潜伏性盗取用户数据行为检测方法及装置与流程

本发明涉及网络信息安全技术领域，尤其是涉及一种潜伏性盗取用户数据行为检测方法及装置。

背景技术：

潜伏型应用是指从该应用的单次运行特征中无法察觉出该应用的异常，甚至与普通正常的应用运行特征无二。通常潜伏型应用具备隐蔽性和执着性，并且通常是利用现有系统的一些逻辑漏洞，如某系统定义一个ip一天只能进行n次查询数据库操作，该应用每天查询n次，并持续一段时间天天查询等。从业务特征分析，该类应用具有如下特征：

1.该类应用通常借助于媒体潜伏(如某类app或者系统等)且具备特定的触发条件，例如时间，或者站点、数据更新等；

2.该类应用通常会访问敏感数据，通常使用的是应用层协议，多数为http/https，少数使用ftp协议等；

3.该类应用通常只访问某一个目录或者某个获取数据的api或者接口等。

潜伏型数据盗取者通常由于访问量低，且访问方式都是通过正常途径，例如厂商提供的合法api来爬取数据，因而极难被ids等各种网络防护设备发现，但是造成的危害却是极大的。例如国内某知名厂商对外提供免费api以供查询航班信息，有不法分子利用此api每隔一段时间来爬取信息，日积月累就完整地拷贝出了此厂商的数据库信息，给该厂商造成了极大的损失。因此，从大量的访问日志中找出这类用户的蛛丝马迹，及时防范于未然成了当务之急。

技术实现要素：

有鉴于此，本发明的目的在于提供一种潜伏性盗取用户数据行为检测方法及装置，能够通过计算访问日志的用户访问行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而通过该模型精准、高效、智能地检测新的访问日志中的潜伏性盗取用户数据行为。

第一方面，本发明实施例提供了一种潜伏性盗取用户数据行为检测方法，包括：

获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；

根据第一访问日志，计算第一用户访问行为特征值；第一用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率；

将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为；

其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，在获取待检测的第一访问日志之前，还包括：

获取待训练的第二访问日志；第二访问日志中包括：潜伏性盗取用户数据行为的行为数据；

根据第二访问日志，计算第二用户访问行为特征值；

将第二用户访问行为特征值，整合为训练样本数据和验证样本数据；

将训练样本数据输入至检测模型中，并结合高斯核函数，得到训练之后的检测模型。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，在得到训练之后的检测模型之后，还包括：

获取第一输出结果和检测模型的模型参数，第一输出结果为将训练样本数据输入至检测模型之后得到的输出结果；

将验证样本数据输入检测模型中，得到第二输出结果；

判断第二输出结果是否与第一输出结果相一致；

如果否，则对模型参数进行调整。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，计算用户访问行为特征值包括：

将获取到的访问日志进行解析，得到访问数据；

从访问数据中提取目标时间内的总访问网页数、重复访问网页数；其中，目标时间为未接收到由同一用户发出新的访问请求的时间；目标时间包括多个；

通过总访问网页数、重复访问网页数和目标时间计算用户访问行为特征值，

其中，访问聚合度＝重复访问网页数/总访问网页数；访问频率＝总访问网页数/目标时间；重复访问频率＝重复访问网页数/目标时间。

结合第一方面，本发明实施例提供了第一方面的第四种可能的实施方式，其中，计算用户访问行为特征值，还包括：

从访问数据中提取目标时间内的访问间隔个数、每个访问间隔的间隔时间；

根据访问间隔个数以及每个访问间隔的间隔时间，计算目标时间内的访问间隔总时长；

通过访问间隔总时长和访问间隔个数计算访问间隔时间的平均值和访问间隔时间的方差；

其中，访问间隔时间的平均值＝访问间隔总时长/访问间隔个数；访问间隔时间的方差＝e(访问间隔总时长²)-e(访问间隔总时长)²。

结合第一方面，本发明实施例提供了第一方面的第五种可能的实施方式，其中，计算用户访问行为特征值，还包括：

从访问数据中提取目标时间内的目标访问返回码，目标访问返回码＝(访问返回码>200&访问返回码<400)；

将目标访问返回码作为访问返回码。

结合第一方面，本发明实施例提供了第一方面的第六种可能的实施方式，其中，计算用户访问行为特征值，还包括：

从访问数据中提取目标时间内的下载数据量；

基于下载数据量和目标时间计算访问下载数据密度，其中，访问下载数据密度＝下载数据量/目标时间。

结合第一方面，本发明实施例提供了第一方面的第七种可能的实施方式，其中，计算用户访问行为特征值，还包括：

从访问数据中提取目标时间内的访问资源文件数量；

基于访问资源文件数量计算资源访问频率，其中，资源访问频率为目标时间内访问资源文件数量占总访问文件数量的比例。

第二方面，本发明实施例提供一种潜伏性盗取用户数据行为检测方法装置，包括：

日志获取模块，用于获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；

特征值计算模块，用于根据第一访问日志，计算第一用户访问行为特征值；第一用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率；

