不正リスクアドバイザー
不正ビジネス商取引アプリケーション(110)が、アプリケーションベースの不正(112)をモニターするために提供される。消費者が、インターネットビジネス商取引を実行するために、アカウントアクセス情報を提供するときには、FBTAは、オンラインの不正緩和エンジンを使用して、フィッシング侵入および識別番号の盗用(114)を検知する。不正商取引(120)を判定するために有用な、移動速度および商取引の頻度を計算するための方法がまた提供される。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願の引用)
本PCT出願は、「Fraud Risk Adviser」と題される米国特許出願第11/209,885号(2005年8月23日出願)に対する優先権を主張し、該米国特許出願は、「Fraud Risk Adviser」と題される米国特許出願第10/943,454号(2004年9月17日出願)に対する優先権を主張し、上記各出願はその全体が本明細書において参考として援用される。
【0002】
(技術分野)
本発明はオンラインでの不正な商取引を検知するための技術に関する。本発明は、商取引が不正であるかを判定するために、エンドユーザーに関連するIPアドレスおよび多数の要素を受信することが可能な不正エンジンを動作するための方法、システム、およびコンピュータプログラム製品を提供する。
【0003】
本発明はまた、二つのアクセスロケーションの間の移動速度を計算し、二つのロケーションの間のユーザーの移動速度に基づき、商取引が不正であるかを判定し、および商取引の頻度に基づき、商取引が不正であるかを判定するための方法、システム、およびコンピュータプログラム製品に関する。
【背景技術】
【0004】
インターネットにおける身元を隠すことの容易さは、金融サービス業にとって「顧客を知れ」というスローガンをオンラインの世界で実行することを困難にしている。2003年だけで、インターネット関連の不正が、連邦取引委員会による全ての不正の報告の55%を占め、前年から約45%上昇している。金融サービス業がオンラインでより多くの顧客に満足なサービスの提供を続けるためには、安全で確実な環境を作ることが最優先事項となっている。したがって、ユーザーのIPアドレスを利用するオンラインでの不正な商取引を検知し、防止するための方法、システム、およびコンピュータプログラム製品に対するニーズおよび要望がある。
【発明の開示】
【課題を解決するための手段】
【0005】
本発明は、オンラインでの不正商取引を判定するための方法、システム、およびコンピュータプログラム製品(便宜上、以下では、「方法」または「複数の方法」)を提供する。一実施形態において、エンドユーザーは特定の商取引に関するパラメータおよびルールをシステムに入力する。特定の商取引に関するパラメータ、ルール、および他の情報に基づき、システムは、商取引が不正である可能性に関連するスコアを計算する。スコアは、エンドユーザーによって設定され得る様々な閾値と比較される。スコアが閾値を超えた場合には、商取引は不正であると判定される。商取引に関するデータはまた、エンドユーザーへ出力される。再検討のうえで、エンドユーザーは所定の商取引の不正な状態を変更し得る。
【0006】
本発明の別の実施形態は、第1アクセスロケーションと第2アクセスロケーションとの間の移動速度を計算し、商取引が不正であるかを判定するために移動速度を利用し、また、計算された商取引の頻度に基づき商取引が不正であるかを判定するための方法を提供する。
【0007】
携帯電話、携帯端末、ワイヤレスの通信デバイス、パーソナルコンピュータ、または本発明の実施形態を実行するために特に設計された専用のハードウエアデバイスを含む様々なデバイスが、本発明のシステム、方法、またはコンピュータプログラム製品を実行するために使用され得ることは当業者には明らかである。
【0008】
明示的に述べられている場合を除いては、本明細書で述べられる任意の方法または実施形態は、そのステップが特定の順番で行われることを要求するとして解釈されることを、まったく意図されていない。したがって、方法、システム、またはコンピュータプログラム製品に関する請求項が、ステップが特定の順序に制限されるべきであると請求項または記述において特別に述べていない場合には、いかなる観点においても、順序が推定されることはまったく意図されていない。このことは、ステップまたは動作の流れの配置に関する論理の問題、文法上の構成または句読法から得られる明白な意味、または本明細書で述べられる実施形態の数またはタイプを含む、任意の考えられる表現されていない解釈の根拠に当てはまる。
【発明を実施するための最良の形態】
【0009】
本発明の上述および他の利点および特徴は、添付の図面を参照して以下に与えられる本発明の例示的な実施形態の詳細な記述からさらに明らかになり得る。
【0010】
以下に続く詳細な記述において、本明細書の一部を形成し、本発明が行われ得る特定の実施形態の説明として示される添付の図面が参照される。これらの実施形態は、当業者が本発明を実行することが可能であるように十分に詳細に記述される。他の実施形態が利用され得ることが理解されるべきであり、構造的、論理的およびプログラミング上の変更が、本発明の精神および範囲を逸脱することなく、行われ得ることが理解されるべきである。
【0011】
本発明の方法、システム、およびコンピュータプログラム製品が開示され、記述される前に、本発明は、特定の方法、特定のコンポーネント、または特定の構成に限定されず、それ自体はもちろん変化し得ることが理解されるべきである。本明細書で使用される用語は、特定の実施形態を示すことのみを目的とし、限定することを意図していない。
【0012】
本明細書および特許請求の範囲で使用されるように、文脈が明らかにそうではないと述べていない場合には、単数形の「一つ」「一つの」および「その」は複数形への言及を含む。従って例えば、「一つのエンコーダ」への言及は複数のエンコーダの混在を含み、「一つのエンコーダ」への言及は二つ以上のそのようなエンコーダの混在を含み、他も同様である。
【0013】
「リスク要素」の用語は、商取引と関連するある程度のレベルのリスクを有する商取引で使用される任意の要素を含む。
【0014】
「静的リスク要素」の用語は、実行時間において変化しない任意の要素を含む。
【0015】
「動的リスク要素」の用語は、実行時間において計算される値を有する任意の要素を含む。
【0016】
「リスク値」の用語は、要素と関連する任意の数を含む。
【0017】
「リスクウェート」の用語は、要素のリスク値がリスクスコアの結果にどの程度影響するのかを判定する任意の数を含む。
【0018】
「ルール」の用語は、ブール論理をリスク値へ適用する任意の条件文を含む。
【0019】
「リスクスコア」の用語は、リスク値、およびリスクウェートの計算結果またはリスクスコアを直接的に設定するルールに基づく、リスク値の任意の集合を含む。
【0020】
「オンライン不正緩和エンジン」(OFME)の用語は、複数の要素に加えIPアドレスを受取り、それにより商取引が不正であるかどうかを判定するために使用され得る所定の商取引のために、リスクスコアを形成する本発明の任意のコンポーネントを含む。
【0021】
「商取引」の用語は、オンラインによる銀行預金口座へのアクセス、クレジットカードによる商取引、オンラインにより手形払い、電信送金、株取引、個人情報を使用する商取引、などのような任意のタイプのオンライン活動を含む。
【0022】
「商取引識別子」の用語は、特定のリスクスコアモデルを識別するシステム生成された任意の一意的な数を含む。
【0023】
「リスクスコアモデル」の用語は、論理ルールの任意の組、適用可能な静的および動的な要素、要素のためのリスクウェート、不正スコアアルゴリズム、リスクコードの閾値、および不正な商取引を識別するために使用されるリーズンコード含む。
【0024】
「ユーザー」または「クライアント」の用語は、一人以上の人間、一つ以上の存在、または一つ以上のコンピュータを含む。
【0025】
「方法」「システム」および「コンピュータプログラム製品」の用語は、本発明の例示的な実施形態の中で互換的に使用され得る。
【0026】
本発明の方法は、本発明の様々な実施形態を実行するためにプログラムされたプロセッサを使用して実行され得る。図8は、様々な実施形態を行うための例示的な動作環境を示すブロック図である。この例示的な動作環境は動作環境の単なる一例であり、動作環境アーキテクチャの使用または機能目的の範囲に関してどのような制限も示す意図はない。動作環境はまた、例示的な動作環境の中に示される任意の一つのコンポーネントまたはコンポーネントの任意の組合せに関連する、なんらかの依存性または要求性を有するとして解釈されるべきではない。
【0027】
本方法は、多数の他の一般的な目的および特別の目的の計算システムの動作環境または構成とともに動作可能である。本方法と共に使用するのに適切であり得る、周知の計算システム、動作環境、および/または構成の例は、パーソナルコンピュータ、サーバーコンピュータ、ラップトップデバイス、およびマルチプロセッサシステムを含むが、それらに限定されない。追加の例としては、セットトップボックス、プログラム可能な家庭用電子機器、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、任意の上記システムまたはデバイスを含む分散型の計算動作環境、および同様のものを含む。
【0028】
本方法は、コンピュータによって実行される、プログラムモジュールのようなコンピュータ命令の一般的なコンテクストで示され得る。一般的には、プログラムモジュールは、特定のタスクを行い、または特定の抽象データの型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造を含む。本方法はまた、コミュニケーションネットワークを介してリンクされた遠隔処理デバイスによってタスクが行われる、分散型の計算動作環境において行われ得る。分散型の計算動作環境において、プログラムモジュールは、ローカルおよび遠隔の両方の、メモリ記憶デバイスを含むコンピュータ記憶メディアに配置され得る。
【0029】
本明細書で開示される方法は、コンピュータ801の形の汎用の目的の計算デバイスを通じて実装され得る。コンピュータ801のコンポーネントは、一つ以上のプロセッサまたは処理ユニット803、システムメモリ812、およびプロセッサ803を含む様々なシステムコンポーネントをシステムメモリ812へ結合するシステムバス813を含み得るが、それらに限定されない。
【0030】
図8のプロセッサ803は、Intel Corporationによって製造されるPENTIUM(登録商標) IV、またはAdvanced Micro Devices Corporationによって製造されるATHLON64プロセッサを含む、x−86互換プロセッサであり得る。Apple、IBMまたはNECによって製造されるプロセッサを含む、他の命令セットを使用するプロセッサがまた使用され得る。
【0031】
システムバス813は、メモリバスまたはメモリコントローラ、周辺のバス、加速グラフィックポート、および様々な任意のバスアーキテクチャを使用するプロセッサまたはローカルバスを含む、一つ以上の複数の考えられるタイプのバス構造を示す。例として、そのようなアーキテクチャは、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、強化ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、およびMezzanineバスとしてもまた公知のPeripheral Component Interconnects(PCI)バスを含み得る。このバス、およびこの記述で述べられる全てのバスはまた、有線またはワイヤレスのネットワーク接続によって実装され得る。バス813、およびこの記述で述べられる全てのバスはまた、有線またはワイヤレスのネットワーク接続によって実装され得、プロセッサ803、大容量記憶デバイス804、オペレイティングシステム805、アプリケーションソフトウエア806、データ807、ネットワークアダプタ808、システムメモリ812、入力/出力インターフェイス810、ディスプレイアダプタ809、ディスプレイデバイス811、および人と機械のインターフェイス802を含む各サブシステムは、物理的に離れた位置にあり、この形のバスを介して接続され、完全に分散型のシステムを効果的に実装する、一つ以上の遠隔計算デバイス814a、814b、814cの中に含まれ得る。
【0032】
図8のオペレイティングシステム805は、MICROSOFT WINDOWS(登録商標) XP、WINDOWS(登録商標)2000、WINDOWS(登録商標) NT、またはWINDOWS(登録商標) 98、およびREDHAT LINUX、FREE BSD、またはSUN MICROSYSTEMS SOLARISのようなオペレイティングシステムを含む。さらに、アプリケーションソフトウエア806は、ユーザーがディスプレイデバイス811でHTML、SGML、XML、または任意の他の適切に構築された文書言語を見ることを可能にする、MICROSOFT INTERNET EXPLORERまたはMOZILLA FIREFOXのようなウェブブラジングソフトウェアを含み得る。
【0033】
コンピュータ801は、一般的にはコンピュータで読み取り可能な様々なメディアを含む。そのようなメディアは、コンピュータ801によってアクセス可能であり、揮発性および不揮発性のメディアの両方、取り外し可能および取り外し不可能なメディアの両方を含む任意の利用可能なメディアであり得る。システムメモリ812は、ランダムアクセスメモリ(RAM)のような揮発性のメモリ、および/または読出し専用メモリ(ROM)のような不揮発性のメモリの形式の、コンピュータで読出し可能なメディアを含む。システムメモリ812は、一般的にはデータ807のようなデータおよび/または処理ユニット803によって現在アクセス可能なおよび/または直ちに操作されている、オペレイティングシステム805およびアプリケーションソフトウエア806のようなプログラムモジュールを含む。
【0034】
コンピュータ801はまた、取り外し可能/取り外し不可能な、揮発性/不揮発性のコンピュータ記憶メディアを含み得る。例として、図8は、コンピュータコード、コンピュータで読出し可能な命令、データ構造、プログラムモジュール、およびコンピュータ801に関する他のデータの不揮発性の記憶を提供し得る大容量記憶デバイス804を示す。例えば、大容量記憶デバイス804は、ハードディスク、取り外し可能な磁気ディスク、取り外し可能な光ディスク、磁気カセットまたは他の磁気記憶デバイス、フラッシュメモリカード、CD−ROM、デジタル多目的ディスク(DVD)またはたの光記憶装置、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、電気的に消去可能なプログラマブル読出し専用メモリ(EEPROM)、などであり得る。
【0035】
