一种入侵防御方法、系统及相关设备与流程

本发明涉及入侵防御技术领域，尤其涉及一种入侵防御方法、系统及相关设备。

背景技术：

ftp(filetransferprotocoll，文件传输协议)是基于tcp协议上开发的一种应用层协议。ftp协议的作用就是把文件管理功能集中于某一服务器中，其是承载这类传输服务的载体，给各节点提供文件上传、文件下载服务的能力。

由于ftp协议的广泛应用，基于ftp协议发起恶意攻击的行为也越来越多，目前市面上的ips(intrusionpreventionsystem，入侵防御系统)防御此类攻击一般是使用预设规则对异常特征进行匹配而实现的拦截。

现有方案中，实际上这类规则为了避免大规模误报，一般写的比较保守。如果攻击者把异常特征稍加调整，就可以绕过ips拦截。

技术实现要素：

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于防御基于ftp协议绕过ips的攻击，提高了网络的安全性。

本发明实施例第一方面提供了一种入侵防御方法，可包括：

存储待检测的应用层协议数据的协议头部数据；

当存储的所述协议头部数据的大小不小于第一阈值时，判断所述协议头部数据是否包含ftp协议特征字段；

若包含ftp协议特征字段，则对所述待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法，还可以包括：

判断存储的所述协议头部数据中是否包含远程终端协议操作码，若包含，则剔除所述远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法，还可以包括：

判断存储的所述协议头部数据中是否包含多个连续空格字符，若包含，则删除所述多个连续空格字符。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法，在将解析之后的目标数据进行安全检测之前，还可以包括：

判断所述目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法，在判定所述协议头部数据包含ftp协议特征字段之后，还可以包括：

为所述待检测的应用层协议数据添加ftp标签，以指示所述待检测的应用层协议数据的协议种类。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御方法，还可以包括：

当所述协议头部数据不包含ftp协议特征字段时，判断存储的协议头部数据大小是否不小于16字节，若不小于，则将所述待检测的应用层协议数据进行安全检测。

本发明实施例第二方面提供了一种入侵防御系统，可包括：

缓存模块，用于存储待检测的应用层协议数据的协议头部数据；

第一处理模块，当存储的所述协议头部数据的大小不小于第一阈值时，判断所述协议头部数据是否包含ftp协议特征字段；

第二处理模块，若包含ftp协议特征字段，则对所述待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第三处理模块，判断存储的所述协议头部数据中是否包含远程终端协议操作码，若包含，则剔除所述远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第四处理模块，判断存储的所述协议头部数据中是否包含多个连续空格字符，若包含，则删除所述多个连续空格字符。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第五处理模块，在将解析之后的目标数据进行安全检测之前，判断所述目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

添加模块，在判定所述协议头部数据包含ftp协议特征字段之后，为所述待检测的应用层协议数据添加ftp标签，以指示所述待检测的应用层协议数据的协议种类。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第六处理模块，当所述协议头部数据不包含ftp协议特征字段时，判断存储的协议头部数据大小是否不小于16字节，若不小于，则将所述待检测的应用层协议数据进行安全检测。

本发明实施例第三方面提供了一种计算机装置，所述计算机装置包括处理器，所述处理器用于执行存储器中存储的计算机程序时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。

本发明实施例第四方面提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如第一方面及第一方面中任意一种可能的实施方式中的步骤。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明实施例中，入侵防御系统可以存储待检测的应用层协议数据的协议头部数据，当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段，若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。相对于相关技术，本发明实施例可以防御基于ftp协议绕过ips的攻击，提高了网络的安全性。

附图说明

图1为本发明实施例中一种入侵防御方法的一个实施例示意图；

图2为本发明实施例中一种入侵防御方法的另一个实施例示意图；

图3为本发明实施例中一种入侵防御方法的一个具体应用实施例示意图；

图4为本发明实施例中一种入侵防御系统的一个实施例示意图；

图5为本发明实施例中一种计算机装置的一个实施例示意图。

具体实施方式

本发明实施例提供了一种入侵防御方法、系统及相关设备，用于防御基于ftp协议绕过ips的攻击，提高了网络的安全性。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明实施例涉及绕过技术，其中绕过技术通常是指黑客使用某种手段逃逸防火墙现有的检测手段，从而渗透到靶机内部的技术。由于ftp协议的广泛应用，基于ftp协议绕过ips(intrusionpreventionsystem，入侵防御系统)发起恶意攻击的行为也越来越多。有鉴于此，本发明实施例提出一种入侵防御方法，解决基于ftp协议绕过ips的问题。

