用于实时自动柜员机欺诈检测和预防的系统、方法和计算机程序产品与流程

1.所公开的实施例或方面大体上涉及欺诈检测和预防，并且在一个特定实施例或方面，涉及使用分布式高速缓存实时检测自动柜员机(atm)交易欺诈并响应于此激活欺诈预防系统的系统、方法和计算机程序产品。


背景技术：

2.参与欺诈atm交易，尤其是取款，可被称为“套现欺诈”。套现欺诈已造成数百万美元损失，这由支付装置用户和金融机构共同承担。使用atm进行的欺诈交易很难被检测到，而且即使在检测到欺诈的情况下，atm交易也可能在传统安全系统触发安全措施之前就完成。更复杂的是，支付装置(例如，借记卡)可能会被复制，因此多个欺诈者可能试图同时或基本上同时在多个atm处进行欺诈交易，以试图在安全措施采取之前尽可能多地使用受损支付装置。另外，尽管可能常见的是全银行范围的数据泄露引起启动先发性欺诈预防系统，但此类案例并不能解释特定支付装置上发生的欺诈情况。
3.此外，固定的欺诈预防规则，特别是那些严格适用于所有用户的规则，并不能完全考虑单个支付装置的交易行为、区域交易行为或交易行为的趋势和变化。固定的欺诈预防规则通常会导致误报或漏报，从而导致用户受挫或未能检测到欺诈交易。
4.本领域需要在atm交易处理期间，尤其是在现金支取可能发生之前，检测到欺诈atm交易的技术解决方案。需要这种技术解决方案来使用被配置成聚合、调用和分析的计算机网络。本领域还需要采用动态欺诈预防阈值以允许进行更准确欺诈检测的技术解决方案。


技术实现要素：

5.因此且大体上，提供用于实时自动柜员机(atm)欺诈检测和预防的计算机实施的方法的改进的系统、方法和计算机程序产品。优选地，提供系统、方法和计算机程序产品，用于在交易服务提供商系统的交易处理期间实时接收多个交易的交易数据。优选地，提供系统、方法和计算机程序产品，用于将所述交易数据存储在分布式高速缓存中以用于聚合和调用所述交易数据。优选地，提供系统、方法和计算机程序产品，用于接收atm处的交易请求、修改atm活动的配置文件，并将所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。优选地，提供系统、方法和计算机程序产品，用于在所述atm处完成用户交易之前激活欺诈预防操作。
6.根据非限制性实施例或方面，提供一种用于实时atm欺诈检测和预防的计算机实施的方法。所述方法包括用至少一个处理器接收由至少一个atm完成的多个交易的交易数据，所述交易数据是在交易服务提供商系统的交易处理期间实时接收的。所述方法包括用至少一个处理器将所述交易数据存储在分布式高速缓存中以用于聚合和调用所述交易数据。所述方法包括用至少一个处理器接收对在atm处使用支付装置进行用户交易的交易请
求，所述交易请求包括支付装置标识符。所述方法包括用至少一个处理器修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件。所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量。所述方法包括用至少一个处理器将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。所述方法包括响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前用至少一个处理器激活或使得激活欺诈预防操作。所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
7.在一些非限制性实施例或方面，所述atm可以通信连接到所述分布式高速缓存，并且被编程和/或配置成在处理所述用户交易期间聚合所述交易数据与来自所述用户交易的数据。
8.在一些非限制性实施例或方面，可以与处理所述用户交易实时地由所述atm执行(i)将所述至少一个度量与所述至少一个预定atm活动阈值进行比较，以及(ii)激活或使得激活所述欺诈预防操作。
9.在一些非限制性实施例或方面，所述至少一个预定atm活动阈值可以至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。所述机器学习模型可以基于在处理所述交易数据期间实时接收的所述交易数据定期更新。所述至少一个预定atm活动阈值可以至少部分地由所述机器学习模型以规则间隔重新生成。
10.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据。可以响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
11.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易位置数据。可以响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
12.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据和atm交易位置数据。可以响应于确定所述支付装置的第一atm交易与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。所述下限阈值可以表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
13.根据非限制性实施例或方面，提供一种用于实时自动柜员机(atm)欺诈检测和预防的系统。所述系统包括分布式高速缓存和服务器，所述服务器包括用于执行程序指令的至少一个处理器。所述服务器被编程和/或配置成接收由至少一个atm完成的多个交易的交易数据，所述交易数据是在交易服务提供商系统的交易处理期间实时接收的。所述服务器被编程和/或配置成将所述交易数据存储在所述分布式高速缓存中以用于聚合和调用所述交易数据。所述服务器被编程和/或配置成接收对在atm处使用支付装置进行用户交易的交易请求，所述交易请求包括支付装置标识符。所述服务器被编程和/或配置成修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件。所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量。所述服
务器被编程和/或配置成将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。所述服务器被编程和/或配置成响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前激活或使得激活欺诈预防操作。所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
14.在一些非限制性实施例或方面，所述至少一个预定atm活动阈值可以至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。所述机器学习模型可以基于在处理所述交易数据期间实时接收的所述交易数据定期更新。所述至少一个预定atm活动阈值可以至少部分地由所述机器学习模型以规则间隔重新生成。
15.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据。可以响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
