Position innerhalb des ersten Musters befindet, die dem Kontextknoten in dem ersten Muster entspricht.
  11. Verfahren nach Anspruch 1, wobei der erste Schwesterknoten in dem ersten Netzwerkgraphen identifiziert wird.
  12. Verfahren nach Anspruch 1, wobei der erste Schwesterknoten in einem zweiten Netzwerkgraphen identifiziert wird.
  13. Verfahren nach Anspruch 1, wobei jede Nachricht eine Finanztransaktion umfasst.
  14. Verfahren nach Anspruch 1, wobei jede Nachricht einen Versicherungsanspruch umfasst.
  15. System, das aufweist: einen Prozessor; und ein durch einen Computer lesbares Speichermedium, das per Datenaustausch mit dem Prozessor verbunden ist und Programmanweisungen speichert, die, wenn sie durch den Prozessor ausgeführt werden, so konfiguriert sind, dass sie den Prozessor veranlassen: Eingabedaten zu empfangen, wobei die Eingabedaten eine Mehrzahl von Nachrichten umfassen, wobei jede Nachricht einen Satz von Nachrichtendaten enthält; durch einen Musterdetektor und auf der Grundlage der Eingabedaten einen Netzwerkgraphen zu erzeugen, wobei der Netzwerkgraph eine Mehrzahl von Knoten umfasst; einen ersten Kontextknoten der Mehrzahl von Knoten auszuwählen; ein erstes Muster für den ersten Kontextknoten festzustellen; auf der Grundlage des ersten Musters einen ersten Schwesterknoten festzustellen; und durch eine Netzwerkschnittstelle den ersten Schwesterknoten und den Netzwerkgraphen auszugeben.
  16. Computerprogrammprodukt, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium mit damit realisierten Programmanweisungen aufweist, wobei die Programmanweisungen durch eine Verarbeitungseinheit ausführbar sind, um die Verarbeitungseinheit zu veranlassen: Eingabedaten zu empfangen, wobei die Eingabedaten eine Mehrzahl von Nachrichten umfassen, wobei jede Nachricht einen Satz von Nachrichtendaten enthält; durch einen Musterdetektor und auf der Grundlage der Eingabedaten einen Netzwerkgraphen zu erzeugen, wobei der Netzwerkgraph eine Mehrzahl von Knoten umfasst; einen ersten Kontextknoten der Mehrzahl von Knoten auszuwählen; ein erstes Muster für den ersten Kontextknoten festzustellen; auf der Grundlage des ersten Musters einen ersten Schwesterknoten zu identifizieren; und durch eine Netzwerkschnittstelle den ersten Schwesterknoten und den Netzwerkgraphen auszugeben.
DE102021123579.0A 2020-10-29 2021-09-13 Identifizieren von schwesterknoten auf der grundlage eines kontextknotens Pending DE102021123579A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/083,449 2020-10-29
US17/083,449 US11734691B2 (en) 2020-10-29 2020-10-29 Identifying sister nodes based on a context node

Publications (1)

Publication Number Publication Date
DE102021123579A1 true DE102021123579A1 (de) 2022-05-05

Family

ID=78595004

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021123579.0A Pending DE102021123579A1 (de) 2020-10-29 2021-09-13 Identifizieren von schwesterknoten auf der grundlage eines kontextknotens

Country Status (5)

Country Link
US (1) US11734691B2 (de)
JP (1) JP2022074072A (de)
CN (1) CN114429351A (de)
DE (1) DE102021123579A1 (de)
GB (1) GB2601227A (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734691B2 (en) 2020-10-29 2023-08-22 International Business Machines Corporation Identifying sister nodes based on a context node

