实现模型训练的方法、装置、实现节点检测的方法及装置转让专利
申请号 : CN202011336688.2
文献号 : CN112468487B
文献日 : 2022-03-18
发明人 : 王之梁 , 王苏 , 尹霞 , 施新刚
申请人 : 清华大学
摘要 :
权利要求 :
1.一种实现模型训练的方法,包括:以第一数据源图包含的节点作为样本集合训练子模型;
根据样本集合训练出第一个子模型之后,根据最新训练出的子模型输出的节点所属分类的分类结果信息,确定是否存在错误分类的节点;
确定存在错误分类的节点时,以错误分类的节点作为样本集合训练新的子模型;
确定不存在错误分类的节点时,结束子模型的训练;
将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型;
其中,所述第一数据源图为良性数据源图;
所述子模型通过以下方式训练获得:将所述样本集合中各节点的节点信息输入图采样和聚合GraphSAGE模型中,获得GraphSAGE模型输出的分类结果信息;其中,所述节点信息包括:根据节点类别确定的节点标签信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连接的节点确定的相邻节点信息;
根据所述GraphSAGE模型输出的所述分类结果信息和所述节点标签信息,确定所述GraphSAGE模型模型损失函数;
通过确定的所述模型损失函数对所述GraphSAGE模型进行参数调整,获得所述子模型。
2.根据权利要求1所述的方法,其特征在于,所述以第一数据源图包含的节点作为样本集合训练一个子模型之前,所述方法还包括:将所述第一数据源图包含的节点按预设策略划分为一个以上所述样本集合。
3.根据权利要求1所述的方法,其特征在于,所述通过确定的所述模型损失函数对所述GraphSAGE模型进行参数调整,包括:通过确定的所述模型损失函数,以反向传播方式对所述GraphSAGE模型的参数进行调整。
4.根据权利要求1所述的方法,其特征在于,所述确定是否存在错误分类的节点之前,所述方法还包括:
对所有所述子模型,将根据所述分类结果信息与所述节点标签信息表示分类不同的节点,确定为错误分类的节点。
5.根据权利要求4所述的方法,其特征在于,所述确定是否存在错误分类的节点之前,所述方法还包括:
对训练的一个以上所述子模型,所述节点标签信息与由子模型获得的所述分类结果信息表示节点所属分类相同时,确定节点被划分为各个分类的最高概率和次高概率;
计算确定的所述最高概率和所述次高概率的概率比值;
将计算获得的所述概率比值小于预设比值阈值的节点,确定为所述错误分类的节点。
6.根据权利要求1~5任一项所述的方法,其特征在于,所述将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型之后,所述方法还包括:通过所述第一组合模型,对预设数量张第二数据源图分别进行是否是良性数据源图的检测;
当预设数量张第二数据源图中,被检测为良性数据源图的比例小于预设比例阈值时,确定每张所述第二数据源图相应的被所述第一组合模型确定为错误分类的节点的错误节点数;
以确定出的所述错误节点数最大的第二数据源图,训练第二组合模型;
将训练获得的所述第二组合模型中的子模型,添加至所述第一组合模型中,重新组合获得所述第一组合模型;
其中,所有所述第二数据源图均为良性的数据源图。
7.根据权利要求1~5任一项所述的方法,其特征在于,所述将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型,包括:将训练获得的所有子模型,按照预设排序策略进行排序;
对完成排序的子模型,将相邻的两个子模型中排序在前的子模型的输出与排序在后的子模型的输入相连,获得所述第一组合模型。
8.一种实现节点检测的方法,包括:接收待检测的数据源图;
通过预先训练获得的第一组合模型对待检测的数据源图进行检测,以确定待检测的数据源图中是否包含异常节点;
所述第一组合模型通过以下方式训练获得:以第一数据源图包含的节点作为样本集合训练子模型;
根据样本集合训练出第一个子模型之后,根据最新训练出的子模型输出的节点所属分类的分类结果信息,确定是否存在错误分类的节点;
确定存在错误分类的节点时,以错误分类的节点作为样本集合训练新的子模型;
