本發(fā)明涉及互聯(lián)網(wǎng)應(yīng)用
技術(shù)領(lǐng)域:
:,尤其涉及一種網(wǎng)絡(luò)威脅處理方法和裝置。
背景技術(shù):
::隨著信息社會的發(fā)展,網(wǎng)絡(luò)信息安全越來越深入人們的生活。信息泄露、數(shù)據(jù)丟失、用戶隱私泄露等信息安全事故頻繁發(fā)生造成了重大的經(jīng)濟(jì)損失,并對社會產(chǎn)生了重大不良影響。甚至,信息安全事故會危及國家安全。隨著科技的發(fā)展,網(wǎng)絡(luò)威脅已經(jīng)有了新的特點(diǎn),傳統(tǒng)網(wǎng)絡(luò)威脅檢測是通過簽名特征來進(jìn)行區(qū)別。新型網(wǎng)絡(luò)威脅逐漸實(shí)現(xiàn)了從惡作劇向商業(yè)利益的屬性轉(zhuǎn)變、從個人向團(tuán)伙組織的發(fā)起人轉(zhuǎn)變,以及從普通病毒木馬向高級持續(xù)性攻擊(AdvancedPersistentThreat,以下簡稱APT)的技術(shù)轉(zhuǎn)變。這些轉(zhuǎn)變均使得網(wǎng)絡(luò)信息安全遭受更大的威脅。新型網(wǎng)絡(luò)威脅不僅手段隱蔽,并且現(xiàn)有技術(shù)中的安全防御體系無法掌握其漏洞以及技術(shù)。因此,傳統(tǒng)的安全防御體系無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅,導(dǎo)致人們生產(chǎn)生活的信息受到了更為嚴(yán)峻的安全威脅,而這些安全威脅一旦真實(shí)發(fā)生,對經(jīng)濟(jì)、社會甚至國家安全會造成難以估計的毀滅性影響。因此,現(xiàn)有技術(shù)對于新興的網(wǎng)絡(luò)威脅無法做到及時有效發(fā)現(xiàn)。技術(shù)實(shí)現(xiàn)要素:本發(fā)明的主要目的在于提供一種網(wǎng)絡(luò)威脅處理方法和裝置。根據(jù)本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)威脅處理方法,包括:偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并通過零拷貝技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)報文;對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲得到全流量的網(wǎng)絡(luò)數(shù)據(jù)報文;對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行還原處理;對還原處理后的網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件和/或非可移植執(zhí)行體文件,對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測,從而確定是否具有惡意行為。根據(jù)本發(fā)明實(shí)施例還提供了一種網(wǎng)絡(luò)威脅處理裝置,包括:偵聽模塊,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并通過零拷貝技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)報文;全流量存儲模塊,配置為對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲得到全流量的網(wǎng)絡(luò)數(shù)據(jù)報文;還原處理模塊,配置為對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行還原處理;檢測模塊,配置為對還原處理后的網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件和/或非可移植執(zhí)行體文件,對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測,而確定是否具有惡意行為。根據(jù)本發(fā)明的技術(shù)方案,通過實(shí)時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的隱秘信道等信息,并且能夠快速檢測未知攻擊。另外,本發(fā)明實(shí)施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒?、隱蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。附圖說明通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:圖1示出了根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖;圖2示出了根據(jù)本發(fā)明一個實(shí)施例的本地檢測引擎與云檢測引擎組成“天眼系統(tǒng)”的結(jié)構(gòu)框圖;圖3示出根據(jù)本發(fā)明一個優(yōu)選實(shí)施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖;圖4示出了根據(jù)本發(fā)明一個實(shí)施例的實(shí)時分析模塊的處理流程圖;圖5示出了根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)威脅處理裝置的結(jié)構(gòu)框圖。