CN107533624B - 检测和防止设备的非法使用 - Google Patents
检测和防止设备的非法使用 Download PDFInfo
- Publication number
- CN107533624B CN107533624B CN201680023606.4A CN201680023606A CN107533624B CN 107533624 B CN107533624 B CN 107533624B CN 201680023606 A CN201680023606 A CN 201680023606A CN 107533624 B CN107533624 B CN 107533624B
- Authority
- CN
- China
- Prior art keywords
- user
- data
- suspicious
- legitimate
- event
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/88—Detecting or preventing theft or loss
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0487—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser
- G06F3/0488—Interaction techniques based on graphical user interfaces [GUI] using specific features provided by the input device, e.g. functions controlled by the rotation of a mouse with dual sensing arrangements, or of the nature of the input device, e.g. tap gestures based on pressure sensed by a digitiser using a touch-screen or digitiser, e.g. input of commands through traced gestures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Virology (AREA)
- Human Computer Interaction (AREA)
- Lock And Its Accessories (AREA)
- Alarm Systems (AREA)
- Burglar Alarm Systems (AREA)
- Telephone Function (AREA)
Abstract
通过检测暗示非法使用的行为模式,以及通过在检测到这种非法使用时采取行动,可以防止设备的非法使用以及在这些设备上的数据的盗用。设备可以存储描述可疑使用模式的信息,并且还可以存储描述已知合法用户的正常使用模式的信息。如果设备的当前使用与可疑使用模式匹配,以及如果设备的用户不能被确认是已知合法用户,则可以采取诸如锁定设备的用户界面、关闭设备的通信设施、发出警告消息、发送通信或任何其他行动之类的行动。
Description
技术领域
本公开涉及计算机领域,尤其涉及一种用于检测和防止设备的非法使用的方法、设备和存储介质。
背景技术
诸如平板电脑、电话或膝上型计算机的计算设备提供了使人们的数据被窃取的机会。让电话处于无人看管状态甚至几秒钟都给了小偷机会以窃取手机上所存储的数据。为了防止这种数据丢失,人们经常在其设备上设置密码或口令;一些组织甚至要求使用密码或口令作为允许通过设备访问该组织的计算系统的条件。
通常,设备具有诸如一分钟的短暂超时(timeout),在此之后必须重新输入密码或口令。然而,数据可能会被非常快地窃取和传输,所以在数据窃取世界中,一分钟实际上是极长的一段时间。并且施加不到一分钟的超时可能给设备的合法用户带来极大的不便。
发明内容
可以检测对于合法用户来说是异常的或与数据窃取行为一致的设备使用模式,以便防范设备上的数据被窃取。设备上的软件监视设备以确定该设备正在如何使用以及谁看起来像是正在使用该设备。如果检测到如下设备的使用——与已知的数据窃取模式一致、或者与使用设备的正常方式不一致、或者暗示该设备正在由其通常的合法用户以外的某人操作,那么可以采取行动。该行动可以包括锁定设备、发出警告、向设备的所有者发送电子邮件或任何其他行动。
提供本发明内容以便以简化的形式介绍在下面的具体实施方式中将进一步描述的概念的选择。本发明内容不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在用于限制所要求保护的主题的范围。
附图说明
图1是可以在其上检测设备的可能非法使用的示例设备的框图。
图2是检测设备的可能非法使用的示例过程的流程图。
图3是可以用于确定设备的使用是否是非法的示例检测器的框图。
图4是当设备确定其正在被非法使用时可以采取的示例行动的框图。
图5是可以结合本文所述主题的实现方式来使用的示例组件的框图。
具体实施方式
诸如平板电脑、电话、膝上型计算机等的计算设备允许其用户存储和访问数据。在设备上存储和访问数据的能力为用户提供了便利,但也为小偷提供了窃取数据的机会。如果小偷持有设备仅仅几秒钟,则小偷就可以使用设备的通信能力将数据从设备传输到由小偷控制的其他位置。以这种方式,可以进行从身份窃取到入侵隐私到公司间谍活动的任何形式的危害。
许多用户使用密码、口令或生物特征扫描(例如,指纹扫描或虹膜扫描)来保护其设备,其必须被正确输入以便获得对设备的访问。事实上,一些组织具有安全策略,其防止人们使用他们的设备访问组织的电子邮件系统、数据库或服务——除非设备受到诸如上提及的选项之一的某些保护机制的保护。在某些情况下,组织的策略甚至可以规定在设备上设置超时锁定为多短时间以作为用于访问组织数据的条件。然而,如上所指出,小偷可以只接触设备几秒钟就窃取数据(或至少可以启动对数据的窃取),因此这些保护机制可能对于具有充分机会和动机的小偷是无效的。
