信息检测方法及装置、电子设备和计算机可读存储介质与流程

信息检测方法及装置、电子设备和计算机可读存储介质
【技术领域】
1.本发明涉及网络安全技术领域，尤其涉及一种信息检测方法及装置、电子设备和计算机可读存储介质。


背景技术：

2.随着互联网技术的飞速发展，网络攻击事件也频频出现。近年来出现了一种新的网络威胁——apt攻击，即高级可持续威胁攻击,也称为定向威胁攻击，此类攻击中，攻击者为了规避安全产品的检测，会利用合法外部网络服务来托管命令和控制网络基础设施作为媒介，使得安全产品难以有效识别。
3.因此，如何有效识别利用合法网络服务进行通信的恶意代码c2，成为目前亟待解决的技术问题。


技术实现要素：

4.本发明实施例提供了一种信息检测方法及装置、电子设备和计算机可读存储介质，旨在解决相关技术中难以有效识别利用合法网络服务进行通信的恶意代码c2的技术问题。
5.第一方面，本发明实施例提供了一种信息检测方法，包括：获取第一列表和第二列表，所述第一列表包括恶意代码c2可用的合法网络服务所涉及的网络服务域名，所述第二列表包括基于动态测试所得的样本恶意代码的实际url地址；在所述第二列表中确定目标url地址，其中，所述目标url地址的网络服务域名存在于所述第一列表中；基于预定的信誉度计算规则，确定所述目标url地址的信誉度；在所述目标url地址的信誉度小于或等于指定阈值时，监测所述目标url地址处的信息内容是否发生变化；若所述目标url地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标url地址是否为被恶意代码c2利用的异常地址。
6.在本发明上述实施例中，可选地，所述基于预定的信誉度计算规则，确定所述目标url地址的信誉度的步骤，包括：基于所述目标url地址在多个维度的属性信息和所述多个维度各自对应的权重，确定所述目标url地址的信誉度。
7.在本发明上述实施例中，可选地，所述基于预定的信誉度计算规则，确定所述目标url地址的信誉度的步骤，包括：基于所述目标url地址在多个维度的属性信息以及所述多个维度各自对应的转换规则，确定所述多个维度的属性信息各自对应的特征向量；基于所述目标url地址在多个维度的特征向量和信誉度计算模型，确定所述目标url地址的信誉度。
8.在本发明上述实施例中，可选地，所述目标url地址在所述多个维度的属性信息包括：所述目标url地址的访问量、访问时间分布信息、账号关注量、账号活跃度、历史信誉度、当前内容发布时间、当前内容是否自然语言可读以及历史内容是否自然语言可读。
9.在本发明上述实施例中，可选地，还包括：确定所述目标url地址在若干个历史安
全时段内的历史信誉度的信誉度变化量分布信息，以及确定所述若干个历史安全时段内被恶意代码c2利用的所述目标url地址的同类地址所在的最低信誉度；对所述信誉度变化量分布信息和所述最低信誉度进行归一化处理；基于归一化处理后的信誉度变化量分布信息中的最高值与归一化处理后的最低信誉度的比，以及归一化处理后的信誉度变化量分布信息中的最低值，确定以所述归一化处理后的最低信誉度为最高值的模拟分布信息中的最低值；将所述最低值确定为所述指定阈值。
10.在本发明上述实施例中，可选地，若所述目标url地址的信息内容发生变化，所述基于所述变化对应的行为，确定所述目标url地址是否为被恶意代码c2利用的异常地址的步骤，具体包括：对所述目标url地址处发生变化后的信息内容所对应的目标文件进行动态测试，得到目标日志；将所述目标日志与对所述目标url地址发生变化前的信息内容对应的测试日志进行对比，识别所述目标日志中是否记录有指定异常行为，所述指定异常行为包括：向任意c2发起和/或建立连接、读取指令执行、获取加密代码和载荷并执行中一项或多项；若记录有所述指定异常行为，确定所述目标url地址为被恶意代码c2利用的异常地址。
