用于反洗钱分析的系统和方法与流程

用于反洗钱分析的系统和方法
交叉引用
1.本申请要求于2018年11月14日提交的美国临时专利申请第62/767,408号的优先权，该申请的全部内容通过引用并入本文。


背景技术：

2.账户和账户持有者的金融交易的反洗钱(aml)分析可以使用算法来识别可能从事诸如洗钱之类非法或欺诈活动的可疑账户或可以方。aml分析可以生成风险得分以识别可疑账户或可疑方以进行进一步调查。


技术实现要素：

3.本公开提供了可以有利地应用机器学习来准确地管理和预测具有洗钱风险的账户和账户持有者的系统和方法。此类系统和方法可以允许基于如下操作来准确地预测洗钱风险：基于来自多个不同数据源系统的汇总数据对账户变量进行分析，识别可疑账户或账户持有者以进行调查，并且识别对用户的可操作建议，所有这些都是实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等。
4.在一方面，本公开提供了一种用于反洗钱(aml)分析的计算机实现的方法，包括:(a)由计算机获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户持有者之中的账户持有者，其中多个账户中的每个账户由多个账户变量来定义，其中多个账户变量包括金融交易；(b)由计算机将经训练的算法应用于数据集，以生成针对多个账户持有者中的每一个的洗钱风险得分以及与洗钱风险得分相关的一个或多个关键风险驱动因素；并且(c)由计算机至少基于多个账户持有者的洗钱风险得分来输出多个账户持有者的至少一个子集。
5.在一些实施方式中，获得数据集包括从多个不同的源获得并且汇总数据集。在一些实施方式中，数据集包括内部数据集和外部数据集。在一些实施方式中，多个不同的源包括以下中的一个或多个：在线和零售交易、账户和账户持有者特性、交易监督平台、pep列表、制裁和监管目录、恐怖和犯罪监视列表、货币兑换历史或跨境交易信息。在一些实施方式中，该方法还包括基于汇总的数据集生成多个账户变量的至少一部分。
6.在一些实施方式中，经训练的算法包括机器学习算法。在一些实施方式中，机器学习算法包括以下中的一个或多个：支持向量机(svm)、朴素贝叶斯分类、线性回归、分位数回归、逻辑回归、随机森林、神经网络、梯度提升分类器或回归器，或其他有监督或无监督的机器学习算法。在一些实施方式中，生成针对给定账户持有者的洗钱风险得分包括使用经训练的算法处理与给定账户持有者相对应的账户的多个账户变量。
7.在一些实施方式中，该方法还包括由计算机将多个洗钱风险得分存储在数据库中。在一些实施方式中，该方法还包括至少基于针对多个账户持有者中的每一个的洗钱风险得分来对多个账户持有者进行排序。在一些实施方式中，通过基于云的网络执行获得数据集的至少一个子集。
8.在一些实施方式中，该方法还包括当给定账户持有者的洗钱风险得分满足预定标准时识别多个账户持有者的子集以用于进行调查。在一些实施方式中，多个洗钱风险得分中的每一个指示与洗钱风险得分相对应的账户持有者具有包括一个或多个账户变量的一个或多个账户的概率，该一个或多个账户变量包括与洗钱活动相对应的一个或多个金融交易。在一些情况下，风险得分可以是账户正被用于洗钱的概率。在一些实施方式中，预定标准是：洗钱风险得分为至少约20％、至少约30％、至少约40％、至少约50％、至少约60％、至少约70％、至少约80％、至少约90％、至少约95％或至少约99％。在一些实施方式中，该方法还包括至少基于账户持有者的洗钱风险得分和账户持有者的或账户持有者的交易的定量测度(quantitative measure)来生成针对多个账户持有者中的每一个的加权优先级得分。.在一些实施方式中，定量测度包括以下中的一个或多个：风险资产的数量、总资产的数量、净值、可疑交易的数量或总价值、可疑交易或活动的时间长度、与账户持有者与一组账户的关系(例如，时间长度、交易数量)相关的定量测度、与账户持有者与一个或多个其他账户持有者的关系相关的定量测度、与账户持有者的一个或多个特征(例如账户属性、交易)与其他账户持有者等的一个或多个特征之间的关系相关的定量测度)。在一些实施方式中，该方法还包括至少基于针对多个账户持有者中的每一个的加权优先级得分来对多个账户持有者进行排序。在一些实施方式中，该方法还包括由计算机将多个加权的优先级得分存储在数据库中。在一些实施方式中，该方法还包括当给定账户持有者的加权优先级得分满足预定标准时识别多个账户持有者的子集以用于进行调查。在一些实施方式中，预定标准是：加权优先级得分为至少约1万美元、至少约2.5万美元、至少约5万美元、至少约7.5万美元、至少约10万美元。美元、至少约25万美元、至少约50万美元、至少约75万美元、或至少约100万美元的金额。在一些实施方式中，预定标准是：加权优先级得分为至少约1、2、3、4、5、6、7、8、9、10、15、20或超过20的可疑交易的数量。在一些实施方式中，预定标准是：加权优先级得分是至少约1、2、3、4、5、6或7天、约1、2、3、4、5、6天、7、8、9、10、11或12个月、或约1、2、3、4、5或更多年的时间长度。
9.在一些实施方式中，经训练的算法包括被配置为至少部分地基于与多个账户中的两个或多个账户相关联的基于文本的信息来确定两个或多个账户之间的相似性得分的自然语言处理算法。自然语言处理算法可以是n
‑
gram模型。
10.在一些实施方式中，多个账户变量包括现金比率、分层风险、结构化风险、信用风险、总余额、地址变更、交易频率和交易间隔中的一个或多个。
11.在一些实施方式中，多个洗钱风险得分中的每一个是对应账户正被用于洗钱的概率。
12.在一些实施方式中，经训练的算法包括被配置为检测指示分层的交易的分层分析。
13.在一些实施方式中，经训练的算法包括被配置为识别以下中的一个或多个的外汇分析：(i)与已知恐怖组织相关联的交易，(ii)没有外汇歧视的交易，(iii)swift识别的可疑交易，以及(iv)不一致的货币兑换交易。在一些实施方式中，经训练的算法包括可疑行为者分析，其被配置为针对与已知与受制裁实体或犯罪或恐怖分子数据库有联系的接收者或发送者的交易并对其进行标记。在一些实施方式中，经训练的算法包括交易分析，其被配置为识别现金比率、识别相似规模的多个存款或标记非常规货币工具的使用。在一些实施方
式中，经训练的算法包括账户分析，其被配置为分析账户和账户持有者的联系以基于历史案例来关联犯罪或可疑活动。在一些实施方式中，经训练的算法包括被配置为识别结构化交易的结构化分析。在一些实施方式中，经训练的算法包括被配置为分析账户之间的联系的图形技术。
14.在一些实施方式中，(c)包括以洗钱风险得分的降序在图形用户界面中呈现多个账户持有者的子集。在一些实施方式中，多个账户持有者的子集包括被标记为进行洗钱调查的账户持有者。
15.在另一方面，本公开提供了一种用于检测欺诈活动的系统，包括：用户界面；一个或多个计算机处理器；包括机器可执行指令的存储器，该机器可执行指令当由所述或多个计算机处理器执行时使该一个或多个计算机处理器执行包括以下的操作：(a)获得与多个账户相关联的账户和交易数据；(b)将经训练的算法应用于账户和交易数据，以生成针对多个账户中的每一个的洗钱风险得分；并且(c)至少基于多个账户的洗钱风险得分在用户界面中呈现多个账户的至少一个子集。
16.在一些实施方式中，机器学习模型可以提供针对分析结果的可解释性。机器学习模型可以为监督和调查分析员提供可解释性。在一些情况下，可以识别与可能性得分相关联的一个或多个贡献因子并且可以由机器学习模型生成相应的贡献因子。在一些情况下，机器学习模型的输出结果可以包括针对每个可能性得分的特征贡献因子和特征重要性值。在一些情况下，机器学习模型的输出结果可以包括按类型学进行分组的多个特征。
17.在一些实施方式中，该方法还包括由计算机基于多个账户持有者的所识别的子集来生成一个或多个建议决定。在一些实施方式中，该方法还包括当针对多个监视列表账户持有者之中的一个或多个账户持有者的洗钱风险得分满足预定标准时生成警报。在一些实施方式中，该方法还包括当针对一组监视列表账户持有者中的一个或多个的加权优先级得分满足预定标准时生成警报。在一些实施方式中，实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等生成多个洗钱风险得分。在一些实施方式中，该方法还包括处理多个账户持有者的所识别的子集以生成分析图表，其中该分析图表包括多个账户持有者的所识别的子集中的每一个的可视化和分析信息；并向用户显示分析图表。在一些实施方式中，可视化包括地理空间可视化。在一些实施方式中，分析图表被实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等生成并显示给用户。
