许多企业和组织远程地向消费者和其他客户提供服务。虽然这些服务中有越来越多的部分变得自动化,但人们往往更喜欢(有时也需要)人际交互,以应对更困难或更复杂的案例。自然地,许多企业和组织聘请代表来向询问的消费者和相关方提供关于产品和/或服务的(技术)支持和/或信息。为处理大量请求,一种典型的方法是使用一个或更多个由人工代理者配备的联络中心。许多个体的联络中心都集中在一起,为许多同时工作的代理者提供足够的空间和资源。例如,较大的联络中心可能支持单个建筑物或校园建筑物的数百或数千个工作站。以这种方式,对所有基础设施(例如,计算机、工作站隔间等)的维护和安装都是集中的。
这些联络中心通常通过电话(或模拟电话通信的通信技术)处理大量的服务或履行请求。典型地,代理者将按接收到的顺序应答呼叫,并且当待处理呼叫的数量超过可用代理者的数量时,会形成一个按时间顺序排列的队列,代理者可以随时响应(例如,前一个呼叫已完成)。
联络中心的普遍示例是呼入联络中心,其管理呼入呼叫以向呼入者提供服务。例如,呼入联络中心可以提供支持以完成销售、处理有关产品的问题或疑问(例如,安装说明、保修服务等)、处理与服务相关的呼叫(例如,银行、收款、警察、消防、警报等)以及其他类似的服务。联络中心的另一个示例是发起呼叫的呼出联络中心。呼出联络中心可以为产品或服务提供电话营销,实现慈善或政治捐赠的请求,提供收债服务、进行投票或市场调查等。
联络中心可以由与产品或服务相关联的企业或组织或者被雇用来提供顾客支持的第三方操作。联络中心可以代表第三方客户,其中代理者代表第三方客户处理来自顾客的呼叫。这样,代理者可以被授权使用客户的数据库访问特权客户信息。例如,客户可能是银行机构,并且代理者正在处理呼叫以帮助顾客确定其账户余额。在这种情况下,代理者可以访问由银行机构控制的顾客的个人数据以提供账户余额。
然而,在没有合法需求或者为了恶意目的而访问信息时,存在代理者访问特权顾客信息的情况。也就是说,虽然联络中心代理者固有地被授权访问个人和可识别的信息,但代理者通常只有在需要访问的基础上才被允许使用此访问权限。但是,没有主动监控和用户访问控制,代理者不仅可能通过未经授权的访问收集关键个人信息,而且该信息可能稍后会用于进行额外欺诈(例如申请信用、进行购买交易等)。
技术实现要素:
提供本概述是为了以简化的形式介绍一些概念,其将在以下详细描述中进一步描述。本概述并非旨在确定权利要求的主题的关键特征或基本特征,也并非旨在用于限制权利要求的主题的范围。
根据本发明的实施例,提供了各种计算机实现的方法,提供用于欺诈检测和预防的目的而产生上下文敏感的警报。根据一个实施例,通信(例如,呼叫)会话由代表或代理者在工作站处发起(或由其接收)。使用自动语音识别(ASR)技术监控代理者和第三方顾客之间的语言通信并将其转换为文本。代理者在工作站中执行的应用程序中的活动也被跟踪。在行为引擎中评估转换文本与代理者活动的组合,以检测代理者活动与授权活动或典型活动之间的不一致性。当检测到不一致时,执行安全措施以提醒管理员潜在的欺诈活动,并且在极端情况下,可能会阻止代理者在工作站中的进一步行动以防止其他欺诈活动。在进一步的实施例中,当检测到潜在的欺诈活动时,该方法包括收集第一工作站的电子证据,其中证据可以用于证明代理者的实际欺诈。
根据另一个实施例,提供了一种用于分析呼叫活动以检测潜在的欺诈活动的方法。在一个或更多个实施例中,该方法通过以下步骤执行:分析代理者和第三方消费者之间的语言通信的记录以及行为引擎中的代理者活动日志,从分析的数据中检测潜在的欺诈活动,识别相应于检测到的潜在欺诈活动的预防措施,并且一旦检测到潜在的欺诈活动将预防措施传输到远程工作站。
根据又一实施例,提供了一种用于提交在工作站处执行的代理者活动以用于分析的计算机实现的方法。在一个或更多个实施例中,该方法通过以下步骤执行:在与联络中心代理者相对应的工作站处检测呼叫会话,监控呼叫活动,所述呼叫活动包括代理者与呼叫会话相应的第三方顾客之间的语言通信,将监控的语言通信转换成文本,将转换的文本和在呼叫会话期间代理者活动日志发送到通信耦合的行为引擎,接收监控的语言通信和代理者活动日志之间检测到的不一致性的通知以及一个或更多个安全动作,并且响应于接收到检测到的不一致性的通知来执行安全动作。
附图说明
并入本说明书并形成本说明书的一部分,并且其中相似标号表示相同元件的附图示出了本公开的实施例,并且与说明书一起用于解释本公开的原理。
图1描绘了根据本公开的用于实现实施例的示例性计算机系统的框图。
图2是根据本公开的一个实施例的系统的图示,该系统被配置用于识别由联络中心内的代理者执行的潜在欺诈活动并且一旦识别出该活动就采取预防性动作。
图3是根据本公开的一个实施例的联络中心工作站的组件的框图,其被配置用于监控联络中心代理者的活动以识别由代理者执行的潜在欺诈活动。
图4是根据本公开的一个实施例的、示出了一种方法的流程图,该方法用于监控呼叫活动以检测欺诈活动并且一旦检测到潜在欺诈活动就采取预防性措施。
图5是根据本公开的一个实施例的、示出了一种方法的流程图,该方法用于在工作站处监控呼叫活动以检测欺诈活动并且一旦检测到潜在欺诈活动就采取预防措施。
图6是根据本公开的一个实施例的、示出了一种方法的流程图,该方法用于评估所监控的呼叫活动以确定潜在的欺诈活动的可能性的方法。
具体实施方式
现在将详细参考几个实施例。此外,在下面的详细描述中,阐述了许多具体细节以便提供对权利要求的主题的透彻理解。然而,本领域技术人员将认识到,可以在没有这些具体细节或其等同物的情况下实施实施例。在其他情况下,没有详细描述公知的过程、步骤、组件和电路,以免不必要地模糊主题的方面和特征。