11.第二方面，本发明实施例提供了一种信息检测装置，包括：列表获取单元，用于获取第一列表和第二列表，所述第一列表包括恶意代码c2可用的合法网络服务所涉及的网络服务域名，所述第二列表包括基于动态测试所得的样本恶意代码的实际url地址；列表对比单元，用于在所述第二列表中确定目标url地址，其中，所述目标url地址的网络服务域名存在于所述第一列表中；信誉度计算单元，用于基于预定的信誉度计算规则，确定所述目标url地址的信誉度；地址监测单元，用于在所述目标url地址的信誉度小于或等于指定阈值时，监测所述目标url地址处的信息内容是否发生变化；异常判断单元，用于若所述目标url地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标url地址是否为被恶意代码c2利用的异常地址。
12.在本发明上述实施例中，可选地，所述信誉度计算单元用于：基于所述目标url地址在多个维度的属性信息和所述多个维度各自对应的权重，确定所述目标url地址的信誉度。
13.在本发明上述实施例中，可选地，所述信誉度计算单元用于：基于所述目标url地址在多个维度的属性信息以及所述多个维度各自对应的转换规则，确定所述多个维度的属性信息各自对应的特征向量；基于所述目标url地址在多个维度的特征向量和信誉度计算模型，确定所述目标url地址的信誉度。
14.在本发明上述实施例中，可选地，所述目标url地址在所述多个维度的属性信息包括：所述目标url地址的访问量、访问时间分布信息、账号关注量、账号活跃度、历史信誉度、当前内容发布时间、当前内容是否自然语言可读以及历史内容是否自然语言可读。
15.在本发明上述实施例中，可选地，还包括：阈值计算单元，用于确定所述目标url地址在若干个历史安全时段内的历史信誉度的信誉度变化量分布信息，以及确定所述若干个历史安全时段内被恶意代码c2利用的所述目标url地址的同类地址所在的最低信誉度；对所述信誉度变化量分布信息和所述最低信誉度进行归一化处理；基于归一化处理后的信誉度变化量分布信息中的最高值与归一化处理后的最低信誉度的比，以及归一化处理后的信誉度变化量分布信息中的最低值，确定以所述归一化处理后的最低信誉度为最高值的模拟分布信息中的最低值；将所述最低值确定为所述指定阈值。
16.在本发明上述实施例中，可选地，所述异常判断单元具体用于：若所述目标url地址的信息内容发生变化，对所述目标url地址处发生变化后的信息内容所对应的目标文件进行动态测试，得到目标日志；将所述目标日志与对所述目标url地址发生变化前的信息内容对应的测试日志进行对比，识别所述目标日志中是否记录有指定异常行为，所述指定异常行为包括：向任意c2发起和/或建立连接、读取指令执行、获取加密代码和载荷并执行中一项或多项；若记录有所述指定异常行为，确定所述目标url地址为被恶意代码c2利用的异常地址。
17.第三方面，本发明实施例提供了一种电子设备，包括：至少一个处理器；以及，与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被设置为用于执行上述第一方面中任一项所述的方法。
18.第四方面，本发明实施例提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
19.以上技术方案，针对相关技术中难以有效识别利用合法网络服务进行通信的恶意代码c2的技术问题，面对合法网络服务的地址被恶意代码c2利用的情况，能够快速高效地识别出该地址的异常，察觉其被恶意代码c2利用的实际情况，有助于安全监测的顺利进行和后续安全保护行为的及时实施，提升了网络安全。
【附图说明】
20.为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
21.图1示出了根据本发明的一个实施例的信息检测方法的流程图；
22.图2示出了根据本发明的一个实施例的信息检测装置的框图；
23.图3示出了根据本发明的一个实施例的电子设备的框图。
【具体实施方式】
24.为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。
25.应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
26.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。
27.图1示出了根据本发明的一个实施例的信息检测方法的流程图。
