欺诈检测系统和方法与流程

欺诈检测系统和方法
1.相关申请
2.本技术要求在2020年6月4日提交的美国临时申请号63/034,810的权利，其全部内容通过引用并入本文。
技术领域
3.本公开关于会话监控，更具体地，关于监控会话以检测欺诈者的系统和方法。


背景技术：

4.在人们之间的许多交互中(例如，呼叫企业的客户和处理该呼叫的客户服务代表)，欺诈者常常冒充合法客户以尝试提交欺诈行为。例如，欺诈者可以到达信用卡公司并伪装为信用卡公司的客户，从而他们可以欺诈性地获得该客户的信用卡的副本。不幸的是，这些欺诈者常常是成功的，导致欺诈性收费、欺诈性货币转移和身份盗用。此外，这些欺诈攻击本质上可以是自动的，其中例如可以实现tdos(即，服务的电话拒绝)类型的攻击以破坏系统本身。由于明显的原因，希望识别这些欺诈者并防止它们成功。


技术实现要素：

5.在一个实现中，一种计算机实现的方法在计算设备上执行并且包括：执行关于来自呼叫者的通信的初始输入信息的评估，以定义初始欺诈威胁等级；如果初始欺诈威胁等级低于所定义的威胁阈值，则向接收者提供通信，使得在接收者和呼叫者之间可以发生会话；执行关于会话的后续输入信息的评估，以定义后续欺诈威胁等级；以及至少部分地基于后续欺诈威胁等级来实现目标响应，其中目标响应旨在改进后续欺诈威胁等级。
6.可以包括一个或多个以下特征。如果初始欺诈威胁等级高于所定义的威胁阈值，则可以终止通信。接收者可以包括以下中的一项或多项：高欺诈风险专家；以及一般欺诈风险代表。初始输入信息可以包括以下中的一项或多项：第三方的信息；以及数据库信息。后续输入信息可以包括以下中的一项或多项：呼叫者会话部分；接收者会话部；关于呼叫者的生物特征信息；第三方的信息；以及数据库信息。会话可以包括以下中的一项或多项：呼叫者和接收者之间的基于语音的会话；以及呼叫者和接收者之间的基于文本的会话。对初始输入信息进行评估可包括：确定初始输入信息是否指示欺诈行为。执行后续输入信息的评估可包括：确定后续输入信息是否指示欺诈行为。确定后续输入信息是否指示欺诈行为可以包括：将后续输入信息与多个欺诈行为进行比较。至少部分地基于后续欺诈威胁等级来实现目标响应可以包括以下中的一项或多项：允许会话继续；向呼叫者询问问题；提示接收者向呼叫者询问问题；实现从接受者到高风险专家的转移；以及结束呼叫者和接收者之间的会话。
7.在另一实现中，计算机程序产品驻留在计算机可读介质上，并具有存储在其上的多个指令。当由处理器执行时，该指令使处理器执行包括以下的操作：执行关于来自呼叫者的通信的初始输入信息的评估，以定义初始欺诈威胁等级；如果初始欺诈威胁等级低于所
定义的威胁阈值，则向接收者提供通信，使得在接收者和呼叫者之间可以发生会话；执行关于会话的后续输入信息的评估，以定义后续欺诈威胁等级；以及至少部分地基于后续欺诈威胁等级来实现目标响应，其中目标响应旨在改进后续欺诈威胁等级。
8.可以包括一个或多个以下特征。如果初始欺诈威胁等级高于所定义的威胁阈值，则可以终止通信。接收者可以包括以下中的一项或多项：高欺诈风险专家；以及一般欺诈风险代表。初始输入信息可以包括以下中的一项或多项：第三方的信息；以及数据库信息。后续输入信息可以包括以下中的一项或多项：呼叫者会话部分；接收者会话部分；关于呼叫者的生物特征信息；第三方的信息；以及数据库信息。会话可以包括以下中的一项或多项：呼叫者和接收者之间的基于语音的会话；以及呼叫者和接收者之间的基于文本的会话。执行初始输入信息的评估可包括：确定初始输入信息是否指示欺诈行为。执行后续输入信息的评估可包括：确定后续输入信息是否指示欺诈行为。确定后续输入信息是否指示欺诈行为可以包括：将后续输入信息与多个欺诈行为进行比较。至少部分地基于后续欺诈威胁等级来实现目标响应可以包括以下中的一项或多项：允许会话继续；向呼叫者询问问题；提示接收者向呼叫者询问问题；实现从接受者到高风险专家的转移；以及结束呼叫者和接收者之间的会话。
9.在另一实现中，计算系统包括处理器和存储器，其被配置为执行操作包括：执行关于来自呼叫者的通信的初始输入信息的评估，以定义初始欺诈威胁等级；如果初始欺诈威胁等级低于所定义的威胁阈值，则向接收者提供通信，使得在接收者和呼叫者之间可以发生会话；对关于会话的后续输入信息进行评估，以定义后续欺诈威胁等级；以及至少部分地基于后续欺诈威胁等级来实现目标响应，其中目标响应旨在改进后续欺诈威胁等级。