根据过程呈现和讨论以下详细描述的部分。尽管在本文描述该过程的操作的图中公开了其操作和序列,但是这样的操作和序列是示例性的。实施例非常适合于执行本文附图的流程图中所列举的操作的各种其他操作或变体,并且以与本文所描绘和描述的顺序不同的顺序执行。
根据可在计算机存储器上执行的数据位上的操作的步骤、操作、逻辑块、处理和其他符号表示来呈现详细描述的一些部分。这些描述和表示是数据处理领域的技术人员用来将其工作的实质最有效地传达给本领域其他技术人员的手段。过程,计算机执行的操作、逻辑块、处理等在这里并且通常被认为是导致期望结果的操作或指令的自洽序列。这些操作是需要对物理量进行物理操纵的操作。通常,但不一定,这些量采用能够在计算机系统中存储、传输、组合、比较等操作的电或磁信号的形式。主要出于常用的原因,有时将这些信号称为比特、值、元素、符号、字符、术语、数字等被证明是方便的。
然而,应该记住,所有这些和类似的术语都与适当的物理量相关联,并且仅仅是适用于这些量的方便的标签。除非特别声明,否则如从下面的讨论中显而易见的,应该认识到,利用诸如“访问”、“写入”、“包括”、“存储”、“传送”、“遍历”、“关联”、“识别”等讨论始终是指将计算机系统或类似电子计算设备的动作和过程,其将在计算机系统的寄存器和存储器内表示为物理(电子)量的数据操纵并转换成类似地表示为计算机系统存储器或寄存器或其他这种信息存储、传输或显示设备内的物理量的其他数据。
本文描述的实施例可以在驻留在某种形式的计算机可读存储介质(诸如由一个或更多个计算机或其他设备执行的程序模块)上的计算机可执行指令的一般上下文中讨论。作为示例而非限制,计算机可读存储介质可以包括非暂时性计算机存储介质和通信介质。通常,程序模块包括例程、程序、对象、组件、数据结构等,其执行特定任务或实现特定抽象数据类型。程序模块的功能可以根据需要在各种实施例中组合或分配。
计算机存储介质包括以用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程ROM(EEPROM)、闪存或其他存储器技术、光盘ROM(CD-ROM)、数字多功能盘(DVD)或其他光存储器、磁带盒、磁带、磁盘存储器或其他磁存储设备,或可用于存储所需信息并可被访问以检索该信息的任何其他介质。
通信介质可以体现计算机可执行指令、数据结构和程序模块,并且包括任何信息传递介质。作为示例而非限制,通信媒体包括有线媒体(诸如有线网络或直接有线连接),以及无线媒体(诸如声学、射频(RF)、红外和其他无线媒体)。上述任何组合也可以被包括在计算机可读介质的范围内。
本发明的实施例在联络中心的上下文下进行描述,例如用于辅助代理者和顾客之间通过电话网络(例如处理呼入和呼出呼叫)的交互和/或通信的联络中心。在一个或更多个实施例中,利用联络中心代表第三方客户通过与顾客交互和/或通信的各种系统和方法向客户提供服务。联络中心的典型配置包括,例如远离大部分-如果不是绝大多数-对呼叫量有贡献的顾客或客户的集中位置。例如,对于在银行机构范围内运作的联络中心而言,该机构可能是运营联络中心的第三方提供商的客户,并与联络中心签订合同以向其顾客提供银行服务,而不是使用银行雇员。在这样的示例中,通过电话或其他长途通信渠道进行的至少一部分个人银行服务由联络中心的代理者通过与顾客的直接交互来提供。
根据一个或更多个实施例,联络中心能够支持代理者和客户之间沿着一个或更多个通信信道的交互和/或通信。一种类型的交互涉及通过电话网络(例如,移动、公共交换网络、移动和公共交换网络的组合等)在代理者和客户之间电话通信。代理者和顾客之间的其他类型的交互和/或通信还包括但不限于:视频会议、文本、文本消息、基于互联网的通信等。
通过设计的联络中心允许雇佣的代理者访问客户的个人和可识别信息顾客,其由相应的客户维护。例如,作为银行的客户可以存储用于识别顾客的个人信息以及与顾客有关的其他银行信息(例如顾客资产等),而另一个客户(例如,保险公司、医疗保健提供商和其他)可能有权访问个体员工和/或顾客的健康记录。由于该信息(例如财务和健康)易于访问,因此代理者可能会将这些信息用于个人收益。例如,代理者可以使用与顾客相关的信息申请信用,代理者可以使用与顾客相关联的信用卡信息来购买在线物品,或者代理者可以出售知名顾客的个人健康信息。
为了解决这些问题,本发明的实施例提供了在履行正常的联络中心操作期间识别、收集证据并防止联络中心代理者执行欺诈活动的能力。本发明的其他实施例提供了当检测到潜在欺诈活动时警告系统管理员和/或阻止进一步/继续欺诈联络中心代理者访问顾客个人和可识别信息的能力。
本发明的实施例描述了基于通过监控呼叫会话期间的呼叫活动(例如,服务或信息请求等)收集的信息来检测潜在的欺诈活动的技术,并将接收潜在敏感的或财务上有价值的信息的代理者的活动和行为与明确定义的适当的行为的示例或者可选地与潜在欺诈行为进行比较。例如,某些活动可能会与已知的与欺诈活动相关的活动模式相匹配。在其他示例中,当代理者的活动超出与一组代理者相关的统计规范时,这样的活动可表明潜在的欺诈活动。一旦代理者被标记为潜在的欺诈活动,可以进行额外的调查,以确定是否进行了实际的欺诈活动,并采取进一步的预防安全措施。除了积极和直接的预防(例如,禁止进一步代理活动)之外,通过了解代理者的活动正在被监控、欺诈活动可以被成功检测到、并且欺诈活动有受到刑事诉讼的风险,可以阻止欺诈活动。
