本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，特別涉及一種用戶操作行為的判定方法及裝置。

背景技術(shù)：

隨著企業(yè)電子辦公的技術(shù)發(fā)展，越來(lái)越多的用戶誤操作事件或泄密事件等造成難以挽回的經(jīng)濟(jì)損失和信譽(yù)危機(jī)，而現(xiàn)有的審計(jì)系統(tǒng)雖然在追根溯源和孤立事件分析上面具有較強(qiáng)的優(yōu)勢(shì)，但是很難對(duì)用戶的操作行為進(jìn)行安全性判定，特別是在早期預(yù)警和安全行為理解方面尤其不足。

因此，亟需一種能夠?qū)τ脩羧粘５牟僮餍袨槭欠癞惓＿M(jìn)行判定的技術(shù)方案。

技術(shù)實(shí)現(xiàn)要素：

有鑒于此，本發(fā)明的目的在于提供一種用戶操作行為的判定方法及系統(tǒng)，用以解決現(xiàn)有技術(shù)中無(wú)法有效對(duì)用戶日常的操作行為進(jìn)行異常判定的技術(shù)問(wèn)題。

本發(fā)明提供了一種用戶操作行為的判定方法，包括：

采集目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)，所述當(dāng)前日志數(shù)據(jù)為所述目標(biāo)用戶進(jìn)行其相關(guān)操作行為的日志數(shù)據(jù)；

獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率；

在所述對(duì)數(shù)概率處于預(yù)設(shè)的對(duì)數(shù)概率范圍內(nèi)時(shí)，提取所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征；其中，所述預(yù)設(shè)的對(duì)數(shù)概率范圍為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型進(jìn)行概率計(jì)算獲得；

基于預(yù)設(shè)的特征庫(kù)中的目標(biāo)行為特征，對(duì)所述當(dāng)前行為特征進(jìn)行分析，得到分析結(jié)果，所述目標(biāo)行為特征為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)獲得，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為狀態(tài)。

上述方法，優(yōu)選的，提取所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征，包括：

生成所述當(dāng)前日志數(shù)據(jù)基于其時(shí)間軸的量化值；

基于所述量化值，獲得所述目標(biāo)用戶的行為規(guī)則量化指標(biāo)；

利用所述行為規(guī)則量化指標(biāo)，對(duì)所述當(dāng)前日志數(shù)據(jù)進(jìn)行特征量化，以得到所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

上述方法，優(yōu)選的，基于預(yù)設(shè)的特征庫(kù)中的目標(biāo)行為特征，對(duì)所述當(dāng)前行為特征進(jìn)行分析，得到分析結(jié)果，包括：

確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍；

獲得所述當(dāng)前行為特征的狀態(tài)概率值；

判斷所述當(dāng)前行為特征的狀態(tài)概率值是否處于該特征閾值范圍內(nèi)，得到分析結(jié)果；

其中，所述當(dāng)前行為特征的狀態(tài)概率值處于該特征閾值范圍內(nèi)時(shí)，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為正常，否則，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為異常。

上述方法，優(yōu)選的，所述當(dāng)前行為特征至少包括：操作軌跡特征及操作指令特征。

上述方法，優(yōu)選的，采集目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)，包括：

依據(jù)預(yù)設(shè)的關(guān)鍵字段對(duì)所述目標(biāo)用戶進(jìn)行操作行為的原始日志數(shù)據(jù)進(jìn)行數(shù)據(jù)采集，以得到所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)。

本發(fā)明還提供了一種用戶操作行為的判定系統(tǒng)，包括：

數(shù)據(jù)采集單元，用于采集目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)，所述當(dāng)前日志數(shù)據(jù)為所述目標(biāo)用戶進(jìn)行其相關(guān)操作行為的日志數(shù)據(jù)；

概率獲得單元，用于獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率；

特征提取單元，用于在所述對(duì)數(shù)概率處于預(yù)設(shè)的對(duì)數(shù)概率范圍內(nèi)時(shí)，提取所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征；其中，所述預(yù)設(shè)的對(duì)數(shù)概率范圍基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型進(jìn)行概率計(jì)算獲得；

特征分析單元，用于基于預(yù)設(shè)的特征庫(kù)中的目標(biāo)行為特征，對(duì)所述當(dāng)前行為特征進(jìn)行分析，得到分析結(jié)果，所述目標(biāo)行為特征為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)獲得，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為狀態(tài)。

上述系統(tǒng)，優(yōu)選的，所述特征提取單元包括：

量化值生成子單元，用于生成所述當(dāng)前日志數(shù)據(jù)基于其時(shí)間軸的量化值；

量化指標(biāo)獲得子單元，用于基于所述量化值，獲得所述目標(biāo)用戶的行為規(guī)則量化指標(biāo)；

特征量化子單元，用于利用所述行為規(guī)則量化指標(biāo)，對(duì)所述當(dāng)前日志數(shù)據(jù)進(jìn)行特征量化，以得到所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

上述系統(tǒng)，優(yōu)選的，所述特征分析單元包括：

范圍確定子單元，用于確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍；

概率值獲得子單元，用于獲得所述當(dāng)前行為特征的狀態(tài)概率值；

概率值判斷子單元，用于判定所述當(dāng)前行為特征的狀態(tài)概率值是否處于該特征閾值范圍內(nèi)，得到分析結(jié)果；

其中，所述當(dāng)前行為特征的狀態(tài)概率值處于該特征閾值范圍內(nèi)時(shí)，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為正常，否則，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為異常。