为了便于理解，下面对本发明实施例中的具体流程进行描述，请参阅图1，本发明实施例中一种入侵防御方法的一个实施例可包括：

s101、存储待检测的应用层协议数据的协议头部数据；

实际应用中，申请人注意到由于ftp是基于tcp协议实现的应用层协议，而tcp有重组功能，因此协议数据分片传输是被允许的。但是对于ips(入侵检测系统)而言，一般为了性能考虑，在设备未识别出来ftp应用的时候，不会对数据进行存储。因此，如果对ftp头部特征字段进行分片传输时，就会导致应用识别失败，导致绕过ips系统检测。

例如，ips需要识别“user”这4个完整字节才能判断这是个ftp协议。那么如果对方传输两个报文，一个为“u”，另一个为“ser”，此时ips就很有可能不会触发ftp头部特征字段“user”对应的检测规则，进而导致绕过ips的检测。

本发明实施例中，为了防止ftp头部特征字段分片传输导致绕过检测，可以对待检测的应用层协议数据的协议头部数据进行存储，将可能的分片数据存储在一起进行检测识别。

s102、当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段；

在获取到待检测的应用层协议数据之后，ips需要确定待检测的应用层协议数据的协议类型，并根据协议类型进行分类处理。为此，当存储的协议头部数据的大小不小于第一阈值时，ips可以判断协议头部数据是否包含ftp协议特征字段。具体的第一阈值可以根据业务需求进行合理的设置，具体此处不做限定。例如，ftp协议特征字段最小为4个字节，优选的，第一阈值可以设置为4个字节。

进一步的，当协议头部数据不包含ftp协议特征字段时，可以执行其它操作。例如，ips可以判断存储的协议头部数据大小是否不小于16字节，若不小于，则可以将待检测的应用层协议数据进行安全检测。

s103、若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

当存储的协议头部数据中，包含ftp协议特征字段，则对待检测的应用层协议数据按照所遵循的协议进行解析，并将解析之后的目标数据进行安全检测。例如，ips可以调用预设的snort(入侵检测)规则进行检测，具体的snort规则可以根据实际业务需求进行合理的设置，此处不做限定。

本发明实施例中，入侵防御系统可以存储待检测的应用层协议数据的协议头部数据，当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段，若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。相对于相关技术，本发明实施例可以防御基于ftp协议绕过ips的攻击，提高了网络的安全性。

在上述实施例的基础上，申请人还注意到其他基于ftp协议绕过ips的方式，例如，基于远程终端协议操作码(telnetopcode)绕过的方式、基于间隔符绕过的方式。

具体来说，ftp是基于telnet协议上开发的一类协议，与telnet通用21端口进行命令传输。telnet协议的控制功能一般是通过传输一种叫做“telnetopcode”的方式来对目标主机进行控制。这个telnetopcode由两个字符组成：第一个字符是0xff，表示这是操作码；第二个是任意0～255的字符0x？？(0xff0x？？)，表示操作类型(如中断)。目前很多的ips引擎，要么是不支持这种解析，要么只是利用社区发布的snort规则来识别这种绕过，局限性非常大。比如，正常的ftp协议，一般是“user”，表示传输用户名。异常的ftp协议，可以写成“u\xff\x0ds\xff\x0de\xff\x0dr”。如果规则匹配的是“user”字样，通过这种方式就能绕过ips的检测规则。

基于间隔符绕过的方式是指，使用空格这种方式绕过ips的检测规则。例如，在应用识别的时候把“user”的识别，改成“\x20\x20user”的方式(\x20为空格)，这种写法在ftp服务器中是可以被识别出来的。然而，ips未必会识别出原有的ftp协议特征字段，导致ftp协议未能被识别出来从而无法拦截。

