可穿戴式设备的网络数据安全方法、装置及存储介质与流程

本申请涉及网络信息安全技术领域，特别涉及一种可穿戴式设备的网络数据安全方法、装置及存储介质。

背景技术：

随着科技的发展，可穿戴式设备被广泛地使用。常见的可穿戴式设备包括：智能手环、智能手表、智能腕带、智能耳环、智能鞋、智能腰带等。

在可穿戴式设备发展的过程中，其更多的作用被开发出来。目前，可穿戴式设备多具有联网功能，用户可以通过近场通信(nearfieldcommunication，nfc)、无线上网(wi-fi)、蓝牙、蜂窝移动网络连接等通信模式，将可穿戴式设备与其他设备进行连接，从而在可穿戴式设备上实现网址的访问、数据的上传与下载等功能。由于产品种类较多，为了适应不同种类产品的数据传输需求，目前的可穿戴式设备多使用明文或简单的加密方式进行数据的处理与传输。

然而，目前可穿戴式设备的数据传输方式缺少对于可穿戴式设备相关的信息的监测动作，导致可穿戴式设备被信息劫持或被入侵攻击的现象时有发生，可穿戴式设备的安全无法保障。

技术实现要素：

本申请关于一种可穿戴式设备的网络数据安全方法、装置及存储介质，能够解决因缺少对于可穿戴式设备相关的信息的检测动作，导致可穿戴式设备的设备安全无法保障的问题。该技术方案如下：

一方面，提供了一种可穿戴式设备的网络数据安全方法，该方法包括：

获取与所述可穿戴式设备相关的网络数据；

将所述网络数据输入至相似度模型集合进行识别，所述相似度模型集合包括至少两个相似度模型，所述至少两个相似度模型用于从至少两个不同的维度识别网络数据的弱特征；所述相似度模型集合中的所述相似度模型是基于主动学习方式学习得到的；

获取所述至少两个相似度模型对所述网络数据的至少两个弱识别结果；

根据所述至少两个弱识别结果得到所述网络数据的风险分数；

当所述风险分数达到报警阈值时，确定所述网络数据是风险数据。

另一方面，提供了一种可穿戴式设备的网络数据安全装置，该装置包括：

获取模块、识别模块和处理模块；

获取模块，被配置为获取与可穿戴式设备相关的网络数据；

识别模块，被配置为将网络数据输入至相似度模型集合进行识别，相似度模型集合包括至少两个相似度模型，至少两个相似度模型用于从至少两个不同的维度识别网络数据的弱特征；相似度模型集合中的相似度模型是基于主动学习方式学习得到的；

获取模块，被配置为获取至少两个相似度模型对网络数据的至少两个弱识别结果；

处理模块，被配置为根据至少两个弱识别结果得到网络数据的风险分数；

处理模块，被配置为当风险分数达到报警阈值时，确定网络数据是风险数据。

另一方面，提供了一种计算机设备，所述计算机设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述本申请实施例中提供的可穿戴式设备的网络数据安全方法。

另一方面，提供了一种计算机可读存储介质，所述可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如上述本申请实施例中提供的可穿戴式设备的网络数据安全方法。

本申请提供的技术方案带来的有益效果至少包括：

通过网络监测装置对可穿戴式设备相关的网络数据的获取以及采用相似度模型集合进行识别，对达到报警阈值的网络数据区分为风险数据并进行预警的方法，完成了对可穿戴式设备相关的信息的安全监测，达到了对可穿戴式设备的信息安全防护效果。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了相关技术中可穿戴式设备的信息网络结构示意图；

图2示出了本申请一个示例性实施例提供的可穿戴式设备的信息网络结构示意图；

图3示出了本申请另一个示例性实施例提供的可穿戴式设备的信息网络结构示意图；

图4示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图；

图5示出了本申请实施例提供的一个采用相似度模型集合对网络数据进行识别的流程示意图；

图6示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图；

图7示出了本申请实施例一种相似度模型机器学习方法的流程图；

图8示出了本申请实施例一种相似度模型主动学习的训练方法的流程图；

图9示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图；

图10示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，可以对网络数据进行识别的情况的流程示意图；

图11示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，可以对网络数据进行识别的情况的流程示意图；

图12示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，无法对网络数据进行识别的情况的流程示意图；

图13示出了本申请实施例提供的一种可穿戴式设备的网络数据安全流程的示意图；

图14示出了本申请实施例提供的一种可穿戴式设备的网络数据安全装置的框图；

图15示出了本申请一个示例性实施例提供的服务器的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请实施方式作进一步地详细描述。

首先，对本申请实施例中涉及的名词进行简单的介绍：

可穿戴式设备：指直接穿在身上，或是整合到用户的衣服，或是其他穿戴配件上的一种便携式设备。可穿戴式设备不仅是一种硬件设备，还可以通过软件的支持以及数据的交互、云端的交互来实现数据传输的功能。可穿戴式设备的主流产品形态包括：以手腕为支撑的watch类(包括手表和腕带等产品)，以脚为支撑的shoes类(包括鞋、袜子以及其他佩戴于腿部的产品)，以头部为支撑的glass类(包括眼镜、头盔、头带)，以及智能服装、书包、配饰等非主流形态产品。

应用程序的调用接口(applicationprograminterface，api)：api是一组定义、程序及协议的集合，通过api接口的设置可以实现终端软件与其他软件之间的互相通信。api具有文件传输功能，可以通过格式化文件的发送实现应用程序之间的数据共享。

旁路监测：指一种通过端口镜像对向某终端传输的信息进行监测的模式。通过交换机、路由器等网络设备，可以实现对于目标终端设备网络接收端口的镜像，再通过将监控设备连接到交换机的指定镜像端口，即可完成旁路监测。在旁路监测的过程中，可以通过设置监测ip地址段的方式，对一个ip地址段中符合条件的所有用户终端进行监测。