上述系統(tǒng)，優(yōu)選的，所述當(dāng)前行為特征至少包括：操作軌跡特征及操作指令特征。

上述系統(tǒng)，優(yōu)選的，所述數(shù)據(jù)采集單元包括：

原始數(shù)據(jù)采集子單元，用于依據(jù)預(yù)設(shè)的關(guān)鍵字段對(duì)所述目標(biāo)用戶進(jìn)行數(shù)據(jù)采集，以得到所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)。

由上述方案可知，本發(fā)明提供的一種用戶操作行為的判定方法及系統(tǒng)， 在采集到目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)之后，獲得該當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率，并利用基于該目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型所計(jì)算得到的對(duì)數(shù)概率范圍，來(lái)判定該當(dāng)前日志數(shù)據(jù)是否為有效的操作行為的日志數(shù)據(jù)，只有在該當(dāng)前日志數(shù)據(jù)的對(duì)數(shù)概率處于計(jì)算得到的對(duì)數(shù)概率范圍內(nèi)時(shí)才表明該當(dāng)前日志數(shù)據(jù)為目標(biāo)用戶進(jìn)行有效的操作行為的日志數(shù)據(jù)，此時(shí)，提取該當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征，進(jìn)而基于特征庫(kù)中的目標(biāo)行為特征來(lái)對(duì)當(dāng)前行為特征進(jìn)行分析，進(jìn)而得到表征目標(biāo)用戶操作行為狀態(tài)是否正常的分析結(jié)果，從而實(shí)現(xiàn)對(duì)用戶的操作行為進(jìn)行有效的異常判定，實(shí)現(xiàn)本發(fā)明目的。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)提供的附圖獲得其他的附圖。

圖1為為本發(fā)明實(shí)施例一提供的一種用戶操作行為的判定方法的流程圖

圖2為本發(fā)明實(shí)施例二提供的一種用戶操作行為的判定方法的部分流程圖；

圖3為本發(fā)明實(shí)施例三提供的一種用戶操作行為的判定方法的部分流程圖；

圖4為本發(fā)明實(shí)施例四提供的一種用戶操作行為的判定方法的流程圖；

圖5～圖7分別為本發(fā)明實(shí)施例的應(yīng)用示例圖；

圖8為本發(fā)明實(shí)施例五提供的一種用戶操作行為的判定系統(tǒng)的結(jié)構(gòu)示意圖；

圖9為本發(fā)明實(shí)施例六提供的一種用戶操作行為的判定系統(tǒng)的部分結(jié)構(gòu)示意圖；

圖10為本發(fā)明實(shí)施例七提供的一種用戶操作行為的判定系統(tǒng)的部分結(jié)構(gòu)示意圖；

圖11為本發(fā)明實(shí)施例八提供的一種用戶操作行為的判定系統(tǒng)的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

參考圖1，為本發(fā)明實(shí)施例一提供的一種用戶操作行為的判定方法的流程圖，其中，所述方法適用于對(duì)一個(gè)或多個(gè)目標(biāo)用戶進(jìn)行企業(yè)辦公系統(tǒng)或互聯(lián)網(wǎng)等操作行為是否異常進(jìn)行判定。

具體的，本實(shí)施例中，所述方法可以包括以下步驟：

步驟101：采集目標(biāo)用戶的當(dāng)前日常數(shù)據(jù)。

其中，所述當(dāng)前日志數(shù)據(jù)為所述目標(biāo)用戶進(jìn)行其相關(guān)操作行為的日志數(shù)據(jù)。

例如，所述目標(biāo)用戶對(duì)企業(yè)辦公系統(tǒng)的操作系統(tǒng)進(jìn)行各種業(yè)務(wù)操作行為，或者所述目標(biāo)用戶對(duì)計(jì)算機(jī)等操作系統(tǒng)進(jìn)行網(wǎng)頁(yè)瀏覽等操作行為，等等，相應(yīng)的操作系統(tǒng)會(huì)對(duì)所述目標(biāo)用戶的各種操作行為進(jìn)行記錄，生成相應(yīng)的日志數(shù)據(jù)，本實(shí)施例中對(duì)所述目標(biāo)用戶進(jìn)行操作行為的日志數(shù)據(jù)進(jìn)行采集。

步驟102：獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率。

具體的，本實(shí)施例中可以利用馬爾科夫模型對(duì)應(yīng)的算法獲取所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率，如馬爾科夫模型對(duì)應(yīng)的識(shí)別規(guī)則庫(kù)算法，這里的規(guī)則庫(kù)可以理解為下文中的特征庫(kù)，可以用來(lái)獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率。

步驟103：在所述對(duì)數(shù)概率處于預(yù)設(shè)的對(duì)數(shù)概率范圍內(nèi)時(shí)，提取所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

其中，所述預(yù)設(shè)的對(duì)數(shù)概率范圍為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型進(jìn)行概率計(jì)算獲得。

具體的，本實(shí)施例中可以通過(guò)以下步驟實(shí)現(xiàn)：

(1)提取所述目標(biāo)用戶的歷史日志數(shù)據(jù)中的訪問(wèn)ip地址，由此得到整個(gè)待識(shí)別軌跡ips＝{ip¹,ip²,ip³...ipⁿ}，由n個(gè)簡(jiǎn)單跳轉(zhuǎn)(ip地址)行為串接而成，其中，nmin≤n≤nmax，令n＝nmin。

(2)將ip按簡(jiǎn)單行為模型λv可能的時(shí)長(zhǎng)范圍取第一段稱為第1層，對(duì)應(yīng)一個(gè)簡(jiǎn)單行為。為模型λv的長(zhǎng)度閾值，一般取λv訓(xùn)練樣本平均長(zhǎng)度的1/2。

