本申請(qǐng)涉及計(jì)算機(jī)領(lǐng)域,尤其涉及計(jì)算機(jī)安全防護(hù)領(lǐng)域。
背景技術(shù):
::隨著以apt(advancedpersistentthreat,高級(jí)可持續(xù)威脅)為代表的下一代威脅登場(chǎng),傳統(tǒng)安全防護(hù)手段面臨挑戰(zhàn)。一次apt攻擊,輕則造成公司核心商業(yè)機(jī)密泄漏,給公司造成不可估計(jì)得損失,重則導(dǎo)致金融行業(yè)、能源行業(yè)、交通行業(yè)等涉及國計(jì)民生的行業(yè)陷入癱瘓,其效果不亞于一場(chǎng)戰(zhàn)爭(zhēng)。2010年google(谷歌公司)遭受aurora下一代威脅攻擊,導(dǎo)致大規(guī)模的gmail(google的免費(fèi)網(wǎng)絡(luò)郵件服務(wù))郵件泄漏,對(duì)google品牌造成嚴(yán)重影響。2010年伊朗核設(shè)施遭受stuxnet(震網(wǎng))攻擊,導(dǎo)致核設(shè)施核心部件-離心機(jī)受損嚴(yán)重,此次攻擊造成后果不亞于一次定點(diǎn)轟炸。2011年rsa遭受針對(duì)secureid的下一代威脅攻擊,導(dǎo)致大規(guī)模的secureid數(shù)據(jù)泄漏,嚴(yán)重影響使用secureid的客戶安全,對(duì)公司的安全性質(zhì)疑嚴(yán)重影響公司的公眾形象。2013年3月韓國銀行業(yè)遭受一次定向型apt攻擊,導(dǎo)致大面積的銀行主機(jī)系統(tǒng)宕機(jī),嚴(yán)重影響銀行在客戶心中的形象。未來如何應(yīng)對(duì)以apt為代表的下一代威脅,如何應(yīng)對(duì)未來可能的網(wǎng)絡(luò)戰(zhàn),是人們將要面臨的重大問題?,F(xiàn)有的用戶網(wǎng)絡(luò),一般在終端設(shè)備上部署防病毒軟件,同時(shí)在網(wǎng)關(guān)或者是郵件服務(wù)器前部署安全沙箱。終端設(shè)備上部署的殺毒軟件主要通過軟件供應(yīng)商提供的最新的特征庫檢測(cè)惡意軟件,而在網(wǎng)關(guān)或者是郵件服務(wù)器前部署安全沙箱主要用來檢測(cè)來自于互聯(lián)網(wǎng)的apt。現(xiàn)有的安全沙箱可以檢測(cè)來自互聯(lián)網(wǎng)的apt?,F(xiàn)有技術(shù)能夠監(jiān)測(cè)到內(nèi)部網(wǎng) 絡(luò)遭受了apt攻擊,卻無法檢測(cè)到是否有用戶感染apt,以及哪些用戶已經(jīng)被apt感染。例如,某安全沙箱檢測(cè)到其所屬內(nèi)網(wǎng)遭受到apt攻擊,且該apt攻擊是通過郵件方式發(fā)送給用戶。有些用戶由于打開了這封含有apt附件的郵件而感染了apt,而有些用戶則并未打開此郵件,也就沒有感染apt。又如,某安全沙箱檢測(cè)到其所屬內(nèi)網(wǎng)遭受到apt攻擊,且該apt攻擊是通過某版本應(yīng)用軟件的漏洞而實(shí)現(xiàn)的。有些用戶使用了該版本應(yīng)用軟件,因此遭受到了該apt攻擊,而有些用戶由于使用的是該應(yīng)用軟件的更高級(jí)版本,并沒有相應(yīng)漏洞,因此也就并沒有遭受到apt攻擊?,F(xiàn)有技術(shù)方案雖然能夠檢測(cè)出網(wǎng)絡(luò)內(nèi)部遭受到了apt攻擊,但是卻無法判斷出是否有用戶感染了apt,以及具體哪些用戶感染了apt,也就無法采取針對(duì)性的操作。技術(shù)實(shí)現(xiàn)要素:本文描述了一種檢測(cè)終端安全狀況的方法、裝置及系統(tǒng),從而實(shí)現(xiàn)了檢測(cè)出具體終端是否感染到apt。在第一方面,本申請(qǐng)實(shí)施例提供了一種檢測(cè)終端安全狀況的裝置。該裝置位于私有網(wǎng)絡(luò)與公有網(wǎng)絡(luò)連接處,終端位于私有網(wǎng)絡(luò)中。該裝置包括動(dòng)態(tài)行為結(jié)果生成模塊、動(dòng)態(tài)行為分析模塊和被感染主機(jī)描述符生成器。該動(dòng)態(tài)行為結(jié)果生成模塊用于接收來自公有網(wǎng)絡(luò)的文件,并在該裝置中運(yùn)行該文件,從而生成動(dòng)態(tài)行為結(jié)果。其中,該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列。該行為序列中的行為屬于不同的行為類型,該行為類型包括創(chuàng)建文件、修改注冊(cè)表、配置域名、解析地址、連接網(wǎng)絡(luò)、加載進(jìn)程、添加用戶。該動(dòng)態(tài)行為分析模塊用于根據(jù)該動(dòng)態(tài)行為結(jié)果生成模塊生成的該動(dòng)態(tài)行為結(jié)果判斷該文件是否包含高級(jí)可持續(xù)威脅。該被感染主機(jī)描述符生成器用于如果該動(dòng)態(tài)行為分析模塊確定該文件包含高級(jí)可持續(xù)威 脅,獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,根據(jù)該穩(wěn)定的行為特征生成相應(yīng)被感染主機(jī)描述符,并將該被感染主機(jī)描述符發(fā)送至該終端。其中,該穩(wěn)定的行為特征是指該文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。在第二方面,本申請(qǐng)實(shí)施例提供了一種終端設(shè)備。該終端包括接收模塊、被感染主機(jī)描述符解釋器、確定模塊。該接收模塊用于接收來自安全防護(hù)設(shè)備的被感染主機(jī)描述符。該被感染主機(jī)描述符解釋器用于對(duì)該接收模塊接收到的該被感染主機(jī)描述符進(jìn)行解析,得到該被感染主機(jī)描述符中包含的高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征。該確定模塊用于搜索該終端的操作系統(tǒng)和文件系統(tǒng),確定該終端是否已發(fā)生該高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征所描述的行為。