16.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易位置数据。可以响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
17.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据和atm交易位置数据。可以响应于确定所述支付装置的第一atm交易与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。所述下限阈值可以表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
18.根据非限制性实施例或方面，提供一种用于实时自动柜员机(atm)欺诈检测和预防的计算机程序产品。所述计算机程序产品包括至少一个非瞬态计算机可读介质，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令当由至少一个处理器执行时使所述至少一个处理器接收由至少一个atm完成的多个交易的交易数据。所述交易数据是在交易服务提供商系统的交易处理期间实时接收的。所述程序指令进一步使所述至少一个处理器将所述交易数据存储在分布式高速缓存中以用于聚合和调用所述交易数据。所述程序指令进一步使所述至少一个处理器接收对在atm处使用支付装置进行用户交易的交易请求，所述交易请求包括支付装置标识符。所述程序指令进一步使所述至少一个处理器修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件。所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量。所述程序指令进一步使所述至少一个处理器将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。所述程序指令进一步使所述至少一个处理器响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前激活或使得激活欺诈预防操作。所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
19.在一些非限制性实施例或方面，所述至少一个预定atm活动阈值可以至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。所述机器学习模型可以基
于在处理所述交易数据期间实时接收的所述交易数据定期更新。所述至少一个预定atm活动阈值可以至少部分地由所述机器学习模型以规则间隔重新生成。
20.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据。可以响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
21.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易位置数据。可以响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
22.在一些非限制性实施例或方面，所述至少一个度量可以进一步包括atm交易时间数据和atm交易位置数据。可以响应于确定所述支付装置的第一atm交易与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。所述下限阈值可以表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
23.在以下编号条款中阐述其它非限制性实施例或方面：
24.条款1：一种用于实时自动柜员机(atm)欺诈检测和预防的计算机实施的方法，所述方法包括：用至少一个处理器接收由至少一个atm完成的多个交易的交易数据，所述交易数据是在交易服务提供商系统的交易处理期间实时接收的；用至少一个处理器将所述交易数据存储在分布式高速缓存中以用于聚合和调用所述交易数据；用至少一个处理器接收对在atm处使用支付装置进行用户交易的交易请求，所述交易请求包括支付装置标识符；用至少一个处理器修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件，所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量；用至少一个处理器将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较；以及响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前用至少一个处理器激活或使得激活欺诈预防操作，所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
25.条款2：根据条款1所述的计算机实施的方法，其中所述atm通信连接到所述分布式高速缓存，并且被编程和/或配置成在处理所述用户交易期间聚合所述交易数据与来自所述用户交易的数据。
26.条款3：根据条款1或2所述的计算机实施的方法，其中与处理所述用户交易实时地由所述atm执行(i)将所述至少一个度量与所述至少一个预定atm活动阈值进行比较，以及(ii)激活或使得激活所述欺诈预防操作。
27.条款4：根据条款1至3中任一项所述的计算机实施的方法，其中所述至少一个预定atm活动阈值至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。
28.条款5：根据条款1至4中任一项所述的计算机实施的方法，其中所述机器学习模型基于在处理所述交易数据期间实时接收的所述交易数据定期更新，并且其中所述至少一个预定atm活动阈值至少部分地由所述机器学习模型以规则间隔重新生成。
29.条款6：根据条款1至5中任一项所述的计算机实施的方法，其中所述至少一个度量
进一步包括atm交易时间数据，并且其中响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
30.条款7：根据条款1至6中任一项所述的计算机实施的方法，其中所述至少一个度量进一步包括atm交易位置数据，并且其中响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
31.条款8：根据条款1至7中任一项所述的计算机实施的方法，其中所述至少一个度量进一步包括atm交易时间数据和atm交易位置数据，并且其中响应于确定所述支付装置的第一atm交易与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作，所述下限阈值表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