18.本公开的另一方面提供了一种计算机系统，该计算机系统包括数字处理设备，该数字处理设备包括至少一个处理器、被配置为执行可执行指令的操作系统、存储器和包括可由该数字处理设备执行以创建用于反洗钱(aml)分析的应用的指令的计算机程序，该应用包括：第一模块，被编程为获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户持有者之中的账户持有者，其中所述多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；评分模块，被编程为将经训练的算法应用于数据集以生成针对多个账户持有者中的每一个的洗钱风险得分；可解释性模块，用于呈现每个洗钱风险得分的关键风险驱动因素；以及识别模块，被编程为至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。
19.在一些实施方式中，该应用还包括存储模块，该存储模块被编程为将优化的库存
数据集存储在数据库中。在一些实施方式中，存储是通过基于云的网络执行的。在一些实施方式中，多个不同的源包括以下中的一个或多个：在线和零售交易、账户和账户持有者特性、交易监督平台、pep列表、制裁和监管目录、恐怖和犯罪监视列表、货币兑换历史或跨境交易信息。在一些实施方式中，汇总模块被编程为还基于汇总的数据集生成多个账户变量的至少一部分。
20.在一些实施方式中，经训练的算法包括机器学习算法。在一些实施方式中，机器学习算法包括以下中的一个或多个：支持向量机(svm)、朴素贝叶斯分类、线性回归、分位数回归、逻辑回归、随机森林、神经网络、梯度提升分类器或回归器、或其他监督或无监督的机器学习算法。在一些实施方式中，得分模块被编程为通过使用经训练的算法处理与给定账户持有者相对应的账户的多个账户变量来生成针对给定账户持有者的洗钱风险得分。
21.在一些实施方式中，该应用还包括存储模块，该存储模块被编程为由计算机将多个洗钱风险得分存储在数据库中。在一些实施方式中，该应用还包括排序模块，该排序模块被编程为至少基于针对多个账户持有者中的每一个的洗钱风险得分来对多个账户持有者进行排序。在一些实施方式中，第一模块被编程为通过基于云的网络获得数据集的至少一个子集。
22.在一些实施方式中，识别模块被编程为当给定账户持有者的洗钱风险得分满足预定标准时识别多个账户持有者的子集以用于进行调查。在一些实施方式中，多个洗钱风险得分中的每一个指示与洗钱风险得分相对应的账户持有者具有包括一个或多个账户变量的一个或多个账户的概率，该一个或多个变量包括与洗钱活动相对应的一个或多个金融交易。在一些实施方式中，预定标准是：洗钱风险得分为至少约20％、至少约30％、至少约40％、至少约50％、至少约60％、至少约70％、至少约80％、至少约90％、至少约95％或至少约99％。在一些实施方式中，得分模块被编程为还至少基于账户持有者的洗钱风险得分和账户持有者的或账户持有者的交易的定量测度来生成针对多个账户持有者中的每一个的加权优先级得分。在一些实施方式中，定量测度包括以下中的一个或多个：风险资产的数量、总资产的数量、净值、可疑交易的数量或总价值、可疑交易或活动的时间长度、与账户持有者与一组账户的关系(例如，时间长度、交易数量等)相关的定量测度、与账户持有者与其他账户持有者的关系相关的定量测度、或与账户持有者与其他账户持有者数据的关系相关的定量测度。在一些实施方式中，该应用还包括排序模块，该排序模块被编程为至少基于针对多个账户持有者中的每一个的加权优先级得分来对多个账户持有者进行排序。在一些实施方式中，该应用还包括存储模块，该存储模块被编程为由计算机将多个加权优先级得分存储在数据库中。在一些实施方式中，识别模块被编程为当给定账户持有者的加权优先级得分满足预定标准时识别多个账户持有者的子集以用于进行调查。在一些实施方式中，预定标准是：加权优先级得分为至少约1万美元、至少约2.5万美元、至少约5万美元、至少约7.5万美元、至少约10万美元。美元、至少约25万美元、至少约50万美元、至少约75万美元、或至少约100万美元的金额。在一些实施方式中，预定标准是：加权优先级得分为至少约1、2、3、4、5、6、7、8、9、10、15、20或超过20的可疑交易的数量。在一些实施方式中，预定标准是：加权优先级得分是至少约1、2、3、4、5、6或7天、约1、2、3、4、5、6、7、8、9、10、11或12个月、或大约1、2、3、4、5或更多年的时间长度。
23.在一些实施方式中，机器学习模型可以提供针对分析结果的可解释性。机器学习
模型可以为监督和调查分析员提供可解释性。在一些情况下，可以识别与可能性得分相关联的一个或多个贡献因子并且可以由机器学习模型生成相应的贡献因子。在一些情况下，机器学习模型的输出结果可以包括针对每个可能性得分的特征贡献因子和特征重要性值。在一些情况下，机器学习模型的输出结果可以包括按类型学进行分组的多个特征。
24.在一些实施方式中，该应用还包括建议模块，该建议模块被编程为由计算机基于多个账户持有者的所识别的子集来生成一个或多个建议决定。在一些实施方式中，该应用还包括警报模块，该警报模块被编程为当针对多个监视列表账户持有者之中的一个或多个账户持有者的洗钱风险得分满足预定标准时生成警报。在一些实施方式中，该应用还包括警报模块，该警报模块被编程为当一组监视列表账户持有者中的一个或多个的加权优先级得分满足预定标准时生成警报。在一些实施方式中，得分模块被编程为实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等生成多个洗钱风险得分。在一些实施方式中，该应用还包括分析模块，该分析模块被编程为处理多个账户持有者的所识别的子集以生成分析图表，其中该分析图表包括多个账户持有者的所识别的子集中的每一个的可视化和分析信息；并向用户显示分析图表。在一些实施方式中，可视化包括地理空间可视化。在一些实施方式中，分析模块被编程为实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等生成分析图表并将其显示给用户。
25.本公开的另一方面提供了一种包括机器可执行代码的非暂时性计算机可读介质，该机器可执行代码在由一个或多个计算机处理器执行时实现用于反洗钱(aml)分析的方法，该方法包括：(a)由计算机获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户持有者之中的账户持有者，其中多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；(b)由计算机将经训练的算法应用于数据集以生成针对多个账户持有者中的每一个的洗钱风险得分，并且经训练的算法的输出还包括针对每个洗钱风险得分的关键风险驱动因素；并且(c)由计算机至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。
26.本公开的另一方面提供了一种包括机器可执行代码的非暂时性计算机可读介质，所述机器可执行代码在由一个或多个计算机处理器执行时实现上述或本文其他地方的任何方法。
27.本公开的另一方面提供了一种系统，该系统包括一个或多个计算机处理器和与其耦合的计算机存储器。计算机存储器包括机器可执行代码，其在由一个或多个计算机处理器执行时实现上述或本文其他地方的任何方法。
28.从以下详细描述中，本公开的其他方面和优点对于本领域技术人员将变得容易理解，其中仅示出和描述了本公开的说明性实施方式。如将意识到的，本公开能够有其他不同的实施方式，并且其若干细节能够在各种明显的方面进行修改，所有这些都不背离本公开。因此，附图和描述在本质上被认为是说明性的，而不是限制性的。援引加入
29.本说明书中提到的所有出版物，专利和专利申请都以引用的方式并入本文，就如同每个单独的出版物，专利或专利申请被明确地并单独地指出通过引用并入一样。在通过引用并入的出版物和专利或专利申请与说明书中包含的公开内容相抵触的程度上，该说明书旨在取代和/或优先于任何此类矛盾的材料。
附图说明
30.在所附权利要求书中具体阐述了本发明的新颖特征。通过参考下面的详细说明，可以更好地理解本发明的特征和优点，所述详细说明阐述了示例性实施方式，其中利用了本发明的原理以及附图(也称为“示图”和“图”)，其中：
31.图1示出了一个典型的aml业务流程示例，包括预防、检测和报告。
32.图2a和图2b示出了aml应用的反洗钱(aml)仪表板的示例。
33.图3示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为提供优先案例的地理空间视图。