任意の数のプログラムモジュールは、例としてオペレイティングシステム805およびアプリケーションソフトウエア806を含む大容量記憶デバイス804に記憶され得る。オペレイティングシステム805およびアプリケーションソフトウエア806(またはそれらのある組合せ)のそれぞれは、プログラミングの要素およびアプリケーションソフトウエア806を含み得る。データ807はまた大容量記憶デバイス804に記憶され得る。データ804は、当該分野で公知の一つ以上の任意のデータベースに記憶され得る。そのようなデータベースの例は、DB2(登録商標)、Microsoft(登録商標) Access、Microsoft(登録商標)SQL Server、Oracle(登録商標)、mySQL、PostgreSQL、などを含む。データベースは集中して置かれ得、または複数のシステムに分散され得る。
【0036】
ユーザーは、入力デバイス(示されていない)を介して、コンピュータ801に命令および情報を入力し得る。そのような入力デバイスの例は、キーボード、ポインティングデバイス(例えば「マウス」)、マイクロフォン、ジョイスティック、シリアルポート、スキャナーなどを含むが、それらに限定されない。これらのおよび他の入力デバイスは、システムバス813に結合される人と機械のインターフェイス802を介して処理ユニット803に接続され得るが、パラレルポート、シリアルポート、ゲームポート、またはユニバーサルシリアルバス(USB)のような他のインターフェイスおよびバス構造によって接続され得る。
【0037】
ディスプレイデバイス811はまた、ディスプレイアダプタ809のようなインターフェイスを介してシステムバス813へ接続され得る。例えば、ディスプレイデバイスは、ブラウン管(CRT)モニターまたは液晶ディスプレイ(LCD)であり得る。ディスプレイデバイス811に加え、他の出力周辺デバイスは、入力/出力インターフェイス810を介してコンピュータ801へ接続され得る、スピーカー(示されていない)およびプリンター(示されていない)のようなコンポーネントを含み得る。
【0038】
コンピュータ801は、ネットワークされた動作環境において、一つ以上の遠隔計算デバイス814a、814b、814cへの論理接続を使用して、動作し得る。例として、遠隔計算デバイスは、パーソナルコンピュータ、ポータブルコンピュータ、サーバー、ルーター、ネットワークコンピュータ、ピアーデバイスまたは他の共通ネットワークノードなどであり得る。コンピュータ801と遠隔計算デバイス814a、814b、814cとの間の論理接続は、ローカルエリアネットワーク(LAN)および一般的な広域ネットワーク(WAN)を介して行われ得る。そのようなネットワーク接続は、ネットワークアダプタを介してであり得る。ネットワークアダプタ808は、有線およびワイヤレスの動作環境で実装され得る。そのようなネットワークの動作環境は、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネット815でよく見られるものである。
【0039】
説明の目的のために、アプリケーションプログラム、およびオペレイティングシステム805のような他の実行可能なプログラムコンポーネントは、本明細書で別個のブロックとして示されているが、しかしながらそのようなプログラムおよびコンポーネントは、様々な時に計算デバイス801の異なる記憶コンポーネントに存在し、コンピュータのデータプロセッサによって実行されることが理解される。アプリケーションソフトウエア806の実装は、コンピュータで読出し可能なメディアの一部のフォームに記憶され得、その間で伝達され得る。開示された方法の実装はまた、コンピュータで読出し可能な一部のフォームに記憶され得、その間で伝達され得る。コンピュータで読出し可能なメディアは、コンピュータによってアクセスされ得る任意の利用可能なメディアであり得る。限定ではなく例として、コンピュータで読出し可能なメディアは、「コンピュータ記憶メディア」および「伝達メディア」を含み得る。「コンピュータ記憶メディア」は、コンピュータ読出し可能命令、データ構造、プログラムモジュール、または他のデータのような情報を記憶するための任意の方法または技術において実装される、揮発性および不揮発性、取り外し可能および取り外し不可能なメディアを含む。コンピュータ記憶メディアは、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、デジタル多目的ディスク(DVD)または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶デバイス、または所望の情報を記憶するために使用され得る、およびコンピュータによってアクセスされ得る、任意の他のメディアを含むが、それらに限定されない。
【0040】
図9は、本発明の一つの実施形態であるインターネット815の論理概観を示す。例えば、図8に示される遠隔計算デバイス814a、814b、814cのような一つ以上のクライアントコンピュータ801は、901−1、901−2、901−3として示されるようにインターネット815に接続され得る。さらに、801で示されるタイプの一つ以上のコンピュータ902−1、902−2、および902−3は、HTTP要請によるウェブページ、データベースアクセス、遠隔ターミナルサービス、デジタルファイルのダウンロードまたはアップロード、または任意の他の所望のサービスを提供するサーバーとしての役割を行い得る。さらに、901−1のような一つ以上のクライアントコンピュータは、インターネットでアクセス可能なサーバーコンピュータ902−1としての役割を行い得、またその逆もあり得る。
【0041】
(オンライン不正緩和エンジン)
図1は、本発明に従ったオンラインによる不正商取引の判定を行うためのステップを示すフローチャートである。ステップ105において、入力パラメータが、例えば銀行のようなエンドユーザーによってOFMEに入力される。OFMEは、選択されたリスクスコアモデルに関するランタイム環境を提供する。OFMEは、例えば商取引識別子、IPアドレス、データ/タイムスタンプ、固有の識別子および処理のための多数の静的要素のような入力パラメータを受信するためのルールに基づくエンジンを提供する。引き続いてOFMEは、例えばNetAcuityサーバーからのインターネットのユーザーのロケーションのような、インターネットのユーザーのIPアドレスに関する適切な情報を取り出す。NetAcuityサーバーの操作は、米国特許出願第09/832,959号の中で説明されており、該出願は本出願の譲受人に対して同一人に譲渡され、かつ該出願はその全体が本明細書において参考として援用される。
【0042】
所定のインターネットベースの商取引に関連する固有の商取引識別子は、所定の商取引のためにどのリスクスコアモデルが使用されるべきかを判定するために、OFMEによって使用される。詐欺リスクアドバイザーは、追跡目的のために固有の識別子を使用する。その結果は、データベースに記憶される。
【0043】
追加の入力パラメータは、エンドユーザーに供給されたデータを用いて、OFMEに入力され得る。例えば、エンドユーザーは、判定過程においてOFMEによって使用され得るホットファイル、疑わしいIPリストなどを使用し得る。いったん、OFMEが特定の入力パラメータを受信すると、不正リスクアドバイザーはステップ112へ進む。ステップ112において、エンドユーザーは、特定の判定をするために使用されるように、標準リスクスコアモデルの組またはエンドユーザーが定めるリスクスコアモデルの組から選択する。
【0044】
OFMEが適切なリスクスコアモデルをロードした後、本発明は、OFMEが所定の要素の組を評価し、各所定の要素に関するリスク値を判定するステップ114へ進む。いったん、リスク値がOFMEと関連する各要素に関して判定されると、本発明は、OFMEが所定のルールの組を評価し、リスクスコアを判定するステップ116へ進む。
【0045】
リスクスコアがルールマッチによって判定されているときには、本発明は、合計のリスクスコアを判定するために、OFMEがリスクスコアアルゴリズムを実行するステップ118へ進む。OFMEは、合計のリスクスコアを判定するために、オプションの静的リスクスコアと共に、ルール評価からの基準リスク値を使用する。例えば、ルールに基づくリスクスコアは、0と1000との間の値を割り当てられ得る。リスクスコア0は非常に不正なものであるとして理解される商取引に割り当てられ得、一方、リスクスコア1000は、低い不正の危険性を有すると理解されるスコアに割り当てられ得る。
【0046】
ステップ118で計算されるリスクスコアおよびエンドユーザーによって定義される閾値の制限に従って、OFMEはステップ120へ進むか、ステップ122へ進むかを判定する。スコアが所定の閾値レベルを超える場合には、その商取引は不正なものであるとして判定されるので、OFMEは、ステップ120へ進む。従って、その商取引は、各要素値および各要素値に関するリーズンコードに関してさらに再審査をするために、フラグ付けされ、エンドユーザーへ転送される。スコアが所定の閾値の制限の範囲内である場合には、商取引は有効なものとして判定されるので、OFMEはステップ122へ進む。
【0047】
ステップ130において、エンドユーザーは懸案の商取引に関して、OFMEから出力を受信する。商取引がOFMEによって不正であると判定される場合には、エンドユーザーは、商取引に関する要素値およびリーズンコードを含む結果をOFMEから受信する。さらに、たとえ商取引が有効だと考えられる場合あっても、OFMEは、データベースの中にある商取引に関しては、本発明のリアルタイムの統計値を更新し得、例えばIPアドレスのような関連する全てのデータを記憶し得る。記憶されたデータは、リスクスコアモデルのリスクウェートを更新し、または特定の要素または特定のルールを削除するための、分析目的と共に、報告目的との両方で使用される。エンドユーザーはOFMEの結果を無効にすることができ、有効であると判定された商取引に疑わしいとフラグ付けし得、または疑わしい商取引を有効と判断し得る。
【0048】
図2は、本発明において使用され得る例示的な処理システム200を示す。システム200は、エンドユーザーがパラメータ、ルール、およびユーザーが定めた関数をOFME202へ入力し得るユーザーインターフェイス220を含む。ユーザーインターフェイス220は複数のユーザーインターフェイスを備え得る。ユーザーインターフェイス220はまた、特定の商取引に関する出力データをOFME202から受信する。ユーザーインターフェイス220は、グラフィックベースまたはウェブベースであり得、または任意の他の適切な入力メカニズムを使用し得る。
【0049】
いったん、OFME202が、ユーザーインターフェイス220からデータを受信すると、OFME202は、このデータと関連する情報を、例えばNetAcuityサーバー206、確認サーバー204、および行動追跡データベース208から取得する。確認サーバー204は、所定の商取引のためにエンドユーザーによって供給される電子メールアドレスおよびエリアコードを確認する。
【0050】
行動追跡データベース208は、現在のインターネットベースの商取引がインターネットユーザーの通常の行動と一致しているかどうかを判定するために、エンドユーザーによって提供される、所定のインターネットユーザーに関連する固有の識別子を使用する。この固有の識別子は検索可能な行動追跡データベース208に記憶される。インターネットユーザーがインターネットベースの商取引を行うときには、行動追跡データベース208が検索され、ISPおよびドメインと共に、固有の識別子と共にまた記憶されている地理的なデータが、もし可能であれば、引き出される。この情報は、現在懸案のインターネットベースの商取引についての現在のIPアドレスに関連する、地理的なデータ、ISPおよびドメイン情報と比較される。比較の結果つまりアクセス行動要素が、現在懸案のインターネットベースの商取引が不正であるかを判定するために使用される。アクセス行動の違反が判定される場合には、自動化された問い掛け/応答が、リアルタイムでアカウントにアクセスしているインターネットユーザーを確認するために使用され得る。インターネットユーザーに関する行動追跡データベース208の中で利用可能な現在のアドレスに関する履歴がない場合には、現在の地理的なデータ、ISPおよび現在のIPアドレスに関連するドメイン情報が、行動追跡データベース208へ追加される。従って、インターネットユーザーがアカウントを作成しているときには、アクセス行動は不正検出の要素として使用され得ない。
【0051】
インターネットユーザーに割り当てられた固有の識別子は、複数のアクセス行動を記憶し得る。さらに、インターネットユーザーは、例えば長距離の旅行、住所の変更などのためにアクセス行動を変化させ得るので、エンドユーザーはOFME202から返送されたアクセス行動違反を無効にし得る。
【0052】
OFME202は、所定の商取引と関連するリスクスコアを判定するために、ユーザーインターフェイス220、NetAcuity サーバー206、確認サーバー204および行動追跡データベース208によって提供される情報を使用する。いったん、OFME202がリスクスコアを計算すると、リスクスコアは商取引に関する任意の関連情報と共に、行動追跡データベース208、リアルタイム統計データベース212、ユーザーインターフェイス220、およびOFMEデータ記憶データベース210へ送信される。
【0053】
一実施形態において、OFMEデータ記憶データベース210は、長期記憶のためにOFME202から受信したデータをOFME出力ウェアハウス記憶装置218へ転送し得る。さらに、OFMEデータ記憶データベース210はOFME202から受信したデータを、処理およびユーザーインターフェイス220へ出力するために、報告サブシステム214およびフォレンシックス(Forensics)サブシステム216の両方へ転送し得る。
【0054】
フォレンシックスサブシステム216は、リスクスコアモデルを作動させることによって生成される情報を探索する能力を、エンドユーザーへを提供する。このようにして、エンドユーザーは、なぜ商取引が疑わしいと考えられたのか、またはなぜ商取引が疑わしいと考えられなかったのかを判定し得る。報告サブシステム214は、例えば疑わしいものとしてフラグ付けされた商取引の数のような、様々な報告をエンドユーザーへ提供する。
【0055】
(移動速度の計算)
本発明の一実施形態において、第1IPアドレスおよび第2IPアドレスを使用して、第1アクセスポイントと第2アクセスポイントとの間の移動速度を計算するための方法が提供される。移動速度を計算することは、不正な商取引を判定すること、ネットワーク分析、ユーザープロファイリング、ユーザーアカウントの確認および追跡、ネットワークアクセスプロバイダーの分析、および広告を含む、いくつかの実用的な用途を有する。移動速度はまた、不正な商取引を判定するためにOFME202によって使用される要素であり得る。
【0056】
