基于人工智能的用户异常行为检测方法、装置及相关设备与流程

1.本发明涉及人工智能技术领域，具体涉及一种基于人工智能的用户异常行为检测方法、装置及相关设备。


背景技术：

2.用户实体行为分析系统作为一种新兴的异常用户检测手段，通过提供画像及基于各种分析方法(机器学习等)发现与用户或实体标准画像或行为相异常的活动所相关的潜在事件。
3.然而，现有的用户实体行为分析系统采用单一算法进行异常检测，受算法本身的限制，单一算法具有一定的局限性，且受到算法参数的影响，不能较好的找出实际的异常值，导致用户异常检测结果的准确率低。
4.因此，有必要提出一种快速准确的检测用户异常行为的方法。


技术实现要素：

5.鉴于以上内容，有必要提出一种基于人工智能的用户异常行为检测方法、装置及相关设备，通过采用预设的多个算法，从多个维度对每个用户进行了异常检测，并对异常行为用户从多个维度进行了关联分析，提高了异常行为检测结果的准确性和完整性。
6.本发明的第一方面提供一种基于人工智能的用户异常行为检测方法，所述方法包括：
7.解析接收到的用户异常行为检测请求，获取目标数据源；
8.调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据；
9.对所述每个用户的第一数据进行预处理，得到每个用户的第二数据；
10.按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集；
11.采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值；
12.基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户；
13.对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。
14.可选地，所述调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据包括：
15.识别所述目标数据源对应业务系统，并从所述业务系统中获取多个预设接口；
16.通过kafka实时消费过滤所述多个预设接口的数据，得到多个过滤数据；
17.采用正则匹配所述多个过滤数据，判断每个所述过滤数据中是否包含有敏感字段；
18.当每个所述过滤数据中包含有敏感字段时，对每个包含有敏感字段的过滤数据进行记录，其中，所述敏感字段包含有一个或者多个；
19.识别所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户id；
20.当所述每个包含有敏感字段的过滤数据对应的请求中存在第一用户id时，将相同第一用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据；或者
21.当所述每个包含有敏感字段的过滤数据对应的请求中不存在第一用户id时，获取所述每个包含有敏感字段的过滤数据对应的请求的ip，并获取使用所述ip的第二用户id，将相同第二用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据。
22.可选地，所述按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集包括：
23.从所述每个用户的第二数据中提取预设时间段内的第三数据；
24.根据所述预设时间段内的工作日和非工作日，对所述第三数据进行分离，得到工作日对应的第三数据和非工作日对应的第三数据；
25.按照预设的提取规则从所述工作日对应的第三数据中提取每个用户的第一特征集，及按照预设的提取规则从所述非工作日对应的第三数据汇总提取每个用户的第二特征集。
26.可选地，所述采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值包括：
27.采用预设的孤立森林算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一异常值；
28.采用预设的差分整合移动平均自回归算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第二异常值；
29.分别对所述第一异常值和所述第二异常值进行归一化处理，得到每个用户的第一概率和第二概率；
30.计算所述每个用户的第一概率与所述预设的孤立森林算法对应的第一权重值的乘积，得到第一乘积，及计算所述每个用户的第二概率与所述预设的差分整合移动平均自回归算法对应的第二权重值的乘积，得到第二乘积；
31.计算所述第一乘积与所述第二乘积总和，得到每个用户的第一目标异常值。
32.可选地，所述采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值包括：
33.采用所述孤立森林算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第三异常值；
34.采用所述差分整合移动平均自回归算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第四异常值；
35.分别对所述第三异常值和所述第四异常值进行归一化处理，得到每个用户的第三概率和第四概率；
36.计算所述每个用户的第三概率与所述孤立森林算法对应的第三权重值的乘积，得
到第三乘积，及计算所述每个用户的第四概率与所述差分整合移动平均自回归算法对应的第四权重值的乘积，得到第四乘积；
37.计算所述第三乘积与所述第四乘积总和，得到每个用户的第二目标异常值。
38.可选地，所述基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户包括：
39.将所述每个用户的第一目标异常值与预设的第一目标异常阈值进行比较，及将所述每个用户的第二目标异常值与预设的第二目标异常阈值进行比较；
40.当所述每个用户的第一目标异常值大于或者等于预设的第一目标异常阈值，和/或，所述每个用户的第二目标异常值大于或者等于预设的第二目标异常阈值时，确定所述每个用户为异常行为用户；或者
41.当所述每个用户的第一目标异常值小于所述预设的第一目标异常阈值，及所述每个用户的第二目标异常值小于所述预设的第二目标异常阈值时，确定所述每个用户为正常行为用户。
42.可选地，所述对所述异常行为用户进行关联分析包括以下一种或者多种方式的组合：