具體實(shí)施方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。相關(guān)技術(shù)中提及,新型網(wǎng)絡(luò)威脅不僅手段隱蔽,并且現(xiàn)有技術(shù)中的安全防御體系無法掌握其漏洞以及技術(shù)。因此,傳統(tǒng)的安全防御體系無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅,導(dǎo)致人們生產(chǎn)生活的信息受到了更為嚴(yán)峻的安全威脅,而這些安全威脅一旦真實(shí)發(fā)生,對經(jīng)濟(jì)、社會甚至國家安全會造成難以估計的毀滅性影響。為解決上述技術(shù)問題,本發(fā)明實(shí)施例提出了一種網(wǎng)絡(luò)威脅處理方法。圖1示出了根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖。參見圖 1,該流程至少包括步驟S102至步驟S106。步驟S102,偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并通過零拷貝技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)報文;步驟S104,對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲得到全流量的網(wǎng)絡(luò)數(shù)據(jù)報文;步驟S106,對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行還原處理;步驟S108,對還原處理后的網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件和/或非可移植執(zhí)行體文件,對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測,從而確定是否具有惡意行為。依據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法通過實(shí)時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的隱秘信道等信息,并且能夠快速檢測未知攻擊。另外,本發(fā)明實(shí)施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒?、隱蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。上文提及,本發(fā)明實(shí)施例能夠檢測并處理網(wǎng)絡(luò)的攻擊行為。另外,如圖2所示,本發(fā)明實(shí)施例能夠運(yùn)用于本地檢測引擎220,并結(jié)合現(xiàn)有技術(shù)中的云檢測引擎230組成一個“天眼系統(tǒng)”(其中,“天眼”僅為系統(tǒng)名稱,對 本地檢測引擎以及云檢測引擎組成的系統(tǒng)的功能、屬性以及作用等方面均不構(gòu)成任何影響),對網(wǎng)絡(luò)設(shè)備210中的網(wǎng)絡(luò)威脅(包括網(wǎng)絡(luò)攻擊行為等)進(jìn)行檢測處理,做到對網(wǎng)絡(luò)威脅“天網(wǎng)恢恢疏而不漏”,更加全面、廣泛以及具體的處理網(wǎng)絡(luò)威脅?,F(xiàn)以運(yùn)用于本地檢測引擎220的網(wǎng)絡(luò)威脅處理方法為例,對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行介紹。如圖3所示的根據(jù)本發(fā)明一個優(yōu)選實(shí)施例的網(wǎng)絡(luò)威脅處理方法的處理流程圖,包括以下步驟:步驟S302,偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為。步驟S304,在偵聽的過程中,實(shí)時執(zhí)行獲取網(wǎng)絡(luò)數(shù)據(jù)報文。本發(fā)明實(shí)施例中,偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為能夠?qū)W(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為進(jìn)行實(shí)時監(jiān)測,保證及時獲取網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為。進(jìn)一步,能夠保證任何攻擊行為發(fā)生之前,本發(fā)明實(shí)施例能夠及時檢測到攻擊行為并進(jìn)行合理有效處理,保證網(wǎng)絡(luò)安全。因此,本發(fā)明實(shí)施例在整個網(wǎng)絡(luò)威脅處理流程中對網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為進(jìn)行偵聽,并實(shí)時執(zhí)行步驟S304,獲取網(wǎng)絡(luò)數(shù)據(jù)報文。