(3)使用forward算法對(duì)求對(duì)應(yīng)所有λ1到λt的概率，然后找出λv中最大的概率以及對(duì)應(yīng)的簡(jiǎn)單行為模型；如果則把作為的識(shí)別結(jié)果，否則認(rèn)為不是任何簡(jiǎn)單行為，舍棄這種無(wú)意義行為。

(4)以第1層的各個(gè)可能的終點(diǎn)t1作為起點(diǎn)取第2段計(jì)算并找出

(5)以此類推，類似步驟(4)逐層求出直到第l層的最大概率以及對(duì)應(yīng)的簡(jiǎn)單行為模型

(6)求累計(jì)對(duì)數(shù)概率:

其中，t0＝1；tl＝t。挑選合適的t1，t2…tl使累計(jì)對(duì)數(shù)概率最大，作為整條軌跡由l個(gè)簡(jiǎn)單行為組成的對(duì)數(shù)概率。然后通過(guò)行為語(yǔ)法驗(yàn)證如果不符合邏輯就重新挑選t1，t2…tl使式1取次大值，重復(fù)驗(yàn)證直到符合邏輯為止。

(7)令l＝l+1，重復(fù)步驟(1)～步驟(6)直到l＝lmax，選擇累計(jì)對(duì)數(shù)概率中最大的層數(shù)的對(duì)數(shù)概率值作為對(duì)數(shù)概率范圍的最大值，由此確定所述對(duì)數(shù)概率范圍。

需要說(shuō)明的是，本實(shí)施例中獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率時(shí)，可以通過(guò)上述算法獲得，此處不再詳述。

步驟104：基于預(yù)設(shè)的特征庫(kù)中的目標(biāo)行為特征，對(duì)所述當(dāng)前行為特征進(jìn)行分析，得到分析結(jié)果。

其中，所述目標(biāo)行為特征為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)獲得，也就是說(shuō)，本實(shí)施例中以所述目標(biāo)用戶操作行為正常的歷史日志數(shù)據(jù)作為標(biāo)準(zhǔn)，對(duì)其當(dāng)前的操作行為進(jìn)行異常判定分析，進(jìn)而得到表征所述目標(biāo)用戶的操作行為狀態(tài)的分析結(jié)果。具體的，在所述當(dāng)前行為特征與預(yù)設(shè)的目標(biāo)行為特征相匹配時(shí)，所述分析結(jié)果表征所述目標(biāo)用戶當(dāng)前的操作行為正常，否則，所述分析結(jié)果表征所述目標(biāo)用戶當(dāng)前的操作行為異常。

由上述方案可知，本發(fā)明實(shí)施例一提供的一種用戶操作行為的判定方法，在采集到目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)之后，獲得該當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率，并利用基于該目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型所計(jì)算得到的對(duì)數(shù)概率范圍，來(lái)判定該當(dāng)前日志數(shù)據(jù)是否為有效的操作行為的日志數(shù)據(jù)，只有在該當(dāng)前日志數(shù)據(jù)的對(duì)數(shù)概率處于計(jì)算得到的對(duì)數(shù)概率范圍內(nèi)時(shí)才表明該當(dāng)前日志數(shù)據(jù)為目標(biāo)用戶進(jìn)行有效的操作行為的日志數(shù)據(jù)，此時(shí)，提取該當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征，進(jìn)而基于特征庫(kù)中的目標(biāo)行為特征來(lái)對(duì)當(dāng)前行為特征進(jìn)行分析，進(jìn)而得到表征目標(biāo)用戶操作行為狀態(tài)是否正常的分析結(jié)果，從而實(shí)現(xiàn)對(duì)用戶的操作行為進(jìn)行有效的異常判定，實(shí)現(xiàn)本實(shí)施例目的。

參考圖2，為本發(fā)明實(shí)施例二提供的一種用戶操作行為的判定方法中所述步驟103的實(shí)現(xiàn)流程圖，其中，所述步驟103可以通過(guò)以下步驟實(shí)現(xiàn)：

步驟131：生成所述當(dāng)前日志數(shù)據(jù)基于其時(shí)間軸的量化值。

步驟132：基于所述量化值，獲得所述目標(biāo)用戶的行為規(guī)則量化指標(biāo)。

步驟133：利用所述行為規(guī)則量化指標(biāo)，對(duì)所述當(dāng)前日志數(shù)據(jù)進(jìn)行特征量化，以得到所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

具體的，本實(shí)施例中可以通過(guò)所述當(dāng)前日志數(shù)據(jù)產(chǎn)生基于其時(shí)間軸這些量化的觀察值，即量化值，再通過(guò)所述量化值來(lái)產(chǎn)生所述目標(biāo)用戶的行為規(guī) 則量化指標(biāo)，進(jìn)而生成概率矩陣，以得到真正的狀態(tài)序列，這個(gè)狀態(tài)序列即是該目標(biāo)用戶的行為規(guī)則量化特征，即所述目標(biāo)用戶的當(dāng)前行為特征。在這一過(guò)程中，其量化計(jì)算過(guò)程為：設(shè)t＝0(事實(shí)上t的首項(xiàng)應(yīng)該為1，但是考慮到編程的方便這里就設(shè)首項(xiàng)為0)即alpha(i，t)＝pi(i)*q(i，t)。alpha(i，t)指t時(shí)刻狀態(tài)為si的概率(下面同義)，pi(i)為狀態(tài)si的初始概率，q(i，t)：指的是t時(shí)刻觀測(cè)值vt由狀態(tài)si生成的概率；在t>0而且在t<＝n時(shí)，即alpha(t,i)＝sum[alpha(j,t-1)*p(j,i)*q(i,t)]，p(j,i)指由狀態(tài)sj轉(zhuǎn)移到si的概率；即將所算的所有狀態(tài)si的結(jié)果再求和，得到規(guī)則的狀態(tài)概率，即為得到的所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