本文所述的主题提供了一种用于抵抗设备上的数据被窃取或设备的其他不当使用的技术。设备上的软件监视设备的实际当前使用,并将当前使用与通常已知的可疑行为和/或已知与设备的合法用户相关联的行为进行比较。如果当前行为类似于已知的可疑行为,或者如果当前行为与已知与设备的合法用户相关联的模式不同,则可以采取行动。可以采取的行动示例包括锁定设备、发出警告信息、向设备的所有者发送电子邮件、向设备的合法所有者的行政管理系统中的某人发送电子邮件、或任何其他行动。
在一些情况下,可以使用设备的当前操作者的物理特征来确定该设备是否正被合法地使用。例如,设备的操作者具有可以从设备的用户正常使用中所测量的可测量维度(例如,指尖大小、食指的末节指骨的长度等),并且还可以具有可识别的手势模式(例如,在用户为了完成某些任务可以选择滑动的方向的情况下向左滑动、用特定压力敲击、以特定重复速度敲击等)。如果用户的当前使用模式和/或可测量维度暗示该设备正在被其通常的合法用户以外的某人使用,则该事实可能暗示该设备正在以未经授权的方式被使用。由于合法用户有可能将设备交给别人(例如,电话的拥有者将其交给朋友以向朋友显示某些照片),则该设备正在被未知用户使用的事实可以结合使用性质来使用,以确定设备是否被非法使用并确定要采取什么行动。
注意,不是坚持令用户持续输入和重新输入密码或提供生物特征信息,而是通过检测非法行为来防范设备不当使用,这对设备的使用具有物理影响:它减少了对与设备的用户交互的需要。对用户交互的这种减少的需求减少了设备的磨损、减少了用户疲劳、并且——由于设备上基于屏幕的用户界面是显著的功率消耗——可减少设备的功耗。
现在转向附图。图1示出了可以在其上检测设备的可能非法使用的示例设备。在该示例中,设备102包括形成设备102的用户界面的一部分的触摸屏104和按钮106。触摸屏104允许设备与用户可视地通信,并且还允许设备接收来自用户的输入。设备102可以具有存储在设备102上并在设备102上运行的各种应用程序;通过示例示出了两个这样的应用130和132。用户使用手指108通过触摸屏104向设备102提供输入。用户还可以使用手指108来操作按钮106。设备102可以包括合法使用决策组件110(其可以采取硬件和/或软件的形式),其监视设备102的使用并确定设备的当前使用是否合法。设备102还可以具有测量设备的加速度的加速度计126和用于确定设备的取向的陀螺仪127。应当注意,如图1中所描绘的,设备102类似于智能电话或平板电脑设备,但是本文所示出的技术可以应用于台式计算机、膝上型计算机、用于汽车的车载计算机或任何其它设备类型。
设备102的使用的各个方面可以暗示该设备的使用是合法还是非法的。这样的各方面的非穷举集合如图1中所示。(合法和非法使用的其他示例在后面的附图中示出并在下面讨论;应当理解的是,设备的合法和/或非法使用可以采取各种形式,并且本文包含的示例不旨在是穷尽的或限制性的)。
用户用手指来与设备102交互。每个用户的手指具有可测量大小的指尖112。另外,每个用户的手指具有末节指骨114(从手指的末端到第一关节的骨骼),并且该末节指骨具有长度。可以通过用户与触摸屏104的交互来测量指尖的大小和末节指骨的长度,并且该事实提供了一种方式,组件110按照这种方式可以确定当前用户是否是已知的合法用户。另外,用户可以具有特定滑动模式——例如,特定用户在用户可以选择要滑动的方向的特定情形中可能倾向于向左滑动(由箭头116所指示)。由已知合法用户通常做出的选择可以为组件110提供了解设备的当前用户是否是已知的合法用户的基础(例如,如果已知的合法用户通常在特定情况下向左滑动,并且当前用户是在相同的情况下向右滑动,则该事实可能暗示设备不是正在被已知的合法用户操作)。因此,手指测量和滑动方向是组件110可以使用来确定哪个用户当前正在操作该设备的信息的非穷尽性示例。
存在着许多情形其中除了已知用户之外的某人正在操作设备是合法的——例如,已知用户将设备交给别人以查看照片或电子邮件、或已知用户让另一人借用设备打电话等等。因此,组件110还可以检查行为模式(除了设备的当前用户的身份之外)以确定使用是否合法。例如,可以在设备102上执行的一个行动是访问应用商店118并下载应用。该应用例如可以在设备102上收集数据120,并且可以使用设备102的通信设施128将该数据传输到不同于设备102的位置122。例如,应用可以收集大量的电子邮件消息、照片、存储的密码等,并将它们传输到不同于设备102的位置。这样的行为将是可疑的,因为下载快速收集和批量传输数据的新应用的意义不是用户可能对他自己的设备采取的使用类型,但与数据小偷的行动一致。在另一示例中,设备102可以具有蓝牙通信,如图1中由图标124所标示。对于设备102接受与新蓝牙设备的连接,然后通过蓝牙通信快速开始批量传输数据到该设备,可能被认为是合法用户的异常行为,从而暗示了设备102的非法使用。如上所讨论,如果用户的物理测量暗示当前用户是已知合法用户,则该事实可能会考虑支持发现设备上的异常行为是合法的。然而,如果未知用户正在从事可疑行为,则该事实可以提供发现设备102正在被非法使用的基础,并且作为采取一些行动来保护设备的基础。(以下将讨论此类行动的示例。)
图2示出了检测设备的可能非法使用的示例过程。在202处,确定设备的当前使用是否与已知的可疑行为一致。在这种情境下,可疑行为是指已知与数据的窃取、未经授权的付款、获得对经营场所的未经授权的的访问、或者对设备的其他非法使用有关的行为。关于是否正在发生可疑行为的决策可以使用已知可疑模式检测器252来进行,这将在下面结合图3详细描述。如果当前使用与任何已知可疑行为不一致,那么该过程可以返回到202以继续监视设备的使用,或者可以进行到204以确定当前使用是否与合法用户的已知使用模式一致。