図3は、移動速度を計算するのに有用な、本発明の一実施形態を示す。第一に、第1アクセスロケーションは、第1インターネットプロトコル(「IP」)アドレスに基づき決定され得る301。第2に、第1アクセス時間が決定される302。第3に、第2アクセスロケーションが、第2アドレスに基づき決定される303。第4に、第2アクセス時間が決定される304。最後に、第1アクセスロケーションと第2アクセスロケーションとの間の移動速度が、第1アクセスロケーション301および第1アクセス時間302、および第2アクセスロケーション303および第2アクセス時間304の関数として、計算される。
【0057】
移動速度を計算するために有用な、本発明のさらなる実施形態は、図4に論理的に示されている。図4の実施形態は、図3のステップ305から継続しているが、特定の順序のステップが明白にまたは暗示的に要求されるのではない。この実施形態において、第1アクセスロケーション301と第2アクセスロケーション303との間の距離が計算される401。第2に、時間差が、第1アクセス時間302と第2アクセス時間304との間で計算される402。第3に、移動速度が、計算された時間差402によって計算された距離401を割り算することによって、第1アクセスロケーション301と第2アクセスロケーション303との間で計算される403。
【0058】
単なる説明の目的であるが、図4の実施形態によって、第1IPアドレスは24.131.36.54であり、第1アクセス時間302が東部標準時1:00PMであることを仮定する。NetAcuityサーバーによって提供される方法のような、IPアドレスに対応する位置を判定するための方法が、第1IPアドレスがアメリカ、ジョージア州アトランタの第1ロケーション301に対応することを判定するために使用される。次に、144.214.5.246である第2IPアドレスが提供され、第2アクセス時間304が東部標準時1:05PMである。再び、方法が使用され、144.214.5.246が中国、香港の第2アクセスロケーション303に対応することを判定する。
【0059】
次に、アトランタの第1アクセスロケーション301と香港の第2アクセスロケーション303との間の距離が、約8405マイルであると計算される401。東部標準時1:00PMの第1アクセス時間302と東部標準時1:05PMの第2アクセス時間304との間の計算された時間差402は5分である。8405マイルである計算された距離401は5分の時間差402で割り算して、8405マイル/5分、つまり時速100,860マイルの移動速度403を計算し、その速度は疑わしいほどに高速である。
【0060】
(ユーザーの移動速度の計算)
本発明の一実施形態において、第1IPアドレスおよび第2IPアドレスを使用して、第1アクセスロケーションと第2アクセスロケーションとの間のユーザーの移動速度を計算するための方法が提供される。ユーザーの移動速度を計算することは、不正の商取引を判定すること、ネットワーク分析、ユーザープロファイリング、ユーザーのアカウント確認および追跡、ネットワークアクセスプロバイダーの分析、および広告を含む、いくつかの実用的な用途を含む。ユーザーの移動速度はまた、不正の商取引を判定するために、OFME202によって利用される要素であり得る。
【0061】
図5は、ユーザーの移動速度を計算するために有用な、本発明の一実施形態を示す。第1に、第1アクセスロケーション501がユーザーに対して決定される。第1アクセスロケーション501は、第1アクセスロケーション501を決定するためにユーザーのIPアドレスを使用すること、ユーザーの行動プロファイルから第1アクセス位置501を検索すること、またはユーザー提供の第1アクセス位置501を使用することによるなどの、様々な方法で決定され得る。
【0062】
第2に、第1アクセス時間502がユーザーに対して決定される。第2アクセスロケーションが、ユーザーのIPアドレスに基づきユーザーに対して決定される503。第4に、第2アクセス時間がユーザーに対して決定される504。次いで本実施形態の方法は、第1アクセスロケーション501と第2アクセスロケーション503との間のユーザーの移動速度505を計算する。ユーザーの移動速度は、図4で具体化される方法を含む様々な方法を使用して計算され得る。
【0063】
図5に基づくさらなる実施形態において、第1アクセスロケーション501および第1アクセス時間502は、ユーザーと関連する行動プロファイルから判定される。他の実施形態において、第1アクセスロケーション501は、ユーザーの最後の有効なアクセスロケーションに基づき判定され得る。別の実施形態において、第2アクセスロケーション503および第2アクセス時間504は、ユーザーの現在のアクセスロケーションおよび現在のアクセス時間である。
【0064】
(不正商取引の判定)
本発明の一実施形態において、ユーザーの移動速度を不正要素として使用することによって、商取引が不正であるかを判定するための方法が提供される。ユーザーの移動速度に基づき商取引が不正であるかを判定することは、識別番号の盗用、電子メールのフィッシング、ハッキング、スパイウエア、Trojansなどから生じ得る、オンラインでの個人情報の窃盗および使用を抑制し防止するようないくつかの実用的な用途を有する。同様に、商取引が正当なものかを判定するために、同じ方法が使用され得る。
【0065】
ユーザーの移動速度に基づき、商取引が不正であるかを判定するための方法の一実施形態が、図6に示される。第一に、ユーザーの移動速度が、第1アクセスロケーションと第2アクセスロケーションとの間で計算される601。ユーザーの移動速度を計算するための一実施形態が、図5のステップ501からステップ505で提供される。移動速度を計算するための他の方法はまた、図6の実施形態で使用され得る。本明細書に含まれる不正な商取引を判定するための様々な実施形態は、OFME202を使用し得る。
【0066】
行動プロファイルは、商取引が不正であるかを判定するために、図6の実施形態および他の実施形態において利用され得る。例えば、アクセスロケーション、アクセス時間、IPアドレス、地理的なロケーション、エリアコード、電話番号、電子メールアドレス、商取引の頻度、および他の要素が、行動プロファイルへ記憶され得る。一つ以上の要素に対応する一つ以上の変数が永続的に記憶されることが可能なので、行動プロファイルは有用であり、実施形態が第1アクセスロケーションと第2アクセスロケーションとの間の移動速度および不正の可能性を判定するだけではなく、複数のアクセス位置、アクセス時間、IPアドレス、などにわたって不正活動のパターンを判定することを可能にする。行動プロファイルは、図2の実施形態における行動追跡データベース208のようなデータベースに記憶され得る。
【0067】
第2に、図6の方法は、ユーザーのIPアドレスに基づく一つ以上の追加の要素が計算され得るかを判定する。ユーザーの移動速度は601で計算されることを要するのみであるが、ユーザーのIPアドレスに基づく要素を含む追加の要素が、様々な実施形態において使用され得る。計算された追加の要素603のタイプおよび数は、不正な商取引の判定を最適化するために、異なる実施形態の間で変化し得る。
【0068】
追加の要素が残っている602と判定された場合には、追加の要素が計算される603。次に、計算される要素がなくなるまで、図6の方法は残っている追加の要素を判定602し、計算603し、図6の方法をステップ604へ進める。
【0069】
図6の実施形態に基づく一実施形態において、計算された追加の要素603は、ユーザーのIPアドレスに関連する国、地域、または都市を含む。図6の実施形態を拡張する別の実施形態において、計算された要素603は、IPアドレスと関連するユーザーがいると思われる位置と比較すると、ユーザーの近くであり得る。計算された要素603はまた、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal 1(T1)、またはOptical Carrier(OC3)のようなユーザーの接続タイプを含み得る。要素603はまた、個人ネットワークのエンドポイント、企業ネットワークのエンドポイント、個人または企業のプロクシ、個人または企業のファイヤーウォール、などのようなホストのタイプを含み得る。
【0070】
図6の実施形態を拡張する追加の実施形態は、IPアドレスと関連するアドレスと比較するためにクライアントによって提供されるアドレス、データベースに記憶されるクライアントに関連するエリアコードおよび電話番号と比較するためにクライアントによって提供されるエリアコードおよび電話番号、またはクライアントによって提供される電子メールアドレスを含む、ユーザーによって提供される要素を利用し得る。ユーザー提供の要素はユーザーによって直接的に提供されるので、本実施形態はユーザー提供の要素は正確であるとみなし、それは本発明のさまざまな実施形態において有用である。
【0071】
さらなる要素が図6の実施形態によって利用され得、その要素は、現在の商取引と比較される、データベースに記憶された商取引習慣に基づくユーザーと関連するアクセス行動などである。要素はまた、所定の時間の範囲内で、商取引が試みられまたは実行される頻度、または単一のIPアドレスが特定の時間の範囲内に、複数の固有の識別子へアクセスしまたは複数の固有の識別子を使用する速度を備え得る。
【0072】
図6のさらなる実施形態において、クライアントは603で計算される要素の判定に参加し得る。例えば、一実施形態において、クライアントはひとつ以上の要素に対する閾値レベルを割り当て得る。クライアントはまた、一つ以上のユーザー定義の要素を生成し得、クライアントはまた、一つ以上の要素に対する拘束ルールを定義し得る。ユーザーが要素を判定し、要素に対する閾値レベルおよび要素に対する拘束ルールを割り当てることを可能にすることは、図6の方法が、商取引がユーザーにあつらえられた(tailored)方法において不正であるかを適切に判定することを可能にする。
【0073】
次に、図6の実施形態において、本方法は、ユーザーの移動速度および上記のようなゼロ以上の追加の要素に基づき、商取引が不正であるかを判定する。商取引が不正であるまたは妥当であるという判定604は、図6の方法の特定の実装に基づき、リアルタイムで、ほぼリアルタイムで、またはリアルタイムではなく起こり得る。ユーザーの移動速度は、不正の商取引を判定するためにOFME202によって利用される要素であり得、行動追跡データベース208の中に備わる行動プロファイルに記憶され得る。
【0074】
(商取引の頻度)
本発明の一つの実施形態において、計算された商取引の頻度を使用することによって、商取引が不正であるかを判定するための、方法が提供される。高い頻度の商取引は、例えば、ユーザーの個人情報が盗まれ、ユーザーの個人情報を使用して複数のオンラインでの不正購入を行おうと意図する一人以上の個人へ配信されるような場合に有用であり得る。高い頻度の商取引は、特定の商取引が同じIPアドレスから所定の時間の範囲内で繰り返し試みられる不正取引を示し得る。
【0075】
同様に、同じまたは同様の商取引が複数回にわたり試みられまたは実行され、および単一のIPアドレスによってまたは単一のIPアドレスにおいて受信される場合には、商取引は不正であり得る。例えば、ある個人のクレジットカード情報が盗まれ、特定のIPアドレスにおいて電子商取引サービスを営業する特定のオンラインの小売業者において不正な購入を行うために、その情報を利用しようと意図する人の一団に配信されることを想定する。本発明の一実施形態に従って、複数のIPアドレスが、電子商取引サーバーのアドレスのような単一のIPアドレスで受信される商取引を試みまたは実行する頻度が、商取引が不正であることを示し得る。さらなる実施形態において、移動速度またはユーザープロファイルから検索されたアクセス行動のような上記の要素は、不正な商取引を判定するために組み込まれ得る。
【0076】
商取引の頻度に基づき商取引が不正であるかを判定することは、識別番号の盗用、電子メールのフィッシング、ハッキング、スパイウエア、Trojansなどから生じ得るオンラインでの個人情報の窃盗および使用を抑制し、防止するようないくつかの実用的な用途を有する。同様に、商取引が妥当であるかを判定するために、同じ方法が使用され得る。図7に示される実施形態は、不正な商取引を判定するために、商取引の頻度を利用する一つの方法を提供する。
【0077】
第1に、図7の実施形態において、第1IPアドレスから所定の時間の範囲内に商取引が試みられた頻度が計算される。例えば、第1IPアドレスから発生したオンラインで購入を行う商取引が、1時間以内に100回試みられまたは実行された場合には、図7の実施形態は、計算された商取引頻度701に基づき商取引が不正であると判定し得る702。
【0078】
商取引の頻度701は、商取引が試みられまたは実行された回数をそれらの商取引が試みられまたは実行された時間で割り算することなどを含む様々な方法で計算され得る。商取引頻度はまた、図2の実施形態のOFME202によって利用される要素であり得、同様に図2の行動追跡データベース208に備わる行動プロファイルに記憶され得る。
【0079】
別の実施形態における商取引頻度は、不正検出の精度を高めるために、IPアドレスのホストタイプまたは他の要素と共に組み合され得る。例えば、図7の実施形態を拡張して、一つ以上の商取引が、1時間以内に100回、一つのIPアドレスから試みられたと想定する。他の情報がなければ、一つのIPアドレスから1時間に100回の試みという商取引頻度は、不正な商取引を示し得る。しかしながら、IPアドレスが、複数のユーザーにインターネットアクセスを提供するネットワークプロクシまたはファイヤーウォールを示す場合には、1時間に100回の試みは、実際に不正らしい商取引を示し得ない。ゆえに、IPアドレスがプロクシ、ファイヤーウォール、または何人かは一つ以上の合法な商取引を行っている複数のユーザーにアクセスを提供する他のインターネットゲートウェイを示したときには、商取引の頻度をIPアドレスのホストタイプと比較することは、誤った陽性反応を減少させることによって不正判定を最適化し得る。接続タイプ、移動速度、行動プロファイルから検索される情報、地理的なロケーション、ユーザー提供の要素、などのような他の要素はまた、不正検出の精度を高めるために、移動頻度と組み合わされ得る。
【0080】
本発明は、例示的な実施形態との関連において詳細に示されてきたが、本発明は上に開示された実施形態に限られないことが理解されるべきである。むしろ、本発明は、任意の数の変更、交替、代用、またはこれまでに示されていない均等の配置を組み込むように修正され得るが、それらは本発明の精神および範囲と同等である。特に、上述の不正リスクアドバイザーの特定の実施形態は、例示としてとられるべきであり、限定としてとられるべきではない。例えば、本発明はウェブベースのアプリケーションで使用され得る。したがって、本発明は上述の記述または図表によって限定されず、特許請求の範囲によってのみ制限される。
【図面の簡単な説明】
【0081】
【図1】図1は、オンライン不正緩和エンジンを使用して、オンラインでの商取引が不正であるかどうかを判定するための、本発明一実施形態を示すフローチャートである。
【図2】図2は、本発明の実施形態を実装するためのコンピュータシステムのブロック図である。
【図3】図3は、移動速度を計算するために有用な本発明の一実施形態を示す。