虽然以下示例配置被示出为合并了特定的列举的特征和元素,但是应该理解,这样的描述是示例性的。因此,实施例非常适合涉及不同的、附加的或更少的元件、特征或布置的应用。
示例性计算机系统
图1是能够实现本公开的实施例的计算系统100的示例的框图。计算系统100广泛地表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统100的示例包括但不限于工作站、膝上型计算机、客户端终端、服务器、分布式计算系统、手持设备或任何其他计算系统或设备。在其最基本的配置中,计算系统100通常包括至少一个处理单元101和存储器,以及用于传送信息的地址/数据总线109(或其他接口)。取决于计算系统环境的确切配置和类型,系统存储器通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器的示例包括但不限于易失性(诸如RAM 102)、非易失性(诸如ROM 103、闪存等)或任何其他合适的存储器设备。在一个或更多个实施例中,存储器可以包括用于存储像素数据的帧缓冲器来驱动显示设备110。
计算机系统100还可以包括可选的图形子系统105,用于向用户呈现信息,例如通过在由视频电缆111连接的附加显示设备110上显示信息。根据本发明的实施例,图形子系统105可以通过视频电缆111直接耦合到显示设备110。在可选实施例中,显示设备110可以集成到计算系统(例如,膝上型或上网本显示面板)中,而不需要视频电缆111。
另外,计算系统100还可以具有附加特征/功能。例如,计算系统100还可以包括附加存储装置(可移除和/或不可移除),包括但不限于磁盘或光盘或磁带。计算机存储介质包括以用于存储信息,诸如计算机可读指令、数据结构、程序模块或其他数据,的任何方法或技术实现的易失性和非易失性的、可移除和不可移除的存储介质。RAM 102、ROM 103和外部数据存储设备(未示出)都是计算机存储介质的示例。
计算机系统100还包括可选的字母数字输入设备106、可选的光标控制或指示设备107以及一个或更多个信号通信接口(输入/输出设备,例如网络接口卡)108。可选的字母数字输入设备106可以与中央处理器101通信信息和命令选择。可选的光标控制或指示设备107耦合到总线109,用于将用户输入信息和命令选择传送到中央处理器101。信号通信接口(输入/输出设备)108也耦合到总线109,其可以是一个串口。通信接口108还可以包括无线通信机制。使用通信接口108,计算机系统100可以通过通信网络,诸如因特网或内联网(例如,局域网),通信地耦合到其他计算机系统。
在一些实施例中,包含计算机程序的计算机可读介质可以被加载到计算系统100中。存储在计算机可读介质上的计算机程序的全部或一部分然后可以存储在系统存储器中和/或存储设备的各种部分。当由处理单元101和/或105执行时,加载到计算系统100中的计算机程序可以使处理器101和/或105执行和/或成为用于执行本文描述和/或示出的示例实施例的功能的手段。附加地或可选地,本文描述和/或示出的示例性实施例可以以固件和/或硬件来实现。
图2是根据本公开的实施例的用于基于在代理者和顾客(呼叫者)之间执行的转换的语言通信来监控代理者活动以检测由联络中心内的代理者执行的潜在欺诈活动的系统200的图示。根据本公开的一个实施例,系统200的一个或更多个组件可以通过例如图1的计算系统100来实现,为了监控代理者和/或工作站的活动以识别潜在的欺诈活动并且在活动被检测到时执行进一步的动作。
根据一个或更多个实施例,系统200包括由企业或组织的一个或更多个代理者操作的联络中心210,以处理与企业或组织的顾客的交互。在可选实施例中,联络中心可以代表客户企业或组织进行操作,并由第三方服务提供商进行管理。根据这样的实施例,可以训练代理者并分派任务向一个或更多个顾客270提供关于与客户企业或组织相关联的产品和/或服务的支持和信息。除了响应对支持和信息的请求之外,联络中心210的代理者可以执行的任务包括(但不限于):帮助客户完成产品或服务的销售,协助顾客访问由该客户管理的信息,或者协作式地指导顾客处理由客户提供或给予的产品或服务的问题和困难。
客户270可以通过一个或更多个通信网络250和255与工作站230处的代理者交互。例如,通信网络255可以包括互连计算机网络系统(例如,互联网),其允许顾客和客户之间的直接通信。而且,通信网络250可以是电话网络的任意组合,其被配置为将顾客连接到特定工作站,例如移动电话网络、基于地面线路的公共交换电话网络(PSTN)等,的代理者。
根据一个或更多个实施例,联络中心210可以包括工作站230的网络220,包括工作站230A-N,每个工作站由一个或更多个代理者处理。在一个或更多个实施例中,工作站可以被划分为可扩展单元,并且被配置为提供基本资源,代理者代表客户利用该基本资源处理顾客的请求。例如,一个工作站可以将计算系统(未示出)和电话组件(未示出)集成在单独的工作平台上。通过提供包括大量工作站和人员(代理者)资源的基础设施,联络中心210能够有效地安装和保持大的呼叫量。此外,通过为工作站提供集中的位置,代理者已经准备好访问信息、资源和主管以帮助实现和维护对客户的顾客的最高质量服务。
