一种文件识别方法及装置与流程

1.本技术涉及安全技术领域，尤其涉及一种文件识别方法及装置。


背景技术：

2.dpi(deep packet inspection，深度报文检测)深度安全是一种基于应用层信息对经过网络设备的网络流量进行检测和控制的安全机制。在日益复杂的网络安全威胁中，很多恶意行为(比如，蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。传统安全防护技术仅仅依靠网络层和传输层的安全检测技术已经无法满足网络安全要求。因此，网络设备必须具备dpi功能，以实现对网络应用层信息的检测和控制，进而保证数据内容的安全，提高网络的安全性。
3.目前防病毒检测主要是通过模式串匹配和全文哈希方式检测网络中传输的病毒文件。模式串匹配方式是通过静态特征码扫描技术进行恶意文件检测，但该方法需要配置大规模的特征码规则，从而导致占用较多的内存，对网络设备的内存提出更高的要求，此外该方法会随着规则数的增大而导致防病毒引擎变得越来越大，从而导致cache-miss的问题，进而影响设备的吞吐性能。而全文哈希方式对文件的完整性比较强，如果文件传输过程中存在报文乱序，则会导致文件哈希计算有误，进而影响病毒文件检测结果的准确性。
4.因此，如何在对经过网络设备的文件进行病毒识别时不需要占用较多的内存的情况下，提升病毒检测结果的准确性是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种文件识别方法及装置，用以在对经过网络设备的文件进行病毒检测时不需要占用较多的内存的情况下，提升病毒检测结果的准确性。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种文件识别方法，包括：
8.对接收到的待识别文件进行文件识别；
9.当所述待识别文件为设定类型的文件时，则从所述待识别文件中提取出文件头；
10.对所述文件头中的目标信息进行哈希计算，得到局部哈希值；
11.将所述局部哈希值与病毒哈希特征库进行匹配，所述病毒哈希特征库包括病毒的特征哈希值；
12.当匹配成功时，则确认所述待识别文件为病毒文件。
13.可选地，所述待识别文件包括windows操作系统下的可执行文件；所述文件头包括映像文件头和可选映像头；
14.对所述文件头中的目标信息进行哈希计算，得到局部哈希值，包括：
15.对所述映像文件头进行哈希计算，得到中间哈希值；
16.根据机器类型码，从所述可选映像头中提取出与所述机器类型码相匹配的目标可选映像头信息；
17.根据所述中间哈希值和所述目标可选映像头信息进行哈希计算，得到所述局部哈希值。
18.可选地，本实施例提供的文件识别方法，还包括：
19.当未匹配成功时，对所述待识别文件进行模式串特征匹配，以识别所述待识别文件是否为病毒文件。
20.可选地，本实施例提供的文件识别方法，还包括：
21.当所述局部哈希值与所述病毒哈希特征库未匹配成功，或者对所述待识别文件进行模式串特征匹配时未识别出所述待识别文件为病毒文件时，则当所述待识别文件为完整的文件时，则对所述待识别文件进行全文哈希计算，得到哈希结果，根据所述哈希结果识别所述待识别文件是否为病毒文件。
22.可选地，从所述待识别文件中提取出文件头，包括：
23.利用所述设定类型对应的文件解析插件对所述待识别文件进行拆解处理，以提取出所述待识别文件中的文件头。
24.根据本技术的第二方面，提供一种文件识别装置，包括：
25.识别模块，用于对接收到的待识别文件进行文件识别；
26.提取模块，用于当所述待识别文件为设定类型的文件时，则从所述待识别文件中提取出文件头；
27.哈希计算模块，用于对所述文件头中的目标信息进行哈希计算，得到局部哈希值；
28.第一匹配模块，用于将所述局部哈希值与病毒哈希特征库进行匹配，所述病毒哈希特征库包括病毒的特征哈希值；
29.确认模块，用于当所述第一匹配模块的匹配结果为匹配成功时，则确认所述待识别文件为病毒文件。
30.可选地，所述待识别文件包括windows操作系统下的可执行文件；所述文件头包括映像文件头和可选映像头；
