在共享检测模型系统中维护数据隐私的制作方法

1.本技术总体上涉及用于更新分析模型的系统，并且特别是涉及用于在共享检测模型系统中维护数据隐私的系统和方法。


背景技术：

2.用于事件检测的分析模型对于许多领域和行业是重要的。例如，各种分析模型用来检测银行欺诈、帮助遵从规章、以及许多其他复杂的、数据驱动的问题。许多领域需要用于准确和及时的事件检测的最新模型。在一些领域中，例如在许多类型的欺诈中，第三方是正在活跃地工作以逃避当前分析模型的检测的代理。因此，需要一种用于更新检测模型的系统，其允许在系统的多个本地节点上以快速方式分布、分析和实现模型更新。此外，由于更大和更多样化的数据集的有用性，存在跨多个实体系统共享诸如检测模型和用于模型生成的数据等信息的动机。然而，尤其是由于被共享的数据的敏感性，必须考虑和关心数据隐私。


技术实现要素：

3.根据一些实施例，本公开描述了一种用于更新检测模型同时维护数据处理系统中的数据保护的计算机实现的方法。该方法包括将数据集合聚集成描述数据的内容的特征，使用该特征、通过实现包括至少一个选择的特征和用于触发活动警报的阈值的算法来生成检测模型，确定用于从不同的数据集合计算至少一个选择的特征的指令，生成具有用于从不同的数据集合计算至少一个选择的特征的指令以及阈值的包，将包发送到本地节点以用存储在本地节点处的数据实现检测模型。
4.根据一些实施例，本公开另外描述了一种本地节点，所述本地节点包括处理设备和存储器，所述存储器包括由处理设备执行的用于基于包括数据的数据集来再训练模型的指令。该本地节点还包括：聚集模块，被配置为将数据聚集成描述数据的内容的特征；再训练模块，被配置为使用该特征，通过实现包括至少一个选择的特征和用于触发活动警报的阈值的算法来再训练检测模型；指令模块，被配置为确定用于从不同数据集合计算至少一个选择的特征的指令，以及共享模块，被配置为生成具有用于从不同数据集合的至少一个选择的特征的指令以及阈值的包。共享模块还被配置为将包发送到本地节点，以用存储在本地节点处的数据来实现再训练的检测模型。
5.根据一些实施例，本公开还描述了一种用于更新检测模型同时维护数据处理系统中的数据保护的计算机实现的方法。该方法包括从多个本地节点接收特征，该特征是描述与相应本地节点相关的数据的内容的聚集数据，基于从该多个本地节点接收的特征生成检测模型，该检测模型包括用于与至少一个选择的特征或特征组合进行比较并且触发活动警报的阈值，确定用于从不同的数据集合计算该至少一个选择的特征或特征组合的指令，生成具有用于从该不同的数据集合计算该至少一个选择的特征的指令以及该阈值的包，以及将该包发送到该多个本地节点中的每一个以用存储在本地节点处的数据实现该检测模型。
6.根据一些实施例，本公开还描述了一种检测模型系统，其包括处理设备和存储器，存储器包括由处理设备执行以用于再训练检测模型的指令。该检测模型系统还包括：数据控制模块，被配置为从至少一个本地节点接收特征，该特征是描述与相应本地节点相关的数据的内容的聚集数据；模型管理器，被配置为基于从多个本地节点接收的特征来生成检测模型，检测模型包括用于与至少一个选择的特征或特征的组合进行比较并触发活动警报的阈值；以及隐私管理器，被配置为确定用于从不同的数据集合计算至少一个选择的特征或特征的组合的指令。模型管理器被配置为生成具有用于从不同的数据集合计算至少一个选择的特征的指令以及阈值的包，并且将包发送到多个本地节点中的每一个以用存储在本地节点处的数据来实现检测模型。
7.从以下参考附图进行的对说明性实施例的详细描述中，本公开的附加特征和优点将变得显而易见。
附图说明
8.当结合附图阅读时，从以下详细描述中可以最好地理解本公开的前述和其他方面。出于说明本公开的目的，在附图中示出了目前优选的实施例，然而，应当理解，本公开不限于所公开的具体实施例。
9.图1描绘了包括单个本地节点的示例性更新系统的框图；
10.图2描绘了包括由中央模块连接的多个本地节点的示例性更新系统的框图；
11.图3描绘了包括多个直接连接的本地节点的示例性更新系统的框图；
12.图4描绘了使用更新系统和手动创建的模型更新来更新分析系统的示例性方法的流程图；
13.图5描绘了使用由本地节点中的一个创建的模型更新来更新分析系统的示例性方法的流程图，其中所述本地节点由中央模块连接；
14.图6描绘了使用由本地节点中的一个创建的模型更新来更新分析系统的示例性方法的流程图，其中本地节点是直接连接的；
15.图7描绘了用于在生成和共享模型时维护数据隐私的检测模型系统的示例性实施例；
16.图8描绘了可以与图7的检测模型系统结合使用的本地节点的示例性实施例；
17.图9描绘了在通过检测模型系统维护数据隐私的同时使用共享聚集特征来再训练模型的示例性方法的流程图；以及
18.图10描绘了可以实现说明性实施例的方面的示例数据处理系统的框图。
具体实施方式
19.本说明书和权利要求书可以关于说明性实施例的特定特征和要素使用术语“一”、
“…
中的至少一个”和
“…
中的一个或多个”。应当理解，这些术语和短语旨在表明在特定的说明性实施例中存在特定特征或要素中的至少一个，但是也可以存在多于一个。也就是说，这些术语/短语不旨在将说明书或权利要求限制为存在单个特征/要素或者不旨在要求存在多个这样的特征/要素。相反，虽然这些术语/短语仅要求至少单个特征/要素，但是多个这样的特征/要素的可能性也在说明书和权利要求的范围内。
20.此外，应当理解，以下描述使用说明性实施例的各种元件的多个各种示例来进一步说明说明性实施例的示例实现方式，并且帮助理解说明性实施例的机制。这些示例旨在是非限制性的，并且不是对用于实现说明性实施例的机制的各种可能性的穷举。鉴于本说明书，对于本领域普通技术人员来说显而易见的是，在不脱离本公开的范围的情况下，除了本文提供的示例之外，或者作为其替代，可以利用这些各种元件的许多其它替代实现方式。
21.本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质)，所述计算机可读程序指令用于使处理器执行本公开的方面。
22.计算机可读存储介质可以是能够保留和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是但不限于电子存储设备、磁存储设备、光学存储设备、电磁存储设备、半导体存储设备或前述的任何合适的组合。计算机可读存储介质的更具体示例的非穷举列表包括以下：便携式计算机磁盘、磁头盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或闪速存储器)、静态随机存取存储器(sram)、便携式光盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、诸如其上记录有指令的凹槽中的凸起结构或打孔卡之类的机械编码装置，以及前述的任何合适的组合。如本文所使用的计算机可读存储介质不应被解释为易失性信号本身，诸如无线电波或其他自由传播的电磁波、通过波导或其他传输介质传播的电磁波(例如，通过光纤线缆的光脉冲)、或通过导线传输的电信号。
23.本文描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备，或者经由网络(例如，因特网、局域网(lan)、广域网(wan)和/或无线网络)下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光学传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或网络接口从网络接收计算机可读程序指令，并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储介质中。
24.用于执行本公开的操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言，诸如java
tm
、smalltalk、c 等，以及常规的过程式编程语言，诸如“c”编程语言或类似的编程语言。计算机可读程序指令可以完全在用户的计算机上执行，部分在用户的计算机上执行，作为独立软件包执行，部分在用户的计算机上并且部分在远程计算机上执行，或者完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可以通过任何类型的网络(包括lan或wan)连接到用户的计算机，或者可以连接到外部计算机(例如，使用因特网服务提供商通过因特网连接)。在一些实施例中，包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化，以便执行本公开的方面。