在本發(fā)明實(shí)施例中,通過零拷貝技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)報文。簡單來說,零拷貝技術(shù)是一種避免CPU將數(shù)據(jù)從一塊存儲拷貝到另外一塊存儲的技術(shù)。通過零拷貝技術(shù),能夠避免操作系統(tǒng)內(nèi)核緩沖區(qū)之間進(jìn)行數(shù)據(jù)拷貝操作、以及避免操作系統(tǒng)內(nèi)核和用戶應(yīng)用程序地址空間之間進(jìn)行數(shù)據(jù)拷貝操作,用戶應(yīng)用程序可以避免操作系統(tǒng)直接訪問硬件存儲,數(shù)據(jù)傳輸盡量讓DMA來處理。步驟S306,為保證在后續(xù)分析中能夠及時獲取歷史網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行對比,以便更深層次分析網(wǎng)絡(luò)數(shù)據(jù)報文達(dá)到更加高效地網(wǎng)絡(luò)威脅處理性能,本發(fā)明實(shí)施例對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲。然后,對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析。本發(fā)明實(shí)施例中,對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析可以是分析網(wǎng)絡(luò)數(shù)據(jù)報文的源網(wǎng)絡(luò)地址,還可以是分析網(wǎng)絡(luò) 數(shù)據(jù)報文的目的地址等。優(yōu)選地,本發(fā)明實(shí)施例中,為在后續(xù)操作中能夠準(zhǔn)確對網(wǎng)絡(luò)數(shù)據(jù)報文中的攻擊行為進(jìn)行檢測和處理,在對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析時,對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類。并且,針對每一類別,本發(fā)明實(shí)施例選擇相應(yīng)的策略檢測攻擊行為。在對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類時,本發(fā)明實(shí)施例可以根據(jù)源地址或者目的地址或者其他任意信息將網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,并根據(jù)分類結(jié)果選擇相應(yīng)的策略檢測攻擊行為。由于根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)據(jù)能夠更加全面以及準(zhǔn)確地對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,因此,優(yōu)選地,本發(fā)明實(shí)施例中根據(jù)各網(wǎng)絡(luò)數(shù)據(jù)報文的屬性,將獲取的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文。即,根據(jù)對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文的分析,網(wǎng)絡(luò)數(shù)據(jù)報文可以是文件類數(shù)據(jù)報文,可以是非文件類數(shù)據(jù)報文,還可以是文件類數(shù)據(jù)報文以及非文件類數(shù)據(jù)報文的組合。步驟S308,對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類之后,確定網(wǎng)絡(luò)數(shù)據(jù)報文是否為文件類數(shù)據(jù)報文。若是,執(zhí)行步驟S310,將確定的文件類數(shù)據(jù)報文還原為文件。具體地,通過多線程下載所述網(wǎng)絡(luò)數(shù)據(jù)報文(主文件)的多個數(shù)據(jù)塊(數(shù)據(jù)塊1、數(shù)據(jù)塊2…數(shù)據(jù)塊n),分別存儲數(shù)據(jù)塊1、數(shù)據(jù)塊2…數(shù)據(jù)塊n的數(shù)據(jù)內(nèi)容和塊信息。在存儲時,分別命名每個數(shù)據(jù)內(nèi)容文件并存儲,并可以以SIP協(xié)議中的地址、HOST主機(jī)地址、和URL地址作為秘鑰(key)存儲塊信息。然后,讀取所述數(shù)據(jù)內(nèi)容和塊信息并拼接還原為所述網(wǎng)絡(luò)數(shù)據(jù)報文(主文件)。之后,對還原的文件進(jìn)行檢測,檢測文件是否具有惡意行為。在對文件進(jìn)行檢測的過程中,為保證將被檢測的文件完全與正在運(yùn)行的程序隔離,進(jìn)而保證檢測過程中被檢測文件不會出現(xiàn)攻擊行為,本發(fā)明實(shí)施例利用沙箱檢測方式對還原的文件進(jìn)行檢測,如圖3中的步驟S312所示。其中,對文件的檢測為基于網(wǎng)絡(luò)異常行為檢測原理,檢測文件是否具有惡意行為。