參考圖3，為本發(fā)明實(shí)施例三提供的一種用戶操作行為的判定方法中所述步驟104的實(shí)現(xiàn)流程圖，其中，所述步驟104可以包括以下步驟：

步驟141：確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍。

具體的，所述目標(biāo)行為特征可以包括兩種特征：目標(biāo)操作軌跡特征，如ip的跳轉(zhuǎn)和操作的設(shè)備范圍，以及目標(biāo)操作指令特征，如用戶的操作指令和指令的執(zhí)行閾值范圍等，由此，本實(shí)施例中基于這些目標(biāo)行為特征中的兩種特征及特征屬性，確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍，如ip跳轉(zhuǎn)匹配率范圍、指令匹配率范圍及指令執(zhí)行閾值范圍匹配率范圍等。

步驟142：獲得所述當(dāng)前行為特征的狀態(tài)概率值。

其中，所述當(dāng)前行為特征的狀態(tài)概率值的獲取可以參考前述實(shí)施例中對(duì)所述當(dāng)前行為特征的提取過(guò)程中獲得其狀態(tài)概率的實(shí)現(xiàn)方案。

步驟143：判斷所述當(dāng)前行為特征的狀態(tài)概率值是否處于該特征閾值范圍內(nèi)，得到分析結(jié)果。

其中，在具體實(shí)現(xiàn)中，所述當(dāng)前行為特征至少包括：操作軌跡特征及操作指令特征。也就是說(shuō)，本實(shí)施例中，所述目標(biāo)用戶行為的規(guī)則可以分為兩個(gè)維度來(lái)描述：一個(gè)是目標(biāo)用戶的運(yùn)動(dòng)軌跡，即ip的跳轉(zhuǎn)和操作的設(shè)備范圍， 另一個(gè)為目標(biāo)用戶的操作指令和和指令的執(zhí)行閾值范圍。因此本實(shí)施例中可以量化這種維度的格式為：

{用戶名：“張三”，用戶uuid：“f906e67b-678d-402a-8b3d-0126051688ee

”，范圍密度：[3，{192.168.100.120，192.168.100.20，192.168.100.22}]，

相應(yīng)的，指令閾值密度：[{192.168.100.120，[adoptsettlecommission：10，simpukqry：21]}，{192.168.100.20，[.....]}，{192.168.100.22,[.....]}]}。

由此，本實(shí)施例中通過(guò)可以通過(guò)所述當(dāng)前日志數(shù)據(jù)得到目標(biāo)用戶的當(dāng)前行為特征如操作軌跡特征和操作指令特征等之后，獲得在得到這些當(dāng)前行為特征過(guò)程中所產(chǎn)生的相應(yīng)的狀態(tài)概率值，同時(shí)確定特征庫(kù)中相應(yīng)特征的特征閾值范圍，進(jìn)而判定這些狀態(tài)概率值是否在對(duì)應(yīng)的特征閾值范圍內(nèi)，由此來(lái)得到分析結(jié)果，表征所述目標(biāo)用戶的操作行為是否出現(xiàn)異常狀態(tài)。

參考圖4，為本發(fā)明實(shí)施例四提供的一種用戶操作行為的判定方法的流程圖，其中，所述步驟101可以通過(guò)以下步驟實(shí)現(xiàn)：

步驟111：依據(jù)預(yù)設(shè)的關(guān)鍵字段對(duì)所述目標(biāo)用戶進(jìn)行操作行為的原始日志數(shù)據(jù)進(jìn)行數(shù)據(jù)采集，以得到所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)。

在具體實(shí)現(xiàn)中，所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)需要包含以下關(guān)鍵字段或?qū)傩?，如?中所示：

表1

由此，本實(shí)施例中基于這些需要支持按照指定的關(guān)鍵字段對(duì)原始日志數(shù)據(jù)進(jìn)行采集，這里采集的關(guān)鍵字段包括但不局限于：源ip地址、源端口、目的ip地址、目的端口、操作時(shí)間、操作內(nèi)容等信息。并且應(yīng)支持：源端口、目標(biāo)端口、url地址、get參數(shù)、post參數(shù)、cookie參數(shù)、域名、referer、用戶瀏覽器(user-agent)、x-forward-for、響應(yīng)消息類型(content-type)、響應(yīng)消息體(應(yīng)答頁(yè)面)等業(yè)務(wù)操作特征日志數(shù)據(jù)。