25.本文参考根据本公开的实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图来描述本公开的方面。将理解，流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
26.这些计算机可读程序指令可以被提供给通用计算机、专用计算机或其他可编程数
据处理装置的处理器以产生机器，使得经由计算机的处理器或其他可编程数据处理装置执行的指令创建用于实现流程图和/或框图的一个或多个框中指定的功能/动作的装置。这些计算机可读程序指令还可以存储在计算机可读存储介质中，其可以引导计算机、可编程数据处理装置和/或其他设备以特定方式工作，使得其中存储有指令的计算机可读存储介质包括制品，该制品包括实现流程图和/或框图的一个或多个框中指定的功能/动作的各方面的指令。
27.计算机可读程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤，以产生计算机实现的过程，使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图的一个或多个框中指定的功能/动作。
28.在此参考根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各方面。将理解，流程图和/或框图的每个框以及流程图和/或框图中的框的组合可以由计算机可读程序指令来实现。
29.附图中的流程图和框图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这方面，流程图或框图中的每个框可以表示指令的模块、段或部分，其包括用于实现指定逻辑功能的一个或多个可执行指令。在一些替代实现方式中，框中所提及的功能可以不按图中所提及的次序发生。例如，连续示出的两个框实际上可以实质上同时执行，或者框有时可以按相反的顺序执行，这取决于所涉及的功能。还将注意，框图和/或流程图图示的每个框以及框图和/或流程图图示中的框的组合可以由执行指定功能或动作或执行专用硬件和计算机指令的组合的专用的基于硬件的系统来实现。
30.作为概述，认知系统是专用计算机系统，或计算机系统集，其配置有硬件和/或软件逻辑(与软件在其上执行的硬件逻辑组合)以仿效人类认知功能。这些认知系统将类人的特征应用于传达和操纵思想，当与数字计算化的固有强度组合时，可以以高准确度和大规模适用性来解决问题。ibm watson
tm
是一种这样的认知系统的示例，其可以以比人类快得多的速度并且以大得多的规模处理人类可读语言并且以类人的准确度来识别文本段之间的推断。通常，这样的认知系统能够执行以下功能：
31.导航人类语言和理解的复杂性
32.摄取和处理大量结构化和非结构化数据
33.生成和评估假设
34.加权和评估仅基于相关证据的响应
35.提供特定于情境的建议、洞察和指导
36.通过机器学习过程用每次迭代和交互来改进知识和学习
37.在碰撞点处启用决策(上下文指导)
38.按任务比例缩放
39.扩展和放大人类的专业知识和认知
40.从自然语言中识别有共鸣(resonating)的类人属性和性状
41.从自然语言推断各种语言特定或不可知属性
42.从数据点(图像、文本、语音、记忆和回想)的高度相关回忆
43.基于经验模仿人类认知的利用情境感知的预测和感测
44.基于自然语言和特定证据回答问题
45.本文的实施例涉及用于跨多个本地节点更新分析模型的系统。如这里所使用的，单独的“本地节点”指的是由诸如个人或公司之类的终端用户安装的软件。在一些实施例中，本地节点包括一个计算机系统。在一些实施例中，本地节点包括由终端用户控制的多个计算机系统或服务器。在一些实施例中，系统中的每个本地节点使用特定于该本地节点的当前分析模型集。在一些实施例中，系统中的每个本地节点访问并分析由一个或多个分析模型产生的系统数据。该系统数据是每个本地节点特有的，并且可以包括敏感或机密信息。
46.如本文所使用的，单独“分析模型”或仅“模型”是被设计为使用数据分析技术来检测某些事件的软件算法。在一些实施例中，分析模型检测数据异常。在一些实施例中，分析模型检测欺诈事件。在一些实施例中，由分析模型所使用的数据分析技术包括但不限于数据预处理技术、一个或多个统计参数的计算、基于分类或组的统计比率、概率的计算、诸如数据聚类和数据匹配的分类技术、回归分析和缺口分析。在一些实施例中，本地节点的软件包括一个或多个分析模型。在一些实施例中，本地节点的软件包括一个或多个分析模型和确定性规则。在一些实施例中，本地节点的软件包括用于欺诈检测的一个或多个分析模型。在一些实施例中，本地节点的软件包括用于遵从或不遵从规章的一个或多个分析模型。在一些实施例中，本地节点的软件包括用于欺诈检测的一个或多个模型和确定性规则。在一些实施例中，本地节点的软件包括用于遵从或不遵从规章的一个或多个模型和确定性规则。
47.在一些实施例中，更新系统接收一个或多个模型更新，并将这些更新推送到适用的本地节点。在一些实施例中，更新系统将更新推送到系统中的所有本地节点。在一些实施例中，更新系统仅将更新推送到选择的本地节点。
48.在一些实施例中，更新系统确定哪些本地节点接收模型更新推送。
49.在一些实施例中，接收模型更新的每个单独的本地节点针对分析系统的当前模型检验该更新，并且如果适用，则更新系统将更新当前模型。在一些实施例中，更新系统接收一个或多个手动创建的模型更新。在一些实施例中，更新系统接收由更新系统的本地节点创建的一个或多个模型更新。在一些实施例中，更新系统的本地节点由本身不是本地节点的模块或中央集线器连接。在一些实施例中，更新系统的本地模式彼此直接连接，例如作为去中心化的网络。
50.在一些实施例中，包括任何本地节点的更新系统是独立系统，其为使用分析模型的任何软件系统创建并推送模型更新。在一些实施例中，更新系统本身是较大分析系统的组件或子系统，例如用于欺诈检测的分析系统。
51.图1描绘了更新系统100的示例性单个本地节点的组件、输出和数据流的框图表示。本地节点包括三个主要模块或子系统：监视模块101、诊断模块102和评估模块103。
52.监视模块101监视一个或多个因素以确定是否需要模型更新过程。在一些实施例中，监视模块101检验自上次更新过程以来的时间，并且如果已经过去了足够长的时间则发起更新过程。在一些实施例中，如果自上一次更新过程以来已经过去了6小时、12小时、1天、2天、3天、4天、5天、6天、7天、10天、15天、30天、1个月、2个月、3个月、6个月或1年，则监视模块101发起更新过程。在一些实施例中，如果监视模块101接收到从本地节点100外部的源推
送的模型更新，则它启动更新过程。例如，监视模块101可以接收从更新系统的中央模块、另一本地节点或直接从更新系统管理员推送的模型更新。
53.在一些实施例中，如果由诊断模块102信令通知，则监视模块101可以发起更新过程。在一些实施例中，诊断模块102分析系统数据104，并且如果已经满足一个或多个数据阈值，则可以向监视模块101信令通知以发起更新过程。例如，如果诊断模块对系统数据104的分析显示了事件检测的增加超过数据阈值或事件检测的减少低于数据阈值，则诊断模块102可以向监视模块101信令通知。在一些实施例中，数据阈值可以例如由终端用户手动设置。在一些实施例中，例如，如果事件检测率增加了显著的值而超过一周运行平均检测率，则数据阈值可以由诊断模块102自动确定。
54.当更新过程已经被发起时，监视模块101将查询可用的模型更新。在一些实施例中，监视模块101将询问更新系统的中央模块、另一本地模式或更新系统管理员。在一些实施例中，如果更新过程由从本地节点100外部的源推送的模型更新发起，则监视模块101将不询问附加的可用模型更新。在一些实施例中，如果更新过程由从本地节点100外部的源推送的模型更新发起，则监视模块101仍将询问附加的可用模型更新。