如图2所示,每个工作站计算系统被配置为通过通信网络255访问客户的至少一个资源240。例如,工作站计算系统可以执行客户操作的应用程序,其被配置为访问包含与客户企业或组织的顾客有关的信息的数据库。工作站计算系统还可以被配置为工作站处提供顾客与代理者之间的通信。例如,通信可以包括基于因特网的语音通信、由顾客和代理者同时共同访问的共享网站的导航、基于文本的通信等。在一个或更多个实施例中,工作站的电话组件被配置为提供顾客与处理工作站的代理者之间的通信(例如,语音)。例如,电话组件可以经由通信网络250和/或网络255耦合到顾客的相应电话。
如图2中所呈现的,联络中心210中的欺诈监控系统,诸如系统200,还包括安全中心260,其通信地耦合到联络中心210的多个工作站230,并且被配置为接收涉及代理者在与工作站230相关联的多个计算系统上执行的活动的相关信息。在一个实施例中,安全中心260可以被实现为一个或更多个计算设备(例如,服务器),其包括一个或更多个处理单元、一个或更多个存储和存储器设备以及一个或更多个显示设备。所述一个或更多个处理单元可以执行存储在一个或更多个存储器设备中的编程指令,以实现观察者引擎261,其持续接收并处理来自一个或更多个联络中心的工作站的信息。例如,观察者引擎261的信息收集器模块263通信地耦合到工作站230A-N中的每一个,并且被配置为接收可用于监控代理者活动并且可用于确定潜在的欺诈活动何时正在执行的信息。该信息可以被存储在安全中心260的存储器中以供稍后访问,诸如稍后在对信息进行分析时。
在一个或更多个实施例中,由信息收集器模块263收集的信息包括顾客与服务代理者之间的语言通信的转换文字记录,以及响应于该语言通信(即,时间上发生在附近)执行的代理者活动日志。在一个或更多个实施例中,语音到文本转换可以在代理者的工作站本地执行,例如通过与在工作站的计算系统上执行的观察者引擎相关联的安全应用程序。语音可以实时转换和流式传输,也可以从工作站以离散的部分(块)进行转换和流式传输。根据可选实施例,语言通信本身可以实时(例如,流式传输)或以离散的部分(块)被记录和传输到安全中心260并且在由观察者引擎261实现的ASR转换器264中被转换。
在一个实施例中,可以在工作站的相应监控器处本地执行欺诈检测,或者可以在安全中心260远程执行欺诈检测,其中检测基于从在相应的工作站中执行的相应观察者应用程序收集的信息。例如,安全中心260可以包括欺诈检测单元266,其被配置用于检测由工作站处的代理者执行的潜在欺诈活动。在另一个实施例中,欺诈检测单元位于工作站,其中所采取的检测和后续措施在该工作站处被本地控制。在其他实施例中,在多个位置执行欺诈检测,例如在工作站本地以及在安全中心远程执行。
欺诈检测单元(例如,欺诈检测单元266)可以通过将代理者的活动日志和语言通信的转换文字记录与历史和/或理想代理者在类似情况下进行的活动的行为模型265进行比较来确定潜在的欺诈活动。例如,可以在文字记录上执行关键字搜索或上下文分析以确定该呼叫的可能目的,或者行为模型265可以针对特定客户或客户企业线。一旦检测到潜在的欺诈活动,可采取预防性和/或纠正性安全措施来消除或最大限度地降低受影响的顾客的风险。可以使用策略引擎267来确定要采取的适当的一个或更多个安全措施,其考虑若干因素并且选择响应于检测到的潜在欺诈活动而执行哪个或哪些安全措施(如果有的话)。
图3是根据本公开的实施例联络中心工作站300的组件图,其被配置用于监控联络中心代理者的活动以及联络中心代理者与呼叫者之间交换的语言通信,以便识别由代理者执行的潜在欺诈活动。根据一个或更多个实施例,工作站300可以被实现为例如图1的系统100(如上所述),为了监控相应的代理者和/或工作站的活动以识别潜在的欺诈活动并且一旦检测到该活动就执行进一步动作的目的。此外,工作站300代表图2中的工作站230A-N。
在一个或更多个实施例中,工作站300被配置为能够实时监控、欺诈检测和欺诈预防,如通过本发明的实施例所实现的。例如,工作站300的不同部件一起操作以监控通信和跟踪代理者活动,以便检测和记录欺诈活动,并采取后续行动以防止进一步欺诈。
如前所述,联络中心中的每个工作站可以被组织为可扩展单元,并且包含基本组件以使得进行处理的代理者能够与顾客通信并且向代表客户的顾客提供服务。例如,通信资源320允许代理者与顾客通信,并且可以包括电话或其他语音或基于文本的设备。根据另外的实施例,通信资源320还可以包括基于互联网的通信接口,其允许代理者通过基于互联网的协议与类似的联网计算设备(例如,由顾客使用的计算设备)通信。如所描绘的,工作站300还包括多用途计算资源310。
在一个实现中,计算资源310被配置为访问客户资源。例如,当处理或涉及与顾客的交互(例如,处理来自顾客的呼叫)时,代理者代表客户行事并且通过计算资源310可以访问基于客户的资源(例如,应用程序、数据库等),其包含与顾客有关的个人和可识别信息。在一个或更多个实施例中,信息可以从位于远程的数据存储设备访问,可经由安全网络连接(例如,通信资源320)通过在工作站300上执行的应用程序访问。
另外,计算资源310可以被配置为使与顾客的首要或支持通信成为可能。例如,计算资源310可以用于支持或促进实现由顾客和代理者同时访问网站。根据另外的实施例,计算资源310可以与视频摄像机和/或麦克风结合使用,以支持和促进实现顾客与代理者之间的视频会议功能。另外,可以利用计算资源310的能力来实现监控顾客和代理者之间的通信,跟踪计算资源310上的代理者活动,检测欺诈和/或防止欺诈,独立地或与工作站300的其他组件或位于远程的组件或设备(例如,位于安全中心)相结合地。
