FR3118518A1 - Procédé et système de détection automatisée de risque de fraude dans un système surveillé - Google Patents
Procédé et système de détection automatisée de risque de fraude dans un système surveillé Download PDFInfo
- Publication number
- FR3118518A1 FR3118518A1 FR2014184A FR2014184A FR3118518A1 FR 3118518 A1 FR3118518 A1 FR 3118518A1 FR 2014184 A FR2014184 A FR 2014184A FR 2014184 A FR2014184 A FR 2014184A FR 3118518 A1 FR3118518 A1 FR 3118518A1
- Authority
- FR
- France
- Prior art keywords
- events
- operator
- subset
- risk
- fraud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 111
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 230000008569 process Effects 0.000 claims abstract description 76
- 238000007781 pre-processing Methods 0.000 claims abstract description 16
- 230000006870 function Effects 0.000 claims description 17
- 238000004364 calculation method Methods 0.000 claims description 15
- 230000007257 malfunction Effects 0.000 claims description 6
- 238000010200 validation analysis Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 5
- 238000007477 logistic regression Methods 0.000 claims description 3
- 239000010410 layer Substances 0.000 description 22
- 238000013528 artificial neural network Methods 0.000 description 13
- FFBHFFJDDLITSX-UHFFFAOYSA-N benzyl N-[2-hydroxy-4-(3-oxomorpholin-4-yl)phenyl]carbamate Chemical compound OC1=C(NC(=O)OCC2=CC=CC=C2)C=CC(=C1)N1CCOCC1=O FFBHFFJDDLITSX-UHFFFAOYSA-N 0.000 description 11
- 230000004913 activation Effects 0.000 description 8
- 210000002569 neuron Anatomy 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 238000013527 convolutional neural network Methods 0.000 description 6
- 230000015654 memory Effects 0.000 description 6
- 230000009471 action Effects 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000011835 investigation Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000513 principal component analysis Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000008094 contradictory effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000556 factor analysis Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 230000002250 progressing effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Software Systems (AREA)
- Molecular Biology (AREA)
- Biomedical Technology (AREA)
- Mathematical Physics (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Health & Medical Sciences (AREA)
- Accounting & Taxation (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Debugging And Monitoring (AREA)
- User Interface Of Digital Computer (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Procédé et système de détection automatisée de risque de fraude dans un système surveillé L’invention concerne un procédé et un système de détection automatisée de risque de fraude dans un système surveillé, à partir de flux de données générés par ledit système surveillé et caractérisant des évènements, réalisés ou générés par des opérateurs dans ledit système surveillé. Le procédé comporte : un pré-traitement (30-38) d’au moins un ensemble de données enregistrées sur une période temporelle pour obtenir un sous-ensemble d’évènements critiques associés à un opérateur ; l’application itérative d’un premier processus (52,56) paramétré d’estimation de risque de fraude, pour obtenir un premier score de légitimité et une première probabilité d’occurrence associée ; l’application itérative d’un deuxième processus (54,58) paramétré d’estimation de risque de fraude, pour obtenir un deuxième score de légitimité et une deuxième probabilité d’occurrence associée, et la comparaison (60) des résultats desdits premier processus et deuxième processus pour déterminer (64) si ledit opérateur est un opérateur légitime ou un opérateur frauduleux. Figure pour l'abrégé Figure 3
Description
La présente invention concerne un procédé et un système de détection automatisée de risque de fraude dans un système surveillé, à partir de signaux caractérisant ledit système surveillé.
L’invention se situe dans le domaine de la prédiction et détection automatisées de fraudes, et trouve des applications diverses dans des systèmes dans lesquels des fraudes peuvent se produire, par exemple des systèmes financiers, systèmes de gestion et de contrôle de la conformité et de la performance, systèmes bancaires, systèmes d’assurances, systèmes industriels.
Plus généralement, on s’intéresse à des systèmes critiques à surveiller, caractérisés par des flux de données hétérogènes, structurées (par exemple des journaux d’exécution, des fichiers formatés) ou non structurées (par exemple images, enregistrements audio) qui caractérisent des évènements (e.g. opérations, actions, transactions, exécutions, fourniture de données). Les évènements sont attribués à des opérateurs, ils sont effectués ou générés/commandés par des opérateurs du système surveillé. Les données caractérisant le système surveillé sont enregistrées temporellement.
Une problématique constante et récurrente, qu’il s’agisse de systèmes financiers, de systèmes bancaires, de systèmes industriels, et de systèmes d’information, est de détecter automatiquement, de manière précoce, toute irrégularité, anomalie ou incohérence pouvant relever d’une utilisation frauduleuse du système ou d’erreurs dans l’utilisation du système ou de compromissions voire d’intrusions pouvant l’affecter. On entend ici par fraude une opération effectuée en violant intentionnellement une ou plusieurs règles et barrières de défense définissant le fonctionnement légitime d’un système ou de l’un ou plusieurs de ses attributs, un attribut désignant une caractéristique fondatrice du système (ou « feature » en anglais). Dans un cas de suspicion d’opération ou de transaction frauduleuse, l’opérateur ayant commandée une telle opération/transaction est présumé fraudeur et est suspecté d’être à l’origine de la fraude. On peut distinguer entre fraude externe, émanant d’opérateurs externes qui se font passer pour des opérateurs légitimes (par exemple, en faisant une obfuscation d’un profil d’opérateur légitime), et fraude interne, émanant d’opérateursa priorilégitimes, mais potentiellement ayant des comportements malveillants, compromettants voire étant potentiellement complices avec des opérateurs externes.