人工智能(artificialintelligence,ai)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能，感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。换句话说，人工智能是计算机科学的一个综合技术，它企图了解智能的实质，并生产出一种新的能以人类智能相似的方式做出反应的智能机器。人工智能也就是研究各种智能机器的设计原理与实现方法，使机器具有感知、推理与决策的功能。

人工智能技术是一门综合学科，涉及领域广泛，既有硬件层面的技术也有软件层面的技术。人工智能基础技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理技术、操作/交互系统、机电一体化等技术。人工智能软件技术主要包括计算机视觉技术、语音处理技术、自然语言处理技术以及机器学习/深度学习等几大方向。

机器学习(machinelearning,ml)，是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能的核心，是使计算机具有智能的根本途径，其应用遍及人工智能的各个领域。机器学习和深度学习通常包括人工神经网络、置信网络、强化学习、迁移学习、归纳学习、示教学习等技术。

示意性地，图1示出了相关技术中可穿戴式设备的信息网络结构的示意图。可穿戴式设备的通信模式包括近场通信(nearfieldcommunication，nfc)、无线上网(wi-fi)、蓝牙连接以及蜂窝移动网络连接。在一个可能的可穿戴式设备的网络结构中，数据发送设备101需要向数个可穿戴式设备发送同样的网络数据102，但其发送网络数据的方法并不相同，并且需要视可穿戴式设备的接收方式而定。对于仅支持wi-fi传输方式的可穿戴式设备104，数据发送设备101需要将网络数据102上传至服务器103中某个ip地址，可穿戴式设备通过wi-fi连接网络后，即可从该ip地址获取该网络数据102。对于仅支持蓝牙方式传输的可穿戴式设备106，数据发送设备101可以直接通过蓝牙与可穿戴式设备106进行连接，可穿戴式设备106即可从数据发送设备101中获取网络数据102。对于既支持nfc连接方式，又支持蜂窝移动网络连接方式的可穿戴式设备105，数据发送设备101既可以直接与可穿戴式设备105通过nfc进行连接，又可以将网络数据102上传至服务器103中的某个ip地址，可穿戴式设备105也可以通过直接从数据发送设备101与从服务器103中某个ip地址两种接收渠道对信息进行接收。

图2示出了本申请一个示例性实施例提供的可穿戴式设备的信息网络结构的示意图。在本实施例中通过旁路监测的方式以及预先的ip接收频段的设定，网络监测装置107可以实现对可穿戴式设备104、可穿戴式设备105、可穿戴式设备106的相关网络数据102的收集，并且对相关网络数据102进行下一步处理。由于使用了端口镜像的旁路监测模式，监测过程不会对可穿戴式设备与网络的连接产生影响。可选地，网络监测装置107还可以通过扫描探测的方式，实现对可穿戴式设备104、可穿戴式设备105、可穿戴式设备106的数据协议的解析，并获取明文传输的网络数据102。由于使用了扫描探测的方式，监测过程不会对可穿戴式设备与网络的连接产生影响。可选地，本实施例中的网络监测装置107可以实现为包括如智能音箱的智能家居设备，如路由器、交换机的网关设备中的一部分以及可穿戴式设备智能中台管控装置等产品形式。

在基于图2的可穿戴式设备的信息网络结构的示意图的基础上，图3示出了本申请另一个示例性实施例提供的可穿戴式设备的信息网络结构的示意图。在本实施例中，可穿戴式设备104、可穿戴式设备105、可穿戴式设备106以及网络监测装置107上均设有api接口，可穿戴式设备通过api接口实现与网络监测装置107之间的格式化数据传输，实现可穿戴式设备主动将网络数据102传输到网络监测装置107中，且网络监测装置107可以在扫描以及旁路镜像之前即得知可穿戴式设备的版本与型号的效果。

图4示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图。以该方法应用于网络监测装置中为例进行说明，如图4所示，该方法包括：

步骤401，获取与可穿戴式设备相关的网络数据。

可选地，可穿戴式设备相关的网络数据包括：发送给可穿戴式设备的网络数据以及可穿戴设备对外发出的网络数据。

可选地，网络监测装置获取网络数据的方式根据网络监测装置与可穿戴式设备的连接以及网络监测装置的功能确定。在一个示例中，网络监测装置与可穿戴式设备之间存在有线连接，网络监测装置通过镜像可穿戴式设备的数据端口，对可穿戴式设备的相关网络数据进行直接收集；在另一个示例中，网络监测装置具备扫描探测无线形式的网络数据的功能，则网络监测装置通过扫描探测的方式获取可穿戴式设备的相关网络数据；在另一个示例中，网络监测装置和可穿戴式设备上都设置有api端口，且通过api协议进行连接，则可穿戴式设备可以主动将发送给其的可穿戴式设备相关的网络数据向网络监测装置进行发送，网络监测装置即可获取可穿戴式设备的相关网络数据。

示例性的，网络监测装置对可穿戴式设备的相关网络数据的收集，是经过用户同意后的收集行为。

可选地，网络监测装置在获取可穿戴式设备相关的网络数据的同时，还通过反向探测确定可穿戴式设备的型号和版本(或者两者中的至少一种)。

步骤402，将网络数据输入至相似度模型集合进行识别。

可选地，将网络数据输入至相似度模型集合进行识别，包括对网络数据中的特征进行识别。特征指网络数据在传输过程中所具有的属性，包括在网络数据本身的属性以及网络数据在传输的过程中产生的属性。可选地，特征包括强特征与弱特征，被相似度模型集合所包含的特征被称为弱特征，未被相似度模型集合所包含的特征被称为强特征。