【図4】図4は、移動速度を計算するために有用な本発明の別の実施形態を示す。
【図5】図5は、ユーザーの移動速度を計算するために有用な本発明の一実施形態を示す。
【図6】図6は、移動速度を利用して不正な商取引を判定するために有用な本発明の一実施形態を示す。
【図7】図7は、商取引の頻度を利用して不正な商取引を判定するために有用な本発明の一実施形態を示す。
【図8】図8は、本発明の様々な実施形態を実行するために使用され得る、コンピュータシステムの論理的概略図を表す。
【図9】図9は、本発明の一実施形態において、インターネットへ接続されるコンピュータの配置を論理的に示す。
【技術分野】
【0001】
(関連出願の引用)
本PCT出願は、「Fraud Risk Adviser」と題される米国特許出願第11/209,885号(2005年8月23日出願)に対する優先権を主張し、該米国特許出願は、「Fraud Risk Adviser」と題される米国特許出願第10/943,454号(2004年9月17日出願)に対する優先権を主張し、上記各出願はその全体が本明細書において参考として援用される。
【0002】
(技術分野)
本発明はオンラインでの不正な商取引を検知するための技術に関する。本発明は、商取引が不正であるかを判定するために、エンドユーザーに関連するIPアドレスおよび多数の要素を受信することが可能な不正エンジンを動作するための方法、システム、およびコンピュータプログラム製品を提供する。
【0003】
本発明はまた、二つのアクセスロケーションの間の移動速度を計算し、二つのロケーションの間のユーザーの移動速度に基づき、商取引が不正であるかを判定し、および商取引の頻度に基づき、商取引が不正であるかを判定するための方法、システム、およびコンピュータプログラム製品に関する。
【背景技術】
【0004】
インターネットにおける身元を隠すことの容易さは、金融サービス業にとって「顧客を知れ」というスローガンをオンラインの世界で実行することを困難にしている。2003年だけで、インターネット関連の不正が、連邦取引委員会による全ての不正の報告の55%を占め、前年から約45%上昇している。金融サービス業がオンラインでより多くの顧客に満足なサービスの提供を続けるためには、安全で確実な環境を作ることが最優先事項となっている。したがって、ユーザーのIPアドレスを利用するオンラインでの不正な商取引を検知し、防止するための方法、システム、およびコンピュータプログラム製品に対するニーズおよび要望がある。
【発明の開示】
【課題を解決するための手段】
【0005】
本発明は、オンラインでの不正商取引を判定するための方法、システム、およびコンピュータプログラム製品(便宜上、以下では、「方法」または「複数の方法」)を提供する。一実施形態において、エンドユーザーは特定の商取引に関するパラメータおよびルールをシステムに入力する。特定の商取引に関するパラメータ、ルール、および他の情報に基づき、システムは、商取引が不正である可能性に関連するスコアを計算する。スコアは、エンドユーザーによって設定され得る様々な閾値と比較される。スコアが閾値を超えた場合には、商取引は不正であると判定される。商取引に関するデータはまた、エンドユーザーへ出力される。再検討のうえで、エンドユーザーは所定の商取引の不正な状態を変更し得る。
【0006】
本発明の別の実施形態は、第1アクセスロケーションと第2アクセスロケーションとの間の移動速度を計算し、商取引が不正であるかを判定するために移動速度を利用し、また、計算された商取引の頻度に基づき商取引が不正であるかを判定するための方法を提供する。
【0007】
携帯電話、携帯端末、ワイヤレスの通信デバイス、パーソナルコンピュータ、または本発明の実施形態を実行するために特に設計された専用のハードウエアデバイスを含む様々なデバイスが、本発明のシステム、方法、またはコンピュータプログラム製品を実行するために使用され得ることは当業者には明らかである。
【0008】
明示的に述べられている場合を除いては、本明細書で述べられる任意の方法または実施形態は、そのステップが特定の順番で行われることを要求するとして解釈されることを、まったく意図されていない。したがって、方法、システム、またはコンピュータプログラム製品に関する請求項が、ステップが特定の順序に制限されるべきであると請求項または記述において特別に述べていない場合には、いかなる観点においても、順序が推定されることはまったく意図されていない。このことは、ステップまたは動作の流れの配置に関する論理の問題、文法上の構成または句読法から得られる明白な意味、または本明細書で述べられる実施形態の数またはタイプを含む、任意の考えられる表現されていない解釈の根拠に当てはまる。
【発明を実施するための最良の形態】
【0009】
本発明の上述および他の利点および特徴は、添付の図面を参照して以下に与えられる本発明の例示的な実施形態の詳細な記述からさらに明らかになり得る。
【0010】
以下に続く詳細な記述において、本明細書の一部を形成し、本発明が行われ得る特定の実施形態の説明として示される添付の図面が参照される。これらの実施形態は、当業者が本発明を実行することが可能であるように十分に詳細に記述される。他の実施形態が利用され得ることが理解されるべきであり、構造的、論理的およびプログラミング上の変更が、本発明の精神および範囲を逸脱することなく、行われ得ることが理解されるべきである。
【0011】
本発明の方法、システム、およびコンピュータプログラム製品が開示され、記述される前に、本発明は、特定の方法、特定のコンポーネント、または特定の構成に限定されず、それ自体はもちろん変化し得ることが理解されるべきである。本明細書で使用される用語は、特定の実施形態を示すことのみを目的とし、限定することを意図していない。
【0012】
本明細書および特許請求の範囲で使用されるように、文脈が明らかにそうではないと述べていない場合には、単数形の「一つ」「一つの」および「その」は複数形への言及を含む。従って例えば、「一つのエンコーダ」への言及は複数のエンコーダの混在を含み、「一つのエンコーダ」への言及は二つ以上のそのようなエンコーダの混在を含み、他も同様である。
【0013】
「リスク要素」の用語は、商取引と関連するある程度のレベルのリスクを有する商取引で使用される任意の要素を含む。
【0014】
「静的リスク要素」の用語は、実行時間において変化しない任意の要素を含む。
【0015】
「動的リスク要素」の用語は、実行時間において計算される値を有する任意の要素を含む。
【0016】
「リスク値」の用語は、要素と関連する任意の数を含む。
【0017】
「リスクウェート」の用語は、要素のリスク値がリスクスコアの結果にどの程度影響するのかを判定する任意の数を含む。
【0018】
「ルール」の用語は、ブール論理をリスク値へ適用する任意の条件文を含む。
【0019】
「リスクスコア」の用語は、リスク値、およびリスクウェートの計算結果またはリスクスコアを直接的に設定するルールに基づく、リスク値の任意の集合を含む。
【0020】
「オンライン不正緩和エンジン」(OFME)の用語は、複数の要素に加えIPアドレスを受取り、それにより商取引が不正であるかどうかを判定するために使用され得る所定の商取引のために、リスクスコアを形成する本発明の任意のコンポーネントを含む。
【0021】
「商取引」の用語は、オンラインによる銀行預金口座へのアクセス、クレジットカードによる商取引、オンラインにより手形払い、電信送金、株取引、個人情報を使用する商取引、などのような任意のタイプのオンライン活動を含む。
【0022】
「商取引識別子」の用語は、特定のリスクスコアモデルを識別するシステム生成された任意の一意的な数を含む。
【0023】
「リスクスコアモデル」の用語は、論理ルールの任意の組、適用可能な静的および動的な要素、要素のためのリスクウェート、不正スコアアルゴリズム、リスクコードの閾値、および不正な商取引を識別するために使用されるリーズンコード含む。
【0024】
「ユーザー」または「クライアント」の用語は、一人以上の人間、一つ以上の存在、または一つ以上のコンピュータを含む。
【0025】
「方法」「システム」および「コンピュータプログラム製品」の用語は、本発明の例示的な実施形態の中で互換的に使用され得る。
【0026】
本発明の方法は、本発明の様々な実施形態を実行するためにプログラムされたプロセッサを使用して実行され得る。図8は、様々な実施形態を行うための例示的な動作環境を示すブロック図である。この例示的な動作環境は動作環境の単なる一例であり、動作環境アーキテクチャの使用または機能目的の範囲に関してどのような制限も示す意図はない。動作環境はまた、例示的な動作環境の中に示される任意の一つのコンポーネントまたはコンポーネントの任意の組合せに関連する、なんらかの依存性または要求性を有するとして解釈されるべきではない。
【0027】
本方法は、多数の他の一般的な目的および特別の目的の計算システムの動作環境または構成とともに動作可能である。本方法と共に使用するのに適切であり得る、周知の計算システム、動作環境、および/または構成の例は、パーソナルコンピュータ、サーバーコンピュータ、ラップトップデバイス、およびマルチプロセッサシステムを含むが、それらに限定されない。追加の例としては、セットトップボックス、プログラム可能な家庭用電子機器、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ、任意の上記システムまたはデバイスを含む分散型の計算動作環境、および同様のものを含む。
【0028】
本方法は、コンピュータによって実行される、プログラムモジュールのようなコンピュータ命令の一般的なコンテクストで示され得る。一般的には、プログラムモジュールは、特定のタスクを行い、または特定の抽象データの型を実装する、ルーチン、プログラム、オブジェクト、コンポーネント、データ構造を含む。本方法はまた、コミュニケーションネットワークを介してリンクされた遠隔処理デバイスによってタスクが行われる、分散型の計算動作環境において行われ得る。分散型の計算動作環境において、プログラムモジュールは、ローカルおよび遠隔の両方の、メモリ記憶デバイスを含むコンピュータ記憶メディアに配置され得る。
【0029】
本明細書で開示される方法は、コンピュータ801の形の汎用の目的の計算デバイスを通じて実装され得る。コンピュータ801のコンポーネントは、一つ以上のプロセッサまたは処理ユニット803、システムメモリ812、およびプロセッサ803を含む様々なシステムコンポーネントをシステムメモリ812へ結合するシステムバス813を含み得るが、それらに限定されない。
【0030】
図8のプロセッサ803は、Intel Corporationによって製造されるPENTIUM(登録商標) IV、またはAdvanced Micro Devices Corporationによって製造されるATHLON64プロセッサを含む、x−86互換プロセッサであり得る。Apple、IBMまたはNECによって製造されるプロセッサを含む、他の命令セットを使用するプロセッサがまた使用され得る。
【0031】
システムバス813は、メモリバスまたはメモリコントローラ、周辺のバス、加速グラフィックポート、および様々な任意のバスアーキテクチャを使用するプロセッサまたはローカルバスを含む、一つ以上の複数の考えられるタイプのバス構造を示す。例として、そのようなアーキテクチャは、Industry Standard Architecture(ISA)バス、Micro Channel Architecture(MCA)バス、強化ISA(EISA)バス、Video Electronics Standards Association(VESA)ローカルバス、およびMezzanineバスとしてもまた公知のPeripheral Component Interconnects(PCI)バスを含み得る。このバス、およびこの記述で述べられる全てのバスはまた、有線またはワイヤレスのネットワーク接続によって実装され得る。バス813、およびこの記述で述べられる全てのバスはまた、有線またはワイヤレスのネットワーク接続によって実装され得、プロセッサ803、大容量記憶デバイス804、オペレイティングシステム805、アプリケーションソフトウエア806、データ807、ネットワークアダプタ808、システムメモリ812、入力/出力インターフェイス810、ディスプレイアダプタ809、ディスプレイデバイス811、および人と機械のインターフェイス802を含む各サブシステムは、物理的に離れた位置にあり、この形のバスを介して接続され、完全に分散型のシステムを効果的に実装する、一つ以上の遠隔計算デバイス814a、814b、814cの中に含まれ得る。
【0032】
図8のオペレイティングシステム805は、MICROSOFT WINDOWS(登録商標) XP、WINDOWS(登録商標)2000、WINDOWS(登録商標) NT、またはWINDOWS(登録商標) 98、およびREDHAT LINUX、FREE BSD、またはSUN MICROSYSTEMS SOLARISのようなオペレイティングシステムを含む。さらに、アプリケーションソフトウエア806は、ユーザーがディスプレイデバイス811でHTML、SGML、XML、または任意の他の適切に構築された文書言語を見ることを可能にする、MICROSOFT INTERNET EXPLORERまたはMOZILLA FIREFOXのようなウェブブラジングソフトウェアを含み得る。
【0033】
コンピュータ801は、一般的にはコンピュータで読み取り可能な様々なメディアを含む。そのようなメディアは、コンピュータ801によってアクセス可能であり、揮発性および不揮発性のメディアの両方、取り外し可能および取り外し不可能なメディアの両方を含む任意の利用可能なメディアであり得る。システムメモリ812は、ランダムアクセスメモリ(RAM)のような揮発性のメモリ、および/または読出し専用メモリ(ROM)のような不揮発性のメモリの形式の、コンピュータで読出し可能なメディアを含む。システムメモリ812は、一般的にはデータ807のようなデータおよび/または処理ユニット803によって現在アクセス可能なおよび/または直ちに操作されている、オペレイティングシステム805およびアプリケーションソフトウエア806のようなプログラムモジュールを含む。
【0034】
コンピュータ801はまた、取り外し可能/取り外し不可能な、揮発性/不揮発性のコンピュータ記憶メディアを含み得る。例として、図8は、コンピュータコード、コンピュータで読出し可能な命令、データ構造、プログラムモジュール、およびコンピュータ801に関する他のデータの不揮発性の記憶を提供し得る大容量記憶デバイス804を示す。例えば、大容量記憶デバイス804は、ハードディスク、取り外し可能な磁気ディスク、取り外し可能な光ディスク、磁気カセットまたは他の磁気記憶デバイス、フラッシュメモリカード、CD−ROM、デジタル多目的ディスク(DVD)またはたの光記憶装置、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、電気的に消去可能なプログラマブル読出し専用メモリ(EEPROM)、などであり得る。
【0035】