在204处,确定当前使用是否与合法用户的已知使用模式一致。设备的已知合法用户可以具有以特定方式该设备的已建立的模式,并且在204处做出的决策确定设备的当前使用是否与这些已知使用模式不一致,从而倾向于暗示当前用户不是合法用户之一。例如,合法用户可能具有在特定方向上跨越屏幕滑动的习惯、或者以特定压力敲击、或者以特定方式和特定速度使用某些应用等。以与这些模式不匹配的某种方式使用设备可能暗示该设备正在由不是设备合法用户之一的某人使用。关于行为是否与合法用户的已知使用模式一致的决策可以使用特定于用户的使用模式检测器254来进行,这将在下面结合图3详细讨论。如果行为与合法用户的已知使用模式一致,那么该过程可以断定对设备没有危险,并且因此可以循环回202以继续监视设备的使用。如果行为与合法用户的已知使用模式不一致,那么该过程可以进行到206以采取行动。可以采取的行动的示例在图4中示出并在下面讨论。
注意,本文的主题允许使用决策块202、或决策块204、或这两个决策块。当使用两个决策块时,可以以任何顺序使用它们。在一个示例中,设备首先尝试检测已知可疑行为(块202),然后——在发现可疑行为发生之后——作为可能的证明可疑行为是合法的的一种方式,检查当前用户是否看起来像是已知合法用户(块204)。在这样的示例中,块202被执行,并且仅当块202导致“是”决策时,处理进行到块204。在另一示例中,设备尝试检测它是否正在被未知用户使用(块204),然后——在发现当前用户未知时——检查用户对设备的行为是否可疑(块202)。在另一示例中,设备检查已知可疑行为(块202)或者检查未知用户(块204),但不都检查。在另一示例中,设备针对可疑行为和未知用户两者都检查,然后基于这些因素的某些组合来确定设备是否正在被非法使用。注意,在202处检测可疑行为,然后通过在204处确定设备的当前用户是已知合法用户来尝试将行为解释为良性,有助于防止该设备对它自己的合法用户进行防护。
在206处,该过程可以采取行动来保护设备免于非法使用。可以采取的行动的示例在图4中示出并在下面讨论。
图3示出了可以用于确定行为是否可疑或者该行为是否与设备的合法用户的使用不一致的示例检测器。如上面结合图1所指出的,设备102可以具有合法使用检测组件110。合法使用检测组件可以被实现为硬件组件、软件组件或其任何组合。合法使用检测组件可以使用一个或多个检测器。这些检测器的示例包括已知可疑模式检测器252和特定于用户的模式使用检测器254。
已知可疑模式检测器252可以包括表示可疑通信事件302的数据、表示可疑授权事件304的数据和/或表示移动事件305的数据。可疑通信事件302是暗示正在从设备102收集被盗数据并将其传送到由小偷控制的某个其他位置的事件。例如,合法用户可能打开电子邮件、回复电子邮件、打开另一封电子邮件,这些行动会分散在在几分钟内。另一方面,小偷可能会打开电子邮件应用,然后将三十天的电子邮件快速转发到另一个地址。这种批量转发是可疑通信事件的示例。一般来说,某些类别的数据倾向于以一定的速率在用户的方向传输——例如,每个时间单位的某些数量的数据。针对每个类别的数据,正常数量的数据和时间通常是预先确定的。针对该类别的数据,在预定时间量内传输超过该类别中的预定数量的数据可能构成可疑行为。在这种情境下,电子邮件是一种类别的数据的示例。其他类别的数据可以包括文本文档、注释、消息、电子表格或任何其他类型的数据。
可疑通信事件的另一示例是从设备收集信用卡号码或其他私人数据,然后例如使用设备的WiFi,蜂窝或蓝牙通信能将该数据传送到另一位置。可疑通信事件的另一示例是下载和安装已知由数据小偷所使用的应用。这些是可疑通信事件的几个示例,这些事实不旨在是穷尽的。一般来说,涉及设备与另一实体之间的通信的并且不太可能被合法用户执行的事件是可疑通信事件。这样的事件可以具有如下特性,诸如在比合法用户正常通信短的时间内传送更多数据、下载经常被用来便于数据窃取的应用(其中这样的应用是“小偷工具”的示例)、或者传送通常将保留在设备上的私人数据。
可疑授权事件304是其中用户授权的事件,该授权倾向于便于数据窃取。例如,登录到已知被数据小偷使用的站点或者在合法用户的脸书(Facebook)页面上安装已知被小偷使用的应用是可疑授权事件的示例。可疑授权事件的其他示例可以包括以新的身份登录到设备中。有许多可能的可疑授权事件,并且这个列表并不旨在是穷尽的。
可疑移动事件305包括设备移动距离足够大到引起怀疑,或者移动到引起怀疑的位置。例如,数据小偷可能希望快速将设备移动到远离窃取现场,以使得真正的所有者无法返回并收回设备,或者可能会将设备移动到难以发现的位置,比如移动到废弃的仓库。可以使用加速度计126(图1中所示)或者使用设备的位置服务或定位检测组件来进行移动检测(其中,这样的位置服务或定位检测组件可以在用户的许可下使用,以便保护用户对隐私的合法权益)。这种移动事件可能会引起怀疑:该设备正在以未被授权或非法的方式被使用。
使用检测器254的特定于用户的模式可以包括表示合法用户的正常使用的各个方面的数据。这些数据可以表示手势模式306、压力模式308、生物特征信息312、通常被使用的应用314、时间使用模式316和加速度模式318。这些是一些示例使用模式,并且该列表并不旨在是穷尽的。手势模式306可以表示用户倾向于在设备的触摸组件(例如,触摸屏、触摸板等)上使用手势的方式,其中,这些手势模式可以包括用户在特定的情形中进行滑动的方向、用户在做出手势时产生的形状、线性手势的长度、圆形手势的半径等。压力模式308可以表示当握住设备时用户应用的压力量、当作为手势的一部分在屏幕上点击时等等。生物特征信息312可以表示可以测量的用户的任何方面,诸如用户的手的温度、用户的手指的大小、用户的手指上的指骨的长度、用户的指纹、用户的虹膜模式等。