异常数据判断方法、装置、电子设备、介质及程序产品与流程

1.本公开实施例涉及数据处理技术领域，具体涉及一种异常数据判断方法、装置、电子设备、介质及程序产品。


背景技术：

2.随着科学技术以及互联网技术的发展，越来越多的用户通过网络浏览数据和传输数据，也就是说，很多数据甚至支付数据等敏感数据都会通过网络进行传输。为了保障数据传输的安全性，维护用户的权益，需要对于数据的传输进行监管，若检测发现数据存在异常，则启动报警、严密监管、甚至阻断数据传输等措施。现有技术中通常是在网络防火墙处对于数据的流量进行监控，一旦检测发现某一用户的数据流量出现了异常，则立即阻断相应的数据连接。虽然防火墙能够在一定程度上监控到异常数据，并实施相应的管控措施，但会发生由于当前数据传输被阻断，影响用户使用的情况。


技术实现要素：

3.本公开实施例提供一种异常数据判断方法、装置、电子设备、存储介质及程序产品。
4.第一方面，本公开实施例中提供了一种异常数据判断方法。
5.具体的，所述异常数据判断方法，包括：
6.响应于检测到目标对象设备建立网络连接，获取目标对象相关数据，其中，所述目标对象相关数据包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息；
7.基于所述目标对象相关数据进行多重判断；
8.根据多重判断结果确定目标对象设备传输数据是否为异常数据。
9.结合第一方面，本公开实施例在第一方面的第一种实现方式中，其中，
10.所述目标对象设备信息包括以下信息中的一种或多种：目标对象设备ip地址、目标对象设备mac地址、目标对象设备认证证书、目标对象设备鉴权信息；
11.所述目标对象属性信息包括以下信息中的一种或多种：目标对象生物特征信息、目标对象人脸信息、目标对象活体检测信息。
12.结合第一方面和第一方面的第一种实现方式，本公开实施例在第一方面的第二种实现方式中，所述基于所述目标对象相关数据进行多重判断，包括：
13.根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，和/或，
14.根据所述目标对象属性信息确定所述目标对象是否为合法身份，和/或，
15.获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。
16.结合第一方面、第一方面的第一种实现方式和第一方面的第二种实现方式，本公开在第一方面的第三种实现方式中，所述根据多重判断结果确定目标对象设备传输数据是
否为异常数据，包括：
17.根据多重判断结果确定目标对象设备传输数据的异常评价指数；
18.根据所述目标对象设备传输数据的异常评价指数确定目标对象设备传输数据是否为异常数据。
19.结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式和第一方面的第三种实现方式，本公开在第一方面的第四种实现方式中，所述根据多重判断结果确定目标对象设备传输数据的异常评价指数，包括：
20.根据所述目标对象设备是否为非法设备确定目标对象设备传输数据的设备异常评价指数值；
21.根据所述目标对象是否为非法身份确定目标对象设备传输数据的身份异常评价指数值；
22.根据所述目标对象是否处于非法环境确定目标对象设备传输数据的环境异常评价指数值；
23.根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数。
24.结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式和第一方面的第四种实现方式，本公开在第一方面的第五种实现方式中，所述根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数，包括：
25.确定所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值的权重；
26.对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和，得到所述目标对象设备传输数据的异常评价指数。
27.结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式、第一方面的第四种实现方式和第一方面的第五种实现方式，本公开在第一方面的第六种实现方式中，所述目标对象相关数据还可包括目标对象历史行为信息，其中，所述目标对象历史行为信息包括以下信息中的一种或多种：目标对象行为习惯信息、目标对象出差信息、目标对象考勤信息、目标对象旅行信息；
28.所述根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境，被实施为：
29.根据所述目标对象历史行为信息、时间序列信息、与所述时间序列信息对应的所述目标对象位置信息和目标对象环境信息确定所述目标对象是否处于合法环境。
30.结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式、第一方面的第四种实现方式、第一方面的第五种实现方式和第一方面的第六种实现方式，本公开在第一方面的第七种实现方式中，还包括：
31.根据异常数据判断结果执行预设操作。