相似度模型集合由n个相似度模型组成，n为大于等于2的正整数。

可选地，相似度模型包括但不限于用于从信息维度进行识别的信息相似度模型、用于从时间维度进行识别的时间相似度模型、用于从频率维度进行识别的频率相似度模型、用于从信号维度进行识别的信号相似度模型中的至少一种。

用于从信息维度进行识别的信息相似度模型指：相似度模型通过提取可穿戴设备相关的网络数据中信息维度的相关弱特征并进行机器学习的方式，识别网络数据是否为正常数据或风险数据的模型。示例性地，通过提取可穿戴设备相关的网络数据中指示信息具体内容(比如ip地址段、设备型号、数据包大小)的某个弱特征并进行机器学习，识别网络数据是否为正常数据或风险数据。信息维度的弱特征包括：网络数据的数据大小、网络数据的数据类型。

用于从时间维度进行识别的时间相似度模型指相似度模型通过提取可穿戴设备相关的网络数据中时间维度的相关弱特征并进行机器学习的方式，识别网络数据是否为正常数据或风险数据的模型。示例性地，通过提取可穿戴设备相关的网络数据中指示可穿戴式设备接收到网络数据信号到完全接收到网络数据时间长度的时间(以及周期)的弱特征并进行机器学习，识别网络数据是否为正常数据或风险数据。时间维度的弱特征包括：网络数据被拆分为多组时发送的时间间隔、可穿戴设备接收网络数据花费的时间、网络数据发送的时刻。

用于从频率维度进行识别的频率相似度模型指相似度模型通过提取可穿戴设备相关的网络数据中频率维度的相关弱特征并进行机器学习的方式，识别网络数据是否为正常数据或风险数据的模型。示例性地，通过提取可穿戴设备相关的网络数据中指示网络数据传输过程中可穿戴设备发出信号的发送频率相关的某个弱特征并进行机器学习，识别网络数据是否为正常数据或风险数据。频率维度的弱特征包括：可穿戴式设备发送网络数据的频率、在接收或发送网络数据时可穿戴式设备的工作频率。

用于从信号维度进行识别的信号相似度模型指相似度模型通过提取可穿戴设备相关的网络数据中信号维度的相关弱特征并进行机器学习的方式，识别网络数据是否为正常数据或风险数据的模型。示例性地，通过提取可穿戴设备相关的网络数据中指示网络数据传输过程中传输信号相关的某个弱特征并进行机器学习，识别网络数据是否为正常数据或风险数据。信号维度的弱特征包括：可穿戴式设备接收或发送网络数据时使用的信号类型；可穿戴式设备接收或发送网络数据时接受的通讯协议。

步骤403，获取至少两个相似度模型对网络数据的至少两个弱识别结果。

因弱识别是对于弱特征的识别，单个识别特征的准确率相较于往往较低，故在一个相似度模型集合中，获取至少两个弱识别结果进行步骤404的风险分数计算。

可选地，相似度模型的弱识别结果以相似度分数的形式体现。

可选地，相似度分数包括第一相似度分数与第二相似度分数。当第一相似度分数达到阈值时，确定网络数据不是风险数据；当第二相似度分数达到阈值时，确定网络数据是风险数据。

可选地，第一相似度分数与第二相似度分数均为大于等于0，小于等于1，且以百分数形式表示的数。第一相似度分数越高，代表网络数据不是风险数据的概率越大，第二相似度分数越高，代表网络数据是风险数据的概率越大。

步骤404，根据至少两个弱识别结果得到网络数据的风险分数。

步骤405，当风险分数达到报警阈值时，确定网络数据是风险数据。

图5示出了本申请实施例提供的一个采用相似度模型集合对网络数据进行识别的流程示意图：

参考图5，数据发送设备501将网络数据502发送给眼部可穿戴式设备503，网络数据502本身以及在发送过程中共携带有包括以下两条特征：特征1：数据传输时间共10秒；特征2：数据为exe格式。网络监测装置504通过对网络数据502的获取，以及对眼部可穿戴式设备503的版本和型号的获取，对网络数据502进行识别。

对于网络数据502的识别是通过相似度模型集合505进行的。相似度模型集合505包括第一相似度模型506与第二相似度模型507，第一相似度模型506是时间相似度模型，主要用于将网络数据中的数据传输时间作为弱特征；第二相似度模型507是信息相似度模型，主要用于将数据传输的格式作为弱特征。网络数据与第一相似度模型506比较所得的分数为第一相似度分数508，即达到阈值时，认为该网络数据不是风险数据的相似度分数；网络数据与第二相似度模型507比较所得的分数为第二相似度分数509，即达到阈值时，认为该数据是风险数据的相似度分数。对于该网络数据，信息格式相比于传输时间较为重要，故第二相似度模型507的权重为0.8，第一相似度模型506的权重为0.2。该网络数据通过第一相似度模型得到的分数为20％，通过第二相似度模型得到的分数为60％，报警阈值为50％，则网络数据502通过该相似度模型集合505，确定的风险分数为20％*0.2+60％*0.8＝52％，则网络数据502被确定为风险数据。

可选地，当网络监测装置将网络数据视为风险数据时，将会对风险数据进行预警过程。当网络监测装置与可穿戴式设备通过api接口连接，或可穿戴式设备主动向网络监测装置发送风险数据的数据包的情况下，网络监测装置对风险数据进行数据牵引和数据清洗。数据牵引是指将风险数据从可穿戴设备中转移到其他位置，可选地，网络监测装置中额外配置的处理模块，进行网络数据的进一步隔离与检查；数据清洗是指对风险数据中的全部或某段风险数据进行数据的删除或修改。

可选地，当网络监测装置将网络数据视为正常数据时，将按照网络数据的要求进行后续处理。

可选地，本申请实施例提供的方法，还可以在网络监测装置与可穿戴式设备通过api接口或其他可以交流数据的传输协议进行连接的情况下，具有信息整合与管理功能。网络监测装置中带有管理模型，作用包括：将白名单特征集，黑名单特征集以及相似度模型进行归纳与集合，进行统一展现、汇总、关联工作，并且向可穿戴式设备公开数据，实现通过已有数据进行风险数据的预警的功能。