55.当监视模块101已经完成所有可用的询问并且已经接收至少一个模型更新时，监视模块101将模型更新传递到诊断模块102。诊断模块102将模型更新与本地节点中可用的当前模型的数据库105进行比较。在一些实施例中，诊断模块102将模型更新分类到当前模型105，而不管那些当前模型105是否正在活跃地使用。在一些实施例中，诊断模块102将模型更新分类到通过应用活跃的当前模型105而生成的系统数据104。
56.当诊断模块102已经接收到模型更新并且至少将模型更新与当前模型的数据库105进行比较时，诊断模块102将模型更新和所有可用的比较和其他分析数据传递到评估模块103。评估模块103将评估模型更新以确定是否应该应用更新106。在一些实施例中，评估模块103将自动应用模型更新，利用模型更新改变或修改当前模型105。在一些实施例中，评估模块103将分析模型更新以确定这样的模型是否已经存在于当前模型数据库105中。在一些实施例中，评估模块103将针对由诊断模块102生成的相关系统数据104或相关分类数据运行模型更新，以确定模型更新是否将向本地节点100提供与当前模型105能够生成的系统数据不同的系统数据。在一些实施例中，除非本地节点100的管理员或终端用户授权，否则评估模块103将不会自动应用任何更新或执行任何分析。
57.图2描绘了表示具有多个本地节点的更新系统200的组件、输出和数据流的框图。更新系统包括连接更新系统200中的所有本地节点的中央模块201。图2描绘了两个本地节点，一般被分类为210和220。在一些实施例中，对可以存在于更新系统200中的本地节点的数量没有限制。应当理解，本地节点210和220通常与图1中描述的本地节点相同，每个本地节点包括监视模块211、221，诊断模块212、222，以及评估模块213、223。每个本地节点还包括其自己的系统数据214、224和当前模型的数据库215、225。应当理解，每个本地节点可以具有不同的系统数据和当前模型。在一些实施例中，系统数据214可以与系统数据224相同或相似，也可以不同或不相似。在一些实施例中，当前模型215可以与当前模型225相同或相似，也可以不同或不相似。
58.中央模块201不存在于任何本地节点中，而是存在于分离的位置，例如集中管理服务器。在一些实施例中，中央模块201可以发送和接收来自监视模块211、221的信息。在一些
实施例中，中央模块201可以发送和接收来自更新系统中的任何监视模块的信息。中央模块201可以访问可用模型202的主数据库以用于更新系统。可用模型202的数据库是当前存在于更新系统中的所有可能的分析模型的列表。在一些实施例中，单独节点中的当前模型的数据库(例如当前模型215)等同于可用模型202的数据集。在一些实施例中，单独节点中的当前模型的数据库(例如当前模型215)并不等同于可用模型202的数据集，而是包含与可用模型202的数据库共同的至少一个模型。
59.在一些实施例中，当单独节点中的监视模块(例如监视模块211)发起对可用模型更新的询问时，监视模块将与中央模块201电子通信。
60.在一些实施例中，每个单独节点可以与一个或多个终端用户通信。例如，在图2中，节点210的评估模块213可以与终端用户217通信。在一些实施例中，单独节点的任何模块可以与终端用户通信。在一些实施例中，单独节点与终端用户通信，以向终端用户提供关于更新过程的信息。在一些实施例中，单独节点与终端用户通信，以向终端用户提供关于更新结果的信息，例如，更新了哪些模型。在一些实施例中，单独节点与终端用户通信，以在更新任何模型之前请求终端用户授权。
61.图3描绘了具有多个本地节点300的更新系统的组件、输出和数据流的另一框图表示。更新系统300描绘了两个本地节点，一般被分类为310和320。在一些实施例中，对可以存在于更新系统300中的本地节点的数量没有限制。应当理解，本地节点310和320通常与图1和2中描述的本地节点相同，每个本地节点包括监视模块311、321，诊断模块312、322，以及评估模块313、323。每个本地节点还包括其自己的系统数据314、324和当前模型315、325的数据库。应当理解，每个本地节点可以具有不同的系统数据和当前模型。在一些实施例中，系统数据314可以与系统数据324相同或相似，也可以不同或不相似。在一些实施例中，当前模型315可以与当前模型325相同或相似，也可以不同或不相似。
62.与图2不同，更新系统300不具有连接所有本地节点的任何类型的中央模块。相反，每个本地节点经由网络直接彼此连接。在一些实施例中，每个监视模块与更新系统300中的每个其他监视模块电子通信。例如，如图3所描绘的，监视模块311与监视模块321电子通信。
63.在一些实施例中，当更新过程已经在单独节点中被发起时，该节点的监视模块将询问更新系统300中的另一个本地节点。例如，当在本地节点310中已经发起更新过程时，监视模块311将询问本地节点320的监视模块321。在一些实施例中，当更新过程已经在单独节点中被发起时，该节点的监视模块将询问更新系统300中的所有其它本地节点。在一些实施例中，当更新过程已经在单独节点中被发起时，该节点的监视模块将仅询问更新系统300中的选择其它节点。在一些实施例中，当更新过程已经在单独节点中被发起时，该节点的监视模块将仅询问更新系统300中的另一个节点。
64.在本文的任何实施例中，系统管理员可以创建更新的模型并将其手动添加到更新系统。例如，系统管理员可以创建更新的模型并将该模型提交给如图2所描绘的中央模块201。作为另一个示例，系统管理员可以创建更新的模型，并将该模型提交给如图3所描绘的监视模块321。在一些实施例中，当更新的模型已被添加到这里所描述的任何更新系统时，可以遍及更新系统中的一些节点的全部来发起更新过程。
65.在本文的任何实施例中，更新系统的任何本地节点可以产生模型更新并将其自动推送到更新系统的其余部分。在一些实施例中，生成其自身的模型更新的本地节点是有利
的，因为它允许更新系统对欺诈检测的增加快速做出响应，而无需终端用户或管理员的参与。例如，如图2中所描绘的诊断模块212分析系统数据214并且检测到欺诈检测的增加大于预设阈值。诊断模块212进而列出用于检测欺诈增加的一个或多个模型，并且分析系统数据214以确定一个或多个模型与数据之间的连结的关键特征和条件。诊断模块212然后将任何特定数据的模型剥离到系统数据214和本地节点210。然后，监视模块211将模型发送到中央模块201，其然后将确定该模型是否可用作更新系统200的模型更新。
66.在本地节点产生更新系统的模型更新的任何实施例中，重要的是，该本地节点的特定系统数据不与更新系统中的任何中央集线器或其它本地节点共享。在一些实施例中，创建要与更新系统共享的模型的诊断模块创建独立于来自本地节点的任何特定系统数据的新模型。在一些实施例中，新模型包括以下中的一个或多个：一个或多个算法创建日期和时间、在给定时间段内检测到的事件的数量、元数据或高级聚集统计(诸如总的交易时间值)、以及用于触发更新的一个或多个阈值点。在一些实施例中，新模型包括一个或多个数据组平均值的比率统计。在一些实施例中，新模型可以检测与一个或多个数据组平均值的比率统计的偏差，以确定未来的积极结果。在一些实施例中，新模型包括表示一个或多个模型的一个或多个网络或图像图形。在一些实施例中，新模型包括表示新模型的一个或多个网络或图像图形。
67.在这里的任何实施例中，更新系统的组件可以存储在与例如在诸如银行的公司的内部服务器系统中安装的软件的相同的位置中。在一些实施例中，本文公开的任何更新系统的一些组件被存储在不同的位置中，诸如基于云的服务的一部分。
68.图4描绘了使用手动创建的模型来在具有中央模块400的更新系统中推送模型更新的示例性方法的流程图。在一些实施例中，方法400可以与图2中描绘的更新系统一起使用。首先，系统管理员手动创建将用于更新系统的新模型401。在一些实施例中，新模型包括一个或多个新的或更新的算法。在一些实施例中，新模型包括关于什么准则对于新模型的使用是必要的信息，例如，业务类型、所需的系统数据量、或由模型执行的检测的类型。在一些实施例中，新模型包括关于模型对于更新系统关键程度的优先级信息。例如，必须被推出到所有本地节点的新模型将被给予最高可能的优先级。在一些实施例中，优先级信息被分类为低优先级、中优先级或高优先级。
