基于行为模式的装置去激活的制作方法

1.本公开涉及识别个别或类别装置使用模式以自动停用装置。

背景技术：

2.据估计，每年有7000多万台移动装置被盗，且其中只有不到7％被追回。此外，装置变得越来越有价值，通常需要花费数千美元来更换。然而，被盗装置的成本通常远远超过装置本身的货币价值。个人信息、财务信息、到其它系统的凭证等的盗窃可能远远超过更换被盗硬件的成本。
3.存在众多旨在打击装置盗窃的系统。举例来说，许多装置采用加密技术、认证程序及生物计量来保护装置数据。然而，装置及装置盗贼可得到的可恢复数据的高价值导致被盗装置的数目每年都在上升。
附图说明
4.图1是说明一些实施方案可在其上操作的装置的概述的框图。
5.图2是说明一些实施方案可在其中操作的环境的概述的框图。
6.图3是说明组件的框图，在一些实施方案中，所述组件可用于采用所公开技术的系统中。
7.图4是说明在一些实施方案中用于学习及应用装置使用模式来停用可能被盗的装置的过程的流程图。
8.图5是说明用于学习异常装置使用模式并在检测到异常装置使用模式时停用装置的实体及操作的实例的概念图。
9.通过结合附图参考以下具体实施方式，可更好地理解此处介绍的技术，在附图中相似参考数字指示等同或功能类似的元件。
具体实施方式
10.描述基于模式的控制系统的实施例，所述基于模式的控制系统学习并应用装置使用模式来识别并停用展现异常使用模式(例如被盗装置的模式)的装置。在各种实施方案中，停用装置可包含永久破坏装置的物理组件、半永久地停用装置的组件(例如，需要第三方越权控制才能重新启用)或临时停用装置(例如，通过软件锁定或加密，其可用密码或其它认证程序来逆转)。
11.在一些实施方案中，基于模式的控制系统可学习用户的正常使用模式，并在识别到与正常使用模式不同达阈值量的使用模式时停用装置。在其它实施方案中，基于模式的控制系统可学习异常使用模式，例如被盗装置的典型使用模式，并可在发现此异常使用模式时停用装置。
12.在一些情况中，基于模式的控制系统可将使用模式作为使用条件的一组值(例如，是否发生特定活动的二进制值、活动类别中的选项的特定值、值范围等)来学习。在其它实
施方案中，基于模式的控制系统可使用使用条件值作为可产生使用模式匹配估计的机器学习模型的输入。机器学习模型可经训练以基于在其它被盗装置中所见的使用模式或基于已知通常在装置被盗时发生的活动(例如进行多次购买、挖掘个人数据及调换sim卡)来识别“被盗装置”。机器学习模型还可经训练以学习特定用户的典型使用模式，例如通过监测装置使用及将活动作为训练数据应于模型(假设装置未被盗)直到模型具有足够的使用实例来建立识别典型使用模式的能力。
13.如文本使用的“机器学习模型”或“模型”是指使用训练数据进行训练以对新数据项进行预测或提供概率的构造，无论新数据项是否包含在训练数据中。举例来说，训练数据可包含具有各种参数及经指派类别的项。新数据项可具有模型可用来为新数据项指派类别的参数。作为另一实例，模型可为源自训练数据的分析的概率分布。模型的实例包含：神经网络、深度神经网络、支持向量机、决策树、帕曾窗、贝叶斯、概率分布及其它。可为各种情形、数据类型、源及输出格式配置模型。
14.在各种实施方案中，基于模式的控制系统可监测各种当前使用条件。基于模式的控制系统可确定针对特定活动是否正在发生的二进制值，或者识别针对活动的情况的个别值或值范围。此类使用条件可包含例如针对位置的识别、设置的改变、数据存取事件(例如密码、个人数据)、应用程序使用量或序列、带宽使用事件或模式、装置移动模式(例如，惯性测量单位或“imu”数据)、sim卡改变事件、购买事件、当前用户面部模式的识别等等的值。
15.在一些实施方案中，用户可对停用装置应用约束，例如当在特定已知位置时从不停用装置，在某些情况下启用异常使用模式匹配(例如，当用户指示她正在旅行时)，在某些情况下(例如，如果装置被借给其它用户)停用针对异常使用模式的检查，在一天的某些时间及/或在某些日期启用或停用使用模式匹配等等。
16.在一些实施方案中，基于模式的控制系统可为用户提供一旦识别到异常使用模式就越权控制装置停用的选项。举例来说，基于模式的控制系统可通过装置或通过向其它帐户发送通知(例如帐户或向备份装置)来提供一或多个警报。警报可能需要认证，在此之后基于模式的控制系统可取消装置的停用。在一些实施方案中，取消装置的停用可致使基于模式的控制系统改变匹配的异常使用模式或重新训练机器模型以使其不识别导致通知的使用模式。