On connaît dans l’état de la technique diverses méthodes de détection de fraudes, en particulier de détection de fraudes financières, qui sont basées sur des techniques d’intelligence artificielle et d’apprentissage machine (ou « machine learning » en anglais), basées sur l’apprentissage supervisé sur des bases de données relatives aux transactions financières. Les méthodes connues fournissent en général une composante de notation, caractérisant le risque ou la probabilité de fraude. Comme pour toute méthode d’estimation probabiliste, il existe un risque (une probabilité) d’erreur dans la prise de décision, exprimé en termes de taux de faux positifs et taux de faux négatifs. Le taux de faux positifs est le pourcentage de cas où la méthode appliquée détecte une fraude, alors qu’il s’agit d’un opérateur légitime avéré. De manière duale, le taux de faux négatifs est le pourcentage de cas où la méthode appliquée détecte un opérateur légitime, alors qu’il s’agit d’un cas de fraudeur avéré. De telles probabilités d’erreur dans les décisions sont calculées en appliquant la méthode de détection sur des données relatives à des cas de fraude ou d’évènements/opérations légitimes avérés.
Cependant, il a été constaté que la plupart des méthodes de détection de fraudes de l’état de la technique fournissent des taux trop élevés de faux-positifs, ce qui impacte négativement le système en termes de performance et d’expérience clients, et ne garantit pas que tous les faux-négatifs aient été détectés.
Un des objectifs de l’invention est de remédier à cet inconvénient, en proposant une méthode plus fiable.
A cet effet, l’invention propose, selon un aspect, un procédé de détection automatisée de risque de fraude dans un système surveillé, à partir de flux de données générés par ledit système surveillé et caractérisant des évènements, réalisés ou générés par des opérateurs dans ledit système surveillé. Ce procédé comporte des étapes, mises en œuvre par un processeur de calcul, de :
- A) pré-traitement d’au moins un ensemble de données enregistrées sur une période temporelle pour obtenir un sous-ensemble d’évènements critiques associés à un opérateur,
- B) application itérative d’un premier processus paramétré d’estimation de risque de fraude, les paramètres dudit premier processus paramétré étant obtenus par apprentissage sur une première base de données représentatives d’évènements réalisés ou générés par des opérateurs légitimes, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un premier score de légitimité et une première probabilité d’occurrence associée ;
- C) application itérative d’un deuxième processus paramétré d’estimation de risque de fraude, les paramètres dudit deuxième processus étant obtenus par apprentissage sur une deuxième base de données représentatives d’évènements réalisés ou générés par des opérateurs frauduleux, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un deuxième score de légitimité et une deuxième probabilité d’occurrence associée,
- D) Comparaison des résultats desdits premier processus et deuxième processus pour déterminer si ledit opérateur est un opérateur légitime ou un opérateur frauduleux.
Avantageusement, le procédé de détection automatisée de risque de fraude dans un système surveillé selon l’invention met en œuvre indépendamment un premier processus de calcul de légitimité, concomitant à un deuxième processus de calcul d’illégitimité. Avantageusement, le premier processus et le deuxième processus sont des procédés de calcul robustes déployés sensiblement en parallèle.
Le procédé de détection automatisée de risque de fraude dans un système surveillé selon l’invention peut également présenter une ou plusieurs des caractéristiques ci-dessous, prises indépendamment ou selon toutes les combinaisons techniquement envisageables.
Le pré-traitement comporte une détermination d’évènements à partir desdites données enregistrées, un calcul d’une signature de chaque évènement d’au moins une partie desdits évènements, ladite signature étant représentative d’un risque de dysfonctionnement du système surveillé suite audit évènement.
Le pré-traitement comporte en outre une détermination d’un sous-ensemble d’évènements critiques dont la signature est supérieure à un seuil de risque prédéterminé.
Le procédé comporte des itérations successives des étapes d’application desdits premier et deuxième processus, le premier processus étant appliqué sur des parties distinctes dudit sous-ensemble d’évènements critiques jusqu’à validation d’un premier critère de convergence, le deuxième processus étant appliqué sur des parties distinctes dudit sous-ensemble d’évènements critiques jusqu’à validation d’un deuxième critère de convergence.
Suite à la mise en œuvre des étapes A) à C) sur un ensemble de données enregistrées sur une période temporelle dite première période temporelle, l’étape D) met en œuvre un troisième critère de convergence, et dans le cas d’absence de convergence selon ledit troisième critère de convergence, le procédé comporte une itération des étapes A) à D) sur un autre ensemble de données enregistrées sur une deuxième période temporelle, située dans le passé par rapport à ladite première période temporelle.
Le calcul de signature de chaque évènement est effectué en fonction d’évènements passés, par une méthode de régression logistique.
Les paramètres dudit premier processus paramétré sont obtenus par un apprentissage supervisé.
Les paramètres dudit deuxième processus paramétré sont obtenus par un apprentissage non supervisé.
Le procédé comporte une étape préalable de classification desdits évènements en une pluralité de classes, et l’application des étapes A) à D) pour au moins une classe d’évènements.
Selon un autre aspect, l’invention concerne un système de détection automatisée de risque de fraude dans un système surveillé, à partir de flux de données générés par ledit système surveillé et caractérisant des évènements, réalisés ou générés par des opérateurs dans ledit système surveillé. Ce système comporte au moins un processeur de calcul configuré pour mettre en oeuvre :
- A) un module de pré-traitement d’au moins un ensemble de données enregistrées sur une période temporelle pour obtenir un sous-ensemble d’évènements critiques associés à un opérateur,
- B) un module d’application itérative d’un premier processus paramétré d’estimation de risque de fraude, les paramètres dudit premier processus paramétré étant obtenus par apprentissage sur une première base de données représentatives d’évènements réalisés ou générés par des opérateurs légitimes, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un premier score de légitimité et une première probabilité d’occurrence associée ;
- C) un module d’application itérative d’un deuxième processus paramétré d’estimation de risque de fraude, les paramètres dudit deuxième processus étant obtenus par apprentissage sur une deuxième base de données représentatives d’évènements réalisés ou générés par des opérateurs frauduleux, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un deuxième score de légitimité et une deuxième probabilité d’occurrence associée,
- D) un module de comparaison des résultats desdits premier processus et deuxième processus pour déterminer si ledit opérateur est un opérateur légitime ou un opérateur frauduleux.
Selon un autre aspect, l’invention concerne un ou plusieurs programme(s) d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont mises en œuvre par un dispositif électronique programmable, mettent en œuvre un procédé de détection automatisée de risque de fraude dans un système surveillé tel que brièvement décrit ci-dessus.