综上所述，本实施例提供的方法，通过网络监测装置对可穿戴式设备相关的网络数据的获取以及采用相似度模型集合进行识别，对达到报警阈值的网络数据区分为风险数据并进行预警的方法，完成了对可穿戴式设备相关的信息的安全监测，达到了对可穿戴式设备的信息安全防护效果。

图6示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图，该方法包括：

步骤601，获取可穿戴设备相关的网络数据。

步骤602，将网络数据输入至第一相似度模型进行识别。

在本实施例中，当通过网络数据的某项弱特征识别网络数据是否为风险数据的准确率足够高时，可只选用一个相似度模型对网络数据进行识别。

步骤603，获取第一相似度模型对网络数据的第一相似度分数。

可选地，第一相似度模型通过机器学习的方式对网络数据进行第一相似度分数的确定。第一相似度模型是从包括信息维度、时间维度、频率维度、信号维度中的至少一个维度进行识别的相似度模型。

可选地，当第一相似度分数达到阈值时，确定网络数据不是风险数据。第一相似度分数为大于等于0，小于等于1，且以百分数形式表示的数。第一相似度分数越高，代表网络数据不是风险数据的概率越大。

步骤604，当第一相似度分数达到阈值时，确定网络数据不是风险数据。

在一个示例中，经过第一相似度模型的识别，确定其相似度分数为70％，与设定阈值相比较。因设定阈值为50％，故最终确定网络数据不是风险数据。

可选地，步骤602中的第一相似度模型可以替换为第二相似度模型，则此时，步骤603被替换为“获取第二相似度模型对网络数据的第二相似度分数”，步骤604被替换为“当第二相似度分数达到阈值时，确定网络数据是风险数据”。第二相似度模型通过机器学习的方式对网络数据进行第二相似度分数的确定。第二相似度模型是从包括信息维度、时间维度、频率维度、信号维度中的至少一个维度进行识别的相似度模型。可选地，当第二相似度分数达到阈值时，确定网络数据是风险数据。第二相似度分数为大于等于0，小于等于1，且以百分数形式表示的数。第二相似度分数越高，代表网络数据是风险数据的概率越大。

综上所述，通过网络监测装置对可穿戴式设备相关的网络数据的获取以及采用相似度模型集合进行识别，对达到报警阈值的网络数据区分为风险数据并进行预警的方法，完成了对可穿戴式设备相关的信息的安全监测，达到了对可穿戴式设备的信息安全防护效果。当某项弱特征识别网络数据是否为风险数据的准确率足够高时，只选用一个相似度模型对网络数据进行识别，避免了使用多个模型从多维度识别的冗余过程，提高了数据监测装置的效率。通过第一相似度模型和第二相似度模型的区分，使网络数据的分类更有针对性，可以针对不同的场合进行模型的使用。

在上述实施例中，相似度模型集合中的相似度模型、第一相似度模型与第二相似度模型均是基于人工智能，并通过机器学习的方式获得，并且使用主动学习的方式加以训练得到的。图7示出了本申请实施例一种相似度模型机器学习方法的流程图，该方法包括以下步骤：

步骤701，获取预先进行过识别的机器学习样本。

可选地，机器学习样本为经过人工识别或其他方式识别，已经得知属于正常数据或是风险数据的网络数据。可选地，机器学习的样本包括正样本和负样本，正样本指属于正常数据的网络数据样本，负样本指属于风险数据的网络数据样本。

步骤702，将样本输入相似度模型进行训练，获得相似度分数。

可选地，输入相似度模型的样本为包含了对应相似度模型识别的弱特征的网络数据。相似度模型通过获取该网络数据的相似度分数进行训练。

步骤703，将相似度分数与预先识别结果进行比对，获得误差。

相似度模型内设有阈值，可选地，当相似度分数达到阈值时，确定该网络数据是风险数据；可选地，当相似度分数达到阈值时，确定该网络数据不是风险数据。在一个示例中，当相似度分数达到阈值时，确定该网络数据是风险数据。则在此相似度模型中，当通过相似度模型的网络数据预先识别时为风险数据，而经过该相似度模型得到的相似度分数未达到阈值，则将该网络数据视为该相似度模型的一个错误样本，在所有的网络数据通过相似度模型识别完毕之后，错误样本占全部样本的比例称为该相似度模型的误差。在一个示例中，有300个网络数据作为样本被输入相似度模型进行识别，而识别结果中有120个数据与预先识别的结果不符，则该相似度模型的误差为40％。

步骤704，采用误差反向传播算法，对相似度模型进行修正。

误差反向传播算法为机器学习过程中常用的一种修正模型的方法。其原理是将误差以某种形式重新输入到模型当中，分摊给各层的所有单元，从而获得各层单元的误差信号，进而对各个单元进行修正。可选地，将相似度模型的误差以某种形式重新输入到模型当中，获得模型中各个单元的误差信号，从而对各个单元的误差进行修正，达到对相似度模型整体修正的效果。

步骤705，当训练达到质量或数量要求时，停止训练。

可选地，训练达到质量要求，指相似度模型的误差不可再被减小。因为误差反向传播算法为一种趋向于选择目前问题最优解而非问题整体最优解的贪婪算法，故无法保证最终训练结果一定为误差为0，所以在相似度误差的模型不可再被减小时，停止训练。可选地，训练达到数量要求，指一次训练过程中相似度模型识别的网络数据达到一定数量。在一个示例中，输入相似度模型并得到识别结果的网络数据达到300个时，停止训练。