工作站300还包括观察者应用程序330,其被配置为监控顾客和代理者之间的通信并且跟踪工作站300内的组件的活动和/或相应代理者单独或结合那些组件的活动。在实现中,观察者应用程序330可以由计算资源310执行,并且表示分布式应用程序的实例化。在一个或更多个实施例中,观察者应用程序330包括监控单元332,其被配置为在联系(呼叫)会话期间检测并记录代理者和顾客之间的语言通信。在一个或更多个实施例中,语言通信可以被记录在多个离散字符串或对话片段中,例如,并被存储在工作站300中的缓冲器中。
监控单元332还被配置为跟踪在会话或部分会话期间由进行处理的代理者执行的活动,使得可以产生使用日志,以指示通信资源320被使用的时间或顾客数据被访问的时间以及代理者在任何协同执行应用程序的任何领域和/或操作系统级别执行的任何活动。因此,当计算资源310正在执行客户的应用程序时,当计算资源310正在访问客户的特定资源并且在计算资源310上进行任何其他可量化的活动时,监控单元332能够跟踪计算资源310何时连接到相应工作站的联络中心和/或资源以及与之断开(例如,登入和注销)。
根据一个或更多个实施例,监控单元332能够基于由代理者提供给计算资源310的输入来跟踪在工作站300处的进行处理的代理者的状态。例如,监控单元332能够基于计算资源310的登录状态来确定进行处理的代理者的可用性。在其他情况下,监控单元332能够基于计算资源310的活动历史或基于代理者向资源310提供的登录状态来跟踪代理者何时休息或去吃午餐。
如图3所示,观察者应用程序330还包括转换单元334。在一个或更多个实施例中,在转换单元334中接收代理者和顾客之间记录的对话,并由转换单元334生成文本表示。该文本表示可以包括例如会话的文字记录。在一个或更多个实施例中,使用自动语音识别(ASR)系统来生成文本表示。根据一个或更多个实施例,可针对会话的所有(检测到的)记录的对话生成文本表示。根据可选实施例,可以在多个片段上生成文本表示。在一个或更多个实施例中,片段可基于持续时间或每当对话中的暂停被检测到超过特定阈值时被组织。在更进一步的实施例中,片段可以通过解析会话的记录或会话的文本表示来进行组织,并将上下文分析应用于文本表示以识别对话中的自然暂停或中断。
基于由观察者应用程序330收集的信息,可以执行进一步的分析。例如,为特定目的(例如产品销售、服务请求)和/或者对于特定客户或客户的特定业务线,可以使用从一个或更多个工作站收集的信息来建立特定于个体代理者或代理人组的代理者活动的基线。这些信息也可用于确定频繁或普通欺诈活动的基线。基线数据的插图包括处理或参与与顾客的交互的平均时间,帮助客户时进行通话的平均时间,访问客户资源的平均时间,客户资源被访问的次数,代理者使顾客等候的时间,代理者输入的数据或输入,代理者访问的应用程序或信息等。可以汇总此信息以在一组代理者之间建立适当或最佳的行为,用于特定的任务或目的,或用于基于与统计平均值比较的特定客户或业务线。该信息还可用于确定是否发生了潜在的欺诈活动,例如代理者活动超出统计标准范围或执行不属于目标/客户/业务线正常跟踪活动范围的行为,如将在下面更全面地描述。
如所描绘的,观察者应用程序330还包括欺诈检测单元336。基于监控单元332收集的信息,欺诈检测单元336可以确定何时在工作站300的部件上或由工作站300的组件执行某些活动或活动的组合和/或进行处理的代理者可能构成由代理者正在执行的潜在欺诈活动。例如,如防欺诈单元336所确定的,所收集的信息可以匹配已知在执行欺诈时发生的活动的某些规则或模式。在其他情况下,当代理者活动超出一组代理者、特定代理者或确定的目的/客户/业务线的统计标准时,可能会检测到潜在的欺诈活动。
根据一个或更多个实施例,防欺诈单元336通过连续比较跟踪的代理者活动(例如,作为代理者活动的日志)以及呼叫会话的代理者与客户之间的对话的转换文本表示与在相同或本质上相似的条件/参数下来自类似交互的综合数据的行为模型来确定潜在的欺诈活动。这样,防欺诈单元336可以提供通知代理者正在工作站300进行潜在的欺诈活动。例如,可以通过联络中心的图表来提供通知。
在一个或更多个实施例中,为了检测潜在的欺诈活动而执行的分析可以由本地工作站处的防欺诈单元336、远程防欺诈单元(例如,通过在远程服务器处执行的行为引擎,诸如上文关于图2描述的安全中心260)或本地和远程防欺诈单元的组合执行。在由远程执行的行为引擎执行分析的情况下,可以将活动日志和文本表示从代理者的工作站传送到(远程执行的)行为引擎。根据一个或更多个实施例,活动日志和文本表示的传输、传输材料的分析以及潜在欺诈的检测可以实时发生。可选地,潜在的欺诈活动的检测可以在分析后的发生时段期间执行。
当检测到潜在的欺诈活动时,可以颁布一个或更多个安全协议以实施一个或更多个安全策略。这些策略可能包括执行安全措施,例如:将监控的代理者活动标记为潜在的欺诈活动;生成通知给系统管理员;向系统管理员生成潜在的欺诈活动报告;监控附加的代理者活动;并在工作站暂停进一步的代理者活动。根据一个或更多个实施例,被选择执行的一个或更多个特定安全动作可以在分析期间确定或作为分析的结果被确定以检测潜在的欺诈活动,并且可以基于例如已发生或即将发生的活动的欺诈性的可能性或确定性,检测到的潜在欺诈活动的严重程度或风险程度,代理者在联络中心、客户或业务线的雇佣历史等。
