本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤其涉及一種云服務(wù)器的自動化監(jiān)控方法和系統(tǒng)。

背景技術(shù)：

目前的云計算產(chǎn)品系列眾多，為了了解并提高云計算服務(wù)的性能，需要對云計算服務(wù)進行監(jiān)控。由于云計算服務(wù)本身的特點，現(xiàn)有技術(shù)中云服務(wù)監(jiān)控更多的是依賴云服務(wù)提供商的規(guī)則庫結(jié)合用戶自定義規(guī)則進行服務(wù)監(jiān)控。

現(xiàn)有技術(shù)中，通常利用經(jīng)驗規(guī)則建立規(guī)則庫，并結(jié)合用戶自定義的規(guī)則，通過監(jiān)控判斷云服務(wù)是否有異常，并將異常行為上報給開發(fā)商，開發(fā)商指的是注冊云服務(wù)器的用戶。這種傳統(tǒng)的方式更多的依賴人工規(guī)則，靈活性較差，只能發(fā)現(xiàn)一些淺層規(guī)則，云服務(wù)監(jiān)控的漏報率較高。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種云服務(wù)的自動化監(jiān)控方法和系統(tǒng)，用于通過自動化的運營機制，提高云服務(wù)監(jiān)控的準確率，同時降低云服務(wù)監(jiān)控的漏報率。

為解決上述技術(shù)問題，本發(fā)明實施例提供以下技術(shù)方案：

第一方面，本發(fā)明實施例提供一種云服務(wù)的自動化監(jiān)控方法，包括：

獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，所述云服務(wù)樣本數(shù)據(jù)包括：云應(yīng)用程序編程接口api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；

將監(jiān)控到的云api訪問行為輸入到所述云服務(wù)監(jiān)控模型中，通過所述云服務(wù)監(jiān)控模型對所述監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；

獲取所述云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為所述云api訪問行為的安全性分析結(jié)果，并向所述云服務(wù)注冊用戶輸出所述安全性分析結(jié)果。

第二方面，本發(fā)明實施例還提供一種云服務(wù)的自動化監(jiān)控系統(tǒng)，包括：

模型獲取模塊，用于獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，所述云服務(wù)樣本數(shù)據(jù)包括：云應(yīng)用程序編程接口api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；

模型評估模塊，用于將監(jiān)控到的云api訪問行為輸入到所述云服務(wù)監(jiān)控模型中，通過所述云服務(wù)監(jiān)控模型對所述監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；

安全分析模塊，用于獲取所述云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為所述云api訪問行為的安全性分析結(jié)果，并向所述云服務(wù)注冊用戶輸出所述安全性分析結(jié)果。

本申請的第三方面，提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)中存儲有指令，當(dāng)其在計算機上運行時，使得計算機執(zhí)行上述各方面所述的方法。

從以上技術(shù)方案可以看出，本發(fā)明實施例具有以下優(yōu)點：

在本發(fā)明實施例中，首先獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；然后將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；最后獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果。本發(fā)明實施例中可以使用云服務(wù)樣本數(shù)據(jù)來訓(xùn)練得到云服務(wù)監(jiān)控模型，通過云服務(wù)監(jiān)控模型可以對云api訪問行為進行安全性風(fēng)險評估，從而向云服務(wù)注冊用戶輸出安全性分析結(jié)果。由于云服務(wù)監(jiān)控模型通過機器學(xué)習(xí)的方式可以發(fā)現(xiàn)一些深層次安全規(guī)則，不需要人工構(gòu)造規(guī)則庫，因此尅降低云服務(wù)監(jiān)控的漏報率，對云api訪問行為自動的做出安全風(fēng)險評估。

附圖說明

為了更清楚地說明本發(fā)明實施例中的技術(shù)方案，下面將對實施例描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領(lǐng)域的技術(shù)人員來講，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的一種云服務(wù)的自動化監(jiān)控方法的流程方框示意圖；

圖2為本發(fā)明實施例提供的云服務(wù)的自動化監(jiān)控系統(tǒng)與注冊用戶、訪問用戶之間的交互流程示意圖；

圖3-a為本發(fā)明實施例提供的云服務(wù)的自動化監(jiān)控方法的整體實現(xiàn)框架示意圖；

圖3-b為本發(fā)明實施例提供的特征提取的實現(xiàn)過程示意圖；

圖4-a為本發(fā)明實施例提供的一種云服務(wù)的自動化監(jiān)控系統(tǒng)的組成結(jié)構(gòu)示意圖；

圖4-b為本發(fā)明實施例提供的另一種云服務(wù)的自動化監(jiān)控系統(tǒng)的組成結(jié)構(gòu)示意圖；

圖4-c為本發(fā)明實施例提供的一種模型訓(xùn)練模塊的組成結(jié)構(gòu)示意圖；

圖4-d為本發(fā)明實施例提供的一種安全風(fēng)險分析模塊的組成結(jié)構(gòu)示意圖；

圖4-e為本發(fā)明實施例提供的另一種安全風(fēng)險分析模塊的組成結(jié)構(gòu)示意圖；

圖4-f為本發(fā)明實施例提供的另一種云服務(wù)的自動化監(jiān)控系統(tǒng)的組成結(jié)構(gòu)示意圖；

圖5為本發(fā)明實施例提供的云服務(wù)的自動化監(jiān)控方法應(yīng)用于服務(wù)器的組成結(jié)構(gòu)示意圖。

具體實施方式

本發(fā)明實施例提供了一種云服務(wù)的自動化監(jiān)控方法和系統(tǒng)，用于通過自動化的運營機制，提高云服務(wù)監(jiān)控的準確率，同時降低云服務(wù)監(jiān)控的漏報率。