图8示出了本申请实施例一种相似度模型主动学习的训练方法的流程图，该方法包括以下步骤：

步骤801，获取相似度模型对网络数据的风险数据。

获取相似度模型对网络数据的风险数据，包括获取第一相似度模型对网络数据的第一相似度分数，第二相似度模型对网络数据的第二相似度分数，以及相似度模型集合对网络数据进行识别后得到的风险数据。

步骤802，将风险分数属于无法分辨区间的网络数据进行人工标定，得到网络数据的人工标定结果。

可选地，无法分辨区间的网络数据包括无法分辨的网络数据和区间分辨错误的网络数据。无法分辨的网络数据包括因设定阈值原因而无法分辨的网络数据。在一个示例中，网络数据通过相似度模型集合，该相似度模型集合的阈值设定方式为：当网络数据的风险分数大于或等于70％时，识别该网络数据为风险数据，当网络数据的风险分数小于或等于30％时，识别该网络数据为正常数据。在此情况下，当一个数据的风险分数为50％时，则该网络数据属于因设定阈值原因而无法分辨的网络数据。在另一个示例中，网络数据通过相似度模型集合，该相似度模型集合的阈值设定方式为：当网络数据的风险分数大于或等于70％时，识别该网络数据为风险数据，当网络数据的风险分数小于或等于30％时，识别该网络数据为正常数据。在此情况下，当一个数据的风险分数为20％，但其后续行为可以通过人工或机器识别为风险数据，则该网络数据属于区间分辨错误的网络数据。

人工标定的方式即指将无法分辨的网络数据和区间分辨错误的网络数据通过人工检测的方式判断是否属于风险数据，并进行标定。

步骤803，将网络数据和人工标定结果添加至主动学习池。

主动学习池指相似度模型进行下一次训练时使用的网络数据以及人工标定结果的集合。添加至主动学习池的网络数据包括经过人工标定后的无法分辨的网络数据以及人工标定后的区间分辨错误的网络数据。

步骤804，通过主动学习池对相似度模型进行再次训练。

可选地，当距上一次主动学习训练时间达到一定长度时，通过主动学习池对相似度模型进行再次训练；可选地，当主动学习池中的网络数据数量达到阈值时，通过主动学习池对相似度模型进行再次训练。通过将之前训练的错误数据重复输入相似度模型的方法，提高机器学习的学习效率。

综上所述，本实施例提供的方法，通过基于人工智能的机器学习的方式获得相似度模型，并且通过主动学习的方式对其加以训练，可以在使用的过程中提高识别模型的准确度，在达到准确度上限之前，可以达到使模型准确度不断提高，对网络数据的识别越来越精确的效果。

图9示出了本申请实施例提供的一种可穿戴式设备的网络数据安全方法的流程图，该方法包括：

步骤901，获取与可穿戴式设备相关的网络数据；

步骤902，对网络数据采用白名单特征集进行识别；

特征指网络数据在传输过程中所具有的属性，包括在网络数据本身的属性以及网络数据在传输的过程中产生的属性。特征集即为若干个特征构成的集合。

可选地，当网络监测装置接收到可穿戴式设备的相关网络数据时，即可从可穿戴式设备的相关网络数据中提取若干个特征。在一个示例中，若网络监测装置接收到可穿戴式设备的相关网络数据时，可穿戴式设备的相关网络数据被加密，网络监测装置即不提取网络数据中与具体数据内容相关的特征，而选择提取网络数据在传输过程中产生的特征。在一个示例中，网络监测装置通过端口镜像的方式获取可穿戴式设备相关的网络数据，其中，一个可穿戴式设备相关的网络数据为密文传输的网络数据，而网络监测装置以及镜像端口均未设置有可以对其进行解密的密钥。此时，网络监测装置可以对该网络数据在传输过程中体现出的其它特征进行提取，示例性地，提取该网络数据在传输过程中的总时间、频率、数据包的大小等特征进行提取。

可选地，在本实施例中，当采用白名单特征集对网络数据进行识别时，即将白名单特征集中的强特征与网络数据中的对应强特征进行识别；当采用黑名单特征集对网络数据进行识别时，即将黑名单特征集中的强特征与网络数据中的对应强特征进行识别。

可选地，当网络数据对应的强特征与白名单特征集(或黑名单特征集)中的全部强特征匹配时，将该网络数据识别为正常数据(或风险数据)。或，当网络数据对应的强特征与白名单特征集(或黑名单特征集)中的大于x项强特征匹配时，将该网络数据识别为正常数据(或风险数据)。或，当网络数据对应的强特征与白名单特征集(或黑名单特征集)中的大于y％项强特征匹配时，将该网络数据识别为正常数据(或风险数据)。

示例性地，白名单特征集中有12个特征，则可规定网络数据中有大于或等于8个强特征与白名单特征集中的特征相对应时，识别该网络数据为正常数据，且识别结果中有大于或等于占白名单中特征集数量50％的强特征与白名单特征集中的特征符合时，识别该数据为正常数据。此时，网络数据1中有9个与白名单特征集中的特征相对应的强特征，且识别结果有6个特征符合，则识别该数据为正常数据；网络数据2中有5个与白名单特征集中的特征相对应的强特征，且识别结果有5个符合特征，则虽然其所有特征全部符合，但因为其数量未达到要求，则网络数据2不被识别为正常数据。

示例性地，当一个白名单特征集具有12个特征，且可穿戴设备的相关网络数据具有6条以上与白名单特征集中的特征符合的强特征时，网络数据即可被视为正常数据。

可选地，白名单特征集与黑名单特征集为多组，每组白名单特征集与黑名单特征集对应一组可穿戴式设备的型号和版本。白名单特征集与黑名单特征集中的特征内容会根据步骤901中确定的可穿戴式设备的型号和版本进行改变。