10.可以包括一个或多个以下特征。如果初始欺诈威胁等级高于所定义的威胁阈值，则可以终止通信。接收者可以包括以下中的一项或多项：高欺诈风险专家；以及一般欺诈风险代表。初始输入信息可以包括以下中的一项或多项：第三方的信息；以及数据库信息。后续输入信息可以包括以下中的一项或多项：呼叫者会话部分；接收者会话部分；关于呼叫者的生物特征信息；第三方的信息；以及数据库信息。会话可以包括以下中的一项或多项：呼叫者和接收者之间的基于语音的会话；以及呼叫者和接收者之间的基于文本的会话。对初始输入信息进行评估可包括：确定初始输入信息是否指示欺诈行为。执行后续输入信息的评估可包括：确定后续输入信息是否指示欺诈行为。确定后续输入信息是否指示欺诈行为可以包括：将后续输入信息与多个欺诈行为进行比较。至少部分地基于后续欺诈威胁等级来实现目标响应可以包括以下中的一项或多项：允许会话继续；向呼叫者询问问题；提示接收者向呼叫者询问问题；实现从接受者到高风险专家的转移；以及结束呼叫者和接收者之间的会话。
11.在附图和以下描述中阐述了一个或多个实现的细节。根据说明书，附图和权利要求书，其它特征和优点将变得显而易见。
附图说明
12.图1是被耦合到分布式计算网络的数据获取系统和欺诈检测过程的示意图；
13.图2是图1的欺诈检测过程的实现的流程图；
14.图3是会话文字记录(transcript)的示意图；以及
15.图4是多个欺诈行为的示意图。
16.各个附图中相同的附图标记表示相同的元件。
具体实施方式
17.参考图1，示出了欺诈检测过程10。如下面将更详细地讨论的，欺诈检测过程10可以被配置为与数据采集系统12对接，并检测和/或阻挠欺诈者。
18.欺诈检测过程10可以被实现为服务器侧过程、客户端侧过程或混合的服务器侧/客户端侧过程。例如，欺诈检测过程10可以通过欺诈检测过程10s实现为纯粹的服务器侧过程。备选地，欺诈检测过程10可以经由欺诈检测过程10c1、欺诈检测过程10c2、欺诈检测过程10c3和欺诈检测过程10c4中的一个或多个被实现为纯粹的客户端侧过程。还备选地，欺诈检测过程10可以经由欺诈检测过程10s结合欺诈检测过程10c1、欺诈检测过程10c2、欺诈检测过程10c3和欺诈检测过程10c4中的一个或多个而被实现为混合的服务器侧/客户端侧过程。
19.因此，在本公开中使用的欺诈检测过程10可以包括欺诈检测过程10s、欺诈检测过程10c1、欺诈检测过程10c2、欺诈检测过程10c3和欺诈检测过程10c4的任何组合。
20.欺诈检测过程10s可以是服务器应用，并且可以驻留在数据获取系统12上并由其执行，数据获取系统12可以连接到网络14(例如，互联网或局域网)。数据采集系统12可以包括各种部件，其示例可以包括但不限于：个人计算机、服务器计算机、一系列服务器计算机、小型计算机、大型计算机、一个或多个网络附加存储(nas)系统、一个或多个存储区域网络(san)系统、一个或多个作为服务的平台(pas)系统、一个或多个作为服务的基础设施(iaas)系统、一个或多个作为服务的软件(saas)系统、一个或多个软件应用、一个或多个软件平台、基于云的计算系统以及基于云的存储平台。
21.如本领域已知的，san可以包括个人计算机、服务器计算机、一系列服务器计算机、小型计算机、大型计算机、raid设备和nas系统中的一个或多个。数据采集系统12的各个组件可以执行一个或多个操作系统，其示例可以包括但不限于：microsoft windows server
tm
,；例如，redhat linux
tm
、unix或自定义操作系统。
22.可以存储在耦合到数据获取系统12的存储设备16上的欺诈检测过程10s的指令集和子例程可以由包括在数据获取系统12中的一个或多个处理器(未示出)和一个或多个存储器体系结构(未示出)来执行。存储设备16的示例可以包括但不限于：硬盘驱动器；raid装置；随机存取存储器(ram)；只读存储器(rom)；以及所有形式的闪存存储设备。
23.网络14可以被连接到一个或多个次级网络(例如，网络18)，其示例可以包括但不限于：局域网；广域网；或例如内联网。
24.各种io请求(例如io请求20)可以从欺诈检测过程10s、欺诈检测过程10c1、欺诈检测过程10c2、欺诈检测过程10c3和/或欺诈检测过程10c4发送到数据采集系统12。io请求20的示例可包括但不限于数据写请求(即，将内容写到数据采集系统12的请求)和数据读请求(即，从数据采集系统12读取内容的请求)。
25.欺诈检测过程10c1、欺诈检测过程10c2、欺诈检测过程10c3和/或欺诈检测过程10c4的指令集和子例程可以存储在(分别)耦合到(分别)客户端电子设备28、30、32、34的存储设备20、22、24、26上，可以由(分别)并入客户端电子设备28、30、32、34的一个或多个处理
器(未示出)和一个或多个存储器体系结构(未示出)来执行。存储设备20、22、24、26可以包括但不限于：硬盘驱动器；光学驱动器；raid装置；随机存取存储器(ram)；只读存储器(rom)、以及所有形式的闪存存储设备。
26.客户端电子设备28、30、32、34的示例可以包括但不限于启用数据的蜂窝电话28、膝上型计算机30、平板计算机32、个人计算机34、笔记本计算机(未示出)、服务器计算机(未示出)、游戏控制台(未示出)、智能电视(未示出)和专用网络设备(未示出)。客户端电子设备28、30、32、34可以各自执行操作系统，其示例可以包括但不限于microsoft windows