通常被使用的应用314可以表示特定用户通常在设备上使用的应用的集合,或用户从一个应用切换到另一个应用的顺序(例如,如果用户常常按照该顺序:打开邮件应用、随后是脸书(Facebook)应用、随后是消息传递应用,则该事实可以被包括在通常被使用的应用314的数据中)。时间使用模式316表示用户通常多久使用一个特定应用或者用户使用应用的节奏。例如,如果用户通常一次使用脸书(Facebook)三十秒,或者平均读取每个电子邮件四十五秒,则该事实可以被记录在时间使用模式316之间。加速度模式318表示设备上的加速度模式(通过加速度计126测量,如图1中所示)。由于不同的人以不同的方式移动,所以加速模式318对于具体用户来说可以是特定的,并且因此提供一种模式,通过该模式可以识别设备的特定用户。值得注意的是,时间使用模式316是与用户相关联的使用模式,而手势模式306、压力模式308、生物特征信息312、时间使用模式316和加速度计模式318是用户的物理特征,其可以基于那些用户使用设备的方式来进行测量。
图4示出了当设备确定它被非法使用时可以采取的行动的示例。行动206是图2中所示出的行动。块402、404和406示出了行动206的一些非限制性示例。在一个示例(块402)中,在发现设备正在被非法使用时所采取的行动是锁定设备以防止对设备的进一步使用。锁定设备可以包括防止使用用户界面,但也可以包括禁用网络通信、禁用蓝牙通信、禁用诸如通用串行总线(USB)端口的任何有线端口、或者防止设备与世界交互的任何其他行动。在另一个示例(块404)中,所采取的行动是发出警告消息。例如,设备可以显示屏幕上的消息,指出该设备正在被不当使用、要求用户重新认证(例如,输入密码、提供指纹、提供虹膜扫描等)、或者通知用户将把设备锁定一定时间。在另一个示例(块406)中,可以向设备所有者或另一方发送通信。例如,可以向设备所有者或设备所有者的主管或设备所有者的组织中的技术管理员发送电子邮件或文本消息,指出该设备看起来似乎成为了不当使用的对象。
块402-块406中所示的行动是可以采取的行动的示例,并且不旨在是穷尽的。
图5示出了可以部署本文所描述的主题的各方面的示例环境。
计算机500包括一个或多个处理器502和一个或多个数据记忆组件504。处理器502通常是微处理器,诸如在个人台式或膝上型计算机、服务器、手持计算机或另一类型的计算设备中发现的那些。数据记忆组件504是能够短期或长期存储数据的组件。数据记忆组件504的示例包括硬盘、可移动盘(包括光盘和磁盘)、易失性和非易失性随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器、磁带等。数据记忆组件是计算机可读存储介质的示例。计算机500可以包括显示器512或与之相关联,显示器512可以是阴极射线管(CRT)监视器、液晶显示器(LCD)监视器或任何其他类型的监视器。
软件可以存储在数据记忆组件504中,并且可以在一个或多个处理器502上执行。这种软件的示例是非法使用检测软件506,其可以实现上面结合图1-图4所描述的一些或全部功能,但是可以使用任何类型的软件。软件506可以例如通过一个或多个组件来实现,其可以是分布式系统中的组件、单独的文件、单独的功能、单独的对象、单独的代码行等。在其中将程序存储在硬盘上、加载到RAM中、并在计算机的处理器上执行的计算机(例如,个人计算机、服务器计算机、手持计算机等)代表了图5中所描绘的场景,但是本文所述的主题不限于该示例。
本文描述的主题可以被实现为存储在一个或多个数据记忆组件504中并且在一个或多个处理器502上执行的软件。作为另一示例,主题可以被实现为存储在一个或多个计算机可读介质上的指令。这样的指令在由计算机或其他机器执行时可能导致计算机或其他机器执行方法的一个或多个动作。可以将执行动作的指令存储在一个介质上,或者可以分散在多个介质上,使得指令可以集体地出现在一个或多个计算机可读介质上,而不管所有的指令是否恰好是在相同的介质上。
术语“计算机可读介质”不包括信号本身;也不包括仅作为传播信号存在的信息。要注意的是,信号所“存储”在其上的介质(其可以被称为“存储介质”)和——对比之下——在不存储信号所代表的数据的情况下专门发送传播信号的介质之间存在区别。DVD、闪存存储器、磁盘等是存储介质的示例。另一方面,电线或光纤在其正在传输信号的瞬时的飞逝的、瞬间的物理状态就是信号介质的一个示例。(电线和光纤可以是持久地存储信息的存储介质的一部分,但仅作为电线中的瞬间激发电子或仅作为光纤中的光子脉冲存在的信息构成信号)。应该理解,如果这里的权利要求是指专门以传播信号的形式携带信息而不是任何类型的持久存储的介质,则这样的权利要求将使用术语“信号”来表征介质或媒体(例如,“信号计算机可读介质”或“信号设备可读介质”)。除非权利要求明确地使用术语“信号”来表征介质或媒体,否则这种权利要求不应被理解为描述仅作为传播信号存在或仅作为信号本身的信息。此外,要注意的是,“硬件介质”或“有形介质”包括诸如RAM、ROM、闪存存储器和磁盘之类的以物理、有形的形式存在并且可持久地存储信息的设备;这样的“硬件介质”或“有形介质”本身不是信号,不是传播信号,而是这些术语不是指将信息专门作为传播信号存在的介质。而且,“存储介质”是存储信息的介质。术语“存储”用于表示数据的持久保留。为了本文主题的目的,仅以传播信号的形式存在的信息不被认为是“持久”保留的。因此,“存储介质”包括磁盘、RAM、ROM等,但是不包括仅以传播信号的形式存在的信息,因为这样的信息不被“存储”。
另外,作为方法的一部分,可以由处理器(例如,处理器502中的一个或多个)执行本文所描述的任何动作(不论是否在图中示出)。因此,如果本文中描述了动作A、B和C,则可以执行包括A、B和C的动作的方法。此外,如果本文中描述了A、B和C的动作,则可以执行的方法包括使用处理器来执行A、B和C的动作。
在一个示例环境中,计算机500可以通过网络508来可通信地连接到一个或多个其他设备。可以在结构上与计算机500相似的计算机510是可以连接到计算机500的设备的示例,但是其他类型的设备也可以如此连接。