任意の数のプログラムモジュールは、例としてオペレイティングシステム805およびアプリケーションソフトウエア806を含む大容量記憶デバイス804に記憶され得る。オペレイティングシステム805およびアプリケーションソフトウエア806(またはそれらのある組合せ)のそれぞれは、プログラミングの要素およびアプリケーションソフトウエア806を含み得る。データ807はまた大容量記憶デバイス804に記憶され得る。データ804は、当該分野で公知の一つ以上の任意のデータベースに記憶され得る。そのようなデータベースの例は、DB2(登録商標)、Microsoft(登録商標) Access、Microsoft(登録商標)SQL Server、Oracle(登録商標)、mySQL、PostgreSQL、などを含む。データベースは集中して置かれ得、または複数のシステムに分散され得る。
【0036】
ユーザーは、入力デバイス(示されていない)を介して、コンピュータ801に命令および情報を入力し得る。そのような入力デバイスの例は、キーボード、ポインティングデバイス(例えば「マウス」)、マイクロフォン、ジョイスティック、シリアルポート、スキャナーなどを含むが、それらに限定されない。これらのおよび他の入力デバイスは、システムバス813に結合される人と機械のインターフェイス802を介して処理ユニット803に接続され得るが、パラレルポート、シリアルポート、ゲームポート、またはユニバーサルシリアルバス(USB)のような他のインターフェイスおよびバス構造によって接続され得る。
【0037】
ディスプレイデバイス811はまた、ディスプレイアダプタ809のようなインターフェイスを介してシステムバス813へ接続され得る。例えば、ディスプレイデバイスは、ブラウン管(CRT)モニターまたは液晶ディスプレイ(LCD)であり得る。ディスプレイデバイス811に加え、他の出力周辺デバイスは、入力/出力インターフェイス810を介してコンピュータ801へ接続され得る、スピーカー(示されていない)およびプリンター(示されていない)のようなコンポーネントを含み得る。
【0038】
コンピュータ801は、ネットワークされた動作環境において、一つ以上の遠隔計算デバイス814a、814b、814cへの論理接続を使用して、動作し得る。例として、遠隔計算デバイスは、パーソナルコンピュータ、ポータブルコンピュータ、サーバー、ルーター、ネットワークコンピュータ、ピアーデバイスまたは他の共通ネットワークノードなどであり得る。コンピュータ801と遠隔計算デバイス814a、814b、814cとの間の論理接続は、ローカルエリアネットワーク(LAN)および一般的な広域ネットワーク(WAN)を介して行われ得る。そのようなネットワーク接続は、ネットワークアダプタを介してであり得る。ネットワークアダプタ808は、有線およびワイヤレスの動作環境で実装され得る。そのようなネットワークの動作環境は、オフィス、企業全体のコンピュータネットワーク、イントラネット、およびインターネット815でよく見られるものである。
【0039】
説明の目的のために、アプリケーションプログラム、およびオペレイティングシステム805のような他の実行可能なプログラムコンポーネントは、本明細書で別個のブロックとして示されているが、しかしながらそのようなプログラムおよびコンポーネントは、様々な時に計算デバイス801の異なる記憶コンポーネントに存在し、コンピュータのデータプロセッサによって実行されることが理解される。アプリケーションソフトウエア806の実装は、コンピュータで読出し可能なメディアの一部のフォームに記憶され得、その間で伝達され得る。開示された方法の実装はまた、コンピュータで読出し可能な一部のフォームに記憶され得、その間で伝達され得る。コンピュータで読出し可能なメディアは、コンピュータによってアクセスされ得る任意の利用可能なメディアであり得る。限定ではなく例として、コンピュータで読出し可能なメディアは、「コンピュータ記憶メディア」および「伝達メディア」を含み得る。「コンピュータ記憶メディア」は、コンピュータ読出し可能命令、データ構造、プログラムモジュール、または他のデータのような情報を記憶するための任意の方法または技術において実装される、揮発性および不揮発性、取り外し可能および取り外し不可能なメディアを含む。コンピュータ記憶メディアは、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CD−ROM、デジタル多目的ディスク(DVD)または他の光記憶装置、磁気カセット、磁気テープ、磁気ディスク記憶装置または他の磁気記憶デバイス、または所望の情報を記憶するために使用され得る、およびコンピュータによってアクセスされ得る、任意の他のメディアを含むが、それらに限定されない。
【0040】
図9は、本発明の一つの実施形態であるインターネット815の論理概観を示す。例えば、図8に示される遠隔計算デバイス814a、814b、814cのような一つ以上のクライアントコンピュータ801は、901−1、901−2、901−3として示されるようにインターネット815に接続され得る。さらに、801で示されるタイプの一つ以上のコンピュータ902−1、902−2、および902−3は、HTTP要請によるウェブページ、データベースアクセス、遠隔ターミナルサービス、デジタルファイルのダウンロードまたはアップロード、または任意の他の所望のサービスを提供するサーバーとしての役割を行い得る。さらに、901−1のような一つ以上のクライアントコンピュータは、インターネットでアクセス可能なサーバーコンピュータ902−1としての役割を行い得、またその逆もあり得る。
【0041】
(オンライン不正緩和エンジン)
図1は、本発明に従ったオンラインによる不正商取引の判定を行うためのステップを示すフローチャートである。ステップ105において、入力パラメータが、例えば銀行のようなエンドユーザーによってOFMEに入力される。OFMEは、選択されたリスクスコアモデルに関するランタイム環境を提供する。OFMEは、例えば商取引識別子、IPアドレス、データ/タイムスタンプ、固有の識別子および処理のための多数の静的要素のような入力パラメータを受信するためのルールに基づくエンジンを提供する。引き続いてOFMEは、例えばNetAcuityサーバーからのインターネットのユーザーのロケーションのような、インターネットのユーザーのIPアドレスに関する適切な情報を取り出す。NetAcuityサーバーの操作は、米国特許出願第09/832,959号の中で説明されており、該出願は本出願の譲受人に対して同一人に譲渡され、かつ該出願はその全体が本明細書において参考として援用される。
【0042】
所定のインターネットベースの商取引に関連する固有の商取引識別子は、所定の商取引のためにどのリスクスコアモデルが使用されるべきかを判定するために、OFMEによって使用される。詐欺リスクアドバイザーは、追跡目的のために固有の識別子を使用する。その結果は、データベースに記憶される。
【0043】
追加の入力パラメータは、エンドユーザーに供給されたデータを用いて、OFMEに入力され得る。例えば、エンドユーザーは、判定過程においてOFMEによって使用され得るホットファイル、疑わしいIPリストなどを使用し得る。いったん、OFMEが特定の入力パラメータを受信すると、不正リスクアドバイザーはステップ112へ進む。ステップ112において、エンドユーザーは、特定の判定をするために使用されるように、標準リスクスコアモデルの組またはエンドユーザーが定めるリスクスコアモデルの組から選択する。
【0044】
OFMEが適切なリスクスコアモデルをロードした後、本発明は、OFMEが所定の要素の組を評価し、各所定の要素に関するリスク値を判定するステップ114へ進む。いったん、リスク値がOFMEと関連する各要素に関して判定されると、本発明は、OFMEが所定のルールの組を評価し、リスクスコアを判定するステップ116へ進む。
【0045】
リスクスコアがルールマッチによって判定されているときには、本発明は、合計のリスクスコアを判定するために、OFMEがリスクスコアアルゴリズムを実行するステップ118へ進む。OFMEは、合計のリスクスコアを判定するために、オプションの静的リスクスコアと共に、ルール評価からの基準リスク値を使用する。例えば、ルールに基づくリスクスコアは、0と1000との間の値を割り当てられ得る。リスクスコア0は非常に不正なものであるとして理解される商取引に割り当てられ得、一方、リスクスコア1000は、低い不正の危険性を有すると理解されるスコアに割り当てられ得る。
【0046】
ステップ118で計算されるリスクスコアおよびエンドユーザーによって定義される閾値の制限に従って、OFMEはステップ120へ進むか、ステップ122へ進むかを判定する。スコアが所定の閾値レベルを超える場合には、その商取引は不正なものであるとして判定されるので、OFMEは、ステップ120へ進む。従って、その商取引は、各要素値および各要素値に関するリーズンコードに関してさらに再審査をするために、フラグ付けされ、エンドユーザーへ転送される。スコアが所定の閾値の制限の範囲内である場合には、商取引は有効なものとして判定されるので、OFMEはステップ122へ進む。
【0047】
ステップ130において、エンドユーザーは懸案の商取引に関して、OFMEから出力を受信する。商取引がOFMEによって不正であると判定される場合には、エンドユーザーは、商取引に関する要素値およびリーズンコードを含む結果をOFMEから受信する。さらに、たとえ商取引が有効だと考えられる場合あっても、OFMEは、データベースの中にある商取引に関しては、本発明のリアルタイムの統計値を更新し得、例えばIPアドレスのような関連する全てのデータを記憶し得る。記憶されたデータは、リスクスコアモデルのリスクウェートを更新し、または特定の要素または特定のルールを削除するための、分析目的と共に、報告目的との両方で使用される。エンドユーザーはOFMEの結果を無効にすることができ、有効であると判定された商取引に疑わしいとフラグ付けし得、または疑わしい商取引を有効と判断し得る。
【0048】
図2は、本発明において使用され得る例示的な処理システム200を示す。システム200は、エンドユーザーがパラメータ、ルール、およびユーザーが定めた関数をOFME202へ入力し得るユーザーインターフェイス220を含む。ユーザーインターフェイス220は複数のユーザーインターフェイスを備え得る。ユーザーインターフェイス220はまた、特定の商取引に関する出力データをOFME202から受信する。ユーザーインターフェイス220は、グラフィックベースまたはウェブベースであり得、または任意の他の適切な入力メカニズムを使用し得る。
【0049】
いったん、OFME202が、ユーザーインターフェイス220からデータを受信すると、OFME202は、このデータと関連する情報を、例えばNetAcuityサーバー206、確認サーバー204、および行動追跡データベース208から取得する。確認サーバー204は、所定の商取引のためにエンドユーザーによって供給される電子メールアドレスおよびエリアコードを確認する。
【0050】
行動追跡データベース208は、現在のインターネットベースの商取引がインターネットユーザーの通常の行動と一致しているかどうかを判定するために、エンドユーザーによって提供される、所定のインターネットユーザーに関連する固有の識別子を使用する。この固有の識別子は検索可能な行動追跡データベース208に記憶される。インターネットユーザーがインターネットベースの商取引を行うときには、行動追跡データベース208が検索され、ISPおよびドメインと共に、固有の識別子と共にまた記憶されている地理的なデータが、もし可能であれば、引き出される。この情報は、現在懸案のインターネットベースの商取引についての現在のIPアドレスに関連する、地理的なデータ、ISPおよびドメイン情報と比較される。比較の結果つまりアクセス行動要素が、現在懸案のインターネットベースの商取引が不正であるかを判定するために使用される。アクセス行動の違反が判定される場合には、自動化された問い掛け/応答が、リアルタイムでアカウントにアクセスしているインターネットユーザーを確認するために使用され得る。インターネットユーザーに関する行動追跡データベース208の中で利用可能な現在のアドレスに関する履歴がない場合には、現在の地理的なデータ、ISPおよび現在のIPアドレスに関連するドメイン情報が、行動追跡データベース208へ追加される。従って、インターネットユーザーがアカウントを作成しているときには、アクセス行動は不正検出の要素として使用され得ない。
【0051】
インターネットユーザーに割り当てられた固有の識別子は、複数のアクセス行動を記憶し得る。さらに、インターネットユーザーは、例えば長距離の旅行、住所の変更などのためにアクセス行動を変化させ得るので、エンドユーザーはOFME202から返送されたアクセス行動違反を無効にし得る。
【0052】
OFME202は、所定の商取引と関連するリスクスコアを判定するために、ユーザーインターフェイス220、NetAcuity サーバー206、確認サーバー204および行動追跡データベース208によって提供される情報を使用する。いったん、OFME202がリスクスコアを計算すると、リスクスコアは商取引に関する任意の関連情報と共に、行動追跡データベース208、リアルタイム統計データベース212、ユーザーインターフェイス220、およびOFMEデータ記憶データベース210へ送信される。
【0053】
一実施形態において、OFMEデータ記憶データベース210は、長期記憶のためにOFME202から受信したデータをOFME出力ウェアハウス記憶装置218へ転送し得る。さらに、OFMEデータ記憶データベース210はOFME202から受信したデータを、処理およびユーザーインターフェイス220へ出力するために、報告サブシステム214およびフォレンシックス(Forensics)サブシステム216の両方へ転送し得る。
【0054】
フォレンシックスサブシステム216は、リスクスコアモデルを作動させることによって生成される情報を探索する能力を、エンドユーザーへを提供する。このようにして、エンドユーザーは、なぜ商取引が疑わしいと考えられたのか、またはなぜ商取引が疑わしいと考えられなかったのかを判定し得る。報告サブシステム214は、例えば疑わしいものとしてフラグ付けされた商取引の数のような、様々な報告をエンドユーザーへ提供する。
【0055】
(移動速度の計算)
本発明の一実施形態において、第1IPアドレスおよび第2IPアドレスを使用して、第1アクセスポイントと第2アクセスポイントとの間の移動速度を計算するための方法が提供される。移動速度を計算することは、不正な商取引を判定すること、ネットワーク分析、ユーザープロファイリング、ユーザーアカウントの確認および追跡、ネットワークアクセスプロバイダーの分析、および広告を含む、いくつかの実用的な用途を有する。移動速度はまた、不正な商取引を判定するためにOFME202によって使用される要素であり得る。
【0056】