tm
,、android
tm
,、webos
tm
,、ios
tm
,、redhat linux
tm
或定制操作系统。
27.用户36、38、40、42可以直接通过网络14或通过次级网络18访问欺诈检测过程10。此外，欺诈检测过程10可以是通过次级网络18连接到网络14，如链路44所示。
28.各种客户端电子设备(例如，客户端电子设备28、30、32、34)可以直接或间接地耦合到网络14(或网络18)。例如，数据使能的蜂窝电话28和膝上型计算机30被示出为经由在数据使能的蜂窝电话28、膝上型计算机30(分别地)和蜂窝网络/网桥50之间建立的无线通信信道46、48(分别地)无线地耦合到网络14，其被示出为直接耦合到网络14。此外，示出了平板计算机32经由在平板计算机32和无线接入点(即wap)54之间建立的无线通信信道52无线耦合到网络14，无线接入点54被示出为直接耦合到网络14。另外，个人计算机34被示为经由硬连线网络连接直接耦合到网络18。
29.欺诈检测过程：
30.如下文将更详细地论述，数据获取系统12可被配置为获取关于来自呼叫者的通信和/或呼叫者与接收者(例如，平台用户)之间的后续会话的数据。
31.呼叫者(例如，用户36)和接收者(例如，用户42)之间的这种会话的示例可以包括但不限于以下中的一项或多项：呼叫者(例如，用户36)和接收者(例如，用户42)之间的基于语音的会话；以及呼叫者(例如，用户36)和接收者(例如，用户42)之间的基于文本的会话。例如，顾客可以呼叫销售电话线来购买产品；顾客可以呼叫预订线来预订航空旅行；顾客可以与顾客服务线文本聊天，请求关于购买的产品或接收的服务的帮助。
32.虽然以下讨论关于对呼叫到帮助线路的人(例如，用户36)的认证，但是应当理解，欺诈检测过程10也可以用于认证这种呼叫的接收者(例如，用户42)。
33.这种通信的示例可以包括但不限于接近上述语音呼叫和/或文本会话的发起的时段。例如，通信可以是呼叫者(例如用户36)发起语音呼叫和/或文本会话之后但在接收者(例如用户42)使用呼叫者(例如用户36)的点之前的点。
34.对于以下示例，假设呼叫者(例如，用户36)是联系银行56以请求关于其银行账户中的一个或多个的协助的客户，并且接收者(例如，用户42)是银行56的客户服务雇员。
35.还参考图2，数据获取系统12可以监视来自呼叫者(例如，用户36)的通信以及呼叫者(例如，用户36)和接收者(例如，用户42)之间的任何后续会话，以确定呼叫者(例如，用户36)是否是欺诈者。对于以下讨论，欺诈者可以是人(例如，提交欺诈行为的人)、基于计算机的系统(例如，遵循脚本并使用人工智能来响应客户服务代表的问题的语音“机器人”)、以及混合系统(例如，提交欺诈行为但使用基于计算机的系统来改变其语音的人)。
36.欺诈检测过程10可以执行100关于来自呼叫者(例如，用户36)的通信的初始输入信息(例如，初始输入信息58)的评估，以定义初始欺诈威胁等级(例如，初始欺诈威胁等级
60)。该威胁等级(例如，初始欺诈威胁等级60)可以以各种方式(例如，作为数字、字母、颜色等)来表示，所有这些都被认为在本公开的范围内。对于此实例，此通信是在呼叫者(例如，用户36)起始与银行56的联系之后但在呼叫者(例如，用户36)由接收者(例如，用户42)使用之前的点。
37.因此，对于该示例，假设呼叫者(例如，用户36)拨打了银行56的客户帮助线(从而发起与银行56的联系)，并且被通知他们在队列中为号码“x”，并且现在正在收听挂起的音乐，因此接收者(例如，用户42)还没有使用呼叫者(例如，用户36)。在该等待期间，欺诈检测过程10可以收集上面提到的初始输入信息(例如，初始输入信息58)。该初始输入信息(例如，初始输入信息58)的示例可以包括以下各项中的一项或多项：第三方的信息62；以及数据库信息64。
38.当执行100初始输入信息(例如，初始输入信息58)的评估时，欺诈检测过程10可以确定102初始输入信息(例如，初始输入信息58)是否表示欺诈行为。例如，欺诈检测过程10可以查看若干条信息(例如，第三方信息62和/或数据库信息64)，其示例可以包括但不限于：
39.●
ani确认：欺诈检测过程10可以利用ani(即，自动号码识别)验证器来确认呼叫者(例如，用户36)的实际电话号码与呼叫者声称的电话号码相匹配，这可以指示较低的欺诈可能性。
40.●
欺诈者数据库：欺诈检测过程10可以搜索欺诈者数据库以查看呼叫者(例如用户36)的实际电话号码或呼叫的始发ip地址是否包括在欺诈者数据库中，这可以指示欺诈行为的更高可能性。
41.●
sip报头：欺诈检测过程10可以处理sip(即，会话发起协议)报头以确定在呼叫者(例如，用户36)声称是什么与呼叫者(例如，用户36)实际是什么之间是否存在任何不匹配，这可以指示欺诈的更高可能性。