在一个示例中,本文的主题可以采取可由设备读取的存储介质的形式,该存储介质存储用于保护所述设备的可执行指令,其中所述可执行指令在由所述设备执行时使得所述设备执行动作,包括:检测已经以与可疑行为的已知模式一致的方式使用设备上的应用,或者是处于以前未被所述设备的授权用户使用的应用的类别中的应用已经被下载到所述设备;并且响应于所述检测动作,锁定用户界面以防止与所述设备的继续的用户交互,或者禁用所述设备的通信设施以防止所述设备与所述设备外部的设备进行通信。该动作还可以包括使用设备的一个或多个合法用户的使用模式或该设备的一个或多个合法用户的物理特征来确定设备的当前用户不是该设备的一个或多个合法用户的任何一个。一个或多个合法用户的物理特征可以包括一个或多个合法用户用于向所述设备的触摸组件提供输入的手势模式。或者,一个或多个合法用户的物理特征可以包括一个或多个合法用户的生物特征。一个或多个合法用户的使用模式可以包括由一个或多个合法用户通常所使用的应用的列表。可能存在落入特定类别中的设备上的数据,并且已知的可疑行为模式可以包括在小于预定时间量内的预定数量的数据的通信。或者,已知的可疑行为模式包括授权已被预先识别为小偷工具的组件来访问设备上的数据。
在另一示例中,本文的主题可采取保护设备的方法的形式,其中该方法包括:第一检测,检测设备上的应用已经以与已知的可疑行为模式一致的方式被使用;第二检测,检测设备正在以与该设备的已知合法用户的压力模式或加速度计模式不一致的方式被处理,并且响应于第一检测动作和第二检测动作,采取行动来保护设备免受未经授权的使用。该行动可以包括锁定设备的用户界面以防止与该设备的进一步的用户交互。或者,该行动可以包括在该设备上发出警告消息,该警告消息指出该设备正在被不当使用。或者,该行动可以包括发出要求设备的当前用户重新认证的消息,以作为该设备的继续使用的条件。或者,该行动可以包括:向该设备的合法用户、向该设备的管理员、或者向该设备的合法用户的主管发送电子邮件,指出设备的可疑不当使用目前正在发生。在一个示例中,应用在该设备上被使用,并且动作还包括第三检测,检测该应用正以与该设备的已知合法用户的时间使用模式不一致的方式被使用,其中响应于第一检测、第二检测和第三检测动作来采取行动。在另一示例中,该动作包括第三检测,检测该设备上正在使用未被该设备的任何已知合法用户使用的应用,响应于第一检测动作、第二检测动作和第三检测动作来采取行动。
在另一示例中,本文的主题可以采取设备的形式,所述设备包括数据记忆组件、处理器和存储在数据记忆组件中的合法使用决策组件,其在处理器上被执行,检测设备正在以与该设备的非法使用一致的方式被使用以及设备正在以与所述设备的一个或多个已知合法用户中的任何一个的使用不一致的方式被使用,其中所述合法使用决策组件采取行动来保护设备免受进一步的非法使用。非法使用可以包括窃取存储在该设备上的特定类型的数据,其中设备正在被使用的方式包括以比通常用于传送该类型的数据的时间更少的时间来传送数据量。或者,非法使用可以包括授权在设备上使用已知是小偷工具的应用。或者,非法使用可以包括使用该设备来访问设备的合法用户的在线服务账户并授权已知是小偷工具的应用以在所述在线服务上使用合法用户的数据。或者,非法使用可以包括将存储在设备上的、超过预定数量的电子邮件转发到该设备外部的位置。该设备可以包括在该设备和在该设备外部的世界之间传送数据的通信组件,其中保护设备的行动包括禁用通信组件。
尽管已经以结构特征和/或方法动作特定的语言描述了主题,但是应当理解,所附权利要求中限定的主题不一定限于上述特定特征或动作。相反,上述特定特征和动作被公开作为实现权利要求的示例形式。
Claims (12)
1.一种计算机可读介质,所述计算机可读介质具有被存储在其上的可执行指令,所述可执行指令当被执行时,使得设备执行以下动作,所述动作包括:
检测所述设备上的事件,所述事件与已知的可疑行为模式一致,包括以下至少一项;
所述设备上的第一应用以与已知的可疑行为模式一致的方式被使用;以及
在以前未被所述设备的授权用户使用的应用的类别中的第二应用已经被下载到所述设备;检测所述设备的使用模式,包括:
包括以下一项或多项的手势模式:
滑动的方向;
手势的形状;
线性手势的长度;以及
圆形手势的半径;以及
压力模式,所述压力模式包括合法用户在操作时应用的压力量;
响应于所检测的事件,将所检测的模式与合法用户的已知使用模式进行检验;以及
响应于确定所检测的使用模式与合法用户的已知使用模式不一致,锁定用户界面以阻止与所述设备的继续的用户交互,或者禁用所述设备的通信设施以阻止所述设备与所述设备外部的设备通信。
2.根据权利要求1所述的计算机可读介质,所述动作还包括:
检测所述设备的用户的物理特征;
响应于所检测的事件,进一步将所述用户的所述物理特征与合法用户的已知物理特征进行检验;
其中基于所检测的事件、所检测的模式以及所检测的物理特征来执行所述锁定或所述禁用。
3.根据权利要求2所述的计算机可读介质,所述物理特征包括所述用户的生物特征。
4.根据权利要求1所述的计算机可读介质,所述使用模式包括由一个或多个所述合法用户通常使用的应用的列表。
5.根据权利要求1所述的计算机可读介质,存在落入特定类别中的所述设备上的数据,所述事件包括以小于预定量的时间传送预定数量的所述数据。
6.根据权利要求1所述的计算机可读介质,所述事件包括授权已被预先识别为小偷工具的组件以访问所述设备上的数据。
7.一种设备,包括:
处理器,以及被存储在计算机可读介质上的可执行指令,所述可执行指令当被执行时,使得所述处理器执行以下操作,包括:
检测所述设备是否以与所述设备的非法使用相一致的方式被使用,包括检测以下至少一项:
可疑的通信事件;以及
可疑的授权事件;
检测所述设备的使用模式,包括
包括以下一项或多项的手势模式:
滑动的方向;
手势的形状;
线性手势的长度;以及
圆形手势的半径;以及
压力模式,所述压力模式包括合法用户在操作时应用的压力量;
检测所述设备的用户的物理特征;以及
