终端安全防护方法、装置和系统与流程

本公开涉及终端安全技术领域，尤其涉及一种终端安全防护方法、装置和系统。

背景技术：

随着移动互联网的发展，智能手机、平板电脑等终端迅速普及，承载着大量用户私人信息。为保护个人信息，用户会通过设置指纹验证、数字密码或手势来实现终端访问控制，但是上述方法存在着一些安全隐患。如用户在他人面前所使用终端时，数字密码和手势容易被他人记住；终端密码复杂性较低，他人很容易破解密码；即使每个人的指纹是唯一的，但是指纹验证仍然不能确保终端的安全。当指纹验证失败达最大次数或重新开机时，输入密码或手势即可解锁；只要知道密码就可以清除指纹验证。

技术实现要素：

本公开要解决的一个技术问题是，提供一种终端安全防护方法、装置和系统，能够提高终端防护的安全性。

根据本公开一方面，提出一种终端安全防护方法，包括：采集用户行为数据；根据采集的用户行为数据，判断终端使用者是否为机主；若终端使用者为机主，则允许终端使用者使用终端。

在一些实施例中，若终端使用者不是机主，则提示终端使用者填写验证信息；若终端使用者填写的验证信息错误，则禁止终端使用者使用终端。

在一些实施例中，根据采集的用户行为数据，判断终端使用者是否为机主包括：对数据库中保存的用户行为数据的每个分量进行均值计算，确定每个分量对应的行为数据中心；将采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度计算，得到第一相似度值；将数据库中保存的用户行为数据每个分量依次与相应分量对应的行为数据中心进行相似度计算，得到多个第二相似度值；若第一相似度值大于等于多个第二相似度值中的最小值，则确定终端使用者为机主，否则，确定终端使用者不是机主。

在一些实施例中，利用标准化参数对数据库中保存的用户行为数据和采集的用户行为数据进行标准化处理。

在一些实施例中，在采集的用户行为数据存在缺失分量的情况下，确定缺失的分量类别；对去除相应类别的分量后的数据库中保存的用户行为数据的每个分量，进行均值计算。

在一些实施例中，在采集到第i次的用户行为数据的情况下，对数据库中保存的用户行为数据的每个分量进行均值计算，确定第i次每个分量的行为数据中心，i为大于等于1的正整数；若终端使用者填写的验证信息正确，则将第i次的用户行为数据保存在数据库中，并提高第i次的用户行为数据在数据库中的权重；对保存有i次的用户行为数据的数据库中的用户行为数据的每个分量进行均值计算，确定第i+1次每个分量的行为数据中心。

在一些实施例中，确定第i次的用户行为数据的模值与第i次行为数据中心的模值的和值；将和值与第i次行为数据中心的模值的比值，作为第i次的用户行为数据的权重；根据第i次的用户行为数据的权重，确定第i次的用户行为数据的每个分量的加权值；将第i次的用户行为数据的每个分量的加权值，与计算第i次每个分量的行为数据中心时数据库中保存的用户行为数据的相应分量进行均值计算，确定第i+1次每个分量的行为数据中心。

在一些实施例中，提示终端使用者填写验证信息包括：向用户预留电子地址发送告警信息，并以弹窗形式提示终端使用者填写验证信息。

根据本公开的另一方面，还提出一种终端安全防护装置，包括：数据获取模块，被配置为获取用户行为数据；行为识别模块，被配置为根据采集的用户行为数据，判断终端使用者是否为机主；访问控制模块，被配置为若终端使用者为机主，则允许终端使用者使用终端。

在一些实施例中，告警模块，被配置为若终端使用者不是机主，则提示终端使用者填写验证信息；访问控制模块还被配置为若终端使用者填写的验证信息错误，则禁止终端使用者使用终端。

在一些实施例中，行为识别模块被配置为对数据库中保存的用户行为数据的每个分量进行均值计算，确定每个分量对应的行为数据中心；将采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度计算，得到第一相似度值；将数据库中保存的用户行为数据每个分量依次与相应分量对应的行为数据中心进行相似度计算，得到多个第二相似度值；若第一相似度值大于等于多个第二相似度值中的最小值，则确定终端使用者为机主，否则，确定终端使用者不是机主。

在一些实施例中，结果矫正模块，被配置为在采集到第i次的用户行为数据的情况下，对数据库中保存的用户行为数据的每个分量进行均值计算，确定第i次每个分量的行为数据中心，i为大于等于1的正整数；若终端使用者填写的验证信息正确，则将第i次的用户行为数据保存在数据库中，并提高第i次的用户行为数据在数据库中的权重；对保存有i次的用户行为数据的数据库中的用户行为数据的每个分量进行均值计算，确定第i+1次每个分量的行为数据中心。

根据本公开的另一方面，还提出一种终端安全防护装置，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器的指令执行如上述的终端安全防护方法。