42.●
调用频率：欺诈检测过程10可以确定呼叫者(例如用户36)的实际电话号码是否具有高呼叫频率。例如，如果呼叫每天/小时从该号码发起若干次，则这可以指示更高的欺诈可能性。
43.例如且一般而言，欺诈检测过程10可被配置为卸载呼叫日志和sip消息并标识那些呼叫号码。其具有某些特征(例如，短突发呼叫或非常长持续时间的呼叫)，其中可将不同的呼叫模式特征添加到现有库。基于为落入上述特征的那些号码收集的数据，欺诈检测过程10可以确定呼叫频率模式。
44.具体地，欺诈检测过程10可能检验：
45.●
在单位时间内发生多少呼叫；
46.●
这些呼叫在时间上是等间隔的；
47.●
每个呼叫的持续时间；和/或
48.●
呼叫的源ip地址。
49.根据呼叫模式，欺诈检测过程10可以被配置为：a)自己采取行动和/或b)让客户确定该动作。不管是系统确定的动作还是客户推荐的动作，欺诈检测过程10可以对来自特定呼叫号码的呼叫采取以下动作中的一个或多个，其示例可以包括但不限于：
50.●
在sbc处阻止来自该特定呼叫号码的呼叫(即，会话)边界控制器)；
51.●
参考来自该特定呼叫号码的呼叫用于第三方ani验证(即，在客户/客户具有与ani验证器的伙伴关系的情况下)；和/或
52.●
允许来自该特定呼叫号码的呼叫。
53.如果客户将系统配置为采取其自己的动作，则欺诈检测过程10可以为每个呼叫模式使用所配置的阈值，并采取所配置的相应动作。
54.如果初始欺诈威胁等级(例如，初始欺诈威胁等级60)高于所定义的威胁阈值(例如，定义的威胁阈值66)，则欺诈检测过程10可以终止104通信。所定义的威胁阈值66可以由(在该示例中)银行56基于例如它们处理欺诈者的容限来定义。可以预见，一些行业可以将定义的威胁阈值66设置得更低以更好地防止欺诈者(同时可能认为一些合法呼叫是欺诈)。相反，一些行业可以将所定义的威胁阈值66设置得更高，以减少假阳性欺诈者检测的可能性(同时可能更容易受到欺诈者的影响)。
55.作为示例，如果初始输入信息(例如，初始输入信息58)指示通信源自欺骗合法电话号码的已知欺骗者号码，则初始欺骗威胁等级(例如，初始欺骗威胁等级60)可超过所定义的威胁阈值(例如，所定义的威胁阈值66)，并且欺骗检测过程10可终止104通信。
56.相反，如果初始欺诈威胁等级(例如，初始欺诈威胁等级60)低于所定义的威胁阈值(例如，所定义的威胁阈值66)，则欺诈检测过程10可以向接收者(例如，用户42)提供106通信，使得可以在接收者(例如，用户42)和呼叫者(例如，用户36)之间发生会话。
57.根据初始欺诈威胁等级(例如，初始欺诈威胁等级60)的值，接收者(例如，用户42)可以是例如高欺诈风险专家或一般欺诈风险代表。例如，如果初始欺诈威胁等级(例如，初始欺诈威胁等级60)没有高到足以证明立即终止104该通信的合理性，但是仍然高于正常，则欺诈检测过程10可以向作为高欺诈风险专家的接收者(例如，用户42)提供106该通信，因为存在该通信可能是欺诈的增强的可能性。然而，如果初始欺诈威胁等级(例如，初始欺诈威胁等级60)没有提高，则欺诈检测过程10可以向作为一般欺诈风险代表的接收者(例如，用户42)提供106该通信，因为该通信可能是欺诈的可能性很低。
58.因此并且继续上述示例，可以在呼叫者(例如，用户36)和接收者(例如，用户42)之间接着进行会话，其中欺诈检测过程10可以针对欺诈的证据/指示符来监视该会话。
59.在所监视的会话是呼叫者(例如，用户36)和接收者(例如，用户42)之间的基于语音的会话的情况下，欺诈检测过程10可以处理基于语音的会话以定义基于语音的会话的会话文字记录。例如，欺诈检测过程10可以使用例如各种语音到文本平台或应用(例如，诸如可从马萨诸塞州伯灵顿的nuance通信公司获得的那些)来处理基于语音的会话以产生会话文字记录。自然地，在所监视的会话是呼叫者(例如用户36)和接收者(例如用户42)之间的基于文本的会话的情况下，欺诈检测过程10不需要生成会话文字记录，因为基于文本的会话是其自己的文字记录。
60.还参考图3，示出了呼叫者(例如，用户36)和接收者(例如，用户42)之间的这种会话文字记录的示例。在该特定示例中，会话文字记录如下：
61.●
用户36：您好，感谢您致电abc银行。我的名字是撒拉。今天我有幸与谁交谈？
62.●
用户42：你好莎拉，这是玛莎〃海恩斯。你今天过得怎么样？
63.●
用户36：我很好，谢谢你的提问。我可以请你帮我拼写你的名字吗？
64.●
用户42：玛莎〃海恩斯，h-a-i-n-e-s。
65.●
用户36：海恩斯夫人，今天我能为您做什么
66.●
用户42：我只想知道我帐户上的最后一笔罚款交易。
67.(在会话中的这一点上，欺诈检测过程10可以确定呼叫者(即，