响应于检测到所述设备以与所述设备的非法使用相一致的方式被使用,检验所检测的使用模式是否不对应于合法用户,以及所述物理特征是否不对应于合法用户;
响应于确定所检测的使用模式不对应于合法用户,或者响应于确定所检测的物理特征不对应于合法用户,采取行动以保护所述设备不受进一步的非法使用的影响;
响应于确定所检测的使用模式对应于合法用户,或者响应于确定所检测的物理特征对应于合法用户,不采取行动以保护所述设备不受进一步的非法使用的影响。
8.根据权利要求7所述的设备,其中所述可疑的通信事件包括:
检测一定量的一类型的数据是否以小于传送所述类型的数据通常所使用的时间被发送;
响应于检测到所述数量的所述类型的数据以小于通常所使用的时间被发送,宣告可疑的通信事件包括对所述类型的数据的窃取。
9.根据权利要求7所述的设备,其中通过标识用于在所述设备上使用已知是小偷工具的应用的授权,来检测所述可疑的授权事件。
10.根据权利要求7所述的设备,包括:
检测所述可疑的通信事件以及所述可疑的授权事件二者;
其中所述可疑的通信事件包括标识使用所述设备以访问所述设备的合法用户的线上服务账户,以及
其中所述可疑的授权事件包括授权已知是小偷工具的应用,以在所述线上服务上使用所述合法用户的数据。
11.根据权利要求7所述的设备,其中所述可疑通信事件包括将比在所述设备上存储的预定数量的电子邮件更多的电子邮件转发到所述设备外部的位置。
12.根据权利要求7所述的设备,所述设备包括通信组件,所述通信组件在所述设备和所述设备之外的世界之间传送数据,保护所述设备的所述行动包括禁用所述通信组件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/695,190 | 2015-04-24 | ||
| US14/695,190 US9996682B2 (en) | 2015-04-24 | 2015-04-24 | Detecting and preventing illicit use of device |
| PCT/US2016/027490 WO2016171992A1 (en) | 2015-04-24 | 2016-04-14 | Detecting and preventing illicit use of device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107533624A CN107533624A (zh) | 2018-01-02 |
| CN107533624B true CN107533624B (zh) | 2020-07-10 |
Family
ID=55861195
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680023606.4A Active CN107533624B (zh) | 2015-04-24 | 2016-04-14 | 检测和防止设备的非法使用 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9996682B2 (zh) |
| EP (1) | EP3286681B1 (zh) |
| CN (1) | CN107533624B (zh) |
| WO (1) | WO2016171992A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180132104A1 (en) * | 2016-11-09 | 2018-05-10 | Ca, Inc. | Preventing mobile phone accessing when it is in unlocked state |
| US20180205752A1 (en) * | 2017-01-13 | 2018-07-19 | Adobe Systems Incorporated | Security Breach Detection in a Digital Medium Environment |
| US10713205B2 (en) * | 2017-02-24 | 2020-07-14 | Digital 14 Llc | Universal serial bus (USB) disconnection switch system, computer program product, and method |
| CN110007958B (zh) * | 2018-01-05 | 2021-06-08 | 龙芯中科技术股份有限公司 | 指令验证方法、装置及存储介质 |
| US11042272B2 (en) * | 2018-07-19 | 2021-06-22 | Google Llc | Adjusting user interface for touchscreen and mouse/keyboard environments |
| CN109218617A (zh) * | 2018-09-30 | 2019-01-15 | 中央电视台 | 一种远程控制方法、广播级摄像设备和云服务器 |
| CN109858293B (zh) * | 2018-11-27 | 2021-01-01 | 浙江创意声光电科技有限公司 | 照明控制机的入侵处理方法及装置 |
| US20220067139A1 (en) * | 2020-08-25 | 2022-03-03 | Kyndryl, Inc. | Loss prevention of devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010105249A1 (en) * | 2009-03-13 | 2010-09-16 | Rutgers, The State University Of New Jersey | Systems and methods for the detection of malware |