43.识别所述异常行为用户的账号是否为共享账号；或者
44.识别所述异常行为用户是否有vpn权限；或者
45.识别所述异常行为用户命中预设规则的数量；或者
46.识别所述异常行为用户是否提离职；或者
47.识别所述异常行为用户是否有访问敏感信息权限；或者
48.识别所述异常行为用户的账号是否失陷。
49.本发明的第二方面提供一种基于人工智能的用户异常行为检测装置，所述装置包括：
50.解析模块，用于解析接收到的用户异常行为检测请求，获取目标数据源；
51.调用模块，用于调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据；
52.预处理模块，用于对所述每个用户的第一数据进行预处理，得到每个用户的第二数据；
53.提取模块，用于按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集；
54.异常检测模块，用于采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值；
55.确定模块，用于基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户；
56.关联分析模块，用于对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。
57.本发明的第三方面提供一种电子设备，所述电子设备包括处理器和存储器，所述处理器用于执行所述存储器中存储的计算机程序时实现所述的基于人工智能的用户异常
行为检测方法。
58.本发明的第四方面提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现所述的基于人工智能的用户异常行为检测方法。
59.综上所述，本发明所述的基于人工智能的用户异常行为检测方法、装置及相关设备，通过确定目标数据源，并通过目标数据源的接口获取每个用户的第一数据，更加具有针对性，提高了获取的第一数据的准确率。对第一数据进行预处理后提取每个用户的第一特征集和第二特征集，通过对第一数据进行预处理，统一了数据格式，确保了后续用于用户异常行为检测的数据格式一致性。采用预设的多个算法分别对第一特征集和第二特征集进行异常检测，从多个维度进行了异常检测，确保了每个用户的目标异常值的准确性。根据检测出的目标异常值确定出异常行为用户，并对异常行为用户进行从多个维度进行了关联分析得到异常行为检测结果，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果。
附图说明
60.图1是本发明实施例一提供的基于人工智能的用户异常行为检测方法的流程图。
61.图2是本发明实施例二提供的基于人工智能的用户异常行为检测装置的结构图。
62.图3是本发明实施例三提供的电子设备的结构示意图。
具体实施方式
63.为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施例对本发明进行详细描述。需要说明的是，在不冲突的情况下，本发明的实施例及实施例中的特征可以相互组合。
64.除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。
65.实施例一
66.图1是本发明实施例一提供的基于人工智能的用户异常行为检测方法的流程图。
67.在本实施例中，所述基于人工智能的用户异常行为检测方法可以应用于电子设备中，对于需要进行基于人工智能的用户异常行为检测的电子设备，可以直接在电子设备上集成本发明的方法所提供的基于人工智能的用户异常行为检测的功能，或者以软件开发工具包(software development kit，sdk)的形式运行在电子设备中。
68.本发明实施例可以基于人工智能技术对相关的数据进行获取和处理。其中，人工智能(artificial intelligence，ai)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
69.人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、机器人技术、生物识别技术、语音处理技术、自然语言处理技术以及机器学习、深
度学习等几大方向。
70.如图1所示，所述基于人工智能的用户异常行为检测方法具体包括以下步骤，根据不同的需求，该流程图中步骤的顺序可以改变，某些可以省略。
71.本实施例中，在数字化时代高速发展下，企业的信息及网络安全面临着越来越大的挑战，在企业信息安全及管理方面，心怀恶意或者疏忽大意的员工、失陷账号与失陷主机可能会导致企业信息泄露，为了提高企业信息的安全性，需要实时监测每个用户在企业系统中的足迹数据，通过采用预设的多个算法对每个用户的足迹数据进行异常监测，并根据检测出的目标异常值确定出异常行为用户，并对异常行为用户进行从多个维度进行了关联分析得到异常行为检测结果，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果确定出异常用户。
72.s11，解析接收到的用户异常行为检测请求，获取目标数据源。
73.本实施例中，在进行用户异常行为检测时，用户通过客户端发起用户异常行为检测请求至服务端，具体地，所述客户端可以是智能手机、ipad或者其他现有的智能设备，所述服务端可以为用户异常行为检测子系统，在用户异常行为检测过程中，如所述客户端可以向用户异常行为检测子系统发送用户异常行为检测请求，所述用户异常行为检测子系统用于接收所述客户端发送的用户异常行为检测请求。
74.本实施例中，当服务端接收到用户异常行为检测请求时，解析所述异常行为检测请求，获取目标数据源，具体地，所述目标数据源用以表征检测的业务场景，即检测访问所述业务场景对应的业务系统的异常内部用户。
75.s12，调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据。
76.本实施例中，一个目标数据源对应有多个接口，所述接口用以记录访问足迹，通过接口即可获取访问所述接口的用户的第一数据。
77.在一个可选的实施例中，所述调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据包括：
78.识别所述目标数据源对应业务系统，并从所述业务系统中获取多个预设接口；