為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點能夠更加的明顯和易懂，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，下面所描述的實施例僅僅是本發(fā)明一部分實施例，而非全部實施例?；诒景l(fā)明中的實施例，本領(lǐng)域的技術(shù)人員所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，以便包含一系列單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于那些單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它單元。

以下分別進行詳細說明。

本發(fā)明云服務(wù)的自動化監(jiān)控方法的一個實施例，具體可以應(yīng)用于云服務(wù)場景下，可以對云應(yīng)用程序編程接口(applicationprogramminginterface，api)訪問行為進行安全性風(fēng)險評估。其中，云服務(wù)是基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源。云api是云服務(wù)提供商預(yù)先定義的一些函數(shù)，目的是提供應(yīng)用程序與開發(fā)人員基于某軟件或硬件得以訪問一組例程的能力，而又無需訪問源碼，或理解內(nèi)部工作機制的細節(jié)。本發(fā)明實施例中云服務(wù)場景下的云api訪問行為可以進行自動化監(jiān)控。請參閱圖1所示，本發(fā)明一個實施例提供的云服務(wù)的自動化監(jiān)控方法，請參閱圖2所示，為本發(fā)明實施例提供的云服務(wù)的自動化監(jiān)控系統(tǒng)與注冊用戶、訪問用戶之間的交互流程示意圖。該云服務(wù)的自動化監(jiān)控方法可以包括如下步驟：

101、獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)。

其中，首先獲取到可用于評估云api訪問行為是否具有安全性風(fēng)險的云服務(wù)監(jiān)控模型，本發(fā)明實施例采用邏輯回歸(英文全稱:logistregression，英文簡稱:lr)模型來預(yù)測云api訪問行為的安全性風(fēng)險，該邏輯回歸模型通過邏輯回歸算法使用云服務(wù)樣本數(shù)據(jù)進行訓(xùn)練得到，訓(xùn)練完成的邏輯回歸模型定義為本發(fā)明實施例中的云服務(wù)監(jiān)控模型。本發(fā)明實施例中云服務(wù)監(jiān)控模型通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到。其中，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)。其中，云api訪問日志是云服務(wù)訪問用戶訪問云服務(wù)注冊用戶時所產(chǎn)生的訪問日志，云服務(wù)注冊用戶是注冊到云服務(wù)的開發(fā)商，云服務(wù)訪問用戶是指使用云服務(wù)進行的普通用戶。用戶的信息數(shù)據(jù)是與具體用戶相關(guān)的數(shù)據(jù)，比如用戶標識(identifier，id)、用戶年齡等信息。通過云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)對邏輯回歸模型進行訓(xùn)練，從而輸出云服務(wù)監(jiān)控模型，該云服務(wù)器監(jiān)控模型通過機器學(xué)習(xí)的方式可以發(fā)現(xiàn)一些深層次安全規(guī)則，不需要用戶手動的設(shè)置規(guī)則庫，因此可以降低云服務(wù)監(jiān)控的漏報率。

在本發(fā)明的一些實施例中，步驟101獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型之前，本發(fā)明實施例提供的方法還包括：

a1、從云服務(wù)日志庫中提取多個云api訪問日志，以及從云服務(wù)提供商提供的用戶模型中獲取到云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；

a2、以多個云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)作為云服務(wù)樣本數(shù)據(jù)，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，輸出云服務(wù)監(jiān)控模型。

其中，云服務(wù)日志庫由云服務(wù)產(chǎn)生的大量云api訪問日志構(gòu)成，云服務(wù)會產(chǎn)生大量的云api訪問日志，這些日志內(nèi)容包括用戶、操作、資源及上下文等信息，用戶包括訪問用戶和注冊用戶(也稱為開發(fā)商)兩部分，訪問用戶可以用登陸ip或者第三方帳號id來描述，而開發(fā)商則用云服務(wù)的唯一id來描述。云api訪問日志中記錄有api訪問的操作，包括服務(wù)類型和具體的api函數(shù)。上下文包括訪問時間、登陸ip、密鑰證書有效期、是否mfa驗證等信息，資源是云服務(wù)的實體，如存儲資源、機器資源等。用戶模型是監(jiān)控服務(wù)引入的第三方數(shù)據(jù)，是云服務(wù)提供商長期運營積累的用戶畫像和安全相關(guān)的信息，用戶模型包括該用戶常用的登陸方式，用戶可信度及用戶的行為標簽等信息，用戶可以分為云服務(wù)注冊用戶和云服務(wù)訪問用戶兩種，用戶模型中分別記錄有云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)。