68.用户42)已经通过了语音生物测定认证)。
69.●
用户36：您希望我查找哪个帐户？
70.●
用户42：我的支票账户。
71.(此时，欺诈检测过程10可以询问呼叫者(即用户42)他们今天想要做的其他事情)。
72.●
用户36：好的，海恩斯夫人，让我为您解决这个问题。在我查找的过程中，您今天还有什么需要我帮助您的吗？
73.●
用户42：我也想问一下转账，但只有在我看到我的账户余额之后。
74.(此时，欺诈检测过程10可以将欺诈行为威胁提高到高)
[0075][0076]
●
用户36：海恩斯夫人，我很抱歉，我的电脑好像出了问题。请让我为您转接。
[0077]
基于呼叫者(例如，用户36)和接收者(例如，用户42)之间的上述交互，欺诈检测过程10可以执行108关于会话的后续输入信息(例如，后续输入信息68)的评估，以定义后续欺诈威胁等级(例如，后续欺诈威胁等级70)。该威胁等级(例如，后续欺诈威胁等级70)可以以各种方式(例如，作为数字、字母、颜色等)表示，所有这些都被认为在本公开的范围内。
[0078]
后续输入信息(例如，后续输入信息68)的示例可以包括但不限于以下中的一项或多项：
[0079]
●
生物特征信息(例如，生物特征信息68)，诸如关于呼叫者(例如，用户36)的变形模式、重音模式、暂停模式、单词选择模式、语音速度模式、语音节奏模式、语音节奏模式、单词长度模式、声纹信息和压力水平信息；
[0080]
●
第三方信息(例如，第三方信息62)，例如包括在欺诈者数据库和ani验证器中的信息；以及
[0081]
●
数据库信息(如数据库信息64)，如包括在呼叫频率数据库中的信息。
[0082]
●
呼叫者会话部分，诸如由呼叫者(例如，用户36)说出或键入的单词、短语、评论或句子；
[0083]
●
接收者会话部分，诸如由接收者(例如，用户42)说出或键入的词、短语、评论或句子；
[0084]
具体地并且关于这样的生物特征信息(例如，生物特征信息68)，欺诈检测过程10可以分析在呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话内定义的各种语音模式标记。
[0085]
●
变形：欺诈检测过程10可以处理呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话，以定义呼叫者(例如，用户36)的一个或多个变形模式。如本领域中已知的，变形是语音的一方面，其中说话者修改单词的发音以表达不同的语法类别(诸如时态、案例、语音、方面、人、数字、性别和情绪)。具体地，某些人可以某些方式说话，其中他们可以在例如句子的最后单词上添加特定的变形。欺诈检测过程10可以利用这种变形模式来标识这种内容的提供者。
[0086]
●
重音模式：欺诈检测过程10可以处理呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话，以定义呼叫者(例如，用户36)的一个或多个重音模式。如本领域中已知的，不同种族来源的不同人可以不同地发音相同的单词(例如，天生的美国说话的英语，对来自联合王国说话的英语的人，对来自印度说话的英语的人)。此外，具有共同伦理道德的人可以根据特定地理区域不同地发音相同的单词。他们位于哪里(例如，来自纽约市的土著美国人与来自德克萨斯州达拉斯的土著美国人)。欺诈检测过程10可以利用这种重音模式来识别这种内容的提供者。
[0087]
●
暂停模式：欺诈检测过程10可以处理呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话，以定义呼叫者(例如，用户36)的一个或多个暂停模式。如本领域已知的，各种人以各种方式说话。一些人在没有停顿的情况下连续讲话，而其他人可以将相当多的停顿引入到他们的语音中，而其他人可以用填充词(例如，“嗯(ummm)”、“你知道(you know)”和“像是(like)”)填充那些停顿。欺诈检测过程10可以利用这种暂停模式来标识这种内容的提供者。
[0088]
●
单词选择模式：欺诈检测过程10可以处理呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话，以定义呼叫者(例如，用户36)的一个或多个单词选择模式。特别地，某些人往往经常使用某些单词。例如，一个人可能频繁地“典型地”使用，而另一个人可能频繁地“通常”使用。欺诈检测过程10可以利用这种单词选择模式来识别这种内容的提供者。
[0089]
而语音模式标记的四个具体示例如上所述(即：变形模式、重音模式、暂停模式和单词选择模式)，由于其他配置是可能的并且被认为在本公开的范围内，因此这仅是出于说明性目的并且不旨在限制本公开。因此，这种语音模式标记的其他示例可以包括但不限于语音速度模式、语音节奏模式、语音节奏模式、单词长度模式、声纹信息、压力水平信息等。例如，欺诈检测过程10还可以利用问题/答案配对来提供关于呼叫者是否是欺诈者的洞察。