如果該終端已發(fā)生該高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征所描述的行為,確定該終端已感染該高級(jí)可持續(xù)威脅。在第三方面,本申請(qǐng)實(shí)施例提供了一種檢測(cè)終端安全狀況的系統(tǒng),該系統(tǒng)包括上述第一方面的終端安全狀況檢測(cè)裝置以及上述第二方面的終端設(shè)備。在第四方面,本申請(qǐng)實(shí)施例提供了一種檢測(cè)終端安全狀況的方法。該方法由安全防護(hù)設(shè)備執(zhí)行,且該安全防護(hù)設(shè)備位于私有網(wǎng)絡(luò)與公有網(wǎng)絡(luò)連接處,終端位于私有網(wǎng)絡(luò)中。首先該安全防護(hù)設(shè)備接收來自公有網(wǎng)絡(luò)的文件,并在該安全防護(hù)設(shè)備中運(yùn)行該文件,從而生成動(dòng)態(tài)行為結(jié)果。該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列。該行為序列中的行為屬于不同的行為類型,行為類型包括創(chuàng)建文件、修改注冊(cè)表、配置域名、解析地址、連接網(wǎng)絡(luò)、加載進(jìn)程、添加用戶。該安全防護(hù)設(shè)備根據(jù)生成的該動(dòng)態(tài)行為結(jié)果判斷該文件是否包含高級(jí)可持續(xù)威脅情況,若包含所述高級(jí)可持續(xù)威脅,則獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,根據(jù)該穩(wěn)定的行為特征生成相應(yīng)被感染主機(jī)描述符,并將該被感染主機(jī)描述符發(fā)送至該終端。該穩(wěn)定的行為特征是指該文件在每次 運(yùn)行后所生成行為序列中均出現(xiàn)的行為。在第五方面,本申請(qǐng)實(shí)施例提供了一種檢測(cè)終端安全狀況的方法。該終端接收來自安全防護(hù)設(shè)備的被感染主機(jī)描述符。該終端對(duì)該被感染主機(jī)描述符進(jìn)行解析,得到該被感染主機(jī)描述符中包含的高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征。搜索該終端的操作系統(tǒng)和文件系統(tǒng),確定該終端是否已發(fā)生該高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征所描述的行為。如果該終端已發(fā)生該高級(jí)可持續(xù)威脅對(duì)應(yīng)的行為特征所描述的行為,確定該終端已感染該高級(jí)可持續(xù)威脅。相較于現(xiàn)有技術(shù),本申請(qǐng)實(shí)施例提供的方案能夠具體檢測(cè)出網(wǎng)絡(luò)內(nèi)部是否有用戶感染了apt,以及哪些用戶感染了apt。附圖說明為了更清楚地說明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹。圖1為本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端感染apt的網(wǎng)絡(luò)構(gòu)架示意圖;圖2為本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端安全狀況的裝置框圖;圖3為一個(gè)動(dòng)態(tài)行為結(jié)果示意圖;圖4為本申請(qǐng)實(shí)施例提供的終端設(shè)備示意圖;圖5為本申請(qǐng)實(shí)施例提供的編輯器輸出的匯總ioc圖形化示意圖;圖6為本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端安全狀況的系統(tǒng)示意圖;圖7為本申請(qǐng)實(shí)施例一個(gè)實(shí)施例提供的一種檢測(cè)終端安全狀況的方法流程圖;圖8為本申請(qǐng)實(shí)施例另一個(gè)實(shí)施例提供的一種檢測(cè)終端安全狀況的方法流程圖;圖9為本申請(qǐng)實(shí)施例提供的一個(gè)文件類ioc示意圖;圖10為本申請(qǐng)實(shí)施例提供的一個(gè)注冊(cè)表類ioc示意圖;圖11為本申請(qǐng)實(shí)施例提供的一個(gè)匯總ioc示意圖。具體實(shí)施方式下面將結(jié)合附圖,對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述。本申請(qǐng)實(shí)施例描述的網(wǎng)絡(luò)架構(gòu)是為了更加清楚的說明本申請(qǐng)實(shí)施例的技術(shù)方案,并不構(gòu)成對(duì)于本申請(qǐng)實(shí)施例提供的技術(shù)方案的限定,本領(lǐng)域普通技術(shù)人員可知,隨著網(wǎng)絡(luò)架構(gòu)的演變和新業(yè)務(wù)場(chǎng)景的出現(xiàn),本申請(qǐng)實(shí)施例提供的技術(shù)方案對(duì)于類似的技術(shù)問題,同樣適用。圖1為本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端安全狀況的系統(tǒng)的網(wǎng)絡(luò)構(gòu)架示意圖。終端設(shè)備110通過互聯(lián)網(wǎng)獲取數(shù)據(jù),如接收一封郵件等。布置于網(wǎng)關(guān)處的防火墻120將相應(yīng)流量還原成文件,例如,防火墻通過http(hypertexttransferprotocol,超文本傳輸協(xié)議)代理方法將流量還原成文件。該文件種類包含exe(executableprogram,可執(zhí)行程度)文件、dll(dynamiclinklibrary,動(dòng)態(tài)鏈接庫,又稱應(yīng)用程序擴(kuò)展)文件、sys(system,系統(tǒng))文件、com文件、doc文件(word文件)、xls(microsoftexcel工作表)文件、pdf(portabledocumentformat,便攜式文檔格式)文件等。防火墻120將還原出的文件送交至安全沙箱130檢測(cè)。安全沙箱130布置于網(wǎng)關(guān)處,其檢測(cè)來自防火墻120的文件是否為包含apt(advancedpersistentthreat,高級(jí)可持續(xù)威脅)的惡意文件。