在獲取到多個云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)之后，就可以將獲取到的這些數(shù)據(jù)作為云服務(wù)訓(xùn)練樣本，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，輸出云服務(wù)監(jiān)控模型。進一步的，在本發(fā)明的一些實施例中，步驟a2以多個云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)作為云服務(wù)樣本數(shù)據(jù)，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，輸出云服務(wù)監(jiān)控模型，包括：

a21、從多個云api訪問日志中提取出第一用戶基礎(chǔ)特征和云api操作基礎(chǔ)特征；

a22、從云服務(wù)注冊用戶的信息數(shù)據(jù)中提取出云服務(wù)注冊用戶的第二用戶基礎(chǔ)特征，從云服務(wù)訪問用戶的信息數(shù)據(jù)中提取出云服務(wù)訪問用戶的第三用戶基礎(chǔ)特征；

a23、對第一戶基礎(chǔ)特征、云api操作基礎(chǔ)特征、第二用戶基礎(chǔ)特征、第三用戶基礎(chǔ)特征分別進行特征離散處理，得到多個單一特征，并基于用戶標識對多個單一特征進行組合，得到組合特征；

a24、根據(jù)云服務(wù)的歷史攻擊行為構(gòu)造正負樣本標簽，以及根據(jù)多個單一特征以及組合特征、正負樣本標簽，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，在得到最優(yōu)化參數(shù)時輸出云服務(wù)監(jiān)控模型。

其中，在云api訪問日志記錄有用戶的信息數(shù)據(jù)和云api操作，因此可以對多個云api訪問日志進行特征提取，得到第一用戶基礎(chǔ)特征和云api操作基礎(chǔ)特征，例如第一用戶基礎(chǔ)特征和云api操作基礎(chǔ)特征可以包括：用戶id、時間、ip、操作、資源、上下文等基礎(chǔ)特征。在步驟a22中，基于用戶的信息數(shù)據(jù)還可以提取用戶相關(guān)特征，包括用戶類型、常見登陸方式和登陸信息、可信度以及一些行為標簽等，將從云服務(wù)注冊用戶的信息數(shù)據(jù)中提取出的特征定義為第二用戶基礎(chǔ)特征，將從云服務(wù)訪問用戶的信息數(shù)據(jù)中提取出的特征定義為第三用戶基礎(chǔ)特征。對基于云api訪問日志生成的特征，以及基于用戶信息生成的特征，通過用戶id進行關(guān)聯(lián)，生成組合特征，通過該組合特征可以降低了模型訓(xùn)練的復(fù)雜度，從而步驟a24執(zhí)行完成后就可以在得到最優(yōu)參數(shù)時輸出云服務(wù)監(jiān)控模型。

102、將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估。

在本發(fā)明實施例中，獲取到通過邏輯回歸算法從云服務(wù)器樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型之后，該云服務(wù)監(jiān)控模型可以用于云api訪問行為的安全性風(fēng)險預(yù)測，當(dāng)有云服務(wù)訪問用戶發(fā)起云api訪問行為時對該訪問行為進行監(jiān)控，將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估。通過云服務(wù)監(jiān)控中的特征數(shù)據(jù)可以對該云api訪問行為進行安全性風(fēng)險評估。其中，監(jiān)控到的云api訪問行為可以是一個云api訪問行為，也可以指的是多個云api訪問行為，此時可以通過云服務(wù)監(jiān)控模型對多個云api訪問行為進行安全性風(fēng)險評估。

103、獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果。

在本發(fā)明實施例中，通過步驟102云服務(wù)監(jiān)控模型對云api訪問行為進行安全風(fēng)險評估之后，可以云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果。例如，邏輯回歸模型評估后輸出的安全風(fēng)險值的取值區(qū)間為從0到1，每個云api訪問行為通過云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值按照從高到低進行排序，安全風(fēng)險值越高的云api訪問行為代表其存在的安全風(fēng)險越大。

在本發(fā)明的一些實施例中，步驟103獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，包括：

b1、根據(jù)云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值確定云api訪問行為是攻擊行為的概率值；

b2、判斷概率值是否超過安全概率閾值；

b3、若概率值高于安全概率閾值，確定云api訪問行為是高風(fēng)險操作。

其中，對于單個的云api訪問行為，通過云服務(wù)監(jiān)控模型評估后輸出安全風(fēng)險值，可獲得該云api訪問行為的概率值，例如(0～1)之間一個概率值，并設(shè)定安全概率閾值，概率高于該閾值的云api訪問行為，認為是高風(fēng)險操作。

進一步的，在前述執(zhí)行步驟b1至步驟b3的實現(xiàn)場景下，步驟103中的向云服務(wù)注冊用戶輸出安全性分析結(jié)果，包括：

b4、當(dāng)云api訪問行為是高風(fēng)險操作時，向云服務(wù)注冊用戶發(fā)出實時告警。

其中，云服務(wù)注冊用戶是注冊到云服務(wù)的開發(fā)商，通過步驟b3確定單個云api訪問行為是高風(fēng)險操作時，可以發(fā)出實時告警，對于高優(yōu)先級的重大安全問題，開發(fā)商在收到實時告警后可以及時跟進處理，例如告警的方式可以安全通知，或者提醒等。