若根據(jù)步驟S308的判斷,網(wǎng)絡(luò)數(shù)據(jù)報文為非文件類數(shù)據(jù)報文,則直接執(zhí)行步驟S312,基于網(wǎng)絡(luò)異常行為檢測原理,檢測網(wǎng)絡(luò)數(shù)據(jù)報文的已知攻擊行為 和/或未知攻擊行為。當(dāng)網(wǎng)絡(luò)數(shù)據(jù)報文為文件類數(shù)據(jù)報文以及非文件類數(shù)據(jù)報文的組合時,將網(wǎng)絡(luò)數(shù)據(jù)報文分為文件類數(shù)據(jù)報文部分以及非文件類數(shù)據(jù)報文部分,并分別按照上文提及的步驟進(jìn)行操作,在此不作贅述。優(yōu)選的,當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,本發(fā)明實(shí)施例對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行大數(shù)據(jù)分析的攻擊檢測,確定攻擊行為,和/或?qū)σ汛_定的攻擊行為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。優(yōu)選地,本發(fā)明實(shí)施例中,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯的操作可以是定位攻擊行為的攻擊源、還原攻擊行為相對應(yīng)的方位行為以及還原攻擊行為相對應(yīng)在的訪問內(nèi)容等能夠?qū)粜袨檫M(jìn)行分析的其中一項或者幾項任意操作,本發(fā)明實(shí)施例對此并不加以限定。當(dāng)根據(jù)如圖3所示的網(wǎng)絡(luò)威脅處理方法的處理流程檢測元數(shù)據(jù)并確定出攻擊行為之后,本發(fā)明實(shí)施例還可以根據(jù)未知的攻擊行為,對網(wǎng)絡(luò)設(shè)備上使用的安全裝置進(jìn)行升級,使網(wǎng)絡(luò)設(shè)備上使用的安全裝置能夠防御未知的攻擊行為。并且,本文中曾提及能夠?qū)⒈镜貦z測引擎以及云檢測引擎組成“天眼系統(tǒng)”對網(wǎng)絡(luò)設(shè)備中的網(wǎng)絡(luò)威脅進(jìn)行檢測處理(具體請見附圖2及其對應(yīng)說明)。因此,需要說明的是,本發(fā)明實(shí)施例能夠通過本地檢測引擎和/或云檢測引擎檢測元數(shù)據(jù)并確定攻擊行為。在本發(fā)明實(shí)施例中,還可以基于深度包檢測技術(shù)對應(yīng)用層協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行檢測,以消除誤報;其中,所述應(yīng)用層協(xié)議包括但不限于:HTTP協(xié)議、SMTP協(xié)議、PoP3協(xié)議。當(dāng)IP數(shù)據(jù)包、TCP或UDP數(shù)據(jù)流通過基于DPI(DeepPackInspection,深度包檢測)技術(shù)的帶寬管理系統(tǒng)時,該系統(tǒng)通過深入讀取IP包載荷的內(nèi)容來對OSI七層協(xié)議中的應(yīng)用層信息進(jìn)行重組,從而得到整個應(yīng)用程序的內(nèi)容,然后按照系統(tǒng)定義的管理策略對流量進(jìn)行整形操作。針對不同的協(xié)議類型,DPI識別技術(shù)可劃分為以下三類:第一類是特征字的識別技術(shù):不同的應(yīng)用通常會采用不同的協(xié)議,而各 種協(xié)議都有其特殊的指紋,這些指紋可能是特定的端口、特定的字符串或者特定的Bit序列。基于特征字的識別技術(shù),正是通過識別數(shù)據(jù)報文中的指紋信息來確定業(yè)務(wù)所承載的應(yīng)用。根據(jù)具體檢測方式的不同,基于特征字的識別技術(shù)又可細(xì)分為固定特征位置匹配、變動特征位置匹配和狀態(tài)特征字匹配三種分支技術(shù)。通過對指紋信息的升級,基于特征字的識別技術(shù)可以方便的擴(kuò)展到對新協(xié)議的檢測。第二類是應(yīng)用層網(wǎng)關(guān)識別技術(shù):在實(shí)際應(yīng)用中,有一類的控制流和業(yè)務(wù)流是分離的,如與7號信令相關(guān)的業(yè)務(wù),其業(yè)務(wù)流沒有任何特征,應(yīng)用層網(wǎng)管識別技術(shù)針對的對象就是此類業(yè)務(wù),首先由應(yīng)用層網(wǎng)管識別出控制流,并根據(jù)控制流協(xié)議選擇特定的應(yīng)用層網(wǎng)關(guān)對業(yè)務(wù)流進(jìn)行解析,從而識別出相應(yīng)的業(yè)務(wù)流。對于每一個協(xié)議,需要不同的應(yīng)用層網(wǎng)關(guān)對其進(jìn)行分析。例如:H323、SIP等協(xié)議,就屬于此類,其通過信令交互過程,協(xié)商得到其數(shù)據(jù)通道,一般是RTP格式封裝的語音流,純粹檢測RTP流并不能確定這條RTP流是通過那種協(xié)議建立起來的,即判斷其是何種業(yè)務(wù),只有通過檢測SIP或H232的協(xié)議交互,才能得到其完整的分析。