用于检测欺诈的用户之间的相似度测量的制作方法

本公开总体上涉及服务器计算机安全，更特别地，涉及检测涉及正在使用在线服务的实体的欺诈。

背景技术

服务器计算机系统(例如，网络服务器、应用服务器、电子邮件服务器等)向多个终端用户、企业、政府机构等(在本文中统称为实体)提供各种计算资源和服务。例如，网络服务可以使用计算机系统来实现两个或更多个实体之间的交易，该交易包括例如信息、商品、服务等。网络服务可以提供某种形式的保证，即交易是由两方或更多方中的每一方善意执行的。一个实体未能完成交易的所属部分可允许完成了交易的所属部分的另一实体获得赔偿。对失败交易的此类赔偿可包括免费或折扣使用网络服务、财务报销、获得额外服务以及其他形式的赔偿。网络服务提供商提供的保证可有利于吸引客户使用他们提供的服务，但恶意第三方也可以使用它来尝试针对网络服务进行欺诈活动，目的是获得不应得的赔偿。

一种形式的欺诈活动可包括两个或更多个实体一起工作以创建看似失败交易的欺诈交易。发送实体可以针对欺诈交易提出赔偿索赔，然后与接收实体分享任何形式的赔偿。确定失败交易实际上是欺诈交易是困难的，并且可能导致错误地拒绝对合法失败交易的赔偿。

附图说明

图1示出了用于响应于发送用户和接收用户之间的标记交易的指示来确定欺诈风险的系统的实施例的框图。

图2示出了根据一些实施例的与标记交易的发送用户相关联的信息和与接收用户相关联的信息的两个表。

图3描绘了根据一些实施例的标记交易的发送用户和接收用户之间的直接链接。

图4示出了根据一些实施例的发送用户和接收用户之间涉及共同用户的中间链接。

图5示出了根据一些实施例的发送用户和接收用户之间涉及两个交易匹配方的中间链接。

图6描绘了根据一些实施例的标记交易的发送用户和接收用户之间的各种类型的直接链接。

图7示出了用于响应于发送用户和接收用户之间的标记交易的指示来确定欺诈风险的方法的实施例的流程图。

图8示出了用于使用在发送用户和接收用户之间识别的链接数量来确定欺诈概率值的方法的实施例的流程图。

图9是示出了根据一些实施例的示例计算机系统的框图。

具体实施方式

为了欺骗在线服务的运营商，两个或更多个用户可能串通(即一起工作)发起有资格从运营商获得赔偿的看似失败交易的交易。类似地，单个实体可能控制在线服务的两个或更多个账户，并以试图欺骗服务的方式协调这些账户。这两种情况都是欺诈的形式。

当发起赔偿索赔时，在线服务的运营商可以确定交易的发送用户和接收用户是否实际上相互链接。这可能指示两方之间的勾结，或者发送和接收用户由单一方控制——两者都构成欺诈交易。通过准确检测这样的交易并拒绝相应的索赔，运营商可以避免欺诈赔偿造成的不必要损失。例如，典型的欺诈交易可能涉及发送用户A使用运营商提供的网络服务向接收用户B发送项目(例如，数据/金钱/商品)，然后用户B接收转移的项目。用户A向运营商提出赔偿索赔，声称用户B没有履行交易的所属部分。运营商可能由于未检测到串通迹象而向用户A提供约定的赔偿，然后用户A与用户B分享该赔偿。由于用户B已收到转移的项目，因而运营商无法从用户B收回任何损失。运营商可能会在用户B的账户上产生负余额，或者可能取消用户B的账户，而这都不能帮助运营商追回损失的对用户A的赔偿。再次注意，A和B实际上可能由单个实体控制，具有相同的欺诈结果。在另一示例中，发送用户A同样向接收用户B发送项目。然后用户A可能提出索赔，陈述用户B从未收到该项目。运营商可能在没有检测到串通迹象的情况下而向用户A提供赔偿，然后该赔偿可以与用户B共享。与前面的示例一样，用户A和用户B可能由单个实体控制。

期望以下系统和方法：该系统和方法能够收集关于涉及已提出赔偿索赔的失败交易的用户的信息，然后使用该信息来确定赔偿索赔是有效的还是欺诈性的。在此公开了可以提供增强的检测与导致赔偿索赔的交易相关联的欺诈活动的能力的这样的系统和方法。一种这样的方法可以包括，响应于标记为失败的交易的指示，由服务器计算机系统收集发送用户和接收用户的交易信息，该交易信息包括关于发送用户和接收用户与彼此以外的用户进行过的交易的交易信息。服务器计算机系统然后可以确定指示发送方的信息和接收方的信息之间的相似度量的相似度值。使用相似度值，服务器计算机系统可以评估标记交易是否有效。如果标记交易被确定为欺诈，则运营商可以拒绝针对标记交易来赔偿发送用户。

图1中示出了服务器计算机系统和服务器计算机系统的两个用户的实施例。系统100包括发送用户110，该用户110发起与接收用户120的标记交易140。标记交易140由服务器计算机系统101执行。服务器计算机系统101包括交易信息103，该交易信息103又包括发送方信息112和接收方信息122。服务器计算机系统101使用交易信息103来确定相似度值107。

如图所示，发送用户110使用至少部分地由服务器计算机系统101托管的在线交易服务发起与接收用户120的交易。交易可以包括例如商品、数据、媒体、钱或它们的任何组合的交换。在各种实施例中，发送用户110和接收用户120可以各自对应于任何类型的实体，例如，个人、组织、公司等。发送用户110履行了交易的所属部分，而相反，接收用户120未履行所属部分。作为响应，发送用户110标记交易，从而创建标记交易140。