如果安全沙箱130檢測(cè)出有文件包含apt,則生成與該apt相對(duì)應(yīng)的ioc(indicatorsofcompromised,被感染主機(jī)描述符)。安全沙箱130將該ioc同步至各終端設(shè)備。各終端設(shè)備對(duì)該ioc進(jìn)行解析,得到與該ioc相對(duì)應(yīng)apt所包含的行為特征,依據(jù)該特征查詢相應(yīng)終端的操作系統(tǒng)和文件系統(tǒng),以確定該用戶終端是否感染apt。安全沙箱是一種安全機(jī)制,為運(yùn)行中的程序提供的隔離環(huán)境。沙箱通常嚴(yán)格控制其中運(yùn)行的 程序所能訪問的資源,例如,沙箱可以提供用后可被回收的磁盤及內(nèi)存空間。在沙箱中,網(wǎng)絡(luò)訪問、對(duì)真實(shí)操作系統(tǒng)的訪問、對(duì)輸入設(shè)備的獨(dú)權(quán)被禁止或者嚴(yán)格限制。沙箱中的所有改動(dòng)對(duì)真實(shí)操作系統(tǒng)不會(huì)造成任何損失。因此,這種技術(shù)通常被廣泛適用于測(cè)試可能帶有病毒的可執(zhí)行文件或者其他惡意代碼。本申請(qǐng)所涉及到的用戶終端可以包括手機(jī)、平板電腦、筆記本電腦、umpc(ultra-mobilepersonalcomputer,超級(jí)移動(dòng)個(gè)人計(jì)算機(jī))、上網(wǎng)本、pda(personaldigitalassistant,個(gè)人數(shù)字助理)等終端設(shè)備。圖2是本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端安全狀態(tài)的裝置框圖。該檢測(cè)終端安全狀況裝置200即安全防護(hù)裝置,其位于私有網(wǎng)絡(luò)與公有網(wǎng)絡(luò)連接處,終端位于私有網(wǎng)絡(luò)中。該裝置200包括動(dòng)態(tài)行為結(jié)果生成模塊210、動(dòng)態(tài)行為分析模塊230、動(dòng)態(tài)行為特征庫220、ioc生成器240。在一個(gè)示例中,該檢測(cè)終端安全狀況裝置200為安全沙箱,進(jìn)一步地,該安全沙箱布置于網(wǎng)關(guān)處。動(dòng)態(tài)行為結(jié)果生成模塊210用于接收來自公有網(wǎng)絡(luò)的文件,并在檢測(cè)終端安全狀況裝置200中運(yùn)行該文件,從而生成動(dòng)態(tài)行為結(jié)果(參見圖3)。該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列。該行為序列中的行為屬于不同的行為類型,且該行為類型包括創(chuàng)建文件、修改注冊(cè)表、配置域名、解析地址、連接網(wǎng)絡(luò)、加載進(jìn)程、添加用戶。動(dòng)態(tài)行為分析模塊230用于根據(jù)動(dòng)態(tài)行為結(jié)果生成模塊210生成的該動(dòng)態(tài)行為結(jié)果判斷該文件是否包含apt。ioc生成器240用于如果該動(dòng)態(tài)行為分析模塊確定該文件包含apt,獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,根據(jù)該穩(wěn)定的行為特征生成相應(yīng)ioc,并將該ioc發(fā)送至終端。其中,該穩(wěn)定的行為特征是指該文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。在一個(gè)示例中,來自公有網(wǎng)絡(luò)的文件如exe文件、dll文件、sys文件、 com文件、doc文件、xls文件、pdf文件等文件。在一個(gè)示例中,該動(dòng)態(tài)行為結(jié)果由一系列行為操作組成,各行為操作包含基于時(shí)間的行為序列。在一個(gè)示例中,動(dòng)態(tài)行為結(jié)果生成模塊210包括現(xiàn)有安全沙箱中的啟發(fā)式檢測(cè)引擎模塊和虛擬執(zhí)行環(huán)境模塊(圖2未示出)。該啟發(fā)式檢測(cè)引擎模塊包括web啟發(fā)式檢測(cè)引擎子模塊、pdf啟發(fā)式檢測(cè)引擎子模塊、pe啟發(fā)式檢測(cè)引擎子模塊(圖2未示出)。該安全沙箱中的啟發(fā)式檢測(cè)引擎模塊及虛擬執(zhí)行環(huán)境模塊均用于生成相應(yīng)動(dòng)態(tài)行為結(jié)果。如圖3所示,圖3是一個(gè)動(dòng)態(tài)行為結(jié)果示意圖。圖3中的該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列。該行為序列中的行為屬于不同的行為類型。圖3中,該行為類型包括創(chuàng)建文件、加載進(jìn)程、修改注冊(cè)表、連接網(wǎng)絡(luò)。圖2中,動(dòng)態(tài)行為特征庫220包含多種與apt相關(guān)的動(dòng)態(tài)行為特征,如動(dòng)態(tài)行為特征庫220包含誤報(bào)行為特征庫及威脅行為特征庫(圖2未示出),該誤報(bào)行為特征庫包含多種誤報(bào)行為特征,該威脅行為特征庫包含多種威脅行為特征。在一個(gè)示例中,動(dòng)態(tài)行為分析模塊230將來自動(dòng)態(tài)行為結(jié)果生成模塊210的動(dòng)態(tài)行為結(jié)果與動(dòng)態(tài)行為特征庫220中的各動(dòng)態(tài)行為特征進(jìn)行匹配,從而確定該動(dòng)態(tài)行為結(jié)果是否包含apt。在一個(gè)示例中,動(dòng)態(tài)行為分析模塊230先將該動(dòng)態(tài)行為結(jié)果與動(dòng)態(tài)行為特征庫220的誤報(bào)行為特征庫中各誤報(bào)行為特征進(jìn)行匹配,再與威脅行為特征庫中的各威脅行為特征進(jìn)行匹配,從而判定該動(dòng)態(tài)行為結(jié)果是否包含apt。在一個(gè)示例中,動(dòng)態(tài)行為分析模塊230在判定出該動(dòng)態(tài)行為結(jié)果包含apt后,將該動(dòng)態(tài)行為結(jié)果發(fā)送至ioc生成器240。