D’autres caractéristiques et avantages de l’invention ressortiront de la description qui en est donnée ci-dessous, à titre indicatif et nullement limitatif, en référence aux figures annexées, parmi lesquelles :
L’invention trouve des applications pour la détection automatisée de risque de fraude dans tout système à surveiller, et en particulier dans le cas où le système à surveiller est un système de gestion de contrôle de la conformité et de la performance dans le domaine industriel.
La illustre schématiquement un système de détection automatisée de fraude selon un mode de réalisation dans un système surveillé 2.
Le système surveillé génère des flux de données 41à 4k, qui sont enregistrés dans une ou plusieurs unités de mémoire électroniques 6, par exemple sous forme de base de données ou toute autre structure de mémorisation de données. Par exemple, l’unité 6 est formée d’une pluralité de mémoires interconnectées.
Chaque flux de données 4icorrespond à une période temporelle Ti, les périodes temporelles T1à Tkse succédant dans le temps. Par exemple, chaque période temporelle Tia une même durée prédéterminée, par exemple comprise entre un mois et un an, par exemple égale à six mois. Les périodes temporelles se succèdent, par exemple dans un ordre chronologique donné, par exemple la période Ti+1étant antérieure à la période Ti, et ainsi de suite.
De préférence, les flux de données 4isont mémorisés au fur et à mesure de leur génération par le système surveillé 2.
Chaque flux de données comprend des données structurées ou non structurées et caractérisent des évènements effectués ou générés par le système surveillé 2.
Lors de leur enregistrement par le système surveillé, les données, structurées ou non structurées, sont de préférence catégorisées et étiquetées en fonction des spécificités du système surveillé.
Les données structurées comprennent par exemple des journaux d’exécution, des fichiers formatés, des remontées d’alarmes par des mécanismes de surveillance, et les données non structurées comprennent par exemple des images/vidéos, des enregistrements audio.
Les données enregistrées caractérisent des évènements (e.g. opérations, actions, transactions, exécutions, fourniture de données).
Les évènements sont attribués à des opérateurs, ils sont effectués ou générés/commandés par des opérateurs du système surveillé.
Des informations relatives aux opérateurs sont également enregistrées, en association avec les flux de données 4i.
Par exemple, dans un mode de réalisation, chaque opérateur, noté Op, est identifié par un identifiant Id_Op choisi, et optionnellement, chaque opérateur a également un profil Profil_Op associé, qui est également mémorisé par le système surveillé 2.
Un profil d’opérateur comprend des attributs caractéristiques de l’opérateur, par exemple âge, sexe, lieu de naissance, en activité professionnelle ou non…
Les flux de données 4imémorisés sur des périodes temporelles associées Tisont accessibles à un système 10 de détection automatisée de fraude selon l’invention.
Dans un mode de réalisation le système 10 est adapté pour recevoir également des informations contextuelles 9 d’une base de données externe 8, les informations contextuelles 9 comprenant par exemple des connaissances statistiques sur des profils de fraudeurs présumés.
Le système 10 met en œuvre les flux de données 4imémorisés, et optionnellement les informations contextuelles 9 pour déterminer des évènements relatifs à des situations ou menaces redoutées, appelés ci-après évènements critiques.
On entend ici par évènement critique toute opération, action, transaction, exécution ou fourniture de données qui, selon une analyse effectuée, peut relever d’un dysfonctionnement potentiel du système surveillé, i.e. d’une anomalie ou incohérence, ou d’un risque d’anomalie ou incohérence en cas de détection d’évènements précurseurs, relative aux règles de fonctionnement du système surveillé. Chaque évènement, et a fortiori chaque évènement critique, est attribué à un opérateur.
Suite à une détection d’évènements critiques, l’invention permet de détecter, si le ou chaque opérateur associé à des évènements critiques, est un opérateur légitime ou un opérateur frauduleux (ou fraudeur présumé).
Dans le cas d’un opérateur légitime, les évènements critiques détectés correspondant à des erreurs ou des dysfonctionnements du système surveillé, la détection effectuée constitue alors une opportunité d’amélioration du système surveillé et/ou de la manière de gérer ou d’effectuer des opérations, transactions etc. dans ce système.
Dans le cas d’un opérateur frauduleux (fraudeur présumé), l’invention permet de prendre des mesures pour empêcher l’opérateur frauduleux de continuer à agir, prendre des mesures correctives, éviter la survenue d’un risque majeur ou d’une menace.
Le système 10 de détection automatisée de fraude comporte une ou plusieurs unités de calcul 11 (e.g. un ou plusieurs processeurs de calcul) par exemple réparties sur plusieurs ordinateurs ou sur un seul ordinateur, ou plus généralement dispositif électronique programmable, configurée(s) pour mettre en œuvre :
-optionnellement, un module 12 de classification des données des flux de données 4i en classes,
-un module 14 de pré-traitement des évènements pour déterminer un sous-ensemble de données critiques associés à un opérateur ;
-un module 16 d’application, sensiblement en parallèle, de deux processus paramétrés d’estimation de risque de fraude qui sont respectivement :
- un premier processus paramétré d’estimation de risque de fraude, les paramètres du premier processus paramétré étant obtenus par apprentissage (module 18) sur une première base BDD1 de données représentatives d’évènements réalisés ou générés par des opérateurs légitimes ;
- un deuxième processus paramétré d’estimation de risque de fraude, les paramètres du deuxième processus étant obtenus par apprentissage (module 20) sur une deuxième base de données représentatives d’évènements réalisés ou générés par des opérateurs frauduleux ;
- un module 17 de comparaison des résultats desdits premier processus et deuxième processus pour déterminer si ledit opérateur est un opérateur légitime ou un opérateur frauduleux.
Le premier processus et le deuxième processus sont appliqués sur des flux de données 4iassociés à des périodes Ti, jusqu’à validation d’un critère de convergence comme expliqué en détail ci-après.