79.通过kafka实时消费过滤所述多个预设接口的数据，得到多个过滤数据；
80.采用正则匹配所述多个过滤数据，判断每个所述过滤数据中是否包含有敏感字段；
81.当每个所述过滤数据中包含有敏感字段时，对每个包含有敏感字段的过滤数据进行记录，其中，所述敏感字段包含有一个或者多个；
82.识别所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户id；
83.当所述每个包含有敏感字段的过滤数据对应的请求中存在第一用户id时，将相同第一用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据；或者
84.当所述每个包含有敏感字段的过滤数据对应的请求中不存在第一用户id时，获取所述每个包含有敏感字段的过滤数据对应的请求的ip，并获取使用所述ip的第二用户id，将相同第二用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据。
85.本实施例中，可以预先设置预设接口，具体地，所述预设接口用以表征涉及敏感字
段的接口，一般情况下，一个业务系统可能包含有700多个涉及敏感字段的接口，并且接口一般以清单的形式存储。
86.本实施例中，通过kafka实时消费过滤多个预设接口的数据，并通过正则匹配判断每个过滤数据中是否存在敏感字段，例如，所述敏感字段包含有手机号或者订单号等，将含有敏感信息的过滤数据进行记录。
87.本实施例中，由于记录的含有敏感信息的过滤数据中可以获取用户id，通过对包含有敏感信息的过滤数据进行记录，可以确定记录中的操作用户，便于后续进行用户异常行为检测。
88.本实施例中，获取用户id的规则如下：根据所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户id，若存在第一用户id，无需获取请求中的ip，若不存在第一用户id，需要根据所述每个包含有敏感字段的过滤数据对应的请求的ip获取第二用户id，避免了在不存在第一用户id时，直接将所述记录删除，导致未获取该记录第二用户id而引起遗漏用户的问题，提高了获取的用户的完整性。
89.在其他一些实施例中，若多个业务系统的日志混合在一起，由于不同系统的接口样式不同，可以通过接口样式区分每个业务系统的数据，提高了获取的第一数据的准确率。
90.s13，对所述每个用户的第一数据进行预处理，得到每个用户的第二数据。
91.本实施例中，由于所述第一数据中可能存在缺失数据、冗余数据、或者格式不统一的数据，在得到第一数据之后，对所述第一数据进行预处理，具体地，所述预处理包括对所述第一数据进行数据清洗和数据格式转换。
92.在一个可选的实施例中，所述对所述每个用户的第一数据进行预处理，得到每个用户的第二数据包括：
93.对所述每个用户的第一数据进行数据清洗，并对清洗后的第一数据按照预设的格式转换规则进行格式转换，得到每个用户的第二数据。
94.具体地，所述数据清洗包括以下一种或者多种方式的组合：对缺失值清洗、格式内容清洗、逻辑错误清洗和非需求数据清洗。
95.本实施例中，由于多个预设接口获取的数据格式不同，故采用预设的格式转换规则将清洗后的第一数据进行格式转换，统一了第二数据的格式，确保了后续用于用户异常行为检测的数据格式一致性，进而提高了用户异常行为检测的效率和准确率。
96.s14，按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集。
97.本实施例中，可以预先设置提取规则，具体地，所述预设的提取规则根据用户异常行为检测请求中的异常检测要求进行设置，例如，预设的提取规则为提取90天内用户访问的敏感系统的接口的数据，并统计每小时访问量，建立了90天的访问基线。
98.在一个可选的实施例中，所述按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集包括：
99.从所述每个用户的第二数据中提取预设时间段内的第三数据；
100.根据所述预设时间段内的工作日和非工作日，对所述第三数据进行分离，得到工作日对应的第三数据和非工作日对应的第三数据；
101.按照预设的提取规则从所述工作日对应的第三数据中提取每个用户的第一特征
集，及按照预设的提取规则从所述非工作日对应的第三数据汇总提取每个用户的第二特征集。
102.本实施例中，在进行数据提取时，考虑到工作日和非工作日访问量的区别，故在统计时将工作日和非工作日的数据进行分离处理，得到工作日中每个用户的第一特征集及非工作日中的每个用户的第二特征集。
103.s15，采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值。
104.本实施例中，每个用户的特征值包含第一特征集和第二特征集可以预先设置多个算法，例如，孤立森林算法和差分整合移动平均自回归算法。
105.本实施例中，每个用户的目标异常值包括第一目标异常值和第二目标异常值，其中，所述第一目标异常值指的是每个用户在工作日时访问所述业务系统时出现的异常分值，所述第二目标异常值指的是每个用户在非工作日访问所述业务系统时出现的异常分值。
106.在一个可选的实施例中，所述采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值包括：
107.采用预设的孤立森林算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一异常值；
108.采用预设的差分整合移动平均自回归算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第二异常值；
109.分别对所述第一异常值和所述第二异常值进行归一化处理，得到每个用户的第一概率和第二概率；
110.计算所述每个用户的第一概率与所述预设的孤立森林算法对应的第一权重值的乘积，得到第一乘积，及计算所述每个用户的第二概率与所述预设的差分整合移动平均自回归算法对应的第二权重值的乘积，得到第二乘积；
111.计算所述第一乘积与所述第二乘积总和，得到每个用户的第一目标异常值。
112.本实施例中，通过结合孤立森林算法和差分整合移动平均自回归算法对每个用户的异常值进行加权计算，得到每个用户的第一目标异常值。