否則,動(dòng)態(tài)行為分析模塊230將該裝置200接收到的文件(即正常文件,非感染文件)發(fā)送至終端設(shè)備。也就是說,ioc生成器240接收到的是包含apt的動(dòng)態(tài)行為結(jié)果。該apt具備高隱蔽性,其攻擊手法在于隱匿自己,該apt通過一系列行為操作針對(duì)特定對(duì)象,長(zhǎng)期、有計(jì)劃性地侵入用戶終端中。在一個(gè)示例中,ioc生成器240包括第一加載器241、多個(gè)ioc生成器、ioc匯總模塊243。該多個(gè)ioc生成器包括多種類型ioc生成器,如包括文件生成器(file生成器)、注冊(cè)表生成器(regitstry生成器)、域名生成器(dns生成器)、地址解析生成器(arp生成器)、網(wǎng)絡(luò)連接生成器(netword生成器)、進(jìn)程生成器(process生成器)、用戶生成器(user生成器)等。該ioc生成器的類型與apt穩(wěn)定的行為特征中行為的類型有關(guān)。例如,某包含apt的動(dòng)態(tài)行為結(jié)果的一個(gè)行為特征是創(chuàng)建文件,則ioc生成器種類包含文件生成器。ioc生成器240中的第一加載器(loader)241將該動(dòng)態(tài)行為結(jié)果相應(yīng)程序加載至內(nèi)存中,并將該動(dòng)態(tài)行為結(jié)果中的各條行為操作分配給不同的生成器。其中,該動(dòng)態(tài)行為結(jié)果由一系列行為操作組成,各行為操作包含基于時(shí)間的行為序列。在一個(gè)示例中,第一加載器241按照時(shí)間先后順序逐條分析該動(dòng)態(tài)行為結(jié)果中各條行為操作,得到相應(yīng)行為特征,根據(jù)所確定的行為特征將該動(dòng)態(tài)行為結(jié)果中相應(yīng)行為操作發(fā)送至相應(yīng)生成器中。例如,第一加載器241查看某行為操作,得到該行為操作的一個(gè)行為特征是fcreat即創(chuàng)建文件,則第一加載器241將該行為操作發(fā)送至文件生成器中。在一個(gè)示例中,第一加載器241包含一個(gè)對(duì)照表,該對(duì)照表示出了各行為特征與多種類型生成器中各生成器的對(duì)應(yīng)關(guān)系。第一加載器241從其接收到的動(dòng)態(tài)行為結(jié)果的各條行為操作中獲取行為特征,通過檢索該對(duì)照表方式,確定各條行為操作所對(duì)應(yīng)的生成器,并將各行為操作分配給相應(yīng)生成器。例如,第一加載器241查看其接收到的動(dòng)態(tài)行為結(jié)果(即已經(jīng)確定包含apt的動(dòng)態(tài)行為結(jié)果)中一條行為操作的行為特征包含創(chuàng)建文件,則第一加載器241通過查找對(duì)照表方式確定該行為操作所對(duì)應(yīng)的生成器是文件生成器, 該第一加載器241將該行為操作分配給文件生成器。ioc生成器240中各ioc生成器對(duì)來自第一加載器241的動(dòng)態(tài)行為結(jié)果中相應(yīng)行為操作進(jìn)行解析,獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,即提取出apt所留下的痕跡,根據(jù)該穩(wěn)定的行為特征生成相應(yīng)ioc;其中,該穩(wěn)定的行為特征是包含apt的文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。在一個(gè)示例中,ioc生成器240獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,包括:在該裝置200中運(yùn)行至少兩次該文件,分別得到每次運(yùn)行后生成的行為序列,從而獲得至少兩個(gè)行為序列。確定該至少兩個(gè)行為序列中存在的相同的行為,其中,相同的行為是指行為類型和行為內(nèi)容均相同的行為。獲得由該至少兩個(gè)行為序列中相同的行為構(gòu)成的集合,將該集合作為穩(wěn)定的行為特征。顯然,在獲得穩(wěn)定的行為特征的過程中,文件運(yùn)行的次數(shù)越多,最終得到的穩(wěn)定的行為特征,繼而根據(jù)穩(wěn)定的行為特征生成的ioc在識(shí)別是否感染apt時(shí)的準(zhǔn)確性就越高。ioc(indicatorsofcompromised,被感染主機(jī)描述符)描述了捕獲到的apt所留下的痕跡,其通過xml文檔形式描述出,內(nèi)容包括病毒文件的屬性、注冊(cè)表改變的特征、虛擬內(nèi)存等。例如,一個(gè)ioc描述的apt所留下的痕跡為:搜索路徑c:\windows\apocalyps32.exe下的文件,且文件長(zhǎng)度是108544。ioc匯總模塊243將來自多個(gè)ioc生成器(如文件生成器、注冊(cè)表生成器等)的多個(gè)ioc匯總成一個(gè)ioc,并將該匯總ioc發(fā)送至終端設(shè)備。其中,該匯總ioc通過一個(gè)xml(可擴(kuò)展標(biāo)記語言)文檔表示。圖4是本申請(qǐng)實(shí)施例提供的終端設(shè)備示意圖。該終端設(shè)備400包括ioc解釋器410、接收模塊430、確定模塊440。接收模塊430用于接收來自安全防護(hù)設(shè)備的ioc。ioc解釋器用于對(duì)接收模塊430接收到的該ioc進(jìn)行解析,得到該ioc中包含的apt對(duì)應(yīng)的行為特征。確定模塊440用于搜索終端設(shè)備400的操作系統(tǒng)和文件系統(tǒng),確定終端設(shè)備400是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為。如果終端設(shè)備400已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,確定終端設(shè)備400已感染該apt。在一個(gè)示例中,該終端設(shè)備400還包括編輯器420。編輯器420用于將其接收到的ioc,如匯總ioc,以圖形化形式描述并顯示出來,參見圖5。圖5是一個(gè)匯總ioc圖形化表現(xiàn)形式示意圖。該編輯器420是一個(gè)可選模塊。