32.条款9：一种用于实时自动柜员机(atm)欺诈检测和预防的系统，所述系统包括：分布式高速缓存；以及服务器，其包括用于执行程序指令的至少一个处理器，所述服务器被编程和/或配置成：接收由至少一个atm完成的多个交易的交易数据，所述交易数据是在交易服务提供商系统的交易处理期间实时接收的；将所述交易数据存储在所述分布式高速缓存中以用于聚合和调用所述交易数据；接收对在atm处使用支付装置进行用户交易的交易请求，所述交易请求包括支付装置标识符；修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件，所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量；将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较；以及响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前激活或使得激活欺诈预防操作，所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
33.条款10：根据条款9所述的系统，其中所述至少一个预定atm活动阈值至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。
34.条款11：根据条款9或10所述的系统，其中所述机器学习模型基于在处理所述交易数据期间实时接收的所述交易数据定期更新，并且其中所述至少一个预定atm活动阈值至少部分地由所述机器学习模型以规则间隔重新生成。
35.条款12：根据条款9至11中任一项所述的系统，其中所述至少一个度量进一步包括atm交易时间数据，并且其中响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
36.条款13：根据条款9至12中任一项所述的系统，其中所述至少一个度量进一步包括atm交易位置数据，并且其中响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
37.条款14：根据条款9至13中任一项所述的系统，其中所述至少一个度量进一步包括atm交易时间数据和atm交易位置数据，并且其中响应于确定所述支付装置的第一atm交易
与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作，所述下限阈值表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
38.条款15：一种用于实时自动柜员机(atm)欺诈检测和预防的计算机程序产品，所述计算机程序产品包括至少一个非瞬态计算机可读介质，所述至少一个非瞬态计算机可读介质包括程序指令，所述程序指令当由至少一个处理器执行时使所述至少一个处理器进行以下操作：接收由至少一个atm完成的多个交易的交易数据，所述交易数据是在交易服务提供商系统的交易处理期间实时接收的；将所述交易数据存储在分布式高速缓存中以用于聚合和调用所述交易数据；接收对在atm处使用支付装置进行用户交易的交易请求，所述交易请求包括支付装置标识符；修改存储在所述分布式高速缓存中且与所述支付装置标识符和/或所述atm的标识符相关联的atm活动的配置文件，所述配置文件包括至少包括atm交易值数据和atm交易计数数据的度量；将所述atm活动的所述配置文件的至少一个度量与至少一个预定atm活动阈值进行比较；以及响应于确定所述至少一个度量满足所述至少一个预定atm活动阈值，在所述atm处完成所述用户交易之前激活或使得激活欺诈预防操作，所述欺诈预防操作包括以下至少一项：拒绝所述用户交易、禁用与所述支付装置标识符相关联的交易账户、向发行方传达警报，或其任何组合。
39.条款16：根据条款15所述的计算机程序产品，其中所述至少一个预定atm活动阈值至少部分地由针对多个支付装置的历史交易数据训练的机器学习模型生成。
40.条款17：根据条款15或16所述的计算机程序产品，其中所述机器学习模型基于在处理所述交易数据期间实时接收的所述交易数据定期更新，并且其中所述至少一个预定atm活动阈值至少部分地由所述机器学习模型以规则间隔重新生成。
41.条款18：根据条款15至17中任一项所述的计算机程序产品，其中所述至少一个度量进一步包括atm交易时间数据，并且其中响应于确定在某一时间段内与所述支付装置标识符相关联的atm交易计数满足包括交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
42.条款19：根据条款15至18中任一项所述的计算机程序产品，其中所述至少一个度量进一步包括atm交易位置数据，并且其中响应于确定某一地理区域中与所述支付装置标识符相关联的atm交易计数满足包括所述地理区域中的交易上限阈值计数的所述至少一个预定atm活动阈值而激活所述欺诈预防操作。
43.条款20：根据条款15至19中任一项所述的计算机程序产品，其中所述至少一个度量进一步包括atm交易时间数据和atm交易位置数据，并且其中响应于确定所述支付装置的第一atm交易与所述支付装置的第二atm交易之间的时间间隔满足包括下限阈值时间间隔的所述至少一个预定atm活动阈值而激活所述欺诈预防操作，所述下限阈值表示所述第一atm交易的位置与所述第二atm交易的位置之间不太可能或不可能的行进时间。
44.在参考附图考虑以下描述和所附权利要求书之后，本公开的这些和其它特征和特性以及相关结构元件和各部分的组合的操作方法和功能以及制造经济性将变得更加显而易见，所有附图形成本说明书的部分，其中相似附图标号在各图中标示对应部分。然而，应明确地理解，图式仅用于说明及描述的目的，且不希望作为对本公开的限制的定义。除非上下文另外明确规定，否则在本说明书和权利要求书中使用时，单数形式“一”和“所述”包括
多个指示物。
附图说明
45.下文参考附图中说明的示例性实施例更详细地解释本公开的额外优点和细节，在附图中：
46.图1是用于实时自动柜员机(atm)欺诈检测和预防的系统和方法的非限制性实施例或方面的示意图；
47.图2是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的过程图；
48.图3是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的过程图；
49.图4是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的过程图；
50.图5是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的过程图；
51.图6是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的一系列过程流；以及
52.图7是用于实时atm欺诈检测和预防的系统和方法的非限制性实施例或方面的一系列过程流。
具体实施方式
53.为了进行以下描述，术语“上”、“下”、“右”、“左”、“竖直的”、“水平的”、“顶部”、“底部”、“橫向”、“纵向”以及其派生词应如其在附图中的定向那样与非限制性实施例相关。然而，应理解，除非明确指定为相反情况，否则非限制性实施例可采用各种替代变化和步骤顺序。还应理解，附图中所示的以及在以下说明书中描述的特定装置和过程仅仅是示例性实施例。因此，与本文所公开的实施例有关的特定尺寸和其它物理特性不应被视为限制性的。