31.所述哈希计算模块，具体用于对所述映像文件头进行哈希计算，得到中间哈希值；根据机器类型码，从所述可选映像头中提取出与所述机器类型码相匹配的目标可选映像头信息；根据所述中间哈希值和所述目标可选映像头信息进行哈希计算，得到所述局部哈希值。
32.可选地，本实施例提供的文件识别装置，还包括：
33.第二匹配模块，用于当所述第一匹配模块的匹配结果为未匹配成功时，对所述待识别文件进行模式串特征匹配，以识别所述待识别文件是否为病毒文件。
34.可选地，本实施例提供的文件识别装置，还包括：
35.第三匹配模块，用于当所述第一匹配模块的匹配结果为未匹配成功，或者，所述第二匹配模块的匹配结果为未识别出所述待识别文件为病毒文件时，则当所述待识别文件为完整的文件时，则对所述待识别文件进行全文哈希计算，得到哈希结果，根据所述哈希结果识别所述待识别文件是否为病毒文件。
36.可选地，所述提取模块，具体用于利用所述设定类型对应的文件解析插件对所述待识别文件进行拆解处理，以提取出所述待识别文件中的文件头。
37.根据本技术的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机
器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
38.根据本技术的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
39.本技术实施例的有益效果：
40.本技术实施例提供的文件识别方法及装置中，在对接收到的待识别文件进行文件识别后，当识别出待识别文件为设定类型的文件时，从待识别文件中提取出文件头；然后对文件头中的目标信息进行哈希计算，得到局部哈希值；将局部哈希值与病毒哈希特征库进行匹配；当匹配成功时，则确认待识别文件为病毒文件。本实施例只需要对待识别文件的文件头进行局部哈希计算，就可以基于局部哈希计算得到的局部哈希结果与病毒哈希特征库进行匹配处理，从而识别出待识别文件是否为病毒文件，这样一来，在对经过网络设备的文件进行病毒检测时，不仅不需要占用较多的内存，而且提升了病毒检测结果的准确度。此外，由于不需要基于整个待识别文件进行哈希计算，从而提升了文件识别的识别速度。
附图说明
41.图1是本技术实施例提供的一种文件识别方法的流程示意图；
42.图2是本技术实施例提供的一种文件识别装置的结构示意图；
43.图3是本技术实施例提供的一种实施文件识别方法的电子设备的硬件结构示意图。
具体实施方式
44.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
45.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
46.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
47.下面对本技术提供的文件识别方法进行详细地说明。
48.参见图1，图1是本技术提供的一种文件识别方法的流程图，该方法可以应用于网络安全设备，该网络安全设备可以但不限于防火墙等设备，网络安全设备实施该方法时，可包括如下所示步骤：
49.s101、对接收到的待识别文件进行文件识别。
50.本步骤中，当流量进入网络安全设备后，会对流量中传输的文件进行文件识别，为了方便描述，可以将上述传输的文件称作上述待识别文件。
51.可选地，在对待识别文件进行识别之前，可以对流量进行应用识别，当识别出设定协议的应用时，再执行步骤s101，即对符合设定协议的应用的待识别文件进行文件识别。
52.具体来说，对于有些只需要应用控制的场景，可能在识别出数据流对应的应用时，就表征该应用的数据流在一定程度上是安全的，也就无需再执行深度报文检测处理，从而在一定程度上提升报文处理性能及节省报文处理时间。在该场景下，为了进一步提升进入网络的数据流的安全性，本实施例提出在识别出应用后，再执行图1所示的流程。
