本公开总体上涉及分析用于欺诈性活动的交易,并且更具体地涉及生成交易信息的图形并且基于图形中的关系来判定交易是否是潜在欺诈性的或者节点是否被泄露。
背景技术:
交易有时可以由除账户所有者之外的用户来执行,诸如由已经获得对账户所有者信息(例如,信用卡信息)的未授权访问的用户。因此,与账户交易相关联的细节可以被分析以判定特定交易可能是由账号所有者来执行还是由另一未授权人员来执行的。
附图说明
为了更完整地理解特定实施例及其优点,现在参照结合附图进行的以下描述,在附图中:
图1展示了根据本公开的实施例的交易信息的示例图;
图2A至2F展示了根据本公开的实施例的与用于图形数据库中的交易信息相关联的示例数据结构;
图3展示了根据本公开的实施例的用于使用交易信息的图形来判定交易是否是潜在欺诈性的或者节点是否被泄露的示例方法;并且
图4展示了根据本公开的实施例的示例计算机系统。
具体实施方式
概述
一种系统,包括:存储器,该存储器包括指令;接口;以及一个或多个处理器,该一个或多个处理器通信地耦合至该存储器和接口。该接口被配置用于接收多个交易的交易信息。该处理器被配置用于:基于该交易信息来生成图形数据库,并且基于与该图形数据库的节点相关联的信息来判定该图形数据库的特定节点是否是潜在欺诈性的。
本公开的实施例可以提供多个技术优点。例如,本公开的某些实施例可以允许使用图形数据库来增强欺诈检测能力。作为另一示例,某些实施例可以允许水平缩放图形数据库技术。根据以下附图、说明书和权利要求,本公开的其他技术优点对于本领域技术人员来说将是明显的。此外,尽管以上已经枚举了特定优点,但是各实施例可以包括所枚举优点中的全部、一些或不包括所述优点。
具体实施方式
本公开描述了用于使用交易信息的图形来判定交易是否是潜在欺诈性的系统和方法。具体地,本公开应用图形概念以便使用多维分析对潜在欺诈风险的多个金融交易进行建模和分析,并且可以使用分布式图形数据库技术来支持大量交易信息的分析。通过使用所生成的多个交易的交易信息的图形,可以确定与特定用户和/或用户账户相关联的很多交易是欺诈性的。此外,使用该图形,可以判定特定终端是否被泄露。交易信息可以包括支付或其他类型金融交易的一个或多个细节。在特定实施例中,交易信息可以包括事件信息和维数信息。事件信息可以包括关于交易的一个或多个细节,诸如交易日期/时间、交易金额和/或交易类型。维数信息可以包括关于所涉及方和交易其他方面的信息,诸如终端信息、终端位置信息、与交易中所涉及的用户相关联的信息、和/或与交易中所涉及的(多个)账户相关联的信息(包括所涉及的一个或多个金融机构)。
通过使用事件信息和维数信息,可以生成指示事件信息与维数信息之间的各种关系的图形。在生成交易信息的图形之后,可以分析事件信息与维数信息之间的关系以便判定特定维数是否可能是潜在欺诈性的或者是否被泄露。例如,在某些实施例中,可以针对图形中的每个节点确定风险评分,该风险评分可以将每个相邻节点的平均风险评分考虑在内。基于分析,可以相对于节点来作出一个或多个标记或其他指示(例如,风险评分或概率)以指示其状态。例如,如果所确定的风险评分高于特定阈值,则可以将该节点标记(例如,使用数据结构中的属性)为潜在欺诈性的或被泄露。在图形的图形表示中,可以基于该标记在视觉上指示节点的欺诈或泄露状态。例如,已知的欺诈或泄露节点可以是红色的颜色编码,并且潜在欺诈性的或泄露的节点可以是黄色的颜色编码。
在某些实施例中,除了交易信息之外,多个其他类型的数据或数据源可以被集成在图形中,该数据或数据源包括包含非交易数据源或者社交网络或社交图形信息的人口统计事件。例如,通过交易信息不关联但在社交网络中彼此关联的用户节点可以在图形中彼此相关联。作为另一示例,来自识别已知泄露账户的“白帽(white hat)”组织的信息可以被集成在图形中。通过编译来自多个源的信息,经编译图形可以用于以更高的准确度来分析欺诈性活动的交易信息。