32.第二方面，本公开实施例中提供了一种异常数据判断装置。
33.具体的，所述异常数据判断装置，包括：
34.获取模块，被配置为响应于检测到目标对象设备建立网络连接，获取目标对象相
关数据，其中，所述目标对象相关数据包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息；
35.判断模块，被配置为基于所述目标对象相关数据进行多重判断；
36.确定模块，被配置为根据多重判断结果确定目标对象设备传输数据是否为异常数据。
37.结合第二方面，本公开实施例在第二方面的第一种实现方式中，其中，
38.所述目标对象设备信息包括以下信息中的一种或多种：目标对象设备ip地址、目标对象设备mac地址、目标对象设备认证证书、目标对象设备鉴权信息；
39.所述目标对象属性信息包括以下信息中的一种或多种：目标对象生物特征信息、目标对象人脸信息、目标对象活体检测信息。
40.结合第二方面和第二方面的第一种实现方式，本公开实施例在第二方面的第二种实现方式中，所述判断模块被配置为：
41.根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，和/或，
42.根据所述目标对象属性信息确定所述目标对象是否为合法身份，和/或，
43.获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。
44.结合第二方面、第二方面的第一种实现方式和第二方面的第二种实现方式，本公开在第二方面的第三种实现方式中，所述确定模块被配置为：
45.根据多重判断结果确定目标对象设备传输数据的异常评价指数；
46.根据所述目标对象设备传输数据的异常评价指数确定目标对象设备传输数据是否为异常数据。
47.结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式和第二方面的第三种实现方式，本公开在第二方面的第四种实现方式中，所述根据多重判断结果确定目标对象设备传输数据的异常评价指数的部分，被配置为：
48.根据所述目标对象设备是否为非法设备确定目标对象设备传输数据的设备异常评价指数值；
49.根据所述目标对象是否为非法身份确定目标对象设备传输数据的身份异常评价指数值；
50.根据所述目标对象是否处于非法环境确定目标对象设备传输数据的环境异常评价指数值；
51.根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数。
52.结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式和第二方面的第四种实现方式，本公开在第二方面的第五种实现方式中，所述根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数的部分，被配置为：
53.确定所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值的权重；
54.对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行
加权求和，得到所述目标对象设备传输数据的异常评价指数。
55.结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式、第二方面的第四种实现方式和第二方面的第五种实现方式，本公开在第二方面的第六种实现方式中，所述目标对象相关数据还可包括目标对象历史行为信息，其中，所述目标对象历史行为信息包括以下信息中的一种或多种：目标对象行为习惯信息、目标对象出差信息、目标对象考勤信息、目标对象旅行信息；
56.所述根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境的部分，被配置为：
57.根据所述目标对象历史行为信息、时间序列信息、与所述时间序列信息对应的所述目标对象位置信息和目标对象环境信息确定所述目标对象是否处于合法环境。
58.结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式、第二方面的第四种实现方式、第二方面的第五种实现方式和第二方面的第六种实现方式，本公开在第二方面的第七种实现方式中，还包括：
59.执行模块，被配置为根据异常数据判断结果执行预设操作。
60.第三方面，本公开实施例提供了一种电子设备，包括存储器和处理器，所述存储器用于存储一条或多条支持异常数据判断装置执行上述异常数据判断方法的计算机指令，所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述异常数据判断装置还可以包括通信接口，用于异常数据判断装置与其他设备或通信网络通信。
61.第四方面，本公开实施例提供了一种计算机可读存储介质，用于存储异常数据判断装置所用的计算机指令，其包含用于执行上述异常数据判断方法为异常数据判断装置所涉及的计算机指令。
62.第五方面，本公开实施例提供了一种计算机程序产品，包括计算机程序/指令，该计算机程序/指令被处理器执行时实现上述异常数据判断方法的步骤。
63.本公开实施例提供的技术方案可包括以下有益效果：