53.此外，在其他场景中也可能存在需要识别应用的情况，为了适应其他场景的实际需求，在尽可能比较小的改动其他场景的实施流程的前提下，先进行应用识别，然后在应用识别后执行图1所示的流程。
54.需要说明的是，上述设定协议可以但不限于为http和ftp(文档传输协议)等等。
55.s102、当所述待识别文件为设定类型的文件时，则从所述待识别文件中提取出文件头。
56.本步骤中，在识别出待识别文件的文件类型后，由于流量中有些类型的可执行文件在流量的占比很大，因此，病毒一般会侵入此类文件中，为了保证文件的安全性及网络的安全性，本技术会设置需要病毒识别的文件的文件类型，当待识别文件的文件类型为上述文件类型时，则表明需要对该待识别文件执行病毒检测，则从待识别文件中提取出文件头。
57.s103、对所述文件头中的目标信息进行哈希计算，得到局部哈希值。
58.本步骤中，上述目标信息为用于病毒识别的特征信息，即该类特征信息可能会因为病毒发生改变，基于此，会提取出文件头的目标信息，然后对该目标信息进行哈希计算，得到上述局部哈希值。
59.s104、将所述局部哈希值与病毒哈希特征库进行匹配。
60.其中，上述病毒哈希特征库包括病毒的特征哈希值。
61.本步骤中，为了能够识别出文件中是否存在病毒，本技术会预先配置病毒特征库，将当前存在的病毒的病毒特征进行哈希计算，从而得到病毒的特征哈希值，进而生成病毒哈希特征库。在此基础上，当将局部哈希值与病毒哈希特征库进行匹配时，若上述病毒哈希特征库包括该局部哈希值，则确认局部哈希值与上述病毒哈希特征库匹配成功，则执行步骤s105，即待识别文件为病毒文件；而当病毒哈希特征库不包括该局部哈希值时，则确认该局部哈希值与上述病毒哈希特征库不匹配。
62.需要说明的是，上述病毒哈希特征库可以动态更新，随着病毒的增加，将新增的病毒的病毒特征进行哈希计算，得到新增的病毒的特征哈希值，进而将该特征哈希值更新到病毒哈希特征库中。
63.值得注意的是，上述病毒哈希特征库中还可以包括病毒的病毒标识，即该病毒哈希特征库中记录病毒标识与病毒特征之间的对应关系，这样，在将局部哈希值与病毒哈希特征库进行匹配时，不仅可以识别出待识别文件是否存在病毒，还可以识别出属于哪种病毒。具体来说，在确认该局部哈希值在该病毒哈希特征库中，进而确认待识别文件存在病毒，同时还可以基于病毒标识与病毒特征之间的对应关系，确定出待识别文件存在的病毒
的病毒标识。这样，不仅可以提升病毒识别结果的准确度，同时当将病毒识别结果展示给用户后，还可以方便用户基于识别出的病毒执行有效应对措施。
64.s105、当匹配成功时，则确认所述待识别文件为病毒文件。
65.通过实施本技术上述文件识别方法，本技术在对接收到的待识别文件进行文件识别后，当识别出待识别文件为设定类型的文件时，从待识别文件中提取出文件头；然后对文件头中的目标信息进行哈希计算，得到局部哈希值；将局部哈希值与病毒哈希特征库进行匹配；当匹配成功时，则确认待识别文件为病毒文件。本实施例只需要对待识别文件的文件头进行局部哈希计算，就可以基于局部哈希计算得到的局部哈希结果与病毒哈希特征库进行匹配处理，从而识别出待识别文件是否为病毒文件，这样一来，在对经过网络设备的文件进行病毒检测时，不仅不需要占用较多的内存，而且提升了病毒检测结果的准确度。此外，由于不需要基于整个待识别文件进行哈希计算，从而提升了文件识别的识别速度。
66.可选地，上述待识别文件可以但不限于为可执行文件、office文件和压缩文件等等。
67.可选地，上述设定类型可以但不限于为windows操作系统下的pe可执行文件。在此基础上，上述文件头包括映像文件头和可选映像头；基于此，可以按照下述过程执行步骤s103：对所述映像文件头进行哈希计算，得到中间哈希值；根据机器类型码，从所述可选映像头中提取出与所述机器类型码相匹配的目标可选映像头信息；根据所述中间哈希值和所述目标可选映像头信息进行哈希计算，得到所述局部哈希值。
68.可选地，可以按照下述过程执行步骤s102：利用所述设定类型对应的文件解析插件对所述待识别文件进行拆解处理，以提取出所述待识别文件中的文件头。