在本發(fā)明的一些實施例中，除了執(zhí)行前述的實施例中的步驟之外，本發(fā)明實施例提供的方法還可以包括如下步驟：

c1、按照云服務(wù)注冊用戶、云服務(wù)訪問用戶分別統(tǒng)計在一段時間內(nèi)高風(fēng)險操作的比例，若高風(fēng)險操作的比例超過安全比例閾值，向云服務(wù)注冊用戶發(fā)出實時告警；或，

c2、按照云服務(wù)注冊用戶、云服務(wù)訪問用戶分別統(tǒng)計在一段時間內(nèi)可疑的安全風(fēng)險，以安全報告形式定期輸出給云服務(wù)注冊用戶，供云服務(wù)注冊用戶分析確認。

其中，使用云服務(wù)監(jiān)控模型，可以對一些新的云api訪問行為，實時分析該行為屬于攻擊行為的概率，并通過用戶維度和開發(fā)商維度統(tǒng)計高概率攻擊行為的比例，對于高可疑攻擊行為相關(guān)的數(shù)據(jù)反饋給開發(fā)商。本發(fā)明實施例中通過對高風(fēng)險操作的評估，在輸出時可以有多種方式，例如最近一段時間(以分鐘為時間單位)的高風(fēng)險操作比例超過一定閾值，則觸發(fā)實時告警，還可以定期輸出安全性報告，包括可疑的高風(fēng)險操作集合及分布情況。

在本發(fā)明的一些實施例中，步驟103獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果之后，本發(fā)明實施例提供的方法還包括：

d1、接收云服務(wù)注冊用戶發(fā)送的安全風(fēng)險，以及接收云服務(wù)提供商提供的安全風(fēng)險；

d2、根據(jù)接收到的安全風(fēng)險構(gòu)造模型訓(xùn)練的負樣本，并根據(jù)構(gòu)造出的負樣本對云服務(wù)監(jiān)控模型進行優(yōu)化。

其中，云服務(wù)注冊用戶可以根據(jù)本發(fā)明實施例中反饋的安全風(fēng)險進行安全性確認，并反過來優(yōu)化云服務(wù)監(jiān)控模型，模型訓(xùn)練的負樣本包括歷史積累的有安全風(fēng)險的樣本，以及用戶提交的有安全風(fēng)險的樣本，樣本和模型都需要持續(xù)更新和優(yōu)化。通過機器學(xué)習(xí)方式去發(fā)現(xiàn)一些深層次安全規(guī)則，降低云服務(wù)監(jiān)控的漏報率。

通過以上實施例對本發(fā)明實施例的描述可知，首先獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；然后將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；最后獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果。本發(fā)明實施例中可以使用云服務(wù)樣本數(shù)據(jù)來訓(xùn)練得到云服務(wù)監(jiān)控模型，通過云服務(wù)監(jiān)控模型可以對云api訪問行為進行安全性風(fēng)險評估，從而向云服務(wù)注冊用戶輸出安全性分析結(jié)果。由于云服務(wù)監(jiān)控模型通過機器學(xué)習(xí)的方式可以發(fā)現(xiàn)一些深層次安全規(guī)則，不需要人工構(gòu)造規(guī)則庫，因此尅降低云服務(wù)監(jiān)控的漏報率，對云api訪問行為自動的做出安全風(fēng)險評估。

為便于更好的理解和實施本發(fā)明實施例的上述方案，下面舉例相應(yīng)的應(yīng)用場景來進行具體說明。

如圖3-a所示，為本發(fā)明實施例提供的云服務(wù)的自動化監(jiān)控方法的整體實現(xiàn)框架示意圖。本發(fā)明實施例中通過從云服務(wù)提供商持續(xù)運營積累的云api訪問日志以及用戶信息數(shù)據(jù)中，提取和云服務(wù)安全相關(guān)的特征，根據(jù)歷史安全行為進行標注，并基于邏輯回歸模型進行訓(xùn)練，生成云服務(wù)監(jiān)控模型，給云服務(wù)開發(fā)商提供自動化的云服務(wù)監(jiān)控服務(wù)。本發(fā)明實施例中采用的是邏輯回歸算法，邏輯回歸算法是在線性回歸基礎(chǔ)上加了層邏輯函數(shù)，普遍應(yīng)用于互聯(lián)網(wǎng)的分類方法，適用于大量特征大量樣本的情況，處理效果會比svm、決策樹好很多。