根据本公开通过将图形概念应用于交易信息,可以更容易且准确地检测到欺诈性活动,从而提高了欺诈检测性能并且增加了与其相关联的成本。此外,本公开的多个方面可以允许更快速分析大规模交易信息,从而进一步允许水平地缩放分布式图形数据库技术。这可以通过更快速的模式分析来完成,即,通过检测节点中指示欺诈或泄露活动的模式。作为示例,通过确定与特定终端相关联的多个账户节点被标记为潜在欺诈性的,可以确定该终端已经被泄露。作为另一示例,由多个账户的单个未授权用户引起的欺诈性活动的“余额欺诈(bust out)”模式(例如,单个用户开设许多欺诈账户,该欺诈账户通过典型措施最初并不看起来是欺诈性的,但是然后在每个账户上使用大量花费来进行“余额欺诈”)可以通过确定每个账户链接到同一用户节点、IP地址或其他类型的节点来更快速地识别。
为促进更好地理解本公开,给出了某些实施例的以下示例。以下示例绝不应当被解读为限制或限定本公开的范围。可以通过参考图1至图4来更好地理解本公开的实施例以及其优点,在所述附图中,同类数字被用于指示同类和相应的部分。
图1展示了根据本公开的实施例的交易信息的示例图形100。图形100包括通过边缘连接的多个节点。节点可以指交易信息的某些元素,而边缘可以指将这些元素彼此关联的信息。节点和/或边缘可以包括与其相关联的一个或多个特性,并且可以是特定实施例中的某些数据结构(例如,图2A至图2F的数据结构)的表示。图形100的节点可以包括任何适当的交易信息或者与任何合适的交易信息相关联。例如,图形100包括表示机构101-102(例如,银行)的节点、交易终端111-114(例如,销售点(POS)终端、自动柜员机(ATM)、在线商户服务器等)、表示在终端处发生的唯一交易的事件121-129(例如,信用卡交易或借记卡交易)、与事件121-129相关联的用户131-135、以及与事件121-129相关联的账户141-144。边缘可以包括用于将各种节点彼此相关联的任何合适的关系信息,诸如关于关系或其何时被创建(例如,交易日期)的信息。
图形100可以提供用于对交易信息进行存储和可视化的高效且灵活的机制。这是因为图形数据库可以支持可以在特定基础上添加属性的动态模式,该图形数据库与传统关系数据库相比不需要预定义模式。相应地,稀疏填充条目可能不会像传统关系数据库那样影响图形数据库的效率。
为了生成图形100,可以接收并且处理交易信息,以便以任何合适的方式生成图形100的节点。例如,可以解析交易信息以便将其组成元素分离为事件信息和维数信息。该事件信息可以包括关于交易的一个或多个细节,诸如交易日期、交易金额和/或交易类型。该维数信息可以包括关于交易的所涉方和其他方面的信息,诸如终端信息、位置信息、日期/时间信息、与执行交易的用户相关联的信息和/或与交易中所涉及的(多个)账户相关联的信息(例如,(多个)金融机构)。然后,该事件信息和维数信息可以被放置到图形数据库中,并且使用指示关系信息的边缘来彼此相关联。
一旦放置到图形数据库中,可以基于特定特性或属性(诸如,与欺诈性活动相关联的信息)而在视觉上指示图形100的节点。视觉指示可以采取任何合适的形式。例如,如所展示的,如果某些节点与已知欺诈性交易相关联或者已知为已经被泄露,则可以对其进行加粗,或者如果其被确定为是潜在欺诈性的或者被泄露,则可以使用虚线而不是实线对其进行描绘。作为另一示例,如果某些节点与已知欺诈性交易相关联或已知为已经被泄露,则其可以是红色的颜色编码,或者如果其被确定为是潜在欺诈性的或者被泄露,则其可以是黄色的颜色编码。