69.接下来，将由系统管理员创建的新模型推送到接收模型402的更新系统。在一些实施例中，更新系统的中央模块接收该模型。在接收模型402时，中央模块然后更新模型数据库403。例如，中央模块201将更新图2中描绘的更新系统200中的可用模型数据库202。
70.更新系统然后将确定用于新模型的适用终端用户404。在一些实施例中，中央模块确定哪些终端用户是适用的。在一些实施例中，中央模块通过将新模型中的标准信息与除了新模型的优先级信息外的关于每个终端用户的信息进行比较来确定哪些终端用户适用于模型更新。例如，如果用于信用卡欺诈检测的模型更新具有中优先级，则中央模块将识别更新系统中的哪些本地节点涉及信用卡欺诈检测，并且然后向这些识别的本地节点推出模型405。虽然不会向任何剩余本地节点推出模型更新，但是当那些剩余本地节点中的每一个发起更新过程时，例如如果已经过去足够长的时间没有触发监视模块的更新，则该本地节点可以接收更新。在另一个示例中，如果用于信用卡欺诈检测的模型更新具有高优先级，则中央模块将向所有本地节点输出模型405。在另一个示例中，如果用于信用卡欺诈检测的模
型更新具有低优先级，则中央模块将不会立即将模型推出到任何本地节点，而是等待每个本地节点自己发起更新过程。
71.一旦模型更新已经从中央模块发出，它就由至少一个本地节点接收411。在一些实施例中，模型更新由多个本地节点同时接收。在一些实施例中，模型更新由本文所述的任何实施例中的监视模块接收。
72.在一些实施例中，一旦本地节点已经接收到模型更新411，它就不被自动安装。首先，本地节点将查询当前模型数据库以查看模型更新是否将替换任何现有模型412。然后本地节点将确定模型更新与节点413的相关度。例如，在图2所描绘的更新系统200的本地节点210中，模型更新由监视模块211接收，然后传递到诊断模块212。诊断模块212首先查询当前模型数据库215，然后确定模型更新与本地节点210的相关度。在一些实施例中，诊断模块212将在确定相关度步骤413之后结束更新过程。在一些实施例中，如果诊断模块212确定本地节点不需要模型更新，则诊断模块212将在确定相关度步骤413之后结束更新过程。在一些实施例中，如果诊断模块212确定模型更新已经存在于本地节点中，则诊断模块212将在确定相关度步骤413之后结束更新过程。在一些实施例中，如果模型更新具有高优先级，则诊断模块212将自动绕过确定相关度步骤413。
73.在一些实施例中，一旦本地节点已经确定模型更新将是相关的或必要的，则本地节点将确定它是否具有应用模型更新的许可414。在一些实施例中，本地节点的评估模块确定本地节点是否具有应用模型更新的许可。在一些实施例中，本地节点将不具有安装模型更新的许可。在一些实施例中，本地节点将不具有安装任何模型更新的自动许可。在一些实施例中，本地节点必须在安装模型更新416之前查询或请求来自终端用户的许可。例如，一旦诊断模块212确定模型更新是相关的或者模型更新具有足够高的优先级以绕过确定相关度步骤413，则模型更新被传递到评估模块213。评估模块213然后检验本地节点的更新许可设置。在一些实施例中，如果评估模块213确定其不具有安装模型更新的许可，则评估模块213将结束更新过程。在一些实施例中，在安装模型更新之前，评估模块213将查询终端用户，例如，通过发出用户提示或通过向终端用户发送电子邮件或其他通信。
74.一旦本地节点确定它具有这样做的许可，本地节点就将安装模型更新415。在一些实施例中，评估模块安装模型更新。在一些实施例中，更新系统的任何模块安装模型更新。在一些实施例中，模型更新将一个或多个新模型安装到本地节点中的当前模型数据库。在一些实施例中，模型更新替换本地节点中的当前模型数据库中的一个或多个模型。例如，在已经建立许可之后，评估模块213利用模型更新来更新当前模型数据库215。
75.在一些实施例中，一旦更新415完成，本地节点就创建输出报告417。在一些实施例中，输出报告与终端用户共享。在一些实施例中，输出报告与更新系统的中央模块共享。在一些实施例中，输出报告包含关于模型更新的信息，包括例如更新的模型的类型、是否替换了任何旧模型、更新的日期和时间、新模型当前是否活跃或其任何组合。
76.图5描绘了用中央模块在更新系统中推送模型更新的示例性方法的流程图，其中从更新系统500中的本地节点自动创建模型更新。在一些实施例中，方法500可以与图2所描绘的更新系统一起使用，首先，更新系统中的本地节点将检测来自其现有模型501的结果的变化。在一些实施例中，更新系统中的本地节点将检测欺诈检测率的改变。在一些实施例中，欺诈检测率的变化是欺诈检测的增加大于预设阈值。在一些实施例中，欺诈检测率的变
化是在给定时间段内欺诈的显著增加或减少。在一些实施例中，更新系统中的本地节点将检测所检测的欺诈量级的改变。在一些实施例中，欺诈量级的变化是检测的欺诈事件的值或金额的增加大于预设阈值。在一些实施例中，欺诈量级的变化是与检测的事件的运行平均值或均值相比检测的欺诈事件的值或金额的显著增加。例如，如图2中所描绘的诊断模块212分析系统数据214并且检测到欺诈检测率的增加，该增加大于偏离3个月运行平均欺诈检测率的标准差。
77.一旦已经检测来自其现有模型的结果的改变501，本地节点将列出该检测中涉及的所有模型502。在一些实施例中，本地节点将列出与产生在步骤501中检测到的事件直接涉及的所有模型。在一些实施例中，本地节点将列出与产生在步骤501中检测到的事件直接和间接涉及的所有模型。在一些实施例中，本地节点将列出在步骤501中检测到事件时所有活跃运行的模型。例如，诊断模块212在访问系统数据214和当前模型数据库215的情况下将列出直接和间接涉及产生先前在步骤501中检测到的欺诈事件的所有算法模型。
78.一旦本地节点已经列出与检测到的变化501相关的模型502，则本地节点将分析在产生导致检测到的变化的事件时所涉及的数据503。在一些实施例中，本地节点分析系统数据以确定与在步骤502中列出的模型相关的特征和条件，以产生在步骤501中检测到的事件。在一些实施例中，本地节点分析可以包括但不限于普通最小二乘法、惩罚回归、广义加性模型、分位数回归、逻辑回归和门控线性模型。在一些实施例中，本地节点分析将是一个或多个相关模型的变换变型，其降低了那些模型的复杂度。例如，对非线性、非单调的模型设置单调性约束以使模型围绕已知为真的变量关系定向，或者将单调神经网络用于机器学习应用。在一些实施例中，相关可视化将是近似一个或多个适用模型、尤其是机器学习模型的相关但不太复杂的模型。例如，代理模型、本地可解释的模型不可知的解释(lime)、最大激活分析、线性回归和灵敏度分析。
79.一旦本地节点已经列出模型502并分析相关数据503，本地节点就可以生成将被发送到更新系统的其余部分的模型更新504的特征。在一些实施例中，本地节点的诊断模块生成模型特征504。在一些实施例中，模型更新的特征是本地节点不可知的，即，模型更新可由更新系统中的任何本地节点使用。因此，由本地节点生成的模型更新被剥离该本地节点的任何特定数据。在一些实施例中，模型更新特征包括以下中的一个或多个：一个或多个算法、创建日期和时间、在给定时间段内检测到的事件的数量、元数据或高层级聚集统计，诸如总的交易时间值，以及用于触发更新的一个或多个阈值点。在一些实施例中，模型更新特征包括一个或多个数据组平均值的比率统计。在一些实施例中，模型更新可以检测与一个或多个数据组平均值的比率统计的偏差，以确定未来的积极结果。在一些实施例中，模型更新特征包括表示一个或多个模型的一个或多个网络或图像图形。在一些实施例中，模型更新特征包括表示新模型的一个或多个网络或图像图形。
80.一旦本地节点已经生成模型特征504，本地节点就可以输出模型更新505。在一些实施例中，本地节点将模型更新输出到更新系统的中央模块，该中央模块接收到模型更新506。例如，本地节点210的监视模块211可以从诊断模块212接收模型更新，然后监视模块211可以将模型更新发送到接收模型更新的中央模块201。
81.在从本地节点506接收到模型更新时，更新系统的中央模块将随后查询模型数据库507。在一些实施例中，中央模块查询模型数据库以确定模型更新是否已经存在。在一些
