一种工业控制系统的漏洞扫描方法、装置及设备与流程

本申请涉及计算机技术领域，特别涉及一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质。

背景技术：

工业控制系统往往涉及一个城市或国家的重要基础设施，比如电力、燃气、自来水等。一旦发生安全问题，后果非常严重，影响广泛。工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施，在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。近几年工业控制系统漏洞数量逐年大比例提升，安全漏洞的涌现，无疑为工业控制系统增加了风险，进而影响正常的生产秩序，甚至会危及人员健康和公共财产安全。

工业控制系统网络中有很多资产，例如工程师站、操作站、服务器、控制器(dcs、plc)、交换机、安全网络设备等，这些设备本身会存在漏洞，一旦这些设备的漏洞被利用会对工业控制系统带来巨大危害。鉴于工业控制系统的重要性，其一旦被破坏不但带来财产损失也会造成安全事故。因此，对工控系统进行漏洞扫描评估，及时解决安全隐患从而加固工控网络，显得十分必要。

目前，对工业控制系统的漏洞扫描方案包括主动探测扫描与被动流量解析扫描两种方式：

主动探测扫描具备扫描准确性高的特点，但是考虑到主动发包探测对工控系统网络环境要求的实时性、可靠性影响，大部分都只能等到现场停产检修时才能进行漏洞扫描，或者实际搭建一套与现场一致的工控环境才能进行漏洞扫描。且主动探测扫描技术主要基于已知的常规工控协议端口，如modbus/tcp端口为502、iec104端口为2404等，但是部分设备厂商可能将默认端口改为其它非常规端口，如将iec104端口改为2405等，导致采用传统端口扫描结果不准确甚至不能扫描出结果。

被动流量解析扫描具备对已有工控网络环境零干扰的优势，但是该方式需要长时间的去解析通讯流量，获取跟设备与系统指纹相关的信息后才能够识别资产并进行漏洞匹配，一方面扫描质量差，时间周期长；另一方面被动流量获取设备及系统通讯指纹的数据有限，导致扫描结果误差很大。

综上，如何提供一种工业控制系统的漏洞扫描方案，避免漏洞扫描时对工控网络业务造成影响，以及导致网络拥塞延迟甚至中断的现象，是亟待本领域技术人员解决的问题。

技术实现要素：

本申请的目的是提供一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质，用以解决传统的漏洞扫描方案要么会对网络业务造成影响，要么会导致系统网络阻塞的问题。其具体方案如下：

第一方面，本申请提供了一种工业控制系统的漏洞扫描方法，包括：

获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；

根据所述目标工控资产的网络通讯参数，生成探测数据包；

周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；

若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；

接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；

通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

优选的，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：

通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和ip地址。

优选的，在所述获取工业控制系统中目标工控资产的网络通讯参数之前，还包括：

根据当前扫描任务，确定工业控制系统中待扫描的目标工控资产，所述当前扫描任务包括ip地址的范围区间。

优选的，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：

在开始扫描的第n个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，动态调整发包速率，并按照调整后的发包速率向所述目标工控资产发送所述探测数据包，其中n大于等于2。

优选的，所述若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包，包括：

在开始扫描的第一个周期内，若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，按照发包速率的初始值向所述目标工控资产发送所述探测数据包。

优选的，在所述若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包之后，还包括：

将发包速率重置为初始值。

第二方面，本申请提供了一种工业控制系统的漏洞扫描装置，包括：

通讯参数获取模块：用于获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；

数据包生成模块：用于根据所述目标工控资产的网络通讯参数，生成探测数据包；

判断模块：用于周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；

数据包发送模块：用于若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；

数据包接收模块：用于接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；

匹配模块：用于通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

优选的，还包括：

流量数据获取模块：用于通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

流量数据分析模块：用于通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和ip地址。

第三方面，本申请提供了一种工业控制系统的漏洞扫描设备，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序，以实现如上所述的工业控制系统的漏洞扫描方法的步骤。

第四方面，本申请提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现如上所述的工业控制系统的漏洞扫描方法的步骤。

本申请所提供的一种工业控制系统的漏洞扫描方法，包括：获取工业控制系统中目标工控资产的网络通讯参数；根据网络通讯参数生成探测数据包；周期性地获取目标工控资产的扫描基准值和正常生产基准值，并判断目标工控资产的网络通信流量的实时值、扫描基准值与正常生产基准值之间的大小关系；若实时值位于扫描基准值和正常生产基准值之间，向目标工控资产发送探测数据包；若实时值大于扫描基准值，则暂停向目标工控资产发送探测数据包，直至实时值小于正常生产基准值；接收目标工控资产返回的响应数据包，从响应数据包提取目标工控资产的系统信息；通过对系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