首先,可以针对已知与欺诈性活动相关联的节点来更新欺诈状态信息。例如,参考图形100,终端111和终端112可以被确定为与由用户131使用账户141(例如,未授权用户在两个不同的位置处使用被盗信用卡)执行的已知欺诈性交易(即,事件121和124)相关联。这种确定可以使用任何合适的欺诈分析技术来进行,诸如在本文中所描述的这些或已知的欺诈分析技术。作为示例,与账户141相关联的用户可能已经将这种交易指示为欺诈性的和/或未授权的。一旦作出确定:已知特定节点是欺诈性的或者被泄露,可以更新与该特定节点相关联的欺诈状态信息。这可以例如使用与节点相关联的数据结构中的属性(例如,标记属性)来完成。
然后,节点的已知欺诈状态信息可以用于判定图形100的其他节点是否可能是欺诈性的,并且这种节点的欺诈状态信息可以相应地被更新。此确定可以以任何合适的方式来完成。例如,可以针对每个节点来确定风险评分。该风险评分可以基于与其相关联的每个其他节点的平均风险评分。此外,可以针对每个节点确定包括与特定节点相关联的交易金额的数学求解(例如,求和)的潜在损耗值。如果风险评分高于某一阈值,则欺诈状态信息可以指示该节点是潜在欺诈性的。可以相应地更新数据结构中的标记或其他类型的风险属性,和/或相应地可以在图形中在视觉上指示该节点。此外,可以生成警报以便提示欺诈分析师进一步审查这种事件或维数信息。参考图形100,因为已知图形100的节点111、121、131、141、124和112与欺诈性活动相关联,所以图形100中与这些密切相关的其他节点可以在图形100中被标记和/或在视觉上被指示为是潜在欺诈性的。因此,机构101、事件122、123和126以及与其相关联的用户132-134和/或账户142-143可以被标记为是潜在欺诈性的。然而,图形100中的其他节点可以另外保持不变(并且相应地在视觉上被指示)。
可以在不脱离本公开的范围的情况下对图1做出修改、增加或省略。例如,以特定的方式来展示图形100的节点或边缘。然而,可以以任何合适的方式在视觉上指示该节点和/或边缘,包括对图形100中节点的一个或多个属性进行可视化。作为另一示例,图形100可以包括比所展示的更少或更多的节点或边缘。作为另一示例,图形100的节点可以包括地理信息,并且可以根据图形100的节点中的地理信息将图形100覆盖到地图上。作为另一示例,可以提供图形100的实时可视化,其中,交易信息当其被获取时而在图形中被更新。图形100的这种实时可视化可以允许发生更多基于时间的分析(例如,看到“余额欺诈”模式在较小的时间窗口内发生)。
图2A至图2F展示了根据本公开的实施例的与用于图形数据库中的交易信息相关联的示例数据结构201-203。具体地,数据结构201是事件信息的示例,数据结构202是维数信息的示例,并且数据结构203是边缘信息的示例,该边缘信息使事件信息或维数信息中的两项或更多项彼此相关联。数据结构201a展示了与交易事件(例如,金融交易)相关联的事件信息,并且数据结构201b展示了与人口统计事件(例如,增加节点信息或节点信息的变化)相关联的事件信息。数据结构202a展示了与账户(例如,支票账户、信用卡账户等)相关联的维数信息,数据结构202b展示了与客户相关联的维数信息(例如,与账户所有者或授权用户相关联的信息),并且数据结构202c展示了与终端(例如,POS终端或ATM)相关联的维数信息。