64.上述技术方案在检测到目标对象设备建立网络连接后，就获取目标对象相关数据，并基于所述目标对象相关数据进行多重判断，来确定目标对象设备传输的数据是否为异常数据。该技术方案在数据到达网络防火墙之前就进行异常数据的预判，需要时可及时实施相应的管控措施，从而能够赢取足够的数据处理和数据调整时间，进而减少对于用户使用的影响。
65.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开实施例。
附图说明
66.结合附图，通过以下非限制性实施方式的详细描述，本公开实施例的其它特征、目的和优点将变得更加明显。在附图中：
67.图1示出根据本公开一实施方式的异常数据判断方法的流程图；
68.图2示出根据本公开一实施方式的异常数据判断装置的结构框图；
69.图3示出根据本公开一实施方式的电子设备的结构框图；
70.图4是适于用来实现根据本公开一实施方式的异常数据判断方法的计算机系统的
结构示意图。
具体实施方式
71.下文中，将参考附图详细描述本公开实施例的示例性实施方式，以使本领域技术人员可容易地实现它们。此外，为了清楚起见，在附图中省略了与描述示例性实施方式无关的部分。
72.在本公开实施例中，应理解，诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在，并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
73.另外还需要说明的是，在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开实施例。
74.本公开实施例提供的技术方案在检测到目标对象设备建立网络连接后，就获取目标对象相关数据，并基于所述目标对象相关数据进行多重判断，来确定目标对象当前行为是否为异常数据。该技术方案在数据到达网络防火墙之前就进行异常数据的预判，需要时可及时实施相应的管控措施，从而能够赢取足够的数据处理和数据调整时间，减少对于用户使用的影响。
75.图1示出根据本公开一实施方式的异常数据判断方法的流程图，如图1所示，所述异常数据判断方法包括以下步骤s101
‑
s103：
76.在步骤s101中，响应于检测到目标对象设备建立网络连接，获取目标对象相关数据，其中，所述目标对象相关数据包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息；
77.在步骤s102中，基于所述目标对象相关数据进行多重判断；
78.在步骤s103中，根据多重判断结果确定目标对象设备传输数据是否为异常数据。
79.上文提及，随着科学技术以及互联网技术的发展，越来越多的用户通过网络浏览数据和传输数据，也就是说，很多数据甚至支付数据等敏感数据都会通过网络进行传输。为了保障数据传输的安全性，维护用户的权益，需要对于数据的传输进行监管，若检测发现数据存在异常，则启动报警、严密监管、甚至阻断数据传输等措施。现有技术中通常是在网络防火墙处对于数据的流量进行监控，一旦检测发现某一用户的数据流量出现了异常，则立即阻断相应的数据连接。虽然防火墙能够在一定程度上监控到异常数据，并实施相应的管控措施，但会发生由于当前数据传输被阻断，影响用户使用的情况。
80.考虑到上述问题，在该实施方式中，提出一种异常数据判断方法，该方法在检测到目标对象设备建立网络连接后，就获取目标对象相关数据，并基于所述目标对象相关数据进行多重判断，来确定目标对象设备传输的数据是否为异常数据。该技术方案在数据到达网络防火墙之前就进行异常数据的预判，需要时可及时实施相应的管控措施，从而能够赢取足够的数据处理和数据调整时间，进而减少对于用户使用的影响。
81.在本公开一实施方式中，所述异常数据判断方法可适用于可执行异常数据判断的计算机、电子设备、服务器等。
82.在本公开一实施方式中，所述目标对象指的是需要监控其行为，判断其行为是否为异常行为，判断其通过其使用的设备传输的数据是否为异常数据的对象，所述目标对象
比如可以为用户、能够执行某一行为的机器人等资源。
83.在本公开一实施方式中，所述目标对象设备指的是所述目标对象传输某些数据、执行某一操作、发生某一行为所依赖的设备。比如，若所述目标对象为用户，则所述目标对象设备就可以为该用户所使用的计算机、电子设备等等。
84.在本公开一实施方式中，所述目标对象相关数据指的是与所述目标对象相关的一些数据，比如，所述目标对象相关数据可包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息。其中，所述目标对象设备信息可包括以下信息中的一种或多种：目标对象设备ip地址，目标对象设备mac地址，目标对象设备认证证书，目标对象设备鉴权信息；所述目标对象属性信息可包括以下信息中的一种或多种：指纹、虹膜等目标对象生物特征信息，目标对象人脸信息，目标对象活体检测信息，所述目标对象活体检测信息指的是眨眼、张嘴、摇头、点头等目标对象动作信息；所述目标对象位置信息指的是所述目标对象在某一时间点所处的位置信息，所述目标对象位置信息比如可以为经纬度信息，其可通过gps、雷达等定位工具获得；所述目标对象环境信息指的是所述目标对象在某一时间点所处的环境信息，所述目标对象环境信息比如可以为办公室，家，酒店、咖啡店、电影院、地铁等外场所，路边、站台等外环境等等。