28.如图1所示，根据本发明的一个实施例的信息检测方法的流程包括：
29.步骤102，获取第一列表和第二列表。
30.其中，所述第一列表包括恶意代码c2可用的合法网络服务所涉及的网络服务域名。恶意代码c2一般会利用常见的、令常规安全检测系统警惕性较小的合法网络服务，这些
合法网络服务包括但不限于人们在工作、学习、社交等日常行为中常用的网页和软件，如微博、推特等。将恶意代码c2可用的合法网络服务所涉及的网络服务域名尽可能地列举出来，可作为识别恶意代码c2所用的异常地址的基础样本集合，以便后续步骤中对异常地址的筛选和识别。
31.具体地，获取第一列表的步骤，包括：将互联网中的可用合法域名和历史攻击事件中恶意代码c2曾用的合法网络服务所涉及的网络服务域名加入所述第一列表。其中，既可以把合法网络服务中潜在的可用网络服务域名加入第一列表，也可以把历史安全检测结果中恶意代码c2曾用的网络服务域名加入第一列表，以拓展第一列表的范围，使其尽可能囊括所有可能被恶意代码c2利用的地址。
32.其中，所述第二列表包括基于动态测试所得的样本恶意代码的实际url地址，其中，动态测试可通过开源动态沙箱或者蜜罐进行。换言之，第二列表包括基于开源动态沙箱对样本恶意代码文件进行测试所得的、所述样本恶意代码文件实际使用的实际url地址。而获取第二列表的步骤，包括：获取多个开源动态沙箱对样本恶意代码文件进行测试所得的测试日志；在所述测试日志中获取所述样本恶意代码文件实际使用的实际url地址。
33.具体来说，可通过开源动态沙箱对样本恶意代码文件进行测试，得到测试日志，这些测试日志中记载有恶意代码c2曾使用过合法网络服务中的哪些实际url地址、由此，可模拟实际的恶意代码c2，尽可能地把目前已被恶意代码c2利用的实际url地址筛选出来。
34.步骤104，在所述第二列表中确定目标url地址，其中，所述目标url地址的网络服务域名存在于所述第一列表中。
35.第一列表即域名列表，比如，其可包括网络服务域名blog.sina.com.cn，第二列表包括样本恶意代码文件使用的实际url地址，比如，其可包括url地址blog.sina.com.cn/s/blog_549c1d970102z766.html。对比所述第一列表和所述第二列表，即在第二列表的实际url地址中检测是否存在第一列表中的网络服务域名，由此，就可以在所有可能被恶意代码c2利用的地址中，把目前很可能已被恶意代码c2利用的实际url地址筛选出来，此步骤作为初步筛选，能够为后续的异常判断步骤有效减少样本数量，提升安全检测效率。
36.步骤106，基于预定的信誉度计算规则，确定所述目标url地址的信誉度。
37.在一种可能的设计中，预定的信誉度计算规则可以对目标url地址在多个维度的属性信息进行加权计算，具体地，可基于所述目标url地址在多个维度的属性信息和所述多个维度各自对应的权重，确定所述目标url地址的信誉度。
38.其中，所述目标url地址在所述多个维度的属性信息包括：所述目标url地址的访问量、访问时间分布信息、账号关注量、账号活跃度、历史信誉度、当前内容发布时间、当前内容是否自然语言可读以及历史内容是否自然语言可读。各项属性信息各自在不同程度上反映了目标url地址处信息内容的实际情况，而这一实际情况正可以反映该信息内容是否为被恶意代码c2利用该目标url地址后篡改或加密所得的内容。同时，因各项属性信息所能够反映的信息内容实际情况的水平不同，即反映能力高低不同，反映程度不同，故可基于此，为各项属性信息设置与其反映能力高低相适应的权重。最终，基于所述目标url地址在多个维度的属性信息和所述多个维度各自对应的权重进行加权计算，确定所述目标url地址的信誉度。
39.在另一种可能的设计中，预定的信誉度计算规则可以为：基于所述目标url地址在
多个维度的属性信息以及所述多个维度各自对应的转换规则，确定所述多个维度的属性信息各自对应的特征向量；基于所述目标url地址在多个维度的特征向量和信誉度计算模型，确定所述目标url地址的信誉度。
40.本设计中采用大数据训练的方式，以样本地址在多个维度的属性信息以及样本地址的信誉度训练得到信誉度计算模型，再以信誉度计算模型计算目前的目标url地址的信誉度。