69.具体地，可以利用与待识别文件对应的文件解析插件对待识别文件进行拆解处理，当识别出的待识别文件的文件类型为pe类型的pe可执行文件时，则在利用pe可执行文件的文件解析插件在对pe可执行文件进行解析识别时，可以解析出映射文件头和可选映像头。
70.在此基础之上，由于网络安全设备的流量是持续进入该网络安全设备的，相应地，在进行待识别文件识别时，也是要持续进行的，即而根据报文头中内容的先后顺序，会先识别出映像文件头，后续陆续接收到该待识别文件报文头的其他内容时，会继续识别出可选映像头，有鉴于此，在进行哈希计算时，会先对解析出的映像文件头中的内容进行哈希计算处理，得到中间哈希值，待识别出可选映像头后，根据中间哈希值与提取出的可选映像头进行二次哈希计算，从而得到局部哈希值。
71.值得注意的是，由于病毒所支持的机器类型码的位宽不同，因此，要根据机器类型码的位宽选取进行二次哈希的目标可选映像头，即，在进行映像文件头的解析出，会从该映像文件头中解析出机器类型码，在此基础上，在提取出可选映像头后，可以从该可选映像头中提取出与前述解析出的机器类型码的位宽一致的目标可选映像头信息，然后基于中间哈希值和目标可选影响头信息进行哈希计算，从而得到局部哈希值，从而适配病毒所支持的机器类型码，进而基于局部哈希值以准备地识别出待识别文件是否为病毒文件。
72.可选地，基于上述任一实施例，本实施例中，当未匹配成功时，则对所述待识别文件进行模式串特征匹配，以识别所述待识别文件是否为病毒文件。
73.具体地，当基于局部哈希值未匹配成功时，则在一定程度上可以确认待识别文件
不为病毒文件，为了更准备地的对待识别文件进行病毒检测，本实施例提出，会对待识别文件进行模式串特征匹配，以进一步确认待识别文件是否为病毒文件，从而更进一步地提升待识别文件的病毒识别结果。
74.需要说明的是，基于模式串特征匹配的方法可以参考目前提供的方法实施，本实施例对此不进行限定。
75.进一步地，当所述局部哈希值与所述病毒哈希特征库未匹配成功，或者对所述待识别文件进行模式串特征匹配时未识别出所述待识别文件为病毒文件时，则当所述待识别文件为完整的文件时，则对所述待识别文件进行全文哈希计算，得到哈希结果，根据所述哈希结果识别所述待识别文件是否为病毒文件。
76.具体地，当基于局部哈希值与病毒哈希特征库匹配结果为未匹配成功时，则为了更准确地对待识别文件进行病毒识别，本实施例提出，确认当前的待识别文件是否完整，若当前的待识别文件时完整的文件，则对该待识别文件进行哈希计算，得到哈希结果，然后根据该哈希结果确认待识别文件是否为病毒文件，从而进一步提升文件的病毒检测结果的准确度。
77.而当进行模式串特征匹配的匹配结果为未成功时，则表明基于局部哈希值及模式串特征匹配的结果均为未匹配成功，则本实施例中提出确认当前的待识别文件是否完整，若当前的待识别文件时完整的文件，则对该待识别文件进行哈希计算，得到哈希结果，然后根据该哈希结果确认待识别文件是否为病毒文件，从而进一步提升文件的病毒检测结果的准确度。
78.需要说明的是，基于完整的待识别文件进行病毒识别可以按照目前所提供的方法来实施，本实施例对此不进行限定。
79.可选地，在进行哈希计算时，可以但不限于采用信息摘要md5算法等等。
80.需要说明的是，上述解析出的映像文件头可以但不限于包括机器类型码machine、待识别文件中的段的数量、可选映像头的大小等等。
81.当上述待识别文件为pe可执行文件时，则提取的文件头可以记为pe file header，在此基础上，在利用pe可执行文件对应的文件解析插件对该pe可执行文件进行文件拆解时，除了可以拆解出映像文件头和可选映像头之外，还可以拆解出dos头、dos stub、pe signature等信息。
82.首先，上述该映像文件头中的内容介绍如下：
83.上述机器类型识别码，记为machine，每个cpu都用于的唯一的machine码，可以但不限于包括32位、64位等等，如兼容32位intel x86芯片的machine码为14c。