确定不存在错误分类的节点时,结束子模型的训练;
将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型;
其中,所述第一数据源图为良性数据源图;所述子模型通过以下方式训练获得:将所述样本集合中各节点的节点信息输入图采样和聚合GraphSAGE模型中,获得GraphSAGE模型输出的分类结果信息;其中,所述节点信息包括:根据节点类别确定的节点标签信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连接的节点确定的相邻节点信息;
根据所述GraphSAGE模型输出的所述分类结果信息和所述节点标签信息,确定所述GraphSAGE模型模型损失函数;
通过确定的所述模型损失函数对所述GraphSAGE模型进行参数调整,获得所述子模型。
9.一种计算机存储介质,所述计算机存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1~7中任一项所述的实现模型训练的方法,或如权利要求
8所述的实现节点检测的方法。
10.一种终端,包括:存储器和处理器,所述存储器中保存有计算机程序;其中,处理器被配置为执行存储器中的计算机程序;
所述计算机程序被所述处理器执行时实现如权利要求1~7中任一项所述的实现模型训练的方法,或如权利要求8所述的实现节点检测的方法。
11.一种实现模型训练的装置,包括:训练单元、判断单元和组合单元;其中,训练单元设置为:以第一数据源图包含的节点作为样本集合训练子模型;判断单元确定存在错误分类的节点时,以错误分类的节点作为样本集合训练新的子模型;判断单元确定不存在错误分类的节点时,结束子模型的训练;
判断单元设置为:根据样本集合训练出第一个子模型之后,根据最新训练出的子模型输出的节点所属分类的分类结果信息,确定是否存在错误分类的节点;
组合单元设置为:将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型;
其中,所述第一数据源图为良性数据源图;
所述子模型通过以下方式训练获得:将所述样本集合中各节点的节点信息输入图采样和聚合GraphSAGE模型中,获得GraphSAGE模型输出的分类结果信息;其中,所述节点信息包括:根据节点类别确定的节点标签信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连接的节点确定的相邻节点信息;
根据所述GraphSAGE模型输出的所述分类结果信息和所述节点标签信息,确定所述GraphSAGE模型模型损失函数;
通过确定的所述模型损失函数对所述GraphSAGE模型进行参数调整,获得所述子模型。
12.一种实现节点检测的装置,包括:接收单元和检测单元;其中,接收单元设置为:接收待检测的数据源图;
检测单元设置为:通过预先训练获得的第一组合模型对待检测的数据源图进行检测,以确定待检测的数据源图中是否包含异常节点;
所述装置还包括:训练单元、判断单元和组合单元;其中,训练单元设置为:以第一数据源图包含的节点作为样本集合训练子模型;判断单元确定存在错误分类的节点时,以错误分类的节点作为样本集合训练新的子模型;判断单元确定不存在错误分类的节点时,结束子模型的训练;
判断单元设置为:根据样本集合训练出第一个子模型之后,根据最新训练出的子模型输出的节点所属分类的分类结果信息,确定是否存在错误分类的节点;
组合单元设置为:将训练获得的所有子模型组合为用于进行异常节点检测的第一组合模型;
其中,所述第一数据源图为良性数据源图;
所述子模型通过以下方式训练获得:将所述样本集合中各节点的节点信息输入图采样和聚合GraphSAGE模型中,获得GraphSAGE模型输出的分类结果信息;其中,所述节点信息包括:根据节点类别确定的节点标签信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连接的节点确定的相邻节点信息;
根据所述GraphSAGE模型输出的所述分类结果信息和所述节点标签信息,确定所述GraphSAGE模型模型损失函数;
通过确定的所述模型损失函数对所述GraphSAGE模型进行参数调整,获得所述子模型。
说明书 :