L’unité de calcul 11 est adaptée pour communiquer avec une unité 22 de mémoire, permettant de stocker des données et paramètres utiles pour la mise en œuvre des modules 12, 14, 16 et 17.
Dans un mode de réalisation, le module 12, le cas échéant, ainsi que les modules 14, 16 et 17, sont réalisés sous forme de code logiciel, et forment un programme d’ordinateur, comportant des instructions logicielles qui, lorsqu’elles sont mises en œuvre par un dispositif électronique programmable, mettent en œuvre un procédé de détection automatisée de risque de fraude dans un système surveillé.
En variante non représentée, les modules 12, 14, 16, 17 sont réalisés chacun sous forme d’un composant logique programmable, tel qu’un FPGA (de l’anglaisField Programmable Gate Array), ou un GPGPU (de l’anglaisGeneral-purpose processing on graphics processing), ou encore sous forme d’un circuit intégré dédié, tel qu’un ASIC (de l’anglaisApplication Specific Integrated Circuit).
Le programme d’ordinateur de détection automatisée de risque de fraude dans un système surveillé est en outre apte à être enregistré sur un support, non représenté, lisible par ordinateur. Le support lisible par ordinateur est par exemple, un médium apte à mémoriser les instructions électroniques et à être couplé à un bus d’un système informatique. A titre d’exemple, le support lisible est un disque optique, un disque magnéto-optique, une mémoire ROM, une mémoire RAM, tout type de mémoire non-volatile (par exemple EPROM, EEPROM, FLASH, NVRAM), une carte magnétique ou une carte optique.
Dans un mode de réalisation, chacun des modules d’apprentissage 18, 20 est réalisé sous forme de code logiciel, et forme un programme d’ordinateur mettant en œuvre une phase d’apprentissage pour chacun des premier et deuxième processus d’estimation de risque de fraude.
La est un synoptique des principales étapes d’une phase de pré-traitement d’un procédé de détection de risque de fraude selon un mode de réalisation.
Cette phase de prétraitement comprend une étape 30 d’obtention d’un ou plusieurs flux de données 41à 4kgénérés par le système surveillé.
Par exemple, le flux de données 4icorrespondant à une période temporelle Tichoisie est obtenu à l’étape 30.
L’étape 30 est suivie d’une étape 32 d’analyse des données pour déterminer des évènements, e.g. opérations, actions, transactions, exécutions, fourniture de données au système surveillé, alertes d’incidents, et d’une étape 34 facultative de classification des évènements, décrite ci-après.
L’étape 32 ou l’étape 34 est suivie d’une étape 36 de calcul d’une signature représentative d’un risque de dysfonctionnement du système surveillé pour chaque évènement, puis d’une étape 38 de détermination et d’extraction d’un sous-ensemble d’évènements critiques.
Dans un mode de réalisation, les étapes 36 de calcul d’une signature représentative d’un risque de dysfonctionnement du système surveillé et 38 de détermination d’un sous-ensemble d’évènements critiques sont effectuées en mettant en œuvre un procédé de captage et de caractérisation de signaux faibles, tel que décrit dans le brevet FR 3 009 615 B1.
En variante, une signature de risque est calculée, pour un évènement considéré, en utilisant une dépendance entre l’évènement considéré et des évènements du passé dont l’évènement considéré dépend par exemple en utilisant une représentation arborescente des dépendances entre évènements.
Par exemple, les formules suivantes sont appliquées :
Où :
Et
Dans un mode de réalisation, une signature de risque est calculée par un algorithme de régression logistique.
Une signature de risque est calculée par la formule :
Où est une fonction d’activation de formule : , est un vecteur de pondérations.
Par exemple, une signature de risque d’un évènement est calculée à partir de signatures de risque de N évènements du passé, ayant chacun une signature . La valeur apporte un biais.
Dans un mode de réalisation, suite à un calcul, pour chaque évènement, d’une signature représentative d’un risque de dysfonctionnement du système surveillé, cette signature est comparée à un seuil de risque prédéterminé, et le sous-ensemble d’évènements critiques est déterminé comme étant les sous-ensemble d’évènements dont la signature est supérieure audit seuil de risque prédéterminé.
A l’issue de l’étape 38, un sous-ensemble d’évènements critiques est déterminé, chaque évènement critique étant associé à un opérateur.
Les étapes suivantes du procédé de détection de risque de fraude sont effectuées pour l’un ou chacun des opérateurs associés à un ou plusieurs évènement(s) critique(s) du sous-ensemble d’évènements critiques.
Dans une variante, les étapes de pré-traitement 32 à 38 sont effectuées sur des évènements associés à un seul et même opérateur.
Ainsi, l’application du pré-traitement décrit ci-dessus permet de déterminer un ou plusieurs sous-ensembles d’évènements critiques, chaque sous-ensemble d’évènements critiques étant associé à un opérateur identifié dans le système surveillé.
Dans une variante, le procédé comporte en outre une étape facultative 34 de classification, par exemple mise en œuvre avant ou après l’étape 32 d’analyse des données pour déterminer des évènements, e.g. opérations, actions, transactions, exécutions, fourniture de données au système surveillé, alertes d’incidents, dé classification des évènements en plusieurs classes d’évènements.
Par exemple la méthode de classification par analyse en composantes principales (ACP) est utilisable, pour des données quantitatives ou pour des données qualitatives, en utilisant un tableau d’associations. Par exemple l’analyse factorielle des correspondances multiples (ACM) est utilisée.
Bien entendu, d’autres méthodes de classification de l’état de la technique sont également applicables.
Dans cette variante, toutes les autres étapes sont appliquées par classe d’évènements, de manière itérative.
La est un synoptique des principales étapes d’un traitement par deux processus paramétrés distincts d’estimation de risque de fraude, ce traitement étant effectué sensiblement en parallèle, pour un même opérateur, et, le cas échéant, pour une même classe d’évènements.