図3は、移動速度を計算するのに有用な、本発明の一実施形態を示す。第一に、第1アクセスロケーションは、第1インターネットプロトコル(「IP」)アドレスに基づき決定され得る301。第2に、第1アクセス時間が決定される302。第3に、第2アクセスロケーションが、第2アドレスに基づき決定される303。第4に、第2アクセス時間が決定される304。最後に、第1アクセスロケーションと第2アクセスロケーションとの間の移動速度が、第1アクセスロケーション301および第1アクセス時間302、および第2アクセスロケーション303および第2アクセス時間304の関数として、計算される。
【0057】
移動速度を計算するために有用な、本発明のさらなる実施形態は、図4に論理的に示されている。図4の実施形態は、図3のステップ305から継続しているが、特定の順序のステップが明白にまたは暗示的に要求されるのではない。この実施形態において、第1アクセスロケーション301と第2アクセスロケーション303との間の距離が計算される401。第2に、時間差が、第1アクセス時間302と第2アクセス時間304との間で計算される402。第3に、移動速度が、計算された時間差402によって計算された距離401を割り算することによって、第1アクセスロケーション301と第2アクセスロケーション303との間で計算される403。
【0058】
単なる説明の目的であるが、図4の実施形態によって、第1IPアドレスは24.131.36.54であり、第1アクセス時間302が東部標準時1:00PMであることを仮定する。NetAcuityサーバーによって提供される方法のような、IPアドレスに対応する位置を判定するための方法が、第1IPアドレスがアメリカ、ジョージア州アトランタの第1ロケーション301に対応することを判定するために使用される。次に、144.214.5.246である第2IPアドレスが提供され、第2アクセス時間304が東部標準時1:05PMである。再び、方法が使用され、144.214.5.246が中国、香港の第2アクセスロケーション303に対応することを判定する。
【0059】
次に、アトランタの第1アクセスロケーション301と香港の第2アクセスロケーション303との間の距離が、約8405マイルであると計算される401。東部標準時1:00PMの第1アクセス時間302と東部標準時1:05PMの第2アクセス時間304との間の計算された時間差402は5分である。8405マイルである計算された距離401は5分の時間差402で割り算して、8405マイル/5分、つまり時速100,860マイルの移動速度403を計算し、その速度は疑わしいほどに高速である。
【0060】
(ユーザーの移動速度の計算)
本発明の一実施形態において、第1IPアドレスおよび第2IPアドレスを使用して、第1アクセスロケーションと第2アクセスロケーションとの間のユーザーの移動速度を計算するための方法が提供される。ユーザーの移動速度を計算することは、不正の商取引を判定すること、ネットワーク分析、ユーザープロファイリング、ユーザーのアカウント確認および追跡、ネットワークアクセスプロバイダーの分析、および広告を含む、いくつかの実用的な用途を含む。ユーザーの移動速度はまた、不正の商取引を判定するために、OFME202によって利用される要素であり得る。
【0061】
図5は、ユーザーの移動速度を計算するために有用な、本発明の一実施形態を示す。第1に、第1アクセスロケーション501がユーザーに対して決定される。第1アクセスロケーション501は、第1アクセスロケーション501を決定するためにユーザーのIPアドレスを使用すること、ユーザーの行動プロファイルから第1アクセス位置501を検索すること、またはユーザー提供の第1アクセス位置501を使用することによるなどの、様々な方法で決定され得る。
【0062】
第2に、第1アクセス時間502がユーザーに対して決定される。第2アクセスロケーションが、ユーザーのIPアドレスに基づきユーザーに対して決定される503。第4に、第2アクセス時間がユーザーに対して決定される504。次いで本実施形態の方法は、第1アクセスロケーション501と第2アクセスロケーション503との間のユーザーの移動速度505を計算する。ユーザーの移動速度は、図4で具体化される方法を含む様々な方法を使用して計算され得る。
【0063】
図5に基づくさらなる実施形態において、第1アクセスロケーション501および第1アクセス時間502は、ユーザーと関連する行動プロファイルから判定される。他の実施形態において、第1アクセスロケーション501は、ユーザーの最後の有効なアクセスロケーションに基づき判定され得る。別の実施形態において、第2アクセスロケーション503および第2アクセス時間504は、ユーザーの現在のアクセスロケーションおよび現在のアクセス時間である。
【0064】
(不正商取引の判定)
本発明の一実施形態において、ユーザーの移動速度を不正要素として使用することによって、商取引が不正であるかを判定するための方法が提供される。ユーザーの移動速度に基づき商取引が不正であるかを判定することは、識別番号の盗用、電子メールのフィッシング、ハッキング、スパイウエア、Trojansなどから生じ得る、オンラインでの個人情報の窃盗および使用を抑制し防止するようないくつかの実用的な用途を有する。同様に、商取引が正当なものかを判定するために、同じ方法が使用され得る。
【0065】
ユーザーの移動速度に基づき、商取引が不正であるかを判定するための方法の一実施形態が、図6に示される。第一に、ユーザーの移動速度が、第1アクセスロケーションと第2アクセスロケーションとの間で計算される601。ユーザーの移動速度を計算するための一実施形態が、図5のステップ501からステップ505で提供される。移動速度を計算するための他の方法はまた、図6の実施形態で使用され得る。本明細書に含まれる不正な商取引を判定するための様々な実施形態は、OFME202を使用し得る。
【0066】
行動プロファイルは、商取引が不正であるかを判定するために、図6の実施形態および他の実施形態において利用され得る。例えば、アクセスロケーション、アクセス時間、IPアドレス、地理的なロケーション、エリアコード、電話番号、電子メールアドレス、商取引の頻度、および他の要素が、行動プロファイルへ記憶され得る。一つ以上の要素に対応する一つ以上の変数が永続的に記憶されることが可能なので、行動プロファイルは有用であり、実施形態が第1アクセスロケーションと第2アクセスロケーションとの間の移動速度および不正の可能性を判定するだけではなく、複数のアクセス位置、アクセス時間、IPアドレス、などにわたって不正活動のパターンを判定することを可能にする。行動プロファイルは、図2の実施形態における行動追跡データベース208のようなデータベースに記憶され得る。
【0067】
第2に、図6の方法は、ユーザーのIPアドレスに基づく一つ以上の追加の要素が計算され得るかを判定する。ユーザーの移動速度は601で計算されることを要するのみであるが、ユーザーのIPアドレスに基づく要素を含む追加の要素が、様々な実施形態において使用され得る。計算された追加の要素603のタイプおよび数は、不正な商取引の判定を最適化するために、異なる実施形態の間で変化し得る。
【0068】
追加の要素が残っている602と判定された場合には、追加の要素が計算される603。次に、計算される要素がなくなるまで、図6の方法は残っている追加の要素を判定602し、計算603し、図6の方法をステップ604へ進める。
【0069】
図6の実施形態に基づく一実施形態において、計算された追加の要素603は、ユーザーのIPアドレスに関連する国、地域、または都市を含む。図6の実施形態を拡張する別の実施形態において、計算された要素603は、IPアドレスと関連するユーザーがいると思われる位置と比較すると、ユーザーの近くであり得る。計算された要素603はまた、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal 1(T1)、またはOptical Carrier(OC3)のようなユーザーの接続タイプを含み得る。要素603はまた、個人ネットワークのエンドポイント、企業ネットワークのエンドポイント、個人または企業のプロクシ、個人または企業のファイヤーウォール、などのようなホストのタイプを含み得る。
【0070】
図6の実施形態を拡張する追加の実施形態は、IPアドレスと関連するアドレスと比較するためにクライアントによって提供されるアドレス、データベースに記憶されるクライアントに関連するエリアコードおよび電話番号と比較するためにクライアントによって提供されるエリアコードおよび電話番号、またはクライアントによって提供される電子メールアドレスを含む、ユーザーによって提供される要素を利用し得る。ユーザー提供の要素はユーザーによって直接的に提供されるので、本実施形態はユーザー提供の要素は正確であるとみなし、それは本発明のさまざまな実施形態において有用である。
【0071】
さらなる要素が図6の実施形態によって利用され得、その要素は、現在の商取引と比較される、データベースに記憶された商取引習慣に基づくユーザーと関連するアクセス行動などである。要素はまた、所定の時間の範囲内で、商取引が試みられまたは実行される頻度、または単一のIPアドレスが特定の時間の範囲内に、複数の固有の識別子へアクセスしまたは複数の固有の識別子を使用する速度を備え得る。
【0072】
図6のさらなる実施形態において、クライアントは603で計算される要素の判定に参加し得る。例えば、一実施形態において、クライアントはひとつ以上の要素に対する閾値レベルを割り当て得る。クライアントはまた、一つ以上のユーザー定義の要素を生成し得、クライアントはまた、一つ以上の要素に対する拘束ルールを定義し得る。ユーザーが要素を判定し、要素に対する閾値レベルおよび要素に対する拘束ルールを割り当てることを可能にすることは、図6の方法が、商取引がユーザーにあつらえられた(tailored)方法において不正であるかを適切に判定することを可能にする。
【0073】
次に、図6の実施形態において、本方法は、ユーザーの移動速度および上記のようなゼロ以上の追加の要素に基づき、商取引が不正であるかを判定する。商取引が不正であるまたは妥当であるという判定604は、図6の方法の特定の実装に基づき、リアルタイムで、ほぼリアルタイムで、またはリアルタイムではなく起こり得る。ユーザーの移動速度は、不正の商取引を判定するためにOFME202によって利用される要素であり得、行動追跡データベース208の中に備わる行動プロファイルに記憶され得る。
【0074】
(商取引の頻度)
本発明の一つの実施形態において、計算された商取引の頻度を使用することによって、商取引が不正であるかを判定するための、方法が提供される。高い頻度の商取引は、例えば、ユーザーの個人情報が盗まれ、ユーザーの個人情報を使用して複数のオンラインでの不正購入を行おうと意図する一人以上の個人へ配信されるような場合に有用であり得る。高い頻度の商取引は、特定の商取引が同じIPアドレスから所定の時間の範囲内で繰り返し試みられる不正取引を示し得る。
【0075】
同様に、同じまたは同様の商取引が複数回にわたり試みられまたは実行され、および単一のIPアドレスによってまたは単一のIPアドレスにおいて受信される場合には、商取引は不正であり得る。例えば、ある個人のクレジットカード情報が盗まれ、特定のIPアドレスにおいて電子商取引サービスを営業する特定のオンラインの小売業者において不正な購入を行うために、その情報を利用しようと意図する人の一団に配信されることを想定する。本発明の一実施形態に従って、複数のIPアドレスが、電子商取引サーバーのアドレスのような単一のIPアドレスで受信される商取引を試みまたは実行する頻度が、商取引が不正であることを示し得る。さらなる実施形態において、移動速度またはユーザープロファイルから検索されたアクセス行動のような上記の要素は、不正な商取引を判定するために組み込まれ得る。
【0076】
商取引の頻度に基づき商取引が不正であるかを判定することは、識別番号の盗用、電子メールのフィッシング、ハッキング、スパイウエア、Trojansなどから生じ得るオンラインでの個人情報の窃盗および使用を抑制し、防止するようないくつかの実用的な用途を有する。同様に、商取引が妥当であるかを判定するために、同じ方法が使用され得る。図7に示される実施形態は、不正な商取引を判定するために、商取引の頻度を利用する一つの方法を提供する。
【0077】
第1に、図7の実施形態において、第1IPアドレスから所定の時間の範囲内に商取引が試みられた頻度が計算される。例えば、第1IPアドレスから発生したオンラインで購入を行う商取引が、1時間以内に100回試みられまたは実行された場合には、図7の実施形態は、計算された商取引頻度701に基づき商取引が不正であると判定し得る702。
【0078】
商取引の頻度701は、商取引が試みられまたは実行された回数をそれらの商取引が試みられまたは実行された時間で割り算することなどを含む様々な方法で計算され得る。商取引頻度はまた、図2の実施形態のOFME202によって利用される要素であり得、同様に図2の行動追跡データベース208に備わる行動プロファイルに記憶され得る。
【0079】
別の実施形態における商取引頻度は、不正検出の精度を高めるために、IPアドレスのホストタイプまたは他の要素と共に組み合され得る。例えば、図7の実施形態を拡張して、一つ以上の商取引が、1時間以内に100回、一つのIPアドレスから試みられたと想定する。他の情報がなければ、一つのIPアドレスから1時間に100回の試みという商取引頻度は、不正な商取引を示し得る。しかしながら、IPアドレスが、複数のユーザーにインターネットアクセスを提供するネットワークプロクシまたはファイヤーウォールを示す場合には、1時間に100回の試みは、実際に不正らしい商取引を示し得ない。ゆえに、IPアドレスがプロクシ、ファイヤーウォール、または何人かは一つ以上の合法な商取引を行っている複数のユーザーにアクセスを提供する他のインターネットゲートウェイを示したときには、商取引の頻度をIPアドレスのホストタイプと比較することは、誤った陽性反応を減少させることによって不正判定を最適化し得る。接続タイプ、移動速度、行動プロファイルから検索される情報、地理的なロケーション、ユーザー提供の要素、などのような他の要素はまた、不正検出の精度を高めるために、移動頻度と組み合わされ得る。
【0080】
本発明は、例示的な実施形態との関連において詳細に示されてきたが、本発明は上に開示された実施形態に限られないことが理解されるべきである。むしろ、本発明は、任意の数の変更、交替、代用、またはこれまでに示されていない均等の配置を組み込むように修正され得るが、それらは本発明の精神および範囲と同等である。特に、上述の不正リスクアドバイザーの特定の実施形態は、例示としてとられるべきであり、限定としてとられるべきではない。例えば、本発明はウェブベースのアプリケーションで使用され得る。したがって、本発明は上述の記述または図表によって限定されず、特許請求の範囲によってのみ制限される。
【図面の簡単な説明】
【0081】
【図1】図1は、オンライン不正緩和エンジンを使用して、オンラインでの商取引が不正であるかどうかを判定するための、本発明一実施形態を示すフローチャートである。
【図2】図2は、本発明の実施形態を実装するためのコンピュータシステムのブロック図である。