实现模型训练的方法、装置、实现节点检测的方法及装置
技术领域
背景技术
法检测到。
in Streaming Heterogeneous Graphs)(StreamSpot)、计算机与通信安全会议(CCS)2019
年的Poirot:通过比对攻击行为和内核审计记录来检测网络威胁(Aligning Attack
Behavior with Kernel Audit Records for Cyber Threat Hunting)(Poirot)、安全和隐
私(S&P)2019年的HOLMES:通过可疑信息流的相关性对ATP攻击进行实时检测(Real‑time
APT Detection through Correlation of Suspicious Information Flows)(Holmes)、网
络与分布式系统安全研讨会(NDSS)2020年的UNICORN:基于数据来源的高级持续性威胁在
线检测器(Runtime Provenance‑Based Detector for Advanced Persistent Threats)
(Unicorn)。以下就上述论文涉及的相关技术进行介绍:
找到异常的行为;由于系统审计日志和系统调用记录中的数据较为独立,难以找到数据之
间的因果关系。因此,近年来的APT攻击检测开始使用数据源图作为数据源。上述四篇论文
进行APT检测的数据源均为数据源图。数据源图是由部署在操作系统层面的CamFlow的源图
生成系统(官网为https://camflow.org)生成的有向无环图,一台主机对应一张数据源图,
数据源图中包含了系统初始化以来出现过的所有实体及它们之间的调用关系;图中的点表
示系统中的实体(包括进程节点、文件节点等),边表示实体之间的调用关系(如一个进程读
取了一个文件)。相比于系统审计日志和系统调用记录,数据源图更适用于检测长时间持续
的APT攻击。
检测方法。基于误用的ATP检测方法需要构造异常信息库,通过将检测对象与异常信息库进
行比对来检测异常行为,由于依赖于异常信息库,因此难以检测未在异常信息库中出现过
的零日APT攻击。基于异常的ATP检测方法会学习良性行为的特征并构建良性行为模型,通
过检测对象在良性行为模型上的偏差来检测异常的行为,存在检测未知攻击的潜力;但由
于基于异常的ATP检测方法均需要对全图进行特征提取,因此对于异常占比较少的APT场景
来说,难以从全图特征上体现局部的异常,会导致检测;此外,基于异常的ATP检测方法直接
检测图是否为异常,故无法在检测异常的同时定位异常在图中的位置,即且无法定位异常
行为在系统中的位置。
StreamSpot和Holmes方法将数据源图存储在内存中,当数据源图数据量不断增大而无法存
储,会对ATP检测应用造成影响。如何提升ATP攻击的检测效率,成为一个有待解决的一个问
题。
发明内容
标签信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节
点连接的节点确定的相邻节点信息;
节点数;
元确定不存在错误分类的节点时,结束子模型的训练;
元确定不存在错误分类的节点时,结束子模型的训练;
训练新的子模型,直至最新训练出的子模型确定不存在错误分类的节点时结束训练;将训
练获得的所有子模型组合为用于异常节点检测的第一组合模型。除第一个子模型外,通过
确定出的错误分类的节点训练,使子模型针对错误分类的节点进行行为信息的学习,具备
对其学习到的节点类别的检测能力,组合的第一组合模型具备了各子模型学习到的所有类
别节点的检测能力,提升了异常节点检测的效率。
要求书以及附图中所特别指出的结构来实现和获得。
附图说明
具体实施方式
的特征可以相互任意组合。
序执行所示出或描述的步骤。
用后续步骤进行子模型的训练;完成各样本集合对应的子模型的训练之后,将通过所有样
本集合训练的子模型进行组合,获得第一组合模型。
点时,执行步骤103;确定不存在错误分类的节点时,执行步骤104;
信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连
接的节点确定的相邻节点信息;
节点检测;基于GraphSAGE模型进行子模型的训练,从第一数据源图中学习不同类别的节点
的表示,训练子模型后用于检测数据源图中节点的类型;利用异常节点检测对数据源图中