Le procédé comprend une étape 50 d’initialisation, comprenant une fourniture de données représentatives d’évènements critiques, associés à, et plus précisément attribués à un même opérateur Op_M d’identifiant Id_M, ces données correspondant à au moins une partie du sous-ensemble d’évènements critiques déterminé à l’issue de la phase de pré-traitement préalable. Les données représentatives d’évènements critiques comprennent par exemple des mesures, évaluations, dérives, seuils…
Les données représentatives d’évènements sont fournies sur une ou plusieurs périodes temporelles.
Un indice k indique une période temporelle Tkpour laquelle le traitement est appliqué, les périodes temporelles étant traitées dans un ordre choisi, par exemple un ordre chronologique inverse, i.e. en commençant par une période temporelle proche d’un instant temporel présent et progressant l’ordre chronologique inverse, i.e. en s’éloignant de l’instant présent vers le passé.
Par exemple, l’indice k est initialisé à 1, T1désignant une dernière période temporelle avant l’instant présent (i.e. l’instant d’application du traitement). Bien entendu, il s’agit d’une option, d’autres options étant possibles.
L’étape 50 d’initialisation est suivie des étapes 52 et 54, sensiblement concomitantes, qui sont respectivement une étape 52 d’application d’un premier processus paramétré d’estimation de risque de fraude, appelé « processus 1 » par la suite, et une étape 54 d’application d’un deuxième processus paramétré d’estimation de risque de fraude, appelé « processus 2 » par la suite.
Le « processus 1 » et le « processus 2 » sont appliqués sur une même partie des données représentatives d’évènements critiques associés à l’opérateur identifié par Id_M, de la période temporelle Tk.
Dans un mode de réalisation, le « processus 1 » met en œuvre un algorithme d’apprentissage machine (en anglais « Machine Learning »), par exemple un réseau de neurones artificiels comprenant une pluralité de couches, respectivement une couche d’entrée, au moins une couche cachée, une couche de sortie. De préférence, l’apprentissage 46 des paramètres du « processus 1 » est un apprentissage du type supervisé.
Dans un mode de réalisation, le « processus 2 » met en œuvre un algorithme d’apprentissage machine (en anglais « Machine Learning »), par exemple un réseau de neurones artificiels comprenant une ou plusieurs couches. De préférence, l’apprentissage 48 des paramètres du « processus 2 » est un apprentissage du type non-supervisé.
Les deux processus appliquent des réseaux de neurones différents, paramétrés par entraînement sur des bases d’apprentissage différentes, respectivement BDD1 et BDD2, la première base BDD1 contenant des données représentatives d’évènements réalisés ou générés par des opérateurs légitimes ; et la deuxième base de données BDD2 contenant des données représentatives d’évènements réalisés ou générés par des opérateurs frauduleux.
Ainsi, les deux processus sont fondés sur des hypothèses qui sont contradictoires.
Des données X1à XNfournies en entrée d’un tel réseau de neurones sont représentées sous forme de vecteur ou de matrice. Ces données sont par exemple représentatives des évènements critiques préalablement déterminés, associés à l’opérateur identifié par Id_M.
La illustre schématiquement un réseau de neurones profond à deux couches cachées.
Le réseau de neurones 100 de la comporte une couche d’entrée 102, deux couches cachées 104, 106 et une couche de sortie 108.
Chaque couche Ci comporte un nombre Ni de neurones 110. Les nombres Ni varient d’une couche à une autre.
Dans cet exemple, chaque neurone de chaque couche est relié à chaque neurone de la couche précédente et à chaque neurone de la couche suivante, un tel réseau de neurones étant un réseau entièrement connecté (en anglais « fully connected »).
Un neurone 110 calcule une somme pondérée de ses entrées, avec un ajout de biais b optionnel, puis applique une fonction dite fonction d’activation σ sur la somme pondérée calculée.
On peut écrire :
Et
Où xisont les entrées, wiles poids respectifs, b le biais, et σ la fonction d’activation, Y la sortie.
Ainsi, chaque neurone effectue une combinaison non linéaire des entrées.
La fonction d’activation σ est par exemple la fonction sigmoïde :
Bien entendu, d’autres fonctions d’activation sont connues, par exemple ReLU, pour unité linéaire rectifiée, notée R(z) :
D’autres fonctions d’activation connues, par exemple la fonction tangente hyperbolique ou la fonction de Heaviside., sont également applicables
Les paramètres définissant un réseau de neurones, pour une ou plusieurs fonction(s) d’activation choisies (par exemple la fonction d’activation peut différer d’une couche à une autre) sont les poids wiet les valeurs de biais b pour chaque neurone de chaque couche. Ces paramètres sont calculés dans une phase d’apprentissage, sur des données d’apprentissage, supervisé ou non supervisé, pour atteindre un objectif, c’est-à-dire pour obtenir des valeurs de sortie de la couche de sortie 108 qui satisfont un critère prédéterminé, par exemple une fonction de coût notée J(W,B), où W désigne l’ensemble des poids définissant le réseau de neurones et B l’ensemble des biais. La fonction de coût J(W,B) est définie de manière à minimiser une probabilité d’erreur dans le résultat recherché.
De retour à la , dans un mode de réalisation, le réseau de neurones appliqué par le « processus 1 » fournit en sortie de la couche de sortie un premier score de légitimité Score1(M,X,k) caractérisant l’opérateur identifié par Id_M et une première probabilité d’occurrence Prob1(M,X,k) associée aux évènements critiques testés, sur la période temporelle Tk.
Le premier score de légitimité est par exemple une valeur réelle comprise entre 0 et 1, correspondant respectivement à 0% de légitimité jusqu’à 100% de légitimité. Dans un mode de réalisation, la valeur du premier score de légitimité indique une estimation de distance entre l’opérateur d’identifiant Id_M et un individu légitime de référence ou une estimation de distance entre l’opérateur d’identifiant Id_M et un individu fraudeur de référence.
Un individu légitime de référence est soit un individu statistique représentant la distribution statistique de la population qu’il représente, ou bien un ou plusieurs individus, dont la légitimité a été prouvée concrètement, soit après une suspicion, finalement non avérée, ou bien en fonction d’un historique temporel optimal justifiant sa qualification d’individu légitime de référence.