检测模块，用于将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为；

其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。

第三方面，本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行第一方面所述的方法。

本发明实施例带来了以下有益效果：

在本发明实施例提供的潜伏性盗取用户数据行为检测方法中，首先获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；根据第一访问日志，计算第一用户访问行为特征值；第一用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率；将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为；其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。该方法能够通过计算访问日志的用户访问行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而通过该模型精准、高效、智能地检测新的访问日志中的潜伏性盗取用户数据行为。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种潜伏性盗取用户数据行为检测方法的流程图；

图2为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图3为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图4为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图5为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图6为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图7为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图8为本发明实施例提供的另一种潜伏性盗取用户数据行为检测方法的流程图；

图9为本发明实施例提供的一种潜伏性盗取用户数据行为检测装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前潜伏型数据盗取者通常由于访问量低，且访问方式都是通过正常途径，例如厂商提供的合法api来爬取数据，因而极难被ids等各种网络防护设备发现，但是造成的危害却是极大的。基于此，本发明实施例提供的潜伏性盗取用户数据行为检测方法及装置，能够通过计算访问日志的用户访问行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而通过该模型精准、高效、智能地检测新的访问日志中的潜伏性盗取用户数据行为。

为便于对本实施例进行理解，首先对本发明实施例所公开的一种潜伏性盗取用户数据行为检测方法进行详细介绍。

实施例一：

本发明实施例提供一种潜伏性盗取用户数据行为检测方法，该方法在服务器端被执行，参见图1所示，该方法包括以下几个步骤：

s101：获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志。

服务器首先获取待检测的用户对网站进行访问的访问日志，主要包括“tomcat”和“ngnix”等服务器产生的日志。

s102：根据第一访问日志，计算第一用户访问行为特征值。

在获取到待检测的访问日志后，计算其相应的用户访问行为特征值，具体的计算过程参见图4-图8。

上述用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率。

通过上述多维度的用户访问行为特征值的计算，可以提高检测该日志中是否存在潜伏性盗取用户数据的行为的准确性。

s103：将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为。

其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。

具体的，在将用户行为特征值输入到检测模型中后，会得到一个输出结果，根据输出结果可以进一步判断该访问日志中是否存在潜伏性盗取用户数据的行为。

在获取用户对网站进行访问的访问日志之前，参见图2所示，还包括以下步骤：

s201：获取待训练的第二访问日志；第二访问日志中包括：潜伏性盗取用户数据行为的行为数据。

为了建立检测模型，需要获取一些样本数据，因此，服务器首先获取一些包含有潜伏性盗取用户数据行为的行为数据的访问日志，将其作为待训练数据。

s202：根据第二访问日志，计算第二用户访问行为特征值。

在获取到待训练的访问日志后，计算其相应的用户访问行为特征值，具体的计算过程参见图4-图8。

上述用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率。

s203：将第二用户访问行为特征值，整合为训练样本数据和验证样本数据。

在计算得到多维度的用户访问行为特征值后，将其整合为训练集，比如：对于每一条原始日志，可以提取n个不同纬度的特征(x1，x2，x3，x4...，xn)，n个特征组成了原始记录的一个特征向量。

设有m条原始记录，则训练集可以表示为{xⁱ,yⁱ}^m：

其中，第i个训练数据为(xⁱ,yⁱ)i∈m；xⁱ的第j个特征表示为

其中，yⁱ＝i(用户访问行为∈a)i∈m，由于步骤s201中的日志样本包括正常访问行为和盗取用户数据行为，所以可以分成两个集合：a(正常用户访问行为)为1和b(潜伏性盗取用户数据行为)为-1。