可选地，白名单特征集与黑名单特征集的内容并不完全互斥，白名单特征集根据正常数据的数据特征进行设置，黑名单特征集根据风险数据的数据特征进行设置，但不排除白名单特征集和黑名单特征集中存在少量的交集特征。

步骤903，当网络数据不符合白名单特征时，对网络数据采用黑名单特征集进行识别；

白名单特征集是用于表示能够使网络数据被归纳为正常数据的特征集合。

黑名单特征集是用于表示使网络数据被归纳为风险数据的特征集合。

步骤904，当网络数据不符合黑名单特征集时，通过相似度模型集合对网络数据进行识别。

因同时存在白名单特征集和黑名单特征集，当网络数据不符合白名单特征集且符合黑名单特征集时，对网络数据进行预警。

对网络数据进行预警包括：推送报警信息、显示报警提示信息、发出报警语音、指示可穿戴式设备发出提示音、指示可穿戴式设备发出震动中的至少一种。

可选地，预警方式包括确定网络数据为风险数据。当网络监测装置与可穿戴式设备通过api接口连接，或可穿戴式设备主动向网络监测装置发送风险数据的数据包的情况下，网络监测装置对风险数据进行数据牵引和数据清洗。数据牵引是指将风险数据从可穿戴设备中转移到其他位置，可选地，网络监测装置中额外配置的处理模块，进行网络数据的进一步隔离与检查；数据清洗是指对风险数据中的全部或某段风险数据进行数据的删除或修改。

当网络数据既不符合白名单特征集又不符合黑名单特征集时，通过相似度模型集合对网络数据进行识别，即将网络数据输入相似度模型集合，并进行步骤403至步骤405的步骤，或进行步骤603至步骤604的步骤。

图10示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，可以对网络数据进行识别的情况的流程示意图，

请参考图10，数据发送设备1001将相同的网络数据1002发送至眼部可穿戴式设备1003与手部可穿戴式设备1004。网络数据1002本身以及在发送过程中共携带有包括以下四条特征：特征1，发送给眼部可穿戴式设备；特征2，每十秒发送一次数据，发送共计十次数据；特征3；每次发送的数据包大小为10kb；特征4，不需请求返回文件。网络监测装置1007通过对网络数据1002的获取，以及对眼部可穿戴式设备1003和手部可穿戴式设备1004的型号和版本的获取，得到了对应眼部可穿戴式设备1003的第一数据1008，以及对应手部可穿戴式设备1004的第二数据1009。网络监测装置1007对第一数据1008与第二数据1009分别进行识别。

对于第一数据1008，通过由眼部可穿戴式设备1003的型号和版本确定的第一白名单特征集1010以及第一黑名单特征集1012进行特征的比较识别。可选地，将网络数据1002的特征1、特征2、特征3、特征4分别与对应眼部可穿戴式设备1003的白名单特征集1010的特征1013、特征1014、特征1015、特征1016进行比较识别，可以得出：

特征1013：发送给眼部可穿戴式设备，与特征1相符合；

特征1014：每隔10～20秒发送一个数据，共计发送十次数据，与特征2相符合；

特征1015：每次发送数据包大小不限，与特征3相符合；

特征1016：不请求返回文件，与特征4相符合。

则网络数据1002符合对应眼部可穿戴式设备1003的第一白名单特征集1010。

可选地，将网络数据1002的特征1、特征2、特征3、特征4分别与对应眼部可穿戴式设备1003的黑名单特征集1012的特征1017、特征1018、特征1019、特征1020进行比较识别，可以得出：

特征1017：发送给手部可穿戴式设备，与特征1不符合；

特征1018，发送超过20次数据，与特征2不符合；

特征1019，每次发送数据包大小不限，与特征3相符合；

特征1020，请求返回20k数据包，与特征4不符合。

则网络数据1002不符合对应眼部可穿戴式设备1003的第一黑名单特征集1011。

对于第二数据1009，通过由手部可穿戴式设备1004的型号和版本确定的第二白名单特征集1011以及第一黑名单特征1013进行特征的比较识别。可选地，将网络数据2的特征1、特征2、特征3、特征4分别与对应手部可穿戴式设备1004的白名单特征集1011的特征1021、特征1022、特征1023、特征1024进行比较识别，可以得出：

特征1021：发送给手部可穿戴式设备，与特征1不符合；

特征1022：至多连续发送五次数据，与特征2不符合；

特征1023：每次发送数据包大小不限，与特征3相符合；

特征1024：不请求返回文件，与特征4相符合。

则网络数据1002不符合对应手部可穿戴式设备1004的第二白名单特征集1011。

可选地，将网络数据2的特征1、特征2、特征3、特征4分别与对应手部可穿戴式设备1004的黑名单特征集1013的特征1025、特征1026、特征1027、特征1028进行比较识别，可以得出：

特征1025：发送给眼部可穿戴式设备，与特征1相符合；

特征1026，发送超过五次数据，与特征2相符合；

特征1027，每次发送数据包大小不限，与特征3相符合；

特征1028，不请求返回文件，与特征4相符合。

则网络数据1002符合对应手部可穿戴式设备1004的黑名单特征集1011。

最终，网络监测装置1007将第一数据1008视为正常数据，而对第二数据1008进行预警过程。

图11示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，可以对网络数据进行识别的情况的流程示意图。

参考图11，参考图11，数据发送设备1101将网络数据1102发送至眼部可穿戴式设备1103。网络数据1102本身以及在发送过程中共携带有包括以下四条特征：特征1，发送给眼部可穿戴式设备；特征2，每十秒发送一次数据，发送共计十次数据；特征3；每次发送的数据包大小为10kb；特征4，请求返回20k的文件。网络监测装置1105通过对网络数据1102的获取，以及对眼部可穿戴式设备1103的型号和版本的获取，得到了对应眼部可穿戴式设备1103的第一数据1104。网络监测装置1105分别对第一数据1104进行识别。