服务器计算机系统101接收发送用户110已经创建了标记交易140的指示。响应于接收到该指示，服务器计算机系统101从交易信息103收集数据。交易信息103可以包括与先前已经由服务器计算机系统101处理的交易相关联的任何合适的数据，以及与发送用户110和接收用户120的用户账户相关的当前信息，例如，联系信息和财务信息。在各种实施例中，服务器计算机系统101可以将追溯到任何合适时间段(例如，六个月、一年或多年，或自建立在线交易服务以来)的先前交易的记录存储为交易信息103。

如图所示，服务器计算机系统101从交易信息103检索发送方信息112和接收方信息122。发送方信息112包括指示在线交易服务内的涉及发送用户110的先前交易的信息，涉及发送用户110的先前交易包括与接收用户120以外的用户进行的交易。类似地，接收方信息122包括指示在线交易服务内的涉及接收用户120的先前交易的信息，涉及接收用户120的先前交易包括与发送用户110以外的用户进行的交易。发送方信息112和接收方信息122可以包括各种类型的数据，例如，识别访问服务器计算机系统101时使用的计算机或其他计算设备的值、联系信息、财务信息、与先前交易相关联的日期和时间、参与先前交易的其他用户的指示等。

服务器计算机系统101使用发送方信息112和接收方信息122来确定相似度值107。顾名思义，相似度值107指示发送方信息112和接收方信息122之间的相似度量，通过这些信息集之间的“链接”来测量。发送用户110和接收用户120之间的这种链接可以包括彼此之间的直接链接(例如，两个用户已经一起交易)，以及间接链接。间接链接的示例包括与共同用户的交易(例如，发送用户110和接收用户120均已与另一个特定用户进行交易)，以及与发送用户110和接收用户120相关联的交易匹配方之间的交易(例如，发送用户110已交互过的实体又与接收用户120已交互过的实体进行过交互)。如本文所使用的，特定用户的“交易匹配方”在交易服务的上下文中是指该特定用户已经经由该服务与其交互过的另一用户。因此，服务的特定用户的一组“交易匹配方”是指该特定用户已经由该服务与其交互过的其他用户中的一个或多个(或全部)。

此外，发送用户110和接收用户120之间的链接还可以包括其他类型的信息的相似度。例如，这样的信息可以包括用于访问在线交易服务的设备和网络之间的相似度、各个账户中列出的联系信息之间的相似度以及各个账户中列出的各种类型的财务账户信息之间的相似度。在一些实施例中，相似度值107可以提供发送用户110和接收用户120已经参与的、彼此具有各种链接的交易的数量的指示。例如，发送用户110和接收用户120之间的链接可以包括在发送用户110和接收用户120之间直接共有的信息，以及发送用户110和接收用户120之间与参与交易的第三方用户共有的信息。此外，服务器计算机系统101可以识别与发送用户相关联的第一交易匹配方和与接收用户120相关联的第二交易匹配方之间的链接。

服务器计算机系统101基于相似度值评估标记交易140是否有效。在各种实施例中，相似度值107可以等于在发送用户110和接收用户120之间检测到的链接的数量，或者可以是在基于检测到的链接的数量确定的预定义范围内的值，例如，检测到的链接与基于先前交易的可能的链接总数的比例。服务器计算机系统101可以将相似度值107与一个或多个阈值进行比较来作为评估的一部分。在一个示例中，相似度值107可以是基于检测到的链接计算的并且落在最小值和最大值之间的值。服务器计算机系统101将相似度值107与单个阈值进行比较，并且如果相似度值107达到该单个阈值，则确定标记交易140是欺诈性的。在另一示例中，相似度值107可以等于检测到的链接的总数。服务器计算机系统101可以将相似度值107与多个阈值进行比较，每个阈值都指示标记交易140是欺诈的特定可能性。基于欺诈交易的可能性，额外的行动可被采取。阈值(单个和多个)可以基于对先前标记的交易的分析来确定。随着更多的标记交易被处理，一个或多个阈值可被调整，以提高欺诈确定的准确性。

应注意，图1的实施例仅是示例。仅示出了与实施例的描述相关的特征。其他实施例可以包括附加特征。如图所示，发送方信息112和接收方信息122被示出为十个或更少的框，每个框代表与特定交易相关的信息。在其他实施例中，任何合适数量的交易可以包括在历史信息中，例如，数百、数千或更多。

在图1的描述中，讨论了与发送用户和接收用户相关联的信息的收集。如上所述，此信息用于识别发送用户和接收用户之间的链接。关于所收集的信息的附加细节在下文关于图2公开。

转到图2，描绘了发送方信息和接收方信息的示例。服务器计算机系统101检索发送方信息112和接收方信息122以确定相似度值107。发送方信息112和接收方信息122包括其他用户220a-220k(统称为其他用户220)的相应列表，其中，发送用户110和接收用户120中的每个已经与其他用户使用由图1的服务器计算机系统101托管的在线交易服务参与了交易。此外，针对在发送方信息112和接收方信息122中识别的每个用户收集设备标识值(设备ID)201-211。检索到的发送方信息112与发送方账户数据212进行比较，并且检索到的接收方信息122与接收方账户数据222进行比较。