其中，在采集過(guò)程中，采集的方式有主動(dòng)采集和被動(dòng)采集方式，主動(dòng)采集：通過(guò)jdbc接口，通過(guò)輪詢的方式在用戶的應(yīng)用日志系統(tǒng)中將業(yè)務(wù)操作日志進(jìn)行全量采集；被動(dòng)采集：通過(guò)syslog方式偵聽(tīng)操作系統(tǒng)發(fā)送過(guò)來(lái)的系統(tǒng)用戶登錄日志等。完成后進(jìn)行字段補(bǔ)齊和用戶“會(huì)話”合并，用戶“會(huì)話”合并即：用戶一次登錄到退出過(guò)程中全部的操作記錄集合。具體的采集過(guò)程可 以參考圖5中所示。最后將合并好的數(shù)據(jù)以用戶名稱+用戶uuid作為key，通過(guò)solr對(duì)操作進(jìn)行分詞后以文件形式保存，這樣的目的便于對(duì)操作指令進(jìn)行快速的查詢，同時(shí)以用戶為維度產(chǎn)生其行為規(guī)則和模式，即該用戶的當(dāng)前行為特征。本實(shí)施例中隨著規(guī)則每隔相應(yīng)的時(shí)間段如每月實(shí)際新的數(shù)據(jù)產(chǎn)生，具有自動(dòng)更新修正規(guī)則庫(kù)(特征庫(kù))的能力，理論上講，歷史日志數(shù)據(jù)越長(zhǎng)久，狀態(tài)劃分越多，判定精度越高；并通過(guò)日志數(shù)據(jù)建立規(guī)則庫(kù)，再通過(guò)規(guī)則庫(kù)分析日志數(shù)據(jù)，這樣完成了一個(gè)數(shù)據(jù)驅(qū)動(dòng)分析的過(guò)程，同時(shí)利用了大數(shù)據(jù)平臺(tái)存儲(chǔ)日志文件，采用solr進(jìn)行操作日志分詞索引存儲(chǔ)，為統(tǒng)計(jì)分析算法提供了快速的查詢計(jì)算基礎(chǔ)，能快速得到用戶的規(guī)則庫(kù)，即特征庫(kù)。

在具體實(shí)例中，本發(fā)明中基于應(yīng)用系統(tǒng)用戶業(yè)務(wù)軌跡和操作行為之間相互影響，以符合隱形馬爾科夫模型的映射隱含關(guān)系，即從可觀察的參數(shù)中確定該過(guò)程的隱含參數(shù)，然后利用這些參數(shù)來(lái)作進(jìn)一步的分析，例如模式識(shí)別，因此，本發(fā)明使用用戶的時(shí)序ip地址和操作命令之間形成一個(gè)隱形的馬爾科夫鏈關(guān)系，如圖6中所示，用戶在系統(tǒng)中通常訪問(wèn)的ip地址反應(yīng)了用戶的日常行為軌跡，用戶在一定的時(shí)間范圍(一天/一周/一個(gè)月)內(nèi)日志中出現(xiàn)、消失、停留的范圍區(qū)域(如圖中ip1，ip2，ip3，或ip段)以及某些有特殊意義的服務(wù)器ip等，把它們定義為標(biāo)志點(diǎn)“l(fā)andmark”：lk{lk1，lk2，…，lki}。標(biāo)志點(diǎn)可以通過(guò)統(tǒng)計(jì)方法獲得，也可以實(shí)際業(yè)務(wù)部署的ip通過(guò)手工指定。圖6中縱向上看，每個(gè)ip都對(duì)應(yīng)一個(gè)用戶操作指令集合，通過(guò)這個(gè)操作指令反應(yīng)為具體的業(yè)務(wù)功能，可以稱之為業(yè)務(wù)功能映射，每個(gè)功能映射中的操作指令和指令數(shù)量是具有一定范圍和閾值門限。橫向上看用戶在其活動(dòng)范圍內(nèi)是通過(guò)一連串的跳轉(zhuǎn)指令進(jìn)行業(yè)務(wù)切換，這些跳轉(zhuǎn)指令的目的ip地址可以稱之為業(yè)務(wù)范圍映射。

本發(fā)明通過(guò)對(duì)每個(gè)用戶的業(yè)務(wù)范圍和業(yè)務(wù)功能映射，可以建立一種基于門限閾值的隱馬爾科夫模型，閾值模型給出了進(jìn)行行為判決的底線，只有觀測(cè)序列o在已定義簡(jiǎn)單行為模型下的概率大于其在閾值模型下的概率時(shí)，才進(jìn)行判決，否則就認(rèn)為觀測(cè)序列無(wú)意義或?qū)儆谖炊x的行為。這樣既可以減輕系統(tǒng)的判別負(fù)載，又能減少誤判和錯(cuò)判的可能。也就是說(shuō)，本發(fā)明中將規(guī)則庫(kù)即前文中提到的特征庫(kù)中每個(gè)用戶的業(yè)務(wù)狀態(tài)概率值載入行為判定服務(wù)引 擎中，行為判定服務(wù)引擎將根據(jù)規(guī)則概率對(duì)數(shù)建立閾值，將無(wú)關(guān)的操作濾掉，只對(duì)有用的操作進(jìn)行判定，如圖7中所示，從而比較準(zhǔn)確的判定一個(gè)用戶在某個(gè)時(shí)域中業(yè)務(wù)操作的安全性，不僅提高了處理效率也提高了判定的準(zhǔn)確率。

參考圖8，為本發(fā)明實(shí)施例五提供的一種用戶操作行為的判定系統(tǒng)的結(jié)構(gòu)示意圖，其中，所述系統(tǒng)適用于對(duì)一個(gè)或多個(gè)目標(biāo)用戶進(jìn)行企業(yè)辦公系統(tǒng)或互聯(lián)網(wǎng)等操作行為是否異常進(jìn)行判定。