17.在识别到异常使用模式后(且如果没有提供越权控制)，基于模式的控制系统可停用装置。在一些实施方案中，停用装置包含永久破坏装置的物理组件。举例来说，基于模式的控制系统可使熔丝过载、损坏存储器、使处理器过热等。在其它实施方案中，停用装置包含半永久地停用装置的组件，例如关闭或停用装置(例如，存储器)控制器、使硬件组件断开连接等。此半永久停用可需要第三方(如制造商、网络提供商等)来重新启用装置。在又其它实施方案中，停用可为非永久性的，例如通过软件锁定或加密，所述停用可通过认证程序撤销。在一些实施方案中，装置停用的级别可基于异常活动的严重性或与异常使用匹配的置信度值。举例来说，如果基于模式的控制系统对被盗装置具有高置信度值，其可永久停用装置，但在具有较低阈值置信度值的情况下，基于模式的控制系统可仅半永久地停用装置。
18.现有系统旨在减少归因于装置被盗的安全性暴露。这些系统依赖于预先建立的安全性策略，例如要求针对敏感应用程序的强密码、数据加密或本地沙盒，或其依赖远程控制，例如在装置所有者通知装置被盗时的远程凭证移除或存储器擦除。然而，这些现有系统
存在多个缺点。为保持安全而预先建立的安全性策略通常要求用户遵守例如不重新使用密码以及不在其可能被监视的地方键入密码的准则。远程控制系统要求用户意识到其装置已经被盗，并联系(在无法利用其被盗装置的情况下)远程装置管理员以执行数据移除。除了这些安全性问题之外，两种类型的现有系统都无法充分抑制装置盗窃，因为装置在窃贼可采取的典型动作(例如简单的出厂复位、更换存储系统及/或更换sim卡)后仍具有重要价值。
19.期望所公开技术克服现有系统的这些缺点。通过提供基于所学习使用模式的自动装置停用，安全性通过不再依赖于用户遵守准则或管理员及时通知盗窃得到改进。代替地，当检测到异常使用模式时，装置停用自动发生。另外，通过提供用于以窃贼无法克服的方式停用装置(例如，通过损坏装置硬件或停用硬件控制器-执行出厂复位或更换存储系统无法克服的动作)的自动系统，盗窃装置的吸引力大大降低，且因此装置盗窃可减少。
20.下面参考图式更详细论述若干实施方案。图1是说明所公开技术的一些实施方案可在其上操作的装置的概述的框图。所述装置可包括学习装置使用模式的装置100的硬件组件。同一装置100或装置100的另一版本可检测异常使用模式匹配并且，除非约束是活动的或越权控制发生，否则停用装置100。装置100可包含向处理器110(例如cpu、gpu、hpu等)提供输入而向其通知动作的一或多个输入装置120。所述动作可通过硬件控制器进行调解，所述硬件控制器解译从输入装置接收的信号，并使用通信协议将信息传达到处理器110。举例来说，输入装置120包含鼠标、键盘、触摸屏、红外传感器、触摸板、可穿戴输入装置、基于照相机或图像的输入装置、麦克风或其它用户输入装置。
21.处理器110可为一装置中或跨越多个装置分布的单个处理单元或多个处理单元。处理器110可例如使用总线，例如pci总线或scsi总线耦合到其它硬件装置。处理器110可与装置(例如显示器130)的硬件控制器通信。显示器130可用于显示文本及图形。在一些实施方案中，显示器130向用户提供图形及文本视觉反馈。在一些实施方案中，显示器130包含作为显示器的部分的输入装置，例如当输入装置是触摸屏或装备有眼动方向监测系统时。在一些实施方案中，显示器与输入装置分离。显示装置的实例是：lcd显示屏、led显示屏、投影、全息或增强现实显示器(例如平视显示装置或头戴式装置)等。其它i/o装置140也可耦合到处理器，例如网卡、视频卡、音频卡、usb、火线或其它外部装置、照相机、打印机、扬声器、cd-rom驱动器、dvd驱动器、磁盘驱动器或蓝光装置。
22.在一些实施方案中，装置100还包含能够与网络节点无线或有线通信的通信装置。通信装置可使用例如tcp/ip协议来通过网络与另一装置或服务器通信。装置100可利用通信装置跨越多个网络装置来分布操作。
23.处理器110可存取装置中或跨越多个装置分布的存储器150。存储器包含用于易失性及非易失性存储的各种硬件装置中的一或多者，并且可包含只读存储器及可写存储器两者。举例来说，存储器可包括随机存取存储器(ram)、各种高速缓存、cpu寄存器、只读存储器(rom)及可写非易失性存储器，例如快闪存储器、硬盘驱动器、软盘、cd、dvd、磁存储装置、磁带驱动器等。存储器不是脱离底层硬件的传播信号；存储器因此是非暂时性的。存储器150可包含存储程序及软件的程序存储器160，所述程序及软件例如操作系统162、基于模式的控制系统164及其它应用程序166。存储器150还可包含数据存储器170，例如装置使用模式、约束设置、越权控制通知模板、配置数据、设置、用户选项或首选项等，其可提供到程序存储
器160或装置100的任何元件。
24.一些实施方案可与众多其它计算系统环境或配置一起操作。适合与技术一起使用的计算系统、环境及/或配置的实例包含(但不限于)个人计算机、服务器计算机、手持式或膝上型装置、蜂窝电话、可穿戴电子器件、游戏控制台、平板计算机装置、多处理器系统、基于微处理器的系统、机顶盒、可编程消费型电子器件、网络pc、小型计算机、大型计算机、包含以上任何系统或装置中的任一者的分布式计算环境，或类似者。