发送方账户数据212包括关于发送用户110的账户数据的信息，包括与发送用户110已经用于访问在线交易服务的计算设备相关联的任何设备ID。在这种情况下，设备ID 201已被识别为与发送用户110相关。类似地，接收方账户数据222包括与接收用户120的账户相关联的信息。在这种情况下，设备ID 206和201已与接收用户120相关联。

如图所示，发送方信息112指示发送用户110已经具有与其他用户220a-220g的先前交易，以及与接收用户120的之前交易(不包括标记交易140)。接收方信息122类似地指示接收用户120具有与其他用户220c-220f和220h-220k的先前交易。与在线交易服务相关联的任何合适的信息可用于识别每个用户，例如，相应的账号、用户名、法定全名、电子邮件地址等。

如图所示，为每个识别的用户收集一条附加信息，即识别相应用户已用于访问在线交易服务的计算设备(例如，个人计算机、智能电话、膝上型计算机、台式计算机等)的设备ID。在各种实施例中，设备ID可以对应于所识别的与发送用户110或接收用户120的交易具体相关联的设备，或者可以包括对应用户已经用于访问过在线交易服务的所有设备。设备ID201-211可以包括与相应设备相关联的任何合适的识别值。例如，设备ID201-211可以是媒体访问控制(MAC)地址，或与特定计算设备相关联的其他硬件标识值。在一些实施例中，设备ID可以包括在线交易服务已经存储在相应设备上的cookie(例如，存储在相应设备上的数据包)中包含的值。

应注意，发送方信息112针对几个用户包括两个条目：其他用户220b、220f和220g。类似地，接收方信息122针对其他用户220f和220k包括两个条目。在所示的实施例中，针对用户在访问在线交易服务时使用的每个设备ID，包括单独的条目。在其他实施例中，可针对给定用户已经与发送用户110或接收用户120进行的每个交易，包括针对该给定用户的不同条目。

还应注意，为了检索发送方信息112和接收方信息122，服务器计算机系统101可以检索在特定日期范围内发生的交易。例如，服务器计算机系统101可以检索关于在当前日期的两年内或在标记交易140的日期的一年内与发送用户110和接收用户120相关联的交易的信息。在其他实施例中，服务器计算机系统101可以检索关于与发送用户110和接收用户120相关联的任何交易的所有可用信息。

在发送方信息112中识别的用户在本文中可以统称为“发送方的组”或“发送方组”，在接收方信息122中识别的用户在本文中可以统称为“接收方的组”或“接收方组”。如图所示，服务器计算机系统101检索发送方的组和接收方的组以确定相似度值107。相似度值107用于指示欺诈的概率或可能性。因此，在当前公开内，欺诈概率值是用于确定标记交易是否是不意图完成交易而是意图从在线交易服务的运营商接收赔偿而发起的欺诈交易的值。在某些情况下，可以通过将欺诈概率值与指定阈值进行比较来确定欺诈，该阈值在某些情况下可能随时间而改变。

为了生成欺诈概率值，服务器计算机系统101可以识别发送用户110的两个或更多个交易匹配方之间的链接，并且识别接收用户120的两个或更多个交易匹配方之间的链接。两个用户之间的“链接”是指相似度或连接性的某个标记。例如，链接可以基于相似的用户简档信息、相似的交易历史、特别是以下交易历史：指示两个用户直接参与了交易或者经由服务的其他用户而具有间接连接的交易历史。如图所示，参照发送方信息112，发送用户110已经参与了与发送方组中的每个用户的交易。服务器计算机系统101可以识别发送方的组中的用户之间的附加链接，称为“组链接”。如图所示，发送用户110使用了具有设备ID 201的设备。接收用户120和其他用户220e也使用了具有设备ID 201的设备。服务器计算机系统101将设备ID 201的这些共同使用识别为三个组链接。在发送方的组中识别四个额外的组链接(总共7个)：接收用户120和其他用户220d具有共同的设备ID 206，其他用户220b、其他用户220f和其他用户220g均具有共同的设备ID 203。

服务器计算机系统101还针对接收方的组识别四个组链接。发送用户110和接收用户120之间对设备ID 201的共同使用以及接收用户120和其他用户220对设备ID 206的共同使用均可针对接收方的组被再次计数。此外，其他用户220e和其他用户220h具有共同的设备ID 211。其他用户220f和其他用户220k具有共同的设备ID 207。

应注意，图2仅是用于展示所公开的构思的示例。仅用户和设备ID被示出为用于识别其相应的组内的发送用户和接收用户之间的链接的收集的信息。在其他实施例中，附加的信息可被收集，例如，联系信息、银行账号和物理位置信息。

以上识别的链接可用于确定欺诈值，例如，相似度值107。服务器计算机系统收集的所示的发送方信息和接收方信息可用于以若干附加方式来识别发送用户和接收用户之间的进一步链接。这些进一步链接还可以与以上链接一起使用，以确定欺诈价值。如下所述，图3、图4和图5中示出了几种示例性方式。

转到图3，示出了描述发送用户和接收用户之间的直接链接的实施例。图3示出了服务器计算机系统101可以基于图2的发送方信息112和接收方信息122在发送用户110和接收用户120之间检测的两个链接。这两个链接称为“直接链接”，因为不涉及除了发送用户110和接收用户120之外的任何用户。这两个链接是之前交易341和设备ID 201。