具體的，本實(shí)施例中，所述系統(tǒng)可以包括以下結(jié)構(gòu)：

數(shù)據(jù)采集單元801，用于采集目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)。

其中，所述當(dāng)前日志數(shù)據(jù)為所述目標(biāo)用戶進(jìn)行其相關(guān)操作行為的日志數(shù)據(jù)。

例如，所述目標(biāo)用戶對(duì)企業(yè)辦公系統(tǒng)的操作系統(tǒng)進(jìn)行各種業(yè)務(wù)操作行為，或者所述目標(biāo)用戶對(duì)計(jì)算機(jī)等操作系統(tǒng)進(jìn)行網(wǎng)頁(yè)瀏覽等操作行為，等等，相應(yīng)的操作系統(tǒng)會(huì)對(duì)所述目標(biāo)用戶的各種操作行為進(jìn)行記錄，生成相應(yīng)的日志數(shù)據(jù)，本實(shí)施例中對(duì)所述目標(biāo)用戶進(jìn)行操作行為的日志數(shù)據(jù)進(jìn)行采集。

概率獲得單元802，用于獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率。

具體的，本實(shí)施例中可以利用馬爾科夫模型對(duì)應(yīng)的算法獲取所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率，如馬爾科夫模型對(duì)應(yīng)的識(shí)別規(guī)則庫(kù)算法，這里的規(guī)則庫(kù)可以理解為下文中的特征庫(kù)，可以用來(lái)獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率。

特征提取單元803，用于在所述對(duì)數(shù)概率處于預(yù)設(shè)的對(duì)數(shù)概率范圍內(nèi)時(shí)，提取所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

其中，所述預(yù)設(shè)的對(duì)數(shù)概率范圍為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型進(jìn)行概率計(jì)算獲得。

具體的，本實(shí)施例中可以通過(guò)以下步驟實(shí)現(xiàn)：

(1)提取所述目標(biāo)用戶的歷史日志數(shù)據(jù)中的訪問(wèn)ip地址，由此得到整個(gè)待識(shí)別軌跡ips＝{ip¹,ip²,ip³...ipⁿ}，由n個(gè)簡(jiǎn)單跳轉(zhuǎn)(ip地址)行為串接而成，其中，nmin≤n≤nmax，令n＝nmin。

(2)將ip按簡(jiǎn)單行為模型λv可能的時(shí)長(zhǎng)范圍取第一段稱為第1層，對(duì)應(yīng)一個(gè)簡(jiǎn)單行為。為模型λv的長(zhǎng)度閾值，一般取λv訓(xùn)練樣本平均長(zhǎng)度的1/2。

(3)使用forward算法對(duì)求對(duì)應(yīng)所有λ1到λt的概率，然后找出λv中最大的概率以及對(duì)應(yīng)的簡(jiǎn)單行為模型；如果則把作為的識(shí)別結(jié)果，否則認(rèn)為不是任何簡(jiǎn)單行為，舍棄這種無(wú)意義行為。

(4)以第1層的各個(gè)可能的終點(diǎn)t1作為起點(diǎn)取第2段計(jì)算并找出

(5)以此類推，類似步驟(4)逐層求出直到第l層的最大概率以及對(duì)應(yīng)的簡(jiǎn)單行為模型

(6)求累計(jì)對(duì)數(shù)概率:

其中，t0＝1；tl＝t。挑選合適的t1，t2…tl使累計(jì)對(duì)數(shù)概率最大，作為整條軌跡由l個(gè)簡(jiǎn)單行為組成的對(duì)數(shù)概率。然后通過(guò)行為語(yǔ)法驗(yàn)證如果不符合邏輯就重新挑選t1，t2…tl使式1取次大值，重復(fù)驗(yàn)證直到符合邏輯為止。

(7)令l＝l+1，重復(fù)步驟(1)～步驟(6)直到l＝lmax，選擇累計(jì)對(duì)數(shù)概率中最大的層數(shù)的對(duì)數(shù)概率值作為對(duì)數(shù)概率范圍的最大值，由此確定所述對(duì)數(shù)概率范圍。

需要說(shuō)明的是，本實(shí)施例中獲得所述當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率時(shí)，可以通過(guò)上述算法獲得，此處不再詳述。

特征分析單元804，用于基于預(yù)設(shè)的特征庫(kù)中的目標(biāo)行為特征，對(duì)所述當(dāng)前行為特征進(jìn)行分析，得到分析結(jié)果。

其中，所述目標(biāo)行為特征為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)獲得，所述分析結(jié)果表征所述目標(biāo)用戶的操作行為狀態(tài)。

其中，所述目標(biāo)行為特征為基于所述目標(biāo)用戶的歷史日志數(shù)據(jù)獲得，也就是說(shuō)，本實(shí)施例中以所述目標(biāo)用戶操作行為正常的歷史日志數(shù)據(jù)作為標(biāo)準(zhǔn)，對(duì)其當(dāng)前的操作行為進(jìn)行異常判定分析，進(jìn)而得到表征所述目標(biāo)用戶的操作行為狀態(tài)的分析結(jié)果。具體的，在所述當(dāng)前行為特征與預(yù)設(shè)的目標(biāo)行為特征相匹配時(shí)，所述分析結(jié)果表征所述目標(biāo)用戶當(dāng)前的操作行為正常，否則，所述分析結(jié)果表征所述目標(biāo)用戶當(dāng)前的操作行為異常。