为了解决上述任一绕过问题，请参阅图2，在上述图1所示的实施例的基础上，本发明实施例中一种入侵防御方法的另一个实施例可包括：

s201、存储待检测的应用层协议数据的协议头部数据；

本实施例中的步骤201中描述的内容与上述图1中步骤101中描述的内容类似，具体此处不做赘述。

s202、当存储的协议头部数据的大小不小于第一阈值时，判断存储的协议头部数据中是否包含远程终端协议操作码，若包含，则剔除远程终端协议操作码；

可选的，为了解决上述远程终端协议操作码(telnetopcode)绕过问题，本发明实施例中，当存储的协议头部数据的大小不小于第一阈值时，ips可以判断存储的协议头部数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

s203、当存储的协议头部数据的大小不小于第一阈值时，判断存储的协议头部数据中是否包含多个连续空格字符，若包含，则删除多个连续空格字符；

可选的，为了解决上述间隔符绕过的问题，本发明实施例中，当存储的协议头部数据的大小不小于第一阈值时，ips可以判断存储的协议头部数据中是否包含多个连续空格字符，若包含，则删除多个连续空格字符。

s204、判断协议头部数据是否包含ftp协议特征字段；

在上述步骤203和/或204的基础上，ips可以判断协议头部数据是否包含ftp协议特征字段。具体的第一阈值可以根据业务需求进行合理的设置，具体此处不做限定。例如，ftp协议特征字段最小为4个字节，优选的，第一阈值可以设置为4个字节。

进一步的，当协议头部数据不包含ftp协议特征字段时，可以执行其它操作。例如，ips可以判断存储的协议头部数据大小是否不小于16字节，若不小于，则可以将待检测的应用层协议数据进行安全检测。

s205、若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

当存储的协议头部数据中，包含ftp协议特征字段，则对待检测的应用层协议数据按照所遵循的协议进行解析，并将解析之后的目标数据进行安全检测。例如，ips可以调用预设的snort(入侵检测)规则进行检测，具体的snort规则可以根据实际业务需求进行合理的设置，此处不做限定。

可选的，为了防止解析之后的有效数据中出现远程终端协议操作码(telnetopcode)绕过，作为一种可能的实施方式，在将解析之后的目标数据进行安全检测之前，方法还可以包括：判断目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，为了进一步提高网络攻击的检出率，当协议头部数据不包含ftp协议特征字段时，ips可以判断存储的协议头部数据大小是否不小于16字节，若不小于16字节，则将待检测的应用层协议数据进行安全检测。

可以理解的是，在本申请的各种实施例中，上述各步骤的序号的大小并不意味着执行顺序的先后，各步骤的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

为了便于理解，请参阅图3，下面将结合具体的应用实施例对本发明实施例中的入侵防御方法进行描述。本实施例要解决的是ftp的控制连接中的ips绕过问题，不涉及数据连接。绕过方式总共有两三种：①telnetopcode绕过；②间隔符绕过；③头部切片绕过。

具体可以包括如下步骤：

步骤1：判断待检测的应用层协议数据是否为ftp协议；

在接收到待检测的应用层协议数据之后，可以根据现有方式判断是否为ftp协议，若是，则直接进入ftp解析器。如果不是，则跳入步骤2；

步骤2：缓存头部数据；

如果现有方式检测不出是否为ftp协议，可以对待检测的应用层协议数据的头部数据进行缓存，以进一步检测。

步骤3：判断缓存的头部数据的字节是否不小于4个字节；

由于ftp特征字段最少4个字节，如果大于4个字节，跳入步骤4，否则，放行。

步骤4：剔除缓存中telnetopcode，并剔除头部的连续空格字符；

步骤5：判断是否有“user”、“pass”等ftp头部特征字段；

剔除telnetopcode以及头部的连续空格字符之后，可以判断剩余有效数据是否有“user”、“pass”等ftp特征字段，若有，则打上标签ftp解析进入ftp解析器。若无，进入分支：头部缓存数据小于16字节，报文放行；头部缓存大于等于16字节，送入snort引擎检测；

步骤6：ftp解析相关数据，解析完之后把缓存的有效数据部分进行telnetopcode的剔除操作；

步骤7：把剔除telnetopcode的内容送入snort做检测。

本实施中，在未识别出协议类型之前缓存一定数量的头部信息用于识别ftp协议，在协议头部数据或者协议有效数据中识别出来特定的绕过特征后，采取特征剔除的操作，把原本真实的数据给暴露到snort引擎中，从而使得通防规则能识别出来，可以防御基于ftp协议绕过ips的攻击，提高了网络的安全性。