54.本文所使用的方面、组件、元件、结构、动作、步骤、功能、指令等都不应当被理解为关键的或必要的，除非明确地如此描述。且，如本文所使用，冠词“一”希望包括一个或多个项目，且可与“一个或多个”和“至少一个”互换使用。此外，如本文所使用，术语“集合”希望包括一个或多个项目(例如，相关项目、不相关项目、相关项目与不相关项目的组合等)，并且可以与“一个或多个”或“至少一个”互换使用。在希望仅有一个项目的情况下，使用术语“一个”或类似语言。且，如本文所使用，术语“具有”等希望是开放式术语。另外，除非另外明确陈述，否则短语“基于”希望意味着“至少部分地基于”。
55.本文中描述了与阈值相关的一些非限制性实施例。如本文所使用，满足阈值可以指值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等。
56.如本文所使用，术语“通信”和“传送”可指信息(例如，数据、信号、消息、指令、命令等)的接收、接纳、发送、传送、提供等。一个单元(例如，装置、系统、装置或系统的组件、其组合等)与另一单元通信意味着所述一个单元能够直接或间接地从所述另一单元接收信息
和/或向所述另一单元发送信息。这可指在本质上有线和/或无线的直接或间接连接(例如，直接通信连接、间接通信连接等)。另外，尽管所发送的信息可以在第一单元与第二单元之间被修改、处理、中继和/或路由，但这两个单元也可以彼此通信。例如，即使第一单元被动地接收信息且不会主动地将信息发送到第二单元，第一单元也可以与第二单元通信。作为另一实例，如果至少一个中间单元(例如，位于第一单元与第二单元之间的第三单元)处理从第一单元接收的信息并且将处理后的信息传送到第二单元，则第一单元可以与第二单元通信。在一些非限制性实施例中，消息可以指代包括数据的网络包(例如，数据包等)。可使用任何已知的电子通信协议和/或算法，例如tcp/ip(包括http和其它协议)、wlan(包括802.11和其它基于射频的协议和方法)、模拟发送、蜂窝网络(例如，全球移动通信系统(gsm)、码分多址(cdma)、长期演进(lte)、全球微波接入互操作性(wimax)等)等。应当理解，可能有许多其它布置。
57.如本文所使用，术语“移动装置”可指被配置成与一个或多个网络通信的一个或多个便携式电子装置。作为实例，移动装置可以包括蜂窝电话(例如，智能电话或标准蜂窝电话)、便携式计算机(例如，平板计算机、膝上型计算机等)、可穿戴装置(例如，手表、眼镜、镜片、衣物等)、个人数字助理(pda)和/或其它类似装置。如本文所使用的术语“客户端装置”指被配置成与一个或多个服务器或远程装置和/或系统通信的任何电子装置。客户端装置可包括移动装置、具有网络功能的电器(例如，具有网络功能的电视机、冰箱、恒温器等)、计算机、pos系统，和/或能够与网络通信的任何其它装置或系统。
58.如本文所使用，术语“计算装置”可以指被配置成直接地或间接地与一个或多个网络通信或在一个或多个网络上通信的一个或多个电子装置。计算装置可以是移动装置。例如，移动装置可包括蜂窝电话(例如，智能电话或标准蜂窝电话)、便携式计算机、可穿戴装置(例如，手表、眼镜、镜片、服装等)、pda和/或其它类似装置。计算装置可以不是移动装置，例如桌上型计算机。此外，术语“计算机”可指包括用于接收、处理和输出数据的必要组件且通常包括显示器、处理器、存储器、输入装置和网络接口的任何计算装置。“应用程序”或“应用程序编程接口”(api)指计算机代码或在计算机可读介质上分类的其它数据，其可以由处理器执行以促进软件组件之间的交互，例如客户端侧前端和/或服务器侧后端之间的交互以用于从客户端接收数据。“界面”指生成的显示，例如一个或多个图形用户界面(gui)，用户可以直接或间接地(例如，通过键盘、鼠标等)与所述图形用户界面交互。
59.如本文所用，术语“支付装置”可以是指便携式金融装置、电子支付装置、支付卡(例如，信用卡或借记卡)、礼品卡、智能卡、智能介质、工资卡、医疗保健卡、腕带、含有账户信息的机器可读介质、钥匙链装置或吊坠、rfid应答器、零售商折扣或会员卡、蜂窝式电话、电子钱包移动应用程序、pda、寻呼机、安全卡、计算机、访问卡、无线终端、应答器等。在一些非限制性实施例中，支付装置可包括存储信息(例如账户标识符、账户持有者姓名等)的易失性或非易失性存储器。
60.如本文所使用，术语“交易服务提供商”可指从商家或其它实体接收交易授权请求且在一些情况下通过交易服务提供商与发行方机构之间的协议来提供支付保证的实体。例如，交易服务提供商可包括例如之类的支付网络，或处理交易的任何其它实体。术语“交易处理系统”可指由交易服务提供商或代表交易服务提供商操作的一个或多个计算机系统，例如执行一个或多个软件应用程序的交易处理服务器、执行一个或多个软件应用程
序的令牌服务等。交易处理服务器可包括一个或多个处理器，并且在一些非限制性实施例中，可由交易服务提供商或代表交易服务提供商操作。
61.如本文所使用，术语“发行方机构”可指例如银行的一个或多个实体，其向客户提供账户以进行交易(例如支付交易)，例如发起信用和/或借记支付。例如，发行方机构可向客户提供唯一地标识与所述客户相关联的一个或多个账户的账户标识符，例如主账号(pan)。账户标识符可在例如实体支付工具(例如，支付卡)之类的支付装置上实施，和/或可以是电子的且用于电子支付。术语“发行方系统”是指由发行方机构或代表发行方机构操作的一个或多个计算机系统，例如执行一个或多个软件应用程序的服务器计算机。例如，发行方系统可包括用于授权交易的一个或多个授权服务器。
62.如本文所使用，术语“收单方机构”可指由交易服务提供商授权和/或批准以使用与交易服务提供商相关联的支付装置发起交易(例如，支付交易)的实体。收单方机构可发起的交易可包括支付交易(例如，购买、原始信用证交易(oct)、账户资金交易(aft)等)。在一些非限制性实施例中，收单方机构可以是银行。如本文所使用，术语“收单方系统”可指由收单方机构或代表收单方机构操作的一个或多个计算机系统、计算机装置、软件应用程序等。
63.如本文所用，术语“认证系统”可指认证用户和/或账户的一个或多个计算装置，例如但不限于交易处理系统、商家系统、发行方系统、支付网关、第三方认证服务等。
64.如本文所使用，术语“账户标识符”可以包括一个或多个pan、令牌，或与客户账户相关联的其它标识符。术语“令牌”可以指用作pan等原始账户标识符的替代或替换标识符的标识符。账户标识符可以是文字数字的，或是字符和/或符号的任何组合。令牌可与一个或多个数据结构(例如一个或多个数据库等)中的pan或其它原始账户标识符相关联，使得令牌可用于进行交易而无需直接使用原始账户标识符。在一些实例中，例如pan之类的原始账户标识符可与用于不同个人或目的的多个令牌相关联。
65.如本文所使用，术语“商家”可以指基于例如支付交易的交易向客户提供商品和/或服务或者对商品和/或服务的访问的个人或实体。术语“商家”或“商家系统”还可以指由商家或代表商家操作的一个或多个计算机系统，例如执行一个或多个软件应用程序的服务器计算机。如本文所使用的“销售点(pos)系统”可指由商家用来与客户进行支付交易的一个或多个计算机和/或外围装置，包括一个或多个读卡器、近场通信(nfc)接收器、rfid接收器和/或其它非接触收发器或接收器、基于接触的接收器、支付终端、计算机、服务器、输入装置和/或可用于发起支付交易的其它类似装置。