34.图4示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为向用户提供对可疑案例进行筛分的方式。
35.图5示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为向用户提供针对主要优先网格内的案例批量采取行动的方式。
36.图6示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为提供关于可疑账户或账户持有者的否则分析员可能不得不花时间在各种系统中查询的丰富历史信息集。
37.图7示出了被编程或配置为提供警报和监视列表的aml仪表板的一部分的示例。
38.图8示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为向用户提供调整警报日期、管理通知或对传入数据添加附加警报触发器的方式。
39.图9a、图9b和图9c示出了aml仪表板的一部分的示例，该aml仪表板被编程或配置为向用户提供从针对单个或批量案例的动作菜单下拉菜单中选择案例文件创建弹出窗口的方式。
40.图10示出了可以使用先前确认的非法活动案例来训练的aml模型的示例。
41.图11示出了通过每个分析算法处理的账户数据集或特征的示例。
42.图12示出了可以基于针对其算法或复合特征要求的历史中的必要数据集来计算的特征的示例。
43.图13示出了机器学习模型如何通过在高维空间中处理针对给定账户(例如“账户x”)的特征集以生成洗钱综合得分来分析账户的非法行为的示例。
44.图14a示出了机器学习模型可以如何执行基于机器学习的潜在客户分类以通过分析账户或方综合得分来识别可疑/非法和正常账户或方来识别可疑类型学的示例。
45.图14b示出了机器学习模型如何适应不断演变的风险类型学的示例。
46.图14c示出了机器学习模型如何将原始数据收集或汇总到统一的联合数据湖中、执行数据结构化、应用机器学习规则和算法、生成警报以及允许调查员使用结果生成报告的概述。
47.图14d示出了可以如何设计机器学习模型以执行详尽的特征工程的示例。
48.图14e示出了可以如何训练机器学习模型以使用特征来检测所有风险类型学的洗钱的示例。
49.图14f至图14h示出了机器学习模型如何使用机器学习特征集的示例，这些机器学习特征被设计来提供对可能被用来识别可疑活动的所有类型的数字信息的稳健覆盖。
50.图14i示出了机器学习模型如何为监督和调查分析员提供可解释性的示例。
51.图15示出了机器学习模型如何使用自然语言处理(nlp)来识别账户、账户持有者和账户信息的相似性的示例。
52.图16示出了aml模型可以如何使用可信pagerank方法的示例。
53.图17示出了aml模型可以如何使用传统聚类技术来识别可能指示欺诈活动的账户之间的相似性的示例。
54.图18示出了可以如何使用基于主要问题模式(例如，放置、分层、外汇、结构化、可疑行为、交易和账户)的各种分类来描述分析的示例。
55.图19示出了被编程或以其他方式配置以实现本文提供的方法的计算机系统。
具体实施方式
56.虽然这里已经示出和描述了本发明的优选实施方式，但是对于本领域技术人员来说，这些实施方式仅作为示例提供是容易理解的。在不脱离本发明的情况下，本领域技术人员现在将想到许多变化、改变和替换。应当理解，在实践本发明时可以采用对这里描述的本发明的实施方式的各种替代。
57.除非上下文另有说明，否则本说明书中使用的各种术语可以如下阅读和理解：“或”在全文中使用时是包含性的，就像写成“和/或”一样；通篇使用的单数冠词和代词包括其复数形式，反之亦然；类似地，性别代词包括它们的对应代词，因此代词不应被理解为将此处描述的任何内容限制为单一性别的使用、实施、表现等；“示例性”应被理解为“说明性的”或“示例性的”，而不必理解为“优于”其他实施方式。术语的进一步定义可在本文中阐述；这些可以适用于这些术语的先前和随后的实例，如通过阅读本说明书将理解的。
58.本文认识到需要使用机器学习技术来改进反洗钱(aml)分析的系统和方法，其可以被应用以更准确地识别账户或账户持有者以进行调查。用于改进aml分析的此类系统和方法可以通过例如提高aml运营效率、降低监管风险和降低声誉风险来使机构(例如银行)受益。本公开提供可以有利地应用机器学习来准确地管理和预测具有洗钱风险的账户和账户持有者的系统和方法。此类系统和方法可以基于如下操作来准确地预测洗钱风险：基于来自多个不同数据源系统的汇总数据对账户变量进行分析，识别可疑账户或账户持有者以进行调查，并且识别对用户的可操作建议，所有这些都是实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求、根据用户的请求等。
59.本公开的系统和方法可以将机器学习应用于反洗钱(aml)工作，以提高识别可疑活动的准确性并揭发新的欺诈模式。例如，反洗钱应用可以是支持工作流的应用，以使得合规官员可以在减少误报警报的数量方面提高运营效率并且改进合规资源的分配，专注于高价值调查。aml应用可以通过根据欺诈活动的可能性和风险资产的数量对可疑账户进行优先级排序，从而帮助监督合规分析员和金融犯罪管理者。aml应用还可以实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等来整合和协调众多信息源(例如，数据源)，如本文别处所述。
60.本公开的系统和方法可以提供所有相关信息的单一来源，以使得合规分析员可以在单一平台内执行所有必要的调查，并且一旦对账户或账户持有者的怀疑被确认，就可以采取行动以在关联的案例管理系统中创建案例。支持机器学习的优先级排序可以通过一套支持可解释性和更快分类的高级分析来进行补充。总之，合规团队可以显著提高aml活动的
运营效率。
61.本公开的系统和方法可以使用由数十、数百或数千个复杂分析特征驱动的机器学习算法，这些特征将高频交易(例如，贷方和借方)与参考列表、账户信息和账户持有者信息相关联。分析特征的示例可以包括：高速资金、相关账户中的交易规模相似性、许多独特的交易地点、可疑的外国实体联系、存款金额差异、现金比率以及空间和/或时间的交易图表。每个分析输出都可以馈送到机器学习模型中，该模型根据洗钱风险得分对每个账户或账户持有者进行分类。此类洗钱风险得分可以实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等等、随着每一个新的交易、账户、账户持有者或列表的变化来进行更新。
62.在进一步的实施方式中，aml应用可以跟踪aml活动的关键绩效度量以确保随着时间的运营改进并提供关于最近核实的非法活动和当前可疑案例的摘要级别信息。此外，应用可以包括用户界面(例如，图形用户界面，gui)，其被编程或配置为显示输出数据的可视化(例如，地理空间视图和监视列表)，其可以按照期望被应用于摘要级别数据或账户级别信息。
63.在一个实施方式中，aml应用可以被构建在整合平台上，该整合平台实现了实时或近实时整合以及新数据源的可扩展性、计算的可扩展性以及在生产中开发和迭代机器学习模型的灵活性。
64.在一个实施方式中，aml应用支持风险资产的识别。例如，可以分析账户或账户持有者的信息，以通过最高预期洗钱累积金额对账户或账户持有者进行优先排序，通过估计的洗钱款金额来权衡欺诈活动的可能性。通过对一组已确认的洗钱案例以及关联的交易和账户信息或账户持有者信息进行机器学习训练，可以改进非法活动的分类。此外，高级分析可以支持机器学习的可解释性，并基于有针对性和可行动的根本问题识别来提高调查效率。aml应用可以通过由于更准确的预测导致减少不必要的调查数量来提高客户满意度。
65.在一个实施方式中，aml应用支持aml运营工作，从而使合规官员受益。例如，众多系统的流线型数据整合可以实现更快的案例筛分和升级到现场调查团队。aml运营工作可以纳入管理工作流，其支持用于调查的业务过程。此外，与案例管理系统的双向整合可以实现利用准确的数据来创建案例，从而减少后台错误并加快案例解决时间。
66.在一个实施方式中，aml应用帮助合规调查员识别通过其他业务过程以其他方式识别的可疑活动，从而导致更及时的监管报告。
67.在一个实施方式中，aml应用帮助识别附加的客户以进行详细查阅，这可能导致向当局报告更多可疑活动，从而导致提高对监管要求(例如，银行保密法、爱国者法)的整体合规。
68.在一个实施方式中，aml应用支持监管要求，从而对监管暴露减少产生益处。例如，aml应用可以实现对潜在欺诈活动的一致报告，以用于合同和监管报告目的。改进的资产追回和可疑活动识别可以减少风险资本和资产流动。此外，改进的aml工作可以使银行成为打击犯罪和恐怖主义活动的全球领导者。