可见，该方法结合主动探测扫描和被动流量解析扫描的特点，一方面，通过分析工业控制系统的网络流量数据得到目标工控资产的网络通讯参数，避免端口扫描结果不准确的问题；另一方面，在扫描过程中实时监测目标工控资产的实时流量、扫描基准值和正常生产基准值的大小关系，若实时流量超过扫描基准值，则暂停扫描，最大化的减少对系统网络的影响，避免造成系统网络阻塞。

此外，本申请还提供了一种工业控制系统的漏洞扫描装置、设备及可读存储介质，其技术效果与上述方法的技术效果相对应，这里不再赘述。

附图说明

为了更清楚的说明本申请实施例或现有技术的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请所提供的一种工业控制系统的漏洞扫描方法实施例一的实现流程图；

图2为本申请所提供的一种工业控制系统的漏洞扫描方法实施例二的实现流程图；

图3为本申请所提供的一种工业控制系统的漏洞扫描方法实施例二的系统结构示意图；

图4为本申请所提供的一种工业控制系统的漏洞扫描装置实施例的功能框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面结合附图和具体实施方式对本申请作进一步的详细说明。显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

目前，工业控制系统的漏洞扫描方案包括主动探测扫描和被动流量解析扫描两种方式。主动探测扫描通过固定的速率发包去不断尝试与在线工业控制系统设备进行通信，根据设备返回的通信内容以及通信参数来判断该设备的操作系统、厂商、型号以及版本等系统信息，再与漏洞库进行比对从而判断系统漏洞情况。

被动流量解析扫描方式首先获取网络通讯流量，通过对流量的解析获取资产识别的指纹信息(如：通讯过程中存在的特有设备存在的通讯机制，工控系统交互过程中存在的厂商、型号、版本等资产信息)，这种方式需要长时间不断的解析学习，且现有的工控网络的数据流量主要是以业务数据为主，资产信息数据极少。

扫描主动探测的缺点是：主动探测机制固化，通常都按照标准通讯协议的机制进行端口扫描，探测发包速率固定，对工控网络正常业务流量影响较大，会影响到工控网络的实时性，对于突然的业务流量爆发时主动扫描很极可能造成网络拥塞，甚至造成工控系统的通讯阻断。

被动扫描的缺点是：工控网络的流量数据绝大部分都问是业务数据，而极少有工控资产相关的数据，这导致获取资产指纹信息缺失，扫描质量差，效率也很低。

针对上述问题，本申请提供了一种工业控制系统的漏洞扫描方法、装置、设备及可读存储介质，一方面，通过分析工业控制系统的网络流量数据得到目标工控资产的网络通讯参数，避免端口扫描结果不准确的问题；另一方面，在扫描过程中实时监测目标工控资产的实时流量、扫描基准值和正常生产基准值的大小关系，若实时流量超过扫描基准值，则暂停扫描，最大化的减少对系统网络的影响，避免造成系统网络阻塞。

下面对本申请提供的一种工业控制系统的漏洞扫描方法实施例一进行介绍，参见图1，实施例一包括：

s101、获取工业控制系统中目标工控资产的网络通讯参数；

工业控制系统(简称ics)包括几种工业生产中使用的控制系统类型，包括监控和数据采集(scada)系统、分布式控制系统(dcs)，和其他较小的控制系统配置，如可编程逻辑控制器(plc)，通常出现在工业部门和关键基础设施中。

工控资产主要指工业控制网络中的工程师站、操作站、dcs、plc、rtu、网络设备、安全设备等实体的通讯主体。本实施例中目标工控资产是指工业控制系统中待进行扫描的工控资产，具体的，可以在扫描任务中执行待进行扫描的工作资产的ip地址或ip地址的范围区间。

本实施例中，上述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的。传统扫描方案都是基于工控协议指纹库中标准端口进行扫描，缺乏对非标准端口的识别扫描。比如，通过对网络流量数据分析得到某一工控资产的工控协议为iec104协议、端口号为2505；然而，工控协议指纹库中标准的工控协议为iec104协议、端口号为2404。当二者存在差异时，得到的扫描结果不可靠甚至无法得到扫描结果。因此，本实施例通过对工业控制网络进行网络流量分析，来得出各个工控资产的真实的网络通讯参数。

具体的，通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；通过分析网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数。其中，网络通讯参数具体包括ip地址、工业应用层协议(例如modbus/tcp、iec104、s7、ethernet/ip等)、端口号，除此之外，还可以包括mac地址、传输层协议(tcp/udp)、等信息。

s102、根据所述目标工控资产的网络通讯参数，生成探测数据包；

s103、周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系；

通过人工设定时间周期(如1周、1月、1天等)，对每个周期内工业控制网络的网络通信流量进行实时在线统计分析，得到该工业控制网络中各个工控网络资产相应的扫描基准值和正常生产基准值。其中，前述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，前述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值。