实施例中，中央模块查询模型数据库以确定模型更新是替换数据库中的现有模型还是数据库的新模型。在一些实施例中，当中央模块查询模型数据库并且确定模型更新可以替换或修改数据库中的现有模型时，中央模块可以拉取关于现有模型的模型信息。在一些实施例中，模型信息可以包括以下中的一个或多个：模型创建日期和时间、模型最后更新的日期和时间、以及当前有多少本地节点使用该模型。例如，在从本地节点210接收到模型更新时，中央模块201针对可用模型数据库202检验模型更新。中央模块201确定模型更新是否已经存在于可用模型数据库202中，并且如果是，则中央模块201将拉取关于任何现有模型的相关信息。
82.在更新系统的中央模块查询模型数据库507之后，中央模块然后将确定模型更新的优先级层级508。在一些实施例中，模型更新的优先级层级将被列为高、中或低。在一些实施例中，模型更新的优先级层级将以数值尺度列出，例如，在1至10的范围或其它常见的数值范围之间列出。在一些实施例中，中央模块通过将模型更新特征与预定尺度进行比较来确定模型更新的优先级层级。在一些实施例中，中央模块通过将模型更新特征与模型数据库进行比较来确定模型更新的优先级层级。在一些实施例中，中央模块通过将模型更新特征与存储在现有模型数据库中的模型信息进行比较来确定模型更新的优先级层级。在一些实施例中，模型更新特征与现有模型信息的比较得到优先级等级，然后将该优先级等级转变成优先级层级。
83.例如，在更新系统200的中央模块201针对可用模型数据库202检验用于信用卡欺诈检测的模型更新之后，中央模块201确定类似模型已经存在于数据库中并且拉取关于现有模型的信息。中央模块201然后将模型更新特征与现有模型信息进行比较，并计算优先级等级。作为第一示例，中央模块确定用于信用卡欺诈检测的现有模型在一年内未被更新，模型更新是现有模型的直接替换，并且模型更新可以在使用条件的范围内提高检测信用卡欺诈的性能。这些差异引起高优先级等级，中央模块201将其转变成高优先级层级。作为第二示例，中央模块确定用于信用卡欺诈检测的现有模型最近已经被更新，并且模型更新将仅被期望以提高仅有少数终端用户已知具有、具有足够大的用户基础的信用卡欺诈的检测性能。这些差异导致相对较低的优先级等级，中央模块201将其转变为中等优先级层级。
84.在确定优先级之后，更新系统将接着确定用于新模型的适用终端用户509。在一些实施例中，中央模块确定哪些终端用户是适用的。在一些实施例中，中央模块通过将模型更新特征与除了新模型的优先级信息外的关于每个终端用户的信息进行比较来确定哪些终端用户适用于模型更新。例如，如果用于信用卡欺诈检测的模型更新具有中优先级，则中央模块将识别更新系统中的哪些本地节点涉及信用卡欺诈检测，并且然后向那些识别的本地节点推出模型510。虽然不会向任何剩余本地节点推出模型更新，但是当那些剩余本地节点中的每一个发起更新过程时，例如如果已经过去足够长的时间而没有触发监视模块的更新，则该本地节点可以接收更新。在另一个示例中，如果用于信用卡欺诈检测的模型更新具有高优先级，则中央模块向所有本地节点输出模型510。在另一个示例中，如果用于信用卡欺诈检测的模型更新具有低优先级，则中央模块将不会立即将模型推出到任何本地节点，而是等待每个本地节点自己发起更新过程。
85.一旦模型更新已经从中央模块发出，它就由至少一个本地节点接收511。在一些实施例中，模型更新由多个本地节点同时接收。在一些实施例中，模型更新由本文所述的任何
实施例中的监视模块接收。
86.在一些实施例中，一旦本地节点已经接收到模型更新511，它就不被自动安装。首先，本地节点将查询当前模型数据库以查看模型更新是否将替换任何现有模型512。则本地节点将确定模型更新与节点的相关度513。例如，在图2所描绘的更新系统200的本地节点210中，模型更新由监视模块211接收，然后传递到诊断模块212。诊断模块212首先查询当前模型数据库215，然后确定模型更新与本地节点210的相关度。在一些实施例中，诊断模块212将在确定相关度步骤513之后结束更新过程。在一些实施例中，如果诊断模块212确定本地节点不需要模型更新，则诊断模块212将在确定相关度步骤513之后结束更新过程。在一些实施例中，如果诊断模块212确定模型更新已经存在于本地节点中，则诊断模块212将在确定相关度步骤513之后结束更新过程。在一些实施例中，如果模型更新具有高优先级，则诊断模块212将自动绕过确定相关度步骤513。
87.在一些实施例中，一旦本地节点已经确定模型更新将是相关的或必要的，则本地节点将确定它是否具有应用模型更新的许可514。在一些实施例中，本地节点的评估模块确定本地节点是否具有应用模型更新的许可。在一些实施例中，本地节点将不具有安装模型更新的许可。在一些实施例中，本地节点将不具有安装任何模型更新的自动许可。在一些实施例中，本地节点必须在安装模型更新之前查询或请求来自终端用户的许可516。例如，一旦诊断模块212已经确定模型更新是相关的或者模型更新具有足够高的优先级以绕过确定相关度步骤513，则模型更新被传递到评估模块213。评估模块213然后检验本地节点的更新许可设置。在一些实施例中，如果评估模块213确定其不具有安装模型更新的许可，则评估模块213将结束更新过程。在一些实施例中，在安装模型更新之前，评估模块213将查询终端用户，例如，通过发出用户提示或通过向终端用户发送电子邮件或其他通信。
88.一旦本地节点确定它具有这样做的许可，本地节点就将安装模型更新515。在一些实施例中，评估模块安装模型更新。在一些实施例中，更新系统的任何模块安装模型更新。在一些实施例中，模型更新将一个或多个新模型安装到本地节点中的当前模型数据库。在一些实施例中，模型更新替换本地节点中的当前模型数据库中的一个或多个模型。例如，在已经建立许可之后，评估模块213利用模型更新来更新当前模型数据库215。
89.在一些实施例中，一旦更新515完成，本地节点就创建输出报告517。在一些实施例中，输出报告与终端用户共享。在一些实施例中，输出报告与更新系统的中央模块共享。在一些实施例中，输出报告包含关于模型更新的信息，包括例如更新的模型的类型、是否替换了任何旧模型、更新的日期和时间、新模型当前是否活跃或其任何组合。
90.图6描绘了在没有中央模块的更新系统中推送模型更新的示例性方法的流程图，其中从更新系统600中的本地节点自动创建模型更新。在一些实施例中，方法600可以与图3中描绘的更新系统一起使用。首先，更新系统中的本地节点将检测来自它们的现有模型601的结果的改变。在一些实施例中，更新系统中的本地节点将检测欺诈检测率的改变。在一些实施例中，欺诈检测率的变化是欺诈检测的增加大于预设阈值。在一些实施例中，欺诈检测率的变化是在给定时间段内欺诈的显著增加或减少。在一些实施例中，更新系统中的本地节点将检测所检测的欺诈大小的改变。在一些实施例中，欺诈量级的变化是检测到的欺诈事件的值或金额的增加大于预设阈值。在一些实施例中，欺诈量级的变化是与检测到的事件的运行平均值或均值相比检测到的欺诈事件的值或金额的显著增加。例如，如图3中所描
绘的诊断模块312分析系统数据314，并且检测到欺诈检测率的增加大于偏离3个月运行平均欺诈检测率的标准差。
91.一旦检测到来自其现有模型的结果的改变601，本地节点将列出该检测中涉及的所有模型602。在一些实施例中，本地节点将列出与产生在步骤601中检测到的事件直接涉及的所有模型。在一些实施例中，本地节点将列出与产生在步骤601中检测到的事件直接和间接涉及的所有模型。在一些实施例中，本地节点将列出在步骤601中检测到事件时所有活跃运行的模型。例如，诊断模块312在访问系统数据314和当前模型数据库315的情况下将列出直接和间接涉及产生先前在步骤601中检测到的欺诈事件的所有算法模型。
92.一旦本地节点已经列出与检测到的变化601相关的模型602，本地节点将分析在产生导致检测到的变化的事件中所涉及的数据603。在一些实施例中，本地节点分析系统数据以确定与在步骤602中列出的模型相关的特征和条件，以产生在步骤601中检测的事件。在一些实施例中，本地节点分析可以包括但不限于普通最小二乘法、惩罚回归、广义加性模型、分位数回归、逻辑回归和门控线性模型。在一些实施例中，本地节点分析将是相关模型的变换变型，其降低了那些模型的复杂度。例如，对非线性、非单调的模型设置单调性约束以使模型围绕已知为真的变量关系定向，或者将单调神经网络用于机器学习应用。在一些实施例中，相关可视化将是近似一个或多个适用模型、尤其是机器学习模型的相关但不太复杂的模型。例如，代理模型、本地可解释的模型不可知的解释(lime)、最大激活分析、线性回归和灵敏度分析。