之前交易341是在标记交易140发生之前在发送用户110和接收用户120之间直接发生的交易。除了检测之前交易341之外，服务器计算机系统101还可检索指示接收用户120还是之前交易341期间的接收用户的信息。在一些实施例中，当确定相似度值107时，确定之前交易的“方向”(例如，针对特定交易识别哪个用户是发送用户和哪个用户是接收用户)可用于调整或加权之前交易。例如，如果发送用户110是之前交易341的发送用户并且接收用户120是针对交易140和341二者的接收用户，则发送方接收方关系的这种一致性可以指示可能的供应商/客户关系，因此可以降低标记交易140是欺诈的概率。相反，发送用户和接收用户在多个交易中改变角色的情况可能指示欺诈行为。当然，发送方/接收方关系的一致性这一事实并不总是指示交易是有效的；许多这样的交易可能会基于多种因素的组合而被标记为欺诈，其中，该多种因素中的一些因素的权重可能高于其他因素。

除了之前交易341之外，服务器计算机系统101可以检测到发送用户110和接收用户120都使用了具有共同的设备ID 201的计算设备。由于设备ID用于指示特定的计算设备，因此参与交易的两个用户具有共同的设备ID应该是不常见的，因此增加了标记交易140是欺诈的可能性。尽管可存在例如发送用户110在先前交易中从接收用户120获得具有设备ID201的设备的可能性，但是发送用户110和接收用户120使用相同的计算设备通常在有效交易中很少发生的，因此可以被识别为发送用户110和接收用户120之间的直接链接。

图3示出了发送用户和接收用户之间的直接链接的示例。对于试图串通以欺诈在线交易服务运营商的用户来说，直接链接可以很容易地避免，因此很少遇到。因此，试图确定欺诈活动的服务器计算机系统可寻找串通的用户可能更难以避免的附加链接。图4和5描绘了可被识别的间接链接的示例。与直接链接相反，一对用户之间的间接链接是通过与其他用户相关联的信息而建立的。

转到图4，实施例示出了指示发送用户110和接收用户120均具有与共同的其他用户的链接的间接链接的示例。如图所示，服务器计算机系统101使用发送方信息112和接收方信息122确定发送用户110和接收用户120具有到以下四个共同的中间用户的链接：其他用户220c-220f。八个之前交易(442-449)连同计算设备的三个共同使用一起被识别，产生发送用户110和接收用户120之间的总共11个间接链接，其中，每个链接涉及单个共同的其他用户。

如图所示，设备ID 201链接到发送用户110、接收用户120和其他用户220e。此外，设备ID 206链接到接收用户120和其他用户220d。如上所述，对共同计算设备的使用可能是在线交易服务的不同用户之间的非预期事件，因此，可能暗示共同计算设备的用户彼此熟悉。熟悉用户之间的失败交易可以用作失败交易可能是欺诈的指示。

服务器计算机系统101确定发送用户110已分别参与与其他用户220c-220f的之前交易442-445。此外，服务器计算机系统101确定接收用户120已分别参与与其他用户220c-220f的之前交易446-449。如上所述，每个交易442-449的方向被确定，并可用于进一步确定特定用户对之间是否存在以下模式：该模式可指示特定类型的连接，例如，前面提到的可能表明有效的交易的客户-供应商关系。在客户-供应商关系中，客户通常可以是发送用户，而供应商通常可以是接收用户。相反，确定一个或多个用户的角色经常改变可以提供以下指示：使用多个账户和计算设备的一组用户或一个或多个用户正在生成欺诈性交易。

涉及共同的其他用户的该组11个间接链接可被服务器计算机系统101与图3中所示的一组两个直接链接进行组合，并用于确定相似度值107。以与如上关于图3所述类似的方式，与每个链接相关联的值可以基于之前交易的类型和参与用户在相应交易中的角色被加权。

图4描绘了一种类型的间接链接，涉及发送用户和接收用户之间的一个共同用户。然而，尝试欺诈活动的一组用户可能具有用于避免与共同的中间用户的直接链接和间接链接的知识。图5演示了另一种形式的间接链接，其中，发送方的组中的用户和接收方的组中的不同用户之间的链接被检测到。

现在转到图5，实施例示出了指示发送用户110的第一交易匹配方与接收用户120的第二交易匹配方具有链接的间接链接的示例。如图所示，服务器计算机系统101同样使用发送方信息112和接收方信息122来确定发送方的组中的两个特定交易匹配方(其他用户220b和220g)具有到接收方的组中的两个不同交易匹配方(其他用户220h和220k)的相应链接。

服务器计算机系统101使用发送方信息112来生成发送方的组中的用户的列表，并且使用接收方信息122来生成接收方的组中的用户的列表。对于发送方的组中的每个用户，服务器计算机系统101可以搜索到接收方的组中的用户中的一个或多个用户的链接。该搜索可以检测发送用户110和接收用户120都没有直接涉及的链接。

如图所示，发送用户已经与其他用户220b进行了之前交易550。其他用户220b已经参与了与其他用户220h的之前交易554。其他用户220h又与接收用户120进行了之前交易552。这三个之前交易(550、554和552)指示发送用户110和接收用户120之间的链接，尽管事实是发送用户110和接收用户120都没有参与之前交易554。此外，这三个交易可能已经彼此独立地发生，发生在不同的日期，并且不存在共有的商品、数据、媒体、金钱等。

涉及其他用户220g和其他用户220k的另一链接被服务器计算机系统101确定。在该情况下，其他用户220g和220k已经进行了两个之前交易(555和556)。如上所述，服务器计算机系统101可以说明每个用户在每个识别的交易中具有的各种角色，使用交易的方向来确定是否存在可以指示有效交易或欺诈活动的模式。