84.上述待识别文件中的段的数量，记为number of sections，指出文件中存在的节区数量，即pe文件中的section段的数量，如pe节表部分的data、text等section段个数。
85.可选映像头的大小，记为size of optional header，结构体可选映像头pe option header的大小。
86.上述可选映像头，记为pe option header，其结构体为image_optional_header32，该可选映像头的主要成员有9个，具体为：
87.魔术字，magic，用于表示待识别文件的类型为pe类型，32位或64位。
88.address of entry point，为程序入口地址，指出程序最先执行的代码起始地址。
89.image base，为映像基址，pe文件在内存空间中的映射其实地址位置，指出文件的优先装入地址(32位进程虚拟内存范围为：0～7fffffff)。
90.section alignment，为内存对齐粒度，即pe文件映射到内存时的对齐粒度。file alignment为磁盘对齐粒度，即pe文件在磁盘中存储时的对齐粒度。前者制定了节区在内存中的最小单位，后者制定了节区在磁盘文件中的最小单位。
91.size of image：为pe文件在内存中映像总大小，即指定了pe image在虚拟内存中所占空间的大小。
92.size of headers，为整个pe头的大小，包括dos头+pe标记+标准pe头+可选pe头+节表总大小。
93.subsystem，为用户界面使用的子系统，区分系统驱动文件和普通可执行文件。
94.number of rva and size，为目录项数目，指定data directory数组的个数。
95.data directory，由数据目录表image_data_directory结构体组成的数组。
96.需要说明的是，针对于程序入口地址、节区结构地址、时间戳、pe image在虚拟内存中所占用空间大小等信息可以确定一种病毒文件。
97.采用本技术任一实施例提供的文件识别方法，即使对文件局部修改不敏感，当一个病毒文件发生变种(如代码段发生改变或者附加数据发生改变)，但该文件上述文件头部信息是固定的，因此，这样对于相似变种病毒可以通过同一个规则进行检出，从而提升了本技术提供的文件识别方法的实用性和通用性。此外，为了减少误报率，在分析海量样本提取局部哈希规则时，将pe加壳、加包、感染式等容易出现误报的规则剔除，而针对去除的部分可以通过全文哈希和模式串特征匹配进行补充检测，从而更进一步地提升了文件识别的准确度。
98.至此，通过采用本技术任一实施例提供的文件识别方法，采用局部哈希计算方法具有一定程度的归并率，与全文哈希算法相比，本技术的局部哈希算法可以覆盖大量的病毒样本，而且减少了内存使用。
99.此外，对于局部哈希匹配方法，由于所关注的pe文件的信息在文件头部，所以只需要计算处理pe文件的前若干多个字节，不需要对全文进行哈希的计算和匹配，或者对整个文件进行ac匹配处理，这样大大减少了cpu使用率，同时，文件识别性能得到了大幅度的提升。
100.再者，由于对于大部分场景的首包即可将局部哈希计算出来，所以对于报文乱序的情况，包括ip层乱系、tcp乱序、应用层乱序等场景在没有重组的情况的下，采用本技术任一提供的文件识别方法也可以提升识别率。
101.基于同一发明构思，本技术还提供了与上述文件识别方法对应的文件识别装置。该文件识别装置的实施具体可以参考上述对文件识别方法的描述，此处不再一一论述。
102.参见图2，图2是本技术一示例性实施例提供的一种文件识别装置，设置于网络安全设备中，该装置，包括：
103.识别模块201，用于对接收到的待识别文件进行文件识别；
104.提取模块202，用于当所述待识别文件为设定类型的文件时，则从所述待识别文件中提取出文件头；
105.哈希计算模块203，用于对所述文件头中的目标信息进行哈希计算，得到局部哈希
值；
106.第一匹配模块204，用于将所述局部哈希值与病毒哈希特征库进行匹配，所述病毒哈希特征库包括病毒的特征哈希值；