La fonction de coût à minimiser pour le réseau de neurones appliqué par le « processus 1 » est par exemple une fonction associée à l’erreur de détection d’un opérateur frauduleux.
Par exemple, dans un mode de réalisation, le « processus 1 » met en œuvre un réseau de neurones convolutif CNN (pour « Convolutional Neural Network »), comportant par exemple une couche d’entrée, une couche de sortie et deux couches cachées.
De même, dans un mode de réalisation, le réseau de neurones appliqué par le « processus 2 » fournit en sortie de la couche de sortie un deuxième score de légitimité Score2(M,X,k) caractérisant l’opérateur Id_M et une deuxième probabilité d’occurrence Prob2(M,X,k) associée aux évènements critiques testés, sur la période temporelle Tk.
Par exemple, dans un mode de réalisation, le « processus 2 » met en œuvre un réseau de neurones convolutif CNN (pour « Convolutional Neural Network »). Pour le « processus 2»les architectures plus simples sont privilégiées de préférence, par exemple un réseau de neurones à une seule couche, afin de gagner en interprétabilité et en explicabilité.
Un premier critère de convergence des résultats du « processus 1 » est vérifié à l’étape 56, et dans le cas où ce premier critère de convergence n’est pas vérifié, le « processus 1 » est itéré sur les données représentatives d’autres évènements critiques du sous-ensemble d’évènements critiques de la période temporelle Tk.
De manière analogue, un deuxième critère de convergence des résultats du « processus 2 » est vérifié à l’étape 58, et dans le cas où ce deuxième critère de convergence n’est pas vérifié, le « processus 2 » est itéré sur les données représentatives d’autres évènements critiques du sous-ensemble d’évènements critiques de la période temporelle Tk.
Ensuite, lorsque le premier critère de convergence et le deuxième critère de convergence sont vérifiés, les résultats respectifs du « processus 1 » et du « processus 2 » sont comparés lors d’une étape de comparaison 60 mettant en œuvre un troisième critère de convergence. Par exemple, une différence absolue calculée entre le premier score de légitimité et le deuxième score de légitimité est comparée à un seuil de score de légitimité prédéterminé.
Si le troisième critère de convergence n’est pas vérifié, l’indice k indiquant la période temporelle traitée est incrémenté (étape 62), et les étapes 52, 56 et 54, 58 sont itérées sur une nouvelle période temporelle, de préférence une période temporelle du passé.
Si le troisième critère de convergence est vérifié, l’étape de comparaison 60 est suivie d’une étape 64 de vérification du résultat final. La vérification du troisième critère de convergence indique que le premier score de légitimité et le deuxième score de légitimité sont proches d’un même score de légitimité final. Il est vérifié à l’étape 64 si le score de légitimité final correspond à un individu fraudeur de référence, i.e. indique que l’opérateur identifié par Id_M est un opérateur présumé fraudeur.
Dans le cas contraire, l’opérateur identifié par Id_M est présumé légitime, l’étape 64 est suivie d’une étape 66 d’enrichissement de la première base de données d’apprentissage BDD1.
Optionnellement, l’étape 66 est suivie de la mise en œuvre de l’étape 46 d’apprentissage des paramètres du « processus 1 ».
Dans le cas où l’opérateur identifié par Id_M est présumé fraudeur, l’étape 64 est suivie d’une étape 68 de levée d’alerte, par exemple par un envoi de notification, ou tout autre moyen, à des autorités gestionnaires du système surveillé.
De préférence l’alerte est traitée par application d’une vérification 70 par un superviseur humain, qui valide ou invalide la détection de fraude automatisée.
En cas de validation à l’étape de vérification 74, cette étape est suivie d’une étape 72 d’enrichissement de la deuxième base de données BDD2, et optionnellement, d’une mise en œuvre de l’étape 48 d’apprentissage des paramètres du « processus 2 ».
Dans le cadre d’une investigation déployée après une suspicion d’irrégularités intentionnelles sur un procédé industriel de fabrication ou de transformation, pouvant être qualifiée de fraude industrielle, la solution délimitera le périmètre d’investigation associé au procédé en question, en identifiant d’une part, tous les acteurs humains opérant et/ou interagissant dans le périmètre concerné, en répertoriant et évaluant d’autre part, l’ensemble des facteurs organisationnels processus associés, et enfin, l’historique opérationnel et industriel de l’installation industrielle abritant le procédé.
En plus de cibler la détection de tous les écarts associés aux processus et modes organisationnels au regard du référentiel réglementaire ou opérationnel applicable, chaque individu présent ou intervenant sur le procédé voire même en amont ou en aval du procédé, est évalué au moyen de la présente solution.
Si par exemple, un individu est présent dans l’installation depuis un certain nombre d’années, qu’il est en conflit avec sa hiérarchie et que par exemple, il n’admet pas que ses collègues contrôlent ou vérifient par exemple, ses calculs ou sa tâche, alors le système abaissera son score de légitimité et lancera des investigations supplémentaires pour confirmer ou infirmer qu’il a intentionnellement commis une fraude ou une falsification de données, voire le cas échéant, chercher les faisceaux d’indices de preuve, indispensables pour aider le contrôleur dans sa prise de décisions.
Claims (11)
- Procédé de détection automatisée de risque de fraude dans un système surveillé, à partir de flux de données générés par ledit système surveillé et caractérisant des évènements, réalisés ou générés par des opérateurs dans ledit système surveillé, caractérisé en ce qu’il comporte des étapes, mises en œuvre par un processeur de calcul, de :
- A) pré-traitement (30-38) d’au moins un ensemble de données enregistrées sur une période temporelle pour obtenir un sous-ensemble d’évènements critiques associés à un opérateur,
- B) application itérative d’un premier processus (52,56) paramétré d’estimation de risque de fraude, les paramètres dudit premier processus paramétré étant obtenus par apprentissage sur une première base de données représentatives d’évènements réalisés ou générés par des opérateurs légitimes, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un premier score de légitimité et une première probabilité d’occurrence associée ;
- C) application itérative d’un deuxième processus (54,58) paramétré d’estimation de risque de fraude, les paramètres dudit deuxième processus étant obtenus par apprentissage sur une deuxième base de données représentatives d’évènements réalisés ou générés par des opérateurs frauduleux, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un deuxième score de légitimité et une deuxième probabilité d’occurrence associée,
- D) Comparaison (60) des résultats desdits premier processus et deuxième processus pour déterminer (64) si ledit opérateur est un opérateur légitime ou un opérateur frauduleux.
