一种加密流量识别方法、装置及电子设备

技术领域

本公开涉及网络安全技术领域，特别是涉及一种加密流量识别方法、装置及电子设备。

背景技术

深度包检测技术(Deep Packet Inspection，DPI)设备能够提取流量中载荷的特征，并根据载荷的特征对流量进行分类，从而使得后续流量转发流程中根据流量类别的不同采取不同的处理方式，如丢弃该流量、将该流量转发至特定设备等。本文将对流量分类的过程称为识别。

但是，对于加密流量无法提取流量中的载荷特征，因此，相关技术中，为实现对加密流量的识别，DPI设备只能提取流量的其他特征。而为了提高识别的准确性，DPI设备需要提取较多的特征，甚至需要对加密流量进行二次处理，导致分类的效率较低。

发明内容

本公开实施例的目的在于提供一种加密流量识别方法、装置及电子设备，以实现提高加密流量的识别效率。具体技术方案如下：

在本公开的第一方面提供了一种加密流量识别方法，所述方法包括：

获取移动网深度包检测技术DPI设备采集的目标转发面信息和IP网络DPI设备采集的目标传输信息，其中，所述目标转发面信息用于表示目标加密流量在移动网中的路由，所述目标传输信息用于表示所述目标加密流量在IP网络中的传输状况；

根据所述目标转发面信息和所述目标传输信息，识别所述目标加密流量，得到第一识别结果。

在一种可能的实施例中，所述根据所述目标转发面信息和所述目标流传输信息，识别所述目标加密流量，得到第一识别结果，包括：

将所述目标转发面信息和所述目标传输信息输入至预设的流量识别模型，得到所述流量识别模型输出的第一识别结果；

其中，所述流量识别模型预先经过样本数据的训练，所述样本数据包括样本转发面信息、样本传输信息以及标注识别结果，所述样本转发面信息用于表示样本流量在移动网中的路由，所述样本传输信息用于表示所述样本流量在IP网络中的传输状况。

在一种可能的实施例中，还包括：

确定所述目标加密流量所属用户的用户信息；

根据所述用户信息和所述第一识别结果，识别所述目标加密流量，得到第二识别结果。

在一种可能的实施例中，所述确定所述目标加密流量所属用户的用户信息，包括：

获取所述移动网DPI设备采集的目标信令信息，其中，所述目标信令信息用于表示移动网中传输所述目标加密流量所使用的信令；

根据所述目标终端信息和所述目标转发面信息，确定所述目标流量所属用户的用户信息。

在一种可能的实施例中，所述目标信令信息包括以下信息中的一种或多种：终端标识信息、类型标识信息、切片标识信息；

其中，所述终端标识信息用于表示转发所述目标加密流量的终端，所述类型标识信息用于表示转发所述目标加密流量的终端的类型，所述切片标识信息用于表示所述目标加密流量中的切片。

在一种可能的实施例中，所述目标转发面信息包括以下信息中的一种或多种：所述目标加密流量的源地址、所述目标加密流量的源端口，所述目标加密流量的目的地址、所述目标加密流量的目的端口，所述目标流量的传输协议。

在一种可能的实施例中，所述目标传输信息包括以下信息中的一种或多种：所述目标加密数据流中各数据包的数据量、所述目标加密流量中各数据包的发送间隔。

在本公开的第二方面提供了一种加密流量识别装置，所述装置包括：

信息获取模块，用于获取移动网深度包检测技术DPI设备采集的目标转发面信息和IP网络DPI设备采集的目标传输信息，其中，所述目标转发面信息用于表示目标加密流量在移动网中的路由，所述目标传输信息用于表示所述目标加密流量在IP网络中的传输状况；

第一识别模块，用于根据所述目标转发面信息和所述目标传输信息，识别所述目标加密流量，得到第一识别结果。

在一种可能的实施例中，所述第一识别模块根据所述目标转发面信息和所述目标流传输信息，识别所述目标加密流量，得到第一识别结果，包括：

将所述目标转发面信息和所述目标传输信息输入至预设的流量识别模型，得到所述流量识别模型输出的第一识别结果；

其中，所述流量识别模型预先经过样本数据的训练，所述样本数据包括样本转发面信息、样本传输信息以及标注识别结果，所述样本转发面信息用于表示样本流量在移动网中的路由，所述样本传输信息用于表示所述样本流量在IP网络中的传输状况。