第三類是行為模式識別技術(shù):在實(shí)施行為模式技術(shù)之前,運(yùn)營商首先必須先對終端的各種行為進(jìn)行研究,并在此基礎(chǔ)上建立行為識別模型,基于行為識別模型,行為模式識別技術(shù)即根據(jù)客戶已經(jīng)實(shí)施的行為,判斷客戶正在進(jìn)行的動作或者即將實(shí)施的動作。行為模式識別技術(shù)通常用于那些無法由協(xié)議本身就能判別的業(yè)務(wù),例如:從電子郵件的內(nèi)容看,垃圾郵件和普通郵件的業(yè)務(wù)流兩者間根本沒有區(qū)別,只有進(jìn)一步分析,具體根據(jù)發(fā)送郵件的大小、頻率,目的郵件和源郵件地址、變化的頻率和被拒絕的頻率等綜合分析,建立綜合識別模型,才能判斷是否為垃圾郵件。上文根據(jù)圖3所示的流程圖對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行了介紹,為更加深入清晰地闡述本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法, 現(xiàn)使用優(yōu)選實(shí)施例對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法中的幾個模塊進(jìn)行進(jìn)一步介紹。具體地,現(xiàn)對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法中的實(shí)時分析模塊(即圖3所示的步驟S306中提及的對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析的部分,現(xiàn)簡稱為實(shí)時分析模塊)、沙箱檢測模塊(即圖3所示的步驟S312中提及的沙箱檢測部分,現(xiàn)簡稱沙箱模塊)、已知/未知攻擊檢測模塊(即圖3所示的步驟S312中提及的檢測已知/未知攻擊行為部分,現(xiàn)簡稱已知/未知攻擊檢測模塊)以及基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊(即圖3所示的步驟S312中提及的攻擊檢測和回溯部分,現(xiàn)簡稱基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊)。首先介紹實(shí)時分析模塊。如圖4所示的實(shí)時分析模塊的處理流程圖。首先,對Ethernet(以太網(wǎng))/VLAN(虛擬局域網(wǎng))/MPLS(多協(xié)議標(biāo)簽交換)等任意二層協(xié)議進(jìn)行解析。其次,進(jìn)一步對TCP/IP協(xié)議進(jìn)行解析。最后,對應(yīng)用層協(xié)議進(jìn)行識別。在本發(fā)明的優(yōu)選實(shí)施例中,為一個webmail(即網(wǎng)絡(luò)郵件)內(nèi)容解析,首先對超文本傳送協(xié)議進(jìn)行解析。其次,進(jìn)入對應(yīng)用層協(xié)議的識別,識別到該應(yīng)用為網(wǎng)絡(luò)郵件。進(jìn)而對網(wǎng)絡(luò)郵件進(jìn)行解析得到文本以及用以支持郵件中附加數(shù)據(jù)(如聲音文件、視頻文件等)的MIME(即多用途互聯(lián)網(wǎng)郵件擴(kuò)展)。其中,文本文件為能夠直接檢測的元數(shù)據(jù)。而對于MIME則需要進(jìn)行進(jìn)一步解析。對需要繼續(xù)解析的文件進(jìn)行解壓縮得到不同格式的文件,例如便攜文檔(PortableDocumentFormat,以下簡稱PDF)格式的文件以及PPT(微軟公司設(shè)計的一種演示文稿軟件)格式的文件。其中,對PPT格式的文件進(jìn)一步解析能夠得到可檢測的元數(shù)據(jù),文本文件以及Excel(一種試算表軟件)格式的文件。而對PDF格式的文件進(jìn)行解析時,得到可直接檢測的文本文件以及不可直接檢測的Deflate(一種無損數(shù)據(jù)壓縮算法)格式的文件。對于Deflate格式的文件則需要進(jìn)一步解析,直至得到全部可檢測的元數(shù)據(jù),則實(shí)時解析 結(jié)束。其次介紹沙箱檢測模塊。獲取到網(wǎng)絡(luò)數(shù)據(jù)報文之后,首先對網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件(PortableExecute,以下簡稱PE文件)和/或非可移植執(zhí)行體文件(以下簡稱非PE文件)。對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測過程,并根據(jù)檢測結(jié)果進(jìn)行惡意行為分析。當(dāng)獲取到網(wǎng)絡(luò)數(shù)據(jù)報文之后,若判斷獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文為文件類數(shù)據(jù)報文,則將文件類數(shù)據(jù)報文還原為文件。例如,郵件附件還原、web(網(wǎng)絡(luò))文件還原以及FTP(文件傳輸協(xié)議)文件還原等等。還原之后,對文件進(jìn)行靜態(tài)攻擊代碼初篩,對文件進(jìn)行靜態(tài)檢測的過程。當(dāng)靜態(tài)檢測完畢之后,若檢測出攻擊代碼,則確定文件具有惡意行為,繼而進(jìn)行相應(yīng)處理。