数据结构201和202各自包括与其表示的对应事件或维数相关联的特性。例如,表示事件信息的数据结构201中的每个数据结构包括对数据结构或节点进行唯一识别(即,“事件ID”)、描述事件类型(即,“事件类型”)、记录事件日期(即,“事件日期”)并且指示欺诈状态信息(即,“欺诈标记”)的特性。数据结构201a进一步包括指示事件信息所表示的交易金额(即,“金额”)的特性,而数据结构201b进一步包括指示在人口统计事件中变化的人口统计信息(即,“地址”)的特性。此外,表示维数信息的数据结构202中的每个数据结构包括对数据结构或节点进行唯一识别(例如,“维数ID”)并且指示欺诈状态信息(即,“欺诈标记”)的特性。数据结构202a进一步包括指示账户类型(即,“账户类型”)和账号(即,“账号”)的特性。数据结构202b进一步包括指示客户姓名(即,“客户姓名”)和出生日期(即,“客户DOB”)的特性。数据结构202c进一步包括指示终端类型(即,“终端类型”)和终端位置(即,“终端位置”)的特性。
在某些实施例中,数据结构201和/或202可以在图形数据库中使用一条或多条边缘彼此相关联。数据结构203展示了表示边缘信息的示例数据结构,该示例数据结构可以类似于数据结构201和202。例如,边缘数据结构可以包括对边缘进行唯一识别(即,“边缘ID”)并且对彼此相关联的两个或更多个数据结构(即,“节点1”和“节点2”)进行识别的特性。此外,边缘可以包括对与该关联有关的其他属性进行识别的特性,诸如该关联被创建的日期(即,“创建日期”)。
可以在不脱离本公开的范围的情况下对图2A至图2F的数据结构201至203做出修改、增加或省略。例如,数据结构201-203中的任何数据结构可以具有比所展示的更多或更少的特性。作为另一示例,在特定实施例中,某些数据结构可以彼此组合以创建复杂数据结构。例如,客户信息和商户信息可以被组合成单个数据结构,这可以辅助分析客户与商户之间的交易模式(例如,识别到客户何时在特定商户处进行比正常情况大得多的购买)。这些复杂数据结构可以在图形中进行展示并且可以在某些实施例中切换开启或关闭(即,在单数据结构与复杂数据结构之间切换)。
图3展示了根据本公开的实施例的用于使用交易信息的图形来判定交易是否是潜在欺诈性的或者节点是否被泄露的示例方法300。方法300可以使用一个或多个计算机系统来执行,诸如图4的计算机系统400(以下进一步描述的)。例如,方法300可以由处理器来执行,该处理器执行在计算机可读介质中呈现的指令。
方法300可以在步骤310处开始,在该步骤处,接收多个交易的交易信息。该交易信息可以包括与交易相关联的任何合适的信息。在特定实施例中,该交易信息可以包括事件信息和维数信息。该事件信息可以包括交易事件(即,描述金融交易的信息)或人口统计事件(即,描述节点信息中的变化的信息,诸如物理地址、电子邮件地址或社交网络信息中的变化)。在某些实施例中,事件信息可以包括与交易日期/时间、交易金额或交易类型相关的信息。在某些实施例中,维数信息可以包括:与终端信息、终端位置信息相关的信息;与在交易中所涉及的用户相关联的信息;或者与在交易中所涉及的账户相关联的信息。
在步骤320处,生成表示交易信息的图形。在特定实施例中,这可以包括生成和/或填充图形数据库的元素。为了填充图形数据库元素,可以解析交易信息。例如,可以将交易信息解析为其组成事件信息和维数信息,并且可以生成表示每种对应类型的信息的数据结构。这些数据结构可以分别类似于图2A至图2E的数据结构201和202。即,被生成以表示事件信息的数据结构可以类似于图2A至图2B的数据结构201,而被生成以表示维数信息的数据结构可以类似于图2C至图2E的数据结构202。各数据结构可以使用边缘来与一个或多个其他数据结构相关联以形成图形。边缘还可以由数据结构来表示,并且可以类似于图2F的数据结构203。
在步骤330处,分析图形的节点之间的关系。这可以包括确定图形中的每个特定节点的风险评分。每个特定节点的风险评分可以基于与其相关联的每个其他节点的平均风险评分。风险评分还可以基于特定关联度内的节点(例如,通过一定数量的其他节点而与特定节点分离的节点)的平均风险评分。在某些实施例中,此步骤还可以包括确定潜在损耗值。潜在损耗值可以基于与特定节点相关联的交易金额的数学求解(例如,求和)。