| CN103679070A (zh) * | 2013-12-05 | 2014-03-26 | 小米科技有限责任公司 | 一种终端的防盗方法、装置及终端设备 |
| CN103870550A (zh) * | 2014-03-03 | 2014-06-18 | 同济大学 | 基于Android系统的用户行为模式获取方法及其系统 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6542729B1 (en) | 1999-04-27 | 2003-04-01 | Qualcomm Inc. | System and method for minimizing fraudulent usage of a mobile telephone |
| GB0210241D0 (en) | 2002-05-03 | 2002-06-12 | Cerebrus | Local usage monitoring and fraud detection for radio communication networks |
| US7970386B2 (en) | 2005-06-03 | 2011-06-28 | Good Technology, Inc. | System and method for monitoring and maintaining a wireless device |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| US8650080B2 (en) | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
| US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
| US20080226069A1 (en) | 2007-03-14 | 2008-09-18 | Encrypted Shields Pty Ltd | Apparatus and Method for Providing Protection from Malware |
| US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
| US8595834B2 (en) | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
| US20090288079A1 (en) * | 2008-05-13 | 2009-11-19 | Google Inc. | Automatic installation of a software product on a device |
| US8731519B2 (en) * | 2008-09-08 | 2014-05-20 | At&T Mobility Ii Llc | Mobile handset extension to a device |
| US8145561B1 (en) | 2009-01-05 | 2012-03-27 | Sprint Communications Company L.P. | Phone usage pattern as credit card fraud detection trigger |
| US8615216B2 (en) | 2009-01-23 | 2013-12-24 | LocusPlay, Inc. | Systems and methods for managing mobile communications |
| US9258715B2 (en) * | 2009-12-14 | 2016-02-09 | Apple Inc. | Proactive security for mobile devices |
| US8655314B1 (en) | 2010-07-20 | 2014-02-18 | Sprint Communications Company L.P. | Telecom-fraud detection using device-location information |
| US20120290712A1 (en) | 2011-05-13 | 2012-11-15 | Microsoft Corporation | Account Compromise Detection |
| US20130103944A1 (en) * | 2011-10-24 | 2013-04-25 | Research In Motion Limited | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices |
| KR20140027578A (ko) * | 2012-07-06 | 2014-03-07 | 삼성전자주식회사 | 잠금 기능을 제어하기 위한 방법 및 그 전자 장치 |
-
2015
- 2015-04-24 US US14/695,190 patent/US9996682B2/en active Active
-
2016
- 2016-04-14 CN CN201680023606.4A patent/CN107533624B/zh active Active
- 2016-04-14 WO PCT/US2016/027490 patent/WO2016171992A1/en active Application Filing