若沒有檢測出靜態(tài)攻擊代碼,則利用沙箱對文件進(jìn)行半動態(tài)以及動態(tài)檢測。將應(yīng)用程序的還原文件,如Office(微軟公司的一款辦公軟件)、PDF、Flash(一種集動畫創(chuàng)作與應(yīng)用程序開發(fā)于一身的創(chuàng)作軟件)以及其他任意應(yīng)用的還原文件放入沙箱進(jìn)行檢測。根據(jù)沙箱檢測,能夠動態(tài)獲取各個應(yīng)用的還原文件是否具有惡意行為的信息,還可以動態(tài)獲取各個應(yīng)用的還原文件的可疑程度。例如,在2013年10月18日22時27分10秒時,在文件名稱為“啦啦生活網(wǎng)”的壓縮文件中,其啟動宿主進(jìn)程,注入代碼的操作行為可疑程度為4個星,其設(shè)置遠(yuǎn)程線程上下文的操作行為可疑程度為3個星,其在其他進(jìn)程中申請內(nèi)存的操作行為可疑程度為一個星。其中,星的個數(shù)越多代表可疑程度越高,則其操作行為是惡意行為的可能性越高。需要說明的是,本優(yōu)選實(shí)施例中提及的時間、軟件名稱、文件名稱以及可疑程度評定方法等均為示例,均無法代表實(shí)際運(yùn)用中能夠出現(xiàn)的各個信息詳情。對文件進(jìn)行解壓縮得到可檢測的元數(shù)據(jù)。其中,若文件為PE文件,則首先對文件進(jìn)行云查殺,例如使用奇虎支持向量機(jī)(QihooSupportVector Machine,以下簡稱QVM)或者云AVE引擎。通過云查殺的PE文件利用沙箱檢測方式進(jìn)行再次完整分析檢測。對于非PE文件,例如富文本格式(RichTextFormat,以下簡稱為RTF格式)、PDF格式、Doc(一種文件擴(kuò)展名)格式、docx(一種文件擴(kuò)展名)格式以及excel格式等等,若文件為能夠繼續(xù)解壓縮的文檔,則返回繼續(xù)進(jìn)行解壓縮操作,若文件為可檢測的元數(shù)據(jù),則進(jìn)行QEX靜態(tài)分析、填充數(shù)據(jù)(shellcode)半動態(tài)檢測以及l(fā)ightVM輕量動態(tài)分析。之后,利用沙箱檢測對通過以上三種檢測的元數(shù)據(jù)再次進(jìn)行檢測。在對文件是否具有惡意行為的檢測時,優(yōu)選地,本發(fā)明實(shí)施例中,可以將惡意行為的危險等級分為三個等級。第一,高危,即能夠確認(rèn)元數(shù)據(jù)為惡意代碼,如確定的木馬樣本、明顯的惡意行為或者能夠觸發(fā)的漏洞利用等。第二,中危,即存在疑似惡意行為,但無法確定的,或者疑似漏洞利用,但尚沒有確定的惡意行為,例如發(fā)現(xiàn)樣本會訪問以下敏感的位置,或者樣本導(dǎo)致程序崩潰,但沒有觸發(fā)執(zhí)行。第三,低危,即非經(jīng)過確認(rèn)的無惡意文件,可能會危害系統(tǒng)安全,可以理解為存在風(fēng)險的文件。對實(shí)時分析模塊以及沙箱檢測模塊介紹完畢之后,對已知/未知攻擊檢測模塊進(jìn)行介紹。當(dāng)對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文判斷為非文件類數(shù)據(jù)報文之后,本發(fā)明實(shí)施例基于網(wǎng)絡(luò)異常行為檢測原理,對已知/未知攻擊行為進(jìn)行檢測。首先對在網(wǎng)絡(luò)數(shù)據(jù)報文中提取出的元數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)行為信息的提取。其次,對提取到的網(wǎng)絡(luò)行為信息進(jìn)行多維度的網(wǎng)絡(luò)行為統(tǒng)計。之后,依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型,并使用網(wǎng)絡(luò)異常行為模型確定攻擊行為。另外,在進(jìn)行上文提及的網(wǎng)絡(luò)異常行為模型的建立時,本發(fā)明實(shí)施例使用存儲的網(wǎng)絡(luò)數(shù)據(jù)報文。在對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法進(jìn)行介紹時提及,本發(fā)明實(shí)施例中,對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,可以對已確定的攻擊行 為,基于大數(shù)據(jù)分析對攻擊行為進(jìn)行回溯。因此,下面首先介紹基于大數(shù)據(jù)分析的攻擊檢測與回溯模塊,其次,介紹使用存儲的網(wǎng)絡(luò)數(shù)據(jù)報文建立網(wǎng)絡(luò)異常行為模型。本發(fā)明實(shí)施例對捕捉到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲,得到全流量數(shù)據(jù),例如網(wǎng)絡(luò)的訪問記錄信息、網(wǎng)絡(luò)的所有對內(nèi)對外的web訪問請求以及網(wǎng)絡(luò)或者郵件傳輸?shù)奈募???梢圆捎镁垲愃惴▽θ髁繑?shù)據(jù)進(jìn)行分析,可以對全流量數(shù)據(jù)進(jìn)行機(jī)器學(xué)習(xí)以及規(guī)則提取操作,還可以對全流量數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析操作等。