25.图2是所公开技术的一些实施方案可在其中操作的环境200的概述的框图。环境200可包含一或多个客户端计算装置205a到205d，其实例可包含装置100。客户端计算装置205可在联网环境中使用通过网络230到一或多个远程计算机(例如服务器计算装置)的逻辑连接进行操作。
26.在一些实施方案中，服务器210可为边缘服务器，其接收客户端请求并协调通过其它服务器(例如服务器220a到220c)满足所述请求。服务器计算装置210及220可包括计算系统，例如装置100。尽管每一服务器计算装置210及220在逻辑上显示为单个服务器，但服务器计算装置可各自为分布式计算环境，其涵盖位于相同或地理上相异的物理位置处的多个计算装置。在一些实施方案中，每一服务器220对应于一组服务器。
27.客户端计算装置205及服务器计算装置210及220可各自充当到其它服务器/客户端装置的服务器或客户端。服务器210可连接到数据库215。服务器220a到220c可各自连接到对应数据库225a到225c。如上文论述，每一服务器220可对应一组服务器，并且这些服务器中的每一者可共享数据库或可具有其自己的数据库。数据库215及225可仓储(例如，存储)信息，例如装置在被盗后的典型用途、正常使用模式、约束设置等。尽管数据库215与225在逻辑上显示为单个单元，但数据库215及225可各自为涵盖多个计算装置的分布式计算环境，可位于其对应服务器内，或者可位于相同或地理上相异的物理位置处。
28.网络230可为局域网(lan)或广域网(wan)，但也可为其它有线或无线网络。网络230可为因特网或一些其它公共或私有网络。客户端计算装置205可通过网络接口连接到网络230，例如通过有线或无线通信。尽管服务器210与服务器220之间的连接展示为单独连接，但这些连接可为任何种类的本地、广域、有线或无线网络，包含网络230或单独公共或私有网络。
29.图3是说明组件300的框图，在一些实施方案中，组件300可用于采用所公开技术的系统中。组件300包含硬件302、通用软件320及专用组件340。如上文论述，实施所公开技术的系统可使用各种硬件，包含处理单元304(例如cpu、gpu、apu等)、主存储器306、存储存储器308(本地存储装置或作为远程存储装置的接口，例如存储装置215或225)及输入及输出装置310。在各种实施方案中，存储存储器308可为以下中的一或多者：本地装置、到远程存储装置的接口或其组合。举例来说，存储存储器308可为可通过系统总线存取的一组一或多个硬盘驱动器(例如，独立磁盘冗余阵列(raid))，或可为可经由一或多个通信网络存取的云存储提供商或其它网络存储装置(例如，网络可存取存储(nas)装置，例如存储装置215或通过另一服务器220提供的存储装置)。组件300可在客户端计算装置(例如客户端计算装置205)中或在服务器计算装置(例如服务器计算装置210或220)上实施。
30.通用软件320可包含各种应用程序，其包含操作系统322、本地程序324及基本输入输出系统(bios)326。专用组件340可为通用软件应用程序320的子组件，例如本地程序324。
专用组件340可包含约束控制器344、使用模式学习模块346、使用模式监测器348、越权控制模块350、停用控制器352，以及可用于提供用户接口、传送数据及控制专用组件的组件，例如接口342。在一些实施方案中，组件300可在跨越多个计算装置分布的计算系统中，或者可为到执行专用组件340中的一或多者的基于服务器的应用程序的接口。尽管被描绘为单独组件，但专用组件340可为控制器内功能的逻辑或其它非物理区分。举例来说，专用组件340可为驻留在应用处理器、调制解调器处理器、asic、fpga或类似者上的控制器的方面。在一些实例中，专用组件340是前述中的一者中的存储器控制器，表示为布局或设计的ip块。
31.约束控制器344可确定指定其中停用或启用异常模式匹配的情况的任何约束是否是活动的。约束指定的情况的实例可包含其中启用或停用异常模式匹配的不安全或安全的地理区；其中启用或停用异常模式匹配的不安全或安全的时间；其中启用或停用异常模式匹配的不安全或安全的日期，异常模式匹配的手动激活或去激活等。下面关于框404及软件模块552提供来自异常模式匹配的约束的额外细节。