69.在一个实施方式中，aml应用支持包括诸如合规分析员之类的个体的用户组。合规分析员可以负责在识别和升级洗钱活动中支持贸易和交易监督团队。他们可以执行第二道防线并在风险框架内操作，并且不断寻求应用改进的系统和方法以进行监督和非法活动识
别。
70.使用本公开的系统和方法，用户(例如，合规分析员)可以使用如smarts、swift和actimize之类的系统来分析交易和贸易。此类用户可以了解监管要求并将风险框架应用于账户活动。他们还可以将风险通道之外的活动升级(例如，到金融犯罪官员)。
71.使用本公开的系统和方法，用户可以执行各种任务。首先，用户可以查阅当前风险账户的管道以及查看最近几个月的群组绩效趋势。用户可能具有一系列要筛分的案例以及要跟进的开放调查。其次，用户可以对照目标来评估关键绩效指示符。第三，用户可以使用机器学习得分(例如，洗钱风险得分)来识别风险账户和资产。第四，用户可以使用强健的过滤选项在整个账户或账户持有者团体中查找账户、交易、黑名单账户或账户持有者等。例如，过滤器可以默认根据非法活动的可能性返回排序结果，以确保重点关注具有最高可能性、风险或涉嫌非法活动的账户或账户持有者。
72.第五，用户可以对账户或账户持有者执行深入研究以筛分并确定是否需要升级(例如，进一步调查)。例如，用户可以使用图表特征将交易和分析可视化。用户可以将针对关联账户的所有相关制裁和pep列表信息相关。作为另一示例，用户可以为团队成员之间的筛分和查阅指派账户以防止重复查阅。用户可以决定是否升级。如果需要升级，则用户可以打开一个预先填充有账户或账户持有者信息的弹出窗口，并将调查引导到适当的犯罪检测团队。如果不需要升级，则用户可以在平台内改变案例的状态，以通知机器学习模型，该案例不可疑。用户还可以将账户或账户持有者添加到监视列表以供将来查阅，为将来的时间点设置警报。如果用户更改案例的状态，则这种更改可以稍后被查阅并被用来训练本文所描述的算法之一。
73.第六，用户可以查阅现有的监视列表账户。第七，用户可以查阅之前的非法活动以供参考。例如，用户可能希望保留先前的欺诈活动案例，以用于后代和交叉训练的目的。
74.金融犯罪管理者可以负责管理将执行aml活动并提出调查性深入研究建议的金融犯罪分析员的分布式团队。他们的主要目标可以包括管道中的可疑案例的监督、分析员之间的协调和交叉训练以及团队绩效度量的监控。金融犯罪管理者可以执行多种任务。例如，金融犯罪管理者可以确定金融犯罪分析员的需求与执行任务所需的软件和其他资源之间的一致性。作为另一示例，金融犯罪管理者可以监控和跟踪团队和个人的绩效，包括资产追回、调查命中率和团队运营效率。此外，金融犯罪管理者可以实施交叉训练，以确保所有团队成员都能够使用现有工具和应用来评估非法活动。
75.金融犯罪管理者可以使用本公开的系统和方法来执行各种任务。例如，金融犯罪管理者可以将关键绩效度量包括在应用仪表板中，以对照目标来正确评估和公开绩效。作为另一示例，金融犯罪管理者可以设置总体调查进度警报。此外，金融犯罪管理者可以查阅先前核实的欺诈案例，以支持识别新的机器学习特征或用户界面(ui)增强。金融犯罪管理者可以通过对应用特征和机器学习输出的团队查阅来支持交叉训练。
76.合规和风险官员可以负责确保所有调查符合严格的标准，并基于监管要求为调查当局进行充分记录。合规和风险官员可以使用本公开的系统和方法来执行各种任务。例如，合规和风险官员可以定义向外部政府和犯罪当局报告所需的交易数据和相关信息。作为另一示例，合规和风险官员可以支持机器学习的可解释性过程，以确保机器学习识别的可疑案例和分析员所采用的调查触发器具有某种程度的可追溯性。此外，合规和风险官员可以
为第三方实体生成临时报告(例如，基于合规和监管要求)。
77.在一方面，本公开提供了用于反洗钱(aml)分析的计算机实现的方法，包括：(a)由计算机获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户持有者之中的账户持有者，其中多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；(b)由计算机将经训练的算法应用于数据集，以生成针对多个账户持有者中的每一个的洗钱风险得分；并且(c)由计算机至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。
78.在一些实施方式中，aml可以包括诸如图形用户界面(gui)之类的用户界面(ui)，其可以被编程或配置为提供诸如高管级别关键绩效指示符、关于当前顶级可疑案例的摘要信息、为监视列表案例设置的警报以及查看最近核实的非法活动案例之类的信息。
79.图1示出了一个典型的aml业务过程示例，包括预防、检测和报告。本公开的系统和方法可以使用人工智能方法来提供报告和检测阶段之间以及检测和预防阶段之间的反馈。例如，在预防阶段，此类人工智能方法可以使用人工智能以用于改进了解你的客户(kyc)资料搜集、增强的尽职调查和基于ai的客户划分。作为另一示例，在检测阶段，此类人工智能方法可以使用人工智能进行交易监控、警报筛分以及对考虑账户以进行查阅和升级(1级和2级查阅)进行优先排序。作为另一示例，在报告阶段，此类人工智能方法可以使用标签以用于机器学习(例如，可疑活动报告，sar)、监管审计和闭环反馈(诸如场景/类型学反馈循环)。
80.图2a和图2b示出了aml应用的反洗钱(aml)仪表板的示例。见解驱动的仪表板有许多组件，其被设计为让用户专注于目标和新机会。随着新数据被整合到aml平台，所有值都被更新，确保用户正在查看可疑案例的最新的分析结果和构成。
81.aml仪表板可以被编程或配置为显示一组全局度量(例如，基本风险度量和案例状态的摘要)、高风险客户的“监视列表”、一组团队管理工具(例如，查阅团队绩效并跟踪案例解决进度)、所有案例的ai优先排序、案例列表(例如，包含调查团队基本管理的案例概述)、分析员绩效(例如，查阅相关分析员绩效)、绩效趋势和关键绩效度量(例如，提供aml活动的关键指示符的摘要)。
82.aml仪表板可以被编程或配置为显示高风险客户的“监视列表”(例如，人工智能生成的新的潜在洗钱案例的入围列表)。用户可以为可能需要在未来一个月进行查阅的可疑账户设置监视列表。分析员通常知悉案例何时有足够的非法活动证据以保证调查升级。aml仪表板可以支持他们的主题专业知识，并启用监视列表特征以提供自动提醒供他们再次详细查阅账户。
83.aml仪表板可以被编程或配置为以基于人工智能(例如，基于机器学习)的风险得分为基础来显示顶级案例的优先排序列表。例如，可以通过满足机器学习模型使用的预定风险阈值的可疑账户或账户持有者对顶级案例进行分类。在最顶级案例的集合之中，机器学习的解释可以产生对非法活动的实际模式的见解，这些模式最能导致并解释账户或账户持有者的可疑性质。
84.aml仪表板可以被编程或配置为显示绩效趋势(例如，随着时间跟踪aml识别)。例如，可以对照上一年和目标来绘制每月追回或识别的资产。这种绩效趋势信息可以被提供来指导高管按月了解整体团体绩效并提高透明度。
85.aml仪表板可以被编程或配置为显示最近核实的案例。用户可能有兴趣从其他分析员已识别的核实的金融犯罪账户中进行学习。aml平台可以为用户提供一种简单的方法来查阅最近的案例以挖掘附加信息或联系指派的分析员以讨论和改进交叉训练。使用此显示，高管还可以查看应用在最近识别的案例中的价值以及截至调查日期的风险得分(例如，洗钱风险得分)。
86.aml仪表板可以被编程或配置为提供以工作流为中心和基于机器学习的方法来支持合规分析员活动。因此，合规分析员可以导航主页，在那里他们可以查阅机器学习算法所识别的可疑案例。当用户导航到可疑案例页面时，他们可以查看所有账户和/或账户持有者的优先排序列表，其显示了摘要信息以及一组过滤功能以识别不同的案例集。用户还可以在优先排序案例的主网格和优先排序案例的地理空间视图之间切换。甚至在用户深入到个人账户级别之前，主列表页面就可以提供各种信息和强大的特征。
87.aml仪表板可以被编程或配置为提供优先排序案例的地理空间视图，如图3中所示。可以为分析员提供从地理空间角度查看顶级可疑案例的选项，这可以通过机器学习可能性得分(例如，洗钱风险得分)进行颜色编码。此外，案例可以通过不同大小的图标(例如，不同半径的圆圈)来指示，以指示与案例相关的相对账户大小。该地理空间视图可以提供对要进行调查的目标区域的见解。聚类和热图可以揭示有关账户类型、账户持有者和地理区域之间的风险分布的更多见解。
88.aml仪表板可以被编程或配置为向用户提供一种对可疑案例进行筛分的方式。用户可以通过单击图表按钮来访问优先排序列表中的每个可疑案例的“快速查看”。从这个视图(如图4中所示)，用户能够查看关于每个案例的最重要信息，绘制不同的时间序列信息，在案例之间进行导航，并手动将它们标记为“官方拒绝”或“监视列表”。