[0090]
当执行108后续输入信息(例如，后续输入信息68)的评估时，欺诈检测过程10可以确定110后续输入信息(例如，后续输入信息68)是否表示欺诈行为。
[0091]
例如，欺诈检测过程10可以确定110与呼叫者(例如，用户36)相关联的生物特征信息68(例如，变形模式、重音模式、暂停模式、单词选择模式、语音速度模式、语音节奏模式、语音节奏模式、单词长度模式、声纹信息、压力水平信息)是否指示欺诈行为。附加地/备选地，欺诈检测过程10可以确定110第三方信息62(例如，包括在欺诈者数据库和ani验证器中的信息)是否指示欺诈行为。附加地/备选地，欺诈检测过程10可以确定110数据库信息64(例如，包括在呼叫频率数据库中的信息)是否指示欺诈行为。附加地/备选地，欺诈检测过程10可以确定110由呼叫者(例如，用户36)说出或键入的单词或短语(例如，后续输入信息68)是否指示欺诈行为。
[0092]
因此，当确定110后续输入信息(例如，后续输入信息68)是否指示欺诈行为时，欺诈检测过程10可检查各种准则，其示例可包括但不限于：
[0093]
●
年龄检测：欺诈检测过程10可以被配置为检测呼叫者(例如，用户36)的年龄组。此外并且给定呼叫者生日的先验知识(其可以在例如与呼叫者相关联的书目信息内定义)，欺诈检测过程10可以将该定义的信息与检测到的年龄组进行比较以识别不匹配，其中欺诈检测过程10可以考虑该比较信息。当定义后续欺诈威胁等级70时。另外，欺诈检测过程10可
以将该信息用于路由目的，因为老年人是身份盗窃的受害者。因此，欺诈检测过程10可以加快对来自老人的呼叫的处理。附加地/替换地和/或代替仅依赖于呼叫者的生日，欺诈检测过程10可以在不同时间检测呼叫者(例如，用户36)的年龄。因此，欺诈检测过程10可以检测呼叫者(例如用户36)今天的年龄，并且可以将检测到的年龄与呼叫者在例如两周前呼叫时的年龄进行比较。因此，由于这两个呼叫之间的时间差最小，欺诈检测过程10应当将呼叫者(例如，用户36)检测为与两周前相同的今天年龄。然而，如果欺诈检测过程10检测到呼叫者(例如，用户36)的年龄为例如两周前50-59岁和今天20-29岁，则这可能表示出问题。
[0094]
●
性别检测：欺诈检测过程10可以被配置为检测呼叫者(例如，用户36)的性别。此外并且给定呼叫者性别的先验知识(其可以在例如与呼叫者相关联的书目信息内定义)，欺诈检测过程10可以将该定义的信息与检测到的性别进行比较以识别不匹配，其中欺诈检测过程10可以在定义后续欺诈威胁等级70时考虑该比较信息。
[0095]
●
语言检测：欺诈检测过程10可以被配置为检测呼叫者(例如，用户36)的主要语言。给定呼叫者的主要语言(其可以在例如与呼叫者相关联的书目信息内定义)的先验知识，欺诈检测过程10可以被配置为将该定义的信息与检测到的主要语言进行比较以识别不匹配，其中欺诈检测过程10可以在定义后续欺诈行为威胁等级70时考虑该比较信息。另外，欺诈检测过程10可以将该信息用于路由目的，因为将呼叫从例如本地法语讲话者路由到可以说法语的接收者可以加快这种呼叫的处理。
[0096]
●
暗网存在：欺诈检测过程10可以被配置为从暗网中提取数据，以确定所要求保护的呼叫者(例如用户36)的身份先前是否可能是身份盗用或大规模数据破坏(例如equifax)的受害者，其中欺诈检测过程10可以在定义后续欺诈威胁等级70时考虑该信息。
[0097]
●
电话号码数据库：欺诈检测过程10可以被配置为检查与犯罪活动相关联的电话号码的已公布数据库，其中欺诈检测过程10可以在定义后续欺诈威胁等级70时考虑该信息。
[0098]
当确定110后续输入信息(例如，后续输入信息68)是否指示欺诈行为时，欺诈检测过程10可以将后续输入信息(例如，后续输入信息68)与多个欺诈行为(例如，多个欺诈行为72)进行比较112。
[0099]
还参考图4，示出了这种多个欺诈行为(例如，多个欺诈行为72)的视觉示例。如该特定示例中所示，图左侧的项目(例如，关于账户余额的查询)具有成为欺诈行为的高概率(90％欺诈对10％合法)，而图右侧的项目(例如，请求帮助)具有成为欺诈行为的低概率(10％欺诈对90％合法)。
[0100]
多个欺诈行为(例如，多个欺诈行为72)可以包括多个经验定义的欺诈行为，其中这多个经验定义的欺诈行为可以通过ai/ml处理关于多个先前会话的信息来定义。
[0101]
例如，假设欺诈检测过程10可以访问数据集(例如，数据集74)，该数据集量化客户服务代表和那些联系到那些客户服务代表的呼叫者(合法的和欺诈的)之间的交互。对于该示例，假设在该数据集(例如，数据集74)内定义的交互标识呼叫者做出的查询和交互的结果。因此，通过处理在该数据集(例如，数据集74)内定义的这种交互，可以定义这多个经验定义的欺诈行为(经由ai/ml处理)，从而产生在图4内定义的多个欺诈行为72。