本發(fā)明實施例中根據(jù)云api訪問日志以及結(jié)合用戶信息數(shù)據(jù)提取特征，通過邏輯回歸算法進行模型訓(xùn)練，創(chuàng)新點在于結(jié)合了用戶信息數(shù)據(jù)進行邏輯回歸模型的訓(xùn)練。本發(fā)明實施例中進一步的通過分析用戶的云api訪問日志，結(jié)合開發(fā)商以及用戶的信息數(shù)據(jù)，提取單一特征和組合特征，其中組合特征就是單一特征組合起來的，比如a、b是單一特征，a、b的組合可以當(dāng)成一個組合特征，從而提高模型的泛化能力。本發(fā)明實施例中利用歷史上的攻擊行為(通過云服務(wù)的歷史運營數(shù)據(jù)積累)作為標注數(shù)據(jù)，構(gòu)造正樣本和負樣本，通過邏輯回歸的方法訓(xùn)練模型；利用訓(xùn)練模型，對一些新的云api訪問行為，實時分析該行為屬于攻擊行為的概率，并通過用戶維度和開發(fā)商維度統(tǒng)計高概率攻擊行為的比例，對于高可疑攻擊行為相關(guān)的數(shù)據(jù)通過云服務(wù)監(jiān)控系統(tǒng)反饋給開發(fā)商。開發(fā)商或者云服務(wù)提供商可以根據(jù)監(jiān)控系統(tǒng)反饋進行安全性確認，并反過來優(yōu)化反饋模型。該方案更多的靠機器學(xué)習(xí)方式去發(fā)現(xiàn)一些深層次安全規(guī)則，降低云服務(wù)監(jiān)控的漏報率。

云服務(wù)產(chǎn)品給開發(fā)商提供自動化監(jiān)控系統(tǒng)服務(wù)，開發(fā)商開啟該服務(wù)之后，可以定期收到云服務(wù)推送的安全報告，以及高優(yōu)先級的重大安全告警。對于高優(yōu)先級的重大安全問題，開發(fā)商在收到實時告警后可以及時跟進處理，對于潛在的或者可疑的安全風(fēng)險，云服務(wù)提供商會以安全報告形式定期輸出給開發(fā)商，供開發(fā)商分析確認。云服務(wù)的自動化監(jiān)控系統(tǒng)還會實時收集開發(fā)商確認的安全風(fēng)險以及開發(fā)商自主上報的安全風(fēng)險進行模型優(yōu)化。是用開發(fā)商提供的安全風(fēng)險作為樣本，來訓(xùn)練邏輯回歸模型。

在圖3-a中，要完成基于邏輯回歸的自動化云服務(wù)監(jiān)控，需要對云api訪問日志進行持續(xù)積累和標注，在此基礎(chǔ)上，結(jié)合云服務(wù)獲取的開發(fā)商的信息數(shù)據(jù)(profile)和訪問用戶的信息數(shù)據(jù)并進行特征提取和建模，以及持續(xù)優(yōu)化，在圖3-a所示的整體框架中，整個系統(tǒng)包括數(shù)據(jù)收集模塊、特征提取模塊、基于邏輯回歸的安全模型訓(xùn)練模塊和行為分析模塊四部分。

首先對數(shù)據(jù)收集模塊進行說明，數(shù)據(jù)收集需要包括兩部分數(shù)據(jù)，一部分是云api訪問日志，另外一部分是由云服務(wù)長期運營積累的用戶profile數(shù)據(jù)。用戶profile數(shù)據(jù)包括了開發(fā)商profile和普通用戶profile。云api訪問日志中包括了用戶信息，用于后續(xù)特征提取時把兩部分數(shù)據(jù)結(jié)合起來。

數(shù)據(jù)收集模塊可以收集云服務(wù)會產(chǎn)生大量的云api訪問日志，這些日志內(nèi)容包括用戶、操作、資源及上下文等信息，用戶包括訪問者和開發(fā)商兩部分，訪問者可以用登陸ip或者第三方帳號id來描述，而開發(fā)商則用云服務(wù)的唯一id來描述。操作即具體的云api，包括服務(wù)類型和具體的api函數(shù)。上下文包括訪問時間、登陸ip、密鑰證書有效期、是否mfa驗證等信息。資源是云服務(wù)的實體，如內(nèi)容分發(fā)網(wǎng)絡(luò)(contentdeliverynetwork，cdn)資源、存儲資源、機器資源等。

數(shù)據(jù)收集模塊還可以收集從用戶模型收集用戶信息數(shù)據(jù)，用戶模型是監(jiān)控服務(wù)引入的第三方數(shù)據(jù)。是云服務(wù)提供商長期運營積累的用戶畫像和安全相關(guān)的信息，可以和云api中的用戶相關(guān)聯(lián)。用戶模型包括該用戶常用的登陸方式，用戶可信度及用戶的行為標簽等信息。

下面是云api訪問日志的具體形式概述。

下面是用戶的具體形式概述。

訪問用戶：

注冊用戶：

其次對特征提取模塊進行說明。通過用戶信息關(guān)聯(lián)云api訪問日志和用戶profile數(shù)據(jù)，并提取云api操作相關(guān)的特征、用戶模型中的特征以及用戶和云api的組合特征，進行特征離散化后，基于歷史標簽生成訓(xùn)練用數(shù)據(jù)，其中，歷史標簽就是樣本的目標值，是正樣本或者負樣本。