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6292938B1 (en) 1998-12-02 2001-09-18 International Business Machines Corporation Retargeting optimized code by matching tree patterns in directed acyclic graphs
US7856411B2 (en) 2006-03-21 2010-12-21 21St Century Technologies, Inc. Social network aware pattern detection
US7496568B2 (en) * 2006-11-30 2009-02-24 International Business Machines Corporation Efficient multifaceted search in information retrieval systems
WO2009058042A1 (en) 2007-10-29 2009-05-07 Intel Corporation A method of external performance monitoring for virtualized environments
US20110184995A1 (en) * 2008-11-15 2011-07-28 Andrew John Cardno method of optimizing a tree structure for graphical representation
JP5228936B2 (ja) * 2009-01-20 2013-07-03 沖電気工業株式会社 オーバレイトラヒック検出システム及びトラヒック監視・制御システム
US9773288B2 (en) 2009-11-17 2017-09-26 Endera Systems, Llc Radial data visualization system
CN102271379B (zh) * 2011-05-09 2013-09-18 陈实 一种基于上下文感知技术的物联网节点节能路由方法
US10223710B2 (en) 2013-01-04 2019-03-05 Visa International Service Association Wearable intelligent vision device apparatuses, methods and systems
US9310864B1 (en) 2012-09-19 2016-04-12 Amazon Technologies, Inc. Monitoring and real-time adjustment of power consumption settings
US20140101724A1 (en) * 2012-10-10 2014-04-10 Galois, Inc. Network attack detection and prevention based on emulation of server response and virtual server cloning
WO2014193282A1 (en) * 2013-05-31 2014-12-04 Telefonaktiebolaget L M Ericsson (Publ) Identifying resources from a device in a communications network
US9553803B2 (en) * 2014-06-30 2017-01-24 Nicira, Inc. Periodical generation of network measurement data
US10235430B2 (en) 2014-09-01 2019-03-19 Sap Se Systems, methods, and apparatuses for detecting activity patterns
US9240976B1 (en) * 2015-01-06 2016-01-19 Blackpoint Holdings, Llc Systems and methods for providing network security monitoring
US10705872B2 (en) 2016-12-08 2020-07-07 International Business Machines Corporation Predictive virtual server scheduling and optimization of dynamic consumable resources to achieve priority-based workload performance objectives
US10248469B2 (en) 2017-01-19 2019-04-02 International Business Machines Corporation Software based collection of performance metrics for allocation adjustment of virtual resources
US10187264B1 (en) * 2017-02-14 2019-01-22 Intuit Inc. Gateway path variable detection for metric collection
CN110162577B (zh) * 2019-05-09 2021-09-03 中国工商银行股份有限公司 企业族谱的可视化展现方法、设备以及系统
CN111709472B (zh) * 2020-06-15 2022-09-23 国家计算机网络与信息安全管理中心 一种动态融合规则到诈骗行为识别模型的方法
CN111767321B (zh) * 2020-06-30 2024-02-09 北京百度网讯科技有限公司 节点关系网络的确定方法、装置、电子设备和存储介质
US11734691B2 (en) 2020-10-29 2023-08-22 International Business Machines Corporation Identifying sister nodes based on a context node

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734691B2 (en) 2020-10-29 2023-08-22 International Business Machines Corporation Identifying sister nodes based on a context node

Also Published As

Publication number Publication date
US11734691B2 (en) 2023-08-22
GB202114346D0 (en) 2021-11-24
CN114429351A (zh) 2022-05-03
GB2601227A (en) 2022-05-25
JP2022074072A (ja) 2022-05-17
US20220138752A1 (en) 2022-05-05

Similar Documents

Publication Publication Date Title
DE112018005348T5 (de) Optimierung der durchführung einer hohen anzahl von transaktionen auf einer blockchain
DE112021002797T5 (de) Datenschutzerhaltende architektur für genehmigungspflichtige blockchains
DE112016001742T5 (de) Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken
DE112020002110T5 (de) Ressourcenarme entitätsauflösung mit transfer learning
DE60004211T2 (de) Entfernung von duplizierten objekten aus einem objektspeicher
DE112017000886T5 (de) High-Fidelity-Datenreduktion zur Systemabhängigkeitsanalyse
EP1209579A1 (de) System zur automatisierten Abwicklung von Transaktionen durch aktives Identitätsmanagement
WO2020120696A1 (de) Verfahren, vorrichtung und computerprogramm für ein fahrzeug
DE112021003971T5 (de) Nachhaltige token für eine lieferkette mit datenschutzerhaltendem protokoll
WO2021170645A1 (de) Verfahren zum direkten übertragen von elektronischen münzdatensätzen zwischen endgeräten, bezahlsystem, währungssystem und überwachungseinheit
DE102021123579A1 (de) Identifizieren von schwesterknoten auf der grundlage eines kontextknotens
DE112013001175T5 (de) Erzeugen von elektronischen Stammbäumen
Lopes et al. Machine learning partners in criminal networks
DE112020004760T5 (de) Steuern von interaktionen mit einer skalierbaren anwendung
DE112021004808T5 (de) Erkennen von malware durch analyse verteilter telemetriedaten
EP1477882A2 (de) Dezentrales, tokenbasiertes Accountingsystem für autonome, verteilte Systeme
DE112020003821T5 (de) Aufrechterhalten des datenschutzes in einem gemeinsam genutzten erkennungsmodellsystem
WO2020164974A1 (de) Verfahren zur überwachung einer funktionalität eines fahrzeuginformationssystems eines kraftfahrzeugs, sowie elektronische recheneinrichtung, computerprogramm und datenträger
DE202022106163U1 (de) Ein blockchain-basiertes System für Datensicherheit und -verwaltung im Internet der Dinge
DE112020004770B4 (de) Verwaltung einer übertragungshäufigkeit für edge-einheiten eines verteilten netzwerkverbundes
DE10061560A1 (de) Verfahren zur automatischen Abwicklung von Zahlungsvorgängen im Electronic Commerce sowie zugehörige Vorrichtung
DE112021004115T5 (de) Sicherheitssystem für eine Segmentierung von Computerdatei-Metadaten
DE112021004613T5 (de) Redigierbare blockchain
DE102021127398A1 (de) Beziehungserkennung und -quantifizierung
DE102012218268A1 (de) Verwalten digitaler Signaturen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000