在一個(gè)示例中,ioc解釋器410在終端設(shè)備400的tsm(terminalsecuritymanagement,終端安全管理軟件)模塊中。本領(lǐng)域技術(shù)人員可以理解,圖4中示出的終端設(shè)備結(jié)構(gòu)并不構(gòu)成對(duì)終端設(shè)備的限定,可以包括比圖示更多或更少的部件,或者組合某些部件,或者不同的部件布置。在一個(gè)示例中,ioc解釋器410包括第二加載器411以及多種類型解釋器。圖4中,ioc解釋器410中的第二加載器411接收來自接收模塊430的ioc,例如接收匯總ioc,將該匯總ioc相應(yīng)程序加載至內(nèi)存中,并將該匯總ioc中的各ioc分配給不同的解釋器。在一個(gè)示例中,第二加載器411逐條分析該匯總ioc中的各ioc,獲取各ioc類型,依據(jù)所確定的ioc類型分配該匯總ioc中的各ioc。例如,在一個(gè)ioc中,其所包含的contextdocument即上下文文檔類型為fileitem即文件項(xiàng),則說明該ioc為文件類ioc。在一個(gè)示例中,第二加載器411包含一個(gè)對(duì)照表,該對(duì)照表示出了各ioc類型與多種類型解釋器中各解釋器的對(duì)應(yīng)關(guān)系。第二加載器411從其接收到的ioc中獲取該ioc類型,通過檢索該對(duì)照表方式,確定各ioc所對(duì)應(yīng)的解釋器,并將匯總ioc中各ioc分配給相應(yīng)解釋器。需要說明的是,ioc解釋器410也可以包括一個(gè)分配器(圖4未示出)。此種情況下,由該分配器將該匯總ico中的各ioc分配至相應(yīng)解釋器中,而 第二加載器411僅用于將匯總ioc相應(yīng)程序加載至內(nèi)存中。ioc解釋器410包括以下多種類型解釋器中的部分或者全部:文件解釋器(file解釋器)、注冊(cè)表解釋器(regitstry解釋器)、域名解釋器(dns解釋器)、地址解析解釋器(arp解釋器)、網(wǎng)絡(luò)連接解釋器(netword解釋器)、進(jìn)程解釋器(process解釋器)、用戶解釋器(user解釋器)。該解釋器的類型與ioc類型有關(guān)。ioc解釋器410中各解釋器,接收來自第二加載器411的相應(yīng)ioc,并對(duì)該ioc進(jìn)行解析,得到該ioc中包含apt對(duì)應(yīng)的行為特征,即得到apt所留下的痕跡。確定模塊440根據(jù)該特征搜索終端設(shè)備400的操作系統(tǒng)和文件系統(tǒng),確定終端設(shè)備400是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為。如果終端設(shè)備400已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,確定終端設(shè)備400已感染apt。例如,該文件解釋器解析出某ioc中apt所對(duì)應(yīng)特征之一是:路徑c:\windows\apocalyps32.exe;特征之二是:長(zhǎng)度為108544字節(jié)的文件。確定模塊440通過搜索終端設(shè)備440的操作系統(tǒng)和文件系統(tǒng),查詢目錄c:\windows\apocalyps32.exe下是否存在108544字節(jié)長(zhǎng)度的文件,從而確定終端設(shè)備400是否感染apt。圖6是本申請(qǐng)實(shí)施例提供的一種檢測(cè)終端安全狀況的系統(tǒng)。該系統(tǒng)包括檢測(cè)終端安全狀況裝置200和終端設(shè)備400,且檢測(cè)終端安全狀況裝置200位于私有網(wǎng)絡(luò)與公有網(wǎng)絡(luò)連接處,終端設(shè)備400位于私有網(wǎng)絡(luò)中。檢測(cè)終端安全狀況裝置200接收來自公有網(wǎng)絡(luò)的文件,并運(yùn)行所述文件,從而生成動(dòng)態(tài)行為結(jié)果;根據(jù)該動(dòng)態(tài)行為結(jié)果判斷所述文件是否包含apt;如果在該動(dòng)態(tài)行為結(jié)果中包含apt,獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征,根據(jù)該穩(wěn)定的行為特征,生成相應(yīng)ioc。其中,該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列。該行為序列中的行為屬于不同的行為類型,行為類型包括創(chuàng)建文件、修改注冊(cè)表、配置域名、解析地址、連接網(wǎng)絡(luò)、加載進(jìn)程、添加用戶。該穩(wěn)定的行為特征是指該文件在每次運(yùn)行后所生成行為序 列中均出現(xiàn)的行為。終端設(shè)備400接收來自檢測(cè)終端安全狀況裝置200的ioc,并對(duì)該ioc進(jìn)行解析,得到該ioc中包含的apt對(duì)應(yīng)的行為特征,依據(jù)該行為特征搜索終端設(shè)備400的操作系統(tǒng)和文件系統(tǒng),確定終端設(shè)備400是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為。如果終端設(shè)備400已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,確定終端設(shè)備400已感染apt。需要說明的是,檢測(cè)終端安全狀況裝置200及終端設(shè)備400所包含的各模塊以及各模塊功能作用參見圖2、圖4及相關(guān)內(nèi)容表述,在此不再贅述。圖7為本申請(qǐng)一個(gè)實(shí)施例提供的檢測(cè)終端安全狀況方法流程圖。該檢測(cè)終端安全狀況方法的執(zhí)行主體是安全防護(hù)設(shè)備。且該安全防護(hù)設(shè)備位于私有網(wǎng)絡(luò)與公有網(wǎng)絡(luò)連接處,終端位于私有網(wǎng)絡(luò)中。在一個(gè)示例中,該檢測(cè)終端安全狀況方法的執(zhí)行主體是安全沙箱,且該安全沙箱布置于網(wǎng)關(guān)處。在步驟710,安全防護(hù)設(shè)備接收來自公有網(wǎng)絡(luò)的文件,并在所述安全防護(hù)設(shè)備中運(yùn)行所述文件,從而生成動(dòng)態(tài)行為結(jié)果,參見圖3。