32.使用模式学习模块346可学习对应于特定用户的正常使用或被盗装置上通常看到(或预期)的使用的装置使用模式。在各种实施方案中，学习使用模式可包含使用标记为针对或不针对特定用户或标记为在被盗装置中发生或不发生的使用条件来训练机器学习模型。在其它实施方案中，学习使用模式可包含人工选择若干组使用条件或基于统计分析选择使用条件(例如，在特定使用条件发生超过阈值时间量的情况下，可将其添加到一组选定的使用条件)。下面关于框402及软件模块532提供学习使用模式的额外细节。
33.使用模式监测器348可获得由使用模式学习模块346所学习的使用模式(作为机器学习模型或一组使用条件)。使用模式监测器348还可获得装置300的当前使用条件(例如，通过接口342从组件320获得)，并将其应用于所获得使用模式以确定异常使用模式是否正在发生。下面关于框406、软件模块554及神经网络506提供针对异常使用模式监测当前使用条件的额外细节。
34.当使用模式监测器348检测到异常使用模式时，越权控制模块350可向用户索求越权控制，例如通过在装置300上提供通知或通过向另一系统发送消息，例如帐户、电话号码或装置管理系统。如果用户在设定时间限制内提供越权控制，那么可取消停用装置。下面关于框408及软件模块556提供越权控制的额外细节。
35.当由使用模式监测器348检测到异常使用模式并且越权控制模块350未在设定时间限制内接收到越权控制时，停用控制器352可停用装置300。停用装置300可包含永久破坏装置300的物理组件、半永久地停用装置300的组件(例如，需要第三方越权控制来重新启用)或临时停用装置300(例如，通过软件锁定或加密)。在一些实施方案中，停用的级别可基于异常使用的置信度值(由使用模式监测器348提供)到停用类型的映射。下面关于框410及动作590提供停用装置的额外细节。
36.所属领域的技术人员了解，上文描述的图1到3及下面论述的流程图中的每一者中所说明的组件可以多种方式更改。举例来说，可重新布置逻辑的顺序，可并行执行子步骤，可省略所说明逻辑，可包含其它逻辑，等等。在一些实施方案中，上文描述的组件中的一或多者可执行下面描述的过程中的一或多者。
37.图4是说明在一些实施方案中用于学习及应用装置使用模式来停用可能被盗的装置的过程400的流程图。过程400的部分可在不同时间执行。在一些实施方案中，可在用户使
用装置时递增地执行用于学习装置使用模式的框402。在其它实施方案中，框402可使用指示特定使用是否是异常装置使用(例如，针对被盗装置)的部分的一组训练项来提前执行。这些情况允许过程400通过对机器学习模型进行训练来获得机器学习模型。在其它情况中，框402可在不同于执行框404到412的装置的装置上执行。举例来说，远程装置可训练机器学习模型来辨识被盗装置的使用模式，并且可由使用模型来检查使用模式的另一装置来获得所述机器学习模型。
38.尽管在一些情况中，可用装置的正常处理元件及/或存储器执行过程400的部分，但在其它实施方案中，可使用专用安全性硬件来执行过程400的至少一些部分(例如，框404到412)，例如处理器及/或与所述处理器分离的存储器及/或用于装置的正常操作(例如，执行操作系统的正常操作)的存储器。这可允许装置监测异常使用，即使在例外情况下(例如出厂数据复位)也如此。类似地，在一些实施方案中，过程400的部分可通过经由网络向执行异常使用监测的系统提供当前使用条件来远程执行。在一些情况下，被监测的装置可包含在没有周期性地从远程系统接收到验证的情况下停用装置的默认项，从而防止窃贼简单地停用通信以克服装置停用程序。
39.在框402处，过程400可学习装置使用模式。装置使用模式可基于使用条件，例如当前位置、对设置进行的改变、特定数据存取事件(例如，密码或个人数据存取)、应用程序使用、带宽模式、物理装置移动(例如，imu数据)、sim卡改变事件、财务事件(例如，电子商务购买)、当前用户面部辨识数据、其它用户i/o事件、网络流量等。使用模式可为典型的使用模式(例如，特定用户的典型使用)或异常使用模式(例如，被盗装置的典型使用)。
40.在一些实施方案中，可通过训练机器学习模型辨识使用条件何时达到正常或异常使用模式来学习装置使用模式。在一些实施方案中，机器学习模型可为具有接收使用条件的多个输入节点的神经网络。输入节点可对应于接收输入并产生结果的函数。这些结果可提供到一或多个级别的中间节点，其各自基于较低级别节点结果的组合产生进一步结果。在将结果传递到下一层节点之前，可将加权因子应用于每一节点的输出。在最后一层处，(“输出层”)，一或多个节点可产生对输入进行分类的值，一旦模型经训练用于识别典型或异常使用模式，所述值就可用来衡量使用是典型的还是异常的。作为另一实例，机器学习模型可为深度神经网络及/或神经网络的部分可具有内部状态，从而允许神经网络随着时间的推移识别使用模式(例如，递归神经网络)或可执行卷积(例如，卷积神经网络)。