具体的，统计一个周期内某工控资产所发生的网络通信流量(包括进出流量)，以这个最大值作为扫描基准值；统计一个周期内内某工控资产所发生的网络通信流量(包括进出流量)，取其平均值作为正常生产基准值。

s104、若实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至实时值小于所述正常生产基准值；

通过流量分析得到的工控资产的网络通讯参数，生成探测数据包，并结合主动的扫描方式对工业控制网络进行漏洞扫描。具体的，在扫描过程中，实时监测目标工控资产的网络通信流量的实时值与扫描基准值和正常生产基准值之间的大小关系，当实时值位于扫描基准值和正常生产基准值之间时，正常向目标工控资产发送探测数据包；当实时值大于扫描基准值时，暂停向目标工控资产发送探测数据包，直至实时值小于正常生产基准值时，继续之前未完成的扫描任务，直至扫描任务结束。

s105、接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息；

上述系统信息具体可以包括厂商、型号、版本、类型等。

s106、通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

上述工控漏洞库用于记录系统信息与漏洞信息之间的对应关系，例如，可以记录多个版本各自存在的漏洞信息，通过对系统信息和工控漏洞库进行匹配即可得出漏洞扫描结果。

本实施例所提供一种工业控制系统的漏洞扫描方法，该方法结合主动探测扫描和被动流量解析扫描的优点，一方面，通过分析工业控制系统的网络流量数据得到目标工控资产的网络通讯参数，避免端口扫描结果不准确的问题；另一方面，在扫描过程中实时监测目标工控资产的实时流量、扫描基准值和正常生产基准值的大小关系，若实时流量超过扫描基准值，则暂停扫描，最大化的减少对系统网络的影响，避免造成系统网络阻塞。

下面开始详细介绍本申请提供的一种工业控制系统的漏洞扫描方法实施例二，实施例二基于前述实施例一实现，并在实施例一的基础上进行了一定程度上的拓展。

前述实施例一提出了实时监测网络通信流量的实时值与扫描基准值和正常生产基准值之间的大小关系的扫描方案，当实时值位于扫描基准值和正常生产基准值之间时，正常发送探测数据包；当实时值超过扫描基准值时，暂停发送探测数据包。为最大化扫描效率，本实施例在实施例一的基础上，做了进一步的改进。具体的，在实时值位于扫描基准值和正常生产基准值之间时，本实施例会依据具体情形动态调整发包速率，例如当实时值接近扫描基准值时，减小发包速率；当实时值接近正常生产基准值时，增大发包速率，从而实现提升漏洞扫描效率的目的。

参见图2，实施例二具体包括：

s201、通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

系统结构如图3所示，本实施例通过交换机的端口镜像功能来实现网络监控，在此模式下，监控设备只需要连接到交换机的指定镜像端口，在交换机上面配置镜像端口即可，不会影响现有的网络结构。旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。

s202、通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数；

上述网络通讯参数包括工业应用层协议、端口号和ip地址。

s203、根据当前扫描任务，确定工业控制系统中待扫描的目标工控资产；

上述当前扫描任务包括ip地址的范围区间、扫描开始时间等信息。

s204、获取目标工控资产的网络通讯参数；

s205、根据所述目标工控资产的网络通讯参数，生成探测数据包；

s206、获取当前周期中目标工控资产的扫描基准值和正常生产基准值，并获取目标工控资产的网络通信流量的实时值；

s207、判断实时值是否位于扫描基准值与正常生产基准值之间；若是，跳转至s208，否则跳转至s211；

s208、在开始扫描的第一个周期内，按照发包速率的初始值向所述目标工控资产发送所述探测数据包；在开始扫描的第n个周期内，动态调整发包速率，并按照调整后的发包速率向所述目标工控资产发送所述探测数据包，其中n大于等于2；持续发送一个周期后跳转到s212；

上述发包速率的初始值可以人为调整。

s209、判断扫描任务是否全部完成，若是，跳转到s210，否则跳转到s206；

s210、从目标工控资产返回的响应数据包提取目标工控资产的系统信息；通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果；

s211、判断实时值是否超过扫描基准值，若是，跳转到s212，否则跳转到s213；

s212、暂停向所述目标工控资产发送所述探测数据包，持续一周期后跳转到s209；

s213、将发包速率重置为初始值，并重置当前周期数为1，跳转到s208。

通过实时监测目标工控资产的网络通信流量的实时值，当实时值位于扫描基准值和正常生产基准值之间时，根据预先设定的发包速率调整机制动态增加或降低发包速率，调整过程中始终保证目标工控资产的网络通信流量一直保持在扫描基准值以内。当检测到实时值大于扫描基准值时，暂停当前扫描任务，保存现有扫描进度以及扫描结果，一直到实时值小于等于正常生产基准值时再重新启动扫描任务，同时发包速率重置为初始值，再重复之前的动态调整过程，直到扫描任务结束。