然后将训练集再分为两组：训练样本数据和验证样本数据。比如收集来100个样本点，一般70％的样本点作为训练样本数据，用来训练，30％的样本点作为验证样本数据，用来验证模型的输出结果是否符合预期。

s204：将训练样本数据输入至检测模型中，并结合高斯核函数，得到训练之后的检测模型。

作为一种优选实施方式，本实施例中的检测模型采用svm分类器，通过svm分类器对训练样本数据的训练，并结合高斯核函数，得到训练之后的检测模型。

具体的，训练集为{xi,yi}^m，其中y∈{1,-1}。则使得与支持向量间隔最大的超平面方程hw,b(x)＝w^tx+b满足yⁱhw,b(xⁱ)≥1，并且使得最小，根据拉格朗日乘子法以及对偶理论和kkt条件我们可以得出该问题的最优解：

其中，

在svm分类器中，高斯核函数(kernel)利用训练数据集中的支持向量与需要分类的数据点之间的向量点积来避免直接将训练数据映射到高维空间，从而大大降低了计算的复杂度。

在数学中，径向基函数指某种沿着径向对称的标量函数。通常为空间中任一点x到某一个中心z之间的欧氏距离单调函数，记为k(||x-xc||)。当x与xc距离越近时，值越大，反之亦然。高斯核函数就是其中一种径向基函数：

当支持向量与数据点之间距离越近时，高斯核函数的值越大；当支持向量与数据点之间距离越远时，高斯核函数的值越小。高斯核函数将数据的维度映射到无限维，使得使用高斯核函数的svm具有强大的表达能力，因此在机器学习的各个领域得到了很广泛的应用。

通过上述分析，建立检测潜伏性盗取用户数据行为的检测模型，如下所示：

其中k(x,z)表示高斯核函数，

在得到训练之后的检测模型之后，参见图3所示，还包括以下步骤：

s301：获取第一输出结果和检测模型的模型参数，第一输出结果为将训练样本数据输入至检测模型之后得到的输出结果。

s302：将验证样本数据输入检测模型中，得到第二输出结果。

s303：判断第二输出结果是否与第一输出结果相一致。

如果否，则执行步骤s304：对模型参数进行调整。

具体的，训练样本数据输入至上述建立的检测模型中，得到第一输出结果及模型参数。然后将验证样本数据输入检测模型中，得到第二输出结果，通过第一输出结果与第二输出结果是否一致，来验证模型检测的准确率，如果两者不一致，则对模型参数进行进一步调优。如果一致，则可以确认该检测模型以及其模型参数。

比如：每个样本由两部分组成(x，y)，其中x是一个表示用户行为特征值的特征向量x＝(x1，x2，x3，x4...，xn)，y是1或者-1，1表示是潜伏性应用，-1表示不是潜伏性应用。通过svm分类器进行样本数据训练，生成上述检测模型，将训练样本数据输入该检测模型中，可以得到输出结果：h&gt;0，并且y＝1，以及模型参数。下一步，通过验证样本数据对该检测模型的准确性进行验证，如果将某个验证样本数据中的一个样本点x特征向量，输入检测模型中进行运算，若h&gt;0，并且这个样本点的y＝1，则该检测模型的检测结果正确，否则错误，最后统计这30％验证样本数据的准确率作为整个模型的准确率，当检测结果错误的时候，对模型参数进行调优，通过不断调优模型参数或者增加训练集数据量等方式使得模型在验证集上的准确率越来越高，最终达到产品要求。

下面对计算用户访问行为特征值进行详细阐述，参见图4所示：

s401：将获取到的访问日志进行解析，得到访问数据。

该访问日志可以是上述待检测的第一访问日志，也可以是上述待训练的第二访问日志，两者的计算用户行为特征值的方法的是一样的。在进行特征值计算之前，首先得将获取到的访问日志进行解析，得到多个访问数据。

s402：从访问数据中提取目标时间内的总访问网页数、重复访问网页数。

其中，目标时间为未接收到由同一用户发出新的访问请求的时间；目标时间包括多个。

在本发明实施例中，计算用户访问行为特征值都以目标时间为单位，比如，以时间t为界限，若t分钟内服务器没有接收同一个ip，同一个端口的用户所发出新的访问请求，则认为时间t就是一个目标时间，也就是用户的session。在本实施例中t为30分钟，当然，时间t可以根据实施环境进行不同的调整。解析得到的访问数据中包括多个目标时间内的访问数据。因此，通过计算每个目标时间内的用户访问行为特征值，可以得到多个特征值，因而可以提高检测该日志中是否存在潜伏性盗取用户数据的行为的准确性。