66.如本文所使用，术语“服务器”或“服务器计算机”可指或包括一个或多个处理器或计算机、存储装置，或由例如因特网之类的网络环境中的多方操作或促进多方进行通信和处理的类似计算机布置，但应了解，可通过一个或多个公共或专用网络环境促进通信，并且各种其它布置是可能的。此外，在网络环境中直接或间接通信的例如服务器的多个计算机，或例如pos装置的其它计算机化装置可以构成“系统”，例如商家的pos系统。如本文所使用，对“服务器”或“处理器”的提及可以指陈述为执行先前步骤或功能的先前所述服务器和/或处理器、不同的服务器和/或处理器，和/或服务器和/或处理器的组合。例如，如在说明书和权利要求书中所使用，陈述为实施第一步骤或功能的第一服务器和/或第一处理器可指代陈述为实施第二步骤或功能的相同或不同服务器和/或处理器。
67.本公开的非限制性实施例或方面涉及用于实时自动柜员机(atm)欺诈检测和预防的系统、方法和计算机程序产品。所描述的网络架构和组件的布置被配置成允许在欺诈atm交易仍在处理中时检测到它们。实时检测和应对超越现有技术的欺诈标记和审查，并且所描述的系统尤其能在交易完成之前预防欺诈交易推进或再次发生，从而防止损失。此外，为此通过利用与atm交易流直接相通的欺诈分析过程，可以在现金支取发生之前检测到欺诈并采取应对措施。所描述的计算机网络进一步包括分布式高速缓存，其允许更快的数据聚合、数据调用和数据分析。
68.所描述的系统和方法进一步包括维护支付装置的atm活动的配置文件，以便与动态生成的欺诈检测阈值进行比较。动态阈值，尤其是那些针对历史交易数据训练过的动态阈值，能减少误报，从而减少因错误分类的交易浪费的计算机时间、内存和资源。此外，所描述的支付装置atm活动的度量具体选择为通过标识各个atm和区域处的交易计数和金额的激增来改进对欺诈行为的检测。此外，通过比较atm交易位置，可以因一个支付装置不太可能或不可能在超过一个位置完成交易来标识欺诈交易。
69.具体参考图1，且在一些非限制性实施例或方面，提供用于实时atm欺诈检测和预防的系统100。系统100包括atm 102，所述atm被编程和/或配置成与一个或多个用户106的一个或多个支付装置104连接以完成一个或多个atm交易。在欺诈atm交易情境中，支付装置104可以是用户106的真实支付装置104，或可以是伪造支付装置104，例如复制的信用卡。当用户106想要完成atm交易时，用户106可出示他们的支付装置104以在atm 102上进行认证。支付装置104可以由atm 102使用支付装置104标识符来标识，所述标识符可以存储在多种介质中，并以多种方式传送到atm 102。支付装置104可以是信用卡，在这种情况下，支付装置104标识符可以存储在卡上的芯片或磁条上，并且atm 102可以包括从支付装置104接收支付装置标识符的芯片读取器或磁条读取器。支付装置104也可以是电子支付装置，并且支付标识符可以例如通过加密的无线通信从电子支付装置传达到atm 102。atm 102可要求用户106呈现或输入额外数据，以验证支付装置104和/或用户106的身份。例如，可以提示用户106输入支付装置104的个人标识号(pin)。还可以提示用户106输入密码、生物特征扫描或其它类似标识符。
70.atm 102可与交易服务提供商系统108通信，以认证支付装置104和/或用户106。在标识支付装置104之后，用户106可以与atm 102连接以发起atm交易。对于现金支取的atm交易，用户106可输入从与支付装置104相关联的交易账户支取并从atm 102配发的请求金额。atm 102可以生成对atm交易的交易授权请求，并将交易授权请求传达至交易服务提供商系统108。交易授权请求可以包括支付装置标识符，其可以被加密。atm 102、交易服务提供商系统108或另一计算装置可以与分布式高速缓存114通信，以生成和/或修改atm活动的所存储配置文件，所述配置文件可以与支付装置标识符、atm标识符等相关联。分布式高速缓存114可包括多个服务器，其允许数据快速聚合、数据高效调用以及针对分布式高速缓存114的未来增长的模块化，从而允许增加通信容量。分布式高速缓存114可以包括在交易服务提供商系统108中和/或与所述交易服务提供商系统相关联。atm活动的配置文件可包括与支付装置104或atm 102相关联的atm活动的一个或度量，包括但不限于：atm交易值数据；atm交易计数数据；atm交易时间数据；atm交易位置数据；atm标识符数据；发行方标识符数据等。
71.atm 102、交易服务提供商系统108或另一计算装置可以将atm活动配置文件的一个或多个度量与至少一个预定atm活动阈值进行比较。例如，可以将atm交易值数据与交易值的上限预定阈值进行比较。此外，可以将atm交易计数数据与交易计数的上限预定阈值进行比较。参考图6和7以及其对应讨论，了解评估与预定atm活动阈值有关的度量的进一步非限制性实施例或方面。应了解，可能有多个配置。
72.一个或多个预定atm活动阈值可以至少部分地由针对一个或多个支付装置104的历史交易数据训练的机器学习模型生成。交易服务提供商系统108可包括或可通信地连接到机器学习模型引擎116，所述机器学习模型引擎接受历史交易数据作为模型输入，并生成可指示与支付装置104相关联的欺诈的建议atm活动阈值。一个或多个支付装置104的交易数据可以相对于交易服务提供商系统108的交易处理而实时存储。可以针对支付装置104、一组支付装置104特定地或针对所有支付装置104通用地生成阈值。对于特定支付装置104特定的阈值，机器学习模型引擎116的机器学习模型可以针对特定支付装置104的历史交易数据训练，可以针对类似支付装置104(例如，atm处多个支付装置104的交易)训练，和/或可以针对支付装置104的更广泛或整个样本训练。交易服务提供商系统108可包括或可通信地连接到交易数据库110以存储历史交易数据。除了交易数据库110之外或代替所述交易数据库，历史交易数据可以存储在分布式高速缓存114中。机器学习模型可基于在交易数据处理期间实时接收的交易数据而定期更新(例如，重新训练、在额外代次迭代等)。相关地，生成的预定atm活动阈值可以至少部分由机器学习模型以规则间隔(例如，每小时、每天、每周、每月等)重新生成。
73.交易服务提供商系统108可包括或可通信地连接到欺诈预防系统120，所述欺诈预防系统被编程和/或配置成响应于报告的或检测到的欺诈交易而执行一个或多个反欺诈预防措施。响应于atm 102和/或交易服务提供商系统108确定一个或多个度量满足一个或多个预定atm活动阈值，atm 102和/或交易服务提供商系统108可与欺诈预防系统120通信以激活或使得激活一个或多个欺诈预防操作。欺诈预防操作可包括但不限于：拒绝用户交易(例如，拒绝触发atm交易、拒绝未来的支付装置交易等)；禁用与支付装置标识符相关联的交易账户(例如，全部禁用、有条件的禁用，只允许特定类型或来源的交易，例如预先安排的支付等)；(例如，向支付装置104的用户106的通信装置118、向与支付装置104的发行方相关联的发行方系统112等)传达警报；等。如果用户106仅与支付装置104的发行方保持其信息联系，则传达到发行方系统112的警报可以被自动转发到用户106的通信装置118或向所述装置触发新的警报。