85.在本公开一实施方式中，所述多重判断指的是多方面、多角度的异常判断，比如，对于目标对象本身、对于目标对象设备、对于目标设备的位置和所处的环境进行异常判断，并借助上述多方面、多角度的判断来判断所述目标对象设备传输的数据是否异常。
86.在上述实施方式中，若检测到目标对象设备建立网络连接，就启动对于异常数据的判断，具体地，首先获取目标对象相关数据，比如目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息等等，然后基于所述目标对象相关数据进行多重判断，最后根据多重判断结果确定目标对象设备传输数据是否为异常数据。
87.在本公开一实施方式中，所述步骤s102，即基于所述目标对象相关数据进行多重判断的步骤，可包括以下步骤：
88.根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，和/或，
89.根据所述目标对象属性信息确定所述目标对象是否为合法身份，和/或，
90.获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。
91.在该实施方式中，基于所获得的所述目标对象相关数据进行多重判断。具体地：
92.可根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，以及是否为与所述目标对象对应的设备，即所述目标对象日常使用的设备。上文提及，所述目标对象设备信息可包括以下信息中的一种或多种：目标对象设备ip地址、目标对象设备mac地址、目标对象设备认证证书、目标对象设备鉴权信息，当所述目标对象设备信息为目标对象设备ip地址时，可将所述目标对象设备ip地址与预设ip地址集合进行比较，若所述目标对象设备ip地址位于所述预设ip地址集合内，则说明所述目标对象设备为合法设备；当所述目标对象设备信息为目标对象设备mac地址时，可将所述目标对象设备mac地址与预设mac地址集合进行比较，若所述目标对象设备mac地址位于所述预设mac地址集合内，则说明所述目标对象设备为合法设备；当所述目标对象设备信息为目标对象设备认证证书时，可通过判断所述目标对象设备认证证书是否有效以及是否合法来判断所述目标对象设备是否为
合法设备；当所述目标对象设备信息为目标对象设备鉴权信息时，可通过判断所述目标对象设备鉴权信息是否有效以及是否合法来判断所述目标对象设备是否为合法设备。
93.可根据所述目标对象属性信息确定所述目标对象是否为合法身份。上文提及，所述目标对象属性信息可包括以下信息中的一种或多种：指纹、虹膜等目标对象生物特征信息，目标对象人脸信息，目标对象活体检测信息，可基于所述目标对象生物特征信息，目标对象人脸信息，和/或目标对象活体检测信息提取相应的目标对象识别特征，然后将提取得到的目标对象识别特征与预先存储的目标对象特征进行比对，若提取得到的目标对象识别特征与预先存储的目标对象特征相一致，则说明所述目标对象为合法身份，否则，所述目标对象为非法身份。
94.可获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。首先获取不同时间点对应的所述目标对象的位置及其所处的环境，然后根据不同时间点对应的目标对象位置和环境的变化来确定所述目标对象是否处于合法环境。比如，若某一日上午9点整时检测发现某一用户在北京的办公室使用其办公电脑传输数据，但仅10分钟之后，就检测发现该办公电脑在上海的一家咖啡馆传输数据，通过对于该位置和环境变化的分析可确定所述目标对象处于非法环境。
95.需要说明的是，上文所描述的基于所述目标对象相关数据进行合法性判断的方式既可以根据实际应用的需要选择其一，也可以根据实际应用的需要进行组合；既可以同时采用进行合法性判断，也可以在其中某些目标对象相关数据丢失或无法获得时，使用其他目标对象相关数据进行合法性判断。
96.在本公开一实施方式中，所述步骤s103，即根据多重判断结果确定目标对象设备传输数据是否为异常数据的步骤，可包括以下步骤：
97.根据多重判断结果确定目标对象设备传输数据的异常评价指数；
98.根据所述目标对象设备传输数据的异常评价指数确定目标对象设备传输数据是否为异常数据。
99.在该实施方式中，可根据上述多重判断结果先确定一个能够综合体现上述各个判断因素的目标对象设备传输数据的异常评价指数，然后再根据所述目标对象设备传输数据的异常评价指数来确定目标对象设备传输数据是否为异常数据，从而能够更为全面地对于目标对象设备传输数据是否为异常数据进行判断。比如，若所述目标对象设备传输数据的异常评价指数超过预设评价指数阈值，则认为所述目标对象设备传输数据为异常数据，反之，若所述目标对象设备传输数据的异常评价指数未超过预设评价指数阈值，则认为所述目标对象设备传输数据不是异常数据。
100.在本公开一实施方式中，所述根据多重判断结果确定目标对象设备传输数据的异常评价指数的步骤，可包括以下步骤：
101.根据所述目标对象设备是否为非法设备确定目标对象设备传输数据的设备异常评价指数值；
102.根据所述目标对象是否为非法身份确定目标对象设备传输数据的身份异常评价指数值；
103.根据所述目标对象是否处于非法环境确定目标对象设备传输数据的环境异常评
价指数值；
104.根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数。