最后,在步骤340处,基于在步骤330中执行的分析来识别图形中的潜在欺诈性节点。例如,如果风险评分高于某一阈值,则可以修改与节点相关联的欺诈状态信息以指示该节点是潜在欺诈性的。在特定实施例中,可以相应地更新数据结构中的标记属性。在特定实施例中,可以在图形中在视觉上指示该节点,诸如通过颜色编码。此外,可以生成警报以提示进一步对潜在欺诈性事件或维数信息进行审查。可以在图形内部(例如,通过闪烁可视化节点)或图形外部(例如,通过发送电子邮件消息、文本消息等)生成警报。该警报可以是关于特定节点或事件的警报,或者可以是关于“情况”(即,节点或事件的集合)的警报。
在特定实施例中,可以使用对节点的正剖析和负剖析。正剖析可以指判定其是否是与执行交易的账户相关联的特定用户,而负剖析可以指判定其是否是执行交易的账户的未授权用户。在某些实施例中,三角剖分(triangulation)可以用于肯定地识别用户。可以基于与节点相关联的位置信息、零售商/客户信息、一天中的时刻、IP地址或任何合适类型的信息(该信息可以帮助验证与账户相关联的用户处于与账户相关联的交易正在进行的地方)来构建正剖析。如果可以使用正剖析和/或负剖析来肯定地识别进行交易的人员,则交易为欺诈性的可能性变得非常低。相反的情形也成立;即,如果可以确定其不是进行交易的实际持卡人,则很可能该交易是欺诈性的。通过使用交易信息的图形,可以更准确地执行正剖析和/或负剖析,
三角剖分技术可以用于肯定地识别用户。可以基于位置、零售商、一天中的时刻、IP地址或帮助验证用户处于交易正在进行的地方的其他数据源来构建正剖析。
可以在不脱离本公开的范围的情况下对方法300做出修改、增加或省略。例如,步骤的顺序可以以不同于所描述的方式来执行,并且一些步骤可以同时执行。此外,在不脱离本公开的范围的情况下,每个单独步骤可以包括附加步骤。
图4展示了根据本公开的实施例的示例计算机系统400。可以使用根据本公开的计算机系统400的一个或多个方面。计算机系统400可以包括处理器410、包括指令430的存储器420、存储设备440、接口450和总线460。这些部件可以一起工作以执行一种或多种方法(例如,图3的方法300)的一个或多个步骤并且提供本文所描述的功能。例如,在特定实施例中,可以在处理器410上执行存储器420中的指令430,以便分析图形数据库中的关系从而判定该数据库中的节点是否是潜在欺诈性的。在某些实施例中,指令430可以驻留在代替或除存储器420之外的存储设备440中。
处理器410可以是微处理器、控制器、专用集成电路(ASIC)或可操作用于单独或结合其他部件(例如,存储器420和指令430)提供根据本公开的功能的任何其他合适设备或逻辑。在特定实施例中,处理器410可以包括用于执行指令430的硬件,诸如组成计算机程序或应用的这些指令。作为示例而非通过限制的方式,为了执行指令430,处理器410可以从内部寄存器、内部缓存、存储器420或存储设备440中检索(或提取)指令430;解码和执行指令;并且然后将执行的一个或多个结果写入内部寄存器、内部缓存、存储器420或存储设备440中。
存储器420可以是任何形式的易失性或非易失性存储器,包括但不限于磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、闪速存储器、可移除介质或任何其他适当的(多个)本地或远程存储器部件。存储器420可以存储由计算机系统400利用的任何合适的数据或信息,包括嵌入在计算机可读介质中的软件(例如,指令430)和/或并入硬件中或以其他方式存储(例如,固件)的编码逻辑。在特定实施例中,存储器420可以包括主存储器,该主存储器用于存储供处理器410执行的指令430或供处理器410进行操作的数据。在特定实施例中,一个或多个存储器管理单元(MMU)可以驻留在处理器410与存储器420之间并且促进由处理器410请求的对存储器420的访问。