根据本公开的另一方面，还提出一种终端安全防护系统，包括：上述的终端安全防护装置；多个传感器，被配置为采集用户行为数据；以及数据库，被配置为存储用户行为数据。

根据本公开的另一方面，还提出一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现上述的终端安全防护方法。

与相关技术相比，本公开实施例根据用户行为数据，判断终端使用者是否为机主，若终端使用者为机主，则允许终端使用者使用终端，能够避免密码泄漏、指纹信息被删除等传统终端安全防护可能出现的问题，提高了终端保护的安全性。

通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。

附图说明

构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。

参照附图，根据下面的详细描述，可以更加清楚地理解本公开，其中：

图1为本公开的终端安全防护方法的一些实施例的流程示意图。

图2为本公开的终端安全防护方法的另一些实施例的流程示意图。

图3为本公开的判断终端使用者是否为机主的一些实施例的流程示意图。

图4为本公开的优化行为数据中心的一些实施例的流程示意图。

图5为本公开终端安全防护装置的一些实施例的结构示意图。

图6为本公开终端安全防护装置的另一些实施例的结构示意图。

图7为本公开终端安全防护装置的另一些实施例的结构示意图。

图8为本公开终端安全防护装置的另一些实施例的结构示意图。

图9为本公开终端安全防护系统的一些实施例的结构示意图。

具体实施方式

现在将参照附图来详细描述本公开的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。

在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

图1为本公开的终端安全防护方法的一些实施例的流程示意图。

在步骤110，采集用户行为数据。

用户行为数据例如包括敲击屏幕力度数据、点击屏幕的位置数据、甩击力度数据、握力数据、手持终端的位置数据、用户心率数据等。可以根据用户需求预设数据采集频率。

在步骤120，根据采集的用户行为数据，判断终端使用者是否为机主。即根根用户平时的行为习惯，确定出使用终端的人是否为机主。

在一些实施例中，可以利用机器学习算法对终端使用者进行判断。

在步骤130，若终端使用者为机主，则允许终端使用者使用终端。

在上述实施例中，根据用户行为数据，判断终端使用者是否为机主，若终端使用者为机主，则允许终端使用者使用终端，能够避免密码泄漏、指纹信息被删除等传统终端安全防护可能出现的问题，提高了终端保护的安全性。

图2为本公开的终端安全防护方法的另一些实施例的流程示意图。

在步骤210，采集用户行为数据。用户行为数据的序列格式例如为(x1,x2...xn)。

在步骤220，根据采集的用户行为数据，判断终端使用者是否为机主，若是，则执行步骤230，否则，执行步骤240。

在步骤230，允许终端使用者使用终端。

在步骤240，提示终端使用者填写验证信息。

在一些实施例中，向用户预留电子地址发送告警信息，并以弹窗形式提示终端使用者填写验证信息。例如，向预留的安全联系号码发送验证码或保密问题等。预留电子地址还可以为电子邮箱等。

在步骤250，判断终端使用者填写验证信息是否正确，若是，则执行步骤230，否则，执行步骤260。

在步骤260，禁止终端使用者使用该终端。例如，禁止终端使用者关机、重启、刷机等操作。

在上述实施例中，根据用户行为数据，能够有效识别终端使用者的身份，当判断出终端使用者不是机主，则提示终端使用者填写验证信息，若终端使用者填写的验证信息错误，则禁止终端使用者使用该终端，从而能够最大限度保护终端。

图3为本公开的判断终端使用者是否为机主的一些实施例的流程示意图。

在步骤310，采集用户行为数据。

在步骤320，利用标准化参数对数据库中保存的用户行为数据和采集的用户行为数据进行标准化处理。

例如，可以选用离差标准化或z-score标准化对数据库中的用户行为数据进行标准化处理的到sj(sj1,sj2...sjn)，n为用户行为数据的种类个数，j为保存的用户行为数据的组数，其中，n、j均为大于等于1的正整数。

在一些实施例中，对数据库智能的用户行为数据进行标准化处理，采用的参数记为(p1,p2)，对于采集的用户行为数据x(x1,x2...xn)，利用(p1,p2)进行标准化，得到x1(x11,x12...x1n)。

在步骤330，对数据库中保存的用户行为数据的每个分量进行均值计算，确定每个分量对应的行为数据中心。例如得到的行为数据中心为o(o1,o2...on)。一个分量代表一类用户行为数据。