105.在该实施方式中，可分别根据所述目标对象设备是否为非法设备、所述目标对象是否为非法身份、所述目标对象是否处于非法环境确定目标对象设备传输数据的设备异常评价指数值、目标对象设备传输数据的身份异常评价指数值、以及目标对象设备传输数据的环境异常评价指数值，最后根据得到的所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值再计算得到目标对象设备传输数据的异常评价指数。
106.在本公开一实施方式中，所述根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数的步骤，可包括以下步骤：
107.确定所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值的权重；
108.对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和，得到所述目标对象设备传输数据的异常评价指数。
109.考虑到不同的异常评价指数对于不同应用环境的重要程度可能不同，因此，在该实施方式中，可为不同的异常评价指数设置不同或者相同的权重，然后再对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和，即可得到能够适用于不同应用环境的、能够对于上述异常评价指数进行综合考虑的目标对象设备传输数据的异常评价指数。其中，在对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和之前，可先对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行归一化，再分别与相应的权重相乘，最后将多个乘积加起来，即可得到所述目标对象设备传输数据的异常评价指数。
110.在本公开一实施方式中，所述目标对象相关数据还可包括目标对象历史行为信息，其中，所述目标对象历史行为信息可包括以下信息中的一种或多种：目标对象行为习惯信息、目标对象出差信息、目标对象考勤信息、目标对象旅行信息。其中，所述目标对象行为习惯信息指的是所述目标对象出现频率较高的行为信息，比如，目标对象常常在咖啡店使用办公电脑或家用电脑，则若后续检测发现目标对象没有在办公室使用办公电脑或家用电脑而是在咖啡店，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象出差信息比如可以为目标对象出差申请信息、出差报销信息等等，比如，若目标对象申请到上海出差，则若后续检测发现目标对象在上海的某一酒店中使用办公电脑或家用电脑，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象考勤信息比如可以为目标对象在不同办公地点的考勤信息、以及缺勤信息等等，其中，根据所述缺勤信息以及所述出差信息可进一步确定所述目标对象有可能所处的位置和环境，比如，若目标对象在广州办公点进行了考勤，则若后续检测发现目标对象在广州的某一写字楼中使用办公电脑或家用电脑，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象旅行信息指的是目标对象在旅行时生成的信息，比如目标对象乘坐火车、飞机、出租车等交通工具信息、购买经典门票信息、入住酒店信息等等，若目标对象购买了从北京至上海的高铁票，并入住了上海的一家酒店，则若后续检测发现目标对象在上海的该家酒店中使用办公电脑或家用电
脑，也不认为目标对象设备传输数据有可能为异常数据。即在该实施方式中，所述根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境的步骤，可被实施为：
111.根据所述目标对象历史行为信息、时间序列信息、与所述时间序列信息对应的所述目标对象位置信息和目标对象环境信息确定所述目标对象是否处于合法环境。
112.在本公开一实施方式中，所述方法还可包括以下步骤：
113.根据异常数据判断结果执行预设操作。
114.在该实施方式中，若根据所述异常数据判断结果确定所述目标对象设备传输数据为异常数据，则说明所述目标对象设备所传输的数据具有一定的危险性，将有可能对于数据安全带来威胁，则需要对于所述目标对象设备的数据传输采取一定的管控措施，若根据所述异常数据判断结果确定所述目标对象设备传输数据并非为异常数据，则说明所述目标对象设备所传输的数据危险性较低或者为正常数据，则无需对于所述目标对象设备的数据传输采取严厉的管控措施，只需要维持正常监管即可，即在该实施方式中，可根据异常数据判断结果来执行预设操作，其中，所述预设操作比如可以为维持监管、报警、将正常监管更改为严密监管、对于所述目标对象设备数据流量进行阻断、将所述目标对象设备当前传输数据替换为安全性较高的数据等等。其中，严密监管指的是在监管频率、监管力度上都高于正常监管的监管措施。
115.下述为本公开装置实施例，可以用于执行本公开方法实施例。
116.图2示出根据本公开一实施方式的异常数据判断装置的结构框图，该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图2所示，所述异常数据判断装置包括：