74.进一步参考图1，且在另外的非限制性实施例或方面，atm 102可以通信地连接到分布式高速缓存114，以便加速评估atm交易时atm活动的相关联配置文件。在用户106与atm 102的交互期间，atm 102可与分布式高速缓存114通信，以聚合当前atm交易的交易数据，从而允许与atm交易处理实时地将配置文件的度量与预定阈值进行比较。如果atm 102执行atm活动配置文件与预定阈值的比较步骤，则atm 102可与分布式高速缓存114通信，以检取atm活动的配置文件的度量，并实时完成与交易处理的比较。atm 102可以通过与欺诈预防系统120通信来激活或使得激活一个或多个欺诈预防操作，所述通信可以由交易服务提供商系统108中继。可以与处理当前atm交易实时地进行一个或多个欺诈预防操作的激活。
75.具体参考图2，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈
检测和预防的系统和方法的过程200。过程200的每个步骤可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。在步骤202，在一个或多个atm接收原始交易。在步骤204，交易服务提供商系统可以通过修改存储在交易数据库和/或分布式高速缓存中的atm活动的一个或多个配置文件来聚合原始交易的atm交易数据。聚合可以基于atm交易值数据、atm交易账户数据或其它类似变量。聚合可以在支付装置、atm、支付装置的发行方、与atm相关联的机构或atm的区域的层级进行。聚合可用于基于非监督模型学习来检测异常交易行为。可使用例如多变量高斯分布等技术来补充非监督机器学习，以帮助基于聚合交易模式(例如，前提是99.7％的数据在平均值的三个标准偏差内，95％的数据在平均值的两个标准偏差内，以及68％的数据在平均值的一个标准偏差内)来确定各组支付装置或atm之间的异常。为了帮助进行聚合和异常检测过程，可以聚合atm交易数据以存储例如时间数据、金额数据、计数数据、atm标识符数据、发行方标识符数据、位置数据等属性。
76.在交易服务提供商系统处理交易期间，可以提供分布式高速缓存，以快速聚合实时交易数据。例如交易服务提供商系统的服务器等后端服务器可以在atm装置层级和/或支付装置层级聚合总计，例如atm上和/或使用支付装置的总交易金额、atm上和/或使用支付装置的交易次数、atm上和/或使用支付装置的活动(例如，卡认证、支取等)频率等。后端服务器可以进一步聚合包括atm或atm附近(例如，距离atm 1英里半径、邮政编码、城市地区、国家地区等)的地理区域的总计。聚合可以考虑并记录支付装置标识符，以检测多个位置上的同时协调式支取攻击。由于检测欺诈和拒绝atm交易，特别是同时协调式支取攻击的交易的时限较短，因此与交易服务提供商系统通信连接的快速分布式高速缓存允许在处理交易时进行聚合、比较和检测。如果在聚合计算时满足(例如，符合和/或超过)预定阈值，则可以自动触发下游系统以关闭、修改和/或报告一个或多个交易账户。
77.atm网络交易数据作为使用分布式高速缓存进行聚合的输入可以包括pin认证通信、余额账单通信、支取交易通信等。此类通信可以被馈送到实时聚合计算引擎，所述实时聚合计算引擎可以在交易服务提供商系统处操作。此类系统的输出可包括但不限于：实时通知停止交易(例如，基于模型为检测异常交易而设定的时间相关性和启发式限制)；向发行方和/或支付网络实时报告正发生单个或协调式套现欺诈；实时阻止规则，如果支付装置的发行方在具有交易服务提供商系统的集成规则系统中注册，则触发以阻止进一步的交易。
78.进一步参考图2，且在另外的非限制性实施例或方面，过程200包括步骤206，其中交易服务提供商系统可以对聚合进行统计分析。步骤206可包括聚合后数据调节和审核，这可以添加多个数据馈送(例如，使用位置服务聚合位置数据)或预计算属性。在步骤208，交易服务提供商系统可以执行针对历史交易数据和与当前交易模式匹配的现有欺诈交易模式训练的模型。交易处理服务器系统，特别是与其通信连接的机器学习模型引擎，可具有多个阈值，且所述模型可在阈值之间进行调整，以实现停止现金支取与允许常规客户使用模式之间的平衡。阈值可以由交易服务提供商系统执行，并且可以由发行方选择加入或退出。
79.第一优选非限制性机器学习模型可以是决策树算法。决策树算法将输入数据与预期输出或众所周知的输出进行匹配。第二优选非限制性机器学习模型可以是聚类算法。聚类算法大部分是非监督的，并且可以预测可能先前未知的阈值，并且，聚类算法可以随时间
动态地改变。第三优选非限制性机器学习模型可以是线性回归模型，因为可以用线性回归来执行关于现有欺诈模式的监督学习。可以针对历史交易数据训练用于检测欺诈交易模式和/或设置预定阈值的机器学习模型，并且可以将已知欺诈交易和有效交易标记为机器学习模型的输入。可以定期(例如，每小时、每天、每周等)训练机器学习模型，使得可以基于新的交易模式调整阈值。
80.进一步参考图2，且在另外的非限制性实施例或方面，过程200包括步骤210，其中交易服务提供商系统完成连接和报告。在步骤210，欺诈预防系统可推荐待执行的某些动作，或可自动地根据预定规则进行操作。欺诈响应规则可以基于金额、类型、时间、位置等确定要阻止或限制哪些类型的其它交易。欺诈预防系统还可以推荐或引起对发起满足阈值的atm交易的支付装置的用户的进一步跟踪。欺诈预防系统可生成初级报告，其中检测到套现欺诈活动的突然激增，并且可以通知交易服务提供商系统采取额外欺诈预防措施。在步骤212，交易服务提供商系统可以代表发行方创建并发布规则。发行方可以为某些支付装置或某个地区的交易聚合值或计数设定限制。例如，发行方可以预定以下规则：如果同一pin同时或基本上同时在多个atm上使用，则交易可被指定为欺诈的。发行方还可以预定以下规则：如果取款计数符合或超过预期阈值(例如，探试派生或模型派生阈值)，则可以禁用对应的交易账户。
81.具体参考图3，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈检测和预防的系统和方法的过程300。过程300的每个步骤可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。在步骤302，交易服务提供商系统可以接收由至少一个atm完成的多个交易的交易数据。交易数据可以在交易服务提供商系统处的交易处理期间实时地接收。在步骤304，交易服务提供商系统可以将交易数据存储在分布式高速缓存中以用于聚合和调用交易数据。在步骤306，交易服务提供商系统可以接收对在atm处使用支付装置进行用户交易的交易请求。交易请求可包括支付装置标识符。在步骤308，交易服务提供商系统可以修改存储在分布式高速缓存中的atm活动的配置文件。atm活动的配置文件可以与支付装置标识符或atm标识符相关联。atm活动的配置文件可具有度量，包括但不限于：atm交易值数据309；atm交易计数数据311；atm交易时间数据；atm交易位置数据；atm标识符；发行方标识符；支付装置标识符等。atm活动的配置文件的修改可能需要基于当前交易聚合一个或多个度量(例如，增加交易计数、增加交易值等)。还可以周期性地将聚合重置为零，例如在交易服务提供商系统观察的新时间段开始时。
82.在步骤310，交易服务提供商系统可将atm活动的配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。在步骤310中可能包括的步骤312，交易服务提供商系统可以确定度量是否满足预定atm活动阈值。如果不满足阈值，则交易服务提供商系统可以继续监测正在进行的交易，而无需发起任何欺诈预防操作。然而，响应于确定atm活动的配置文件的至少一个度量满足至少一个预定atm活动阈值，可执行步骤314。在步骤314，交易服务提供商系统可以激活或使得激活一个或多个欺诈预防操作。欺诈预防操作可包括但不限于：拒绝用户交易；禁用与支付装置标识符相关联的交易账户；向用户和/或发行方传达警报等。