请参阅图4，本发明实施例还提供一种入侵防御系统，可包括：

缓存模块401，用于存储待检测的应用层协议数据的协议头部数据；

第一处理模块402，当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段；

第二处理模块403，若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第三处理模块，判断存储的协议头部数据中是否包含远程终端协议操作码，若包含，则剔除远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第四处理模块，判断存储的协议头部数据中是否包含多个连续空格字符，若包含，则删除多个连续空格字符。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第五处理模块，在将解析之后的目标数据进行安全检测之前，判断目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

添加模块，在判定协议头部数据包含ftp协议特征字段之后，为待检测的应用层协议数据添加ftp标签，以指示待检测的应用层协议数据的协议种类。

可选的，作为一种可能的实施方式，本发明实施例中的入侵防御系统还可以包括：

第六处理模块，当协议头部数据不包含ftp协议特征字段时，判断存储的协议头部数据大小是否不小于16字节，若不小于，则将待检测的应用层协议数据进行安全检测。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

上面从模块化功能实体的角度对本发明实施例中的入侵防御系统进行了描述，请参阅图5，下面从硬件处理的角度对本发明实施例中的计算机装置进行描述：

该计算机装置1可以包括存储器11、处理器12和输入输出总线13。处理器11执行计算机程序时实现上述图1所示的入侵防御方法实施例中的步骤，例如图1所示的步骤101至103。或者，处理器执行计算机程序时实现上述各装置实施例中各模块或单元的功能。

本发明的一些实施例中，处理器具体用于实现如下步骤：

存储待检测的应用层协议数据的协议头部数据；

当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段；

若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断存储的协议头部数据中是否包含远程终端协议操作码，若包含，则剔除远程终端协议操作码。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断存储的协议头部数据中是否包含多个连续空格字符，若包含，则删除多个连续空格字符。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

为待检测的应用层协议数据添加ftp标签，以指示待检测的应用层协议数据的协议种类。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

当协议头部数据不包含ftp协议特征字段时，判断存储的协议头部数据大小是否不小于16字节，若不小于，则将待检测的应用层协议数据进行安全检测。

其中，存储器11至少包括一种类型的可读存储介质，可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是计算机装置1的内部存储单元，例如该计算机装置1的硬盘。存储器11在另一些实施例中也可以是计算机装置1的外部存储设备，例如计算机装置1上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。进一步地，存储器11还可以既包括计算机装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于计算机装置1的应用软件及各类数据，例如计算机程序01的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器12在一些实施例中可以是一中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行存储器11中存储的程序代码或处理数据，例如执行计算机程序01等。

该输入输出总线13可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。

进一步地，计算机装置还可以包括有线或无线网络接口14，网络接口14可选的可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等)，通常用于在该计算机装置1与其他电子设备之间建立通信连接。

可选地，该计算机装置1还可以包括用户接口，用户接口可以包括显示器(display)、输入单元比如键盘(keyboard)，可选的，用户接口还可以包括标准的有线接口、无线接口。可选的，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight-emittingdiode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在计算机装置1中处理的信息以及用于显示可视化的用户界面。

图5仅示出了具有组件11-14以及计算机程序01的计算机装置1，本领域技术人员可以理解的是，图5示出的结构并不构成对计算机装置1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

本发明还提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，可以实现如下步骤：

存储待检测的应用层协议数据的协议头部数据；

当存储的协议头部数据的大小不小于第一阈值时，判断协议头部数据是否包含ftp协议特征字段；

若包含ftp协议特征字段，则对待检测的应用层协议数据进行解析，并将解析之后的目标数据进行安全检测。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断存储的协议头部数据中是否包含远程终端协议操作码，若包含，则剔除远程终端协议操作码。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断存储的协议头部数据中是否包含多个连续空格字符，若包含，则删除多个连续空格字符。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

判断目标数据中是否包含远程终端协议操作码，若包含，则剔除对应的远程终端协议操作码。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

为待检测的应用层协议数据添加ftp标签，以指示待检测的应用层协议数据的协议种类。

可选的，作为一种可能的实施方式，处理器还可以用于实现如下步骤：

当协议头部数据不包含ftp协议特征字段时，判断存储的协议头部数据大小是否不小于16字节，若不小于，则将待检测的应用层协议数据进行安全检测。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。