由上述方案可知，本發(fā)明實(shí)施例五提供的一種用戶操作行為的判定系統(tǒng)，在采集到目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)之后，獲得該當(dāng)前日志數(shù)據(jù)對(duì)應(yīng)的對(duì)數(shù)概率，并利用基于該目標(biāo)用戶的歷史日志數(shù)據(jù)利用馬爾科夫模型所計(jì)算得到的對(duì)數(shù)概率范圍，來(lái)判定該當(dāng)前日志數(shù)據(jù)是否為有效的操作行為的日志數(shù)據(jù)，只有在該當(dāng)前日志數(shù)據(jù)的對(duì)數(shù)概率處于計(jì)算得到的對(duì)數(shù)概率范圍內(nèi)時(shí)才表明該當(dāng)前日志數(shù)據(jù)為目標(biāo)用戶進(jìn)行有效的操作行為的日志數(shù)據(jù)，此時(shí)，提取該當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征，進(jìn)而基于特征庫(kù)中的目標(biāo)行為特征來(lái)對(duì)當(dāng)前行為特征進(jìn)行分析，進(jìn)而得到表征目標(biāo)用戶操作行為狀態(tài)是否正常的分析結(jié)果，從而實(shí)現(xiàn)對(duì)用戶的操作行為進(jìn)行有效的異常判定，實(shí)現(xiàn)本實(shí)施例目的。

參考圖9，為本發(fā)明實(shí)施例六提供的一種用戶操作行為的判定系統(tǒng)中所述特征提取單元803的結(jié)構(gòu)示意圖，其中，所述特征提取單元803可以包括以下結(jié)構(gòu)：

量化值生成子單元831，用于生成所述當(dāng)前日志數(shù)據(jù)基于其時(shí)間軸的量化值。

量化指標(biāo)獲得子單元832，用于基于所述量化值，獲得所述目標(biāo)用戶的行為規(guī)則量化指標(biāo)。

特征量化子單元833，用于利用所述行為規(guī)則量化指標(biāo)，對(duì)所述當(dāng)前日志數(shù)據(jù)進(jìn)行特征量化，以得到所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

具體的，本實(shí)施例中可以通過(guò)所述當(dāng)前日志數(shù)據(jù)產(chǎn)生基于其時(shí)間軸這些量化的觀察值，即量化值，再通過(guò)所述量化值來(lái)產(chǎn)生所述目標(biāo)用戶的行為規(guī)則量化指標(biāo)，進(jìn)而生成概率矩陣，以得到真正的狀態(tài)序列，這個(gè)狀態(tài)序列即是該目標(biāo)用戶的行為規(guī)則量化特征，即所述目標(biāo)用戶的當(dāng)前行為特征。在這一過(guò)程中，其量化計(jì)算過(guò)程為：設(shè)t＝0(事實(shí)上t的首項(xiàng)應(yīng)該為1，但是考慮到編程的方便這里就設(shè)首項(xiàng)為0)即alpha(i，t)＝pi(i)*q(i，t)。alpha(i，t)指t時(shí)刻狀態(tài)為si的概率(下面同義)，pi(i)為狀態(tài)si的初始概率，q(i，t)：指的是t時(shí)刻觀測(cè)值vt由狀態(tài)si生成的概率；在t>0而且在t<＝n時(shí)，即alpha(t,i)＝sum[alpha(j,t-1)*p(j,i)*q(i,t)]，p(j,i)指由狀態(tài)sj轉(zhuǎn)移到si的概率；即將所算的所有狀態(tài)si的結(jié)果再求和，得到規(guī)則的狀態(tài)概率，即為得到的所述當(dāng)前日志數(shù)據(jù)中的當(dāng)前行為特征。

參考圖10，為本發(fā)明實(shí)施例七提供的一種用戶操作行為的判定系統(tǒng)中所述特征分析單元804的結(jié)構(gòu)示意圖，其中，所述特征分析單元804可以包括以下結(jié)構(gòu)：

范圍確定子單元841，用于確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍。

具體的，所述目標(biāo)行為特征可以包括兩種特征：目標(biāo)操作軌跡特征，如ip的跳轉(zhuǎn)和操作的設(shè)備范圍，以及目標(biāo)操作指令特征，如用戶的操作指令和指令的執(zhí)行閾值范圍等，由此，本實(shí)施例中基于這些目標(biāo)行為特征中的兩種特征及特征屬性，確定所述目標(biāo)行為特征對(duì)應(yīng)的特征閾值范圍，如ip跳轉(zhuǎn)匹配率范圍、指令匹配率范圍及指令執(zhí)行閾值范圍匹配率范圍等。

概率值獲得子單元842，用于獲得所述當(dāng)前行為特征的狀態(tài)概率值。

其中，所述當(dāng)前行為特征的狀態(tài)概率值的獲取可以參考前述實(shí)施例中對(duì)所述當(dāng)前行為特征的提取過(guò)程中獲得其狀態(tài)概率的實(shí)現(xiàn)方案。

概率值判斷子單元843，用于判定所述當(dāng)前行為特征的狀態(tài)概率值是否處于該特征閾值范圍內(nèi)，得到分析結(jié)果。

其中，在具體實(shí)現(xiàn)中，所述當(dāng)前行為特征至少包括：操作軌跡特征及操作指令特征。也就是說(shuō)，本實(shí)施例中，所述目標(biāo)用戶行為的規(guī)則可以分為兩個(gè)維度來(lái)描述：一個(gè)是目標(biāo)用戶的運(yùn)動(dòng)軌跡，即ip的跳轉(zhuǎn)和操作的設(shè)備范圍，另一個(gè)為目標(biāo)用戶的操作指令和和指令的執(zhí)行閾值范圍。因此本實(shí)施例中可以量化這種維度的格式為：