117.获取模块201，被配置为响应于检测到目标对象设备建立网络连接，获取目标对象相关数据，其中，所述目标对象相关数据包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息；
118.判断模块202，被配置为基于所述目标对象相关数据进行多重判断；
119.确定模块203，被配置为根据多重判断结果确定目标对象设备传输数据是否为异常数据。
120.上文提及，随着科学技术以及互联网技术的发展，越来越多的用户通过网络浏览数据和传输数据，也就是说，很多数据甚至支付数据等敏感数据都会通过网络进行传输。为了保障数据传输的安全性，维护用户的权益，需要对于数据的传输进行监管，若检测发现数据存在异常，则启动报警、严密监管、甚至阻断数据传输等措施。现有技术中通常是在网络防火墙处对于数据的流量进行监控，一旦检测发现某一用户的数据流量出现了异常，则立即阻断相应的数据连接。虽然防火墙能够在一定程度上监控到异常数据，并实施相应的管控措施，但会发生由于当前数据传输被阻断，影响用户使用的情况。
121.考虑到上述问题，在该实施方式中，提出一种异常数据判断装置，该装置在检测到目标对象设备建立网络连接后，就获取目标对象相关数据，并基于所述目标对象相关数据进行多重判断，来确定目标对象设备传输的数据是否为异常数据。该技术方案在数据到达网络防火墙之前就进行异常数据的预判，需要时可及时实施相应的管控措施，从而能够赢取足够的数据处理和数据调整时间，进而减少对于用户使用的影响。
122.在本公开一实施方式中，所述异常数据判断装置可实现为可执行异常数据判断的计算机、电子设备、服务器等。
123.在本公开一实施方式中，所述目标对象指的是需要监控其行为，判断其行为是否为异常行为，判断其通过其使用的设备传输的数据是否为异常数据的对象，所述目标对象比如可以为用户、能够执行某一行为的机器人等资源。
124.在本公开一实施方式中，所述目标对象设备指的是所述目标对象传输某些数据、执行某一操作、发生某一行为所依赖的设备。比如，若所述目标对象为用户，则所述目标对象设备就可以为该用户所使用的计算机、电子设备等等。
125.在本公开一实施方式中，所述目标对象相关数据指的是与所述目标对象相关的一些数据，比如，所述目标对象相关数据可包括以下数据中的一种或多种：目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息。其中，所述目标对象设备信息可包括以下信息中的一种或多种：目标对象设备ip地址，目标对象设备mac地址，目标对象设备认证证书，目标对象设备鉴权信息；所述目标对象属性信息可包括以下信息中的一种或多种：指纹、虹膜等目标对象生物特征信息，目标对象人脸信息，目标对象活体检测信息，所述目标对象活体检测信息指的是眨眼、张嘴、摇头、点头等目标对象动作信息；所述目标对象位置信息指的是所述目标对象在某一时间点所处的位置信息，所述目标对象位置信息比如可以为经纬度信息，其可通过gps、雷达等定位工具获得；所述目标对象环境信息指的是所述目标对象在某一时间点所处的环境信息，所述目标对象环境信息比如可以为办公室，家，酒店、咖啡店、电影院、地铁等外场所，路边、站台等外环境等等。
126.在本公开一实施方式中，所述多重判断指的是多方面、多角度的异常判断，比如，对于目标对象本身、对于目标对象设备、对于目标设备的位置和所处的环境进行异常判断，并借助上述多方面、多角度的判断来判断所述目标对象设备传输的数据是否异常。
127.在上述实施方式中，若检测到目标对象设备建立网络连接，就启动对于异常数据的判断，具体地，首先获取目标对象相关数据，比如目标对象设备信息、目标对象属性信息、目标对象位置信息、目标对象环境信息等等，然后基于所述目标对象相关数据进行多重判断，最后根据多重判断结果确定目标对象设备传输数据是否为异常数据。
128.在本公开一实施方式中，所述判断模块202可被配置为：
129.根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，和/或，
130.根据所述目标对象属性信息确定所述目标对象是否为合法身份，和/或，
131.获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。
132.在该实施方式中，基于所获得的所述目标对象相关数据进行多重判断。具体地：
133.可根据所述目标对象设备信息确定所述目标对象设备是否为合法设备，以及是否为与所述目标对象对应的设备，即所述目标对象日常使用的设备。上文提及，所述目标对象设备信息可包括以下信息中的一种或多种：目标对象设备ip地址、目标对象设备mac地址、目标对象设备认证证书、目标对象设备鉴权信息，当所述目标对象设备信息为目标对象设备ip地址时，可将所述目标对象设备ip地址与预设ip地址集合进行比较，若所述目标对象设备ip地址位于所述预设ip地址集合内，则说明所述目标对象设备为合法设备；当所述目标对象设备信息为目标对象设备mac地址时，可将所述目标对象设备mac地址与预设mac地
址集合进行比较，若所述目标对象设备mac地址位于所述预设mac地址集合内，则说明所述目标对象设备为合法设备；当所述目标对象设备信息为目标对象设备认证证书时，可通过判断所述目标对象设备认证证书是否有效以及是否合法来判断所述目标对象设备是否为合法设备；当所述目标对象设备信息为目标对象设备鉴权信息时，可通过判断所述目标对象设备鉴权信息是否有效以及是否合法来判断所述目标对象设备是否为合法设备。
