骤(22C)。
[0047] (22C)判断手机当前是否处于非正常使用状态:根据机主的个性化需求及其对别 人使用自己手机的不同关注度,分别选择和设置的"敏感检测"或"普通检测"的两种检测 敏感度,判断该操作时间t是否位于所选择的检测敏感度范围内;若t未位于"敏感检测" 或"普通检测"的相应检测范围内,则判断此时手机就处于非正常使用状态,执行后续步骤 (22D);若t位于"敏感检测"或"普通检测"的相应检测范围内,则认为手机处于正常使用 状态,结束该流程。
[0048] 在步骤(22C)中,
[0049] 当置信区间为94%是"敏感检测"的检测敏感度时,即使机主本人操作也有约5~ 10 %的概率被判定为异常操作;
[0050] 当置信区间为70%是"普通检测"的检测敏感度时,即使机主本人操作也存在 30 %的概率被判定为异常操作。
[0051] 当选择"敏感检测"时,若t没有落在图2中的敏感范围内(即70%范围内)就 判断为手机处于非正常使用状态;当选择"普通检测"时,若t没有落在图2中普通范围内 (94%范围内),才判断为手机处于非正常使用状态。
[0052] (22D)手机在日志中记录该特定应用操作行为,并向机主预先设置的手机或邮箱 发送告警信息"您的手机正在被他人使用,请注意保护隐私信息!",通知机主有人正在试 图浏览机主手机中的隐私信息,同时启动自动锁屏功能锁定显示屏,避免继续泄露隐私信 息。
[0053] ⑶目标不明确,依次分别浏览可能包含自己感兴趣信息的各类文件,包括短信、 图片、视频和/或记事本的多个特定应用操作时,采用关联检测方法。
[0054] 在步骤(22)中,执行的多个特定应用操作行为的关联检测方法的思路是:基于多 数处于非正常使用状态下的手机用户的操作行为往往是目标不明确的连续浏览短信、照片 等有关联的操作,比如:浏览者并不是专注于浏览机主短信内容,浏览短信发现没什么感兴 趣的,就接着浏览照片、视频或记事本等这些有可能存储敏感信息的文件。这样用单独操作 的时间特征函数判断就不准确了。此时的极端情况是:浏览者浏览某个具体类型的文件时 间都不长,但是他把全部这几种可能包含机主隐私数据的操作都执行了一遍。因此本发明 采用对敏感操作行为进行关联分析的检测功能,能够将连续的操作行为进行关联和匹配, 进而提高告警的准确度。
[0055] 考虑到拿别人手机看查找隐私信息时,浏览者通常会尽可能用最短时间获取自己 感兴趣的内容,因此多数情况会依次将自己关注的短信、照片、视频和记事本这几个可能包 含敏感信息的文件夹都翻阅查看一遍;而且,这些操作一般是连续的,不会看完短信,上会 儿网(或接个电话),再看照片;这不符合偷看者的心理。然而,机主本人则一般不会连续 操作这些动作。因此,只要这几个敏感动作是连续发生的,就认为是非正常使用状态,就可 以报警了。
[0056] 因此,鉴于上述分析,该关联检测方法包括下列操作步骤:
[0057] (22a)手机处于正常状态时,如果产生特定应用操作行为时,该手机就由正常状态 转移到异常操作状态;
[0058] (22b)若在异常操作状态下,判断手机是否仍然继续产生新的特定应用操作行为, 并根据机主设置的不同的检测敏感度,作出相应判断:
[0059] 当机主的检测敏感度设置为"敏感检测"时,只要连续产生两个或两个以上的特定 应用操作行为,手机就由异常操作状态转移到告警状态,执行后续步骤(22c)。图3所示是 检测敏感度为"敏感"时的关联检测状态转移关系
[0060] 当机主的检测敏感度设置为"普通检测"时,只有连续产生三个或三个以上的特定 应用操作行为,手机才由异常操作状态转移到告警状态,执行后续步骤(22c)。图4所示是 检测敏感度为"敏感"时的关联检测状态转移关系。
[0061] (22c)处于告警状态的手机启动敏感数据保护功能:自动锁定显示屏,避免继续 泄露隐私信息;同时向设置的手机和邮箱发送告警信息"您的手机正在被他人使用,请注意 保护隐私信息!";还在日志中记录上述各种操作行为,供机主事后查询和追责使用。
[0062] 本发明已经进行了多次实施试验,试验段结果是成功的,实现了发明目的。
[0063] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1. 一种手机非正常使用的检测告警方法,其特征在于:根据特定人群对于重要数据关 注度的调研结果,选取并设置手机用户操作行为中容易泄露重要敏感数据的浏览短信、浏 览照片、浏览记事本和播放视频的四种敏感操作行为为特定应用操作,并针对该四种特定 应用操作的行为进行检测:分别针对手机的每个独立的操作行为进行的统计检测和针对多 个连续的操作行为进行的关联检测,再将这两种检测手段相互结合地检测与判断该手机是 否处于非正常使用、即非手机机主使用的状态;一旦判断手机处于非机主使用时,就立即发 出告警信息;所述手机的操作行为是手机当前使用者正在使用手机的操作行为;该方法包 括下列两个操作步骤: 步骤1,预处理与参数设置:基于对机主本人手机操作行为特征的学习,对特定应用操 作的时间数据进行采样和预处理,再设置检测参数:检测敏感度和告警地址; 步骤2,检测与识别用户当前的操作行为,一旦检测和判断手机处于非正常使用时,立 即发出告警信息。2. 根据权利要求1所述的方法,其特征在于:所述步骤1包括下列操作内容: (11) 提取机主使用特定应用操作时间的统计特征,进行预处理:提取机主本人使用手 机时的特定应用操作时间的统计规律,再基于该统计数据,得到手机机主对每个特定应用 的操作时间t和概率P的关系式及其分布曲线,从而将每个手机机主的不同特定应用操作 都分别对应为一个二次函数拟合曲线,并以该拟合曲线作为每个手机机主本人的特定应用 操作时间的统计特征; (12) 从每个特定应用操作时间的数据分布曲线中的最大值,分别往其两边逐步递减, 且递减速度逐步变快,得到的该特定应用操作时间的分布规律与二次函数曲线相类似;这 样就能够用二次函数对机主操作每个特定应用操作的时间规律进行拟合,使得每个机主 的各个特定应用操作的时间t及其操作频率F的拟合模型设置为二次函数拟合曲线:F= at2+bt+ct;式中,操作频率F为100次手机操作中操作时间为t的操作次数,t为操作时间, a、b、c分别为每个特定应用的不同拟合系数,且不同机主对每个特定应用的操作时间统计 特性所对应的二次函数的a和b数值各不相同,具体数值取决于采集的样本空间;另外,基 于实际物理含义,操作时间为〇的设定操作的发生频次也是〇,故c= 〇 ;这样就得到每个机 主对每个特定应用的单个行为操作时间的分布特征拟合曲线,其公式为:F=at2+bt