占比少的信息更敏感,提升了检测APT攻击的效率。
判断其可能是一个带有异常行为的节点。本发明实施例在不需要异常先验知识的前提下,
学习到了良性的数据源图中不同类型的节点的行为信息,从而可以用于检测异常节点。
0 0
输入层将每个节点v的向量h赋值为其特征向量,即hV=XV,因此hV的维度也为1*n。
节点。设v的一维邻居节点集合为N(v),聚合N(v)中每个节点的信息,聚合后的信息用hN(v)
表示,公式如下:
维度的值为hu, 相应维度值的平均值;
1*2n的向量hv=hv·W;
(v),聚合后的信息用hN(v)表示,公式如下:
点,而hu在隐藏层中已经进行了一次聚合,聚合了u的一维邻居节点的信息,因此hN(v)中聚
1 2 2 1
合了节点v的二维邻居节点信息。接着将每个节点v的hv与hN(v)相连,得到hv=CONCAT(hv,
2 2 2 2 2
hN(v));hv的维度为1*3n,一般设置3n*m的权重矩阵W ,将hv和W 相乘,得到相乘后的维度为
2 2 2
1*m的hv=hv·W。
假设hv中的第i个元素为Ai,则经过softmax函数运算后的A’i=e 。由此可知∑je =1,j
∈[1,m]。由前文可知m为图G中所有节点的不同标签种类,因此经过softmax函数运算后的
2 2
1*m维向量h v的每一维表示该节点v属于某一类的概率。hv同样也是GraphSAGE模型最终输
出的值。
的维度的值为1,其他值为0。将其表示为理想结果。模型输出的每个节点的hv和其理想结果
存在差异,本发明实施例可以用负对数似然损失函数(NLLLoss)来计算,并根据结果对模型
1 2
进行反向传播,从而对W 、W等参数进行调整。反向传播算法和深度学习相似,在此不做赘
述。
别分别设置相应的类别编码,获得节点标签信息;按照预设的出边种类和入边种类排序,对
各种类出边和入边的数量进行统计后,获得节点特征信息;最后,根据节点ID,确定对应于
节点的节点标签信息、节点特征信息及相邻节点信息;
如、100±5。第二数据源图是否为良性数据源图,可以由第一组合模型对数据源图各节点是
否为良性节点的判定确定;当第二数据源图中包含的所有节点均被判定为良性节点时,第
二数据源图被确定为良性数据源图。
模型的准确率。另外,重新组合获得的第一组合模型,若对预设数量张第二数据源图再次进
行检测时,如果被检测为良性数据源图的比例仍小于预设比例阈值,本发明实施例可以再
次选取新的第二数据源图,用于训练更多的子模型,直至被检测为良性数据源图的比例大
于或等于预设比例阈值时停止。
息,确定错误分类的节点;
据分类结果信息和节点标签信息,确定错误分类的节点,并将确定的错误分类的节点输出
至在后一个子模型,直至子模型不再确定错误分类的节点或所有子模型按照排序运算结束
时停止;
数据源图。
训练新的子模型,直至最新训练出的子模型确定不存在错误分类的节点时结束训练;将训
练获得的所有子模型组合为用于异常节点检测的第一组合模型。除第一个子模型外,通过
确定出的错误分类的节点训练,使子模型针对错误分类的节点进行行为信息的学习,具备
对其学习到的节点类别的检测能力,组合的第一组合模型具备了各子模型学习到的所有类
别节点的检测能力,提升了异常节点检测的效率。
了异常节点的检测效率。
元确定不存在错误分类的节点时,结束子模型的训练;
信息、根据与节点连接的各种类出边和入边的数量确定的节点特征信息、及根据与节点连
接的节点确定的相邻节点信息;
训练新的子模型,直至最新训练出的子模型确定不存在错误分类的节点时结束训练;将训
练获得的所有子模型组合为用于异常节点检测的第一组合模型。除第一个子模型外,通过
确定出的错误分类的节点训练,使子模型针对错误分类的节点进行行为信息的学习,具备
对其学习到的节点类别的检测能力,组合的第一组合模型具备了各子模型学习到的所有类
别节点的检测能力,提升了异常节点检测的效率。
映射为相应编码后,通过编码表示节点标签信息和节点特征信息。因为,节点特征信息由各
种类出边和入边的数量组成,因此本应用示例中节点特征信息的维数是边的种类总数的两
倍。本应用示例提取节点特征信息后,通过GraphSAGE模型的训练可以学习到良性节点的邻
域信息,可以反映不同种类的良性节点的行为信息。图5为本应用示例数据源图的示意图,