93.一旦本地节点已经列出模型602并且分析相关数据603，本地节点就可以生成将被发送到更新系统的其余部分的模型更新604的特征。在一些实施例中，本地节点的诊断模块生成模型特征604。在一些实施例中，模型更新的特征是本地节点不可知的，即，模型更新可由更新系统中的任何本地节点使用。因此，由本地节点生成的模型更新被剥离该本地节点的任何特定数据。在一些实施例中，模型更新特征包括以下中的一个或多个：一个或多个算法、创建日期和时间、在给定时间段内检测到的事件的数量、元数据或高层级聚集统计，诸如总的交易时间值，以及用于触发更新的一个或多个阈值点。在一些实施例中，模型更新特征包括一个或多个数据组平均值的比率统计。在一些实施例中，模型更新可以检测与一个或多个数据组平均值的比率统计的偏差，以确定未来的积极结果。在一些实施例中，模型更新特征包括表示一个或多个模型的一个或多个网络或图像图形。在一些实施例中，模型更新特征包括表示新模型的一个或多个网络或图像图形。
94.一旦本地节点已经生成了模型特征604，本地节点就可以输出模型更新605。在一些实施例中，本地节点将模型更新输出到更新系统的至少一个其他本地节点，其接收模型更新611。在一些实施例中，本地节点将模型更新输出到更新系统的所有其它本地节点。例如，本地节点310的监视模块311可以从诊断模块312接收模型更新，然后监视模块311可以将模型更新发送到接收模型更新的其它本地节点320。
95.在一些实施例中，一旦本地节点已经接收到模型更新611，它就不被自动安装。首先，本地节点将查询当前模型数据库以查看模型更新是否将替换任何现有模型612。则本地节点将确定模型更新与节点613的相关度。例如，在图3所描绘的更新系统300的本地节点310中，模型更新由监视模块311接收，然后被传递到诊断模块312。诊断模块312首先查询当前模型数据库315，然后确定模型更新与本地节点310的相关度。在一些实施例中，诊断模块
312将在确定相关度步骤613之后结束更新过程。在一些实施例中，如果诊断模块312确定本地节点不需要模型更新，则诊断模块312将在确定相关度步骤613之后结束更新过程。在一些实施例中，如果诊断模块312确定模型更新已经存在于本地节点中，则诊断模块312将在确定相关度步骤613之后结束更新过程。
96.在一些实施例中，一旦本地节点已经确定模型更新将是相关的或必要的，则本地节点将确定它是否具有应用模型更新的许可614。在一些实施例中，本地节点的评估模块确定本地节点是否具有应用模型更新的许可。在一些实施例中，本地节点将不具有安装模型更新的许可。在一些实施例中，本地节点将不具有安装任何模型更新的自动许可。在一些实施例中，本地节点必须在安装模型更新616之前查询或请求来自终端用户的许可。例如，一旦诊断模块312已经确定模型更新是相关的，则模型更新被传递到评估模块313。评估模块313然后检验本地节点的更新许可设置。在一些实施例中，如果评估模块313确定其不具有安装模型更新的许可，则评估模块313将结束更新过程。在一些实施例中，评估模块313将在安装模型更新之前，例如通过发出用户提示或通过向终端用户发送电子邮件或其它通信来查询终端用户。
97.一旦本地节点确定它具有这样做的许可615，本地节点就将安装模型更新。在一些实施例中，评估模块安装模型更新。在一些实施例中，更新系统的任何模块安装模型更新。在一些实施例中，模型更新将一个或多个新模型安装到本地节点中的当前模型数据库。在一些实施例中，模型更新替换本地节点中的当前模型数据库中的一个或多个模型。例如，在已经建立许可之后，评估模型313利用模型更新来更新当前模型数据库315。
98.在一些实施例中，一旦更新615完成，本地节点就创建输出报告617。在一些实施例中，输出报告与终端用户共享。在一些实施例中，输出报告与更新系统的中央模块共享。在一些实施例中，输出报告包含关于模型更新的信息，包括例如更新的模型的类型、是否替换了任何旧模型、更新的日期和时间、新模型当前是否活跃或其任何组合。
99.在一些实施例中，本文公开的任何系统的用户可以是一个或多个人类用户，如已知的“人在环中(human-in-the-loop)”系统。在一些实施例中，本文公开的任何系统的用户可以是计算机系统、人工智能(“ai”)、认知或非认知算法等。
100.上述实施例描述了用于基于例如对与使用中的模型相关联的数据的监视和分析以及随着新的可检测活动和模式出现而对新模型的不断发展的需求，来更新检测模型的系统和方法。存在这样的实例，其中可以用更稳健的数据集(诸如模型结果、测试结果等)来更新和改进本地节点所使用的检测模型。此外，更大的数据集可以通过数据共享来实现，诸如其可以通过诸如公司、金融机构等实体的协议或联盟来发生。然而，需要维护数据隐私，尤其是当用于生成模型的数据是敏感信息，诸如个人标识信息时。此外，当敏感数据被发送到共享设备时，通常需要(例如，规章要求)记录数据流的各个方面，以及跟踪和记录与数据相关地发生的各种动作和事件，以便确保遵从隐私保护(例如，本地法律和规章)。所公开的实施例还提供了用于在模型生成中利用信息的共享数据集，同时包括诸如通过计算不可跟踪回到数据的一般特征进行隐私保护的系统和方法。
101.图7是包括由网络730连接的检测模型系统700、本地节点710和本地节点720的示例性系统的图。在示例性实施例中，检测模型系统700是包括硬件和软件组件的计算系统。在一些实施例中，检测模型系统700与中央模块201相同或相似。在其他实施例中，检测模型
系统700是本地节点，诸如本地节点310。本地节点710、720可以是终端用户设备，诸如与实体(例如，金融机构)相关联的计算设备。本地节点710、720可以与本地节点100、210、220、310和/或320相同或相似。
102.检测模型系统700可以包括多个模块，其被实施在提供检测模型和隐私保护功能的硬件和/或软件中。在示例性实施例中，检测模型系统700包括数据控制模块702、模型管理器704、隐私管理器706和跟踪模块708。
103.数据控制模块702可以被配置为从本地节点710、720接收数据。在示例性实施例中，数据可以包括不是单个客户的客户或交易数据而是描述包括多个客户和/或交易的数据集的内容的聚集特征数据。例如，聚集特征数据可以包括度量数据(例如，分组数据的计算度量，诸如客户或交易的计数)、区域数据(关于交易发生的地点的统计)、时间数据(关于交易发生的时间的统计)、金额数据(例如，发生的金额的范围)等。数据控制模块702可以被配置为控制去往和来自检测模型系统700的数据流，诸如通过发送数据请求、数据传输等。
104.模型管理器704可以被配置为管理检测模型系统700与本地节点710、720之间的检测模型的生成和部署。模型管理器704可以包括在图1-3的一个或多个中描述的一个或多个组件。例如，模型管理器704可以包括监视模块、诊断模块和/或评估模块，用于基于接收的数据(诸如由数据控制模块702接收的数据)更新检测模型。模型管理器704可以被配置为基于如本文所述的模型更新来生成模型并将模型部署到本地节点710、720。在附加的或替换的实施例中，模型管理器704可以包括其它组件(例如，附加的或替换的模块)。
105.隐私管理器706被配置为在由模型管理器704生成和部署检测模型时执行一个或多个隐私保护功能。例如，隐私管理器706可以被配置为监视由数据控制模块702接收的数据，并且考虑到保护被发送到检测模型系统700和由其接收的数据而执行一个或多个数据隐私动作(例如，防止由本地节点720访问来自本地节点710的数据)。数据隐私动作可以包括例如加密/解密来自数据控制模块702的数据、删除所使用的数据、聚集数据、数据匿名化、标记数据以便跟踪和记录等。
106.跟踪模块708被配置为跟踪通过检测模型系统700的数据流，并且记录一个或多个事件、统计和/或数据的内容。跟踪模块708被配置为执行跟踪和记录功能以监视数据的接收和使用，诸如出于遵从数据隐私保护和规章的目的。