89.aml仪表板可以被编程或配置为向用户提供一种针对主优先排序网格内的案例批量采取行动的方式，如图5中所示。
90.aml仪表板可以被编程或配置为提供账户详细信息。分析员可能花费大量时间调查由应用所识别的每个可疑案例的详细信息。通过将数十个数据源整合到一个联合云图像中，aml平台可以提供一组关于可疑账户或账户持有者的否则分析员可能不得不花时间在各种系统中查询的丰富历史信息。这些可以在详细信息页面内的导航选项卡中分组，如图6中所示。aml仪表板可以被编程或配置为允许用户创建案例、将案例添加到监视列表以及添加关于案例的评论。
91.aml仪表板可以被编程或配置为提供包括详细信息和位置、可疑活动、图表、客户(账户持有者)交互、黑名单、账户详细信息、用户评论、商业状态、交易以及标志和警报的信息。
92.aml仪表板可以被编程或配置为提供警报和监视列表，如图7中所示。用户能够生成警报以随着时间跟踪可疑案例，应用“监视列表”标志以供日后查阅，并利用aml框架来通知其他人。该对话框可以允许用户设置监视列表案例，然后指导他们设置时间戳和一组个人以接收未决警报。使用aml平台和警报引擎，分析员和其他应用用户可以调整警报日期、管理通知或对传入数据添加附加警报触发器，如图8中所示。
93.aml仪表板可以被编程或配置为允许用户生成案例，如图9a、图9b和图9c中所示。为了提高用户可以使用aml平台实现的运营效率增益，aml仪表板可以提供直接从应用创建
案例文件到指定下游源系统的能力。这种方法可以用于多种目的，诸如允许用户更有效率并避免切换系统来升级案例，在使用aml平台内的最新近信息自动创建案例时允许案例创建更准确，并允许案例利用唯一标识符来进行创建，这在通过正常的入站整合过程接收案例结果时将有助于通知机器学习模型。可以从单个或批量案例的动作菜单下拉菜单中选择案例文件创建弹出窗口。
94.aml仪表板可以被编程或配置为使用各种关系和交易数据来关联所有账户活动并识别最有可能从事非法活动的那些账户或账户持有者。数据源可能跨越如监管目录和pep列表的第三方信息，到账户和账户持有者信息以及各种货币工具的交易。例如，数据源可以包括账户和账户持有者信息、交易、在线和零售交易、贸易监督平台(例如，贸易历史)、订单管理系统(例如，有关证券订单的信息)、外汇汇率历史、黑名单(例如，犯罪和恐怖分子数据库以及受制裁的海外实体)、政治公众人物、制裁和监管目录、调查和信用局数据库。
95.aml仪表板可以被编程或配置为使用各种外部数据源。在一些实施方式中，汇总模块可以被编程或配置为从多个不同的源获得并汇总数据集。例如，数据集可以包括内部数据集和外部数据集。不同源的示例可以包括智能设备、传感器、企业系统、外部公司和互联网来源。此类数据集可以被保存在一个或多个数据存储库中，以支持洗钱活动的识别。这些外部源为来自企业系统的交易数据和账户信息提供上下文化的信息。例如，谷歌新闻可以被用作数据源，通过使用新闻文章来关联新闻中的信息，这些信息引用了如犯罪组织和pep之类的关键实体。aml平台可以利用谷歌新闻，通过使用房地产购买、experian、世界银行/国际货币基金组织和intelius之类的源来进一步将可疑账户进行上下文化。“房地产购买”可以描述与土地购买和房地产购买备案的整合，这可以提供关键信息来链接与已知受制裁实体或恐怖实体有松散隶属的组织。“experian”可以描述围绕个人的附加的第三方上下文，其可以提供贷款、交易和其他账户的历史记录。世界银行/国际货币基金组织可以提供有关世界各地的各种制度和经济稳定性的宏观经济信息，从而为货币流动提供上下文并进一步表征可疑活动。intelius可以为个人临时提供公共记录(社交网络、财产记录、背景调查)的搜索结果。aml机器学习模型
96.aml系统可以包括被配置为分析信息以检测洗钱风险的机器学习模型。机器学习模型可以被配置为针对每个可疑案例独立地计算两个重要测度中的一个或两个：非法活动的可能性(例如，概率或百分比)和由于非法活动而处于风险中的资产的估计量(例如，美元金额或等价物)。在一些情况下，机器学习模型可以被配置为进一步计算与账户和/或账户持有者相关联的洗钱风险的测量值。例如，可以针对账户和/或账户持有者计算指示洗钱风险级别的可能性得分。
97.机器学习模型可以计算估计“未标记”账户和/或账户持有者与先前调查和确认的非法活动的实际案例的相似性的可能性得分。可能性得分可以是被应用于与账户或账户持有者相关联的分析结果的分类模型的一种输出。
98.aml模型可以将机器学习应用于洗钱和恐怖主义融资的检测，将数据中的弱信号汇总和联合成非法活动的强预测因子。该方法可以关注于账户和/或账户持有者，所有交易、相关账户持有者和监管信息都围绕着账户和/或账户持有者而相关。
99.aml模型可以包括“特征”集合，其用作输入，被分类模型用来确定账户是否与先前
的金融犯罪实例相似。特征可以基于分析并且可以包括例如汇总的分析结果、元数据和来自原始数据的各种派生。可以使用各种汇总函数(总和、计数、最大值、最小值等)在预测日期之前的标准时间窗口内对分析结果进行汇总。从大约10、20、30、40、50、60、70、80、90、100、150、200、250、300或更多分析算法开始，特征提取过程可以生成大约10、50、100、150、200、250、300、350、400、450、500、600、700、800、900、1,000或更多特征。元数据可以与账户持有者、账户类型、位置、交易和与潜在可疑案例相关的分支机构相关联，诸如业务类型、货币工具、开户、(一个或多个)邮政编码和以前的报表。元数据可以随着时间而改变。在一些情况下，元数据可以与对应于同一时间窗口的分析结果对准/汇总。
100.aml模型可以使用机器学习模型(例如，梯度分类器)来产生可能性得分。aml模型可以包括分类模型，该模型使用通过使用先前确认的非法活动案例(例如，已知的金融犯罪)、已知的误报和未标记(通常假定为正常)的机会来训练分类模型而获得的模型参数集合。标签(例如，用于训练)可以包括可疑案例解决方案和评估时间。
101.在运行时，aml模型可以自动应用当前参数和当前特征来预测针对每个账户或账户持有者的风险得分(例如，洗钱风险得分)，并且可以记录最近得分并将其显示给用户(例如，通过数据的可视化)。先前生成的风险得分的历史记录也可用于aml平台内的调查。可以响应加载到系统的新数据来更新aml模型。aml模型可以定期地更新、在检测到数据更改(例如，新数据被添加、不同的数据集被选择、标签的更改)时更新或在手动更新时更新。
102.可以使用先前确认的非法活动案例、非法活动的确认案例、可疑活动的确认案例、正常活动的确认案例以及从剩余客户端的随机抽样来对aml模型进行训练，如图10中所示。
103.可以使用账户训练集合来训练aml模型的机器学习特征集合。特征的示例可以包括变量，该变量指示具有特定现金比率的账户、作为外国实体、具有分层风险、具有多个位置、具有结构化风险、具有特定货币兑换历史、具有特定交易间隔时间、并且有不寻常的提款。基于使用连续值的阈值化，特征可以被转换为二元变量(例如，“是”或“否”)。每个账户数据集合都通过每个分析算法或特征来进行处理，如图11中所示。特征的示例可以包括与现金比率、外国账户、高风险信贷、相关账户风险、交易消息中的llc、货币兑换、总余额和地址变更相关的二元变量(例如，“是”或“否”)。
104.每个特征可以基于针对其算法或复合特征要求的历史中的必要数据集合来进行计算，如图12中所示。例如，必要数据集合可以包括在特定持续时间段(大约1、2、3、4、5、6或7天，大约1、2、3、4、5、6、7、8、9、10、11或12个月，或大约1、2、3、4、5或更多年)内发生的所有交易。特征可以包括超过特定限制的交易、多个独特分支交互以及交易体量差异。
105.机器学习模型可以通过在高维空间中处理针对给定账户(例如，“账户x”)的特征集合以生成洗钱综合得分来分析账户的非法行为，如图13中所示。可以使用各种合适的方法来计算洗钱综合得分。可以基于与特征集合的线性或非线性关系来计算洗钱综合得分。例如，洗钱综合得分可以通过例如计算给定账户的子集或整个特征集合的加权和来计算。在另一示例中，洗钱综合得分可以是决定树的输出，其中决定树的每个节点表示基于特征阈值的逻辑拆分。账户分析结果可以在多维空间中进行组合，并与其他已分类账户进行比较。
106.机器学习模型可以执行基于机器学习的线索分类来识别可疑类型学，通过分析账户或方的综合得分来识别可疑/非法和正常账户或方，如图14a中所示。例如，未分类的账户