134.可根据所述目标对象属性信息确定所述目标对象是否为合法身份。上文提及，所述目标对象属性信息可包括以下信息中的一种或多种：指纹、虹膜等目标对象生物特征信息，目标对象人脸信息，目标对象活体检测信息，可基于所述目标对象生物特征信息，目标对象人脸信息，和/或目标对象活体检测信息提取相应的目标对象识别特征，然后将提取得到的目标对象识别特征与预先存储的目标对象特征进行比对，若提取得到的目标对象识别特征与预先存储的目标对象特征相一致，则说明所述目标对象为合法身份，否则，所述目标对象为非法身份。
135.可获取时间序列信息，根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境。首先获取不同时间点对应的所述目标对象的位置及其所处的环境，然后根据不同时间点对应的目标对象位置和环境的变化来确定所述目标对象是否处于合法环境。比如，若某一日上午9点整时检测发现某一用户在北京的办公室使用其办公电脑传输数据，但仅10分钟之后，就检测发现该办公电脑在上海的一家咖啡馆传输数据，通过对于该位置和环境变化的分析可确定所述目标对象处于非法环境。
136.需要说明的是，上文所描述的基于所述目标对象相关数据进行合法性判断的方式既可以根据实际应用的需要选择其一，也可以根据实际应用的需要进行组合；既可以同时采用进行合法性判断，也可以在其中某些目标对象相关数据丢失或无法获得时，使用其他目标对象相关数据进行合法性判断。
137.在本公开一实施方式中，所述确定模块203可被配置为：
138.根据多重判断结果确定目标对象设备传输数据的异常评价指数；
139.根据所述目标对象设备传输数据的异常评价指数确定目标对象设备传输数据是否为异常数据。
140.在该实施方式中，可根据上述多重判断结果先确定一个能够综合体现上述各个判断因素的目标对象设备传输数据的异常评价指数，然后再根据所述目标对象设备传输数据的异常评价指数来确定目标对象设备传输数据是否为异常数据，从而能够更为全面地对于目标对象设备传输数据是否为异常数据进行判断。比如，若所述目标对象设备传输数据的异常评价指数超过预设评价指数阈值，则认为所述目标对象设备传输数据为异常数据，反之，若所述目标对象设备传输数据的异常评价指数未超过预设评价指数阈值，则认为所述目标对象设备传输数据不是异常数据。
141.在本公开一实施方式中，所述根据多重判断结果确定目标对象设备传输数据的异常评价指数的部分，可被配置为：
142.根据所述目标对象设备是否为非法设备确定目标对象设备传输数据的设备异常评价指数值；
143.根据所述目标对象是否为非法身份确定目标对象设备传输数据的身份异常评价
指数值；
144.根据所述目标对象是否处于非法环境确定目标对象设备传输数据的环境异常评价指数值；
145.根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数。
146.在该实施方式中，可分别根据所述目标对象设备是否为非法设备、所述目标对象是否为非法身份、所述目标对象是否处于非法环境确定目标对象设备传输数据的设备异常评价指数值、目标对象设备传输数据的身份异常评价指数值、以及目标对象设备传输数据的环境异常评价指数值，最后根据得到的所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值再计算得到目标对象设备传输数据的异常评价指数。
147.在本公开一实施方式中，所述根据所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值计算得到目标对象设备传输数据的异常评价指数的部分，可被配置为：
148.确定所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值的权重；
149.对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和，得到所述目标对象设备传输数据的异常评价指数。
150.考虑到不同的异常评价指数对于不同应用环境的重要程度可能不同，因此，在该实施方式中，可为不同的异常评价指数设置不同或者相同的权重，然后再对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和，即可得到能够适用于不同应用环境的、能够对于上述异常评价指数进行综合考虑的目标对象设备传输数据的异常评价指数。其中，在对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行加权求和之前，可先对于所述设备异常评价指数值、身份异常评价指数值和环境异常评价指数值进行归一化，再分别与相应的权重相乘，最后将多个乘积加起来，即可得到所述目标对象设备传输数据的异常评价指数。