通過以上多維度的網(wǎng)絡(luò)行為分析統(tǒng)計,能夠建立網(wǎng)絡(luò)異常行為模型以及確定攻擊關(guān)系。繼而,通過建立的網(wǎng)絡(luò)異常行為模型以及確定的攻擊關(guān)系能夠進(jìn)行已知攻擊檢測、未知攻擊檢測以及APT攻擊過程回溯等操作。通過偵聽網(wǎng)絡(luò)流量、獲取終端日志以及獲取設(shè)備日志等行為能夠獲取到網(wǎng)絡(luò)數(shù)據(jù)報文,將獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲。當(dāng)存儲的網(wǎng)絡(luò)數(shù)據(jù)報文的數(shù)量級到達(dá)大數(shù)據(jù)級別時,進(jìn)行大數(shù)據(jù)挖掘計算以及歷史數(shù)據(jù)行為分析。其中,對歷史數(shù)據(jù)進(jìn)行行為分析之后得到的分析結(jié)果能夠加入行為模型庫以備后續(xù)分析使用,而通過大數(shù)據(jù)挖掘計算能夠提取網(wǎng)絡(luò)行為模型,也可以將提取的網(wǎng)絡(luò)行為模型加入行為模型庫。另外,行為模型庫能夠反過來作為歷史數(shù)據(jù)行為分析的歷史數(shù)據(jù)。通過對歷史數(shù)據(jù)行為的分析能夠獲取到漏洞利用攻擊、可疑行為、APT過程以及隱蔽信道等未知攻擊的信息。進(jìn)一步,能夠檢測并確定已知或者未知的攻擊行為。例如,在本申請的一個實(shí)施例中,服務(wù)器接收客戶端的主動訪問,為客戶端提供各種應(yīng)答服務(wù),服務(wù)器僅在有限的情形中主動發(fā)起訪問行為,如獲取系統(tǒng)補(bǔ)丁等,如果偵聽到的流量中服務(wù)器主動訪問歐洲某DNS服務(wù)器,則服務(wù)器的訪問操作與其歷史數(shù)據(jù)行為不符,說明存在可疑行為,需要進(jìn)行進(jìn)一步的檢測。上文對本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法以及其中具體的模塊信息進(jìn)行了介紹,為將本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法闡述得更加直觀、清楚,現(xiàn)提供一個具體實(shí)施例?;谏衔母鲀?yōu)選實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法,基于同一發(fā)明構(gòu)思,本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)威脅處理設(shè)備,用于實(shí)現(xiàn)上述網(wǎng)絡(luò)威脅處理方法。圖5示出了根據(jù)本發(fā)明一個實(shí)施例的網(wǎng)絡(luò)威脅處理裝置的結(jié)構(gòu)示意圖。參見圖5,本發(fā)明實(shí)施例的網(wǎng)絡(luò)威脅處理裝置至少包括:偵聽模塊510、全流量存儲模塊520、還原處理模塊530以及檢測模塊540?,F(xiàn)介紹本發(fā)明實(shí)施例的網(wǎng)絡(luò)威脅處理裝置的各器件或組成的功能以及各部分間的連接關(guān)系:偵聽模塊510,配置為偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并通過零拷貝技術(shù)獲取網(wǎng)絡(luò)數(shù)據(jù)報文;全流量存儲模塊520,配置為對獲取到的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行全流量存儲得到全流量的網(wǎng)絡(luò)數(shù)據(jù)報文;還原處理模塊530,配置為對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行還原處理;檢測模塊540,配置為對還原處理后的網(wǎng)絡(luò)數(shù)據(jù)報文的文件類型進(jìn)行分析,并得到可移植執(zhí)行體文件和/或非可移植執(zhí)行體文件,對于PE文件以及非PE文件分別進(jìn)行靜態(tài)檢測、半動態(tài)檢測以及動態(tài)檢測,從而確定是否具有惡意行為。在一個優(yōu)選的實(shí)施例中,所述網(wǎng)絡(luò)威脅處理裝置還包括:分類模塊,配置為對存儲的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分類,根據(jù)網(wǎng)絡(luò)數(shù)據(jù)報文的屬性將存儲的數(shù)據(jù)分為文件類數(shù)據(jù)報文和/或非文件類數(shù)據(jù)報文;所述檢測模塊還配置為:根據(jù)數(shù)據(jù)報文的類別選擇相應(yīng)的策略檢測攻擊行為。在一個優(yōu)選的實(shí)施例中,所述還原處理模塊還配置為:通過多線程下載 所述網(wǎng)絡(luò)數(shù)據(jù)報文的多個數(shù)據(jù)塊,分別存儲所述數(shù)據(jù)塊的數(shù)據(jù)內(nèi)容和塊信息;讀取所述數(shù)據(jù)內(nèi)容和塊信息并拼接為所述網(wǎng)絡(luò)數(shù)據(jù)報文。