及其数据可以经受分析算法和机器学习分类器，以检测极有可能进行非法活动的账户或账户持有者。机器学习模型可以适应不断演变的风险类型学(如图14b中所示)，以使得如果在现有怀疑范围(左)之外调查异常账户或异常方，则可以更新怀疑范围以合并新近识别的异常账户或异常方(右)。
107.如图14c中所示，机器学习模型可以跨不同数据源分析原始数据(包括交易数据、账户持有者数据、监视列表和公共领域数据)，并将此类数据统一或汇总到统一的联合数据湖中。此类数据可以被统一到单个系统中，该系统被配置为实时、近实时、及时、以规则间隔(例如，每周、每天、每四小时等)、根据用户的请求等捕获新闻、社交媒体和其他相关公共数据和特征。统一的联合数据湖可以通过数据结构化和机器学习规则和/或算法来进行处理，以生成整体、智能的警报。数据结构化可以通过数百或数千个参数操纵来执行，使用超越静态规则的算法来预测整体风险得分，并实现快速适配和可配置性以检测不断演变的风险类型学。警报可以被诸如调查员之类的用户高效且有效地查看。所有数据都可以被维持在单个ui中，消除了对繁琐的手动整理的需要。此外，风险驱动因素的见解可以使得管理人员能够进行有效的案例指派。机器学习模型可以提供客户交易和关联的复杂可视化。此外，可以以最小的误报执行有效的sar识别。调查员可以使用机器学习模型的结果和/或可视化来准备报告。基于机器学习的aml系统可能比其他aml系统更具优势，其他aml系统可能具有不同的数据源，这些数据源不统一且无法实现近实时的数据更新、狭窄而简单的警报以及可能效率较低(例如，在时间和成本方面)和效用较低(例如，及时识别可疑活动方面)的人工调查。
108.机器学习模型可以被设计成大规模处理大量、高频、不同的数据。例如，与其中数据在多个系统中被孤立并且常常只能通过繁琐地整理来自其他团队的信息来访问的其他系统相比，机器学习模型可以通过实现不受限制地访问不同的数据(例如，账户持有者数据、交易数据、监视列表数据、新闻、社交媒体等)而在整合方面具有优势。作为另一示例，与其中数据可能受到缺乏完全表示原始数据中的丰富信息的复杂性的简单或静态规则的约束的其他系统相比，机器学习模型通过使得算法能够考虑所有相关数据而可以在综合方面具有优势，因为所有数据都被结构化以创建完全表示原始数据中的信息细微差别的成百上千个信号。作为另一示例，与其中数据和警报可能不是频繁更新(例如，每月一次)的其他系统相比，机器学习模型可以通过启用实时或近实时的数据和风险更新而具有频率优势，因为风险得分是在接收到新数据时生成的。作为另一示例，与可能仅提供对最近历史记录的访问的其他系统相反(例如，警报规则和分析员可以使用数月而不是数年的数据)；机器学习模型可以通过使得所有数据随时可用而具有历史优势，从而允许分析员和算法使用客户的任何历史或所有历史作为输入来评估风险。
109.机器学习模型可以被设计为执行详尽的特征工程(如图14d中所示)，使用以下方法中的一个或多个来构造原始数据，从而创建用于算法的数百或数千个特征(例如，信号)：参数操作(例如，跨时间、体量和交易类型)、异常检测(相对于历史行为和预期的对等群组行为)、划分(使用监督和/或无监督学习技术)、图表分析(检测非法账户的网络)或自然语言处理(nlp)(挖掘swift电汇消息和其他原始文本数据)。数据汇总可以被应用于任何特征。例如，交易数据可以跨时间汇总(例如，大约1、2、3、4、5、6或7天，大约1、2、3、4、5、6、7、8、9、10、11或12个月，或大约1、2、3、4、5或更多年)。机器学习算法可以生成对应于特定账户或
账户持有者的预测风险得分(例如，97％)。在一些实施方式中，机器学习模型的输出还可以包括关键风险驱动因素，诸如对于“过去90天内5000美元和10000美元之间的现金等价物借记交易计数”的5％贡献和对于“过去180天内超过1万美元的高风险信贷交易计数”的3％贡献。
110.机器学习模型可以使用机器学习特征集合，该机器学习特征集合被设计为从原始数据中提取综合性信号集合。然后可以训练模型以使用这些信号来检测所有风险类型学的洗钱(如图14e中所示)。特征集合可以按特征分类来分解，诸如当事方属性(例如，客户的属性或特性，包括内部和外部可用数据)、当事方行为(例如，通过交易、电汇或留下数字痕迹的其他动作所证明的当事方行为)、异常(例如，与所述业务相关的异常交易模式；与历史基准相关的异常模式；与所述收入相关的异常模式)、关联(例如，与已知洗钱者的密切程度；与已知洗钱者相似的交易模式；与高风险企业或国家的关联)；划分(例如，基于国家、交易行为、业务部门、法律实体类型、共享账户、高频关系的划分)。
111.机器学习模型可以使用机器学习特征集合，该机器学习特征集合被设计为提供可以被用来识别可疑活动的所有类型的数字信息的强大覆盖(如图14f
‑
图14h中所示)。
112.特征集合可以按特征分类来分解，包括“危险信号”特征集合(图14f)，诸如可疑信息(例如，客户提供可疑或不完整的信息)、记录避免(例如，客户行为被设计为避免报告阈值或要求)、资金转移(例如，客户实施可疑交易)、不一致的行为(例如，相关于预期行为的客户行为)、跨境交易(例如，客户与高风险地区有联系或实施交易)、空壳公司活动(例如，客户或账户代表未知受益人运营)和其他特征(例如，其他危险信号，包括可疑贷款、保险或其他活动)。
113.特征集合可以通过特征分类来分解，包括“洗钱步骤”特征集合(图14g)，诸如放置(例如，将非法资金引入到正规金融服务中)、分层(例如，资金流动以掩盖资金来源的踪迹)以及整合(例如，为资金来源创造合法外观的交易)。
114.特征集合可以通过特征分类来分解，包括“aml业务功能”特征集合(图14h)，诸如交易监控(例如，可疑活动或交易监控系统)、了解你的客户(例如，了解你的客户或客户尽职调查系统，以及监视列表(针对政治公众人物或其他相关人员的监视列表过滤)。
115.机器学习模型可以提供针对分析结果的可解释性。机器学习模型可以为监督和调查分析员提供可解释性(如图14i中所示)。在一些情况下，可以识别与可能性得分相关联的一个或多个贡献因子并且可以由机器学习模型生成相应的贡献因子。在一些情况下，机器学习模型的输出结果可以包括针对每个可能性得分的特征贡献因子和特征重要性值。在一些情况下，机器学习模型的输出结果可以包括按类型学进行分组的多个特征。例如，通过查看被归类为不同潜在类型学的不同特征的贡献值(例如，缺乏透明度、跨境交易、结构化、资金流转、异常资金转移、高风险关联、活动不一致和逃税)和不同类别的特征贡献(例如，账户持有者特性和变化、余额、结构化活动、资金流转、直接地理风险和关联风险、自然语言处理、交易活动变化和相关方特性)，分析员可以理解不同类别的潜在类型学和特征对使用机器学习模型生成机器学习风险得分的相对贡献和重要性。例如，包括账户持有者的外国账户计数的较高特征值以及其他特征值可能对机器学习模型的预测具有相对较高的贡献，而包括在过去2天中在不同金融机构中与交易对手的所有交易计数的特征值可能对机器学习模型识别可疑案例的预测具有相对较小的贡献。将针对不同特征和类型学类别的此类度
量，监督和调查分析员可以对可解释性和案例查阅进行建模。此外，机器学习模型可以使用人类可理解的特征(交易群组、账户属性、感兴趣的时间范围等)来促进用户(诸如监督和调查分析员)的可解释性评估。
116.机器学习模型可以将自然语言处理(nlp)应用于交易以导出重要信息，诸如识别账户、账户持有者和账户信息的相似性，如图15中所示。这种nlp方法可能是有益的，因为许多欺诈活动可能以假冒或伪造的账户信息为幌子而发生，旨在避免被合法账户交易被检测到。aml模型可以查阅所有账户或账户持有者的信息(业务类型、公司交易、账户持有者姓名、地址)并确定不同账户或账户持有者的相似性得分。相似性得分对于识别已经挪动账户或者共享将支持合法活动与犯罪活动分离的特性的犯罪活动可能至关重要。应用于交易消息的自然语言处理可以包括文本预处理(例如，配置预处理管道，以及处理和持久化文本数据)，使用机器学习模型来训练用于n
‑
gram计数的语料库语言模型以检索计数的时间序列并找到重要的n
‑
gram来预测标签，为重要的n
‑
gram实现度量，并将nlp度量与其他特征一起合并到通用分类器中。
117.aml模型可以使用图形技术来利用感兴趣的属性之间现有的、广泛的和紧急的联系，诸如账户的相似性、实体之间的转移以及分离的程度。在确定针对任何个人账户或账户持有者的非法活动的可能性时，这些感兴趣的属性作为机器学习分类器的输入可能特别有用。可以应用多种图表方法，诸如：可信pagerank、遍历和聚类。
