网络入侵防护系统抗逃逸能力测试方法、装置和测试机与流程

本发明涉及计算机网络技术领域，具体涉及一种用于基于自动化组合对计算机网络入侵防护系统进行测试的网络入侵防护系统抗逃逸能力测试方法、装置和测试机。

背景技术：

入侵防御系统(intrusionpreventionsystem以下简称ips)是电脑网络安全设施，是对防病毒软件(antivirusprograms)和防火墙(packetfilter,applicationgateway)的补充。ips在开发完成后需要进行案源测试，目前，针对ips的安全测试主要包括功能性测试和穿透性测试两部分内容。在对ips进行穿透性测试时，需要检测业务口的抗攻击逃逸能力，即对ips能够识别的攻击流量附加特定的逃逸措施，改变攻击流量的原始特征，查看ips能否正确识别并阻断变形后的攻击流量。

传统技术方案中，在ips抗逃逸检测时主要基于人工或者采用半自动化方式进行测试，该测试过程费时、费力，检测效率较低。

技术实现要素：

有鉴于此，本发明实施例提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机，以解决现有技术中因基于人工或者采用半自动化方式对ips进行抗逃逸检测而造成的费时、费力，检测效率较低的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络入侵防护系统抗逃逸能力测试方法，包括：

判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；

如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；

基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；

利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，利用靶机对所述攻击流量数据进行测试之前，还包括：

设定并行运行的测试进程数n和ip地址资源范围f；

所述利用靶机对所述攻击流量数据进行测试，包括：

选择一测试进程和空闲的ip地址利用靶机对所述攻击流量数据进行测试。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述利用靶机对所述攻击流量数据进行测试并判断测试结果，包括：

使用预设的网络接口，向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；

根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述生成并输出最小逃逸组合，包括：

对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；

对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，每次利用靶机对所述攻击流量数据进行测试之后，还包括：

通过虚拟机历史快照技术，将靶机恢复到未触发状态。

一种网络入侵防护系统抗逃逸能力测试装置，包括：

第一判断单元，用于判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，向统计单元输出触发信号，否则，向策略组合单元输出触发信号；

统计单元，用于当获取到所述第一判断单元输出的触发信号时，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；

策略组合单元，用于当获取到所述第一判断单元输出的触发信号时，生成一未遍历的单次逃逸组合，向测试单元输出触发信号；

测试单元，用于当获取到所述策略组合单元输出的触发信号时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，向第一判断单元输出触发信号，如果逃逸成功，向最小逃逸组合筛选单元输出触发信号；

最小逃逸组合筛选单元，用于获取到所述测试单元输出的触发信号时，生成并输出最小逃逸组合，并向第一判断单元输出触发信号。

优选的，上述网络入侵防护系统抗逃逸能力测试装置中，还包括：信道配置单元，用于设定并行运行的测试进程数和ip地址资源范围；

所述测试单元在利用靶机对所述攻击流量数据进行测试时，具体包括：

选择一测试进程和空闲的ip地址利用靶机对所述攻击流量数据进行测试。

优选的，上述网络入侵防护系统抗逃逸能力测试装置中，所述测试单元在利用靶机对所述攻击流量数据进行测试并判断测试结果时，具体用于：

使用预设的网络接口，选择一测试进程和空闲的ip地址向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；

根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。

优选的，上述网络入侵防护系统抗逃逸能力测试装置中，所述最小逃逸组合筛选单元，具体用于：

对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；

对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。

优选的，上述网络入侵防护系统抗逃逸能力测试装置中，还包括：

初始化单元，用于监测所述测试单元，当所述测试单元每次利用靶机对所述攻击流量数据进行测试之后，用于向靶机输出触发信号，以使得靶机通过虚拟机历史快照技术，将靶机恢复到未触发状态。

一种测试机，上述任意一项实施例所述的网络入侵防护系统抗逃逸能力测试装置。

基于上述技术方案，本发明实施例提供的上述方案通过遍历与攻击流量的协议相匹配的所有逃逸组合，判断所有的逃逸组合是否均被遍历，如果全部遍历，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果，如果存在未遍历的逃逸组合，则选择一为遍历的逃逸组合作为单次逃逸组合进行遍历，此时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，利用所述测试攻击流量数据对ips进行抗逃逸测试，当攻击流量数据逃逸失败时，判断所有的逃逸组合是否均被遍历，当攻击流量数据逃逸成功时，生成并输出最小逃逸组合，并判断所有的逃逸组合是否均被遍历。从而实现了对所述ips进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例公开的一种网络入侵防护系统抗逃逸能力测试方法的流程示意图；