图4是示出根据本公开的一个或更多个实施例的用于监控代理者活动潜在的欺诈活动并且一旦潜在的欺诈活动被检测到时执行预防性措施的方法的流程图400。根据本文描述的各种实施例,步骤410-460描述了包括图4中描绘的过程400的示例性步骤。在一个实施例中,过程400至少部分地被实现为存储在计算机可读介质中并且在计算设备中执行的计算机可执行指令。根据各种实施例,流程图400中概述的方法可以分别由图1至图3的系统100、200和300的一个或更多个组件来实现和/或执行。
在410处,该方法包括检测呼叫会话初始化。呼叫会话可以包括例如入站呼叫,如由顾客发起并且在工作站处接收指派给代理者,并且可以经由电话设备经由语音网络(例如,图2的网络250)接收,和/或作为基于因特网的通信经由网络接口(例如,图2的网络255)到因特网。可选地,呼叫会话还可以包括出站呼叫,由代理者(例如,通过拨打电话号码)或执行拨号(或其他寻址)的自动化系统发起,并促进实现代理者与顾客之间的连接。根据一个或更多个实施例,呼叫(入站或如果由系统自动发起的出站)可以在共享池或呼叫队列中接收,可由相应数量的工作站处的多个代理者中的任何一个访问。
一旦在步骤410处被接收,则呼叫会话被监控。呼叫会话的监控包括例如跟踪用于连接代理者与顾客的接口的电话或计算机电话接口(CTI)状态、监控呼叫会话期间代理者和顾客之间发生的语言通信(会话)以及跟踪代理者在工作站上执行的任何应用程序的活动。在一个或更多个实施例中,可使用语音和电视会议通信协议(诸如实时传输协议(RTP)和/或会话发起协议(SIP))来监控音频通信。所使用的特定协议本身可能遵守行业标准(例如,用于呼叫信令和控制的H.323标准)。音频通信根据适用的一个或多个协议被捕获,并且表示通信的数据分组被生成并且被传送到接收设备和用户。根据一个或更多个实施例,传送的数据分组可以在被转发到接收设备(和用户)之前被最初拦截并被转换为文本(参见下面的步骤420)。
如先前所讨论的,监控允许收集与对代理者活动有关的信息和/或代理者利用资源执行的活动。在一个实施例中,监控代理者的电子活动(例如,计算机活动、电话活动等)。此外,所监控的信息可以在集中的位置收集以用于存储和分析。在一个实现中,该方法包括监控第一工作站处的第一代理者,并且特别监控代理者与工作站的资源(例如,计算资源)的交互。另外,可以监控代理者与客户资源的交互。例如,监控与客户数据库的交互。此外,监控代理者与通信系统的交互以确定代理者何时处理或涉及交互(例如,在通话中)以及代理者是否可用于通过另一交互来帮助新顾客(例如,接受另一呼叫)。
在一个实现中,监控是连续的,其中当代理者正在处理或参与交互(例如,处理呼叫)时以及当代理者未处理或不涉及交互时执行监控。也就是说,代理者的所有活动和/或在工作站的资源上进行的活动都被监控。在其他实现中,监控是周期性的或随机执行的。例如,只需要一个统计样本来确定欺诈活动,监控不是浪费资源,而是在少于连续的基础上进行的。
在步骤420,语言通信被转换为文本表示。在一个或更多个实施例中,使用自动语音识别(ASR)技术(例如,软件)来生成会话的文字记录。根据一个实施例,会话可以被实时记录和存储(例如,在存储器中的缓冲器中),并且转换是从缓冲器中记录的数据产生的。可以根据预定的增量(例如10、30、60秒)为对话执行转换,使得一旦执行转换是递增的。对话和随后的转换可以通过在检测到会话中使用的预定义关键字之后缓冲持续时间增量来生成。在可选实施例中,会话可以被实时(例如,作为流)转换用于对话的全部或部分。根据附加的实施例,会话可以被记录并且以在整体上(在呼叫完成之后)或者以预定义间隔的片段的形式被发送远程转换(例如,在图2的安全中心260处)。
在步骤430,利用在步骤410追踪的代理者活动的日志来评估在步骤420中产生的代理者与顾客之间的全部或部分通信的文本表示(例如,文字记录)。在一个或更多实施例中,文本和活动日志的评估在作为监控或观察应用程序的一部分而实现的行为引擎中执行,并且在服务器中实例化为通信地耦合到一个或更多个联络中心处的一个或更多个工作站。行为引擎通过将输入数据与行为模型进行比较来评估转换的文本和活动日志的输入数据,其包括根据一个或更多个参数的统计和/或批准和/或已知的潜在欺诈活动。这些参数可以包括例如响应于被确定为处于类似情况下(例如,定义的目的)的场景或者用于特定产品、服务或客户的历史和/或批准的行为。根据一个或更多个实施例,特定产品、服务、客户或客户业务线可以具有唯一对应的行为模型。
在一个或更多个实施例中,可以通过分析代理者和顾客之间的对话以确定统计上可能的主题来执行评估。例如,关键字搜索可以在通用目的驱动的术语上执行,例如“地址”、“信用卡卡号”或“问题”。感兴趣的潜在关键词的其他示例包括但不限于退货商品授权(RMA)信息、医疗处方、旅行预订、账号等。近似于搜索到的术语的转换文本可以被进一步分析以更准确地确定通话的目的或会话的特定主题。在活动日志中引用响应于或对应于该术语的代理者的动作(例如,通过时间戳记),然后鉴于该对话进行评估。
在一个或更多个实施例中,根据应用程序和领域级别来评估活动。因此,例如,根据统计上正常的、批准的和/或已知的潜在的欺诈活动,由代理者用于输入由客户提供的响应于短语“信用卡”的数字序列的应用和领域被跟踪和评估。根据可选实施例,可以通过应用除了关键字搜索之外或者代替关键字搜索来执行相对于行为模型的转换的文本和代理者活动的上下文分析和/或模式匹配来执行评估。