在一种可能的实施例中，所述装置还包括第二识别模块，用于确定所述目标加密流量所属用户的用户信息；

根据所述用户信息和所述第一识别结果，识别所述目标加密流量，得到第二识别结果。

在一种可能的实施例中，所述第二识别模块确定所述目标加密流量所属用户的用户信息，包括：

获取所述移动网DPI设备采集的目标信令信息，其中，所述目标信令信息用于表示移动网中传输所述目标加密流量所使用的信令；

根据所述目标终端信息和所述目标转发面信息，确定所述目标流量所属用户的用户信息。

在一种可能的实施例中，所述目标信令信息包括以下信息中的一种或多种：终端标识信息、类型标识信息、切片标识信息；

其中，所述终端标识信息用于表示转发所述目标加密流量的终端，所述类型标识信息用于表示转发所述目标加密流量的终端的类型，所述切片标识信息用于表示所述目标加密流量中的切片。

在一种可能的实施例中，所述目标转发面信息包括以下信息中的一种或多种：所述目标加密流量的源地址、所述目标加密流量的源端口，所述目标加密流量的目的地址、所述目标加密流量的目的端口，所述目标流量的传输协议。

在一种可能的实施例中，所述目标传输信息包括以下信息中的一种或多种：所述目标加密数据流中各数据包的数据量、所述目标加密流量中各数据包的发送间隔。

在本公开的第三方面提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述第一方面任一所述的方法步骤。

在本公开的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面任一所述的方法步骤。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的实施例。

图1为本公开提供的加密流量识别方法的一种流程示意图；

图2为本公开提供的加密流量识别方法的另一种流程示意图；

图3为本公开提供的加密流量识别所应用于的组网的架构示意图；

图4为本公开提供的加密流量识别方法的另一种流程示意图；

图5为本公开提供的加密流量识别装置的一种结构示意图；

图6为本公开提供的电子设备的一种结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员基于本公开所获得的所有其他实施例，都属于本公开保护的范围。

为了更清楚的对本公开提供的加密流量识别方法进行说明，下面将对本公开提供的加密流量识别方法的一种可能的应用场景进行示例性说明。可以理解的是，以下示例仅是本公开提供的加密流量识别方法的一种可能的应用场景，在其他可能的实施例中，本公开提供的加密流量识别方法也可以应用于其他可能的应用场景中，以下示例对此不作任何限制。

为了满足上网日志留存、业务感知等业务监测的需求、移动恶意程序检测、木马与僵尸网络监测、数据互联网数据中心(Internet Data Center，IDC)或互联网服务提供商(Internet Service Provider，ISP)信息安全管理需求，移动网络的运营商在移动核心网(下文称为移动网)全面部署了统一DPI系统。目前，DPI技术主要是基于流量中载荷的特征对流量进行识别，但是该方法仅适用于对明文流量进行分析。

随着大众的网络安全意识逐步提升，对于数据保护的意识日益强烈。据统计，超过50％以上的互联网流量被加密传输，且这一比例还在持续上升。传统基于载荷的特征对明文流量进行识别的方法无法适用于加密流量。相关技术中，往往采用机器学习对加密流量统计特征进行识别。

为了提高流量识别的准确率，识别时所依据的特征比较多，部分特征还涉及统计特性，需要对数据流进行二次处理，导致DPI设备的识别效率较低。

基于此，本公开提供了一种加密流量识别方法，如图1所示，包括：

S101，获取移动网DPI设备采集的目标转发面信息和IP网DPI设备采集的目标传输信息。

S102，根据目标转发面信息和目标传输信息，识别目标加密流量，得到第一识别结果。

选用本公开实施例可以结合移动网DPI设备采集到的目标转发面信息和IP网DPI设备采集到的目标传输信息对目标加密流量进行识别，由于同时融合了目标加密在移动网络中的特征和在IP网络中的特征，有效丰富了获取到的有关加密流量的信息，因此这些信息能够更好的表征目标加密流量，从而根据这些信息能够更为准确地识别目标加密流量。由于丰富了获取到的有关加密流量的信息，等效降低了每个DPI设备所需提取到的关于目标加密流量的信息，因此有效提高了加密流量的识别效率。

下面将分别对前述S101-S102进行说明：

其中，在S101中，转发面信息用于表示目标加密流量在移动网中的路由，根据目标加密流量在移动网中传输方式的不同，转发面信息可以是以不同的方式表示目标加密流量在移动网中的路由的，在一种可能的实施例中，转发面信息可以是以目标加密流量的五元组的形式表示的，即转发面信息包括目标加密流量的源地址、源端口、目的地址、目的端口、传输协议，例如，假设目标加密流量是从网络设备A发送至网络设备B，网络设备A的地址为AddA，网络设备A的端口为PortA，网络设备B的地址为AddB，网络设备B的端口为PortB，且传输目标加密流量所使用的协议为协议一，则转发面信息为{AddA，PortA，AddB，PortB，协议一}，在其他可能的实施例中，转发面信息也可以包括五元组中的部分信息，例如仅包括源地址、源端口、目的地址、目的端口、传输协议中的任意一项、两项、三项或四项。并且在另一种可能的实施例中，转发信息也可以是以传输目标加密流量所使用的隧道的隧道入口、隧道出口的形式表示。