該動(dòng)態(tài)行為結(jié)果包含按照行為發(fā)生時(shí)間順序形成的行為序列;該行為序列中的行為屬于不同的行為類型,行為類型包括創(chuàng)建文件、修改注冊(cè)表、配置域名、解析地址、連接網(wǎng)絡(luò)、加載進(jìn)程、添加用戶。在一個(gè)示例中,該動(dòng)態(tài)行為結(jié)果由一系列行為操作構(gòu)成,且各行為操作包含基于時(shí)間的行為特征。在一個(gè)示例中,該來自互聯(lián)網(wǎng)的文件如exe文件、dll文件、sys文件、com文件、ddc文件、xls文件、pdf文件等。在步驟720,該安全防護(hù)設(shè)備根據(jù)生成的所述動(dòng)態(tài)行為結(jié)果判斷該文件是否包含apt。在一個(gè)示例中,將該動(dòng)態(tài)行為結(jié)果與動(dòng)態(tài)行為特征庫中的各動(dòng)態(tài)行為特征進(jìn)行匹配,從而確定該動(dòng)態(tài)行為結(jié)果是否包含apt。在步驟730,在該動(dòng)態(tài)行為結(jié)果包含apt情況下,逐條分析該動(dòng)態(tài)行為結(jié)果中的各行為操作,獲取各行為操作中穩(wěn)定的行為特征,即提取出apt所留下的痕跡,根據(jù)該穩(wěn)定的行為特征生成相應(yīng)ioc。其中,該穩(wěn)定的行為特征是指在該文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。在一個(gè)示例中,獲取該動(dòng)態(tài)行為結(jié)果中穩(wěn)定的行為特征包括,在該安全防護(hù)設(shè)備中運(yùn)行至少兩次該文件,分別得到每次運(yùn)行后生成的行為序列,從而獲得至少兩個(gè)行為序列。確定該至少兩個(gè)行為序列中存在的相同的行為,該相同的行為是指行為類型和行為內(nèi)容均相同的行為。獲得由該至少兩個(gè)行為序列中相同的行為構(gòu)成的集合,將該集合作為穩(wěn)定的行為特征。在步驟740,將根據(jù)該動(dòng)態(tài)行為結(jié)果生成的多個(gè)ioc,匯總成一個(gè)ioc。且該匯總ioc通過一個(gè)xml(可擴(kuò)展標(biāo)記語言)文檔表示。該步驟740是一個(gè)可選步驟,當(dāng)根據(jù)該動(dòng)態(tài)行為結(jié)果得到一個(gè)ioc時(shí),則不需要匯總ioc,即不需要執(zhí)行步驟740。在步驟750,將該匯總ioc發(fā)送至終端設(shè)備。圖8是本申請(qǐng)另一個(gè)實(shí)施例提供的檢測(cè)終端安全狀況方法流程圖。在步驟810,該終端設(shè)備接收來自安全防護(hù)設(shè)備的ioc,例如匯總ioc,該匯總ioc包含多個(gè)ioc。在步驟820,該終端設(shè)備對(duì)該ioc進(jìn)行解析,得到該ioc中包含的apt對(duì)應(yīng)的行為特征。在一個(gè)示例中,該ioc是一個(gè)匯總ioc,對(duì)該匯總ioc中的各ioc逐條解析,得到各ioc中包含apt對(duì)應(yīng)的行為特征。在步驟830,根據(jù)得到的行為特征搜索該終端設(shè)備的操作系統(tǒng)和文件系統(tǒng),確定該終端設(shè)備是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為。如果該終端設(shè)備已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,確定該終端設(shè)備已感染該apt。舉例說明,某ioc中apt所對(duì)應(yīng)特征之一是:路徑 c:\windows\apocalyps32.exe。該apt所對(duì)應(yīng)的特征之二是:長(zhǎng)度為108544字節(jié)的文件。因此該用戶終端通過搜索該終端的操作系統(tǒng)和文件系統(tǒng)中的路徑c:\windows\apocalyps32.exe,并查看該路徑下是否存在108544字節(jié)長(zhǎng)度的文件。如果在該路徑下包含108544字節(jié)長(zhǎng)度的文件,則確定該終端已感染apt。在一個(gè)示例中,該終端設(shè)備在搜索到該匯總ioc中的一個(gè)ioc包含有apt時(shí),則確定該終端設(shè)備感染了apt?,F(xiàn)以圖3一個(gè)典型的感染apt的動(dòng)態(tài)行為結(jié)果為例,詳細(xì)闡述ioc生成器如何將感染apt的動(dòng)態(tài)行為結(jié)果轉(zhuǎn)換成ioc,以及該終端設(shè)備如何根據(jù)接收到的ioc確定其是否感染apt。(1)ioc生成器240中的第一加載器241逐條分析其接收到的動(dòng)態(tài)行為結(jié)果,首先查看該動(dòng)態(tài)行為結(jié)果中的第一條行為操作,即查看圖3中“某個(gè)樣本釋放一個(gè)pe文件”行為操作。第一加載器241根據(jù)該第一條行為操作中的字段action得知該行為特征是fcreate,即創(chuàng)建文件。第一加載器241將該第一條行為操作,即查看某個(gè)樣本釋放一個(gè)pe文件的行為操作,分配給文件生成器。該文件生成器分析該第一條行為操作,獲知該行為操作是在路徑c:\windows\apocalyps32.exe下fcreate,即創(chuàng)建文件;并且fwritepe,即寫入可執(zhí)行文件;且length是43008,即文件長(zhǎng)度43008;offset是65536,即偏移是65536,進(jìn)而文件總長(zhǎng)度是43008+65536=108544。因此,該文件生成器通過對(duì)該行為操作進(jìn)行分析,從而得到相應(yīng)行為特征是在c:\windows\apocalyps32.exe目錄下創(chuàng)建一個(gè)可執(zhí)行文件,且該可執(zhí)行文件長(zhǎng)度是108544。此類行為特征是穩(wěn)定的,不會(huì)隨著不同終端而變化,只要終端設(shè)備感染了相應(yīng)apt,就會(huì)留下具有該行為特征的痕跡。該穩(wěn)定的行為特征是指在包含apt的文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。