- Procédé selon la revendication 1, dans lequel ledit pré-traitement comporte une détermination (32) d’évènements à partir desdites données enregistrées, un calcul d’une signature (36) de chaque évènement d’au moins une partie desdits évènements, ladite signature étant représentative d’un risque de dysfonctionnement du système surveillé suite audit évènement.
- Procédé selon la revendication 2, dans lequel ledit pré-traitement comporte en outre une détermination (38) d’un sous-ensemble d’évènements critiques dont la signature est supérieure à un seuil de risque prédéterminé.
- Procédé selon l’une quelconque des revendications 1 à 3, comportant des itérations successives des étapes d’application (52, 54) desdits premier et deuxième processus, le premier processus étant appliqué sur des parties distinctes dudit sous-ensemble d’évènements critiques jusqu’à validation (56) d’un premier critère de convergence, le deuxième processus étant appliqué sur des parties distinctes dudit sous-ensemble d’évènements critiques jusqu’à validation (58) d’un deuxième critère de convergence.
- Procédé selon l’une quelconque des revendications 1 à 4, dans lequel, suite à la mise en œuvre des étapes A) à C) sur un ensemble de données enregistrées sur une période temporelle dite première période temporelle, l’étape D) met en œuvre un troisième critère de convergence, et dans le cas d’absence de convergence selon ledit troisième critère de convergence, le procédé comporte une itération des étapes A) à D) sur un autre ensemble de données enregistrées sur une deuxième période temporelle, située dans le passé par rapport à ladite première période temporelle.
- Procédé selon l’une des revendications 1 à 5 dans lequel le calcul de signature (36) de chaque évènement est effectué en fonction d’évènements passés, par une méthode de régression logistique.
- Procédé selon l’une des revendications 1 à 6 dans lequel les paramètres dudit premier processus paramétré sont obtenus par un apprentissage (46) supervisé.
- Procédé selon l’une des revendications 1 à 7, dans lequel les paramètres dudit deuxième processus paramétré sont obtenus par un apprentissage (48) non supervisé.
- Procédé selon l’une quelconque des revendications 1 à 8, comportant, une étape préalable (34) de classification desdits évènements en une pluralité de classes, et l’application des étapes A) à D) pour au moins une classe d’évènements.
- Programme d’ordinateur comportant des instructions logicielles qui, lorsqu’elles sont exécutées par un dispositif électronique programmable, mettent en œuvre un procédé de détection automatisée de risque de fraude dans un système surveillé conforme aux revendications 1 à 9.
- Système de détection automatisée de risque de fraude dans un système surveillé, à partir de flux de données générés par ledit système surveillé et caractérisant des évènements, réalisés ou générés par des opérateurs dans ledit système surveillé, caractérisé en ce qu’il comporte au moins un processeur de calcul configuré pour mettre en oeuvre :
- A) un module (14) de pré-traitement d’au moins un ensemble de données enregistrées sur une période temporelle pour obtenir un sous-ensemble d’évènements critiques associés à un opérateur,
- B) un module (16) d’application itérative d’un premier processus paramétré d’estimation de risque de fraude, les paramètres dudit premier processus paramétré étant obtenus par apprentissage sur une première base de données (BDD1) représentatives d’évènements réalisés ou générés par des opérateurs légitimes, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un premier score de légitimité et une première probabilité d’occurrence associée ;
- C) un module (16) d’application itérative d’un deuxième processus paramétré d’estimation de risque de fraude, les paramètres dudit deuxième processus étant obtenus par apprentissage sur une deuxième base de données (BDD2) représentatives d’évènements réalisés ou générés par des opérateurs frauduleux, sur au moins une partie dudit sous-ensemble d’évènements critiques, pour obtenir un deuxième score de légitimité et une deuxième probabilité d’occurrence associée,
- D) un module (17) de comparaison des résultats desdits premier processus et deuxième processus pour déterminer si ledit opérateur est un opérateur légitime ou un opérateur frauduleux.