在步骤440,检测代理者的活动(如记录在活动日志中)与在步骤430执行评估期间检测到的根据行为模型的相应的授权的和/或统计上正常的动作之间的任何不一致。如果没有检测到不一致,该过程返回到步骤420,其中文本转换和评估是在呼叫期间实时(例如,流式)执行的实施例,或者到步骤430,其中文本转换在评估之前一些时间执行的实施例(例如,使用缓冲区或记录部分)。然而,该过程进行到步骤460,并且当整个会话(或转换后的会话的评估部分)完成而没有检测到根据行为模型的代理者的活动和批准的行为之间的任何不一致时终止。
当检测到不一致时,或者可选地,如果检测到已知或可能潜在欺诈活动,则该过程进行到步骤450以执行安全动作。可以实施各种技术来确定代理者的活动可能潜在欺诈性,并且需要进一步关注。例如,在一个实施例中,代理者可能参与一般指示欺诈活动的可疑活动。特别是,当代理者访问与客户的顾客相关的个人和可识别信息(例如通过客户数据库)但不帮助顾客时(例如,不与客户打电话),那么该活动是可疑的。该活动可以被识别为与条件匹配,并且导致确定代理者可能已经进行了潜在的欺诈活动。可能有必要进一步调查以确定是否发生了实际欺诈。另一方面,如果监控确定经定位的代理者正在访问顾客信息的客户数据库,并且代理者正在帮助该顾客涉及所访问的信息,则授权对客户数据库的活动和访问。
潜在欺诈活动已经发生的确定可能在集中于联络中心的多个工作站的安全中心处执行。特别地,安全中心被配置成接收与代理者活动和/或正在多个工作站的资源上执行的活动有关的多个信息。然后,将在每个工作站收集到的信息通过通信网络传送到安全中心进行进一步分析,并且更具体地确定何时发生了潜在的欺诈活动。
例如,基于与代理者的活动和/或在工作站的资源上执行的活动有关的信息是否违反任何预定义或预定规则(例如,行为模型)来确定潜在欺诈活动已经发生。规则可以由行为模型中的一个或更多个参数和/或标准来定义。更具体地说,可以确定当信息指示违反规则时发生潜在的欺诈活动。作为说明,规则可以定义由一个或更多个代理者结合使用工作站资源(例如,电话、计算资源等)执行的交易、行动或活动的基线。例如,基线可以由与一个代理者和/或多个代理者相关联的活动相关的统计平均值来定义。另外,基线可以被引导或对应于至少第一活动。例如,基线可以描述在预定时间段内(例如,1小时、2小时、每日班次等)由代理者进行的呼出呼叫的平均数量。在另一个示例中,基线可以描述代理者使客户等候接听一段时间的次数和/或每次使客户保持等候接听的持续时间。
可以监控和发现由代理者执行的异常条件,其中异常条件位于基线之外。也就是说,异常表现出不寻常的活动模式。如果异常条件满足规则(例如,参数和/或标准),则可以确定潜在的欺诈活动已经发生。此外,异常情况可以与关于规则的已知欺诈活动相匹配。由于异常可能会偶尔发生,不寻常的高数量的异常表明可能存在欺诈活动。需要进一步调查以确定是否存在实际的欺诈活动。
在一个示例中,当与联络中心中的多个代理者的统计平均值相比时,当存在过多的呼叫者保持时间时,由代理者发生潜在的欺诈活动。被记录为保持时间过长的代理者可能会尝试在与顾客进行主动电话呼叫的同时欺诈地访问个人和可识别信息。在这种情况下,为了打击反欺诈解决方案,联络中心代理者可能会暂停有效的电话顾客,然后访问其他顾客的个人和可识别信息。在又一示例中,当代理者在与其他代理者的动作不一致的时间产生呼出呼叫时,代理者发生潜在的欺诈活动。也就是说,联络中心中代理者的典型模式显示代理者正在处理呼入呼叫。另一种模式可能表明,个人代理者在历史时期只处理呼入呼叫。联络中心代理者可能会尝试仅通过形成呼出呼叫建立虚假的“电话呼叫”,然后欺诈地访问客户的个人和可识别信息,从而打击反欺诈解决方案。在另一个示例中,当代理者正在访问表格并且展示包括其他代理者或该特定代理者的活动的统计平均值之外的特征时,代理者发生潜在的欺诈活动。例如,根据所有联络中心代理者的统计平均值,将代理者识别应用程序的表格或页面中的持续时间与正常基线进行比较,以确定任何偏差。
在步骤450并且响应于检测到的潜在欺诈活动,可以颁布一个或更多个安全协议以对代理者和/或代理者的工作站执行一个或更多个安全策略。例如,可以从用于确定已发生潜在欺诈活动的信息中确定工作站的身份。例如,可以交叉引用在其上发生活动的计算资源的标识信息以确定在其中执行活动的对应工作站。在识别时,可以收集与工作站相关的附加信息,例如确定在潜在的欺诈活动发生时计划被安排工作的代理者。安全策略可能包括执行安全措施,例如:将监控的代理者活动标记为潜在的欺诈活动;生成通知给系统管理员;向系统管理员生成潜在的欺诈活动报告;监控附加的代理者活动;并在工作站暂停进一步的代理者活动。根据一个或更多个实施例,被选择执行的特定安全动作可以在分析期间确定或作为分析的结果被确定以检测潜在的欺诈活动,并且可以基于例如已发生或即将发生的活动的欺诈性的可能性或确定性,检测到的潜在欺诈活动的严重程度或风险程度,代理者在联络中心、客户或业务线的雇佣历史等。
图5和图6分别描绘了由客户计算设备和安全中心执行的过程500和600,以使用基于上下文的规则分析来检测和防止潜在的欺诈活动。在一个或更多个实施例中,过程500描绘了在监控的呼叫期间代理者在工作站中执行的上文关于图4描述的过程400中的一部分或全部。类似地,在一个或更多个实施例中,过程600描绘了在远离工作站的安全中心(例如,图2的安全中心260)中执行的上文描述的过程400中的一部分或全部。根据本文描述的各个实施例,步骤510-570描述了包括图5中描绘的过程500的示例性步骤。根据本文描述的各种实施例,步骤610-660描述了包括图6中描绘的过程600的示例性步骤。在一个实施例中,过程500和600中的一个或两个至少部分地被实现为存储在一个或更多个计算机可读介质中并且在一个或更多个计算设备中执行的计算机可执行指令。根据各种实施例,流程图500和600中概述的方法可以分别由图1至图3的系统100、200和300的一个或更多个组件来实现和/或执行。