83.具体参考图4，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈
检测和预防的系统和方法的过程300的扩展。过程300的每个步骤可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。描述的是连续刷新和自动校正基础机器学习模型的递归操作集合。在步骤302，交易服务提供商系统可以接收由至少一个atm完成的多个交易的交易数据。交易数据可以在交易服务提供商系统处的交易处理期间实时地接收。在步骤304，交易服务提供商系统可以将交易数据存储在分布式高速缓存中以用于聚合和调用交易数据。
84.在步骤322，可以由交易服务提供商系统(例如，机器学习模型引擎)基于在交易数据处理期间实时接收的交易数据更新机器学习模型。可以对机器学习模型进行重新训练、迭代、增强、修改等，以考虑新的交易数据。先前可能已经用于训练机器学习模型的先前交易数据的至少一部分可以被逐步淘汰，而不用于随后的训练，由此允许机器学习模型保持动态和当前交易模式和趋势的准确。在步骤324，可以由交易服务提供商系统(例如，机器学习模型引擎)基于更新的机器学习模型生成或重新生成一个或多个预定atm活动阈值。此后，在步骤310，交易服务提供商系统可将atm活动的配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。交易服务提供商系统可以定期重复步骤302、304、322和324，以基于最新交易数据更新机器学习模型，并且由于交易服务提供商系统在网络上的有利位置而基本上实时地处理正在发生的交易。
85.具体参考图5，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈检测和预防的系统和方法的过程300的扩展。过程300的每个步骤可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。描述的是用于预防当前和/或未来欺诈交易的阈值后满足操作的详细信息。在步骤310，交易服务提供商系统可将atm活动的配置文件的至少一个度量与至少一个预定atm活动阈值进行比较。在步骤310中可能包括的步骤312，交易服务提供商系统可以确定度量是否满足预定atm活动阈值。如果不满足阈值，则交易服务提供商系统可以继续监测正在进行的交易，而无需发起任何欺诈预防操作。然而，响应于确定atm活动的配置文件的至少一个度量满足至少一个预定atm活动阈值，可执行步骤314。在步骤314，交易服务提供商系统可以激活或使得激活一个或多个欺诈预防操作。
86.在步骤332，作为欺诈预防操作，交易服务提供商系统可以拒绝用户交易。步骤332可能导致可能已经满足预定atm活动阈值的当前atm交易被拒绝。因为可以在原始atm交易的处理期间实时执行聚合、检测和欺诈预防操作，所以可以在原始atm交易完成之前中止所述交易。以此方式，在欺诈最终成功之前，例如，在从atm出钞之前，可以拒绝欺诈atm交易，例如使用伪造支付装置或未经授权的支付装置的欺诈支取请求。步骤332还可包括使用与欺诈atm活动相关联的支付装置拒绝一个或多个未来用户交易。
87.在步骤334，作为欺诈预防操作，交易服务提供商系统可以与发行方系统通信，以禁用与当前用户交易的支付装置相关联的交易账户。交易服务提供商系统还可以通过拒绝源自支付装置的所有未来交易来有效地禁用支付装置，无论是否由发行方系统采取行动。因为交易服务提供商系统充当接收交易授权请求和交易授权响应的渠道，所以交易服务提供商系统可特别地定位成在发行方系统可以自行调查和响应之前禁用支付装置交易活动。
88.在步骤336，作为欺诈预防操作，交易服务提供商系统可以向发行方系统和/或与当前atm交易中使用的支付装置相关联的用户传达警报或使得传达警报。如果用户通信信
息存储在发行方系统而不是交易服务提供商系统中，发行方系统本身可以向用户传达警报。警报可包括关于当前交易的信息，包括其时间、位置、金额等。警报还可以通知发行方和/或用户已激活的其它欺诈预防操作，包括被拒绝的交易、禁用的交易账户等。用户可以在处理atm交易期间在通信装置(例如，移动装置)上接收警报，所述警报可能已经触发了满足atm活动阈值。由本文描述的系统提供的警报通知的延迟减少允许更快地解决欺诈，并减少用户与支付装置发行方之间的不对称信息。还应理解，可以单独地或结合其它欺诈预防操作执行先前描述的欺诈预防操作。
89.具体参考图6，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈检测和预防的系统和方法的一系列过程流400a-400d。每个过程流可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。所描绘的过程流400a-400d提供了待与用于触发欺诈预防操作的预定atm活动阈值比较的atm活动配置文件的度量的非限制性实例。在过程流400a，atm活动的配置文件可包括atm交易值数据309的度量。atm交易值数据309可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值可以至少部分地由机器学习模型生成。在步骤410a，交易服务提供商系统可以确定聚合atm交易值数据309是否满足(例如，等于、超过等)预定阈值。如果满足阈值，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收支取100美元的当前atm交易。可确定atm的聚合交易值加上当前atm交易为5085美元。机器学习模型可能已经为atm生成5000美元的预定阈值。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求，预防支付装置与atm之间的未来交易，等。
90.进一步参考图6，并且在另外的非限制性实施例或方面，在过程流400b中，atm活动的配置文件可包括atm交易计数数据311的度量。atm交易计数数据311可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值计数可以至少部分地由机器学习模型生成。在步骤410b，交易服务提供商系统可以确定聚合atm交易计数数据311是否满足(例如，等于、超过等)预定阈值计数。如果满足阈值计数，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。可确定支付装置的聚合交易计数加上当前atm交易为3。机器学习模型可能已经为支付装置生成3的预定阈值计数。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求、禁用支付装置或相关联交易账户等。