[0102]
欺诈检测过程10可以至少部分地基于后续欺诈威胁等级(例如，后续欺诈威胁等级70)来实现114目标响应，其中目标响应旨在细化后续欺诈威胁等级(例如，后续欺诈威胁
等级70)。
[0103]
当实现114目标响应时，欺诈检测过程10可以：
[0104]
●
允许116会话继续；
[0105]
●
向呼叫者(例如，用户36)询问118问题；
[0106]
●
提示120接收者(例如，用户42)向呼叫者(例如，用户36)询问问题；
[0107]
●
实现122从接收者(例如，用户42)到高风险专家的转移；以及
[0108]
●
结束124呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话。
[0109]
例如，如果欺诈检测过程10执行108对后续输入信息(例如，后续输入信息68)的评估并评估后续欺诈威胁等级(例如，后续欺诈威胁等级70)为低，则欺诈检测过程10可以实现114允许116会话继续的目标响应。相应地并且如图3所示在会话文字记录的部分150期间，欺诈检测过程10可以评估后续欺诈威胁等级(例如，后续欺诈威胁等级70)为低，并且可以允许116会话继续。
[0110]
此外，如果欺诈检测过程10执行108对后续输入信息(例如，后续输入信息68)的评估，并且评估处于中间的后续欺诈威胁等级(例如，后续欺诈威胁等级70)，则欺诈检测过程10可以实现114向呼叫者(例如，用户36)询问118问题的目标响应。因此，在图3所示的会话文字记录的部分152期间，欺诈检测过程10可以评估中间的后续欺诈威胁等级(例如，后续欺诈威胁等级70)，并且可以向呼叫者(例如，用户36)询问118问题。在该特定示例中，问题被问到("您是否有其他东西要我帮助您今天？)可以通过合成语音(如果是基于语音的交换)或通过文本(如果是基于文本的交换)直接询问。
[0111]
备选地，如果欺诈检测过程10执行108对后续输入信息(例如，后续输入信息68)的评估并评估处于中间的后续欺诈威胁等级(例如，后续欺诈威胁等级70)，则欺诈检测过程10可以实现114提示120接收者(例如，用户42)向呼叫者(例如，用户36)询问问题的目标响应。因此，在图3所示的会话文字记录的部分152期间，欺诈检测过程10可以评估中间的后续欺诈威胁等级(例如，后续欺诈威胁等级70)，并且可以提示120呼叫者(例如，用户36)的问题。在该特定示例中，问题被问到("您是否有其他东西要我帮助您今天？)在由欺诈检测过程10提示之后，可以经由接收者(例如，用户42)间接地询问。
[0112]
此外，如果欺诈检测过程10对后续输入信息(例如，后续输入信息68)执行108评估，并且评估后续欺诈威胁等级(例如，后续欺诈威胁等级70)为高，则欺诈检测过程10可以实现114目标响应，该目标响应实现122从接收者(例如，用户42)到高欺诈风险专家的转移。因此，在图3所示的会话文字记录的部分154期间，欺诈检测过程10可以评估后续欺诈威胁等级(例如，后续欺诈威胁等级70)为高，并且可以实现将呼叫者(例如，用户36)从接收者(例如，用户42)转移122到高欺诈风险专家(例如，监督者或管理者)。
[0113]
备选地，如果欺诈检测过程10执行108对后续输入信息(例如，后续输入信息68)的评估并评估后续欺诈威胁等级(例如，后续欺诈威胁等级70)为高，则欺诈检测过程10可以实现114目标响应，该目标响应结束124呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话。因此，当检测到欺诈威胁等级(例如，欺诈威胁等级62)为高时，欺诈检测过程10可以通过断开呼叫来结束124呼叫者(例如，用户36)和接收者(例如，用户42)之间的会话。
[0114]
虽然以上描述了可以由欺诈检测过程10来实现114的五个目标响应，但这仅是出于说明性的目的，而不旨在限制本公开，因为其他配置是可能的，并且被认为在本公开的范
围内。例如，当实现114目标响应时，欺诈检测过程10可以向接收者(例如，用户42)显示结果/决定；和/或可以向后端分析员(未示出)显示结果/决定。
[0115]
概述：
[0116]
如本领域技术人员将理解的，本公开可以被实现为方法、系统或计算机程序产品。因此，本发明可采取完全硬件实施例、完全软件实施例(包含固件、常驻软件、微代码等)或组合软件与硬件方面的实施例的形式，所述实施例在本文中可全部统称为“电路”、“模块”或“系统”。此外，本公开可以采取计算机可用存储介质上的计算机程序产品的形式，该计算机可用存储介质具有包含在该介质中的计算机可用程序代码。
[0117]