118.例如，可信pagerank方法可以假设“可信”节点集合可以支持其他未知节点的验证或排名。在搜索引擎中，可信节点可以包括政府和教育网站。对来自这些站点的链接的分析和评估可以实现对与受信任节点相距一定跳数的节点的分类。可替代地，可以以相同的方式使用“不可信”节点，密切程度定义高风险节点。这些方法可能很有用，但可能需要增强以确保检测到并根除那些“玩弄系统”的节点。结合可信节点和不可信节点，节点之间的随机游走可以被评估为集线器。在网站中，链接可以以给定的传送概率进行遍历。随机游走者最终可以命中可信节点和不可信节点。这种方法可以实现对广泛系统的分析，利用可信节点，但也可以避免黑客成为可信节点的问题。在反洗钱的应用中，可信pagerank也可以以类似的方式而被应用，其中已知的“非非法”账户是可信的，已知的非法账户是不可信的。该图表可以通过账户之间的交易、账户之间的联系以及账户之间的相似性来进行遍历。此外，账户之间的链接可以是双向的并且具有数量(例如，在交易价值的上下文中)。
119.用于节点acct的pagerank值可以取决于b
acct
集合(包含链接到节点acct的所有页面的集合)中包含的每个页面v的pagerank值除以来自节点v的链接数l(v)。
120.如图6中的示例所示，尽管e具有更多连接，但给予c的排名高于e。但是，c与b(可信节点)有双向链接，这使其具有更大相关性。e的网络要弱得多，因为其连接的节点都与b没有明确的可信链接。
121.作为另一示例，遍历方法可以利用两种方法来表征节点：深度和广度。深度遍历可以分析与树上的分支和叶片相类似的子节点。只有在银行交易的情况下，循环引用才可能被视为针对特定路径的结束深度。利用深度遍历，可以针对被标记的欺诈账户分析账户的
特定密切程度和已连接的节点的数量。
122.广度遍历可以在移动到下一个级别之前完全检查与目标节点的每个级别的分离。这种方法可以实现对与目标节点具有特定密切程度的所有连接节点的分析。
123.遍历输出可以成为为表征非法活动而开发的机器学习模型的特征。
124.作为另一示例，传统的聚类技术可以被应用于反洗钱以识别账户之间的相似性，这些相似性可以指示欺诈活动，如图17中所示。聚类参数可以包括账户属性、账户交易活动或账户参与的实体。聚类可以为银行整体可见范围内的实体之间的关系提供上下文。除了在紧急集群形成时识别紧急集群(例如，随着旧的方法变得陈旧或有风险，犯罪分子开始使用不同的方法)之外，作为支持识别更可能的欺诈集群的特征，这些集群还可能对机器学习分类器有用。
125.aml模型可以支持识别从洗钱到恐怖主义融资的大量非法活动。除了针对非法活动的历史案例训练的机器学习模型外，aml平台还可以提供一套高级分析，其支持机器学习的可解释性，并将现有规则和业务过程编码为近实时的流式传输信息。可以使用基于问题的主要模式(例如，放置、分层、外汇、结构化、可疑动作、交易和账户)的各种类别来描述分析，如图18中总结的。
126.每个分析可以采取复杂的算法并将其应用于数据源，如交易，或者可以组合来自多个系统的信息以提供上下文化的和细微差别的输出。此外，分析可以在每个账户上运行，并利用加载到aml平台的每个新的相关数据属性进行更新，以使得aml平台就成为跨系统关联数据并将复杂逻辑应用于每个账户的单一来源，从而支持反洗钱工作。
127.放置分析可以被设计成识别指示洗钱活动开始的新账户或大额交易，诸如与新账
户或修改过的账户相关联的大额交易，或可疑账户持有者。此类分析可以包括新交易、可疑账户变更、可疑标识以及账户变更后的大额交易。“新交易”可以描述针对账户上的每种独特交易类型的事件。“可疑账户变更”可以描述与受制裁实体或犯罪/恐怖活动有密切联系的账户变更。“可疑标识”可以使用nlp来标记可疑或重复的账户持有者。“账户变更后的大额交易”可以在新账户持有者或地址变更并且在给定时间段(例如30天)内发生大额交易时将账户或账户持有者标记为可疑活动。
128.aml模型可以包括分层分析，该分层分析被设计为检测指示放置交易的后续掩盖并且意在散布洗钱活动的账户交易。这种分层分析可以包括独特类型的交易、交易差异和持续交易。例如，独特类型的交易可以包括在短时间内(例如，大约1、2、3、4、5、6或7天，大约1、2、3、4、5、6、7、8、9、10、11或12个月)发生的一组交易。分层可能指示犯罪分子正试图挪动资金，并且可以包括诸如下达证券订单、购买保险单和在不同国家/地区挪动资金之类的交易。交易差异可以包括与相似的企业或账户持有者相关的异常交易。持续交易可以包括满足潜在放置交易规模的交易。
129.aml模型可以包括外汇分析，其被设计为识别涉及挪动货币和国家的交易并标记可疑交易。此类外汇分析可以包括与已知恐怖分子联系的交易、没有外汇歧视的交易、swift识别的可疑交易以及不一致的货币兑换交易。“已知的恐怖分子联系”分析可以使用现有的恐怖分子数据库和图形技术将外汇接收者与密切程度联系起来。“没有外汇歧视的交易”可以描述跟踪货币之间的外汇汇率的变化并在发生的交易之中将它们相关。由于普通账户持有者可以定期(如汇付)或非常罕见地跨货币汇款，因此此类分析可以导致对那些等待在短时间内利率转好时挪动资金的人进行调查。“swift识别的可疑交易”可以描述使用swift识别为可疑的交易。“不一致的货币兑换”分析可以跟踪在没有解释的情况下将资金挪动到不同货币的账户。
130.aml模型可以包括结构化分析，该结构化分析被设计为针对意在被大多数财务报告法规所关注的交易类型。这种结构分析可以包括识别多个地点或低于某些限制的交易。例如，结构分析可以通过使用与存入或提取的美元数字的一致性相关的独特交易地点的数量来识别避免联邦报告限制的多个地点处的交易的结构化。作为另一示例，通过标记具有大量低于报告限制但在那些限制的特定阈值内的交易的账户，结构化分析可以识别低于表明标识所需限制的交易的数量。结构化分析可以通过跟踪发生在低于要求的交易数量以核实标识并关联多个位置的结果以识别异常值来识别低于标识限制的交易的数量。
131.aml模型可以包括可疑行为者分析，其被设计为针对与已知与受制裁实体或犯罪或恐怖分子数据库有联系的接收者或发送者的交易并对其进行标记。此类可疑行为者分析可以包括与可疑实体的交易、有犯罪背景的存款人、与所述职业不一致的交易以及高额交易。“与可疑实体的交易”可以描述使用图形技术来建立与可疑实体(诸如恐怖主义政权、犯罪关系)的密切程度。“有犯罪背景的存款人”可以描述标记存款人不是主要账户持有者中正在进行交易但也有犯罪背景或联系的存款人。“与所述职业不一致的交易”可以描述职业和明显异常值的标记账户之间的比较交易规模。“高额交易”可以描述在一系列属性中以高于账户类型正常水平的比率的标记交易。
132.aml模型可以包括交易分析，这对于识别洗钱者和恐怖主义融资者可能是有用的。此类活动的放置、分层和整合需要一系列精确且一致的交易，可以使用高级分析和机器学
习发现这些交易。例如，交易分析可以包括按交易和汇总地查阅现金比率(例如，在给定时间段内的现金交易与所有交易的比率)，因为现金比率可以提供关于账户的上下文化的信息。作为另一示例，交易分析可以包括通过跟踪未落入正常支付周期内的非常一致的存款的数量来识别具有相似规模的多个存款。作为另一示例，交易分析可以包括通过创建所有交易的多维模型来识别关于交易数量和唯一位置的异常值(例如，在给定的时间段上每个唯一位置的交易数量)，从而在空间和时间上跟踪交易。作为另一示例，交易分析可以包括通过随着时间的推移查阅如证券和人寿保险之类的货币工具的使用来标记非常规货币工具的各种一致使用。作为另一示例，交易分析可以包括识别异常提款，因为大量或一致的提款可能指示资金的非法挪动。
133.aml模型可以包括账户分析，该账户分析被设计为查阅账户和账户持有者的属性和联系，以帮助基于历史案例来关联犯罪或可疑活动。此类账户分析可以包括相同地址的大量账户持有者、黑名单、异常业务、账户数据差距以及已删除的账户信息。“相同地址的大量账户持有者”可以描述具有相同地址的账户持有者(主和次)数量的异常值。“黑名单”可以描述将账户持有者和相关金融机构与受制裁实体或犯罪和恐怖分子数据库相关。“异常业务”可以描述查阅企业账户的使用并标记可疑活动。“账户数据差距”可以描述查阅账户并识别对于给定类型的账户不存在和异常不存在的非必要信息。“删除的账户信息”可以描述通过关联已删除某些交易或信息的账户来提供上下文化的信息。计算机系统
134.本公开提供了被编程以实现本公开的方法的计算机系统。图19示出了计算机系统1901，该计算机系统1901被编程或以其他方式配置为实施本文提供的方法。
135.计算机系统1901可以调节本公开的各个方面，诸如例如，(a)获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户中的账户持有者，其中多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；(b)将经训练的算法应用于数据集，生成针对多个账户持有者中的每一个的洗钱风险得分以及与洗钱风险得分相关联的一个或多个关键风险驱动因素；并且(c)至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。计算机系统1901可以是用户的电子设备或相对于电子设备位于远程的计算机系统。电子设备可以是移动电子设备。