在一些实施方案中，可使用包含由正常用户执行的输入使用条件的训练数据(映射到典型使用输出)及包含在已经被盗的装置中观察到的活动或预期在被盗装置中执行的活动的训练数据(映射到异常输出)来训练神经网络识别异常使用模式。在其它情况下，模型可经训练以识别特定用户的使用，在此情况中，训练项可为所述用户的被监测的使用条件，其映射到指示使用是正常的输出。在训练期间，可向神经网络提供输入使用条件的表示(例如，作为特征向量)。来自神经网络的输出可与映射到所述训练项的期望输出进行比较，并且基于所述比较，可修改神经网络，例如通过改变神经网络的节点之间的权重及/或神经网络中每一节点处使用的函数的参数或深度神经网络的层之间的参数。在应用训练项中的每一者并以此方式修改神经网络之后，神经网络模型可经训练以评估新的使用模式来确定其是正常还是异常的。
41.在一些实施方案中，作为对机器学习模型的替代或补充，在框402处，基于模式的
控制系统可学习作为一组使用条件的装置使用模式。举例来说，异常使用模式可设置为对先前从未访问过的区域的位置改变，结合密码数据库存取，然后是出厂数据复位。
42.在其中已学习的装置使用模式特定于用户的实施方案中，可复位已学习的装置使用模式，从而允许装置被转移到新用户以学习新的典型使用模式。此复位过程可在各种安全性特征(例如密码、生物计量)之后，或可能需要第三方连接(例如网络提供商或装置制造商)来执行使用模式复位。
43.如果在装置上学习使用模式而不是在将应用所述模式的地方学习使用模式，那么装置使用模式可例如由装置制造商预加载到装置中，或者可通过网络提供到装置。
44.在框404处，过程400可确定约束是否是活动的。约束可限制其中基于模式的控制系统将执行异常装置使用检查的情况。举例来说，用户可能够配置设置以明确开启或关闭模式匹配或者可设置自动启用或停用模式匹配的情况。举例来说，用户可将其装置借给另一用户，但不希望其它用户的异常使用触发装置的停用。在此例子中，用户可切换告知基于模式的控制系统停止检查异常使用模式的设置直到设置被切换回。作为另一实例，用户可建立其中停用异常模式匹配的安全地理区(例如，在家、工作场所或基于用户的日程的自动学习位置)，或者可建立其中启用异常模式匹配的不安全区(例如，在旅行时或在不是用户的常规日程的部分的位置处)。类似地，用户可建立安全或不安全时间或日期来启用或停用异常模式匹配(例如，用户可在用户旅行时针对日期启用模式匹配，或者基于模式的控制系统可自动识别用户的日历上更可能发生盗窃的事件)。在一些情况中，基于模式的控制系统可自动识别存在高度安全性风险(例如，更可能发生盗窃)的条件(例如，基于当前位置、日历事件或其它场景)，并且可提示用户激活异常模式匹配。如果约束是活动的(防止异常模式匹配)，那么过程400可保持在框404处，直到所述约束被关闭。如果此类约束是不活动的，那么过程400可继续到框406。在一些实施方案中，不使用约束检查，并且过程400可跳过框404并直接进行到框406。
45.在框406处，过程400可检测是否发生异常装置使用。取决于在框402处学习的装置使用模式的类型，将当前使用条件与使用模式进行比较可包含确定当前使用条件与在框402处学习的一组使用条件之间的阈值匹配，或者将当前使用条件应用于在框402处训练的机器学习模型。在各种实施方案中，识别异常装置使用可包含确定当前使用条件与正常使用模式不充分匹配，或者可包含确定当前使用条件与异常使用模式充分匹配。
46.在一些实施方案中，可使用多于一个装置使用模式。举例来说，过程400可能已识别被盗装置的异常装置使用模式，且可能已识别特定用户的典型使用模式(例如，为每一者训练的单独机器学习模型)。过程400可组合来自这两种使用模式的输出以确定异常装置使用是否发生，例如通过当任一模型提供高于阈值的置信度值时、当两个模型都提供高于阈值的置信度值时或者当通过两个模型的平均确定高于阈值时确定异常使用。在一些情况中，可对这两个模型中的每一者的输出进行加权，例如通过静态值或通过使用经训练以基于使用条件的输入识别其它两个模型中的每一者的输出的权重的第三模型。举例来说，基于当前使用条件，“被盗”模型可基于当前使用条件产生装置已经被盗的73％阳性的估计，“典型使用”模型可产生当前使用条件指示非典型使用的87％的估计，且“加权模型”可针对当前使用条件为“典型使用”模型提供61％的权重，且为“被盗”模型提供39％的权重。因此，总体结果可为73％*39％+87％*61％＝81.54％。在此实例中异常使用的阈值可为80％，因
此结果将为确定异常使用正在发生。如果未检测到异常装置使用，那么过程400可返回到框404，但如果检测到异常的装置使用，那么过程400可继续到框408。