可以使用任何合适的计算机可用或计算机可读介质。计算机可用或计算机可读介质可以是例如但不限于电、磁、光、电磁、红外或半导体系统、装置、设备或传播介质。计算机可读介质的更具体的示例(非穷举列表)可以包括以下：具有一条或多条导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪存)、光纤、便携式光盘只读存储器(cd-rom)、光存储设备诸如支持互联网或内联网的传输介质、或磁存储设备。计算机可用或计算机可读介质还可以是纸张或其上打印有程序的另一合适的介质，因为程序可以通过例如对纸张或其它介质进行光学扫描而被电子地捕获，然后被编译、解释、或在必要时以合适的方式被处理，然后被存储在计算机存储器中。在本文档的上下文中，计算机可用或计算机可读介质可以是能够包含、存储、通信、传播或传输供指令执行系统、装置或设备使用或与之结合使用的程序的任何介质。计算机可用介质可以包括传播的数据信号，该传播的数据信号具有包含在基带中或作为载波的一部分的计算机可用程序代码。计算机可用程序代码可以使用任何适当的介质来发送，包括但不限于互联网、有线线路、光纤电缆，rf等。
[0118]
可以用诸如java、smalltalk、c 等面向对象的编程语言来编写用于执行本公开的操作的计算机程序代码。然而，用于执行本公开的操作的计算机程序代码也可以用诸如“c”编程语言或类似编程语言的常规过程编程语言来编写。程序代码可以完全在用户的计算机上执行、部分在用户的计算机上执行、作为独立的软件包、部分在用户的计算机上执行、部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过局域网/广域网/互联网(例如，网络14)连接到用户的计算机。
[0119]
参考根据本公开的实施例的方法，装置(系统)和计算机程序产品的流程图图示和/或框图来描述本公开。应当理解，流程图图示和/或框图的每个框以及流程图图示和/或框图中的框的组合可以由计算机程序指令来实现。这些计算机程序指令可以被提供给通用计算机/专用计算机/其它可编程数据处理设备的处理器，使得经由计算机或其它可编程数据处理设备的处理器执行的指令创建用于实现在流程图和/或框图的一个或多个框中指定的功能/动作的装置。
[0120]
这些计算机程序指令还可以存储在计算机可读存储器中，该计算机可读存储器可以指示计算机或其他可编程数据处理设备以特定方式工作，使得存储在计算机可读存储器中的指令产生包括实现在流程图和/或框图的一个或多个框中指定的功能/动作的指令装置的制品。
[0121]
计算机程序指令还可以被加载到计算机或其他可编程数据处理设备上，以使得在计算机或其他可编程设备上执行一系列操作步骤，从而产生计算机实现的过程，使得在计
算机或其他可编程数据处理设备上执行的指令在计算机或其他可编程数据处理设备上执行。可编程装置提供用于实现在流程图和/或框图的一个或多个框中指定的功能/动作的步骤。
[0122]
图中的流程图和框图可以示出根据本公开的各种实施例的系统，方法和计算机程序产品的可能实现的体系结构、功能和操作。在这点上，流程图或框图中的每个框可以表示代码的模块、段或部分，其包括用于实现指定逻辑功能的一个或多个可执行指令。还应当注意的是，在一些可替换的实现方式中，方框中指出的功能可以不按照图中指出的顺序发生。例如，根据所关于的功能，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以以相反的顺序执行。还将注意到，框图和/或流程图图示的每个框，以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作的基于专用硬件的系统，或专用硬件和计算机指令的组合来实现。
[0123]
本文使用的术语仅用于描述特定实施例的目的，而不旨在限制本公开。如本文所用，单数形式“一”、“一个”和“该”也旨在包括复数形式，除非上下文另外明确指出。还应当理解，当在本说明书中使用时，术语“包括”和/或“包含”指定所述特征、整数、步骤、操作、元件和/或组件的存在，但不排除一个或多个其它特征、整数、步骤、操作、元件、组件和/或其组合的存在或添加。
[0124]
以下权利要求中的所有装置或步骤加功能元件的对应结构、材料、动作和等效物旨在包括用于与如具体要求保护的其他要求保护的元件组合地执行该功能的任何结构、材料或动作。已出于说明和描述的目的呈现了本公开的描述，但不旨在穷举或将本公开限于所公开的形式。在不脱离本公开的范围和精神的情况下，许多修改和变化对于本领域普通技术人员将是显而易见的。选择和描述实施例是为了最好地解释本公开的原理和实际应用，并且使本领域的其他普通技术人员能够理解具有适合于预期的特定用途的各种修改的各种实施例的公开。
[0125]
已经描述了许多实现。已经如此详细地并且通过参考其实施例描述了本技术的公开内容，显而易见的是，在不脱离所附权利要求中限定的公开内容的范围的情况下，修改和变化是可能的。