該文件生成器依據(jù)該穩(wěn)定的行為特征生成了文件類ioc,該文件類ioc可參見圖9。 因此,實(shí)現(xiàn)了將該動(dòng)態(tài)行為結(jié)果中的第一條行為操作轉(zhuǎn)換成一個(gè)ioc。圖9是一個(gè)文件類ioc示意圖。圖9中,該文件類ioc表示:apt所留下的痕跡是在路徑c:\windows\apocalyps32.exe下包含長(zhǎng)度為108544字節(jié)的文件。(2)第一加載器241查看該動(dòng)態(tài)行為結(jié)果中的第二條行為操作,即查看運(yùn)行此樣本的行為操作。第一加載器241根據(jù)字段action得知該行為操作是在路徑c:\windows\apocalyps32.exe:1252下createprocess,即創(chuàng)建進(jìn)程。第一加載器241將該行為操作分配給進(jìn)程生成器中。該進(jìn)程生成器分析該第二條行為操作,獲知該行為操作是在路徑c:\windows\apocalyps32.exe:1252下createprocess即加載進(jìn)程,pid值為1448;然后fopen,即打開文件,且pid(進(jìn)程標(biāo)識(shí)符)值為1488。由于pid是一個(gè)不穩(wěn)定特征,其值會(huì)隨著不同終端設(shè)備而變化。因此該運(yùn)行樣本行為操作是一個(gè)不穩(wěn)定行為操作,不生成ioc。(3)第一加載器241查看該動(dòng)態(tài)行為結(jié)果中的第三條行為操作,即查看創(chuàng)建一個(gè)線程并將其注入到iexplore.exe進(jìn)程中隱藏自己的行為操作。第一加載器241根據(jù)字段action得知該行為操作是openprocessexplorer.exe即打開瀏覽器。第一加載器241將該行為操作分配給進(jìn)程生成器。該進(jìn)程生成器分析該第三條行為操作,獲知該行為操作是先openprocessexplorer.exe即打開瀏覽器,其pid(進(jìn)程標(biāo)識(shí)符)值為1244;然后writeotherprocmem即寫ie線程,其pid值1488。由于pid是一個(gè)不穩(wěn)定特征,其值會(huì)隨著不同終端設(shè)備而變化。因此行為操作是一個(gè)不穩(wěn)定行為操作,不生成ioc。(4)第一加載器241查看該動(dòng)態(tài)行為結(jié)果中的第四條行為操作,即查看修改注冊(cè)表增加自啟動(dòng)項(xiàng)的行為操作。第一加載器241根據(jù)字段action得知該行為操作是在路徑hklm\software\microsoft\windows\currentversion\run下regcreatekey, 即創(chuàng)建注冊(cè)表項(xiàng)。第一加載器241將該條行為操作發(fā)送至注冊(cè)表生成器中。該注冊(cè)表生成器分析該第四條行為操作,獲知該行為操作是,在hklm\software\microsoft\windows\currentversion\run下regcreatekey,即創(chuàng)建注冊(cè)表項(xiàng)。且設(shè)置注冊(cè)表項(xiàng)鍵值為c:\windows\apocalyps32.exe。因此,該注冊(cè)表生成器通過對(duì)該行為操作進(jìn)行分析,從而得到相應(yīng)行為特征是在目錄hklm\software\microsoft\windows\currentversion\run\apocalyps32下新增自啟動(dòng)項(xiàng)c:\windows\apocalyps32.exe。此類行為特征是穩(wěn)定的,不會(huì)隨著不同終端設(shè)備而變化,只要終端設(shè)備感染了相應(yīng)apt,就會(huì)留下具有該行為特征的痕跡。該穩(wěn)定的行為特征是指在包含apt的文件在每次運(yùn)行后所生成行為序列中均出現(xiàn)的行為。該注冊(cè)表生成器將該行為操作轉(zhuǎn)換成一個(gè)注冊(cè)表類ioc,參見圖10。圖10是一個(gè)注冊(cè)表類ioc示意圖。圖10中,apt留下的痕跡是:查找注冊(cè)表路徑hklm\software\microsoft\windows\currentversion\run\apocalyps32,并在該路徑下查找是否有鍵值c:\windows\apocalyps32.exe。(5)第一加載器241查看該動(dòng)態(tài)行為結(jié)果中的第五條行為操作,即查看連接到外部網(wǎng)絡(luò)的行為操作。第一加載器241根據(jù)字段action得知該行為操作是connect,即連接至外網(wǎng)。第一加載器241將該行為操作分配給網(wǎng)絡(luò)連接生成器。該網(wǎng)絡(luò)連接生成器分析該第五條行為操作,獲知該行為操作是在連接外網(wǎng),且ip地址5.5.66.101:1453。由于ip地址中的1453是不穩(wěn)定特征,其值會(huì)隨著不能終端設(shè)備而變化。因此該運(yùn)行樣本行為操作是一個(gè)不穩(wěn)定行為操作,不生成ioc。由上述分析可知,圖3中的apt執(zhí)行操作過程是:先釋放一個(gè)可執(zhí)行文件,然后運(yùn)行該可執(zhí)行文件,再將該apt執(zhí)行過程隱匿在ie瀏覽器里面,使 得其在任務(wù)管理器里面查找不到,再增加自啟動(dòng)注冊(cè)表項(xiàng),使得該apt在每次重啟系統(tǒng)后都會(huì)存在于系統(tǒng)中,最后通過連接外網(wǎng)的方式竊取信息或破壞系統(tǒng)。(6)ioc匯總模塊243接收來自文件生成器的文件類ioc(如圖9所示),以及接收來自注冊(cè)表生成器的注冊(cè)表類ioc(如圖10所示),將該文件類ioc、注冊(cè)表類ioc進(jìn)行匯總,形成一個(gè)匯總ioc,并將該匯總ioc以一個(gè)xlm文檔形式表示出來,參見圖11。圖11是一個(gè)匯總ioc示意圖,該匯總ioc以xml文件形式表示,該xlm文件包括對(duì)該ioc簡(jiǎn)要描述、作者、創(chuàng)建日期等信息,以及包括對(duì)apt痕跡的描述:在路徑c:\windows\apocalyps32.exe下長(zhǎng)度為108544的可執(zhí)行文件;或者在路徑hklm\software\microsoft\windows\currentversion\run\apocalyps32下新增自啟動(dòng)項(xiàng)c:\windows\apocalyps32.exe。