特征提取模塊執(zhí)行的特征提取過程，決定了整個模型訓(xùn)練的效果，如圖3-b所示，為本發(fā)明實施例提供的特征提取的實現(xiàn)過程示意圖。整個流程描述如下：

基于云api訪問日志，提取用戶相關(guān)特征以及操作相關(guān)特征，包括用戶id、時間、ip、操作、資源、上下文等基礎(chǔ)特征?；谟脩粜畔?shù)據(jù)，提取用戶相關(guān)特征，包括用戶類型、常見登陸方式和登陸信息、可信度以及一些行為標簽等?；谠芶pi訪問日志生成的特征，以及基于用戶信息數(shù)據(jù)生成的特征，通過用戶id進行關(guān)聯(lián)，生成組合特征。組合特征的好處是降低了模型訓(xùn)練的復(fù)雜度。

下表1是列出了基礎(chǔ)特征和組合特征的列表。

a.基于云api訪問日志的基礎(chǔ)特征

b.基于用戶信息數(shù)據(jù)的基礎(chǔ)特征

得到基礎(chǔ)特征之后，需要對基礎(chǔ)特征進行離散化處理，得到多個單一特征，所有上述特征，都需要進行離散化，離散化除了一些計算方面等等好處，還可以引入非線性特性，也可以很方便的做組合特征。組合特征通過開發(fā)商id和訪問用戶id，把兩類基礎(chǔ)特征進行兩兩關(guān)聯(lián)后，進行特征擴展，例如用戶類型+云apiid的組合構(gòu)成了一個特征等。組合特征可以豐富和約束基礎(chǔ)特征，同時可以提供模型訓(xùn)練的準確率。在完成組合特征生成后，結(jié)合之前的基礎(chǔ)特征，以及歷史積累的正負樣本標簽數(shù)據(jù)，即可以提供模型訓(xùn)練需要的樣本了。

接下來對安全模型訓(xùn)練模塊進行說明。會根據(jù)特征提取模塊輸出的離散化特征，以及正負樣本標簽，通過邏輯回歸模型進行訓(xùn)練，得到最優(yōu)化參數(shù)。

基于邏輯回歸的模型訓(xùn)練，會根據(jù)上述的單一特征和組合特征，不斷的訓(xùn)練特征關(guān)聯(lián)的特征參數(shù)，并得到參數(shù)的最優(yōu)解。模型訓(xùn)練的負樣本包括歷史積累的有安全風(fēng)險的樣本，以及用戶提交的有安全風(fēng)險的樣本。樣本和模型都需要持續(xù)更新和優(yōu)化。

最后對行為分析模塊進行說明。將云api操作的一些特征作為安全模型的輸入分析得到操作的安全性概率。并按開發(fā)商維度和普通用戶維度實時統(tǒng)計一定時間窗口的操作安全性比例，對于安全性比例較低的用戶，將實時告警，同時定期給開發(fā)商輸出安全報告。其中，安全性比例包括：開發(fā)商操作安全比例、用戶操作安全比例，操作安全性比例是指用戶的安全操作次數(shù)除以用戶訪問總次數(shù)。

行為分析模塊基于訓(xùn)練模型進行最終的安全性評估，單個云api操作，以及該云api關(guān)聯(lián)的開發(fā)商和普通用戶信息進行特征提取，通過基于邏輯回歸的安全模型，可獲得該云api操作的概率(0～1)，并設(shè)定安全概率閾值，概率高于該閾值的云api操作，認為是高風(fēng)險操作。按開發(fā)商維度和普通用戶維度，統(tǒng)計一定時間窗口的高風(fēng)險操作比例。決策輸出包括兩種：一種最近一段時間的高風(fēng)險操作比例超過一定閾值，則觸發(fā)實時告警。另一種是定期輸出安全性報告，包括可疑的高風(fēng)險操作集合及分布情況。

本發(fā)明實施例中能夠更好的挖掘云服務(wù)的風(fēng)險操作的特征。通過自動化的運營機制，提高云服務(wù)監(jiān)控的準確率，同時降低漏報率，對于高安全性風(fēng)險的操作，能夠進行實時告警。在本發(fā)明的一些實施例中，還可以結(jié)合在線機器學(xué)習(xí)(followtheregularizedleader，ftrl)的方式進行進一步的實時模型優(yōu)化，從而可以提高訓(xùn)練速度。具體做法就是ftrl針對近期的實時數(shù)據(jù)做訓(xùn)練，生成一個短時模型，而且模型更新時效性是實時的。邏輯回歸算法得到的是一個長時模型，通過ftrl模型和邏輯回歸模型兩個模型進行融合打分，最終決定用戶的云api訪問請求是否有安全風(fēng)險，通過兩個模型的組合評判，可以提高安全風(fēng)險預(yù)測的準確性。

需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者同時進行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。

為便于更好的實施本發(fā)明實施例的上述方案，下面還提供用于實施上述方案的相關(guān)裝置。

請參閱圖4-a所示，本發(fā)明實施例提供的一種云服務(wù)的自動化監(jiān)控系統(tǒng)400，可以包括：模型獲取模塊401、模型評估模塊402、安全分析模塊403，其中，