- 2016-04-14 EP EP16719629.4A patent/EP3286681B1/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010105249A1 (en) * | 2009-03-13 | 2010-09-16 | Rutgers, The State University Of New Jersey | Systems and methods for the detection of malware |
| CN103679070A (zh) * | 2013-12-05 | 2014-03-26 | 小米科技有限责任公司 | 一种终端的防盗方法、装置及终端设备 |
| CN103870550A (zh) * | 2014-03-03 | 2014-06-18 | 同济大学 | 基于Android系统的用户行为模式获取方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3286681B1 (en) | 2019-12-18 |
| WO2016171992A1 (en) | 2016-10-27 |
| CN107533624A (zh) | 2018-01-02 |
| US20160314289A1 (en) | 2016-10-27 |
| EP3286681A1 (en) | 2018-02-28 |
| US9996682B2 (en) | 2018-06-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107533624B (zh) | 检测和防止设备的非法使用 | |
| US10846425B2 (en) | Data protection based on user input during device boot-up, user login, and device shut-down states | |
| US20120309354A1 (en) | Situation aware security system and method for mobile devices | |
| US8931081B2 (en) | Device identification for externalizing password from device coupled with user control of external password service | |
| US8782404B2 (en) | System and method of providing trusted, secure, and verifiable operating environment | |
| CN110651270B (zh) | 一种数据访问方法及装置 | |
| US20020171546A1 (en) | Universal, customizable security system for computers and other devices | |
| US8656455B1 (en) | Managing data loss prevention policies | |
| CN109690541B (zh) | 随机密码强制失败 | |
| WO2015196448A1 (en) | Data protection based on user and gesture recognition | |
| CN105243307A (zh) | 一种触摸屏的指纹识别方法及装置 | |
| US8654978B2 (en) | Apparatus, method, and computer program product for access control to a mobile terminal | |
| US20040123161A1 (en) | Portable information processing apparatus and system lock program | |
| US20150094023A1 (en) | Retroactively Securing a Mobile Device From a Remote Source | |
| US20150286810A1 (en) | Smart pen system to restrict access to security sensititive devices while continuously authenticating the user | |
| CN104091119A (zh) | 一种移动终端及其数据的保护方法、保护系统 | |
| KR20140093556A (ko) | 이중 인증을 통한 전자기기의 보안 시스템 및 이를 이용한 전자기기의 보안 방법 | |
| JP2006209198A (ja) | 画像形成装置及び画像セキュリティプログラム | |
| CN107679411A (zh) | 一种移动终端隐私处理方法及移动终端 | |
| CN109800548B (zh) | 一种防止个人信息泄露的方法和装置 | |
| CN106295274B (zh) | 一种应用程序控制方法及装置 | |
| KR101662944B1 (ko) | 노트북 잠금 제어방법 | |
| CN111279339A (zh) | 一种应用锁定的方法、终端设备及计算机可读介质 | |
| JP4981733B2 (ja) | 携帯端末用暗号化ファイル管理システムとその方法と、それらの装置とそのプログラム | |
| US10120991B1 (en) | Systems and methods for initiating immediate data erasure on a device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |