攻击防御方法及装置、系统与流程

本发明涉及网络安全领域，具体而言，涉及一种攻击防御方法及装置、系统。

背景技术：

分布式拒绝服务(distributeddenialofservice，简称为ddos)攻击的原理是找到被攻击者的资源瓶颈，通过消耗资源的方式达到被攻击者业务不可用的目的。目前互联网业务中，服务器cpu，内存，带宽，数据库等都可能成为资源瓶颈。一般来说，由于带宽成本很高，针对带宽的ddos攻击对云计算服务平台的影响较为严重。

目前，当攻击流量超过业务方的承受范围时，为了不影响同一机房的其他业务，业务方有时会通过在运营商网络中发布黑洞路由的方式屏蔽被攻击ip的访问，在骨干网丢弃所有的ddos流量。目前通常采用的路由黑洞防御方案是：对所有运营商发布到该ip的黑洞路由，屏蔽ddos攻击。

但是，上述路由黑洞方案存在以下缺点：黑洞配置不灵活，容易被黑客利用：由于黑洞后无法监控流量，云计算服务商只能等待固定时间后尝试解除，这就使得在黑客获得路由黑洞的规律后在固定时间段进行攻击就可以达到始终屏蔽受害者业务的目的。

针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

根据本申请实施例的一个方面，提供了一种攻击防御方法，包括：获取指定ip地址的当前数据传输速率；比较所述当前数据传输速率与预设阈值，得到比较结果；并且依据所述比较结果在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由。

根据本申请实施例的另一方面，还提供了一种攻击防御装置，包括：获取模块，用于获取指定ip地址的当前数据传输速率；比较模块，用于比较所述当前数据传输速率与预设阈值；发布模块，用于依据所述比较模块输出的比较结果在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由。

在本申请实施例中，采用依据指定ip地址的当前数据传输速率与预设阈值的比较结果来确定该指定ip地址的黑洞路由的方式，这样，便可以在不同的黑洞路由发布范围来控制黑洞的时间和数量，即可以在不同的发布范围采用不同的策略，从而可以在一定程度上减少黑洞数量和黑洞时间的影响，并且，由于考虑了当前攻击的流量(即当前数据传输速率)，因此，增加了黑客获取路由黑洞方案的规律的难度，进而解决了现有的路由黑洞方案存在的路由黑洞配置不灵活的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是本申请实施例的一种攻击防御方法的计算机终端的硬件结构框图；

图2是根据本申请实施例的一种可选的攻击防御方法的流程示意图；

图3为根据本申请实施例的一种可选的攻击防御的实现原理示意图；

图4是根据本申请实施例的一种可选的攻击防御装置的结构框图；

图5是根据本申请实施例的一种可选的攻击防御系统的结构框图；

图6是根据本申请实施例的另一种可选的攻击防御系统的结构示意图；

图7是根据本申请实施例的一种计算机终端的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的 任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

为便于理解，以下将本申请实施例中涉及到的技术术语解释如下：

ddos攻击：指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者将ddos主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

流量清洗:ddos流量清洗系统包括流量检测，流量清洗和监控管理三个部分。流量检测设备检测网络流量中隐藏的非法攻击流量，发现攻击后及时通知并激活防护设备进行流量的清洗；流量清洗设备通过专业的流量净化产品，将可疑流量从原始网络路径中重定向到净化产品上进行恶意流量的识别和剥离，还原出的合法流量回注到原网络中转发给目标系统，其它合法流量的转发路径不受影响；监控管理系统对流量清洗系统的设备进行集中管理配置、展现实时流量、告警事件、状态信息监控、及时输出流量分析报告和攻击防护报告等报表。

黑洞路由：将所有无关路由吸入其中，使它们有来无回的路由，一般是admin主动建立的路由条目。admin将接到的某个源地址转向null0接口，这样对系统负载影响非常小。

发布：又称为扩散，是指将路由(例如黑洞路由)发布给支持边界网关协议(bordergatewayprotocol，简称为bgp)节点的邻居节点(即bgp邻居)。

发布范围：可以表示路由(例如黑洞路由)的发布对象，用于对发布对象进行限制，例如，可以将发布范围限制在某一企业内部，即仅将路由传递至接入路由器处，也可以将该路由传递至企业外部，例如运营商网络的骨干路由器和其他接入路由器。