图2为本申请实施例公开的采用攻击测试机和靶机对ips进行抗逃逸检测的场景示意图；

图3为本申请实施例公开的一种网络入侵防护系统抗逃逸能力测试装置的结构示意图；

图4为本申请另一实施例公开的一种网络入侵防护系统抗逃逸能力测试装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对于现有技术中基于人工或者半自动化方式进行ips抗逃逸检测时，费时费力且效率低的问题，本申请公开了一种针对网络入侵防护系统进行自动化组合抗逃逸能力测试的网络入侵防护系统抗逃逸能力测试方法装置和测试机，所述方法、装置和测试机通过针对攻击流量的协议特征，逐个选择与所述协议特征相匹配的逃逸措施，生成逃逸测试用例，采用所述逃逸测试用例对攻击流量进行处理后发送攻击流量，并根据ips告警记录判断检测结果。

图1为本申请实施例公开的一种网络入侵防护系统抗逃逸能力测试方法的流程示意图，参见图1，该方法可以包括：

步骤s101：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，执行步骤s102，如果是，执行步骤s103；

在本步骤中，所述逃逸组合，是指施加到攻击流量逃逸策略的组合，所述攻击流量的每个子协议层次都会对应多种逃逸组合，如ipv4协议对应“分片”等8种逃逸组合，tcp协议对应“紧急数据”等10种逃逸组合，一般来说，位于上层协议的攻击流量可调用所有下层协议的逃逸组合，根据攻击流量的协议特性，例如：例如：使用rdp_dos攻击流量(cve-2012-0002)，由于攻击负载位于应用层，可选择ipv4、tcp两个协议层次的共计18种逃逸措施。通过随机组合的方式，能够生成逃逸组合全集，共计2¹⁸-1种组合，通过自建的协议栈，能够对2-7层的网络攻击数据流进行修改，生成带逃逸策略的攻击流量。

步骤s102：统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；

在本步骤中，为了方便查看ips的性能，本步骤中，在对所有的逃逸组合遍历完毕后，需要对遍历结果进行统计，统计得到遍历的逃逸组合的数量，以及ips抗逃逸的成功和失败次数，依据所述遍历的逃逸组合的数量、ips抗逃逸的成功和失败次数用户即可对所述ips的性能进行初步分析。

步骤s103：如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合，执行步骤s104；

在本步骤中，如果判断存在为遍历的、与攻击流量的协议相匹配的逃逸组合时，根据预设规则或者根据随机策略生成一未遍历的、与所述攻击流量的协议相匹配的单次逃逸组合。

步骤s104：基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，执行步骤s105；

在本方案中，基于自建协议栈，实现了组合逃逸，能够根据攻击流量的协议特征，同时附加多种逃逸措施。

在本步骤中，可以通过使用预设的自建协议栈整合多种逃逸措施的组合，从而实现采用所述逃逸组合对攻击流量进行封装和变异处理，例如：借助scapy等基于python的协议栈改写工具，可依据单次选择的逃逸组合e，对攻击代码进行逐层封装和变异，从而产生用于对ips进行测试的测试攻击流量数据。

具体的，本步骤中，在对ips进行逐层封装和变异处理时，其具体过程可以为：首先对位于应用层的攻击测试用例进行应用层变形，然后再在传输层对其进行变形，随后在ipv4层进行变形。

步骤s105：利用靶机对所述攻击流量数据进行测试，执行步骤s106；

在对所述攻击流量数据进行测试时，决定能否成功逃逸，是利用ips和靶机之间对逃逸组合理解的偏差实施的，即“ips不能理解，会放行攻击流量，但靶机能够理解并触发漏洞”，此种情况发生时，则可以被认为是攻击流量成功逃逸。

在本步骤中，参见图2，测试机(攻击测试机)通过ips向靶机发送攻击流量数据，判断所述攻击流量数据是否可通过所述ips到达靶机，从而实现对所述ips的抗逃逸能力的检测。

步骤s106：判断攻击流量数据进行测试的测试结果，如果测试结果表明逃逸失败，则执行步骤s101，如果逃逸成功，执行步骤s107；

在本方案中，具体可以通过使用预设的网络接口，向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；根据所述反馈结果，来自动判断所述攻击流量数据是否成功逃逸，而不需要人工查看设备告警记录。当然，除成功逃逸和逃逸失败这两种情况之外，还存在延时的情况，在延时时，靶机还未给出反馈结果，此时需要继续等待，等待特定时长后继续执行本步骤，其中，所述特定时长可以依据用户需求自行设定，例如其可以设置为100ms。

步骤s107：生成并输出最小逃逸组合，执行步骤s101；

当所述最小逃逸组合确定后，可有助于测试人员协助ips送测厂商准确定位并修复问题。

采用本申请实施例公开的方法对ips的抗逃逸性能进行测试时，遍历与攻击流量的协议相匹配的所有逃逸组合，判断所有的逃逸组合是否均被遍历，如果全部遍历，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果，如果存在未遍历的逃逸组合，则选择一为遍历的逃逸组合作为单次逃逸组合进行遍历，此时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，利用所述测试攻击流量数据对ips进行抗逃逸测试，当攻击流量数据逃逸失败时，判断所有的逃逸组合是否均被遍历，当攻击流量数据逃逸成功时，生成并输出最小逃逸组合，并判断所有的逃逸组合是否均被遍历。从而实现了对所述ips进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。