模型獲取模塊401，用于獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，所述云服務(wù)樣本數(shù)據(jù)包括：云應(yīng)用程序編程接口api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；

模型評估模塊402，用于將監(jiān)控到的云api訪問行為輸入到所述云服務(wù)監(jiān)控模型中，通過所述云服務(wù)監(jiān)控模型對所述監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；

安全分析模塊403，用于獲取所述云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為所述云api訪問行為的安全性分析結(jié)果，并向所述云服務(wù)注冊用戶輸出所述安全性分析結(jié)果。

在本發(fā)明的一些實施例中，請參閱圖4-b所示，所述云服務(wù)的自動化監(jiān)控系統(tǒng)400還包括：數(shù)據(jù)獲取模塊404和模型訓(xùn)練模塊405，其中，

所述數(shù)據(jù)獲取模塊404，用于所述模型獲取模塊401獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型之前，從云服務(wù)日志庫中提取多個云api訪問日志，以及從云服務(wù)提供商提供的用戶模型中獲取到所述云服務(wù)注冊用戶的信息數(shù)據(jù)和所述云服務(wù)訪問用戶的信息數(shù)據(jù)；

所述模型訓(xùn)練模塊405，用于以所述多個云api訪問日志、所述云服務(wù)注冊用戶的信息數(shù)據(jù)和所述云服務(wù)訪問用戶的信息數(shù)據(jù)作為云服務(wù)樣本數(shù)據(jù)，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，輸出云服務(wù)監(jiān)控模型。

在本發(fā)明的一些實施例中，請參閱圖4-c所示，所述模型訓(xùn)練模塊405，包括：

特征提取模塊4051，用于從所述多個云api訪問日志中提取出第一用戶基礎(chǔ)特征和云api操作基礎(chǔ)特征；從所述云服務(wù)注冊用戶的信息數(shù)據(jù)中提取出所述云服務(wù)注冊用戶的第二用戶基礎(chǔ)特征，從所述云服務(wù)訪問用戶的信息數(shù)據(jù)中提取出所述云服務(wù)訪問用戶的第三用戶基礎(chǔ)特征；

特征組合模塊4052，用于對所述第一戶基礎(chǔ)特征、所述云api操作基礎(chǔ)特征、所述第二用戶基礎(chǔ)特征、所述第三用戶基礎(chǔ)特征分別進行特征離散處理，得到多個單一特征，并基于用戶標識對所述多個單一特征進行組合，得到組合特征；

訓(xùn)練處理模塊4053，用于根據(jù)云服務(wù)的歷史攻擊行為構(gòu)造正負樣本標簽，以及根據(jù)所述多個單一特征以及所述組合特征、所述正負樣本標簽，通過邏輯回歸算法對邏輯回歸模型進行訓(xùn)練學(xué)習(xí)，在得到最優(yōu)化參數(shù)時輸出云服務(wù)監(jiān)控模型。

在本發(fā)明的一些實施例中，請參閱圖4-d所示，所述安全分析模塊403，包括：

概率計算模塊4031，用于根據(jù)所述云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值確定所述云api訪問行為是攻擊行為的概率值；

判斷模塊4032，用于判斷所述概率值是否超過安全概率閾值；

高風(fēng)險確定模塊4033，用于若所述概率值高于所述安全概率閾值，確定所述云api訪問行為是高風(fēng)險操作。

在本發(fā)明的一些實施例中，請參閱圖4-e所示，進一步的，相對于圖4-d所示，所述安全分析模塊403，還包括：

告警模塊4034，用于當(dāng)所述云api訪問行為是高風(fēng)險操作時，向所述云服務(wù)注冊用戶發(fā)出實時告警。

在本發(fā)明的一些實施例中，所述安全分析模塊403，還用于按照云服務(wù)注冊用戶、云服務(wù)訪問用戶分別統(tǒng)計在一段時間內(nèi)高風(fēng)險操作的比例，若所述高風(fēng)險操作的比例超過安全比例閾值，向所述云服務(wù)注冊用戶發(fā)出實時告警；或，按照云服務(wù)注冊用戶、云服務(wù)訪問用戶分別統(tǒng)計在一段時間內(nèi)可疑的安全風(fēng)險，以安全報告形式定期輸出給所述云服務(wù)注冊用戶，供所述云服務(wù)注冊用戶分析確認。

在本發(fā)明的一些實施例中，請參閱圖4-f所示，所述云服務(wù)的自動化監(jiān)控系統(tǒng)400還包括：模型優(yōu)化模塊406，用于所述安全分析模塊403獲取所述云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為所述云api訪問行為的安全性分析結(jié)果，并向所述云服務(wù)注冊用戶輸出所述安全性分析結(jié)果之后，接收所述云服務(wù)注冊用戶發(fā)送的安全風(fēng)險，以及接收云服務(wù)提供商提供的安全風(fēng)險；根據(jù)接收到的安全風(fēng)險構(gòu)造模型訓(xùn)練的負樣本，并根據(jù)構(gòu)造出的負樣本對所述云服務(wù)監(jiān)控模型進行優(yōu)化。