在一個優(yōu)選的實(shí)施例中,所述檢測模塊還配置為:基于深度包檢測技術(shù)對應(yīng)用層協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行檢測,以消除誤報;其中,所述應(yīng)用層協(xié)議至少包括:HTTP協(xié)議、SMTP協(xié)議、PoP3協(xié)議。在一個優(yōu)選的實(shí)施例中,所述檢測模塊還配置為:對于所述非文件類數(shù)據(jù)報文,基于網(wǎng)絡(luò)異常行為檢測原理,檢測所述非文件類數(shù)據(jù)報文是否具有惡意行為。在一個優(yōu)選的實(shí)施例中,所述檢測模塊還配置為:提取所述網(wǎng)絡(luò)數(shù)據(jù)報文的網(wǎng)絡(luò)行為信息;對所述網(wǎng)絡(luò)行為信息進(jìn)行多維度網(wǎng)絡(luò)行為統(tǒng)計;依據(jù)統(tǒng)計結(jié)果,利用決策樹分類規(guī)則建立網(wǎng)絡(luò)異常行為模型;使用所述網(wǎng)絡(luò)異常行為模型確定出攻擊行為。根據(jù)上述任意一個優(yōu)選實(shí)施例或多個優(yōu)選實(shí)施例的組合,本發(fā)明實(shí)施例能夠達(dá)到如下有益效果:依據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法能夠偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,獲取網(wǎng)絡(luò)數(shù)據(jù)報文,并通過對網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行分析提取元數(shù)據(jù),根據(jù)對元數(shù)據(jù)進(jìn)行檢測確定已知或者未知的攻擊行為,解決現(xiàn)有技術(shù)中無法掌握新型網(wǎng)絡(luò)威脅(包括已知攻擊以及未知攻擊)的漏洞及技術(shù),進(jìn)而無法采取相應(yīng)技術(shù)手段解決新型網(wǎng)絡(luò)威脅的問題。本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法通過實(shí)時偵聽網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)訪問行為,并獲取網(wǎng)絡(luò)數(shù)據(jù)報文能夠動態(tài)發(fā)現(xiàn)未知攻擊的漏洞攻擊以及未知攻擊的迷信隱秘信道,并且能夠快速檢測未知攻擊。另外,本發(fā)明實(shí)施例對獲取的網(wǎng)絡(luò)數(shù)據(jù)報文進(jìn)行存儲,形成大數(shù)據(jù)級別的歷史數(shù)據(jù),并對大數(shù)據(jù)進(jìn)行分析挖掘,進(jìn)而能夠?qū)Ω呒墶㈦[蔽的攻擊進(jìn)行檢測,是解決對由于現(xiàn)有技術(shù)的限制而漏檢的攻擊進(jìn)行補(bǔ)查的有效手段。綜上,采用本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)威脅處理方法能夠及時發(fā)現(xiàn)并 處理新型網(wǎng)絡(luò)威脅,包括已知攻擊行為以及未知攻擊行為,達(dá)到保證人們生產(chǎn)生活甚至國家安全不受網(wǎng)絡(luò)信息不安全的威脅的有益效果。在此提供的算法和顯示不與任何特定計算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實(shí)施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實(shí)施例的所有特征。因此,遵循具體實(shí)施方式的權(quán)利要求書由此明確地并入該具體實(shí)施方式,其中每個權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。本領(lǐng)域那些技術(shù)人員可以理解,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個或多個設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或 者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個或者多個處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的網(wǎng)絡(luò)威脅處理設(shè)備中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。至此,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實(shí)施例,但是,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改。因此,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。當(dāng)前第1頁1 2 3 當(dāng)前第1頁1 2 3