在一些实施例中，在采集的用户行为数据存在缺失分量的情况下，确定缺失的分量类别；对去除相应类别的分量后的数据库中保存的用户行为数据的每个分量，进行均值计算。

在步骤340，将采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度计算，得到第一相似度值。

例如，利用余弦相似度计算x1和o的相似性p。

在步骤350，将数据库中保存的用户行为数据每个分量依次与相应分量对应的行为数据中心进行相似度计算，得到多个第二相似度值。

例如，利用余弦相似度计算sj和o的相似性y。

在步骤360，判断第一相似度值是否大于等于多个第二相似度值中的最小值，若是，则执行步骤370，否则，执行步骤380。

在步骤370，确定终端使用者为机主，允许终端使用者使用终端。可以将该次用户行为数据存储在数据库中。

在步骤380，确定终端使用者不是机主，提示终端使用者填写验证信息。

在步骤390，判断终端使用者填写验证信息是否正确，若是，则执行步骤3100，否则，执行步骤3110。

在步骤3100，允许终端使用者使用终端，并将该次用户行为数据保存的数据库中。

在步骤3110，禁止终端使用者使用该终端。丢改该次用户行为数据。

在上述实施例中，利用相似度计算公式，计算采集的用户行为数据以及数据库中保存的用户行为数据，与行为数据中心的相似度，进而判断终端使用者是否为机主，当判断出终端使用者不是机主，则提示终端使用者填写验证信息，若终端使用者填写的验证信息错误，则禁止终端使用者使用该终端，能够避免密码泄漏、指纹信息被删除等传统终端安全防护可能出现的问题，提高了终端保护的安全性。另外，该实施例中无需设定阈值，完全利用数据内部特征，充分适应用户个体差异。

在本公开的另一些实施例中，如图4所示，可以对行为数据中心进行优化。

在步骤410，在采集到第i次的用户行为数据的情况下，对数据库中保存的用户行为数据的每个分量进行均值计算，确定第i次每个分量的行为数据中心，i为大于等于1的正整数。

例如，数据库中保存的用户行为数据为(s11,s12,...s1n；s21,s22,...s2n；...；sj1,sj2,...sjn)，则第i次每个分量的行为数据中心o＝((s11+s21+...+sj1)/j,(s12+s22+...+sjn)/j,...,(s1n+ssn+...+sjn)/j)。

在步骤420，若终端使用者填写的验证信息正确，则将第i次的用户行为数据保存在数据库中，并提高第i次的用户行为数据在数据库中的权重。

在一些实施例中，若终端使用者填写的验证信息正确，则说明根据采集的用户行为数据判断终端使用者是否为机主判断错误，因此，需要加大采集的用户行为数据的权重。

在一些实施例中，第i次的用户行为数据的权重w＝(||x1||+||o)/||o||。

在步骤430，对保存有i次的用户行为数据的数据库中的用户行为数据的每个分量进行均值计算，确定第i+1次每个分量的行为数据中心。

在一些实施例中，根据第i次的用户行为数据的权重，确定第i次的用户行为数据的每个分量的加权值，例如w*x11,w*x12,...w*x1n；将第i次的用户行为数据的每个分量的加权值，与计算第i次每个分量的行为数据中心时数据库中保存的用户行为数据的相应分量进行均值计算，确定第i+1次每个分量的行为数据中心。例如，第i+1次每个分量的行为数据中心o例如为：

o＝((s11+s21+...+sj1+w*x11)/(j+1),(s12+s22+...+sjn+w*x12)/(j+1),...,

(s1n+ssn+...+sjn+w*x1n)/(j+1))

若第i+1次识别后，终端使用者填写的验证信息正确，则继续执行步骤410-430。

在一些实施例中，若终端使用者填写的验证信息错误，则第i+1次每个分量的行为数据中心仍为第i次每个分量的行为数据中心。

在上述实施例中，通过对行为数据中心进行优化矫正，为后续计算采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度、以及数据库中保存的用户行为数据每个分量与相应分量对应的行为数据中心进行相似度，提供更加准确的计算基础，提高识别准确性。该实施例识别效果随着采集数据量的增加而提升。

图5为本公开终端安全防护装置的一些实施例的结构示意图。该装置包括数据获取模块510、行为识别模块520和访问控制模块530。

数据获取模块510被配置为获取用户行为数据。

用户行为数据例如包括敲击屏幕力度数据、点击屏幕的位置数据、甩击力度数据、握力数据、手持终端的位置数据、用户心率数据等。

行为识别模块520被配置为根据采集的用户行为数据，判断终端使用者是否为机主。

在一些实施例中，对数据库中保存的用户行为数据的每个分量进行均值计算，确定每个分量对应的行为数据中心；将采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度计算，得到第一相似度值；将数据库中保存的用户行为数据每个分量依次与相应分量对应的行为数据中心进行相似度计算，得到多个第二相似度值；若第一相似度值大于等于多个第二相似度值中的最小值，则确定终端使用者为机主，否则，确定终端使用者不是机主。

在一些实施例中，可以预先利用标准化参数对数据库中保存的用户行为数据和采集的用户行为数据进行标准化处理。在采集的用户行为数据存在缺失分量的情况下，确定缺失的分量类别；对去除相应类别的分量后的数据库中保存的用户行为数据的每个分量，进行均值计算。