存储设备440可以包括用于数据或指令(例如,指令430)的大容量存储设备。作为示例而非通过限制的方式,存储设备440可以包括硬盘驱动器(HDD)、软盘驱动器、闪速存储器、光盘、磁光盘、磁带、通用串行总线(USB)驱动器、这些中的两项或更多项的组合、或任何合适的计算机可读介质。在适当情况下,存储设备440可以包括可移除或不可移除(或固定)介质。在适当情况下,存储设备440可以在计算机400内部或外部。在一些实施例中,指令430可以在除存储器420之外或代替该存储器的存储设备440中被编码。
接口450可以包括在网络110上的计算机系统之间(例如,在终端之间)提供用于通信(诸如例如,基于数据包的通信)的一个或多个接口的硬件、经编码软件或二者。作为示例而非通过限制的方式,接口450可以包括用于与以太网或其他基于有线的网络进行通信的网络接口控制器(NIC)或网络适配器和/或用于与无线网络进行通信的无线NIC(WNIC)或无线适配器。接口450可以包括用于通过桥接卡传送通信量(例如,IP数据包)的一个或多个连接器。取决于实施例,接口450可以是任何类型的接口,该接口适用于计算机系统400部署在其中的任何类型的网络。在一些实施例中,接口450可以包括用于一个或多个I/O设备的一个或多个接口。这些I/O设备中的一个或多个可以实现个人与计算机系统400之间的通信。作为示例而非通过限制的方式,I/O设备可以包括键盘、小键盘、麦克风、监测器、鼠标、打印机、扫描仪、扬声器、照相机、触针、平板计算机、触摸屏、轨迹球、摄像机、另一种合适的I/O设备、或这些中的两项或更多项的组合。
总线460可以包括硬件、嵌入在计算机可读介质中的软件、和/或并入在硬件中或以其他方式被存储(例如,固件)的编码逻辑的任何组合,以便将计算机系统400的部件可通信地耦合至彼此。作为示例而非通过限制的方式,总线460可以包括加速图形接口(AGP)或其他图形总线、扩展工业标准结构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准结构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微通道架构(MCA)总线、外设组件互连(PCI)总线、PCI express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线、或任何其他合适总线或这些中的两项或更多项的组合。在适当的情况下,总线460可以包括任何数量、类型和/或配置的总线460。在特定实施例中,一条或多条总线460(其可以每个包括地址总线和数据总线)可以将处理器410耦合至存储器420。总线460可以包括一条或多条存储器总线。
可以在不脱离本公开的范围的情况下对图4做出修改、增加或省略。例如,图4展示了在特定配置中的计算机系统400的部件。然而,可以使用处理器410、存储器420、指令430、存储设备440、接口450和总线460的任何配置,包括使用多个处理器410和/或多条总线460。此外,计算机系统400可以是物理的或虚拟的。
尽管本公开包括若干实施例,但是本领域技术人员可以建议变化、替代、变更、更改、变换以及修改,并且本公开旨在涵盖落在所附权利要求书的精神和范围内的这种变化、替代、变更、更改、变换以及修改。