107.确认模块205，用于当所述第一匹配模块的匹配结果为匹配成功时，则确认所述待识别文件为病毒文件。
108.可选地，基于上述实施例，本实施例中的待识别文件包括windows操作系统下的可执行文件；所述文件头包括映像文件头和可选映像头；
109.在此基础上，所述哈希计算模块203，具体用于对所述映像文件头进行哈希计算，得到中间哈希值；根据机器类型码，从所述可选映像头中提取出与所述机器类型码相匹配的目标可选映像头信息；根据所述中间哈希值和所述目标可选映像头信息进行哈希计算，得到所述局部哈希值。
110.可选地，基于上述任一实施例，本实施例中提供的文件识别装置，还包括：
111.第二匹配模块(图中未示出)，用于当所述第一匹配模块的匹配结果为未匹配成功时，对所述待识别文件进行模式串特征匹配，以识别所述待识别文件是否为病毒文件。
112.进一步地，本实施例提供的报文处理装置，还包括：
113.第三匹配模块(图中未示出)，用于当所述第一匹配模块204的匹配结果为未匹配成功，或者，所述第二匹配模块(图中未示出)的匹配结果为未识别出所述待识别文件为病毒文件时，则当所述待识别文件为完整的文件时，则对所述待识别文件进行全文哈希计算，得到哈希结果，根据所述哈希结果识别所述待识别文件是否为病毒文件。
114.可选地，基于上述任一实施例，上述提取模块202，具体用于利用所述设定类型对应的文件解析插件对所述待识别文件进行拆解处理，以提取出所述待识别文件中的文件头。
115.本技术任一实施例提供的文件识别装置中，在对接收到的待识别文件进行文件识别后，当识别出待识别文件为设定类型的文件时，从待识别文件中提取出文件头；然后对文件头中的目标信息进行哈希计算，得到局部哈希值；将局部哈希值与病毒哈希特征库进行匹配；当匹配成功时，则确认待识别文件为病毒文件。本实施例只需要对待识别文件的文件头进行局部哈希计算，就可以基于局部哈希计算得到的局部哈希结果与病毒哈希特征库进行匹配处理，从而识别出待识别文件是否为病毒文件，这样一来，在对经过网络设备的文件进行病毒检测时，不仅不需要占用较多的内存，而且提升了病毒检测结果的准确度。此外，由于不需要基于整个待识别文件进行哈希计算，从而提升了文件识别的识别速度。
116.基于同一发明构思，本技术实施例提供了一种电子设备，该电子设备可以但不限于为上述网络安全设备。如图3所示，该电子设备包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本技术任一实施例所提供的文件识别方法。此外，该电子设备还包括通信接口303和通信总线304，其中，处理器301，通信接口303，机器可读存储介质302通过通信总线304完成相互间的通信。
117.上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便
于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
118.通信接口用于上述电子设备与其他设备之间的通信。
119.上述机器可读存储介质302可以为存储器，该存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
120.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
121.对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
122.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
123.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
124.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
125.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。