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2014184A FR3118518A1 (fr) | 2020-12-28 | 2020-12-28 | Procédé et système de détection automatisée de risque de fraude dans un système surveillé |
| CN202180091378.5A CN116710944A (zh) | 2020-12-28 | 2021-12-28 | 自动检测受监控系统中的欺诈风险的方法和系统 |
| EP21847699.2A EP4268170A1 (fr) | 2020-12-28 | 2021-12-28 | Procédé et système de détection automatisée de risque de fraude dans un système surveillé |
| CA3203085A CA3203085A1 (fr) | 2020-12-28 | 2021-12-28 | Procede et systeme de detection automatisee de risque de fraude dans un systeme surveille |
| JP2023539348A JP2024501035A (ja) | 2020-12-28 | 2021-12-28 | 監視されるシステム中の自動化した不正行為危険検出のための方法およびシステム |
| PCT/EP2021/087710 WO2022144347A1 (fr) | 2020-12-28 | 2021-12-28 | Procédé et système de détection automatisée de risque de fraude dans un système surveillé |
| US18/259,335 US20240056471A1 (en) | 2020-12-28 | 2021-12-28 | Method and system for automated fraud risk detection in a monitored system |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR2014184A FR3118518A1 (fr) | 2020-12-28 | 2020-12-28 | Procédé et système de détection automatisée de risque de fraude dans un système surveillé |
| FR2014184 | 2020-12-28 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| FR3118518A1 true FR3118518A1 (fr) | 2022-07-01 |
Family
ID=75746765
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR2014184A Pending FR3118518A1 (fr) | 2020-12-28 | 2020-12-28 | Procédé et système de détection automatisée de risque de fraude dans un système surveillé |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20240056471A1 (fr) |
| EP (1) | EP4268170A1 (fr) |
| JP (1) | JP2024501035A (fr) |
| CN (1) | CN116710944A (fr) |
| CA (1) | CA3203085A1 (fr) |
| FR (1) | FR3118518A1 (fr) |
| WO (1) | WO2022144347A1 (fr) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR3009615B1 (fr) | 2013-08-06 | 2016-10-14 | Commissariat Energie Atomique | Procede et systeme de captage, discrimination et caracterisation de signaux faibles au moyen de leurs signatures respectives |
| US10009358B1 (en) * | 2014-02-11 | 2018-06-26 | DataVisor Inc. | Graph based framework for detecting malicious or compromised accounts |
| EP3553713A1 (fr) * | 2008-06-12 | 2019-10-16 | Guardian Analytics, Inc. | Modélisation d'utilisateurs pour la détection et l'analyse de fraude |
| CN111552680A (zh) * | 2020-04-27 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 业务欺诈识别数据库的构建方法、装置和计算机设备 |
-
2020
- 2020-12-28 FR FR2014184A patent/FR3118518A1/fr active Pending
-
2021
- 2021-12-28 CN CN202180091378.5A patent/CN116710944A/zh active Pending
- 2021-12-28 JP JP2023539348A patent/JP2024501035A/ja active Pending
- 2021-12-28 CA CA3203085A patent/CA3203085A1/fr active Pending
- 2021-12-28 WO PCT/EP2021/087710 patent/WO2022144347A1/fr active Application Filing
- 2021-12-28 US US18/259,335 patent/US20240056471A1/en active Pending
- 2021-12-28 EP EP21847699.2A patent/EP4268170A1/fr active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3553713A1 (fr) * | 2008-06-12 | 2019-10-16 | Guardian Analytics, Inc. | Modélisation d'utilisateurs pour la détection et l'analyse de fraude |
| FR3009615B1 (fr) | 2013-08-06 | 2016-10-14 | Commissariat Energie Atomique | Procede et systeme de captage, discrimination et caracterisation de signaux faibles au moyen de leurs signatures respectives |
| US10009358B1 (en) * | 2014-02-11 | 2018-06-26 | DataVisor Inc. | Graph based framework for detecting malicious or compromised accounts |
| CN111552680A (zh) * | 2020-04-27 | 2020-08-18 | 深圳壹账通智能科技有限公司 | 业务欺诈识别数据库的构建方法、装置和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2024501035A (ja) | 2024-01-10 |
| CN116710944A (zh) | 2023-09-05 |
| CA3203085A1 (fr) | 2022-07-07 |
| US20240056471A1 (en) | 2024-02-15 |
| EP4268170A1 (fr) | 2023-11-01 |
| WO2022144347A1 (fr) | 2022-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10740310B2 (en) | Intelligent preprocessing of multi-dimensional time-series data | |
| US20220094709A1 (en) | Automatic Machine Learning Vulnerability Identification and Retraining | |
| FR3082963A1 (fr) | Systeme et procede d'evaluation et de deploiement de modeles d'apprentissage automatique non supervises ou semi-supervises | |
| EP3613003B1 (fr) | Système et procédé pour gérer la détection de fraudes dans un système de transactions financières | |
| CN109801151B (zh) | 财务造假风险监控方法、装置、计算机设备和存储介质 | |
| CA3133729A1 (fr) | Systeme et methode d'essai de l'equite de l'apprentissage automatique | |
| US11609838B2 (en) | System to track and measure machine learning model efficacy | |
| US11573882B2 (en) | Systems and methods for optimizing a machine learning-informed automated decisioning workflow in a machine learning task-oriented digital threat mitigation platform | |
| US11720668B2 (en) | Systems and methods for accelerated detection and replacement of anomalous machine learning-based digital threat scoring ensembles and intelligent generation of anomalous artifacts for anomalous ensembles | |
| US11693959B2 (en) | Systems and methods for intelligent cybersecurity alert similarity detection and cybersecurity alert handling | |
| KR102359090B1 (ko) | 실시간 기업정보시스템 이상행위 탐지 서비스를 제공하는 방법과 시스템 | |
| CN117094184A (zh) | 基于内网平台的风险预测模型的建模方法、系统及介质 | |
| FR3118518A1 (fr) | Procédé et système de détection automatisée de risque de fraude dans un système surveillé | |
| US20170154279A1 (en) | Characterizing subpopulations by exposure response | |
| US20230306429A1 (en) | Method for maintaining ethical artificial intelligence (ai) | |
| CN114547640A (zh) | 涉敏操作行为判定方法、装置、电子设备及存储介质 | |
| Genchev | Analysis of changes in the probability of an incident with information security | |
| US20240037197A1 (en) | Systems and methods for password spraying identification and prevention using hash signature segmentation and behavior clustering analysis | |
| Beckmann et al. | Endpoint-performance-monitoring for a better end-user experience | |
| US20230229492A1 (en) | Automated context based data subset processing prioritization | |
| US20230222212A1 (en) | Utilizing machine-learning models to determine take-over scores and intelligently secure digital account features | |
| EP3736743A1 (fr) | Procédé de conception d'un générateur de signature d'une entité réalisant des actions dans une architecture informatique, procédé de détection de comportement anormal, programme d'ordinateur et système correspondants | |
| FR3118244A1 (fr) | Procédé et dispositif de diagnostic d’anomalies | |
| CN117635345A (zh) | 一种代理退保的预测方法、装置、设备及存储介质 | |
| CN114971887A (zh) | 信贷系统的作业监控方法及装置、存储介质、电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 2 |
|
| PLSC | Publication of the preliminary search report |
Effective date: 20220701 |
|
| PLFP | Fee payment |
Year of fee payment: 3 |
|
| PLFP | Fee payment |
Year of fee payment: 4 |