对于第一数据1104，首先通过由眼部可穿戴式设备1103的型号和版本确定的第一白名单特征集1106进行特征的比较识别。可选地，将网络数据1102的特征1、特征2、特征3、特征4分别与对应眼部可穿戴式设备1103的白名单特征集1106的特征1107、特征1108、特征1109、特征1110进行比较识别，可以得出：

特征1107：发送给眼部可穿戴式设备，与特征1相符合；

特征1108：每隔5～20秒发送一个数据，共计发送十次数据，与特征2相符合；

特征1109，每次发送数据包大小不限，与特征3相符合；

特征1110，请求返回5k以上的文件，与特征4相符合。

此时，即可判断网络数据1102为正常数据，并且第一数据1104无需与对应第一数据1104的第一黑名单特征集1111进行比较识别。

在本实施例中，若将对应第一数据1104的第一黑名单特征集1111与第一数据1104进行比较识别，会得出：

特征1112，发送给任意可穿戴式设备，与特征1相符合；

特征1113，每五秒发送共十次数据，与特征2相符合；

特征1114，每次发送数据包小于20kb，与特征3相符合；

特征1115，请求返回10k以上的文件，与特征4相符合。

也即发现，网络数据1102符合对应眼部可穿戴式设备703的第一黑名单特征集1111，但因为第一数据1104已被视为正常数据，无需经过与第一黑名单特征集1111的比对，故其不需要被进行预警过程，原因如下：

本实施例中，白名单特征集是对于某类可视为正常数据的网络数据的特征的集合，黑名单特征集是对于某种会对可穿戴式设备的工作造成消极后果的网络数据的特征的集合。因为不良信息往往会通过伪装之后，对可穿戴式设备进行入侵攻击，故黑名单特征集与白名单特征集中的某项或几项特征存在范围上的包含关系可能是正常现象，但对同一数据而言，若同时识别白名单特征集与黑名单特征集会造成网络监测装置的运行逻辑冲突，影响网络监测装置的使用效果，故通过将网络数据首先与白名单特征集进行识别，当其不符合白名单特征集时，再采用黑名单与之进行识别的方法，以消除此逻辑冲突。

图12示出了本申请实施例提供的一个当采用白名单特征集和黑名单特征集时，无法对网络数据进行识别的情况的流程示意图。

参考图12，数据发送设备1201将网络数据1202发送给眼部可穿戴式设备1203。网络数据1202本身以及在发送过程中携带有两条特征：特征1,发送给眼部可穿戴式设备，特征2，每十秒发送一次数据，发送共计十次数据。网络监测装置1205通过对网络数据1202的获取，以及对眼部可穿戴式设备1203的型号和版本的获取，得到了对应眼部可穿戴式设备1203的第一数据1204，网络监测装置1205对第一数据1204进行识别。

对于第一数据1204，通过由眼部可穿戴式设备1203的型号和版本确定的第一白名单特征集1206以及第一黑名单特征集1209进行特征的比较识别，可以得出：

特征1207：数据为txt格式；特征1208：不请求返回文件。

此时，判断结果为网络数据不符合白名单特征集。

特征1210：数据为exe格式；特征1211：请求返回文件。

此时，判断结果为网络数据不符合黑名单特征集。

因白名单特征集与黑名单特征集的特征设置原因，导致网络数据既不符合白名单特征集又不符合黑名单特征集时，即确定无法通过采用特征集进行识别的方式判断是否需要对网络数据进行预警。故将网络数据输入相似度模型集1212中，相似度模型集提取的网络数据中的两项弱特征，通过机器学习的方法，确定其相似度分数1213。之后，获取第一相似度模型对网络数据的第一相似度分数1213为70％，与设定阈值相比较。因设定阈值为50％，故最终确定网络数据1202是风险数据。

综上所述，本实施例提供的方法，通过网络监测装置对可穿戴式设备相关的网络数据的获取以及采用相似度模型集合进行识别，对达到报警阈值的网络数据区分为风险数据并进行预警的方法，完成了对可穿戴式设备相关的信息的安全监测，达到了对可穿戴式设备的信息安全防护效果。因相似度模拟集合的识别过程对于网络监测装置而言工作量较大，故采用在经过相似度模型集合进行检测之前，先经过白名单特征集与黑名单特征集进行强特征识别的方法，将识别程度较高的网络数据进行先一步的筛选，简化网络数据的识别进程，提高了装置的总效率。

图13示出了本申请实施例提供的一种可穿戴式设备的网络数据安全流程的示意图，该流程包括：

网络数据监测1301，表示网络监测装置监测可穿戴式设备相关的网络数据的相关流程，包括与可穿戴式设备建立连接、获取可穿戴式设备相关的网络数据等。

规则白名单1302，表示与白名单特征集有关的流程。包括建立白名单特征集以及将可穿戴式设备相关的网络数据与白名单特征集进行识别。白名单特征集是当网络数据符合该特征集的识别时，视该网络数据为正常数据的特征集。

正常行为1303，表示将与白名单特征集进行识别后，网络监测装置对于符合白名单特征集的网络数据进行的行为流程，包括认为该网络数据为正常数据，允许可穿戴式设备按照数据的要求进行下一步的动作，并不启动预警系统。

规则黑名单1304，表示与黑名单特征集有关的流程。包括建立黑名单特征集以及将可穿戴式设备相关的网络数据与黑名单特征集进行识别。黑名单特征集时当网络数据符合该特征集的识别时，视该数据为风险数据的特征集。

智能预警1305，表示将与黑名单特征集进行识别后，网络监测装置对于符合黑名单特征集的网络数据进行的行为流程，包括认为该网络数据为风险数据，不允许可穿戴式设备按照数据的要求进行下一步的动作，启动预警系统，对该网络数据进行数据牵引和数据清洗。