41.与前一种设计同理，各项属性信息各自在不同程度上反映了目标url地址处信息内容的实际情况，对此，可为各项属性信息设置与其反映能力高低相适应的转换规则，将其转换为计算信誉度所需的特征向量。最终，以各项属性信息对应的特征向量的结合作为输入，通过信誉度计算模型计算得到该目标url地址的信誉度。
42.步骤108，在所述目标url地址的信誉度小于或等于指定阈值时，监测所述目标url地址处的信息内容是否发生变化。
43.信誉度用于反映目标url地址被恶意代码c2利用的可能性的高低，若信誉度足够高，可认定目标url地址被恶意代码c2利用的可能性低，此时，可对该目标url地址进行信任，而若信誉度较低，则可认定目标url地址被恶意代码c2利用之可能性较高，此时，可对该目标url地址进行进一步检测，以判断其是否已被恶意代码c2利用而处于异常状态。
44.对此，可设置指定阈值作为判断信誉度高低的标准，指定阈值指的是目标url地址达到被恶意代码c2利用的可能性较高这一标准时目标url地址的最低信誉度。
45.在一种可能的设计中，指定阈值的计算过程具体包括：确定所述目标url地址在若干个历史安全时段内的历史信誉度的信誉度变化量分布信息，以及确定所述若干个历史安全时段内被恶意代码c2利用的所述目标url地址的同类地址所在的最低信誉度；对所述信誉度变化量分布信息和所述最低信誉度进行归一化处理；基于归一化处理后的信誉度变化量分布信息中的最高值与归一化处理后的最低信誉度的比，以及归一化处理后的信誉度变化量分布信息中的最低值，确定以所述归一化处理后的最低信誉度为最高值的模拟分布信息中的最低值；将所述最低值确定为所述指定阈值。
46.目标url地址在若干个历史安全时段内的历史信誉度，代表了目标url地址不被恶意代码c2利用的情况下其信誉度的一般水平，基于此所得的信誉度变化量分布信息展示了目标url地址可能具有的信誉度变化情况。
47.而在相同的该若干个历史安全时段内，目标url地址的同类地址被恶意代码c2利用时所能够实现的最低信誉度，在一定程度上也代表了目标url地址此时被恶意代码c2利用所能够实现的最低信誉度。而即使目标url地址被恶意代码c2利用，实现该最低信誉度，但此时目标url地址的信誉度变化情况仍受其信誉度的一般变化情况所限制。也就是说，可认定目标url地址被恶意代码c2利用的情况下仍与未被恶意代码c2利用时具有相同的信誉度变化情况。
48.基于以上原理，可对所述信誉度变化量分布信息和所述最低信誉度进行归一化处理，使两者处于相同量级。进一步地，以归一化处理后的所述信誉度变化量分布信息的变化规律作为目标url地址在模拟分布信息中的变化规律，为保证计算结果的可靠性，将所述最低信誉度作为目标url地址在所述模拟分布信息中的最高值。接下来，求得归一化处理后的信誉度变化量分布信息中的最高值与归一化处理后的最低信誉度的比，并将该比同样认定
为归一化处理后的信誉度变化量分布信息中的最低值与所述归一化处理后的最低信誉度为最高值的模拟分布信息中的最低值的比，在知悉该比以及归一化处理后的信誉度变化量分布信息中的最低值的情况下，即可求得模拟分布信息中的最低值，最终，将所述最低值确定为所述指定阈值。
49.由此，可有效获得目标url地址达到被恶意代码c2利用之可能性较高、很可能已被恶意代码c2利用这一标准时所能够具有的信誉度底线，以该信誉度底线为标准，可以进一步筛选若干地址，进入后续更为深入的地址异常与否的判断中去。
50.步骤110，若所述目标url地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标url地址是否为被恶意代码c2利用的异常地址。
51.一旦所述目标url地址的信息内容发生变化，若该目标url地址已被恶意代码c2利用，该变化则代表攻击者可能在该目标url地址采取了新的非法行为，比如，在该目标url地址发布新的行动指令。因此，可确定所述变化对应的行为，并根据该行为的内容，判断所述目标url地址是否被恶意代码c2利用的异常地址。