(7)終端設(shè)備中的接收模塊430接收來自終端安全狀況裝置200(即安全防護(hù)設(shè)備)的匯總ioc(包含文件類ioc和注冊(cè)表類ioc),具體匯總ioc參見圖11,并將該匯總ioc發(fā)送至第二加載器411。(8)該第二加載器411對(duì)該匯總ioc中的各ioc逐個(gè)進(jìn)行分析,首先查看該匯總ioc中的第一個(gè)ioc,即文件類ioc。第二加載器411根據(jù)字段contextdocument得知是特征fileitem,即文件項(xiàng)。第二加載器411將該第一個(gè)ioc,即文件類ioc,分配給文件解釋器。(9)該文件解釋器對(duì)該文件類ioc進(jìn)行解析,得到該ioc中包含的apt的兩個(gè)行為特征:一個(gè)行為特征是判斷是否存在c:\windows\apocalyps32.exe;另一個(gè)行為特征是文件長(zhǎng)度是否為108544字節(jié),且該兩個(gè)行為特征是“和(即and)”的關(guān)系,參見圖9。(10)確定模塊440搜索終端設(shè)備400的操作系統(tǒng)和文件系統(tǒng),確定終端設(shè)備400是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,如果終端設(shè)備 400已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,則確定終端設(shè)備400已感染該apt。即確定模塊400如果在路徑c:\windows\apocalyps32.exe下找到有108544字節(jié)文件,則判定終端設(shè)備400感染了apt。(11)第二加載器411查看該匯總ioc中的第二個(gè)ioc,即注冊(cè)表類ioc。第二加載器411根據(jù)字段contextdocument得知特征是registryitem,即注冊(cè)表項(xiàng)。第二加載器411將該第二個(gè)ioc,即注冊(cè)表項(xiàng)ioc,分配給注冊(cè)表解釋器。該注冊(cè)表解釋器對(duì)該注冊(cè)表項(xiàng)ioc進(jìn)行解析,得到該ioc中包含的apt的兩個(gè)行為特征:一個(gè)行為特征是判斷是否存在注冊(cè)表路徑"hklm\software\microsoft\windows\currentversion\run\apocalyps32";另一個(gè)行為特征是注冊(cè)表項(xiàng)內(nèi)容是否為"c:\windows\apocalyps32.exe",且該兩個(gè)行為特征是“和(即and)”的關(guān)系,參見圖10。(12)確定模塊440搜索終端設(shè)備400的操作系統(tǒng)和文件系統(tǒng),確定終端設(shè)備400是否已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,如果終端設(shè)備400已發(fā)生該apt對(duì)應(yīng)的行為特征所描述的行為,則確定終端設(shè)備400已感染該apt。即確定模塊400如果在路徑hklm\software\microsoft\windows\currentversion\run\apocalyps32下查找是否包含c:\windows\apocalyps32.exe內(nèi)容,如果包含,則說明終端設(shè)備400感染了apt。結(jié)合本申請(qǐng)公開內(nèi)容所描述的方法或者算法的步驟可以硬件的方式來實(shí)現(xiàn),也可以是由處理器執(zhí)行軟件指令的方式來實(shí)現(xiàn)。軟件指令可以由相應(yīng)的軟件模塊組成,軟件模塊可以被存放于ram存儲(chǔ)器、閃存、rom存儲(chǔ)器、eprom存儲(chǔ)器、eeprom存儲(chǔ)器、寄存器、硬盤、移動(dòng)硬盤、cd-rom或者本領(lǐng)域熟知的任何其它形式的存儲(chǔ)介質(zhì)中。一種示例性的存儲(chǔ)介質(zhì)耦合至處理器,從而使處理器能夠從該存儲(chǔ)介質(zhì)讀取信息,且可向該存儲(chǔ)介質(zhì)寫入信息。當(dāng)然,存儲(chǔ)介質(zhì)也可以是處理器的組成部分。處理器和存儲(chǔ)介質(zhì)可以位于asic中。 另外,該asic可以位于用戶設(shè)備中。當(dāng)然,處理器和存儲(chǔ)介質(zhì)也可以作為分立組件存在于用戶設(shè)備中。本領(lǐng)域技術(shù)人員應(yīng)該可以意識(shí)到,在上述一個(gè)或多個(gè)示例中,本申請(qǐng)所描述的功能可以用硬件、軟件、固件或它們的任意組合來實(shí)現(xiàn)。當(dāng)使用軟件實(shí)現(xiàn)時(shí),可以將這些功能存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)中或者作為計(jì)算機(jī)可讀介質(zhì)上的一個(gè)或多個(gè)指令或代碼進(jìn)行傳輸。計(jì)算機(jī)可讀介質(zhì)包括計(jì)算機(jī)存儲(chǔ)介質(zhì)和通信介質(zhì),其中通信介質(zhì)包括便于從一個(gè)地方向另一個(gè)地方傳送計(jì)算機(jī)程序的任何介質(zhì)。存儲(chǔ)介質(zhì)可以是通用或?qū)S糜?jì)算機(jī)能夠存取的任何可用介質(zhì)。以上所述的具體實(shí)施方式,對(duì)本申請(qǐng)的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明,所應(yīng)理解的是,以上所述僅為本申請(qǐng)的具體實(shí)施方式而已,并不用于限定本申請(qǐng)的保護(hù)范圍,凡在本申請(qǐng)的技術(shù)方案的基礎(chǔ)之上,所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包括在本申請(qǐng)的保護(hù)范圍之內(nèi)。當(dāng)前第1頁12當(dāng)前第1頁12