网络入口，可以是企业或运营商内部交换机或接入路由器。

屏蔽对某个ip地址的访问：是指将该ip地址的路由设置为不可达。

云计算(cloudcomputing)：是基于互联网的相关服务的增加、使用和交付模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。

bgp:运行于tcp上的一种自治系统的路由协议。bgp是唯一一个用来处理像因特 网大小的网络的协议，也是唯一能够妥善处理好不相关路由域间的多路连接的协议。bgp构建在外部网关协议(exteriorgatewayprotocol，简称为egp)的经验之上。bgp系统的主要功能是和其他的bgp系统交换网络可达信息。网络可达信息包括列出的自治系统(autonomoussystem，简称为as)的信息。这些信息有效地构造了as互联的拓朴图并由此清除了路由环路，同时在as级别上可实施策略决策。

bgpcommunity：bgpcommunity是bgp路由可以携带的一种属性，是bgp中的一个可选可传递属性(optionaltransitive)，所以可以选择为路由配置community，也可以不配，如果配置，community需要明确要求bgp路由器保留和传递该属性，否则邻居收不到路由的community属性。

bgp拥有4个预先定义的community，分别为：

no-export：不将路由发给任何ebgp邻居，也就是只能将该路由在本as内部传递。

no-advertise：不将路由发给任何bgp邻居。

internet：可以将路由发给任何bgp邻居。

local-as：同no-export，即不将路由发到as外。

路由黑洞是云计算服务中防御ddos常用的方法，成功防御的同时也有很多的副作用。原因有以下几点：运营商允许发布的黑洞路由数量有限，如果发布的黑洞路由太多，可能导致bgp连接中断。发布给运营商的路由黑洞有诸多限制，因为频繁发布黑洞路由容易导致路由震荡，所以黑洞路由的解除时间一般不能短于30分钟。因此，发布给运营商的路由黑洞是一项稀缺资源。为解决上述问题，本申请实施例提供了以下技术方案。

实施例1

根据本申请实施例，还提供了一种攻击防御方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本申请实施例的一种攻击防御方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图 中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的攻击防御方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。

在上述运行环境下，本申请提供了如图2所示的攻击防御方法。图2是根据本申请实施例的一种可选的路由黑洞的攻击防御方法的流程示意图。如图2所示，该方法包括步骤s202-s206

步骤s202，获取指定ip地址的当前数据传输速率；可选地，此处当前数据传输速率也可以称为指定ip地址的访问流量。需要说明的是，此处的“当前数据传输速率”可以包括但不限于数据发送方的数据发送速率和/或数据接收方的数据接收速率，这样，便可以在数据发送方侧和/或数据接收方侧进行攻击防御。

步骤s204，比较上述当前数据传输速率与预设阈值，得到比较结果；

可选地，步骤s204中的比较过程可以表现为以下处理方式：将所述当前数据传输速率分别与第一阈值和第二阈值进行比较；其中，所述第二阈值大于所述第一阈值。这样，便可以依据当前数据传输速率与第一阈值和第二阈值的比较过程，实现两级防御。

步骤s206，依据比较结果在与上述比较结果对应的发布范围发布上述ip地址的黑洞路由。

可选地，步骤s206可以通过以下方式实现，但不限于此：在当前数据传输速率大于所述第一阈值，并且小于所述第二阈值时，将所述ip地址的黑洞路由发布至第一发布范围；在所述当前数据传输速率大于所述第二阈值时，将所述ip地址的黑洞路由发布至第二发布范围，其中，所述第二发布范围大于所述第一发布范围。

其中，将所述ip地址的黑洞路由发布至第一发布范围的过程可以表现为以下处理过程，但不限于此：将所述ip地址的黑洞路由发布至所述ip地址的网络入口处，并在所述网络入口处屏蔽对所述ip地址的访问；将所述ip地址的黑洞路由发布至第二发布范围可以包括但不限于以下处理过程：将所述ip地址的黑洞路由发布至所述ip地址所接入的骨干网网络，并在所述骨干网网络中屏蔽对所述ip地址的访问。为便于理解，以下结合相关实施例对第一发布范围和第二发布范围进一步进行解释，其中：

第一发布范围又称为内网黑洞或内部黑洞，是指只在云网络入口屏蔽流量访问。当用户受到的攻击流量较小时，可以只在云网络入口处屏蔽，这样做的好处是：内部黑洞数量和解除时间不受限制，可以频繁加解黑洞

第二发布范围，又称为运营商黑洞，是指将黑洞路由发布到运营商骨干网网络屏蔽流量访问。运营商黑洞是比较彻底的路由黑洞，可以就近屏蔽攻击者的流量，但是缺点在于资源比较稀缺，数量和解除时间都有限制。通过本申请实施例设计的两级路由黑洞方案，云计算服务商可以只对大流量攻击发布扩散黑洞路由，提高黑洞资源的利用效率，降低小流量攻击对用户造成的影响