47.在框408处，过程400可确定是否已提供用于停用装置的越权控制。响应于检测到的异常装置使用，过程400可在装置上或向单独的系统(例如，指定的帐户、装置管理员、通过向备份装置发短信等)提供已检测到异常装置使用的警告，并且除非在阈值时间量(例如，30秒、1分钟、2分钟或5分钟等)内提供越权控制，否则装置将自行停用。提供越权控制可包含键入主密码、提供生物计量读取、执行双因素认证等。在一些情况中，所提供的越权控制可指示在框406处的异常使用匹配不正确，且因此过程400可保留具有包含当前使用条件的额外训练数据的经学习的装置使用模式作为异常使用的反例。如果提供越权控制，那么过程400可返回到框404，但是如果没有提供越权控制，过程400可继续到框410。在一些实施方案中，不使用越权控制检查，并且过程400可跳过框408并直接进行到框410。
48.在框410处，过程400可停用检测到异常使用的装置。在各种含义中，停用可为硬件的永久停用、存储在装置存储器中的数据之外的半永久停用，或可为设置或其它存储器配置的改变。举例来说，永久停用硬件可能包含使熔丝过载、损坏存储器、使处理器过热等。半永久停用可能包含关闭或断开连接硬件或停用硬件控制器。通过改变设置或其它存储器配置进行停用可包含对驱动器进行加密、锁定装置或删除特定敏感信息。在一些实施方案中，发生的停用的类型可基于在框406处确定的装置已经被盗的可能性的置信度分数。举例来说，机器学习模型可产生介于0与1之间的值，其中值越接近1，模型就越确信当前使用条件指示异常(或正常，这取决于模型被训练的方式)使用。置信度值的各种阈值可映射到不同的类型的停用，例如当前使用指示装置已经被盗的置信度值越高，装置的停用越持久。
49.在框412处，过程400可提供装置被停用的警报。举例来说，指定的帐户、电话号码或其它系统(例如，雇主信息安全性系统)可接收装置已被停用的通知。在一些植入中，警报还可提供导致装置停用的使用条件及/或重新启用装置的指示。接着，过程400可结束。在一些实施方案中，不提供去激活警报，且过程400可跳过框412。
50.图5是说明用于学习异常装置使用模式并在检测到异常装置使用模式时停用装置的实体及操作的实例500的概念图。实例500包含被盗装置502、被监测装置504及神经网络506。实例500还展示软件模块，其包含识别使用模式以训练神经网络506的模块532、应用约束的模块552、使用神经网络506监测使用模式的模块554以及索求去激活越权控制的模块556。
51.实例500从模块532开始，在动作572处，接收与被盗装置502相关地进行的使用条件。这些使用条件是从各种被盗装置接收到的许多使用条件中的一组(未展示)。另外，还获得来自正常操作中的装置的其它使用条件(也未展示)。在动作574中，提供被盗或未被盗装置的具有对应标签的这些组的使用条件以训练神经网络506。训练可包含将每一组使用条件作为输入提供到神经网络506，并基于神经网络506的输出与所述使用条件组的标签匹配的紧密程度来调整神经网506的参数(例如，使用反向传播)。
52.一旦经训练，神经网络506就可由装置504用来监测异常(被盗装置)使用模式。实例500在动作582处继续，其中模块552检查约束，例如在安全区中时、在选定时间段期间及在用户已关断模式监测时不监测使用模式。当没有约束指示模式监测被停用时，实例500继续到动作584，其中模块554确定当前使用条件，并在操作586处将其提供到经训练神经网络
506。在动作588处，经训练神经网络506提供当前使用条件是否指示异常使用模式的确定。在此实例中，已识别异常使用模式，因此模块556向用户索求越权控制，在此情况中，通过锁定装置并提示用户输入先前在装置上设置的主密码。当已经过了20秒的阈值而未接收到主密码时，实例500继续到动作590，其中装置504被停用。在实例500中，停用装置包含停用处理器、擦除硬盘驱动器及损坏装置504的存储器。装置504现在对窃贼的用处要小得多，并且因为已移除其包含的机密数据，安全性威胁也小得多。
53.上文参考图式描述所公开技术的若干实施方案。可在其上实施所描述技术的计算装置可包含一或多个中央处理单元、存储器、输入装置(例如，键盘及定点装置)、输出装置(例如，显示装置)、存储装置(例如，磁盘驱动器)及网络装置(例如，网络接口)。存储器及存储装置是计算机可读存储媒体，其可存储实施所描技术的至少部分的指令。另外，数据结构及消息结构可经由数据传输媒体(例如通信链路上的信号)存储或传输。可使用各种通信链路，例如因特网、局域网、广域网或点对点拨号连接。因此，计算机可读媒体可包括计算机可读存储媒体(例如，“非暂时性”媒体)及计算机可读传输媒体。