107.本地节点710、720与检测模型系统700通信，使得本地节点710、720向检测模型系统700供应高层级特征数据和/或检测模型，并且在一些实例下，向其他本地节点供应高层级特征数据和/或检测模型。例如，本地节点710可以再训练模型并生成将经由网络730发送到其他节点(诸如本地节点720)的再训练包。再训练包可以包括用于基于数据计算特征的指令。在一些实施例中，本地节点710、720可以向检测模型系统700供应特征数据，检测模型系统700可以基于特征数据生成更新的模型，并且检测模型系统700可以通过提供用于计算一个或多个特征的指令来将模型部署到本地节点710和720。应当理解，本地节点710、720是示例性的，并且任意数量的本地节点可以连接到检测模型系统700(或者检测模型系统700可以是被配置为执行一个或多个所公开的功能的单个本地节点)。
108.在一些实施例中，本地节点710可以包括模型管理器712和隐私管理器714。模型管理器712可以被配置为管理本地节点710与其他本地节点(例如，本地节点720)和/或检测模型系统700之间的检测模型的生成和部署。在一些实施例中，模型管理器712可以包括在图
1-3的一个或多个中描述的组件。例如，模型管理器712可以包括监视模块、诊断模块和/或评估模块，用于诸如经由关于图4-6描述的一个或多个过程来更新检测模型。在附加或替代的实施例中，模型管理器712可以包括其他组件(例如，附加或替代模块)。模型管理器712可以被配置为接收从检测模型系统700部署的模型。在其他实施例中，模型管理器712可以被配置为生成更新的检测模型，并且例如将更新的检测模型递送到检测模型系统700。
109.隐私管理器714被配置为在由模型管理器712生成和部署检测模型时执行一个或多个隐私保护功能。例如，隐私管理器714可以被配置为监视要发送到检测模型系统700的数据，并且考虑到保护被发送到检测模型系统700的数据而执行一个或多个数据隐私动作。数据隐私动作可以包括例如将数据聚集成一般特征、生成用于计算特征的指令、加密/解密数据、删除所使用的数据、数据的匿名化、标记数据以用于跟踪和记录等。本地节点720可以类似地包括模型管理器722和隐私管理器724。
110.网络730可以是局部网络或全局网络，并且可以包括有线和/或无线组件以及实现所公开的系统的组件的内部和/或外部通信的功能。网络140可以由至少部分地经由云服务提供的因特网来实施，和/或可以包括使得能够向和从服务提供商系统100的系统和组件进行数据传送的一个或多个通信设备或系统。
111.图8是本地节点710的示例性实施例的框图。在示例性实施例中，本地节点710包括模型管理器712和隐私管理器714。在一些实施例中，模型管理器712可以包括性能模块810、再训练模块820和共享模块830。隐私管理器714可以包含数据收集模块840、聚集模块850和指令模块860。所描绘的模型管理器712和隐私管理器714的实施例是示例性的，并且还可以描述模型管理器704、722和隐私管理器706、724中的一个或多个。
112.性能模块810可以是被配置为控制检测模型的性能的硬件和/或软件组件，该检测模型诸如用于金融机构数据的欺诈检测模型。性能模块810可以使用诸如交易和客户数据的数据来执行检测模型。性能模块810可以跟踪模型性能并提供反馈。例如，性能模块810可以实现再训练的模型，将计算的特征与阈值进行比较，并且检测触发的活动警报。性能模块810可以向用户提供警报，诸如基于新的或再训练的检测模型向用户警报交易或客户。
113.再训练模块820可以是被配置为再训练检测模型的硬件和/或软件组件。例如，再训练模块820可以调整检测模型以包括用于基于数据检测某些活动的替换或附加过程，诸如检测可疑或欺诈活动。在一些实施例中，再训练模块820被配置为基于来自性能模块810或其他源(例如，客户或交易数据库)的数据生成新的检测过程。例如，再训练模块820可以基于用户生成的检测模型从用户界面接收用户输入数据。
114.共享模块830可以被配置为通过应用用于从数据计算特征的指令来实现新的检测模型或再训练的检测模型。例如，共享模块830可以从诸如本地节点720或检测模型系统700之类的另一设备接收指令，并且使用指令来计算作为再训练的检测模型或新的检测模型的一部分的特征。
115.数据收集模块840可以被配置为从模型管理器712和/或其他源(例如，客户或交易数据库)收集数据。数据可以包括敏感数据，诸如交易级数据、识别数据等。数据可以包括由金融机构接收并保密的信息，但是该信息不可能与其他实体共享。
116.聚集模块850可以被配置为将数据聚集成描述数据但不可跟踪或不可逆到敏感数据中的一般特征。一般特征的示例包括度量数据(例如，分组数据的计算度量，诸如客户或
交易的计数)、区域数据(关于交易发生的地点的统计)、时间数据(关于交易发生的时间的统计)、金额数据(例如，发生的金额的范围)等。来自聚集模块850的一般特征不包括敏感数据，因此可以与其他实体共享而不暴露私有信息。
117.指令模块860被配置为产生用于基于用于再训练检测模型的数据来计算一个或多个一般特征的指令。指令可以包括附加到用于在另一本地节点(例如，本地节点720)中实现检测模型的再训练包的元数据。例如，指令模块860可以产生使用数据来计算一般特征或基于所计算的特征的组合的变量的算法，但是变量本身不包括任何数据。共享模块830可以将指令与具有阈值的算法组合，该阈值用于在新数据用于计算选择的特征并且与阈值进行比较时触发活动警报。共享模块830可以将包发送到另一组件，诸如本地节点720或检测模型系统700。
118.图9是用于生成和共享更新的检测模型或从数据集再训练的模型同时维护数据隐私的示例性过程900的流程图。在一些实施例中，诸如检测模型系统700、本地节点710和/或本地节点720的一个或多个组件可以执行过程900的一个或多个步骤。例如，处理器可以执行存储在与一个或多个设备相关联的数据存储设备中的软件指令。
119.在步骤905中，本地节点710可以识别用于生成更新的检测模型的相关数据。例如，本地节点710可以从部署的模型收集数据，诸如结果、测试数据等。在其它实施例中，本地节点710可以收集客户数据，以用于再训练部署的模型。在一些实施例中，隐私管理器714可以接收选择的数据(例如，在数据收集模块840处)。
120.在步骤910中，本地节点710可以将数据聚集成特征。例如，聚集模块850可以使用数据来创建一个或多个度量或统计，其描述数据的内容，但是不能被变换或逆向工程到数据本身中。换句话说，敏感客户和交易数据不能从特征中确定。例如，聚集模块850可以产生关于交易的地点或时间、完成某些交易的客户类型、交易结果、证明是欺诈性的交易类型等的统计。特征可以是例如星期三$35的平均购买金额，而实际数据本身可以是客户标识符和关于这些购买的交易细节。该特征被聚集并且是一般性的，以描述数据的内容，但是不能用于精确地确定实际数据。因此，一般特征不包括数据，并且提供隐私层以避免实际敏感数据。
121.在步骤915中，本地节点710可以使用聚集的特征再训练模型。例如，用户可以提供使用特征来将变量与可接受范围进行比较的算法，以便标记满足特定标准的交易或交易组。在一些实施例中，再训练模块820可以将算法添加到检测模型作为用于检测数据中的某些行为的改进手段。性能模块810可以使用再训练的模型来检测客户数据中的该行为。
122.在步骤920中，本地节点710可以确定用于计算再训练的模型所需的特征(例如，用于使用数据来确定通过再训练添加的算法的要素)的实现方式指令。指令可以包括计算和/或变量，诸如区域范围内的平均数量、年龄65岁以上的客户数量等，以从数据确定特征。指令还可以包括用于触发事件的检测的决策部分。例如，如果区域性地区中的交易数量超过阈值，则触发可疑活动警报。因此，指令告诉模块如何使用其自己的数据来执行检测过程。
123.在步骤925中，本地节点710可以将计算的特征和/或指令加密为用于共享的再训练包。例如，指令模块860可以使用加密算法来为要共享的数据添加附加隐私层，诸如特征和/或指令。在步骤930中，本地节点710可以经由网络730将加密的再训练包发送到另一本地节点(例如，本地节点720)或检测模型系统700。
124.在步骤935中，本地节点720直接或经由检测模型系统700从本地节点710接收再训练包。在步骤940中，本地节点720可以解密所接收的包。例如，隐私管理器706可以使用解密算法来转换加密的包，以获得与检测模型的再训练相关联的特征和/或指令。