s403：通过总访问网页数、重复访问网页数和目标时间计算用户访问行为特征值。

其中，访问聚合度＝重复访问网页数/总访问网页数；访问频率＝总访问网页数/目标时间；重复访问频率＝重复访问网页数/目标时间。

具体的，第一个用户访问行为特征值为：

第二个用户访问行为特征值为：

第三个用户访问行为特征值为：

计算用户访问行为特征值，参见图5所示，还包括：

s501：从访问数据中提取目标时间内的访问间隔个数、每个访问间隔的间隔时间。

s502：根据访问间隔个数以及每个访问间隔的间隔时间，计算目标时间内的访问间隔总时长。

s503：通过访问间隔总时长和访问间隔个数计算访问间隔时间的平均值和访问间隔时间的方差。

其中，访问间隔时间的平均值＝访问间隔总时长/访问间隔个数；访问间隔时间的方差＝e(访问间隔总时长²)-e(访问间隔总时长)²。

具体的，第四个用户访问行为特征值为：

第五个用户访问行为特征值为：

f5＝e(间隔时长²)-e(间隔时长)²。

计算用户访问行为特征值，参见图6所示，还包括：

s601：从访问数据中提取目标时间内的目标访问返回码，目标访问返回码＝(访问返回码>200&访问返回码<400)。

s602：将目标访问返回码作为访问返回码。

具体的，第六个用户访问行为特征值为：

f6＝i(responsecode>200&&responsecode<400)。

其中，i()函数表示：如果括号内的表达式计算为真，则函数返回值为1；如果括号内表达式计算为假，则函数返回值为0。

计算用户访问行为特征值，参见图7所示，还包括：

s701：从访问数据中提取目标时间内的下载数据量。

s702：基于下载数据量和目标时间计算访问下载数据密度。

其中，访问下载数据密度＝下载数据量/目标时间。

具体的，第七个用户访问行为特征值为：

其中，totalbytesout/persession，表示每个session的下载数据量，即当前session内的数据下载量。

计算用户访问行为特征值，参见图8所示，还包括：

s801：从访问数据中提取目标时间内的访问资源文件数量。

s802：基于访问资源文件数量计算资源访问频率。

其中，资源访问频率为目标时间内访问资源文件数量占总访问文件数量的比例。本发明实施例中，资源文件为用于修饰和丰富页面内容，增加页面互动性等功能的视频、音频、图片、css、js等脚本多种形式的与数据窃取用户所关心的核心数据无关的文件。

具体的，第八个用户访问行为特征值为：

在本发明实施例提供的潜伏性盗取用户数据行为检测方法中，首先获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；根据第一访问日志，计算第一用户访问行为特征值；第一用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率；将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为；其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。该方法能够通过计算访问日志的用户访问行为特征值，并进行分类模型的训练，得到潜伏性盗取用户数据行为检测模型及模型参数，进而通过该模型精准、高效、智能地检测新的访问日志中的潜伏性盗取用户数据行为。

实施例二：

本发明实施例提供一种潜伏性盗取用户数据行为检测方法装置，参见图9所示，该装置包括：日志获取模块91、特征值计算模块92、检测模块93。

其中，日志获取模块91，用于获取待检测的第一访问日志，第一访问日志为用户对网站进行访问的日志；特征值计算模块92，用于根据第一访问日志，计算第一用户访问行为特征值；第一用户访问行为特征值包括以下至少之一：访问聚合度、访问频率、重复访问频率、访问间隔时间的平均值与方差、访问返回码、访问下载数据密度、资源访问频率；检测模块93，用于将第一用户访问行为特征值输入到预先建立的检测模型中，以在访问日志中检测是否存在潜伏性盗取用户数据的行为；其中，检测模型为用于检测潜伏性盗取用户数据行为的模型，且检测模型为通过对训练样本数据进行分类训练得到。

本发明实施例所提供的潜伏性盗取用户数据行为检测方法装置中，各个模块与前述潜伏性盗取用户数据行为检测方法方法具有相同的技术特征，因此，同样可以实现上述功能。本装置中各个模块的具体工作过程参见上述方法实施例，在此不再赘述。

本发明实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质，程序代码使处理器执行实施例一所述的方法。

本发明实施例所提供的网络设备的定位方法的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置及电子设备的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

附图中的流程图和框图显示了根据本发明的多个实施例方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。