如图5所示,数据源图中包含文件和进程两种类别的节点,边的种类包括派生、读取、删除和
写入,假设将进程和文件这两个节点类别分别编码映射为0和1,则图中的四个节点的节点
标签分别为0、0、1和1;图1中边的种类包括:派生、读取、删除和写入,则本应用示例节点特
征信息的维数为4*2=8;假设前四维按序分别表示节点连接的派生、读取、删除和写入这四
个种类的入边的数量,后四维按序分别表示节点连接的派生、读取、删除和写入这四个种类
的出边的数量。则图5所示的数据源图的各节点的节点特征信息分别为:节点1的节点特征
信息为:[0,0,0,0,1,1,0,0];节点2的节点特征信息为:[1,0,0,0,0,0,1,1];节点3的节点
特征信息为:[0,1,1,0,0,0,0,0];节点4的节点特征信息为:[0,0,0,1,0,0,0,0];本应用示
例可以通过节点ID,确定对应于节点的节点标签信息、节点特征信息及相邻节点信息。
的节点训练获得两个以上子模型;将根据所有样本集合训练获得的所有子模型,组合为用
于进行异常节点检测的第一组合模型;
将GraphSAGE模型要学习的节点标签定为节点本身的类别,通过使用良性数据源图中包含
的节点的节点信息训练GraphSAGE模型,对不同类别的良性节点的行为进行学习。
息和子模型学习到的节点的行为信息不同,训练获得的子模型判断其可能是一个带有异常
行为的节点。本应用示例在不需要异常先验知识的前提下,学习到了良性的数据源图中不
同类型的节点的行为信息,从而可以用于检测异常节点。
则数量很少的种类的节点和同一种类中行为存在差异的数量较少的那一部分节点,在训练
时容易被GraphSAGE模型忽略,即在模型学习时会出现这部分节点的行为信息的缺失,导致
误报。为了降低发生误报的概率。本应用示例通过以下方式对每一个样本集合分别进行训
练,获得两个以上子模型:
型个数的增加,确定出的错误分类的节点的数量逐渐减少。
模型的这种处理可能会导致节点误报,为了减少误报,本应用示例进行了以下处理:
一个代表当前系统行为的子图,用于后续的检测,可以避免可拓展问题。
第一组合模型的检测性能得到提升。
于DARPA透明计算项目的第三次APT模拟攻防演习,包含了若干场景(详细介绍网址:
https://github.com/darpa‑i2o/Transparent‑Computing);本应用示例在DARPA TC的忒
伊亚(THEIA)、追溯(Trace)、军官(CADETS)、五个方向(fivedirections)场景上进行了实
验,实验结果如表3所示,可见本应用示例方法在检测异常节点方面有良好的性能;
64吉比特内存的Ubuntu 16.04.6LTS服务器。实验结果如图10~13所示。图10为不同批处理
参数时的速率对比图,批处理(BS,batch size)是graphSAGE模型进行批处理的参数,图10
中,曲线1‑1表示上文提到的测试用的Streamspot、UnicornSC和DARPA TC三个数据集中的
最快边产生速度,曲线1‑2表示Unicorn的的运行速度。曲线1‑3表示本发明实施例方法的运
行速度。图11为不同子图大小参数时的速率对比图,子图大小参数(SS,subgraph size)表
示内存中维持的子图大小;图11中,曲线2‑1表示上文提到的测试用的Streamspot、
UnicornSC和DARPA TC三个数据集中的最快边产生速度,曲线2‑2表示Unicorn的的运行速
度。曲线2‑3表示本发明实施例方法的运行速度。图12为不同批处理参数时的内存使用和
CPU使用率对比图,其中,左侧纵轴表示内存使用,右侧纵轴表示CPU使用率图12中,曲线3‑1
表示本发明实施例CPU利用率,曲线3‑2表示Unicorn的内存使用,曲线3‑3表示本发明实施
例内存使用;曲线3‑4表示Unicorn的CPU使用率;图13为不同子图大小参数时的内存使用率
和CPU使用率对比图,图13中,曲线4‑1表示本发明实施例CPU利用率,曲线4‑2表示Unicorn
的内存使用,曲线4‑3表示本发明实施例内存使用;曲线4‑4表示Unicorn的CPU使用率;通过
比对可知,本应用示例方法具有良好的运行速度、内存使用率和CPU利用率。
2020的论文Unicorn中,通过搭建实验环境后模拟生成的数据集,由125张良性数据源图和