113.具体地，所述预设的孤立森林的基本原理是可以通过较少次数的随机特征将异常样本从普通样本中分割并孤立出来，所述孤立森林算法训练过程包括：1)从获取的多个用户的多个第一特征集中随机选择y个点作为子样本，放入一棵预设的孤立树的根节点；2)随机指定一个维度，并在当前节点数据范围内，随机产生一个切割点p，其中，所述切割点产生于当前节点数据中指定维度的最大值与最小值之间；3)根据所述切割点p的选取生成了一个超平面，将当前节点数据空间切分为2个子空间，把当前所选维度下小于p的点放在当前节点的左分支，把大于或者等于p的点放在当前节点的右分支；4)在当前节点的左分支节点和右分支节点递归步骤2和3，不断构造新的叶子节点，直到叶子节点上只有一个数据，无法再继续切割，或者树已经生长到了预设的高度；5)整合孤立树，计算每个用户的第一异常值。
114.具体地，差分整合移动平均自回归算法流程如下：1)获取时序数据，即所述业务系
统中用户每小时访问业务系统的数量；2)观测所述时序数据是否平稳，若所述时序数据不平稳，则进行d阶差分，化为平稳的时序数据；3)通过对自相关系数与偏自相关系数进行分析，确定最佳的阶数p和q；4)得到所述第一参数、第二参数和第三参数之后使用差分整合移动平均自回归算法(p,d,q)进行训练预测，根据预测值和实际值计算每个用户的第二异常值。
115.本实施例中，所述孤立森林算法和差分整合移动平均自回归算法均为现有技术，本实施例在此不做详述。
116.在一个可选的实施例中，所述采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值包括：
117.采用所述孤立森林算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第三异常值；
118.采用所述差分整合移动平均自回归算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第四异常值；
119.分别对所述第三异常值和所述第四异常值进行归一化处理，得到每个用户的第三概率和第四概率；
120.计算所述每个用户的第三概率与所述孤立森林算法对应的第三权重值的乘积，得到第三乘积，及计算所述每个用户的第四概率与所述差分整合移动平均自回归算法对应的第四权重值的乘积，得到第四乘积；
121.计算所述第三乘积与所述第四乘积总和，得到每个用户的第二目标异常值。
122.本实施例中，由于预设的孤立森林算法计算得到的第一异常值、第三异常值和预设的差分整合移动平均自回归算法得到的第二异常值、第四异常值可能属于不同的维度的值，故分别对所述第一异常值、第二异常值、第三异常值和所述第四异常值进行归一化处理，归一化到[0,1]区间，将所述第一异常值、第二异常值、第三异常值和所述第四异常值归一化到同一个维度上，确保了各个异常值之间的一致性，同时，在计算得到每个用户的第一目标异常值和第二目标异常值，考虑到了预设的每个算法的权重比例，提高了计算得到每个用户的第一目标异常值和第二目标异常值的准确性和合理性。
[0123]
在其他可选的实施例中，由于工作日和非工作日用户对系统的访问存在较大的差异，故针对工作日预先对预设的孤立森林算法设置第一权重值，针对非工作日对预设的差分整合移动平均自回归算法设置第二权重值；针对非工作日预先对预设的孤立森林算法设置第三权重值，针对非工作日对预设的差分整合移动平均自回归算法设置第四权重值，其中，所述第一权重值与第三权重值不同，所述第二权重值与第四权重值不同。
[0124]
本实施例中，采用预设的多个算法，分别对所述每个用户的第一特征集和第二特征集进行异常检测，得到每个用户的第一目标异常值和第二目标异常值，在采用预设的多个算法对用户进行异常行为检测时，考虑到了工作日和非工作日访问量的区别，对工作日和非工作日的特征集分别进行异常检测，确保了算法的准确率，同时，避免后续处理大量的误报，提高了维护效率。
[0125]
本实施例中，采用预设的多个算法对每个用户的特征集进行异常检测，从多个维度对每个用户的特征集进行异常检测，确保得到的每个用户的目标异常值的准确性。
[0126]
s16，基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用
户。
[0127]
本实施例中，异常行为用户可以包括一个或者多个，具体地，所述异常行为用户用以表征所述每个用户的目标异常值超过了预设的目标异常阈值，其中，所述预设的目标异常阈值根据工作日和非工作日设置不同的目标异常阈值，预设的第一目标异常阈值指的是针对工作日预先设置的目标异常阈值，预设的第二目标异常阈值指的是针对非工作日预先设置的目标异常阈值。
[0128]
在一个可选的实施例中，所述基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户包括：
[0129]
将所述每个用户的第一目标异常值与预设的第一目标异常阈值进行比较，及将所述每个用户的第二目标异常值与预设的第二目标异常阈值进行比较；
[0130]
当所述每个用户的第一目标异常值大于或者等于预设的第一目标异常阈值，和/或，所述每个用户的第二目标异常值大于或者等于预设的第二目标异常阈值时，确定所述每个用户为异常行为用户；或者
[0131]
当所述每个用户的第一目标异常值小于所述预设的第一目标异常阈值，及所述每个用户的第二目标异常值小于所述预设的第二目标异常阈值时，确定所述每个用户为正常行为用户。
[0132]
本实施例中，由于工作日和非工作日的访问量的区别，目标异常值也存在较大的差异，故针对工作日和非工作日预先设置不同的预设的目标异常阈值，确保得到的异常行为用户的准确率，便于提高后续异常行为用户的异常行为检测的效率。
[0133]
s17，对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。
[0134]
本实施例中，所述关联分析指的是在除目标数据源之外的其他数据源上检测异常行为用户的异常行为。
[0135]
在一个可选的实施例中，所述对所述异常行为用户进行关联分析包括以下一种或者多种方式的组合：
[0136]
识别所述异常行为用户的账号是否为共享账号；或者
[0137]
识别所述异常行为用户是否有vpn权限；或者
[0138]
识别所述异常行为用户命中预设规则的数量；或者
[0139]
识别所述异常行为用户是否提离职；或者
[0140]
识别所述异常行为用户是否有访问敏感信息权限；或者
[0141]
识别所述异常行为用户的账号是否失陷。
[0142]