54.在本说明书中，对“实施方案”的参考(例如，“一些实施方案”、“各种实施方案”、“一个实施方案”、“实施方案”等)意味着结合所述实施方案描述的特定特征、结构或特性包含在本公开的至少一个实施方案中。这些短语在规范中各种位置的出现不一定都指同一实施方案，也不一定是指与其它实施方案相互排斥的单独或替代实施方案。此外，描述可由一些实施方案而非其它展现的各种特征。类似地，描述各种需求，其可为针对一些实施方案但不针其它实施方案的需求。
55.如本文使用，高于阈值意味着被比较项的值高于指定的其它值，被比较项位于具有最大值的某一指定数目个项当中，或者被比较项具有在指定的顶部百分比值内的值。如本文使用，低于阈值意味着被比较项的值低于指定的其它值，被比较项位于具有最小值的某一指定数目个项当中，或者被比较项具有在指定的底部百分比值内的值。如本文使用，在阈值内意味着被比较项的值在两个指定的其它值之间，被比较项在中间指定数目个项之间，或者被比较项具有在指定的中间指定的百分比范围内的值。当没有以其它方式定义时，相对术语(如高或不重要)可理解为指派值，并确定所述值与所建立阈值的比较方式。举例来说，短语“选择快速连接”可理解为意味着选择具有对应于高于阈值的其连接速度指派的值的连接。
56.如本文使用，单词“或”是指一组项的任何可能排列。举例来说，短语“a、b或c”是指a、b、c中的至少一者或其任何组合，例如以下中的任一者：a；b；c；a及b；a及c；b及c；a、b及c；或任何项的倍数，例如a及a；b、b及c；a、a、b、c及c；等等。
57.尽管已经用特定于结构特征及/或方法行动的语言描述标的物，但应理解，所附权利要求书中定义的标的物不一定限于上文描述的特定特征或动作。本文已出于说明的目的描述了特定实施例及实施方案，但可在不偏离实施例及实施方案的范围的情况下进行各种修改。上文描述的特定特征及动作被公开为实施所附权利要求书的实例形式。因此，除所附权利要求书之外，实施例及实施方案不受限制。
58.上述任何专利、专利申请案及其它参考通过引用的方式并入本文中。如有必要，可修改方面以采用上文描述的各种参考的系统、功能及概念来提供另外实施方案。如果通过参考合并的文献中的声明或标的物与本技术案的声明或标的物冲突，那么应以本技术案为准。

技术特征：

1.一种方法，其包括：在移动装置的存储器处，接收代表经训练以识别所述移动装置的使用模式的机器学习模型的数据；评估指定其中停用异常模式匹配的一或多种情况的一组一或多个约束，并且基于所述评估，确定来自所述一组约束的约束都不是活动的；响应于所述确定约束不是活动的，通过将所述机器学习模型应用于所述移动装置的当前使用条件以识别所述移动装置的所述使用模式，来确定异常使用模式正在发生；向所述移动装置的用户索求停用越权控制；以及响应于所述确定所述异常使用模式正在发生并且没有接收到停用越权控制，永久停用所述移动装置的一或多个物理组件。2.根据权利要求1所述的方法，其中所述机器学习模型基于所观察到的所述用户的活动进行训练以识别所述用户的正常使用模式；且其中确定所述异常使用模式正在发生包括确定来自所述机器学习模型的输出指示当前使用条件低于所述用户的所述正常使用模式的阈值匹配。3.根据权利要求1所述的方法，其中所述机器学习模型经训练以识别对应于被盗装置的使用条件的所述异常使用模式；且其中确定所述异常使用模式正在发生包括确定来自所述机器学习模型的输出指示所述当前使用条件高于被盗装置的所述使用条件的阈值匹配。4.根据权利要求1所述的方法，其中所述当前使用条件包括以下中的三者或更多者的值：位置的识别；设置改变；个人数据存取事件；应用程序使用量或序列；imu装置移动模式；sim卡改变事件；购买事件；或其任何组合。5.根据权利要求1所述的方法，其中所述一组一或多个约束包括以下中的一或多者：其中停用异常模式匹配的安全地理区；其中停用异常模式匹配的一天中的安全时间；其中停用异常模式匹配的安全日期；或其任何组合。6.根据权利要求1所述的方法，其中所述一组一或多个约束包括其中启用异常模式匹配的不安全日期；且其中所述不安全日期中的至少一些是基于在所述用户的日历上自动识别的事件。7.根据权利要求1所述的方法，
其中所述一组一或多个约束包括异常模式匹配的手动激活；且其中异常模式匹配的所述手动激活是对响应于存在高度安全性危险的条件的自动识别而提供到所述用户的提示的响应。8.根据权利要求1所述的方法，其中所述机器学习模型是经训练以识别对应于被盗装置的使用条件的第一机器学习模型；其中所述方法进一步包括获得经训练以识别对应于所述用户的正常使用的使用条件的第二机器学习模型；且其中所述确定所述异常使用模式正在发生包括：将所述第一机器学习模型应用于所述移动装置的所述当前使用条件以产生估计所述当前使用条件对应于所述移动装置被盗的第一可能性的第一值；将所述第二机器学习模型应用于所述移动装置的所述当前使用条件以产生估计所述当前使用条件对应于所述用户的正常装置动作的第二可能性的第二值；将基于所述第一及第二值的结果组合成经组合异常使用预测；以及确定所述经组合异常使用预测高于异常使用模式阈值。