52.具体地，可对所述目标url地址处发生变化后的信息内容所对应的目标文件进行动态测试，得到目标日志；将所述目标日志与对所述目标url地址发生变化前的信息内容对应的测试日志进行对比，识别所述目标日志中是否记录有指定异常行为，所述指定异常行为包括：向任意c2发起和/或建立连接、读取指令执行、获取加密代码和载荷并执行中一项或多项；若记录有所述指定异常行为，确定所述目标url地址为被恶意代码c2利用的异常地址。
53.开源动态沙箱可基于所述目标url地址发生变化前的信息内容进行测试，得到测试日志，在所述目标url地址处的信息内容发生变化后，开源动态沙箱可基于所述目标url地址发生变化后的信息内容再次进行测试，得到目标日志。这里需要知晓，信息内容的变化可以为多次，相应地，开源动态沙箱对其的测试也可以为多次，后续所述的将前后两次的日志进行对比，可以在是开源动态沙箱对目标url地址的信息内容的任意两次或多次测试所得日志的对比。
54.接下来，将所述目标日志与所述测试日志进行对比，由于所述目标日志与所述测试日志中分别记载了目标url地址处所发生过的行为数据，将两者对比，可有效识别行为数据中所示出的指定异常行为。指定异常行为指的是所述目标url地址被恶意代码c2利用的情况下所可能做出的行为，故一旦识别出指定异常行为，即可确定所述目标url地址被恶意代码c2利用，属于异常地址。
55.其中，所述指定异常行为包括：向任意c2发起和/或建立连接、读取指令执行、获取加密代码和载荷并执行中一项或多项。当然，所述目标url地址被恶意代码c2利用的情况下所可能做出的行为可以是任何非法行为，包括但不限于此处列举的几个。
56.通过以上技术方案，针对合法网络服务的地址被恶意代码c2利用的情况，能够快速高效地识别出该地址的异常，察觉其被恶意代码c2利用的实际情况，有助于安全监测的顺利进行和后续安全保护行为的及时实施，提升了网络安全。
57.图2示出了根据本发明的一个实施例的信息检测装置的框图。
58.如图2所示，根据本发明的一个实施例的信息检测装置200包括：列表获取单元202，用于获取第一列表和第二列表，所述第一列表包括恶意代码c2可用的合法网络服务所
涉及的网络服务域名，所述第二列表包括基于动态测试所得的样本恶意代码的实际url地址；列表对比单元204，用于在所述第二列表中确定目标url地址，其中，所述目标url地址的网络服务域名存在于所述第一列表中；信誉度计算单元206，用于基于预定的信誉度计算规则，确定所述目标url地址的信誉度；地址监测单元208，用于在所述目标url地址的信誉度小于或等于指定阈值时，监测所述目标url地址处的信息内容是否发生变化；异常判断单元210，用于若所述目标url地址的信息内容发生变化，基于所述变化对应的行为，确定所述目标url地址是否为被恶意代码c2利用的异常地址。
59.在本发明上述实施例中，可选地，所述列表获取单元202包括：第一列表生成单元，用于将互联网中的可用合法域名和历史攻击事件中恶意代码c2曾用的合法网络服务所涉及的网络服务域名加入所述第一列表；第二列表生成单元，用于获取多个开源动态沙箱对样本恶意代码文件进行测试所得的测试日志；在所述测试日志中获取所述样本恶意代码文件实际使用的实际url地址。
60.在本发明上述实施例中，可选地，所述信誉度计算单元206用于：基于所述目标url地址在多个维度的属性信息和所述多个维度各自对应的权重，确定所述目标url地址的信誉度。
61.在本发明上述实施例中，可选地，所述信誉度计算单元206用于：基于所述目标url地址在多个维度的属性信息以及所述多个维度各自对应的转换规则，确定所述多个维度的属性信息各自对应的特征向量；基于所述目标url地址在多个维度的特征向量和信誉度计算模型，确定所述目标url地址的信誉度。
62.在本发明上述实施例中，可选地，所述目标url地址在所述多个维度的属性信息包括：所述目标url地址的访问量、访问时间分布信息、账号关注量、账号活跃度、历史信誉度、当前内容发布时间、当前内容是否自然语言可读以及历史内容是否自然语言可读。
63.在本发明上述实施例中，可选地，还包括：阈值计算单元，用于确定所述目标url地址在若干个历史安全时段内的历史信誉度的信誉度变化量分布信息，以及确定所述若干个历史安全时段内被恶意代码c2利用的所述目标url地址的同类地址所在的最低信誉度；对所述信誉度变化量分布信息和所述最低信誉度进行归一化处理；基于归一化处理后的信誉度变化量分布信息中的最高值与归一化处理后的最低信誉度的比，以及归一化处理后的信誉度变化量分布信息中的最低值，确定以所述归一化处理后的最低信誉度为最高值的模拟分布信息中的最低值；将所述最低值确定为所述指定阈值。