本实施例中，通过分析所述异常行为用户的账号是否为共享账号；所述异常行为用户是否打印了大量敏感文件；是否触发预设规则，即是否触发其他监控规则等；或者识别所述异常行为用户的账号是否已失陷，即所述异常行为用户的账号是否已经被执行过封账号等操作。
[0143]
本实施例中，通过对所述异常行为用户在其他数据源中，从多个维度进行关联分析，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果。
[0144]
在其他可选的实施例中，可以获取目标异常值较大的多个异常行为用户，并给出了所述多个异常行为用户的各个维度，其中，对于目标异常值较高的异常行为用户存在较
多的权限，命中预设规则数量也较多，能较好的体现算法的优势，利用新增加的目标异常值较大的多个异常行为用户对预设的每个算法进行重新训练，同时在进行算法训练过程中，不断修改算法的参数和权重值，使得预设的每个算法趋于完善，确保预设的每个算法的准确性。
[0145]
综上所述，本实施例所述的基于人工智能的用户异常行为检测方法，通过确定目标数据源，并通过目标数据源的接口获取每个用户的第一数据，更加具有针对性，提高了获取的第一数据的准确率。对第一数据进行预处理后提取每个用户的第一特征集和第二特征集，通过对第一数据进行预处理，统一了数据格式，确保了后续用于用户异常行为检测的数据格式一致性。采用预设的多个算法分别对第一特征集和第二特征集进行异常检测，从多个维度进行了异常检测，确保了每个用户的目标异常值的准确性。根据检测出的目标异常值确定出异常行为用户，并对异常行为用户进行从多个维度进行了关联分析得到异常行为检测结果，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果。
[0146]
实施例二
[0147]
图2是本发明实施例二提供的基于人工智能的用户异常行为检测装置的结构图。
[0148]
在一些实施例中，所述基于人工智能的用户异常行为检测装置20可以包括多个由程序代码段所组成的功能模块。所述基于人工智能的用户异常行为检测装置20中的各个程序段的程序代码可以存储于电子设备的存储器中，并由所述至少一个处理器所执行，以执行(详见图1描述)基于人工智能的用户异常行为检测的功能。
[0149]
本实施例中，所述基于人工智能的用户异常行为检测装置20根据其所执行的功能，可以被划分为多个功能模块。所述功能模块可以包括：解析模块201、调用模块202、预处理模块203、提取模块204、异常检测模块205、确定模块206及关联分析模块207。本发明所称的模块是指一种能够被至少一个处理器所执行并且能够完成固定功能的一系列计算机可读指令段，其存储在存储器中。在本实施例中，关于各模块的功能将在后续的实施例中详述。
[0150]
解析模块201，用于解析接收到的用户异常行为检测请求，获取目标数据源。
[0151]
本实施例中，在进行用户异常行为检测时，用户通过客户端发起用户异常行为检测请求至服务端，具体地，所述客户端可以是智能手机、ipad或者其他现有的智能设备，所述服务端可以为用户异常行为检测子系统，在用户异常行为检测过程中，如所述客户端可以向用户异常行为检测子系统发送用户异常行为检测请求，所述用户异常行为检测子系统用于接收所述客户端发送的用户异常行为检测请求。
[0152]
本实施例中，当服务端接收到用户异常行为检测请求时，解析所述异常行为检测请求，获取目标数据源，具体地，所述目标数据源用以表征检测的业务场景，即检测访问所述业务场景对应的业务系统的异常内部用户。
[0153]
调用模块202，用于调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据。
[0154]
本实施例中，一个目标数据源对应有多个接口，所述接口用以记录访问足迹，通过接口即可获取访问所述接口的用户的第一数据。
[0155]
在一个可选的实施例中，所述调用模块202调用所述目标数据源的接口，基于所述接口获取每个用户的第一数据包括：
[0156]
识别所述目标数据源对应业务系统，并从所述业务系统中获取多个预设接口；
[0157]
通过kafka实时消费过滤所述多个预设接口的数据，得到多个过滤数据；
[0158]
采用正则匹配所述多个过滤数据，判断每个所述过滤数据中是否包含有敏感字段；
[0159]
当每个所述过滤数据中包含有敏感字段时，对每个包含有敏感字段的过滤数据进行记录，其中，所述敏感字段包含有一个或者多个；
[0160]
识别所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户id；
[0161]
当所述每个包含有敏感字段的过滤数据对应的请求中存在第一用户id时，将相同第一用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据；或者
[0162]
当所述每个包含有敏感字段的过滤数据对应的请求中不存在第一用户id时，获取所述每个包含有敏感字段的过滤数据对应的请求的ip，并获取使用所述ip的第二用户id，将相同第二用户id与对应的包含有敏感字段的过滤数据进行关联，将关联后的包含有敏感字段的过滤数据确定为每个用户的第一数据。
[0163]
本实施例中，可以预先设置预设接口，具体地，所述预设接口用以表征涉及敏感字段的接口，一般情况下，一个业务系统可能包含有700多个涉及敏感字段的接口，并且接口一般以清单的形式存储。
[0164]
本实施例中，通过kafka实时消费过滤多个预设接口的数据，并通过正则匹配判断每个过滤数据中是否存在敏感字段，例如，所述敏感字段包含有手机号或者订单号等，将含有敏感信息的过滤数据进行记录。
[0165]
本实施例中，由于记录的含有敏感信息的过滤数据中可以获取用户id，通过对包含有敏感信息的过滤数据进行记录，可以确定记录中的操作用户，便于后续进行用户异常行为检测。
[0166]
本实施例中，获取用户id的规则如下：根据所述每个包含有敏感字段的过滤数据对应的请求中是否存在第一用户id，若存在第一用户id，无需获取请求中的ip，若不存在第一用户id，需要根据所述每个包含有敏感字段的过滤数据对应的请求的ip获取第二用户id，避免了在不存在第一用户id时，直接将所述记录删除，导致未获取该记录第二用户id而引起遗漏用户的问题，提高了获取的用户的完整性。
[0167]
在其他一些实施例中，若多个业务系统的日志混合在一起，由于不同系统的接口样式不同，可以通过接口样式区分每个业务系统的数据，提高了获取的第一数据的准确率。