【図3】図3は、移動速度を計算するために有用な本発明の一実施形態を示す。
【図4】図4は、移動速度を計算するために有用な本発明の別の実施形態を示す。
【図5】図5は、ユーザーの移動速度を計算するために有用な本発明の一実施形態を示す。
【図6】図6は、移動速度を利用して不正な商取引を判定するために有用な本発明の一実施形態を示す。
【図7】図7は、商取引の頻度を利用して不正な商取引を判定するために有用な本発明の一実施形態を示す。
【図8】図8は、本発明の様々な実施形態を実行するために使用され得る、コンピュータシステムの論理的概略図を表す。
【図9】図9は、本発明の一実施形態において、インターネットへ接続されるコンピュータの配置を論理的に示す。
【特許請求の範囲】
【請求項1】
第1アクセスロケーションと第2アクセスロケーションとの間の移動速度を計算するための方法であって、
(a)第1IPアドレスに基づき該第1アクセスロケーションを決定するステップと、
(b)第1アクセス時間を決定するステップと、
(c)第2IPアドレスに基づき該第2アクセスロケーションを決定するステップと、
(d)第2アクセス時間を決定するステップと、
(e)該第1アクセスロケーションおよび該第1アクセス時間、および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該第1アクセスロケーションと該第2アクセスロケーションとの間の移動速度を計算するステップと
を包含する、方法。
【請求項2】
前記計算するステップは、
(a)前記第1アクセスロケーションと前記第2アクセスロケーションとの間の距離を計算するステップと、
(b)前記第1アクセス時間と前記第2アクセス時間との間の時間差を計算するステップと、
(c)該計算された時間差で該計算された距離を割り算することによって、該第1アクセスロケーションと該第2アクセスロケーションとの間の前記移動速度を計算するステップと
を包含する、請求項1に記載の方法。
【請求項3】
第1アクセスロケーションと第2アクセスロケーションとの間のユーザーの移動速度を計算する方法であって、
(a)該第1アクセスロケーションおよび第1アクセス時間を該ユーザーに対して決定するステップと、
(b)該ユーザーのIPアドレスに基づき該第2アクセスロケーションを該ユーザーに対して決定するステップと、
(c)第2アクセス時間を該ユーザーに対して決定するステップと、
(d)該第1アクセスロケーションおよび該第1アクセス時間、および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該ユーザーの該移動速度を計算するステップと
を包含する、方法。
【請求項4】
前記第1アクセスロケーションおよび前記第1アクセス時間が、前記ユーザーに関連する行動プロファイルから決定される、請求項3に記載の方法。
【請求項5】
前記第1アクセスロケーションが、該第1アクセスロケーションにおいて前記ユーザーのIPアドレスの関数として決定される、請求項3に記載の方法。
【請求項6】
前記第2アクセスロケーションが、前記ユーザーに関連する行動プロファイルに記憶される、請求項3に記載の方法。
【請求項7】
前記第1アクセスロケーションは前記ユーザーの最後に有効なアクセスロケーションに基づく、請求項3に記載の方法。
【請求項8】
前記第2アクセスロケーションおよび前記第2アクセス時間は、前記ユーザーの現在のロケーションおよび現在のアクセス時間である、請求項3に記載の方法。
【請求項9】
オンラインの商取引が不正であるかを判定するための方法であって、
(a)ユーザーのIPアドレスに基づき、一つ以上の要素を計算するステップであって、少なくとも一つの要素は、第1アクセスロケーションと第2アクセスロケーションとの間の該ユーザーの移動速度である、ステップと、
(b)該一つ以上の要素に基づき、該商取引が不正であるかを判定するステップと
を包含する、方法。
【請求項10】
前記判定するステップは、一つ以上のルールを少なくとも一つの要素へ適用することによって、前記商取引が不正であるかを判定することを包含する、請求項9に記載の方法。
【請求項11】
前記ユーザーの移動速度は、
(a)第1IPアドレスに基づき前記第1アクセスロケーションを該ユーザーに対して決定するステップと、
(b)第1アクセス時間を該ユーザーに対して決定するステップと、
(c)第2IPアドレスに基づき前記第2アクセスロケーションを該ユーザーに対して決定するステップと、
(d)第2アクセス時間を該ユーザーに対して決定するステップと、
(e)該第1アクセスロケーションおよび該第1アクセス時間および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該第1アクセスロケーションと該第2アクセスロケーションとの間の該ユーザーの移動速度を計算するステップと
に従って決定される、請求項9に記載の方法。
【請求項12】
前記ユーザーの移動速度を計算する前記ステップは、
(a)前記第1アクセスロケーションと前記第2アクセスロケーションとの間の距離を計算するステップと、
(b)前記第1アクセス時間と前記第2アクセス時間との間の時間差を計算するステップと、
(c)該計算された時間差によって該計算された距離を割り算することによって、該第1アクセスロケーションと該第2アクセスロケーションとの間の該移動距離を計算するステップと
を包含する、請求項11に記載の方法。
【請求項13】
クライアントによってさらに処理するために、前記判定を該クライアントへ転送することをさらに包含する、請求項9に記載の方法。
【請求項14】
前記判定に基づき、報告を生成することをさらに包含する、請求項9に記載の方法。
【請求項15】
前記商取引と関連するリスクスコアを生成することをさらに包含する、請求項9に記載の方法。
【請求項16】
前記リスクスコアをデータベースに記憶することをさらに包含する、請求項15に記載の方法。
【請求項17】
クライアントが前記リスクスコアと比較するために閾値レベルを割り当てる、請求項15に記載の方法。
【請求項18】
前記リスクスコアが前記閾値レベルを超過したときには、前記商取引は不正であると判定される、請求項17に記載の方法。
【請求項19】
前記リスクスコアはリアルタイムで生成される、請求項15に記載の方法。
【請求項20】
クライアントにより、前記判定にアクセスすることをさらに包含する、請求項9に記載の方法。
【請求項21】
前記クライアントは前記商取引が不正であるかどうかを示し得る、請求項9に記載の方法。
【請求項22】
一つ以上の要素のうちの少なくとも一つが静的または動的である、請求項9に記載の方法。
【請求項23】
要素は、前記IPアドレスと関連する国、地域、または都市を含む、請求項9に記載の方法。
【請求項24】
要素は、前記IPアドレスと関連する前記ユーザーがいると思われる位置と比較すると、該ユーザーの近くである、請求項9に記載の方法。
【請求項25】
要素は、前記IPアドレスと関連するアドレスと比較するために、クライアントによって提供されるアドレスである、請求項9に記載の方法。
【請求項26】
要素は、前記クライアントと関連するデータベースに記憶されるエリアコードおよび電話番号と比較するために、クライアントによって提供されるエリアコードまたは電話番号である、請求項9に記載の方法。
【請求項27】
要素は、確認のためにクライアントによって提供される電子メールアドレスである、請求項9に記載の方法。
【請求項28】
要素は、現在の商取引と比較される、データベースに記憶された商取引習慣に基づく、前記ユーザーに関連するアクセス行動である、請求項9に記載の方法。
【請求項29】
要素は、所定の時間内に前記商取引が試みられた頻度である、請求項9に記載の方法。
【請求項30】
要素は、特定の時間内に単一のIPアドレスが複数の固有の識別子にアクセスする、または複数の固有の識別子を使用する速度である、請求項9に記載の方法。
【請求項31】
クライアントは一つ以上の要素の少なくとも一つに関して閾値レベルを割り当て得る、請求項9に記載の方法。
【請求項32】
クライアントは一つ以上のユーザー定義の要素を作り得る、請求項9に記載の方法。
【請求項33】
クライアントは一つ以上の要素の少なくとも一つに関して拘束ルールを定義し得る、請求項9に記載の方法。
【請求項34】
前記第1アクセスロケーションが、前記ユーザーと関連する行動プロファイルから決定される、請求項9に記載の方法。
【請求項35】
前記第1アクセスロケーションは、前記ユーザーの最後に有効なアクセスロケーションに基づく、請求項9に記載の方法。
【請求項36】
前記第2アクセスロケーションおよび前記第2アクセス時間は、前記ユーザーの現在のアクセスロケーションおよび現在のアクセス時間である、請求項9に記載の方法。
【請求項37】
前記第2アクセスロケーションについての情報が、前記ユーザーに関連する行動プロファイルに記憶されている、請求項9に記載の方法。
【請求項38】
前記第1アクセスロケーションおよび前記第2アクセスロケーションについての情報がデータベースに記憶される、請求項9に記載の方法。
【請求項39】
要素は前記IPアドレスに関連する接続タイプを備え、接続タイプは、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal1(T1)、またはOptical Carrier3(OC3)を含む、請求項9に記載の方法。
【請求項40】
要素は前記ユーザーに関連する行動プロファイルに記憶される接続タイプを備え、接続タイプは、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal1(T1)、またはOptical Carrier3(OC3)を含む、請求項9に記載の方法。
【請求項41】
要素は前記ユーザーの前記IPアドレスに関連するホストタイプを備え、ホストタイプは、ネットワークのエンドポイント、ネットワークのプロクシ、またはネットワークのファイヤーウォールを含む、請求項9に記載の方法。
【請求項42】
要素は前記ユーザーに関連する行動プロファイルに記憶されるドメインネームを含む、請求項9に記載の方法。
【請求項43】
一つ以上のオンラインでの商取引が不正であるかを判定するための方法であって、
(a)一つ以上の商取引が、所定の時間の範囲内にIPアドレスから試みられ、または実行される商取引の頻度を計算するステップと、
(b)該IPアドレスに関連するホストタイプを判定するステップと、
(c)一つ以上の商取引が不正であるかを判定する機能を実行するステップであって、該機能は、その入力として少なくとも該商取引の頻度および該ホストタイプを含む、ステップと
を包含する、方法。
【請求項44】
ホストタイプはネットワークのエンドポイント、ネットワークのプロクシ、またはネットワークのファイヤーウォールである、請求項43に記載の方法。
【請求項45】
前記機能はリスクスコアを生成し、該リスクスコアが閾値レベルを超えたときには、一つ以上の前記商取引は不正であると判定される、請求項44に記載の方法。
【請求項46】
前記機能は前記リスクスコアを最適化するために、前記商取引の頻度を前記ホストタイプと比較する、請求項45に記載の方法。
【請求項47】
所定の商取引の頻度に関して、前記ホストタイプがネットワークのエンドポイントであるとき、さらに該ホストタイプがネットワークのプロクシまたはネットワークのファイヤーウォールであるときには、前記機能は比較的に高いリスクスコアを生成する、請求項46に記載の方法。
【請求項48】
不正な商取引を判定する方法であって、
(a)インターネットユーザーに関連するIPアドレスを受信するステップと、
(b)該インターネットユーザーによって行われた商取引に関連する該IPアドレスに基づき複数の要素を計算するステップと、
(c)該IPアドレスおよび該計算に基づき、該商取引が不正であるかを判定するステップと
を包含する、方法。
【請求項49】
クライアントによってさらに処理するために、該クライアントへ前記判定を転送することをさらに包含する、請求項48に記載の方法。
【請求項50】
前記判定に基づき、報告を生成することをさらに包含する、請求項48に記載の方法。
【請求項51】
前記商取引に関連するリスクスコアを生成することをさらに包含する、請求項48に記載の方法。
【請求項52】
前記リスクスコアをデータベースに記憶することをさらに包含する、請求項51に記載の方法。
【請求項53】
クライアントは前記リスクスコアと比較するために閾値レベルを割り当てる、請求項51に記載の方法。
【請求項54】
前記リスクスコアが前記閾値レベルを超えるときには、前記商取引が不正であると判定される、請求項53に記載の方法。
【請求項55】
前記リスクスコアは、リアルタイムで生成される、請求項51に記載の方法。
【請求項56】
クライアントによって前記判定にアクセスすることをさらに包含する、請求項48に記載の方法。
【請求項57】
前記クライアントが、前記商取引が不正であるという前記判定を無効にし得る、請求項56に記載の方法。
【請求項58】
前記クライアントが、不正であると判定されなかった商取引を不正な商取引であると指定し得る、請求項48に記載の方法。
【請求項59】
前記複数の要素は静的または動的である、請求項48に記載の方法。
【請求項60】
前記静的要素は前記IPアドレスに関連する国、地域、または都市を含む、請求項59に記載の方法。
【請求項61】
前記動的要素は、前記IPアドレスに関連する前記インターネットユーザーがいると思われるロケーションと比較すると、該インターネットユーザーの近くである、請求項59に記載の方法。
【請求項62】
静的要素は、前記IPアドレスに関連するアドレスと比較するためにクライアントによって提供されるアドレスである、請求項59に記載の方法。
【請求項63】
静的要素は、前記インターネットユーザーに関連するデータベースに記憶されるエリアコードおよび電話番号と比較するためにクライアントによって提供されるエリアコードおよび電話番号である、請求項59に記載の方法。
【請求項64】
静的要素は、確認のためにクライアントによって提供される電子メールアドレスである、請求項59に記載の方法。
【請求項65】
動的要素は、前記商取引と比較されるデータベースに記憶された商取引習慣に基づく、前記インターネットユーザーに関連するアクセス行動である、請求項59に記載の方法。
【請求項66】
動的要素は、前記商取引が所定の時間の範囲内に試みられる頻度である、請求項59に記載の方法。
【請求項67】
クライアントが静的要素および動的要素に対して閾値レベルを割り当てる、請求項59に記載の方法。
【請求項68】
クライアントはユーザー定義の動的要素を作り得る、請求項59に記載の方法。
【請求項69】
動的要素は静的要素によって判定され得る、請求項59に記載の方法。
【請求項70】
クライアントは、前記要素に関する拘束ルールを定義し得る、請求項48に記載の方法。
【請求項1】
第1アクセスロケーションと第2アクセスロケーションとの間の移動速度を計算するための方法であって、
(a)第1IPアドレスに基づき該第1アクセスロケーションを決定するステップと、
(b)第1アクセス時間を決定するステップと、