如图所示，服务器计算机系统检测发送用户110和接收用户120之间的7个交易匹配方链接。此组7个交易匹配方间接链接可以与图3和图4所示的一组11个共同用户间接链接和一组两个直接链接进行组合。在一些实施例中，服务器计算机系统101可以针对每组链接确定相应的相似度值，然后从这三个值生成组合的相似度值107。在其他实施例中，可以组合使用所有检测到的链接来生成相似度值107。

在图2-5中，为清楚起见，仅之前交易和设备ID被用于确定链接。然而，图1中的交易信息103可包括在线交易服务的用户的各种附加类型的信息。以下描述了在识别发送用户和接收用户之间的链接时可以使用的附加数据类型的一些示例。

现在转到图6，描绘了用于识别发送用户和接收用户之间的链接的数据的示例。图6所示的信息可以由服务器计算机系统101从交易信息103和/或附加资源、例如用户账户信息的储存库检索。附加的发送方信息112包括设备ID 201、互联网协议(IP)地址602、银行账号603、信用卡号604、电子邮件地址605和606、家庭地址607a、电话号码608、全球定位系统(GPS)数据613a和标记交易614。附加的接收方信息122包括设备ID 201和206、IP地址602和609、银行账号610、信用卡号604和611、电子邮件地址612、家庭地址607b和GPS数据613b。

除了以上描述的之前交易和设备ID信息之外，服务器计算机系统101可以利用附加的发送方信息112和附加的接收方信息122来识别发送用户110和接收用户120之间的链接。例如，识别的链接可以包括发送用户110和接收用户120中的每一个的联系信息。联系信息可以包括用户向在线交易服务提供的关于可如何联系该用户的任何信息。这样的联系信息可包括电子邮件地址、家庭地址和电话号码。识别的链接还可以包括用户提供的财务信息，例如，银行账号以及信用卡或借记卡号。

如图所示，发送用户110和接收用户120具有5个直接链接。如先前在图3中所示，发送用户110和接收用户120都使用了通过设备ID 201指示的相同的计算设备。此外，发送用户110和接收用户120通过指示使用相同的网络的共同的IP地址被链接、并且通过在他们相应的账户中的每个中包含相同的信用卡号604被链接。另一个链接指示发送用户110的家庭地址607a和接收用户120的家庭地址607b之间的相似度。在这种情况下，家庭地址607a和家庭地址607b可以不相同，但是可能指示彼此非常接近，例如，在同一条街道，或同一邮政编码或其他邮政编码。电话号码可以以类似的方式被用于指示以同一区号或交换前缀的协同定位。类似地，GPS数据613a和GPS数据613b可以不相同，但指示发送用户110和接收用户120的位置在彼此的特定范围内。应注意，当用户经由智能电话或其他具有GPS能力的设备访问在线交易服务时，用户的GPS数据可被收集。虽然两个用户的相似位置可能不指示欺诈活动，但距离很近确实允许两个用户可以亲自会面以安排欺诈计划的可能性。

除了寻找相同或相似的信息之外，服务器计算机系统可以确定与发送用户110相关联的先前标记交易的数量和与接收用户120相关联的先前标记交易的数量。在所示的实施例中，发送用户110具有一个先前标记交易，接收用户120具有零个先前标记交易。因此，不能针对该特定数据点建立链接。

示出的附加信息中的一些包括用户在登录账户时可以添加或更新的数据。例如，用户可以在任何给定时间更新或添加财务和联系信息。在线交易服务可以跟踪用户何时以及多频繁地改变他们的相应的信息。当确定相似度值107时，服务器计算系统101可以包括确定在线交易服务上发送用户110对其相应的账户添加或改变的数据的量以及接收用户120对其相应的账户添加或改变的数据的量。在一些实施例中，对改变的搜索可以被限制在指定的时间段，例如，在标记交易140的一周或一个月内。

针对附加的发送方信息112和附加的接收方信息122收集的信息在单独考虑时可能不明确指示欺诈活动。然而，服务器计算机系统101对所有收集的信息进行分析来识别发送用户110和/或接收用户120的特定模式或行为，则可能会提供标记交易140是欺诈交易的指示。

应注意，图6中所示的附加的用户数据仅是示例。在各种实施例中，还可以包括其他类型的数据，例如，职业和用户在在线交易服务上拥有账户的时间长度。尽管附加信息被描述为用于识别发送用户和接收用户之间的直接链接，但是这样的数据可以针对发送方的组和接收方的组中列出的所有用户被收集，并用于识别与共同用户的间接链接以及交易匹配方间接链接。

图1-6描述了用于确定标记交易中涉及的用户之间的链接的系统和信息。所公开的系统可以使用各种方法来识别这些链接并确定相应的欺诈概率。现在在下文描述与确定欺诈概率相关的两种可能方法。

现在转到图7，描绘了用于评估标记交易的有效性的方法的实施例的流程图。如图所示，方法700可以由图1的服务器计算机系统101执行，以确定经由交易服务发起的标记交易140是有效交易还是欺诈交易。在一些实施例中，服务器计算机系统101可以包括(或可以访问)以下非暂时性计算机可读介质：该非暂时性计算机可读介质具有存储在其上的程序指令，该程序指令可由服务器计算机系统101执行以实现参照图7描述的操作。共同参照图1和图7，方法700开始于框701。