以下结合一个具体实施例详细说明攻击防御的过程。假设内部黑洞阈值是5gbps，扩散(又称为发布)黑洞阈值是10gbps。详细过程如下：

ip地址a受到6gbps的攻击，只对a内部黑洞，黑洞路由发布到接入路由器，不往运营商骨干网络扩散，攻击a的流量在接入路由器入口被屏蔽；

ip地址b受到15gbps的攻击，我们对b扩散黑洞，黑洞路由经由接入路由器发布到运营商骨干网络，实现攻击就近屏蔽；

访问其他ip地址的流量不受影响，用户可以正常访问。

可选地，通过以下方式在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由：设置所述ip地址的边界网关协议中的路由属性，例如可以通过以下过程实现：

黑洞管理服务器利用bgpcommunity属性区分内部黑洞和扩散黑洞。图3描述了具体的实现原理，如图3所示：

内部黑洞管理服务器下发黑洞路由时，设置bgpcommunity属性是no-advertise， 即不将路由发给任何bgp邻居，路由只传递到接入路由器。

扩散黑洞管理服务器下发黑洞路由时，设置bgpcommunity属性是internet，即可以将路由发给任何bgp邻居，路由传递到运营商网络的骨干路由器和其他接入路由器，实现就近屏蔽访问流量。

本实施例优化了云计算服务中路由黑洞的ddos防御效果，提高了路由黑洞的使用效率。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

实施例2

根据本申请实施例，还提供了一种用于实施上述攻击防御方法的装置，如图4所示，该装置包括：

获取模块40，用于获取指定ip地址的当前数据传输速率；

需要说明的是，上述指定ip地址可以为云计算环境中的一个ip地址，上述当前数据传输速率又称为上述指定ip地址的攻击流量(例如ddos攻击流量)。

比较模块42，连接至获取模块40，用于比较所述当前数据传输速率与预设阈值，得到比较结果；

可选地，比较模块42，还用于将所述当前数据传输速率分别与第一阈值和第二阈值进行比较；其中，所述第二阈值大于所述第一阈值。

发布模块44，连接至比较模块42，用于依据比较模块42输出的比较结果在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由。

可选地，发布模块44，用于在所述当前数据传输速率大于所述第一阈值，并且小于所述第二阈值时，将所述ip地址的黑洞路由发布至第一发布范围；以及在所述当前数据传输速率大于所述第二阈值时，将所述ip地址的黑洞路由发布至第二发布范围，其中，所述第二发布范围大于所述第一发布范围。

可选地，发布模块44，还用于将所述ip地址的黑洞路由发布至所述ip地址的网络入口处，并在所述网络入口处屏蔽对所述ip地址的访问；和/或，将所述ip地址的黑洞路由发布至所述ip地址所接入的骨干网网络，并在所述骨干网网络中屏蔽对所述ip地址的访问。

在一个可选实施例中，第一发布范围又称为内网黑洞或内部黑洞，是指只在云网络入口屏蔽流量访问。当用户受到的攻击流量较小时，可以只在云网络入口处屏蔽，这样做的好处是：内部黑洞数量和解除时间不受限制，可以频繁加解黑洞

第二发布范围，又称为运营商黑洞，是指将黑洞路由扩散(又称为发布)到运营商骨干网网络屏蔽流量访问。运营商黑洞是比较彻底的路由黑洞，可以就近屏蔽攻击者的流量，但是缺点在于资源比较稀缺，数量和解除时间都有限制。通过本申请实施例设计的两级路由黑洞方案，云计算服务商可以只对大流量攻击发布扩散黑洞路由，提高黑洞资源的利用效率，降低小流量攻击对用户造成的影响。

可选地，发布模块44，用于通过以下方式在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由：设置所述ip地址的边界网关协议中的路由属性。

例如可以通过以下过程实现：利用bgpcommunity属性区分内部黑洞和扩散黑洞。在下发黑洞路由时，设置bgpcommunity属性是no-advertise，即不将路由发给任何bgp邻居，路由只传递到接入路由器(对应于第一发布范围)。在下发黑洞路由时，设置bgpcommunity属性是internet，即可以将路由发给任何bgp邻居，路由传递到运营商网络的骨干路由器和其他接入路由器，实现就近屏蔽访问流量(对应于第二发布范围)。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以表现为以下形式，但不限于此：获取模块40、比较模块42和发布模块44位于同一处理器中；或者，获取模块40、比较模块42和发布模块44以任意组合的方式分别位于不同的处理器中。