64.在本发明上述实施例中，可选地，所述异常判断单元210具体用于：若所述目标url地址的信息内容发生变化，对所述目标url地址处发生变化后的信息内容所对应的目标文件进行动态测试，得到目标日志；将所述目标日志与对所述目标url地址发生变化前的信息内容对应的测试日志进行对比，识别所述目标日志中是否记录有指定异常行为，所述指定异常行为包括：向任意c2发起和/或建立连接、读取指令执行、获取加密代码和载荷并执行中一项或多项；若记录有所述指定异常行为，确定所述目标url地址为被恶意代码c2利用的异常地址。
65.该信息检测装置200使用上述实施例中任一项所述的方案，因此，具有上述所有技术效果，在此不再赘述。
66.图3示出了本发明的一个实施例的电子设备的框图。
67.如图3所示，本发明的一个实施例的电子设备300，包括至少一个存储器302；以及，与所述至少一个存储器302通信连接的处理器304；其中，所述存储器存储有可被所述至少一个处理器304执行的指令，所述指令被设置为用于执行上述任一实施例中所述的方案。因此，该电子设备300具有和上述任一实施例中相同的技术效果，在此不再赘述。
68.本发明实施例的电子设备以多种形式存在，包括但不限于:
69.(1)移动通信设备:这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机，以及低端手机等。
70.(2)超移动个人计算机设备:这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等，例如ipad。
71.(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如ipod)，掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
72.(4)服务器:提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
73.(5)其他具有数据交互功能的电子装置。
74.另外，本发明实施例提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述任一实施例中所述的方法流程。
75.以上结合附图详细说明了本发明的技术方案，通过本发明的技术方案，针对合法网络服务的地址被恶意代码c2利用的情况，能够快速高效地识别出该地址的异常，察觉其被恶意代码c2利用的实际情况，有助于安全监测的顺利进行和后续安全保护行为的及时实施，提升了网络安全。
76.应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
77.应当理解，尽管在本发明实施例中可能采用术语第一、第二等来描述列表，但这些列表不应限于这些术语。这些术语仅用来将列表彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一列表也可以被称为第二列表，类似地，第二列表也可以被称为第一列表。
78.取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。类似地，取决于语境，短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
79.在本发明所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
80.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
81.上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
82.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。