25张异常数据源图组成,数据源图中包含的攻击是利用CVE‑2014‑6271漏洞在bash脚本中
植入恶意代码。UnicornSC数据集中的图用txt文件记录;数据源图的txt文件的平均大小为
97600千字节(KB),数据源图中的节点和边的平均数量分别是239224和917608。本应用示例
选择五折交叉验证法,将100张良性数据源图组成训练集,剩余25张良性数据源图和25张异
常数据源图组成测试集。由于UnicornSC数据集只对每张图是否为异常进行了标记,为对本
应用示例的检测效果进行评估,本应用示例将数据源图中是否出现异常节点作为判断数据
源图是否为异常数据源图的判断条件。
为子图)作为样本集合读入内存中,通过GraphSAGE模型训练获得一个以上子模型。完成一
个样本集合中所有节点的训练后,急需从磁盘中选取样本集合,并重复上述步骤,直至完成
数据源图0中所有节点的训练。通过划分样本集合的方式进行子模型的训练,可以保证内存
中用于模型训练的节点的数量固定,从而保证可拓展性。数据源图0训练完后,本应用示例
用训练集中的剩余99张良性数据源图进行验证。假如设定超过90%的数据源图被检测为良
性,才表示已经学习到了足够的良性信息;则验证时被判定为良性的数据源图必需超过
90%时,第一组合模型才训练结束;如果数据源图被检测为良性的比值小于90%,本应用示
例挑选确定出错误分类的节点数量最多的一张良性数据源图,继续训练更多子模型,直至
将训练获得的子模型添加到第一组合模型后,满足超过90%的数据源图被检测为良性这一
条件为止。本应用示例一次随机试验中,用于训练子模型的数据源图的编号包括0、6、24、
31、73和112,训练获得的子模型数量分别为13、13、13、14、16和10,共79个子模型。训练集中
剩余的良性数据源图中的节点均可在这79个子模型上被正确分类。在训练子模型的过程
中,本应用示例设定比值阈值为1.5。通过比值阈值的设置处理,本应用示例获得了更多子
模型;这些子模型学习到了几乎所有训练集中良性节点的信息。
中的边按照时间顺序逐步输入第一组合模型;在接收边时,本应用示例将边添加至磁盘和
内存中。当内存中边的数量达到一定值时(在本应用示例中该值设为200000),将内存中的
样本集合发给第一组合模型进行检测。若一张数据源图中存在节点被检测为异常,则确定
该数据源图为异常的数据源图。本应用示例对测试集中的数据源图进行检测,最终结果是:
25张良性数据源图中有21张被正确分类为良性,4张被确定为异常;25张异常数据源图中有
24张被正确分类为异常,1张被确定为良性;准确率为86%、召回率为96%、F‑Score为91%。
中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,
一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某
些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或
者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机
可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或
暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息
(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失
性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪
存或其他存储器技术、CD‑ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储
或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介
质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程
序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何
信息递送介质。”