在一个或更多个实施例中,过程500可以由在工作站的计算设备中执行的监控或观察应用来执行。步骤510对应于上述步骤410,并且通过检测对应于代理者的工作站(例如,经由电话或基于因特网的通信信道)的呼叫会话的初始化来开始。根据一个或更多个实施例,可以通过确定代理者所使用的工作站或工作站组件的电话状态的改变来检测呼叫会话初始化。一旦检测到呼叫会话,呼叫活动的监控在步骤520开始。如以上关于步骤410所讨论的,呼叫活动的监控包括在呼叫期间跟踪代理者活动。在步骤530,根据一个或更多个基于因特网的传输协议(例如,SIP/RTP)产生捕获话音活动的数据分组(例如,在呼叫会话期间代理者和顾客之间的语言通信/对话)并将其转换为文本。如上所述,可以自动地、并且可以实时(例如,作为流)、根据预定义的间隔在片段中或者从部分或整个对话的记录中追溯地执行到文本的转换。
在步骤540,转换的文本和代理者活动的日志被发送到行为引擎。在一个或更多个实施例中,行为引擎可以被实现为在通信地耦合的服务器计算设备(例如,在远程安全中心)处执行的相应的安全/观察应用的一部分。转换的文本和代理者活动日志在远程执行行为引擎中被处理和分析,并且只要当对响应于转换的文本(基于行为模型)做出的预期行为与代理者活动日志中的相应操作之间观察到不一致,在步骤550处通知监控应用程序的本地实例。此外,还可以分析活动日志以检测任何超出统计规范或所识别(例如,标记)的活动与欺诈或潜在欺诈活动一致的行为。如果没有从行为引擎接收到不一致或潜在欺诈活动的通知,则对于每个监控间隔、感兴趣时段或通话剩余时间的呼叫活动事件,该过程从步骤520连续地重复。
另一方面,当在步骤550处接收到通知时,在560处可能也接收进一步的安全措施,所述安全措施已经被选择为响应于检测到的不一致和/或潜在的欺诈活动而执行的适当措施。否则,可以响应于通知和/或从响应于检测到的感兴趣的活动的行为引擎接收到信息,生成(例如,通过本地执行的安全引擎)安全处方(例如,提高了安全性的动作列表)。在步骤570,执行从行为引擎接收的或者在步骤560生成的安全处方(例如,安全动作列表)以进一步限制代理者活动和/或收集额外的信息以进行评估。根据进一步的可选实施例,在会话期间监控代理者的活动时收集的数据以及对话的文本表示可被提炼并添加到行为模型,从而添加额外的数据点以用于评估类似情况下的进一步行为。
在一个或更多个实施例中,过程600可由实施行为引擎且在安全中心的计算装置中执行的观察应用程序执行。在步骤610中,在监控的呼叫期间代理者和顾客之间的语音通信的全部或一部分的文本表示(例如文字记录)以及由代理者在呼叫期间执行的活动的日志在在计算系统(例如服务器)中执行的监控和/或安全应用程序。在一个或更多个实施例中,可以响应于在通信地耦合到客户计算设备中的上述过程500的步骤510的执行来执行步骤610。在可选实施例中,除了文本表示之外或代替文本表示,可以接收全部或部分语音通信的记录,因此步骤610包括将记录转换为文本表示(例如,使用自动语音识别技术)。
在步骤620,通过比较鉴于语言通信的活动日志中的动作与行为模型,在行为引擎中分析在步骤610处接收(或转换过的)的文本和活动日志。在一个或更多个实施例中,行为模型可以包括将一个或更多个文本输入映射到一个或更多个动作输出的多个行为规则。当活动日志中的动作被确定为不对应于任何行为关联(例如,不一致的活动)时,或者,当活动日志中的活动被确定为与被标记为指示潜在欺诈活动的行为规则相匹配时,该活动在步骤640被识别,在该系统中被标记为潜在欺诈,并且该过程进行到步骤650。当没有检测到不一致或潜在的欺诈活动时,该过程从步骤610开始重复自身。
在步骤650,识别要执行的适当的安全动作(由安全中心、由系统管理员、由代理者主管或由在代理者工作站的客户计算设备中执行的监控应用程序执行)。可以使用安全引擎和/或通过应用将潜在欺诈活动的某些参数映射到安全动作的一组预定义的安全规则来执行适当的安全动作的识别。所考虑的参数可以包括但不限于潜在欺诈活动的类型或特征、其他代理者活动的频率、特定代理者活动的频率、特定客户、特定产品或服务、特定的业务线、行为的严重性或严重程度、对顾客和/或客户的风险、安全和/或系统管理员的可用性、行为的犯罪性以及响应于一个或更多个安全动作阻止进一步类似行为的潜力。最后,在步骤660将在步骤650确定的安全动作传送给代理者的工作站。只要有可能,可以在安全中心执行的监控应用中执行或规定要执行的任何行为也可以在步骤660处执行。
因此,根据本发明的实施例,公开了用于使用转换的语音到文本来监控呼叫活动以检测和防止联络中心内的欺诈的方法和系统。
为了解释的目的,前面的描述已经参照具体实施例进行了描述。然而,上面说明性的讨论并非旨在穷举或将本发明限制于所公开的确切形式。鉴于上述教导,许多修改和变化是可能的。选择和描述实施例是为了最好地解释本发明的原理及其实际应用,从而使本领域的其他技术人员能够最佳地利用本发明和具有各种修改的各种实施例,这些修改可以适合于预期的特定用途。
因此描述了根据本发明的实施例。尽管已经在特定实施例中描述了本公开,但应该理解的是,本发明不应被解释为受这些实施例的限制。