91.进一步参考图6，并且在另外的非限制性实施例或方面，在过程流400c，atm活动的配置文件可包括atm交易时间数据402和atm交易值数据309的度量。atm交易值数据309可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值可以至少部分地由机器学习模型生成。在步骤410c，交易服务提供商系统可以确定在一段时间内聚合atm交易值数据309是否满足(例如，等于、超过等)预定阈值。如果满足阈值，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。可确定在给定时间段(例如，小时、日、周等)内支付装置的聚合交易值加上当前atm交易为550美元。机器学习模型可能已经为给定时间段内支付装置生成300美元的预定阈值。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求、禁用支付装置或相关联交易账户等。
92.进一步参考图6，并且在另外的非限制性实施例或方面，在过程流400d，atm活动的
配置文件可包括atm交易时间数据402和atm交易计数数据311的度量。atm交易计数数据311可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值计数可以至少部分地由机器学习模型生成。在步骤410d，交易服务提供商系统可以确定在某一时间段内聚合atm交易计数数据311是否满足(例如，等于、超过等)预定阈值计数。如果满足阈值计数，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。可确定在给定时间段(例如，小时、日、周等)内atm的聚合交易计数加上当前atm交易为27。机器学习模型可能已经为给定时间段内atm生成27的预定阈值计数。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求，预防支付装置与atm之间的未来交易，等。
93.具体参考图7，且在非限制性实施例或方面，提供用于实时自动柜员机(atm)欺诈检测和预防的系统和方法的一系列过程流400e-400h。每个过程流可以由一个或多个atm、交易服务提供商系统、欺诈预防系统、机器学习模型引擎和/或其它计算装置完成。所描绘的过程流400e-400h提供了待与用于触发欺诈预防操作的预定atm活动阈值比较的atm活动配置文件的度量的非限制性实例。在过程流400e，atm活动的配置文件可以包括atm交易位置数据404和atm交易值数据309的度量。在基于atm交易位置数据404的给定区域内，atm交易值数据309可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值可以至少部分地由机器学习模型生成。在步骤410e，交易服务提供商系统可以确定聚合atm交易值数据309是否满足(例如，等于、超过等)某个区域的预定阈值。如果满足阈值，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。可确定对于给定区域(例如，邮政编码、径向距离、县、市等)，支付装置的聚合交易值加上当前atm交易为650美元。机器学习模型可能已经为给定区域中的支付装置生成500美元的预定阈值。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求、禁用支付装置或相关联交易账户等。前述比较可以进一步基于atm交易时间数据402，以将聚合/比较限制到给定时间段。
94.进一步参考图7，并且在另外的非限制性实施例或方面，在过程流400f，atm活动的配置文件可包括atm交易位置数据404和atm交易计数数据311的度量。在基于atm交易位置数据404的给定区域内，atm交易计数数据311可针对atm、支付装置、一系列atm(例如，属于特定发行方)或其组合进行聚合。预定阈值计数可以至少部分地由机器学习模型生成。在步骤410f，交易服务提供商系统可以确定聚合atm交易计数数据311是否满足(例如，等于、超过等)某个区域的预定阈值计数。如果满足阈值计数，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。可确定在给定区域(例如，邮政编码、径向距离、县、市等)中，一系列atm的聚合交易计数加上当前atm交易为70。机器学习模型可能已经为给定区域中的atm生成70的预定阈值计数。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求，预防支付装置与区域中的一个或多个atm之间的未来交易，等。前述比较可以进一步基于atm交易时间数据402，以将聚合/比较限制到给定时间段。
95.进一步参考图7，并且在另外的非限制性实施例或方面，在过程流400g，atm活动的配置文件可包括atm时间数据402和atm交易位置数据404的度量。可以聚合atm交易数据以确定第一atm位置和第二atm位置(由位置服务、atm标识符查找等确定)的支付装置的第一
atm交易与第二atm交易之间的时间间隔。可以至少部分地由机器学习模型生成预定阈值间隔作为下限。在步骤410g，交易服务提供商系统可以确定第一atm交易与第二atm交易之间的时间间隔满足(例如，等于、超过等)预定阈值间隔。如果满足阈值间隔，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。当前位置的当前atm交易与之前位置的之前atm交易之间的时间间隔可为5分钟。机器学习模型可能已经生成15分钟的预定阈值间隔。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求、禁用支付装置或相关联交易账户等。
96.进一步参考图7，并且在另外的非限制性实施例或方面，在过程流400h，atm活动的配置文件可包括atm时间数据402和atm交易位置数据404的度量。可以聚合atm交易数据以确定第一atm位置和第二atm位置(由位置服务、atm标识符查找等确定)的支付装置的第一atm交易与第二atm交易之间的时间间隔。可以至少部分地由机器学习模型(例如，结合映射程序，所述映射程序可以包括用于各种运输模式的当前交通的数据)生成预定阈值行进时间作为下限。在步骤410h，交易服务提供商系统可以确定第一atm交易与第二atm交易之间的时间间隔满足(例如，等于、超过等)预定阈值行进时间。如果满足阈值行进时间，则可以在步骤314由交易服务提供商系统激活欺诈预防操作。例如，可以接收当前atm交易。当前位置的当前atm交易与之前位置的之前atm交易之间的时间间隔可为5分钟。机器学习模型可能已经生成表示下限(例如，不太可能或不可能的行进时间阈值)的当前位置与先前位置之间5分钟的预定阈值行进时间。当前atm交易可能满足阈值，因此触发激活欺诈预防操作，例如拒绝即时atm支取请求、禁用支付装置或相关联交易账户等。
97.进一步参考图6和7，并且在另外的非限制性实施例或方面，预定atm活动阈值可以针对支付装置、属于发行方的一组支付装置、atm、atm区域、属于收单方的一系列atm等而设定。
98.尽管已出于说明的目的而基于当前被认为是最实际且非限制性的实施例详细描述了本公开，但应理解，此类细节仅用于所述目的，且本公开不限于所公开实施例，而相反，旨在涵盖在所附权利要求书的方案和范围内的修改和等同布置。例如，应理解，本公开预期，尽可能地，任何实施例的一个或多个特征可以与任何其它实施例的一个或多个特征组合。