访问控制模块530被配置为若终端使用者为机主，则允许终端使用者使用终端。

在上述实施例中，根据用户行为数据，判断终端使用者是否为机主，若终端使用者为机主，则允许终端使用者使用终端，能够避免密码泄漏、指纹信息被删除等传统终端安全防护可能出现的问题，提高了终端保护的安全性。

图6为本公开终端安全防护装置的另一些实施例的结构示意图。该装置还包括告警模块610。

告警模块610被配置为若终端使用者不是机主，则提示终端使用者填写验证信息。

在一些实施例中，向用户预留电子地址发送告警信息，并以弹窗形式提示终端使用者填写验证信息。例如，向预留的安全联系号码发送验证码或保密问题等。

访问控制模块530还被配置为若终端使用者填写的验证信息错误，则禁止终端使用者使用终端。例如，禁止终端使用者关机、重启、刷机等操作。

在上述实施例中，根据用户行为数据，能够有效识别终端使用者的身份，当判断出终端使用者不是机主，则提示终端使用者填写验证信息，若终端使用者填写的验证信息错误，则禁止终端使用者使用该终端，从而能够最大限度保护终端。

在本公开的另一些实施例中，该装置还包括结果矫正模块620，被配置为在采集到第i次的用户行为数据的情况下，对数据库中保存的用户行为数据的每个分量进行均值计算，确定第i次每个分量的行为数据中心，i为大于等于1的正整数；若终端使用者填写的验证信息正确，则将第i次的用户行为数据保存在数据库中，并提高第i次的用户行为数据在数据库中的权重；对保存有i次的用户行为数据的数据库中的用户行为数据的每个分量进行均值计算，确定第i+1次每个分量的行为数据中心。

在一些实施例中，确定第i次的用户行为数据的模值与第i次行为数据中心的模值的和值；将和值与第i次行为数据中心的模值的比值，作为第i次的用户行为数据的权重；根据第i次的用户行为数据的权重，确定第i次的用户行为数据的每个分量的加权值；将第i次的用户行为数据的每个分量的加权值，与计算第i次每个分量的行为数据中心时数据库中保存的用户行为数据的相应分量进行均值计算，确定第i+1次每个分量的行为数据中心。

在上述实施例中，通过对行为数据中心进行优化矫正，为后续计算采集的用户行为数据的每个分量与相应分量对应的行为数据中心进行相似度、以及数据库中保存的用户行为数据每个分量与相应分量对应的行为数据中心进行相似度，提供更加准确的计算基础，提高识别准确性。

图7为本公开终端安全防护装置的另一些实施例的结构示意图。该装置包括存储器710和处理器720，其中：存储器710可以是磁盘、闪存或其它任何非易失性存储介质。存储器用于存储图1-4所对应实施例中的指令。处理器720耦接至存储器710，可以作为一个或多个集成电路来实施，例如微处理器或微控制器。该处理器720用于执行存储器中存储的指令。

在一些实施例中，还可以如图8所示，该装置800包括存储器810和处理器820。处理器820通过bus总线830耦合至存储器810。该装置800还可以通过存储接口840连接至外部存储装置850以便调用外部数据，还可以通过网络接口860连接至网络或者另外一台计算机系统(未标出)，此处不再进行详细介绍。

在该实施例中，通过存储器存储数据指令，再通过处理器处理上述指令，提高了终端保护的安全性。

图9为本公开终端安全防护系统的一些实施例的结构示意图。该系统包括多个传感器910、上述的终端安全防护装置930以及数据库920，其中，终端安全防护装置920已在上述实施例中进行了详细介绍，此处不再进一步阐述。

多个传感器910被配置为采集用户行为数据。传感器例如为触屏传感器、压力传感器、重力传感器以及app等。传感器910将采集的敲击屏幕力度数据、点击屏幕的位置数据、甩击力度数据、握力数据、手持终端的位置数据、用户心率数据等用户行为数据输入至终端安全防护装置920。

数据库930被配置为存储用户行为数据。

在一些实施例中，在终端使用者填写的验证信息正确时，将采集的用户行为数据存储在数据库中，在终端使用者填写的验证信息错误时，丢弃采集的用户行为数据。

在上述实施例中，能够避免密码泄漏、指纹信息被删除等传统终端安全防护可能出现的问题，提高了终端保护的安全性。

在另一些实施例中，一种计算机可读存储介质，其上存储有计算机程序指令，该指令被处理器执行时实现图1-4所对应实施例中的方法的步骤。本领域内的技术人员应明白，本公开的实施例可提供为方法、装置、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

至此，已经详细描述了本公开。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。

虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改。本公开的范围由所附权利要求来限定。