方法700包括由服务器计算机系统接收交易服务的发送用户和接收用户之间的标记交易的指示(框710)。在一些实施例中，交易服务可以由服务器计算机系统101实现。发送用户110和接收用户120都具有用于交易服务的用户账户，并且发送用户110发起包括对项目进行交换的交易。例如，该项目可以包括商品、数据、媒体、货币或它们的任何组合。标记交易可以指示发送用户110已经履行了交易的所属部分但接收用户120还没有完成所属部分。发送用户110响应于未从接收用户120接收到相应的项目，提出针对所发送的项目的赔偿索赔。响应于该索赔的提交，该交易被标记为标记交易140。服务器计算机系统101试图确定标记交易是否是有效交易，或者发送用户110和接收用户120是否一起工作以试图欺诈交易服务的运营商。

此外，方法700包括由服务器计算机系统响应于该指示收集包括发送方信息和接收方信息的交易信息(框720)。交易信息103包括发送方信息112，发送方信息112指示交易服务内涉及发送用户110的先前交易，涉及发送用户110的先前交易包括与接收用户120以外的用户的交易。此外，交易信息103包括接收方信息122，接收方信息122指示交易服务内涉及接收用户120的先前交易，涉及接收用户120的先前交易包括与发送用户110以外的用户的交易。

发送方信息112和接收方信息122可以包括存储在服务器计算机系统101中或可由服务器计算机系统101访问的任何合适的数据。例如，发送方信息112可以包括与发送用户110相关联的之前交易的列表，与发送用户110相关联的之前交易包括发送用户110在其中担任接收角色的之前交易。从之前交易的列表，参与这些交易的其他用户被识别。如上所述，参与与发送用户110的交易的其他用户的列表可以被称为发送方的组。与发送用户110和发送方的组中的用户相关联的其他信息可以被收集，例如，该其他信息是以上关于图6公开的信息。接收方信息122可以包括与发送方信息112类似的信息，但与接收用户120相关。

方法700包括由服务器计算机系统确定指示发送方信息和接收方信息之间的相似度量的相似度值(框730)。服务器计算机系统101将发送方信息112和接收方信息122进行比较以识别共同和/或密切相关的细节。例如，如图2-6所示，服务器计算机系统101识别发送方的组和接收方的组中的每个内的组链接、发送用户110和接收用户120之间的直接链接、以及发送用户110和接收用户120之间涉及一个或多个交易匹配方的间接链接。欺诈概率值(例如相似度值107)是基于识别的链接的数量来确定的。在一些实施例中，表示每个识别的链接的值可以基于链接的类型被加权。例如，直接链接的权重可高于间接链接的权重。与链接相关联的附加信息(例如之前交易的方向)也可用于增大或减小特定链接的权重。

此外，方法700包括由服务器计算机系统基于相似度值来评估标记交易是否有效(框740)。基于相似度值107的值，服务器计算机系统101确定标记交易140是有效的还是欺诈性的。在一些实施例中，单个阈值可用于进行有效或欺诈性确定。达到阈值的相似度值107可以被视为是欺诈性的，否则被识别为有效的。在其他实施例中，多个阈值可被用作指示标记交易140是欺诈性的概率的标度。如果相似度值107达到最高阈值，则标记交易140被识别为欺诈性的。如果相似度值107未达到最低阈值，则标记交易140被识别为有效的。如果相似度值107达到小于最高阈值的任何阈值，则服务器计算机系统101可以标记与标记交易140相关联的索赔，并且在一些实施例中，可以向发送用户110和/或接收用户120请求附加信息，以便进行对标记交易140的有效性的最终确定。该方法在框790结束。

应注意，服务器计算机系统101确定发送用户110和接收用户120一起工作以欺诈交易服务的运营商的可能性。方法700可以不对接收用户120是否打算欺诈发送用户110进行任何确定。如果相似度值指示发送用户110在发起标记交易140时是善意的，则服务器计算机系统101可以将标记交易140识别为有效的。当将标记交易140识别为有效时，可以不考虑接收用户120对发送用户110的意图。

还应注意，方法700包括操作701-790。虽然为了便于理解以特定顺序示出了这些元素，但也可以使用其他顺序。在各种实施例中，方法元素中的一些可以以与所示出的顺序不同的顺序被同时执行，或者可以被省略。还可以根据需要执行附加的方法元素。例如，操作720和730可以以迭代和/或重叠方式被执行，其中，相似度值或相似度值的一部分在持续收集信息的同时基于部分收集的信息被确定。

现在转到图8，示出了用于由服务器计算机系统确定欺诈概率值的方法的实施例的流程图。方法800提供了描述可如何使用交易信息来确定欺诈概率值的附加细节。在一些实施例中，方法800可以表示在图7中的方法700的框730中发生的操作。因此，方法800可以由图1的服务器计算机系统101执行，以确定标记交易140的欺诈概率值。共同参照图1和8，在已经针对与交易服务上的标记交易相关联的发送用户和接收用户收集了交易信息之后，方法800开始于框801。

方法800包括由服务器计算机系统识别直接在发送用户和接收用户之间的第一组的直接链接(框810)。如图3所示，直接链接包括发送用户110和接收用户120共同的信息。用于链接的信息类型包括之前交易以及设备标识值，例如，之前交易是之前交易341，例如，设备标识值是设备ID 201。附加类型的信息可用于确定链接，例如，与访问交易服务相关联的网络信息、包括在用户账户中的联系信息、与用户相关联的财务信息等。当特定条的信息对发送用户110和接收用户120二者是共同的而没有其他用户介入时，出现直接链接。第一组的直接链接可以包括服务器计算机系统101在发送用户110和接收用户120之间识别的所有直接链接。