智能统计机器学习1306，表示相似度模型集合的自主学习与匹配流程。包括将网络数据输入相似度模型集合中，以及对相似度模型的训练过程。

管理(调用/共享)1307，表示在网络监测装置与可穿戴式设备之间存在有可以交流数据的传输协议时，网络监测装置进一步提供的信息整合与管理流程，包括将白名单特征集，黑名单特征集以及相似度模型进行归纳与集合，进行统一展现、汇总、关联工作，并且向可穿戴式设备公开数据的过程，实现通过已有数据进行风险数据的预警的功能。

信息相似度模型1308、时间相似度模型1309、频率相似度模型1310、信号相似度模型1311表示相似度模型的四种类别，分别从信息、时间、频率、信号四个弱特征对进入相似度模型集合的网络数据进行弱特征识别，并且进行特征值分数的赋分。

模型匹配1312，表示对详细相似度模型的弱识别结果进行按照权重求和的流程，包括对至少两个弱识别结果按照权重进行加权求和获得风险分数，当风险分数达到报警阈值时，确定网络数据是风险数据的过程。

综上所述，本实施例提供的流程，通过网络监测装置对可穿戴式设备相关的网络数据的获取以及采用相似度模型集合进行识别，对达到报警阈值的网络数据区分为风险数据并进行预警的方法，完成了对可穿戴式设备相关的信息的安全监测，达到了对可穿戴式设备的信息安全防护效果。

图14示出了本申请实施例提供的一种可穿戴式设备的网络数据安全装置的框图，该装置包括：

获取模块1401，被配置为获取与可穿戴式设备相关的网络数据；

识别模块1402，被配置为将网络数据输入至相似度模型集合进行识别，相似度模型集合包括至少两个相似度模型，至少两个相似度模型用于从至少两个不同的维度识别网络数据的弱特征；相似度模型集合中的相似度模型是基于主动学习方式学习得到的；

获取模块1401，被配置为获取至少两个相似度模型对网络数据的至少两个弱识别结果；

处理模块1403，被配置为根据至少两个弱识别结果得到网络数据的风险分数；

处理模块1403，被配置为当风险分数达到报警阈值时，确定网络数据是风险数据。

需要说明的是：上述实施例提供的可穿戴式设备的网络数据安全装置，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

本申请还提供了一种服务器，该服务器包括处理器和存储器，存储器中存储有至少一条指令，至少一条指令由处理器加载并执行以实现上述各个方法实施例提供的可穿戴式设备的网络数据安全方法。需要说明的是，该服务器可以是如下图15所提供的服务器。

请参考图15，其示出了本申请一个示例性实施例提供的服务器的结构示意图。具体来讲：服务器1500包括中央处理单元(cpu)1501、包括随机存取存储器(ram)1502和只读存储器(rom)1503的系统存储器1504，以及连接系统存储器1504和中央处理单元1501的系统总线1505。服务器1500还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(i/o系统)1506，和用于存储操作系统1513、应用程序1515和其他程序模块1515的大容量存储设备1507。

基本输入/输出系统1506包括有用于显示信息的显示器1508和用于用户输入信息的诸如鼠标、键盘之类的输入设备1509。其中显示器1508和输入设备1509都通过连接到系统总线1505的输入输出控制器1510连接到中央处理单元1501。基本输入/输出系统1506还可以包括输入输出控制器1510以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1510还提供输出到显示屏、打印机或其他类型的输出设备。

大容量存储设备1507通过连接到系统总线1505的大容量存储控制器(未示出)连接到中央处理单元1501。大容量存储设备1507及其相关联的计算机可读介质为服务器1500提供非易失性存储。也就是说，大容量存储设备1507可以包括诸如硬盘或者cd-roi驱动器之类的计算机可读介质(未示出)。

不失一般性，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括ram、rom、eprom、eeprom、闪存或其他固态存储其技术，cd-rom、dvd或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器1504和大容量存储设备1507可以统称为存储器。

存储器存储有一个或多个程序，一个或多个程序被配置成由一个或多个中央处理单元1501执行，一个或多个程序包含用于实现上述可穿戴式设备的网络数据安全方法的指令，中央处理单元1501执行该一个或多个程序实现上述各个方法实施例提供的可穿戴式设备的网络数据安全方法。

根据本发明的各种实施例，服务器1500还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器1500可以通过连接在系统总线1505上的网络接口单元1511连接到网络1515，或者说，也可以使用网络接口单元1511来连接到其他类型的网络或远程计算机系统(未示出)。

存储器还包括一个或者一个以上的程序，一个或者一个以上程序存储于存储器中，一个或者一个以上程序包含用于进行本发明实施例提供的可穿戴式设备的网络数据安全方法中由服务器所执行的步骤。

本申请实施例还提供一种计算机设备，该计算机设备包括存储器和处理器，存储器中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并实现上述可穿戴式设备的网络数据安全方法。

本申请实施例还提供一种计算机可读存储介质，该可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述可穿戴式设备的网络数据安全方法。

本申请还提供了一种计算机程序产品，当计算机程序产品在计算机上运行时，使得计算机执行上述各个方法实施例提供的可穿戴式设备的网络数据安全方法。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质；也可以是单独存在，未装配入终端中的计算机可读存储介质。该计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行以实现上述可穿戴式设备的网络数据安全方法。

可选地，该计算机可读存储介质可以包括：只读存储器(rom，readonlymemory)、随机存取记忆体(ram，randomaccessmemory)、固态硬盘(ssd，solidstatedrives)或光盘等。其中，随机存取记忆体可以包括电阻式随机存取记忆体(reram,resistancerandomaccessmemory)和动态随机存取存储器(dram，dynamicrandomaccessmemory)。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上仅为本申请的可选实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。

上述仅为本申请的较佳实施例，并不用以限制本申请，凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。