需要说明的是，本实施例中的优选实施方式可以参见实施例1中的相关描述，此 处不再赘述。

实施例3

本申请实施例还提供一种攻击防御系统，如图5所示，该系统包括：

管理服务器50，用于获取指定ip地址的当前数据传输速率；将所述当前数据传输速率分别与第一阈值和第二阈值进行比较；其中，所述第二阈值大于所述第一阈值；以及在所述当前数据传输速率大于所述第一阈值，并且小于所述第二阈值时，将将所述ip地址的黑洞路由发布至所述ip地址的网络入口处；在所述当前数据传输速率大于所述第二阈值时，将所述ip地址的黑洞路由发布至所述ip地址所接入的骨干网网络；

接入路由器52，用于利用所述ip地址的黑洞路由屏蔽对所述ip地址的访问；

骨干路由器54，用于利用所述ip地址的黑洞路由屏蔽对所述ip地址的访问。

在本申请的一个可选实施例中，如图6所示，攻击防御系统可以为包括两级路由黑洞的系统包括三个组成部分：内部黑洞和扩散黑洞管理服务器，接入路由器发布黑洞路由，运营商骨干路由器扩散黑洞路由。

需要说明的是，本实施例中的优选实施方式可以参见实施例1中的相关描述，此处不再赘述。

实施例4

本申请的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行攻击防御方法中以下步骤的程序代码：获取指定ip地址的当前数据传输速率；比较上述当前数据传输速率与预设阈值，得到比较结果；并依据该比较结果在与上述比较结果对应的发布范围发布上述ip地址的黑洞路由。

可选地，图7是根据本申请实施例的一种计算机终端的结构框图。如图7所示，该计算机终端a可以包括：一个或多个(图中仅示出一个)处理器71、存储器73、以及与网站服务器通信的传输装置75。

其中，存储器73可用于存储软件程序以及模块，如本申请实施例中的攻击防御方法和装置对应的程序指令/模块，处理器71通过运行存储在存储器73内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的攻击防御方法。存储器73可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器73可进一步包括相对于处理器71远程设置的存储器，这些远程存储器可以通过网络连接至终端a。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

上述的传输装置75用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中，传输装置75包括一个网络适配器(networkinterfacecontroller，nic)，其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中，传输装置75为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。

其中，具体地，存储器73用于存储预设动作条件和预设权限用户的信息、以及应用程序。

处理器71可以通过传输装置调用存储器73存储的信息及应用程序，以执行下述步骤：获取指定ip地址的当前数据传输速率；比较所述当前数据传输速率与预设阈值，得到比较结果，并依据该比较结果在与所述比较结果对应的发布范围发布所述ip地址的黑洞路由。

可选的，上述处理器71还可以执行如下步骤的程序代码：将所述当前数据传输速率分别与第一阈值和第二阈值进行比较；其中，所述第二阈值大于所述第一阈值。

可选的，上述处理器71还可以执行如下步骤的程序代码：在所述当前数据传输速率大于所述第一阈值，并且小于所述第二阈值时，将所述ip地址的黑洞路由发布至第一发布范围；在所述当前数据传输速率大于所述第二阈值时，将所述ip地址的黑洞路由发布至第二发布范围，其中，所述第二发布范围大于所述第一发布范围。

可选的，上述处理器71还可以执行如下步骤的程序代码：将所述ip地址的黑洞路由发布至所述ip地址的网络入口处，并在所述网络入口处屏蔽对所述ip地址的访问；和/或将所述ip地址的黑洞路由发布至所述ip地址所接入的骨干网网络，并在所述骨干网网络中屏蔽对所述ip地址的访问。

本领域普通技术人员可以理解，图6所示的结构仅为示意，计算机终端也可以是智能手机(如android手机、ios手机等)、平板电脑、掌声电脑以及移动互联网设备(mobileinternetdevices，mid)、pad等终端设备。图6其并不对上述电子装置的结构造成限定。例如，计算机终端a还可包括比图6中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图6所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(read-onlymemory，rom)、随机存取器(randomaccessmemory，ram)、磁盘或光盘等。

实施例5

本申请的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的攻击防御方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：获取指定ip地址的当前数据传输速率；比较上述当前数据传输速率与预设阈值，得到比较结果；并依据该比较结果在与上述比较结果对应的发布范围发布上述ip地址的黑洞路由。

此处需要说明的是，上述计算机终端群中的任意一个可以与网站服务器和扫描器建立通信关系，扫描器可以扫描计算机终端上php执行的web应用程序的值命令。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的客户端，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件 可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。