[0168]
预处理模块203，用于对所述每个用户的第一数据进行预处理，得到每个用户的第二数据。
[0169]
本实施例中，由于所述第一数据中可能存在缺失数据、冗余数据、或者格式不统一的数据，在得到第一数据之后，对所述第一数据进行预处理，具体地，所述预处理包括对所述第一数据进行数据清洗和数据格式转换。
[0170]
在一个可选的实施例中，所述预处理模块203对所述每个用户的第一数据进行预处理，得到每个用户的第二数据包括：
[0171]
对所述每个用户的第一数据进行数据清洗，并对清洗后的第一数据按照预设的格式转换规则进行格式转换，得到每个用户的第二数据。
[0172]
具体地，所述数据清洗包括以下一种或者多种方式的组合：对缺失值清洗、格式内容清洗、逻辑错误清洗和非需求数据清洗。
[0173]
本实施例中，由于多个预设接口获取的数据格式不同，故采用预设的格式转换规则将清洗后的第一数据进行格式转换，统一了第二数据的格式，确保了后续用于用户异常行为检测的数据格式一致性，进而提高了用户异常行为检测的效率和准确率。
[0174]
提取模块204，用于按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集。
[0175]
本实施例中，可以预先设置提取规则，具体地，所述预设的提取规则根据用户异常行为检测请求中的异常检测要求进行设置，例如，预设的提取规则为提取90天内用户访问的敏感系统的接口的数据，并统计每小时访问量，建立了90天的访问基线。
[0176]
在一个可选的实施例中，所述提取模块204按照预设的提取规则从所述每个用户的第二数据中提取每个用户的第一特征集和第二特征集包括：
[0177]
从所述每个用户的第二数据中提取预设时间段内的第三数据；
[0178]
根据所述预设时间段内的工作日和非工作日，对所述第三数据进行分离，得到工作日对应的第三数据和非工作日对应的第三数据；
[0179]
按照预设的提取规则从所述工作日对应的第三数据中提取每个用户的第一特征集，及按照预设的提取规则从所述非工作日对应的第三数据汇总提取每个用户的第二特征集。
[0180]
本实施例中，在进行数据提取时，考虑到工作日和非工作日访问量的区别，故在统计时将工作日和非工作日的数据进行分离处理，得到工作日中每个用户的第一特征集及非工作日中的每个用户的第二特征集。
[0181]
异常检测模块205，用于采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值，及采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值。
[0182]
本实施例中，每个用户的特征值包含第一特征集和第二特征集可以预先设置多个算法，例如，孤立森林算法和差分整合移动平均自回归算法。
[0183]
本实施例中，每个用户的目标异常值包括第一目标异常值和第二目标异常值，其中，所述第一目标异常值指的是每个用户在工作日时访问所述业务系统时出现的异常分值，所述第二目标异常值指的是每个用户在非工作日访问所述业务系统时出现的异常分值。
[0184]
在一个可选的实施例中，所述异常检测模块205采用预设的多个算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一目标异常值包括：
[0185]
采用预设的孤立森林算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第一异常值；
[0186]
采用预设的差分整合移动平均自回归算法对所述每个用户的第一特征集进行异常检测，得到每个用户的第二异常值；
[0187]
分别对所述第一异常值和所述第二异常值进行归一化处理，得到每个用户的第一概率和第二概率；
[0188]
计算所述每个用户的第一概率与所述预设的孤立森林算法对应的第一权重值的
乘积，得到第一乘积，及计算所述每个用户的第二概率与所述预设的差分整合移动平均自回归算法对应的第二权重值的乘积，得到第二乘积；
[0189]
计算所述第一乘积与所述第二乘积总和，得到每个用户的第一目标异常值。
[0190]
本实施例中，通过结合孤立森林算法和差分整合移动平均自回归算法对每个用户的异常值进行加权计算，得到每个用户的第一目标异常值。
[0191]
具体地，所述预设的孤立森林的基本原理是可以通过较少次数的随机特征将异常样本从普通样本中分割并孤立出来，所述孤立森林算法训练过程包括：1)从获取的多个用户的多个第一特征集中随机选择y个点作为子样本，放入一棵预设的孤立树的根节点；2)随机指定一个维度，并在当前节点数据范围内，随机产生一个切割点p，其中，所述切割点产生于当前节点数据中指定维度的最大值与最小值之间；3)根据所述切割点p的选取生成了一个超平面，将当前节点数据空间切分为2个子空间，把当前所选维度下小于p的点放在当前节点的左分支，把大于或者等于p的点放在当前节点的右分支；4)在当前节点的左分支节点和右分支节点递归步骤2和3，不断构造新的叶子节点，直到叶子节点上只有一个数据，无法再继续切割，或者树已经生长到了预设的高度；5)整合孤立树，计算每个用户的第一异常值。
[0192]
具体地，差分整合移动平均自回归算法流程如下：1)获取时序数据，即所述业务系统中用户每小时访问业务系统的数量；2)观测所述时序数据是否平稳，若所述时序数据不平稳，则进行d阶差分，化为平稳的时序数据；3)通过对自相关系数与偏自相关系数进行分析，确定最佳的阶数p和q；4)得到所述第一参数、第二参数和第三参数之后使用差分整合移动平均自回归算法(p,d,q)进行训练预测，根据预测值和实际值计算每个用户的第二异常值。
[0193]
本实施例中，所述孤立森林算法和差分整合移动平均自回归算法均为现有技术，本实施例在此不做详述。
[0194]
在一个可选的实施例中，所述异常检测模块205采用所述预设的多个算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第二目标异常值包括：
[0195]
采用所述孤立森林算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第三异常值；
[0196]
采用所述差分整合移动平均自回归算法对所述每个用户的第二特征集进行异常检测，得到每个用户的第四异常值；
[0197]