此外，方法800包括由服务器计算机系统识别指示发送用户和接收用户各自与共同的其他用户具有链接的第二组的间接链接(框820)。参照图4，第二组的链接包括如下间接链接：该间接链接包括发送用户110和接收用户120共同的中间用户。当特定条信息对发送用户110和接收方的组中接收用户120以外的一成员二者是共同的时，可以出现第一类型的间接链接。当特定条信息对接收用户120和发送方的组中发送用户110以外的一成员二者是共同的时，也可出现这种第一类型的间接链接。第二组的间接链接可以包括服务器计算机系统101在发送用户110和接收方的组的成员之间识别的所有第一类型的间接链接，反之亦然。

方法800还包括由服务器计算机系统识别指示发送用户的特定交易匹配方与接收用户的不同交易匹配方具有链接的第三组的间接链接(框830)。如图5所示，第二类型的间接链接包括发送方的组的成员和接收方的组的成员之间的链接，其中，发送用户110和接收用户120均不与该链接直接相关联。第三组的间接链接可以包括服务器计算机系统101在发送方的组的成员和接收方的组的成员之间识别的所有第二类型的间接链接。

此外，方法800包括由服务器计算机系统基于第一组中的直接链接的数量以及第二和第三组中的间接链接的数量来确定欺诈概率值(框840)。服务器计算机系统101使用第一组、第二组和第三组的识别的链接来确定欺诈概率值，例如，相似度值107。各种方法可用于确定欺诈概率值，例如，将三组中所有识别的链接加在一起，或针对每组确定加权值然后将加权值加在一起。在一些实施例中，可以采用查找表来基于三组中的每组中识别的链接的相应数量生成欺诈概率值。一旦确定了欺诈概率值，该方法就在块890结束。

应注意，方法800仅仅是示例。操作801-890被示为按顺序发生。然而，在其他实施例中，一些操作可重叠。例如，操作810、操作820和操作830可以并行发生，各组链接随着检测到新链接而递增。在一些实施例中，可以增加或省略一些操作。例如，当确定欺诈概率值时，可以包括识别对应于组链接(如关于图2所描述)的第四组的链接的不同的操作。

现在参照图9，描绘了根据各种实施例的示例计算机系统900的框图，示例计算机系统900可以实现一个或多个计算机系统，例如，图1的服务器计算机系统101。计算机系统900包括处理器子系统920，处理器子系统920经由互连结构980(例如，系统总线)耦合到系统存储器940和输入/输出(I/O)接口960。I/O接口960耦合到一个或多个I/O设备970。计算机系统900可以是各种类型的设备中的任何一种，包括但不限于服务器计算机系统、个人计算机系统、台式计算机、膝上型计算机或笔记本计算机、大型机计算机系统、在数据中心设施中操作的服务器计算机系统、平板计算机、手持计算机、工作站、网络计算机等。尽管为方便起见在图9中示出了单个计算机系统900，但是计算机系统900还可以实现为一起操作的两个或更多个计算机系统。

处理器子系统920可以包括一个或多个处理器或处理单元。在计算机系统900的各种实施例中，处理器子系统920的多个实例可以耦合到互连结构980。在各种实施例中，处理器子系统920(或920内的每个处理器单元)可以包含高速缓存或其他形式的板载存储器。

系统存储器940可用于存储可由处理器子系统920执行以使计算机系统900执行本文描述的各种操作的程序指令。系统存储器940可以使用不同的物理、非暂时性存储器介质来实现，例如，硬盘存储器、软盘存储器、可移除盘存储器、闪存、随机存取存储器(RAM-SRAM、EDO RAM、SDRAM、DDR SDRAM、RAMBUS RAM等)、只读存储器(PROM、EEPROM等)等。计算机系统900中的存储器不限于诸如系统存储器940的主存储器。而是，计算机系统900还可以包括其他形式的存储器，例如，处理器子系统920中的高速缓冲存储器和I/O设备970上的辅助存储器(例如，硬盘驱动器、存储阵列等)。在一些实施例中，这些其他形式的存储器也可以存储可由处理器子系统920执行的程序指令。

此外，图1中的交易信息103可以存储在系统存储器940中。例如，交易信息103可以存储在系统存储器940内的系统RAM中，同时服务器计算机系统101执行这里描述的操作。交易信息103也可以存储在非易失性存储器中，例如，I/O设备970中包括的硬盘驱动器或固态驱动器。

根据各种实施例，I/O接口960可以是被配置为耦合到其他设备并与其他设备通信的各种类型的接口中的任何一种。在一个实施例中，I/O接口960是从前端到一个或多个后端总线的桥接芯片(例如，南桥)。I/O接口960可以经由一个或多个相应的总线或其他接口耦合到一个或多个I/O设备970。I/O设备970的示例包括存储设备(硬盘驱动器、光驱、可移除闪存驱动器、存储阵列、SAN或它们相关联的控制器)、网络接口设备(例如，到局域网或广域网)或其他设备(例如，图形、用户界面设备等)。在一个实施例中，I/O设备970包括网络接口设备(例如，被配置为通过WiFi、蓝牙、以太网等进行通信)，计算机系统900经由该网络接口设备耦合到网络。