通過以上對本發(fā)明實施例的描述可知，首先獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；然后將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；最后獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果。本發(fā)明實施例中可以使用云服務(wù)樣本數(shù)據(jù)來訓(xùn)練得到云服務(wù)監(jiān)控模型，通過云服務(wù)監(jiān)控模型可以對云api訪問行為進行安全性風(fēng)險評估，從而向云服務(wù)注冊用戶輸出安全性分析結(jié)果。由于云服務(wù)監(jiān)控模型通過機器學(xué)習(xí)的方式可以發(fā)現(xiàn)一些深層次安全規(guī)則，不需要人工構(gòu)造規(guī)則庫，因此尅降低云服務(wù)監(jiān)控的漏報率，對云api訪問行為自動的做出安全風(fēng)險評估。

圖5是本發(fā)明實施例提供的一種服務(wù)器結(jié)構(gòu)示意圖，該服務(wù)器1100可因配置或性能不同而產(chǎn)生比較大的差異，可以包括一個或一個以上中央處理器(centralprocessingunits，cpu)1122(例如，一個或一個以上處理器)和存儲器1132，一個或一個以上存儲應(yīng)用程序1142或數(shù)據(jù)1144的存儲介質(zhì)1130(例如一個或一個以上海量存儲設(shè)備)。其中，存儲器1132和存儲介質(zhì)1130可以是短暫存儲或持久存儲。存儲在存儲介質(zhì)1130的程序可以包括一個或一個以上模塊(圖示沒標出)，每個模塊可以包括對服務(wù)器中的一系列指令操作。更進一步地，中央處理器1122可以設(shè)置為與存儲介質(zhì)1130通信，在服務(wù)器1100上執(zhí)行存儲介質(zhì)1130中的一系列指令操作。

服務(wù)器1100還可以包括一個或一個以上電源1126，一個或一個以上有線或無線網(wǎng)絡(luò)接口1150，一個或一個以上輸入輸出接口1158，和/或，一個或一個以上操作系統(tǒng)1141，例如windowsservertm，macosxtm，unixtm,linuxtm，freebsdtm等等。

上述實施例中服務(wù)器可以為前述的云服務(wù)的自動化監(jiān)控系統(tǒng)，由服務(wù)器所執(zhí)行的步驟可以基于該圖5所示的服務(wù)器結(jié)構(gòu)。

通過以上對本發(fā)明實施例的描述可知，首先獲取通過邏輯回歸算法從云服務(wù)樣本數(shù)據(jù)中學(xué)習(xí)得到的云服務(wù)監(jiān)控模型，云服務(wù)樣本數(shù)據(jù)包括：云api訪問日志、云服務(wù)注冊用戶的信息數(shù)據(jù)和云服務(wù)訪問用戶的信息數(shù)據(jù)；然后將監(jiān)控到的云api訪問行為輸入到云服務(wù)監(jiān)控模型中，通過云服務(wù)監(jiān)控模型對監(jiān)控到的云api訪問行為進行安全性風(fēng)險評估；最后獲取云服務(wù)監(jiān)控模型評估后輸出的安全風(fēng)險值作為云api訪問行為的安全性分析結(jié)果，并向云服務(wù)注冊用戶輸出安全性分析結(jié)果。本發(fā)明實施例中可以使用云服務(wù)樣本數(shù)據(jù)來訓(xùn)練得到云服務(wù)監(jiān)控模型，通過云服務(wù)監(jiān)控模型可以對云api訪問行為進行安全性風(fēng)險評估，從而向云服務(wù)注冊用戶輸出安全性分析結(jié)果。由于云服務(wù)監(jiān)控模型通過機器學(xué)習(xí)的方式可以發(fā)現(xiàn)一些深層次安全規(guī)則，不需要人工構(gòu)造規(guī)則庫，因此尅降低云服務(wù)監(jiān)控的漏報率，對云api訪問行為自動的做出安全風(fēng)險評估。

另外需說明的是，以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上。可以根據(jù)實際的需要選擇其中的部分或者全部模塊來實現(xiàn)本實施例方案的目的。另外，本發(fā)明提供的裝置實施例附圖中，模塊之間的連接關(guān)系表示它們之間具有通信連接，具體可以實現(xiàn)為一條或多條通信總線或信號線。本領(lǐng)域普通技術(shù)人員在不付出創(chuàng)造性勞動的情況下，即可以理解并實施。

通過以上的實施方式的描述，所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件的方式來實現(xiàn)，當(dāng)然也可以通過專用硬件包括專用集成電路、專用cpu、專用存儲器、專用元器件等來實現(xiàn)。一般情況下，凡由計算機程序完成的功能都可以很容易地用相應(yīng)的硬件來實現(xiàn)，而且，用來實現(xiàn)同一功能的具體硬件結(jié)構(gòu)也可以是多種多樣的，例如模擬電路、數(shù)字電路或?qū)Ｓ秒娐返?。但是，對本發(fā)明而言更多情況下軟件程序?qū)崿F(xiàn)是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中，如計算機的軟盤、u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述的方法。

綜上所述，以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照上述實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對上述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。