分别对所述第三异常值和所述第四异常值进行归一化处理，得到每个用户的第三概率和第四概率；
[0198]
计算所述每个用户的第三概率与所述孤立森林算法对应的第三权重值的乘积，得到第三乘积，及计算所述每个用户的第四概率与所述差分整合移动平均自回归算法对应的第四权重值的乘积，得到第四乘积；
[0199]
计算所述第三乘积与所述第四乘积总和，得到每个用户的第二目标异常值。
[0200]
本实施例中，由于预设的孤立森林算法计算得到的第一异常值、第三异常值和预设的差分整合移动平均自回归算法得到的第二异常值、第四异常值可能属于不同的维度的值，故分别对所述第一异常值、第二异常值、第三异常值和所述第四异常值进行归一化处理，归一化到[0,1]区间，将所述第一异常值、第二异常值、第三异常值和所述第四异常值归
一化到同一个维度上，确保了各个异常值之间的一致性，同时，在计算得到每个用户的第一目标异常值和第二目标异常值，考虑到了预设的每个算法的权重比例，提高了计算得到每个用户的第一目标异常值和第二目标异常值的准确性和合理性。
[0201]
在其他可选的实施例中，由于工作日和非工作日用户对系统的访问存在较大的差异，故针对工作日预先对预设的孤立森林算法设置第一权重值，针对非工作日对预设的差分整合移动平均自回归算法设置第二权重值；针对非工作日预先对预设的孤立森林算法设置第三权重值，针对非工作日对预设的差分整合移动平均自回归算法设置第四权重值，其中，所述第一权重值与第三权重值不同，所述第二权重值与第四权重值不同。
[0202]
本实施例中，采用预设的多个算法，分别对所述每个用户的第一特征集和第二特征集进行异常检测，得到每个用户的第一目标异常值和第二目标异常值，在采用预设的多个算法对用户进行异常行为检测时，考虑到了工作日和非工作日访问量的区别，对工作日和非工作日的特征集分别进行异常检测，确保了算法的准确率，同时，避免后续处理大量的误报，提高了维护效率。
[0203]
本实施例中，采用预设的多个算法对每个用户的特征集进行异常检测，从多个维度对每个用户的特征集进行异常检测，确保得到的每个用户的目标异常值的准确性。
[0204]
确定模块206，用于基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户。
[0205]
本实施例中，异常行为用户可以包括一个或者多个，具体地，所述异常行为用户用以表征所述每个用户的目标异常值超过了预设的目标异常阈值，其中，所述预设的目标异常阈值根据工作日和非工作日设置不同的目标异常阈值，预设的第一目标异常阈值指的是针对工作日预先设置的目标异常阈值，预设的第二目标异常阈值指的是针对非工作日预先设置的目标异常阈值。
[0206]
在一个可选的实施例中，所述确定模块206基于所述每个用户的第一目标异常值和第二目标异常值，确定出异常行为用户包括：
[0207]
将所述每个用户的第一目标异常值与预设的第一目标异常阈值进行比较，及将所述每个用户的第二目标异常值与预设的第二目标异常阈值进行比较；
[0208]
当所述每个用户的第一目标异常值大于或者等于预设的第一目标异常阈值，和/或，所述每个用户的第二目标异常值大于或者等于预设的第二目标异常阈值时，确定所述每个用户为异常行为用户；或者
[0209]
当所述每个用户的第一目标异常值小于所述预设的第一目标异常阈值，及所述每个用户的第二目标异常值小于所述预设的第二目标异常阈值时，确定所述每个用户为正常行为用户。
[0210]
本实施例中，由于工作日和非工作日的访问量的区别，目标异常值也存在较大的差异，故针对工作日和非工作日预先设置不同的预设的目标异常阈值，确保得到的异常行为用户的准确率，便于提高后续异常行为用户的异常行为检测的效率。
[0211]
关联分析模块207，用于对所述异常行为用户进行关联分析，得到所述异常行为用户的异常行为检测结果。
[0212]
本实施例中，所述关联分析指的是在除目标数据源之外的其他数据源上检测异常行为用户的异常行为。
[0213]
在一个可选的实施例中，所述关联分析模块207对所述异常行为用户进行关联分析包括以下一种或者多种方式的组合：
[0214]
识别所述异常行为用户的账号是否为共享账号；或者
[0215]
识别所述异常行为用户是否有vpn权限；或者
[0216]
识别所述异常行为用户命中预设规则的数量；或者
[0217]
识别所述异常行为用户是否提离职；或者
[0218]
识别所述异常行为用户是否有访问敏感信息权限；或者
[0219]
识别所述异常行为用户的账号是否失陷。
[0220]
本实施例中，通过分析所述异常行为用户的账号是否为共享账号；所述异常行为用户是否打印了大量敏感文件；是否触发预设规则，即是否触发其他监控规则等；或者识别所述异常行为用户的账号是否已失陷，即所述异常行为用户的账号是否已经被执行过封账号等操作。
[0221]
本实施例中，通过对所述异常行为用户在其他数据源中，从多个维度进行关联分析，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果。
[0222]
在其他可选的实施例中，可以获取目标异常值较大的多个异常行为用户，并给出了所述多个异常行为用户的各个维度，其中，对于目标异常值较高的异常行为用户存在较多的权限，命中预设规则数量也较多，能较好的体现算法的优势，利用新增加的目标异常值较大的多个异常行为用户对预设的每个算法进行重新训练，同时在进行算法训练过程中，不断修改算法的参数和权重值，使得预设的每个算法趋于完善，确保预设的每个算法的准确性。
[0223]
综上所述，本实施例所述的基于人工智能的用户异常行为检测装置，通过确定目标数据源，并通过目标数据源的接口获取每个用户的第一数据，更加具有针对性，提高了获取的第一数据的准确率。对第一数据进行预处理后提取每个用户的第一特征集和第二特征集，通过对第一数据进行预处理，统一了数据格式，确保了后续用于用户异常行为检测的数据格式一致性。采用预设的多个算法分别对第一特征集和第二特征集进行异常检测，从多个维度进行了异常检测，确保了每个用户的目标异常值的准确性。根据检测出的目标异常值确定出异常行为用户，并对异常行为用户进行从多个维度进行了关联分析得到异常行为检测结果，使得异常行为检测更加准确，进而得到更加精确和完整的异常行为检测结果。
[0224]
实施例三
[0225]
参阅图3所示，为本发明实施例三提供的电子设备的结构示意图。在本发明较佳实施例中，所述电子设备3包括存储器31、至少一个处理器32、至少一条通信总线33及收发器34。