尽管本文公开的实施例易适于各种修改和替代形式，但在附图中以示例的方式示出并在本文中详细描述了特定实施例。然而，应当理解，附图及其详细描述并不旨在将权利要求的范围限制为所公开的特定形式。相反，本申请旨在涵盖落入如所附权利要求所限定的本申请的公开的精神和范围内的所有修改、等同物和替代物。本文使用的标题仅用于组织目的，并不意味着用于限制描述的范围。

本公开包括对“一个实施例”、“特定实施例”、“一些实施例”、“各种实施例”、“实施例”等的引用。这些或类似短语的出现不一定指相同的实施例。特定特征、结构或特性可以以与本公开一致的任何合适方式组合。

如本文所用，术语“基于”用于描述影响确定的一个或多个因素。该术语不排除其他因素可能影响确定的可能性。也就是说，确定可以仅基于指定的因素，或者可以基于指定的因素以及其他未指定的因素。考虑短语“基于B确定A”。该短语指定B是用于确定A的因素或者影响对A的确定的因素。该短语不排除对A的确定还可以基于其他一些因素，例如，C。该短语还旨在涵盖仅基于B确定A的实施例。如本文所用，短语“基于”与短语“至少部分基于”同义”。

如本文所用，短语“响应于”描述触发效果的一个或多个因素。该短语并不排除其他因素可以影响或以其他方式触发效果的可能性。也就是说，效果可以仅响应于那些因素，或者可以响应于指定的因素以及其他未指定的因素。考虑短语“响应于B执行A”。该短语指定B是触发A执行的因素。该短语并不排除执行A也可以是响应于某个其他因素的，例如，C。该短语还旨在涵盖仅响应于B执行A的实施例。

如本文所用，术语“第一”、“第二”等用作它们之后的名词的标签，不暗示任何类型的排序(例如，空间、时间、逻辑等)，除非另有说明。如本文所用，术语“或”用作包含性的或而不用作排他性的或。例如，短语“x、y或z中的至少一个”指x、y和z中的任何一个，以及它们的任何组合(例如，x和y，但没有z)。

应当理解，本公开不限于特定设备或方法，其当然可以变化。还应理解，本文使用的术语仅出于描述特定实施例的目的，并不旨在进行限制。如本文所用，单数形式“一”、“一个”和“该”包括单数和复数指示物，除非上下文另有明确规定。此外，在整个本申请中，“可”一词是在允许的意义上(即，有可能、能够)、而不是在强制性的意义上(即，必须)使用的。术语“包括”及其派生词是指“包括但不限于”。术语“耦合”是指直接或间接连接。

在本公开内，不同实体(其可以不同地称为“单元”、“电路”、其他组件等)可以被描述或要求为“配置”为执行一个或多个任务或操作。这个形式——[实体]被配置为[执行一个或多个任务]——在本文中用于指代结构(即，物理的某物，例如，电子电路)。更具体地，该形式用于指示该结构被布置为在操作期间执行一个或多个任务。可以说一个结构被“配置为”执行某些任务，即使该结构当前没有被操作。“被配置为存储数据的存储器设备”旨在涵盖例如具有在操作期间执行此功能的电路的集成电路，即使所讨论的集成电路当前没有被使用(例如，电源没有连接到它)。因此，被描述或记载为“配置为”执行某任务的实体是指物理的某物，例如，设备、电路、存储可执行以实现任务的程序指令的存储器等。该短语在本文中不用于指代无形的东西

术语“配置为”并不意味着“可配置为”。例如，未编程的FPGA不会被视为“配置为”执行某些特定功能，尽管它可以在编程后“可配置为”执行该功能。

在所附权利要求中记载结构被“配置为”执行一个或多个任务的明确意图不是对于该权利要求要素援引35U.S.C.§112(f)。如果申请人希望在申请期间援引第112(f)条，将使用“装置，用于”[执行功能]的结构来列举权利要求要素。

在本公开中，可操作以执行指定功能的各种“模块”在附图中示出并在以上详细描述。如本文所用，术语“模块”是指被配置为执行指定操作的电路，或者指存储指示其他电路(例如，处理器)执行指定操作的信息(例如，程序指令)的物理、非暂时性计算机可读介质。这样的电路可以以多种方式实现，包括作为硬连线电路或作为其中存储有程序指令的存储器，该程序指令可由一个或多个处理器执行以执行操作。例如，硬件电路可以包括定制的超大规模集成(VLSI)电路或门阵列、现成的半导体，例如，现成的半导体是逻辑芯片、晶体管或其他分立元件。模块也可以在可编程硬件设备中实现，例如，可编程硬件设备是现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等。模块还可以是存储可执行以执行指定操作的程序指令的任何合适形式的非暂时性计算机可读介质。

尽管上面已经描述了具体实施例，但这些实施例并不旨在限制本公开的范围，即使针对特定特征仅描述了单个实施例。除非另有说明，否则本公开中提供的特征示例旨在说明性而非限制性的。以上描述旨在涵盖对受益于本公开的本领域技术人员显而易见的替代、修改和等同物。

本公开的范围包括本文公开的任何特征或特征的组合(显式或隐含)，或其任何概括，无论其是否减轻本文解决的问题中的任何一个或所有。因此，在本申请(或要求其优先权的申请)的实施期间，可以对任何这样的特征组合提出新的权利要求。特别地，参考所附权利要求，来自从属权利要求的特征可以与独立权利要求的特征组合，并且来自各个独立权利要求的特征可以以任何适当的方式而不仅仅是以所附权利要求中列举的特定组合进行组合。