9.根据权利要求8所述的方法，其中所述方法进一步包括获得第三机器学习模型，其经训练以基于向所述第三机器训练模型提供所述当前使用条件来识别基于所述第一及第二值的所述结果之间的权重；且其中所述结果的所述组合包括：向所述第三机器学习模型提供所述当前使用条件以获得所述权重；将所述权重应用于基于所述第一及第二值的所述结果；以及将加权结果组合到所述经组合异常使用预测中。10.根据权利要求1所述的方法，其中至少所述确定所述异常使用模式正在发生及所述永久停用所述移动装置的所述一或多个物理组件是由与执行所述移动装置的操作系统的第一处理组件分离的第二处理组件控制。11.根据权利要求1所述的方法，其中索求所述停用越权控制包括向除所述移动装置之外的计算系统发送消息，及设置用于接收所述越权控制的定时器；且其中响应于所述定时器的期满而执行永久停用所述移动装置的所述一或多个物理组件。12.根据权利要求1所述的方法，其中应用所述机器学习模型包含从所述机器学习模型接收指示所述异常使用模式正在发生的可能性的置信度值；且其中永久停用所述移动装置的所述一或多个物理组件是响应于将所述置信度值与阈值进行比较，在高于所述阈值的情况下所述移动装置被永久停用，并且在低于所述阈值的情况下执行所述移动装置的非永久停用。13.一种用于停用展现异常使用模式的装置的计算系统，所述计算系统包括：一或多个处理器；以及一或多个存储器，其存储指令，所述指令在由所述计算系统执行时致使所述一或多个
处理器执行包括以下的操作：接收代表经训练以识别所述异常使用模式的机器学习模型的数据；通过将所述机器学习模型应用于装置的当前使用条件，确定所述异常使用模式正在发生；向与所述装置相关联的用户索求停用越权控制；以及响应于所述确定所述异常使用模式正在发生并且没有接收到停用越权控制，停用所述装置。14.根据权利要求13所述的计算系统，其中所述机器学习模型经训练以识别对应于被盗装置的使用条件的异常使用模式；且其中确定所述异常使用模式正在发生包括确定来自所述机器学习模型的输出指示所述当前使用条件高于被盗装置的所述使用条件的阈值匹配。15.根据权利要求13所述的计算系统，其中所述当前使用条件包括以下中的两者或更多者的值：位置的识别；设置改变；个人数据存取事件；应用程序使用量或序列；imu装置移动模式；sim卡改变事件；或其任何组合。16.根据权利要求13所述的计算系统，其中所述操作进一步包括：评估指定其中停用异常模式匹配的一或多个情况的一组一或多个约束；基于所述评估，确定来自所述一组约束的约束都不是活动的，并且作为响应，启用异常使用模式匹配。17.根据权利要求16所述的计算系统，其中所述一组一或多个约束包括以下中的一或多者：其中停用异常模式匹配的安全地理区；其中停用异常模式匹配的一天中的安全时间；其中停用异常模式匹配的安全日期；或其任何组合。18.根据权利要求16所述的计算系统，其中所述一组一或多个约束包括异常模式匹配的手动激活；且其中异常模式匹配的所述手动激活是对响应于存在高度安全性危险的条件的自动识别而提供到所述用户的提示的响应。19.一种存储指令的非暂时性计算机可读存储媒体，所述指令在由计算系统执行时致使所述计算系统执行用于停用装置的操作，所述操作包括：获得经训练以识别使用模式的机器学习模型；确定来自指定其中停用异常模式匹配的情况的一组一或多个约束的约束都不是活动的；
响应于所述确定所述约束中没有一个是活动的，通过将所述机器学习模型应用于装置的当前使用条件以识别所述移动装置的所述使用模式，来确定异常使用模式正在发生；以及响应于所述确定所述异常使用模式正在发生，停用所述装置。20.根据权利要求19所述的计算机可读存储媒体系统，其中应用所述机器学习模型包含从所述机器学习模型接收指示所述异常使用模式正在发生的可能性的置信度值；且其中停用所述装置包括响应于将所述置信度值与阈值进行比较而永久停用所述装置，在高于所述阈值的情况下所述装置被永久停用，并且在低于所述阈值的情况下执行所述装置的非永久停用。

技术总结

描述基于模式的控制系统的实施例，所述基于模式的控制系统学习并应用装置使用模式来识别并停用展现异常使用模式的装置。所述系统能够学习用户的正常使用模式或能够学习异常使用模式，例如被盗装置的典型使用模式。这种学习能够包含若干组特定使用条件(例如，位置、设置改变、个人数据存取事件、应用事件、IMU数据等)的人工或算法识别，或训练机器学习模型来识别使用条件组合或序列。约束(例如，特定时间或位置)能够指定其中启用或停用异常模式匹配的情况。在识别到异常使用模式时，所述系统能够停用所述装置，例如，通过永久破坏物理组件、半永久地停用组件或通过软件锁定或数据加密。密。密。