在本申请另一实施例公开的技术方案中，为了进一步提高测试效率，可同时采用多条信道并行对ips系统同时进行抗逃逸测试，即上述方案中，利用靶机对所述攻击流量数据进行测试之前，还包括：

设定并行运行的测试进程数n和ip地址资源范围f，可依据预先设置的测试进程数n和ip地址资源范围f设置多个并行运行的信道，并设置每个信道均的测试进程和ip地址资源；

具体的，在本步骤中，为提高效率，使用自建协议栈，虚拟多个ip地址，并发多个进程，设定并行运行的测试进程数n和ip地址资源范围f，轮流使用地址池，发送测试用例，从而实现了对ips的并行测试，进一步提高了测试效率。其中，ip地址资源范围f的值大于测试进程数n的值，测试人员可以根据测试机的性能，决定使用进程数n和ip地址资源范围f的值，一般来说，n和f越大，测试效率越高。

当采用多条并行信道对ips进行抗逃逸能力测试时，在利用靶机对所述攻击流量数据进行测试时可以随机或依据预设规则选择一条空闲信道，具体可以包括：选择一测试进程和空闲的ip地址利用靶机对所述攻击流量数据进行测试。此时，本申请提供的方案采用多任务方式，并行多个测试进程，每个测试进程分配单独的ip，互相不干扰，提高了测试效率。

此外，需要说明的是，上述方法中还可以实时对各个并行信道的占用状态进行检测，当存在空闲信道时，执行上述步骤s101，从而使得在对ips进行抗逃逸测试过程中，各个信道均保持在被占用状态。

在步骤s107中，当有攻击流量数据成功逃逸时，获取逃逸的攻击流量数据所匹配的逃逸组合，对该逃逸组合进行处理以获取最小逃逸组合，具体的，本方法中，在逃逸组合进行处理时，主要是通过如下方式进行处理：对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。在筛选和验证时，可采用每个候选逃逸组合分别对攻击流量进行逐层封装和变异，对采用候选逃逸组合封装和变异后的得到的攻击流量数据对ips进行抗逃逸测试，从而逐步筛选得到最小逃逸组合。

在本申请上述实施例公开的技术方案中，由于对所述ips进行测试时，需要产生大量的攻击流量数据，每个攻击流量数据分别对ips进行抗逃逸测试，当攻击流量数据成功逃逸时，会触发靶机，靶机被触发后，如果下一个成功逃逸的攻击流量数据到达靶机时，靶机难以正确响应该攻击流量数据，因此，为了保证靶机能够对逃逸的攻击流量数据进行正确响应，上述方法中，每次利用靶机对所述攻击流量数据进行测试之后，还包括：通过虚拟机历史快照技术，将靶机恢复到未触发状态。具体的，此时可以使用脚本，利用vmware-workstation的远程管理功能，通过虚拟机历史快照技术，将靶机自动恢复到未触发状态。

综上所述，本申请实施例公开的上述方法通过预先对攻击流量构造2-7层的完整协议栈，并在每个层次的协议栈上实现若干候选逃逸措施，根据特定攻击流量的协议特征，同时附加多种逃逸措施，并根据返回结果自动判断测试用例的是否逃逸，并且还可以采用多任务方式，并行多个测试进程，重复尝试，如果发现某一组合能够成功逃逸，则采用逐步隔离的方法，定位并输出最小逃逸组合，从而实现了ips的抗逃逸性能的快速测试。

对应于上述方法，本申请还公开了一种网络入侵防护系统抗逃逸能力测试装置，本实施例中，组成网络入侵防护系统抗逃逸能力测试装置的各个单元的具体工作内容，请参见上述方法实施例的内容。

下面对本申请实施例提供的网络入侵防护系统抗逃逸能力测试装置进行描述，下文描述的网络入侵防护系统抗逃逸能力测试装置与上文描述的网络入侵防护系统抗逃逸能力测试方法可相互对应参照。

参见图3，所述网络入侵防护系统抗逃逸能力测试装置可以包括：

第一判断单元100、统计单元200、策略组合单元300、测试单元400以及最小逃逸组合筛选单元500；

所述第一判断单元100与上述方法中步骤s101相对应，用于判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，向统计单元输出触发信号，否则，向策略组合单元输出触发信号；

所述统计单元200与上述方法中步骤s102相对应，用于当获取到所述第一判断单元输出的触发信号时，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；

