基于手机传感器的用户行为识别检测技术研究文献综述

1. 文献综述（或调研报告）：

基于手机传感器的用户行为识别检测技术研究

顾昊

（东南大学 信息科学与工程学院，江苏 南京）

背景

随着移动互联网的普及，智能手机不仅仅是一个用来打电话沟通的工具，还承担着社交、电子金融和网络购物等任务。因此用户隐私信息泄漏问题一直是网络安全研究中的重要话题。移动应用程序已成为我们日常生活的核心，为我们提供各种服务和实用程序（通常免费）。 我们委托应用程序提供丰富的信息，使他们能够执行这些功能，但尽管我们依赖这些应用程序以及我们与他们的无数日常互动，我们对他们与第三方分享的内容知之甚少，他们对我们的数据做了什么^[1]。与Web^[2]一样，许多移动应用程序开发人员将第三方服务集成到他们的应用程序中，用于各种目的，包括应用程序维护（即崩溃报告），分析服务，用户参与，A/B测试，社交网络集成和广告。第三方服务继承了主机应用程序请求的应用程序权限集，允许他们访问大量有价值的用户数据，这通常超出他们向应用程序开发人员或最终用户提供预期服务所需的数据^[3]。目前Android和iOS两大主流手机操作系统均允许应用程序自由读取动作传感器数据而无需用户许可。而近年的研究表明，通过采集智能手机内置传感器数据，可以从中推测出用户的输入内容，从而对用户的隐私安全造成显著威胁。

国内外研究现状

根据现有的攻击统计结果来看，移动设备已经成为新的信息安全的薄弱点。Nahapetian[4]在其论文中提到，智能手机一般都装有大量的传感器，目前已有研究表明，通过对这些传感器数据进行分析和提炼可以推测出大量的个人信息，无论本意是正当的还是恶意的。更

糟糕的是，其中有很多传感器，尤其是动作传感器缺乏有效的访问权限控制，手机应用和浏览器都可以直接访问这些传感器的数据。这些设备上的高质量传感器（例如，相机，GPS和加速度计）不断感知以人为中心的数据，这有助于开发人员创建各种新颖的应用程序。但是，一旦这些传感器被恶意软件劫持，它们可能会严重威胁用户隐私[5]。官方的软件商店如iTunes、Google Play以及第三方应用市场为恶意软件获取手机的传感器数据提供了机会[6]。Cai[7]首次提出使用智能手机上的地磁方向传感器来推测用户输入，他发现当用户在使用智能手机上的软键盘输入的时候，尤其是手持时手机会产生震动，而这些震动跟用户输入的内容有关。之后 Xu 等人在 Cai 的基础之上做了进一步研究[8]，他们设计了一个叫TapLogger的系统，可以推测用户在手机上输入的类似数字PIN码的内容。该系统包含一个伪装成游戏的恶意安卓软件，当用户使用该软件时手机上的动作传感器数据会被记录下来，同时还有与之对应的具体按键信息，将这些数据传输到云端服务器进行学习和训练，此后当用户执行敏感输入时，该恶意软件会利用之前的学习模型去推测用户输入的内容，比如盗取开机 PIN 码等。Xu在论文中提到该模型在完成三次推测步骤后可以检测出 PIN 码的所有数字，具体来说就是对连续无重叠的数字进行推测。然而Xu并没有详细阐述在所有可能排列组合中做出选择的过程。例如，在三次预测后，对于一个4位数字的PIN来说其中3个数字已经有了相应的推测结果，然而对于第4个数字， 在最坏情况下却需要猜测 81 次。令人惊讶的是，Xu 等人并没有使用标准的序列预测技术，如隐含马尔科夫模型（HMM），来将各次独立的预测结果连接起来。SAN-SEGUNDO R等人[9]描述了基于隐马尔可夫模型（HMM）的人类活动识别和分割（HARS）系统的开发。该系统使用来自智能手机的惯性信号来识别和分割六种不同的身体活动：步行，走楼上，走楼下，坐着，站立和躺着。所有实验都是使用一种名为UCI人类活动识别智能手机的公开数据集完成的。开发的系统改进了以前工作中在此数据集上获得的结果。他们结合活动序列模型。最佳结果显示活动分段错误率为2.1％。