目标传输信息用于表示目标加密流量在IP网络中的传输状况，例如，目标传输信息可以包括以下信息中的一种或多种：目标加密数据流中各数据包的数据量、目标加密流量中各数据包的发送间隔。

即，目标传输信息可以为{各数据包的数据量}，也可以为{各数据包的发送间隔}，还可以为{各数据的数据量，各数据包的发送间隔}。发送间隔是指时域上相邻的两个数据包的发送时间之间的间隔。各数据包的数据量可以是指各数据包的数据量的分布，也可以是指各数据包的数据量的统计值，示例性的，假设一共有三个数据包，三个数据包的数据量分别为1个单位、2个单位以及3个单位，且统计值为平均值，则各数据包的数据量可以是指{1个单位、2个单位、3个单位}，也可以是指{2个单位}。并且，统计值也可以是平均值以外的经过对各数据包的数据量进行统计得到的其他值，包括但不限于最小值、最大值、中位数等。

其中，目标加密数据流中各数据包可以是指目标加密数据流中的所有数据包，也可以是指目标加密流量中部分数据包，示例性的，目标加密流量中各数据包可以是指目标加密流量中的前预设数目个流量包，预设数目可以是根据实际需求预先设置的，也可以是本公开提供的加密流量识别方法的执行主体按照预设规则计算得到的，本公开对此不作任何限制。

在S102中，第一识别结果用于表示目标加密流量的类别，根据应用场景的不同，类别的划分方式可以不同。示例性的，在一些应用场景中，为避免恶意攻击需要区别正常了流量和恶意攻击流量，以对恶意攻击流量进行丢弃，因此在该应用场景中，流量的类别包括：正常流量、恶意攻击流量。在该应用场景中，第一识别结果用于表示目标加密流量是否为恶意攻击流量。在另一些应用场景中，为保证重要业务稳定运行，需要区别重要业务和普通业务，以对重要业务进行优先转发，因此在该应用场景中，流量的类别包括：重要业务的流量、普通业务的流量。在该应用场景中，第一识别结果用于表示目标加密流量是否为重要业务的流量。

识别目标加密流量的方式根据应用场景的不同也可以不同，在一种可能的实施例中，可以是根据预先设置的转发面信息、传输信息与识别结果之间的对应关系，确定目标转发面信息和目标传输信息对应的识别结果，作为第一识别结果。

在另一种可能的实施例中，也可以是基于机器学习训练得到的流量识别模型对目标加密流量进行识别。示例性的，将目标转发面信息和目标传输信息输入至预设的流量识别模型，得到流量识别模型输出的第一识别结果。本公开中的流量识别模型可以是指基于传统机器学习训练得到的算法模型，也可以是指基于深度学习训练得到的神经网络模型，本公开对此不作任何限制。

本公开中的流量识别模型预先经过样本数据的训练，样本数据包括样本转发面信息、样本传输面信息以及标注识别结果，样本转发面信息用于表示样本流量在移动网中的路由，样本传输信息用于表示样本流量在IP网络中的传输状况。

样本转发面信息表示路由的方式与目标转发面信息相同，可以参见前述S101中关于目标转发面信息的相关说明，在此不再赘述。样本传输信息表示传输状况的方式与目标传输信息相同，可以参见前述S101中关于目标传输信息的相关说明，在此不再赘述。

标注识别结果为经过标注得到的样本流量的识别结果，样本流量可以是加密流量，也可以是明文流量，本公开对此不作任何限制。

可以理解的是，由于流量识别模型预先经过样本数据的训练，而样本数据中包括样本转发面信息、样本传输信息以及标注识别结果，因此在训练过程中，流量识别模型能够学习到转发面信息、传输信息和识别结果之间的对应关系，从而根据学习得到的对应关系，将输入至流量识别模型的目标转发面信息和目标传输信息映射为第一识别结果，并输出第一识别结果。

为了更清楚地对本公开提供的加密流量识别方法进行说明，下面将结合具体的应用场景进行示例性说明，参见图3，图3所示为本公开提供的组网结构示意图，包括：

IP网、移动网、分流节点、移动网DPI设备、控制器以及加密流量分析控制平台。

其中，IP网中包括IP网DPI设备，IP网DPI设备对于明文流量，按照预设识别方式对明文流量进行识别，对于加密流量，IP网DPI设备通过遥感(telemetry)采集加密流量的传输信息，作为目标传输信息发送至加密流量分析控制平台。并且IP网DPI设备可以确定提取到的传输信息所对应的流量处理策略，并按照所确定的流量处理策略对加密流量进行处理。