可见，本实施例提供的一种工业控制系统的漏洞扫描方法，解决了在对正常运行的工业控制系统进行漏洞扫描时可能会对网络业务产生影响以及导致网络拥塞延迟甚至中断的问题。

针对被动扫描质量差的问题，以及主动发包探测扫描容易对工业控制系统网络环境造成影响的问题，本实施例可以根据工控资产的网络通信流量的实时值动态的调整漏洞扫描速率，对正常运行的工业控制系统进行在线漏洞扫描，最大化的减少扫描过程对工业控制系统网络的影响，并且保证漏洞扫描的质量。

针对传统扫描方式都是基于标准端口进行扫描而缺乏对非标准端口的识别扫描问题，本实施例通过对工业控制系统的流量数据的统计学习，识别出工业控制系统中各个工控资产真实的通讯协议、端口等通讯信息，再根据这些信息自动生成相应的探测数据包，与工业控制系统进行交互扫描，实现对非标准端口系统设备的漏洞扫描，解决了传统扫描系统无法识别非标准通讯机制的工控设备的问题，大大提升了扫描准确性。

综上，本实施例结合被动流量学习加主动探测技术，再融入实时流量监测动态调整扫描数据发包速率的漏洞扫描方式，能够适应于各种在线运行的工控系统网络场景进行漏洞扫描。基于本实施例可以有效提高工控系统网络扫描质量，大幅降低对工控网络正常业务流量的影响，同时满足了不用停工就能对工控系统网络进行高质量的主动探测扫描的需求。

下面对本申请实施例提供的工业控制系统的漏洞扫描装置进行介绍，下文描述的工业控制系统的漏洞扫描装置与上文描述的工业控制系统的漏洞扫描方法可相互对应参照。

如图4所示，本实施例的工业控制系统的漏洞扫描装置，包括：

通讯参数获取模块401：用于获取工业控制系统中目标工控资产的网络通讯参数，其中所述目标工控资产的网络通讯参数为通过分析所述工业控制系统的网络流量数据得到的；

数据包生成模块402：用于根据所述目标工控资产的网络通讯参数，生成探测数据包；

判断模块403：用于周期性地获取所述目标工控资产的扫描基准值和正常生产基准值，并判断所述目标工控资产的网络通信流量的实时值、所述扫描基准值与所述正常生产基准值之间的大小关系，其中所述扫描基准值为所述目标工控资产在最近的预设时间内的网络通信流量的最大值，所述正常生产基准值为所述目标工控资产在最近的预设时间内的网络通信流量的平均值；

数据包发送模块404：用于若所述目标工控资产的网络通信流量的实时值位于所述扫描基准值和所述正常生产基准值之间，向所述目标工控资产发送所述探测数据包；若所述目标工控资产的网络通信流量的实时值大于所述扫描基准值，则暂停向所述目标工控资产发送所述探测数据包，直至所述目标工控资产的网络通信流量的实时值小于所述正常生产基准值；

数据包接收模块405：用于接收所述目标工控资产返回的响应数据包，从所述响应数据包提取所述目标工控资产的系统信息，其中所述系统信息包括版本号；

匹配模块406：用于通过对所述系统信息和工控漏洞库进行匹配，得到漏洞扫描结果。

作为一种优选的实施方式，还包括：

流量数据获取模块：用于通过配置交换机的镜像端口，获取工业控制系统的网络流量数据；

流量数据分析模块：用于通过分析所述网络流量数据，确定所述工业控制系统中各个工控资产的网络通讯参数，所述网络通讯参数包括工业应用层协议、端口号和ip地址。

本实施例的工业控制系统的漏洞扫描装置用于实现前述的工业控制系统的漏洞扫描方法，因此该装置中的具体实施方式可见前文中的工业控制系统的漏洞扫描方法的实施例部分，例如，通讯参数获取模块401、数据包生成模块402、判断模块403、数据包发送模块404、数据包接收模块405、匹配模块406，分别用于实现上述工业控制系统的漏洞扫描方法中步骤s101，s102，s103，s104，s105，s106。所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再展开介绍。

另外，由于本实施例的工业控制系统的漏洞扫描装置用于实现前述的工业控制系统的漏洞扫描方法，因此其作用与上述方法的作用相对应，这里不再赘述。

此外，本申请还提供了一种工业控制系统的漏洞扫描设备，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序，以实现如上文所述的工业控制系统的漏洞扫描方法的步骤。

最后，本申请还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现如上文所述的工业控制系统的漏洞扫描方法的步骤。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

以上对本申请所提供的方案进行了详细介绍，本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。