136.计算机系统1901包括中央处理单元(cpu，在此也称为“处理器”和“计算机处理器”)1905，其可以是单核或多核处理器，也可以是多个处理器并行处理。计算机系统1901还包括存储器或存储器位置1910(例如，随机存取存储器、只读存储器、闪存)、电子存储单元1915(例如，硬盘)、用于与一个或多个其他系统通信的通信接口1920(例如，网络适配器)和外围设备1925，例如高速缓存、其他存储器、数据存储和/或电子显示适配器。存储器1910、存储单元1915、接口1920和外围设备1925通过诸如母板的通信总线(实线)与cpu1905通信。存储单元1915可以是用于存储数据的数据存储单元(或数据仓库)。计算机系统1901可以在通信接口1920的帮助下可操作地耦合到计算机网络(“网络”)1930。网络1930可以是因特网、内联网和/或外联网、或正在与因特网通信的内部网和/或外部网。
137.在一些情况下，网络1930是电信和/或数据网络。网络1930可以包括一个或多个计算机服务器，其可以实现分布式计算，例如云计算。例如，一个或多个计算机服务器可以通过网络1930(“云”)来启用云计算以执行本公开的分析、计算和生成的各个方面，例如，(a)
获得包括多个账户的数据集，多个账户中的每个账户对应于多个账户持有者之中的账户持有者，其中多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；(b)将经训练的算法应用于数据集，生成针对多个账户持有者中的每一个的洗钱风险得分；并且(c)至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。这种云计算可以由云计算平台来提供，诸如例如亚马逊网络服务(aws)、微软azure、谷歌云平台、ibm云和私有云。在某些情况下，在计算机系统1901的帮助下，网络1930可以实现对等网络，其可以使耦合到计算机系统1901的设备能够充当客户端或服务器。
138.cpu1905可以执行一系列机器可读指令，这些指令可以体现在程序或软件中。指令可以存储在存储器位置中，例如存储器1910。指令可以被引导到cpu1905，cpu1905可以随后编程或以其他方式配置cpu1905以实现本公开的方法。cpu1905执行的操作的示例可以包括获取、解码、执行和写回。
139.cpu1905可以是电路的一部分，例如集成电路。系统1901的一个或多个其他组件可以包括在电路中。在某些情况下，该电路是专用集成电路(asic)。
140.存储单元1915可以存储文件，例如驱动程序、库和保存的程序。存储单元1915可以存储用户数据，例如用户偏好和用户程序。在一些情况下，计算机系统1901可以包括一个或多个位于计算机系统1901外部的附加数据存储单元，例如位于通过内联网或因特网与计算机系统1901通信的远程服务器上。
141.计算机系统1901可以通过网络1930与一个或多个远程计算机系统进行通信。例如，计算机系统1901可以与用户的远程计算机系统进行通信。远程计算机系统的示例包括个人计算机(例如便携式pc)、平板计算机或平板pc(例如ipad、galaxytab)、电话、智能电话(例如iphone、支持android的设备、)或个人数字助理。用户可以通过网络1930访问计算机系统1901。
142.如本文所述的方法可以通过存储在计算机系统1901的电子存储位置上的机器(例如，计算机处理器)可执行代码来实现，例如存储在存储器1910或电子存储单元1915上。机器可执行或机器可读代码可以以软件的形式提供。在使用过程中，该代码可由处理器1905执行。在某些情况下，该代码可从存储单元1915中检索并存储在存储器1910中以供处理器1905随时访问。在某些情况下，可以排除电子存储单元1915，并且机器可执行指令被存储在存储器1910上。
143.代码可以被预编译和配置以与具有适于执行代码的处理器的机器一起使用，或者可以在运行时期间编译。代码可以以编程语言提供，可以选择该语言以使代码能够以预编译或编译后的方式执行。
144.在此提供的系统和方法的方面，例如计算机系统1901，可以体现在编程中。该技术的各个方面可以被认为是“产品”或“制品”，其通常以机器(或处理器)可执行代码和/或相关数据的形式存在于或包含在一种机器可读介质中。机器可执行代码可以存储在电子存储单元上，例如存储器(例如，只读存储器、随机存取存储器、闪存)或硬盘。“存储”类型的介质可以包括计算机、处理器等或其相关模块的任何或所有有形存储器，例如各种半导体存储器、磁带驱动器、磁盘驱动器等，其可以随时提供非暂时性存储进行软件编程。软件的全部或部分有时可以通过因特网或各种其他电信网络进行通信。例如，这样的通信可以使软件
能够从一个计算机或处理器加载到另一个计算机或处理器中，例如从管理服务器或主机计算机加载到应用服务器的计算机平台中。因此，可以承载软件元素的另一种类型的媒体包括光波、电波和电磁波，例如跨本地设备之间的物理接口、通过有线和光学陆线网络以及通过各种空中链路使用。承载这种波的物理元件，例如有线或无线链路、光链路等，也可以被认为是承载软件的介质。如本文所用，除非限于非暂时性、有形“存储”介质，诸如计算机或机器“可读介质”的术语是指参与向处理器提供指令以供执行的任何介质。
145.因此，机器可读介质，例如计算机可执行代码，可以采用多种形式，包括但不限于有形存储介质、载波介质或物理传输介质。非易失性存储介质包括例如光盘或磁盘，诸如任何计算机等中的任何存储设备，诸如可用于实现图中所示的数据库等。易失性存储介质包括动态存储器，例如此类计算机平台的主存储器。有形传输介质包括同轴电缆；铜线和光纤，包括构成计算机系统内总线的电线。载波传输介质可以采用电信号或电磁信号，或者声波或光波的形式，例如在射频(rf)和红外(ir)数据通信期间产生的那些。因此，常见形式的计算机可读介质包括例如：软盘、软盘、硬盘、磁带、任何其他磁介质、cd
‑
rom、dvd或dvd
‑
rom、任何其他光学介质、打孔卡纸磁带、任何其他带有孔洞图案的物理存储介质、ram、rom、prom和eprom、flash
‑
eprom、任何其他存储芯片或盒式磁带、传输数据或指令的载波、传输此类载体的电缆或链路，或任何其他计算机可以从中读取编程代码和/或数据的介质。许多这些形式的计算机可读介质可能涉及将一个或多个指令的一个或多个序列传送到处理器以供执行。
146.计算机系统1901可以包括电子显示器1935或与电子显示器1935通信，该电子显示器1935包括用户界面(ui)1940。用户界面(ui)的示例包括但不限于图形用户界面(gui)和基于网络的用户界面。例如，计算机系统可以包括配置为向用户显示例如bom的基于网络的仪表板(例如gui)。
147.本公开的方法和系统可以通过一种或多种算法来实现。算法可以在由中央处理单元1905执行时通过软件来实现。该算法例如可以(a)获得包括多个账户的数据集，多个账户中的每个账号对应于多个账户持有者之中的账户持有者，其中多个账户中的每个账户包括多个账户变量，其中多个账户变量包括金融交易；(b)将经训练的算法应用于数据集，生成针对多个账户持有者中的每一个的洗钱风险得分；并且(c)至少基于多个账户持有者的洗钱风险得分来识别用于进行调查的多个账户持有者的子集。
148.本公开不限于本文所公开的算法。应当了解，可以设想与所描述的实施方式兼容的其他算法。
149.尽管已经针对其特定实施方式描述了描述，但是这些特定实施方式仅是说明性的，而非限制性的。示例中说明的概念可以应用于其他示例和实施方式。
150.虽然已经在本文中示出和描述了本发明的优选实施方式，但是对于本领域技术人员而言容易理解的是，仅通过示例的方式提供了这样的实施方式。并非意图通过说明书中提供的特定示例来限制本发明。尽管已经参考前述说明书描述了本发明，但是本文中的实施方式的描述和图示并不意味着以限制性的意义来解释。在不脱离本发明的情况下，本领域技术人员现在将想到许多改变，更改和替代。此外，应理解，本发明的所有方面不限于本文所阐述的具体描述，构造或相对比例，其取决于各种条件和变量。应当理解，本文所述的本发明的实施方案的各种替代方案可以用于实施本发明。因此，可以预期的是，本发明也将
涵盖任何这样的替代，修改，改变或等同形式。旨在由以下权利要求书限定本发明的范围，并且由此涵盖这些权利要求书范围内的方法和结构及其等同物。