125.在步骤945中，本地节点720被配置为以使用解密的指令来计算特征。例如，本地节点720被配置为使用其中数据(例如，敏感客户和/或交易数据)作为输入并且以一个或多个一般特征作为输出的算法。在步骤950中，本地节点720被配置为使用计算的特征和解密的包来再训练模型。例如，本地节点720可以再训练检测模型以包括一个或多个计算的特征与阈值的比较。因此，再训练的模型在不共享数据的情况下包括基于来自另一个本地节点的特征的附加检测组件。
126.在步骤955中，本地节点720删除使用的数据。例如，隐私管理器724可以利用数据删除方案，以便在所接收的特征已经用来再训练模型之后删除所接收的特征。例如，隐私管理器706可以使用删除定时器来设置数据的到期。该期满可以是在滚动的基础上格式化的，以便在数据本身随着从本地节点接收而改变时维护特定的数据集大小。在一些实施例中，隐私管理器724可以删除与特征相关联的元数据指令。在一些实施例中，删除步骤可以与加密/解密步骤结合发生。例如，数据可以在单个处理循环中被解密、匿名化和删除，以最小化数据或特征的暴露并提供附加的隐私层。
127.在步骤960中，本地节点720被配置为记录与模型生成和部署过程相关联的事件。例如，本地节点720可以向检测模型系统700提供再训练数据，以便跟踪具有再训练模型的节点。例如，跟踪模块708可以使用与接收的数据相关联的元数据来记录与模型再训练过程相关联的事件。例如，跟踪模块708可以收集和存储与数据接收、使用、加密、解密、删除等相关联的信息。跟踪模块708可以存储与导致创建和部署检测模型更新的每个过程相关联的模型记录。
128.在过程900中，所公开的系统和组件被配置为在检测模型更新方案中利用组合数据集，同时实现允许使用组合数据集的数据隐私保护。例如，实体联盟协议可以实现用作检测模型系统的一种系统，用于收集数据、执行隐私保护动作(诸如聚集成特征、生成用于计算特征的指令、加密、删除和跟踪)、并且记录事件和内容以供审计、遵从性等使用。
129.在一些实施例中，检测模型系统700可以从多个本地节点(例如，本地节点710和720)接收在步骤910中聚集的数据。例如，本地节点710、720可以使用指令(例如，来自检测模型系统700)来计算模型特征，并将该特征提供回检测模型系统700。检测模型系统700可以使用来自多个本地节点的多个聚集特征来更新检测模型或产生新的检测模型(步骤915-925)。检测模型系统随后可以将新的检测模型包部署到多个本地节点(例如，本地节点710、720)。本地节点710、720可以接收该包，并执行步骤935-960以实现再训练的或新的模型。在该实施例中，检测模型系统700从多个源收集聚集特征，并且使用组合数据作为用于再训练模型的更稳健的源。例如，检测模型系统700可以使用来自一个本地节点的聚集数据来确认或验证来自另一本地节点的检测算法。在另一示例中，来自多个节点的特征可以被重新聚集到更高的抽象层级(例如，描述该特征的特征)以形成新模型和/或再训练模型。例如，检测模型系统700可以使用来自多个本地节点的特征的值来确定用于再训练检测模型的度量，其中该度量是根据特征的值来确定的。例如，用于确定度量的指令可以被递送到本地节点，并且可以用于在针对度量的所确定的值超过阈值时触发警报。
130.图10是其中实现说明性实施例的各方面的示例数据处理系统1000的框图。数据处理系统1000是计算机的示例，实现本发明的说明性实施例的过程的计算机可用代码或指令位于该计算机中。在一个实施例中，图10表示实体解析系统110，其实现这里描述的服务提供商系统100的至少一些方面。
131.在所描述的示例中，数据处理系统1000可以采用包括北桥和存储器控制器集线器(nb/mch)1001以及南桥和输入/输出(i/o)控制器集线器(sb/ich)1002的集线器架构。处理单元1003、主存储器1004和图形处理器1005可以连接到nb/mch 1001。图形处理器1005可以通过加速图形端口(agp)连接到nb/mch 1001。
132.在所描绘的示例中，网络适配器1006连接到sb/ich 1002。音频适配器1007、键盘和鼠标适配器1008、调制解调器1009、只读存储器(rom)1010、硬盘驱动器(hdd)1011、光盘驱动器(cd或dvd)1012、通用串行总线(usb)端口和其它通信端口1013，以及pci/pcie设备1014可以通过总线系统1016连接到sb/ich 1002。pci/pcie设备1014可以包括以太网适配器、附加卡和用于笔记本计算机的pc卡。rom 1010可以是例如闪速基本输入/输出系统(bios)。hdd 1011和光学驱动器1012可以使用集成驱动电子设备(ide)或串行高级技术附件(sata)接口。超级i/o(sio)设备1015可以连接到sb/ich 1002。
133.操作系统可以在处理单元1003上运行。操作系统可以协调并提供对数据处理系统1000内的各种组件的控制。作为客户端，操作系统可以是商用的操作系统。面向对象的编程系统，诸如java
tm
编程系统，可以与操作系统一起运行，并且从在数据处理系统1000上执行的面向对象的程序或应用提供对操作系统的调用。作为服务器，数据处理系统1000可以是运行高级交互执行操作系统或操作系统的eserver
tm
系统数据处理系统1000可以是对称多处理器(smp)系统，其可以包括处理单元1003中的多个处理器。替代地，可以采用单处理器系统。
134.用于操作系统、面向对象的编程系统以及应用或程序的指令位于诸如hdd 1011的存储设备上，并且被加载到主存储器1004中以供处理单元1003执行。网站导航系统的实施例的过程可以由处理单元1003使用计算机可用程序代码来执行，所述计算机可用程序代码可以位于诸如主存储器1004、rom1010之类的存储器中，或者位于一个或多个外围设备中。
135.总线系统1016可以包括一个或多个总线。总线系统1016可以使用任何类型的通信结构或架构来实现，所述通信结构或架构可以提供在附接到该结构或架构的不同组件或设备之间的数据的传送。诸如调制解调器1009或网络适配器1006之类的通信单元可以包括可以用于发送和接收数据的一个或多个设备。
136.本领域的普通技术人员将理解，图10中所描绘的硬件可以根据实现方式而变化。例如，数据处理系统1000包括若干组件，这些组件不会直接包括在所公开的系统的一些实施例中。然而，应当理解，所公开的系统可以包括用于执行根据所公开的实施例的处理方法和步骤的数据处理系统1000的一个或多个组件和配置。
137.除了所描绘的硬件外，或者代替所描绘的硬件，可以使用其它内部硬件或外围设备，诸如闪速存储器、等效的非易失性存储器或光盘驱动器。此外，数据处理系统1000可以采取多种不同数据处理系统中的任何一种的形式，包括但不限于客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或其他通信设备、个人数字助理等。本质上，数据处理系统1000可以是任何已知的或以后开发的数据处理系统，而没有架构限制。
138.本领域的普通技术人员将理解，运行本文所述的任何系统和方法所需的硬件可以根据实现方式而变化。除了所描绘的硬件之外，或者代替所描绘的硬件，可以使用其它内部硬件或外围设备，诸如闪速存储器、等效的非易失性存储器或光盘驱动器。此外，本文描述的任何系统可以采取许多不同数据处理系统中的任何数据处理系统的形式，包括但不限于客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或其他通信设备、个人数字助理等。本质上，本文描述的任何系统可以是任何已知的或以后开发的数据处理系统，而没有架构限制。
139.附图中的系统和方法不是排他性的。根据这里描述的实施例的原理可以导出其它系统和过程以实现相同的目的。应当理解，这里示出和描述的实施例和变型仅用于说明的目的。在不脱离实施例的范围的情况下，本领域技术人员可以实现对当前设计的修改。如本文所述，可以使用硬件组件、软件组件和/或其组合来实现各种系统、子系统、代理、管理器和过程。
140.尽管已经参考示例性实施例描述了本发明，但是本发明不限于此。本领域技术人员将理解，可以对本发明的优选实施例进行许多改变和修改。因此，所附权利要求书旨在被解释为覆盖落入本发明范围内的所有这些等同变化。