[0226]
本领域技术人员应该了解，图3示出的电子设备的结构并不构成本发明实施例的限定，既可以是总线型结构，也可以是星形结构，所述电子设备3还可以包括比图示更多或更少的其他硬件或者软件，或者不同的部件布置。
[0227]
在一些实施例中，所述电子设备3是一种能够按照事先设定或存储的指令，自动进行数值计算和/或信息处理的电子设备，其硬件包括但不限于微处理器、专用集成电路、可编程门阵列、数字处理器及嵌入式设备等。所述电子设备3还可包括客户设备，所述客户设备包括但不限于任何一种可与客户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行
人机交互的电子产品，例如，个人计算机、平板电脑、智能手机、数码相机等。
[0228]
需要说明的是，所述电子设备3仅为举例，其他现有的或今后可能出现的电子产品如可适应于本发明，也应包含在本发明的保护范围以内，并以引用方式包含于此。
[0229]
在一些实施例中，所述存储器31用于存储程序代码和各种数据，例如安装在所述电子设备3中的基于人工智能的用户异常行为检测装置20，并在电子设备3的运行过程中实现高速、自动地完成程序或数据的存取。所述存储器31包括只读存储器(read-only memory，rom)、可编程只读存储器(programmable read-only memory，prom)、可擦除可编程只读存储器(erasable programmable read-only memory，eprom)、一次可编程只读存储器(one-time programmable read-only memory，otprom)、电子擦除式可复写只读存储器(electrically-erasable programmable read-only memory，eeprom)、只读光盘(compact disc read-only memory，cd-rom)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够用于携带或存储数据的计算机可读的任何其他介质。
[0230]
在一些实施例中，所述至少一个处理器32可以由集成电路组成，例如可以由单个封装的集成电路所组成，也可以是由多个相同功能或不同功能封装的集成电路所组成，包括一个或者多个中央处理器(central processing unit，cpu)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述至少一个处理器32是所述电子设备3的控制核心(control unit)，利用各种接口和线路连接整个电子设备3的各个部件，通过运行或执行存储在所述存储器31内的程序或者模块，以及调用存储在所述存储器31内的数据，以执行电子设备3的各种功能和处理数据。
[0231]
在一些实施例中，所述至少一条通信总线33被设置为实现所述存储器31以及所述至少一个处理器32等之间的连接通信。
[0232]
尽管未示出，所述电子设备3还可以包括给各个部件供电的电源(比如电池)，可选的，电源可以通过电源管理装置与所述至少一个处理器32逻辑相连，从而通过电源管理装置实现管理充电、放电、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备3还可以包括多种传感器、蓝牙模块、wi-fi模块等，在此不再赘述。
[0233]
应该了解，所述实施例仅为说明之用，在专利申请范围上并不受此结构的限制。
[0234]
上述以软件功能模块的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，电子设备，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分。
[0235]
在进一步的实施例中，结合图2，所述至少一个处理器32可执行所述电子设备3的操作装置以及安装的各类应用程序(如所述的基于人工智能的用户异常行为检测装置20)、程序代码等，例如，上述的各个模块。
[0236]
所述存储器31中存储有程序代码，且所述至少一个处理器32可调用所述存储器31中存储的程序代码以执行相关的功能。例如，图2中所述的各个模块是存储在所述存储器31中的程序代码，并由所述至少一个处理器32所执行，从而实现所述各个模块的功能以达到基于人工智能的用户异常行为检测的目的。
[0237]
示例性的，所述程序代码可以被分割成一个或多个模块/单元，所述一个或者多个
模块/单元被存储在所述存储器31中，并由所述处理器32执行，以完成本技术。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机可读指令段，该指令段用于描述所述程序代码在所述电子设备3中的执行过程。例如，所述程序代码可以被分割成解析模块201、调用模块202、预处理模块203、提取模块204、异常检测模块205、确定模块206及关联分析模块207。
[0238]
在本发明的一个实施例中，所述存储器31存储多个计算机可读指令，所述多个计算机可读指令被所述至少一个处理器32所执行以实现基于人工智能的用户异常行为检测的功能。
[0239]
具体地，所述至少一个处理器32对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述，在此不赘述。
[0240]
在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。
[0241]
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，既可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0242]
另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。
[0243]
对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或，单数不排除复数。本发明中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。
[0244]
最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。