所述策略组合单元300与上述方法中步骤s103相对应，用于当获取到所述第一判断单元输出的触发信号时，生成一未遍历的单次逃逸组合，向测试单元输出触发信号。所述策略组合单元300在生成单次逃逸组合可根据预设规则或者根据随机策略生成一未遍历的、与所述攻击流量的协议相匹配的单次逃逸组合；

所述测试单元400与上述方法中步骤s104相对应，用于当获取到所述策略组合单元输出的触发信号时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，其具体过程可以为：首先对位于应用层的攻击测试用例进行应用层变形，然后再在传输层对其进行变形，随后在ipv4层进行变形。再利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，向第一判断单元输出触发信号，如果逃逸成功，向最小逃逸组合筛选单元输出触发信号。当然，除成功逃逸和逃逸失败这两种情况之外，还存在延时的情况，在延时时，表明靶机还未给出反馈结果，此时需要继续等待，等待特定时长后继续执行对测试结果的判断，判断逃逸成功与否，其中，所述特定时长可以依据用户需求自行设定，例如其可以设置为100ms。

所述最小逃逸组合筛选单元500，用于获取到所述测试单元输出的触发信号时，生成并输出最小逃逸组合。

采用本申请实施例公开的装置对ips的抗逃逸性能进行测试时，第一判断单元100获取到触发信号时，遍历与攻击流量的协议相匹配的所有逃逸组合，判断所有的逃逸组合是否均被遍历，如果全部遍历，触发统计单元200统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果，如果存在未遍历的逃逸组合，触发策略组合单元300则选择一为遍历的逃逸组合作为单次逃逸组合进行遍历，此时，测试单元400基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，利用所述测试攻击流量数据对ips进行抗逃逸测试，当攻击流量数据逃逸失败时，触发第一判断单元100判断所有的逃逸组合是否均被遍历，当攻击流量数据逃逸成功时，触发最小逃逸组合筛选单元500生成并输出最小逃逸组合后，触发最小逃逸组合筛选单元500判断所有的逃逸组合是否均被遍历。从而实现了对所述ips进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。

与上述方法相对应，参见图4，本申请上述实施例公开的装置中，还可以包括：信道配置单600，其用于设定多个并行运行的信道，可依据预先设置的测试进程数n和ip地址资源范围f，设置每个信道均的测试进程和ip地址资源，在具体实时所述信道配置单元600使用自建协议栈，虚拟多个ip地址，并发多个进程，设定并行运行的测试进程数n和ip地址资源范围f，轮流使用地址池，发送测试用例，其中，每一个攻击流量数据即可作为一个测试用例；所述信道配置单元600还可以实时对各个并行信道的占用状态进行检测，当存在空闲信道时，触发所述第一判断单元100，从而使得在对ips进行抗逃逸测试过程中，各个信道均保持在被占用状态。

此时，所述测试单元400在利用靶机对所述攻击流量数据进行测试时，具体用于执行以下动作：

选择一空闲的信道利用靶机和所述攻击流量数据进行测试对所述ips进行抗逃逸测试。

与上述实施例公开的方法相对应，所述测试单元在利用靶机对所述攻击流量数据进行测试并判断测试结果时，具体用于：

使用预设的网络接口，选择一空闲信道通过ips向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；

根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。

与上述方法相对应，上述装置中所述最小逃逸组合筛选单元，具体用于：

对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。所述最小逃逸组合筛选单元在逃逸组合进行处理时，主要是通过如下方式进行处理：对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。在筛选和验证时，可采用每个候选逃逸组合分别对攻击流量进行逐层封装和变异，对采用候选逃逸组合封装和变异后的得到的攻击流量数据对ips进行抗逃逸测试，从而逐步筛选得到最小逃逸组合。

与上述方法相对应，为了保证靶机能够正确生成与攻击流量数据的逃逸结果相对应的生成反馈信息，上述装置中还可以包括：

初始化单元700，用于监测所述测试单元，当所述测试单元每次利用靶机对所述攻击流量数据进行测试之后，用于向靶机输出触发信号，以使得靶机通过虚拟机历史快照技术，将靶机恢复到未触发状态。具体的，其通过使用脚本，利用vmware-workstation的远程管理功能，通过虚拟机历史快照技术，将靶机自动恢复到未触发状态。

与上述装置相对应，本申请还公开了一种攻击测试机，所述攻击测试机可以包括本申请上述任意一项实施例公开的网络入侵防护系统抗逃逸能力测试装置，在所述攻击测试机中，所述网络入侵防护系统抗逃逸能力测试装置中的各个单元可以以预设程序的方式集成在处理器中，当采用所述攻击测试机对ips进行抗逃逸测试时，攻击测试机中的处理器自动调用并执行所述处理器中的预设程序。

为了描述的方便，描述以上系统时以功能分为各种模块分别描述。当然，在实施本申请时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。