移动网中包括PCF、UDM/HSS、UPF/GW-U、SMF/GW-C和AMF，PCF、UDM/HSS、UPF/GW-U、SMF/GW-C和AMF是移动网中不同的网元结构。

分流节点，用于基于移动网的网络层信息按照预设规则将移动网中的流量复制至移动网DPI设备。移动网DPI设备，用于提取加密流量的转发面信息，作为目标转发面信息发送至加密流量分析控制平台。

控制器，用于在加密流量分析控制平台的控制下，驱动IP网DPI设备采集目标传输信息。

加密流量分析控制平台，用于基于移动网DPI设备发送的目标转发面信息以及IP网DPI设备发送的目标传输信息，按照本公开提供的任一加密流量识别方法对加密流量进行识别。

在一种可能的实施例中，为进一步提高流量识别准确性，本公开提供的加密流量识别方法可以如图2所示，包括：

S201，获取移动网DPI设备采集的目标转发面信息和IP网DPI设备采集的目标传输信息。

该步骤与前述S101相同，可以参见前述S101的相关说明，在此不再赘述。

S202，根据目标转发面信息和目标传输信息，识别目标加密流量，得到第一识别结果。

该步骤与前述S102相同，可以参见前述S102的相关说明，在此不再赘述。

S203，确定目标加密流量所属用户的用户信息。

S204，根据用户信息和第一识别结果，识别目标加密流量，得到第二识别结果。

选用该实施例，可以结合目标加密流量所属用户的用户信息和第一识别结果，进一步对目标加密流量进行识别，可以理解的是不同用户产生的流量可能分属于不同类别，例如以前述流量类别分为正常流量和恶意攻击流量的示例为例，合法用户产生的流量往往为正常流量，而非法用户产生的流量往往为恶意攻击流量。因此，目标加密流量所属用户的用户信息也能够在一定程度上反映出目标加密流量的类别，结合用户信息能够在第一识别结果的基础上，更准确地对目标加密流量进行识别。

下面将分别对S203-S204进行说明：

确定用户信息的方式可以是获取具备确定用户信息能力的电子设备发送的用户信息。并且由于移动网与用户的终端设备之间存在交互，因此基于移动网DPI设备发送的信息也可以确定得到用户信息。

示例性的，在一种可能的实施例中，可以是获取移动网DPI设备采集的目标信令信息，其中，目标信令信息用于表示移动网中传输目标加密流量所使用的信令。根据目标信令信息和目标转发面信息，确定目标流量所属用户的用户信息。

可以理解的是，由于目标信令信息能够表示传输目标加密流量所使用的信令，而传输目标加密流量所使用的信令中会携带下发这些信令的终端的信息或这些信令所针对的切片的信息，根据这些信息结合目标加密流量的路由，可以溯源出发送目标加密流量的用户终端，从而确定出用户信息。

目标信令信息根据应用场景的不同可以是以不同方式表示移动网中传输目标加密流量所使用的信令，示例性的，在一种可能的实施例中，目标信令信息包括以下信息中的一种或多种：终端标识信息、类型标识信息、切片标识信息；

其中，终端标识信息用于表示转发目标加密流量的终端，类型标识信息用于表示转发目标加密流量的终端的类型，切片标识信息用于表示目标加密流量中的切片。终端标识信息可以是移动网DPI设备采集信令面报文中的SUPI字段得到的，类型标识信息可以是移动网DPI设备采集信令面报文中的TAC字段得到的，切片标识信息可以是移动网DPI设备采集信令面报文中的S_NSSAI字段得到的。

在S204中，第二识别结果用于表示目标加密流量的类别，根据应用场景的不同，类别的划分方式可以不同，并且应当与前述S102中的划分方式相同，可以参见前述关于第一识别结果的相关说明，在此不再赘述。

以前述流量类别分为正常流量和恶意攻击流量的示例为例，由于第二识别结果能够用于表示目标加密流量是否为恶意攻击流量，因此第二识别结果可以作为流量扩展检测和响应(Extended Detection and Response，XDR)结果。