151.在本公开一实施方式中，所述目标对象相关数据还可包括目标对象历史行为信息，其中，所述目标对象历史行为信息可包括以下信息中的一种或多种：目标对象行为习惯信息、目标对象出差信息、目标对象考勤信息、目标对象旅行信息。其中，所述目标对象行为习惯信息指的是所述目标对象出现频率较高的行为信息，比如，目标对象常常在咖啡店使用办公电脑或家用电脑，则若后续检测发现目标对象没有在办公室使用办公电脑或家用电脑而是在咖啡店，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象出差信息比如可以为目标对象出差申请信息、出差报销信息等等，比如，若目标对象申请到上海出差，则若后续检测发现目标对象在上海的某一酒店中使用办公电脑或家用电脑，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象考勤信息比如可以为目标对象在不同办公地点的考勤信息、以及缺勤信息等等，其中，根据所述缺勤信息以及所述出差信息可进一步确定所述目标对象有可能所处的位置和环境，比如，若目标对象在广州办公点进行了考勤，则若后续检测发现目标对象在广州的某一写字楼中使用办公电脑或家用电脑，也不认为目标对象设备传输数据有可能为异常数据；所述目标对象旅行信息指的是目标对象在旅行时生成的信息，比如目标对象乘坐火车、飞机、出租车等交通工具信息、购买
经典门票信息、入住酒店信息等等，若目标对象购买了从北京至上海的高铁票，并入住了上海的一家酒店，则若后续检测发现目标对象在上海的该家酒店中使用办公电脑或家用电脑，也不认为目标对象设备传输数据有可能为异常数据。即在该实施方式中，所述根据与所述时间序列信息对应的所述目标对象位置信息、目标对象环境信息和时间序列信息确定所述目标对象是否处于合法环境的部分，可被配置为：
152.根据所述目标对象历史行为信息、时间序列信息、与所述时间序列信息对应的所述目标对象位置信息和目标对象环境信息确定所述目标对象是否处于合法环境。
153.在本公开一实施方式中，所述装置还可包括：
154.执行模块，被配置为根据异常数据判断结果执行预设操作。
155.在该实施方式中，若根据所述异常数据判断结果确定所述目标对象设备传输数据为异常数据，则说明所述目标对象设备所传输的数据具有一定的危险性，将有可能对于数据安全带来威胁，则需要对于所述目标对象设备的数据传输采取一定的管控措施，若根据所述异常数据判断结果确定所述目标对象设备传输数据并非为异常数据，则说明所述目标对象设备所传输的数据危险性较低或者为正常数据，则无需对于所述目标对象设备的数据传输采取严厉的管控措施，只需要维持正常监管即可，即在该实施方式中，可根据异常数据判断结果来执行预设操作，其中，所述预设操作比如可以为维持监管、报警、将正常监管更改为严密监管、对于所述目标对象设备数据流量进行阻断、将所述目标对象设备当前传输数据替换为安全性较高的数据等等。其中，严密监管指的是在监管频率、监管力度上都高于正常监管的监管措施。
156.本公开还公开了一种电子设备，图3示出根据本公开一实施方式的电子设备的结构框图，如图3所示，所述电子设备300包括存储器301和处理器302；其中，
157.所述存储器301用于存储一条或多条计算机指令，其中，所述一条或多条计算机指令被所述处理器302执行以实现上述方法步骤。
158.图4是适于用来实现根据本公开一实施方式的临时文件处理方法的计算机系统的结构示意图。
159.如图4所示，计算机系统400包括处理单元401，其可以根据存储在只读存储器(rom)402中的程序或者从存储部分408加载到随机访问存储器(ram)403中的程序而执行上述实施方式中的各种处理。在ram403中，还存储有系统400操作所需的各种程序和数据。处理单元401、rom402以及ram403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
160.以下部件连接至i/o接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至i/o接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。其中，所述处理单元401可实现为cpu、gpu、tpu、fpga、npu等处理单元。
161.特别地，根据本公开的实施方式，上文描述的方法可以被实现为计算机软件程序。例如，本公开的实施方式包括一种计算机程序产品，其包括有形地包含在及其可读介质上
的计算机程序，所述计算机程序包含用于执行所述临时文件处理方法的程序代码。在这样的实施方式中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。
162.本公开实施例还公开了一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，该计算机程序/指令被处理器执行时实现上述任一方法步骤。
163.附图中的流程图和框图，图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
164.描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中，这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
165.作为另一方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本公开实施例的方法。
166.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。