:
[0022] (11)提取机主使用特定应用操作时间的统计特征,进行预处理:提取机主本人使 用手机时的特定应用操作时间的统计规律,再基于该统计数据,得到手机机主对每个特定 应用的操作时间t和概率P的关系式及其分布曲线,从而将每个手机机主的不同特定应用 操作都分别对应为一个二次函数拟合曲线,并以该拟合曲线作为每个手机机主本人的特定 应用操作时间的统计特征。
[0023] 本发明的实施例是以短信操作为例,具体统计方法描述如下:采集机主100次短 信应用操作的时间长度值,以3秒为计算时间间隔,具体数据如下表1所示。
[0024] 表1 :某手机机主100次短信操作时间的统计表
[0025]
[0026] 该表1中,t为操作时间,F为操作频数(即100次操作中操作时间为t的操作次 数)。基于上述统计数据,得到手机机主的短信操作时间t和概率P的关系。
[0027] (12)从每个特定应用操作时间的数据分布曲线中的最大值,分别往其两边逐步递 减,且递减速度逐步变快,得到的该特定应用操作时间的分布规律与二次函数曲线相类似; 这样就能够用二次函数对机主操作每个特定应用操作的时间规律进行拟合,使得每个机主 的各个特定应用操作的时间t及其操作频率F的拟合模型设置为二次函数拟合曲线:F= at2+bt+ct;式中,操作频率F为100次手机操作中操作时间为t的操作次数,t为操作时间, a、b、c分别为每个特定应用的不同拟合系数,且不同机主对每个特定应用的操作时间统计 特性所对应的二次函数的a和b数值各不相同,具体数值取决于采集的样本空间;另外,基 于实际物理含义,操作时间为〇的设定操作的发生频次也是〇,故c= 〇 ;这样就得到每个机 主对每个特定应用的单个行为操作时间的分布特征拟合曲线,其公式为:F=at2+bt。
[0028] 实施例的数据分布曲线存在一个最大值,从最大值往两边逐步递减、且递减速度 也逐步变快。该曲线的分布规律与二次函数的分布规律相类似,因此可以将机主操作短信 时间的规律用二次函数进行拟合,可以得到机主操作手机短信的时间(t)与概率(pi)的拟 合模型为二次函数拟合曲线,即:F=at2+bt+ct。其中的三个拟合系数a、b、c与每个用户 的不同操作相对应、即分别对应不同的二次函数拟合曲线。该拟合曲线就是用户的操作时 间的统计特征。
[0029] (13)因每人的操作习惯各不相同(比如打字的快慢),因此不同人的操作时间统 计特性所对应的二次函数的a,b的值也会相应不同,拟合系数的数值与采集到的样本空间 有关。因此,针对机主的每个单一特定应用操作行为的统计特征拟合函数分别按照公式计 算其标准差:
[0030]标准差是该参数的大多数数值集中分布在平均值周围的多大范围内,其计算公式
最大值、即采样总次数是n,h是第i次操作时间采样值,T。是全部操作时间采样值的算术 平均值。该步骤(13)包括下列操作内容:
[0031] (13A)计算机主每个单独的敏感操作行为(浏览短信、浏览照片、浏览记事本或播 放视频)时间的算术平均值T。。
[0032] 因用户调用手机中的某个应用操作的时间是随机的,该T。是手机正常操作状态下
中,自然数i是某个应用操作时间的采样次数序号,其最大值、即采样总次数是^t1是机主 第i次调用该设定应用操作的时间采样值,T。是全部操作时间采样值的算术平均值;t"的 数值大小取决于预设置阶段的统计数据特征(即上述表1中预设中的统计数据特征),且规 定该统计数据的采样次数n应不小于100。
[0033] (13B)计算机主的每个单个敏感操作时间的各自标准差:按照标准差
为〇的操作发生的频次也应该是〇,因此c= 0。即机主单行为操作时间的分布特征拟合曲 线为:P=at2+bt。
[0034] 通过标准差,得到机主的每个单独敏感操作行为(浏览短信、浏览照片、浏览记事 本或播放视频)的标准差分布如图2所示。
[0035] (13C)根据标准差得到机主的每个单个敏感操作时间的标准差分布图(如图2所 示):
[0036] 从每个特定应用操作时间的数据分布曲线中的最高值所对应的横坐标T。是操作 时间的算术平均值,设置靠近该最高值两侧的两条线之间的区域为事件发生概率在94 %范 围内的敏感检测区域,再设置位于该最高值外侧两条线之间的区域为事件发生概率在70 % 范围内的普通检测区域或常规检测区域。
[0037] 参见图2,图中的横坐标T为某个敏感操作时间的算术平均值,两条"普通"竖线之 间的区域为事件发生概率在94%范围内的区域,两条"敏感"竖线之间的区域为事件发生概 率在70%范围内的区域。
[0038] (14)设置检测参数:为了实现检测手机是否为非正常使用,设置两类检测参数: 检测敏感度和告警地址。其中,检测敏感度又分为两种:敏感检测的敏感度和普通检测的敏 感度;告警地址包括手机号码和邮箱地址,用于在检测到手机非正常使用时,将告警信息发 送到该告警地址。
[0039] 步骤2,检测与识别用户当前的操作行为,一旦检测和判断手机处于非正常使用 时,立即发出告警信息。该步骤2包括下列操作内容:
[0040] (21)检测与识别用户当前的操作行为:当手机用户开始某个应用操作时,捕获该 应用操作,并判断该应用操作是否归属于设置的浏览短信、浏览照片、浏览记事本和播放视 频的四类特定应用操作中的某一种;如果是,则启动计时器、开始对该应用操作的时间进行 计时,并执行后续步骤(22);如果不是,则忽略该操作,结束全部流程;
[0041] (22)检测此时的手机是否属于非正常使用:
[0042] 因非机主的手机用户在浏览手机信息时,还要执行相应的后续操作;故针对下述 两种不同情况,分别执行相应的两种检测方法的操作内容:
[0043] (A)目标明确,直接浏览手机中的短信、图片、视频/或记事本敏感信息的单个特 定应用操作时,采用统计检测方法。
[0044] 此时,执行的单个特定应用操作的统计检测方法,其基本思路是:机主本人使用该 应用(如短信操作、图片浏览等)的操作时间符合二次函数统计特征分布,如果当前用户的 操作时间不符合机主本人的操作时间统计特征,就认为该用户不是机主本人,进而判断手 机目前处于非正常使用状态。具体检测方法包括下列操作步骤:
[0045] (22A)首先捕获当前手机用户执行单个特定应用操作的行为后,统计该用户对该 特定应用操作的执行时间t。
[0046] (22B)根据机主本人使用该特定应用操作的时间符合二次函数统计特征的分布规 律,判断当前用户操作的执行时间t是否符合机主本人执行该特定应用操作的时间统计特 征;若符合,则结束该流程;若不符合,则认为该当前用户不是机主本人,进而执行后续步