下面将以流量类别分为正常流量和恶意攻击流量的情况为例，结合训练阶段和流量识别阶段对本公开提供的加密流量识别方法进行识别，参见图4：

对于训练阶段，包括：

S411，IP网telemetry采集，即IP网DPI设备采集样本流量的样本传输信息。

S412，移动网业务流量采集，即移动网DPI设备采集样本流量的样本转发面信息。

S413，模型训练。

可以是将样本传输信息和样本转发面信息输入至预设初始模型，得到预设初始模型输出的预测识别结果，根据预测识别结果与标注识别结果之间的差异构建损失函数，按照损失函数梯度下降的方向调整初始模型的模型参数，直至达到预设收敛条件，将经过调整的初始模型作为训练得到的流量识别模型保存至模型库中。

对于识别阶段，包括：

S421，IP网telemetry采集，即IP网DPI设备采集目标加密流量的目标传输信息。

S422，移动网业务流量采集，即移动网DPI设备采集目标加密流量的目标转发面信息。

S423，移动网信令采集，即移动网DPI设备采集目标加密流量的目标信令信息。

S424，解析识别，即将目标转发面信息和目标传输信息输入至模型库中流量识别模型，得到流量识别模型输出的第一识别结果。

S425，关联用户，即根据目标信令信息和目标转发面信息，确定目标流量所属用户的用户信息。

S426，生成XDR，即根据用户信息和第一识别结果，识别目标加密流量，得到第二识别结果，作为XDR结果。

对应于前述加密流量识别方法，本公开还提供了一种加密流量装置，如图5所示，包括：

信息获取模块501，用于获取移动网深度包检测技术DPI设备采集的目标转发面信息和IP网络DPI设备采集的目标传输信息，其中，所述目标转发面信息用于表示目标加密流量在移动网中的路由，所述目标传输信息用于表示所述目标加密流量在IP网络中的传输状况；

第一识别模块502，用于根据所述目标转发面信息和所述目标传输信息，识别所述目标加密流量，得到第一识别结果。

在一种可能的实施例中，所述第一识别模块502根据所述目标转发面信息和所述目标流传输信息，识别所述目标加密流量，得到第一识别结果，包括：

将所述目标转发面信息和所述目标传输信息输入至预设的流量识别模型，得到所述流量识别模型输出的第一识别结果；

其中，所述流量识别模型预先经过样本数据的训练，所述样本数据包括样本转发面信息、样本传输信息以及标注识别结果，所述样本转发面信息用于表示样本流量在移动网中的路由，所述样本传输信息用于表示所述样本流量在IP网络中的传输状况。

在一种可能的实施例中，所述装置还包括第二识别模块，用于确定所述目标加密流量所属用户的用户信息；

根据所述用户信息和所述第一识别结果，识别所述目标加密流量，得到第二识别结果。

在一种可能的实施例中，所述第二识别模块确定所述目标加密流量所属用户的用户信息，包括：

获取所述移动网DPI设备采集的目标信令信息，其中，所述目标信令信息用于表示移动网中传输所述目标加密流量所使用的信令；

根据所述目标终端信息和所述目标转发面信息，确定所述目标流量所属用户的用户信息。

在一种可能的实施例中，所述目标信令信息包括以下信息中的一种或多种：终端标识信息、类型标识信息、切片标识信息；

其中，所述终端标识信息用于表示转发所述目标加密流量的终端，所述类型标识信息用于表示转发所述目标加密流量的终端的类型，所述切片标识信息用于表示所述目标加密流量中的切片。

在一种可能的实施例中，所述目标转发面信息包括以下信息中的一种或多种：所述目标加密流量的源地址、所述目标加密流量的源端口，所述目标加密流量的目的地址、所述目标加密流量的目的端口，所述目标流量的传输协议。

在一种可能的实施例中，所述目标传输信息包括以下信息中的一种或多种：所述目标加密数据流中各数据包的数据量、所述目标加密流量中各数据包的发送间隔。

本公开实施例还提供了一种电子设备，如图6所示，包括处理器601、通信接口602、存储器603和通信总线604，其中，处理器601，通信接口602，存储器603通过通信总线604完成相互间的通信，

存储器603，用于存放计算机程序；

处理器601，用于执行存储器603上所存放的程序时，实现如下步骤：

获取移动网深度包检测技术DPI设备采集的目标转发面信息和IP网DPI设备采集的目标传输信息，其中，所述转发面信息用于表示目标加密流量在移动网中的路由，所述目标传输信息用于表示所述目标加密流量在IP网络中的传输状况；

根据所述目标转发面信息和所述目标传输信息，识别所述目标加密流量，得到第一识别结果。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本公开提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一加密流量识别方法的步骤。

在本公开提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一加密流量识别方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本公开实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质以及计算机程序产品的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本公开的较佳实施例，并非用于限定本公开的保护范围。凡在本公开的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本公开的保护范围内。