(c)第2IPアドレスに基づき該第2アクセスロケーションを決定するステップと、
(d)第2アクセス時間を決定するステップと、
(e)該第1アクセスロケーションおよび該第1アクセス時間、および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該第1アクセスロケーションと該第2アクセスロケーションとの間の移動速度を計算するステップと
を包含する、方法。
【請求項2】
前記計算するステップは、
(a)前記第1アクセスロケーションと前記第2アクセスロケーションとの間の距離を計算するステップと、
(b)前記第1アクセス時間と前記第2アクセス時間との間の時間差を計算するステップと、
(c)該計算された時間差で該計算された距離を割り算することによって、該第1アクセスロケーションと該第2アクセスロケーションとの間の前記移動速度を計算するステップと
を包含する、請求項1に記載の方法。
【請求項3】
第1アクセスロケーションと第2アクセスロケーションとの間のユーザーの移動速度を計算する方法であって、
(a)該第1アクセスロケーションおよび第1アクセス時間を該ユーザーに対して決定するステップと、
(b)該ユーザーのIPアドレスに基づき該第2アクセスロケーションを該ユーザーに対して決定するステップと、
(c)第2アクセス時間を該ユーザーに対して決定するステップと、
(d)該第1アクセスロケーションおよび該第1アクセス時間、および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該ユーザーの該移動速度を計算するステップと
を包含する、方法。
【請求項4】
前記第1アクセスロケーションおよび前記第1アクセス時間が、前記ユーザーに関連する行動プロファイルから決定される、請求項3に記載の方法。
【請求項5】
前記第1アクセスロケーションが、該第1アクセスロケーションにおいて前記ユーザーのIPアドレスの関数として決定される、請求項3に記載の方法。
【請求項6】
前記第2アクセスロケーションが、前記ユーザーに関連する行動プロファイルに記憶される、請求項3に記載の方法。
【請求項7】
前記第1アクセスロケーションは前記ユーザーの最後に有効なアクセスロケーションに基づく、請求項3に記載の方法。
【請求項8】
前記第2アクセスロケーションおよび前記第2アクセス時間は、前記ユーザーの現在のロケーションおよび現在のアクセス時間である、請求項3に記載の方法。
【請求項9】
オンラインの商取引が不正であるかを判定するための方法であって、
(a)ユーザーのIPアドレスに基づき、一つ以上の要素を計算するステップであって、少なくとも一つの要素は、第1アクセスロケーションと第2アクセスロケーションとの間の該ユーザーの移動速度である、ステップと、
(b)該一つ以上の要素に基づき、該商取引が不正であるかを判定するステップと
を包含する、方法。
【請求項10】
前記判定するステップは、一つ以上のルールを少なくとも一つの要素へ適用することによって、前記商取引が不正であるかを判定することを包含する、請求項9に記載の方法。
【請求項11】
前記ユーザーの移動速度は、
(a)第1IPアドレスに基づき前記第1アクセスロケーションを該ユーザーに対して決定するステップと、
(b)第1アクセス時間を該ユーザーに対して決定するステップと、
(c)第2IPアドレスに基づき前記第2アクセスロケーションを該ユーザーに対して決定するステップと、
(d)第2アクセス時間を該ユーザーに対して決定するステップと、
(e)該第1アクセスロケーションおよび該第1アクセス時間および該第2アクセスロケーションおよび該第2アクセス時間の関数として、該第1アクセスロケーションと該第2アクセスロケーションとの間の該ユーザーの移動速度を計算するステップと
に従って決定される、請求項9に記載の方法。
【請求項12】
前記ユーザーの移動速度を計算する前記ステップは、
(a)前記第1アクセスロケーションと前記第2アクセスロケーションとの間の距離を計算するステップと、
(b)前記第1アクセス時間と前記第2アクセス時間との間の時間差を計算するステップと、
(c)該計算された時間差によって該計算された距離を割り算することによって、該第1アクセスロケーションと該第2アクセスロケーションとの間の該移動距離を計算するステップと
を包含する、請求項11に記載の方法。
【請求項13】
クライアントによってさらに処理するために、前記判定を該クライアントへ転送することをさらに包含する、請求項9に記載の方法。
【請求項14】
前記判定に基づき、報告を生成することをさらに包含する、請求項9に記載の方法。
【請求項15】
前記商取引と関連するリスクスコアを生成することをさらに包含する、請求項9に記載の方法。
【請求項16】
前記リスクスコアをデータベースに記憶することをさらに包含する、請求項15に記載の方法。
【請求項17】
クライアントが前記リスクスコアと比較するために閾値レベルを割り当てる、請求項15に記載の方法。
【請求項18】
前記リスクスコアが前記閾値レベルを超過したときには、前記商取引は不正であると判定される、請求項17に記載の方法。
【請求項19】
前記リスクスコアはリアルタイムで生成される、請求項15に記載の方法。
【請求項20】
クライアントにより、前記判定にアクセスすることをさらに包含する、請求項9に記載の方法。
【請求項21】
前記クライアントは前記商取引が不正であるかどうかを示し得る、請求項9に記載の方法。
【請求項22】
一つ以上の要素のうちの少なくとも一つが静的または動的である、請求項9に記載の方法。
【請求項23】
要素は、前記IPアドレスと関連する国、地域、または都市を含む、請求項9に記載の方法。
【請求項24】
要素は、前記IPアドレスと関連する前記ユーザーがいると思われる位置と比較すると、該ユーザーの近くである、請求項9に記載の方法。
【請求項25】
要素は、前記IPアドレスと関連するアドレスと比較するために、クライアントによって提供されるアドレスである、請求項9に記載の方法。
【請求項26】
要素は、前記クライアントと関連するデータベースに記憶されるエリアコードおよび電話番号と比較するために、クライアントによって提供されるエリアコードまたは電話番号である、請求項9に記載の方法。
【請求項27】
要素は、確認のためにクライアントによって提供される電子メールアドレスである、請求項9に記載の方法。
【請求項28】
要素は、現在の商取引と比較される、データベースに記憶された商取引習慣に基づく、前記ユーザーに関連するアクセス行動である、請求項9に記載の方法。
【請求項29】
要素は、所定の時間内に前記商取引が試みられた頻度である、請求項9に記載の方法。
【請求項30】
要素は、特定の時間内に単一のIPアドレスが複数の固有の識別子にアクセスする、または複数の固有の識別子を使用する速度である、請求項9に記載の方法。
【請求項31】
クライアントは一つ以上の要素の少なくとも一つに関して閾値レベルを割り当て得る、請求項9に記載の方法。
【請求項32】
クライアントは一つ以上のユーザー定義の要素を作り得る、請求項9に記載の方法。
【請求項33】
クライアントは一つ以上の要素の少なくとも一つに関して拘束ルールを定義し得る、請求項9に記載の方法。
【請求項34】
前記第1アクセスロケーションが、前記ユーザーと関連する行動プロファイルから決定される、請求項9に記載の方法。
【請求項35】
前記第1アクセスロケーションは、前記ユーザーの最後に有効なアクセスロケーションに基づく、請求項9に記載の方法。
【請求項36】
前記第2アクセスロケーションおよび前記第2アクセス時間は、前記ユーザーの現在のアクセスロケーションおよび現在のアクセス時間である、請求項9に記載の方法。
【請求項37】
前記第2アクセスロケーションについての情報が、前記ユーザーに関連する行動プロファイルに記憶されている、請求項9に記載の方法。
【請求項38】
前記第1アクセスロケーションおよび前記第2アクセスロケーションについての情報がデータベースに記憶される、請求項9に記載の方法。
【請求項39】
要素は前記IPアドレスに関連する接続タイプを備え、接続タイプは、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal1(T1)、またはOptical Carrier3(OC3)を含む、請求項9に記載の方法。
【請求項40】
要素は前記ユーザーに関連する行動プロファイルに記憶される接続タイプを備え、接続タイプは、ダイヤルアップ、Integrated Services Digital Network(ISDN)、ケーブルモデム、Digital Subscriber Line(DSL)、Digital Signal1(T1)、またはOptical Carrier3(OC3)を含む、請求項9に記載の方法。
【請求項41】
要素は前記ユーザーの前記IPアドレスに関連するホストタイプを備え、ホストタイプは、ネットワークのエンドポイント、ネットワークのプロクシ、またはネットワークのファイヤーウォールを含む、請求項9に記載の方法。
【請求項42】
要素は前記ユーザーに関連する行動プロファイルに記憶されるドメインネームを含む、請求項9に記載の方法。
【請求項43】
一つ以上のオンラインでの商取引が不正であるかを判定するための方法であって、
(a)一つ以上の商取引が、所定の時間の範囲内にIPアドレスから試みられ、または実行される商取引の頻度を計算するステップと、
(b)該IPアドレスに関連するホストタイプを判定するステップと、
(c)一つ以上の商取引が不正であるかを判定する機能を実行するステップであって、該機能は、その入力として少なくとも該商取引の頻度および該ホストタイプを含む、ステップと
を包含する、方法。
【請求項44】
ホストタイプはネットワークのエンドポイント、ネットワークのプロクシ、またはネットワークのファイヤーウォールである、請求項43に記載の方法。
【請求項45】
前記機能はリスクスコアを生成し、該リスクスコアが閾値レベルを超えたときには、一つ以上の前記商取引は不正であると判定される、請求項44に記載の方法。
【請求項46】
前記機能は前記リスクスコアを最適化するために、前記商取引の頻度を前記ホストタイプと比較する、請求項45に記載の方法。
【請求項47】
所定の商取引の頻度に関して、前記ホストタイプがネットワークのエンドポイントであるとき、さらに該ホストタイプがネットワークのプロクシまたはネットワークのファイヤーウォールであるときには、前記機能は比較的に高いリスクスコアを生成する、請求項46に記載の方法。
【請求項48】
不正な商取引を判定する方法であって、
(a)インターネットユーザーに関連するIPアドレスを受信するステップと、
(b)該インターネットユーザーによって行われた商取引に関連する該IPアドレスに基づき複数の要素を計算するステップと、
(c)該IPアドレスおよび該計算に基づき、該商取引が不正であるかを判定するステップと
を包含する、方法。
【請求項49】
クライアントによってさらに処理するために、該クライアントへ前記判定を転送することをさらに包含する、請求項48に記載の方法。
【請求項50】
前記判定に基づき、報告を生成することをさらに包含する、請求項48に記載の方法。
【請求項51】
前記商取引に関連するリスクスコアを生成することをさらに包含する、請求項48に記載の方法。
【請求項52】
前記リスクスコアをデータベースに記憶することをさらに包含する、請求項51に記載の方法。
【請求項53】
クライアントは前記リスクスコアと比較するために閾値レベルを割り当てる、請求項51に記載の方法。
【請求項54】
前記リスクスコアが前記閾値レベルを超えるときには、前記商取引が不正であると判定される、請求項53に記載の方法。
【請求項55】
前記リスクスコアは、リアルタイムで生成される、請求項51に記載の方法。
【請求項56】
クライアントによって前記判定にアクセスすることをさらに包含する、請求項48に記載の方法。
【請求項57】
前記クライアントが、前記商取引が不正であるという前記判定を無効にし得る、請求項56に記載の方法。
【請求項58】
前記クライアントが、不正であると判定されなかった商取引を不正な商取引であると指定し得る、請求項48に記載の方法。
【請求項59】
前記複数の要素は静的または動的である、請求項48に記載の方法。
【請求項60】
前記静的要素は前記IPアドレスに関連する国、地域、または都市を含む、請求項59に記載の方法。
【請求項61】
前記動的要素は、前記IPアドレスに関連する前記インターネットユーザーがいると思われるロケーションと比較すると、該インターネットユーザーの近くである、請求項59に記載の方法。
【請求項62】
静的要素は、前記IPアドレスに関連するアドレスと比較するためにクライアントによって提供されるアドレスである、請求項59に記載の方法。
【請求項63】
静的要素は、前記インターネットユーザーに関連するデータベースに記憶されるエリアコードおよび電話番号と比較するためにクライアントによって提供されるエリアコードおよび電話番号である、請求項59に記載の方法。
【請求項64】
静的要素は、確認のためにクライアントによって提供される電子メールアドレスである、請求項59に記載の方法。
【請求項65】
動的要素は、前記商取引と比較されるデータベースに記憶された商取引習慣に基づく、前記インターネットユーザーに関連するアクセス行動である、請求項59に記載の方法。
【請求項66】
動的要素は、前記商取引が所定の時間の範囲内に試みられる頻度である、請求項59に記載の方法。
【請求項67】
クライアントが静的要素および動的要素に対して閾値レベルを割り当てる、請求項59に記載の方法。
【請求項68】
クライアントはユーザー定義の動的要素を作り得る、請求項59に記載の方法。
【請求項69】
動的要素は静的要素によって判定され得る、請求項59に記載の方法。
【請求項70】
クライアントは、前記要素に関する拘束ルールを定義し得る、請求項48に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公表番号】特表2008−513893(P2008−513893A)
【公表日】平成20年5月1日(2008.5.1)
【国際特許分類】
【出願番号】特願2007−532593(P2007−532593)
【出願日】平成17年9月19日(2005.9.19)
【国際出願番号】PCT/US2005/033502
【国際公開番号】WO2006/034205
【国際公開日】平成18年3月30日(2006.3.30)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
【Fターム(参考)】
【公表日】平成20年5月1日(2008.5.1)
【国際特許分類】
【出願日】平成17年9月19日(2005.9.19)
【国際出願番号】PCT/US2005/033502
【国際公開番号】WO2006/034205
【国際公開日】平成18年3月30日(2006.3.30)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(504359787)デジタル エンボイ, インコーポレイテッド (9)
【Fターム(参考)】
[ Back to top ]