{用戶名：“張三”，用戶uuid：“f906e67b-678d-402a-8b3d-0126051688ee

”，范圍密度：[3，{192.168.100.120，192.168.100.20，192.168.100.22}]，

相應(yīng)的，指令閾值密度：[{192.168.100.120，[adoptsettlecommission：10，simpukqry：21]}，{192.168.100.20，[.....]}，{192.168.100.22,[.....]}]}。

由此，本實(shí)施例中通過(guò)可以通過(guò)所述當(dāng)前日志數(shù)據(jù)得到目標(biāo)用戶的當(dāng)前行為特征如操作軌跡特征和操作指令特征等之后，獲得在得到這些當(dāng)前行為特征過(guò)程中所產(chǎn)生的相應(yīng)的狀態(tài)概率值，同時(shí)確定特征庫(kù)中相應(yīng)特征的特征閾值范圍，進(jìn)而判定這些狀態(tài)概率值是否在對(duì)應(yīng)的特征閾值范圍內(nèi)，由此來(lái)得到分析結(jié)果，表征所述目標(biāo)用戶的操作行為是否出現(xiàn)異常狀態(tài)。

參考圖11，為本發(fā)明實(shí)施例八提供的一種用戶操作行為的判定系統(tǒng)的結(jié)構(gòu)示意圖，其中，所述數(shù)據(jù)采集單元801可以通過(guò)以下結(jié)構(gòu)實(shí)現(xiàn)：

原始數(shù)據(jù)采集子單元811，用于依據(jù)預(yù)設(shè)的關(guān)鍵字段對(duì)所述目標(biāo)用戶進(jìn)行數(shù)據(jù)采集，以得到所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)。

在具體實(shí)現(xiàn)中，所述目標(biāo)用戶的當(dāng)前日志數(shù)據(jù)需要包含以下關(guān)鍵字段或?qū)傩?，如?中所示。由此，本實(shí)施例中基于這些需要支持按照指定的關(guān)鍵字段對(duì)原始日志數(shù)據(jù)進(jìn)行采集，這里采集的關(guān)鍵字段包括但不局限于：源ip地址、源端口、目的ip地址、目的端口、操作時(shí)間、操作內(nèi)容等信息。并且應(yīng)支持： 源端口、目標(biāo)端口、url地址、get參數(shù)、post參數(shù)、cookie參數(shù)、域名、referer、用戶瀏覽器(user-agent)、x-forward-for、響應(yīng)消息類型(content-type)、響應(yīng)消息體(應(yīng)答頁(yè)面)等業(yè)務(wù)操作特征日志數(shù)據(jù)。

其中，在采集過(guò)程中，采集的方式有主動(dòng)采集和被動(dòng)采集方式，主動(dòng)采集：通過(guò)jdbc接口，通過(guò)輪詢的方式在用戶的應(yīng)用日志系統(tǒng)中將業(yè)務(wù)操作日志進(jìn)行全量采集；被動(dòng)采集：通過(guò)syslog方式偵聽(tīng)操作系統(tǒng)發(fā)送過(guò)來(lái)的系統(tǒng)用戶登錄日志等。完成后進(jìn)行字段補(bǔ)齊和用戶“會(huì)話”合并，用戶“會(huì)話”合并即：用戶一次登錄到退出過(guò)程中全部的操作記錄集合。具體的采集過(guò)程可以參考圖5中所示。最后將合并好的數(shù)據(jù)以用戶名稱+用戶uuid作為key，通過(guò)solr對(duì)操作進(jìn)行分詞后以文件形式保存，這樣的目的便于對(duì)操作指令進(jìn)行快速的查詢，同時(shí)以用戶為維度產(chǎn)生其行為規(guī)則和模式，即該用戶的當(dāng)前行為特征。本實(shí)施例中隨著規(guī)則每隔相應(yīng)的時(shí)間段如每月實(shí)際新的數(shù)據(jù)產(chǎn)生，具有自動(dòng)更新修正規(guī)則庫(kù)(特征庫(kù))的能力，理論上講，歷史日志數(shù)據(jù)越長(zhǎng)久，狀態(tài)劃分越多，判定精度越高；并通過(guò)日志數(shù)據(jù)建立規(guī)則庫(kù)，再通過(guò)規(guī)則庫(kù)分析日志數(shù)據(jù)，這樣完成了一個(gè)數(shù)據(jù)驅(qū)動(dòng)分析的過(guò)程，同時(shí)利用了大數(shù)據(jù)平臺(tái)存儲(chǔ)日志文件，采用solr進(jìn)行操作日志分詞索引存儲(chǔ)，為統(tǒng)計(jì)分析算法提供了快速的查詢計(jì)算基礎(chǔ)，能快速得到用戶的規(guī)則庫(kù)，即特征庫(kù)。

本實(shí)施例方法所述的功能如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算設(shè)備可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解，本申請(qǐng)實(shí)施例對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái)，該軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算設(shè)備(可以是個(gè)人計(jì)算機(jī)，服務(wù)器，移動(dòng)計(jì)算設(shè)備或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤(pán)、移動(dòng)硬盤(pán)、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。

本說(shuō)明書(shū)中各個(gè)實(shí)施例采用遞進(jìn)的方式描述，每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其它實(shí)施例的不同之處，各個(gè)實(shí)施例之間相同或相似部分互相參見(jiàn)即可。

對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明，使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本申請(qǐng)。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的，本文中所定義的一般原理可以在不脫離本申請(qǐng)的精神或范圍的情況下，在其它實(shí)施例中實(shí)現(xiàn)。因此，本申請(qǐng)將不會(huì)被限制于本文所示的這些實(shí)施例，而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。