本申請(qǐng)涉及計(jì)算機(jī)領(lǐng)域，具體而言，涉及一種惡意傳播源的檢測(cè)方法及裝置。

背景技術(shù)：

惡意軟件傳播源又稱惡意傳播源，是指一個(gè)惡意軟件下載鏈接，即惡意url(uniformresourcelocator，統(tǒng)一資源定位符)?？梢酝ㄟ^惡意url從互聯(lián)網(wǎng)上得到的惡意軟件資源。目前，對(duì)惡意傳播源的檢測(cè)主要依賴于網(wǎng)絡(luò)爬蟲等檢測(cè)方法，網(wǎng)絡(luò)爬蟲可以檢測(cè)到大多數(shù)經(jīng)由瀏覽器所產(chǎn)生的惡意傳播源，但是對(duì)于未經(jīng)瀏覽器、而是由其他工具所產(chǎn)生的惡意傳播源，則無能無力。較為典型的一種未經(jīng)瀏覽器產(chǎn)生的惡意傳播源是由黑客工具產(chǎn)生的惡意傳播源，由于黑客攻擊具備較高的隱蔽性，因此，目前的檢測(cè)方法并不能準(zhǔn)確檢測(cè)出由黑客工具所產(chǎn)生的惡意傳播源，也就是說，現(xiàn)有技術(shù)中存在惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

針對(duì)上述的問題，目前尚未提出有效的解決方案。

技術(shù)實(shí)現(xiàn)要素：

本申請(qǐng)實(shí)施例提供了一種惡意傳播源的檢測(cè)方法及裝置，以至少解決現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

根據(jù)本申請(qǐng)實(shí)施例的一個(gè)方面，提供了一種惡意傳播源的檢測(cè)方法，包括：基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

根據(jù)本申請(qǐng)實(shí)施例的另一方面，還提供了一種惡意傳播源的檢測(cè)裝置，包括：處理單元，用于基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；確定單元，用于將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

在本申請(qǐng)實(shí)施例中，采用基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。的方式，通過基于傳播源模型從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，達(dá)到了將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源的目的，從而實(shí)現(xiàn)了精準(zhǔn)鎖定惡意軟件傳播源、防止惡意軟件傳播以及阻止服務(wù)器系統(tǒng)訪問惡意軟件傳播源的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

附圖說明

此處所說明的附圖用來提供對(duì)本申請(qǐng)的進(jìn)一步理解，構(gòu)成本申請(qǐng)的一部分，本申請(qǐng)的示意性實(shí)施例及其說明用于解釋本申請(qǐng)，并不構(gòu)成對(duì)本申請(qǐng)的不當(dāng)限定。在附圖中：

圖1是根據(jù)本申請(qǐng)實(shí)施例的一種惡意傳播源的檢測(cè)方法的計(jì)算機(jī)終端的硬件結(jié)構(gòu)框圖；

圖2(a)是根據(jù)本申請(qǐng)實(shí)施例的一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖2(b)是根據(jù)本申請(qǐng)實(shí)施例的另一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖3是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖4是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖5是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖6是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖7是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖8是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖9是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖；

圖10是根據(jù)本申請(qǐng)實(shí)施例的一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖11是根據(jù)本申請(qǐng)實(shí)施例的另一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖12是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖13(a)是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖13(b)是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖14是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)裝置的結(jié)構(gòu)示意圖；

圖15是根據(jù)本申請(qǐng)實(shí)施例的一種計(jì)算機(jī)終端的結(jié)構(gòu)框圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本申請(qǐng)方案，下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖，對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本申請(qǐng)一部分的實(shí)施例，而不是全部的實(shí)施例?；诒旧暾?qǐng)中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本申請(qǐng)保護(hù)的范圍。

需要說明的是，本申請(qǐng)的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對(duì)象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本申請(qǐng)的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

實(shí)施例1

根據(jù)本申請(qǐng)實(shí)施例，還提供了一種惡意傳播源的檢測(cè)方法的實(shí)施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本申請(qǐng)實(shí)施例一所提供的方法實(shí)施例可以在移動(dòng)終端、計(jì)算機(jī)終端或者類似的運(yùn)算裝置中執(zhí)行。以運(yùn)行在計(jì)算機(jī)終端上為例，圖1是本申請(qǐng)實(shí)施例的一種惡意傳播源的檢測(cè)方法的計(jì)算機(jī)終端的硬件結(jié)構(gòu)框圖。如圖1所示，計(jì)算機(jī)終端10可以包括一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲(chǔ)數(shù)據(jù)的存儲(chǔ)器104、以及用于通信功能的傳輸裝置106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對(duì)上述電子裝置的結(jié)構(gòu)造成限定。例如，計(jì)算機(jī)終端10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。

存儲(chǔ)器104可用于存儲(chǔ)應(yīng)用軟件的軟件程序以及模塊，如本申請(qǐng)實(shí)施例中的惡意傳播源的檢測(cè)方法對(duì)應(yīng)的程序指令/模塊，處理器102通過運(yùn)行存儲(chǔ)在存儲(chǔ)器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實(shí)現(xiàn)上述的應(yīng)用程序的漏洞檢測(cè)方法。存儲(chǔ)器104可包括高速隨機(jī)存儲(chǔ)器，還可包括非易失性存儲(chǔ)器，如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置、閃存、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中，存儲(chǔ)器104可進(jìn)一步包括相對(duì)于處理器102遠(yuǎn)程設(shè)置的存儲(chǔ)器，這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò)連接至計(jì)算機(jī)終端10。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。

傳輸裝置106用于經(jīng)由一個(gè)網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括計(jì)算機(jī)終端10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)。在一個(gè)實(shí)例中，傳輸裝置106包括一個(gè)網(wǎng)絡(luò)適配器(networkinterfacecontroller，nic)，其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個(gè)實(shí)例中，傳輸裝置106可以為射頻(radiofrequency，rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。

在上述運(yùn)行環(huán)境下，本申請(qǐng)?zhí)峁┝巳鐖D2(a)和圖2(b)所示的惡意傳播源的檢測(cè)方法。圖2(a)是根據(jù)本申請(qǐng)實(shí)施例的惡意傳播源的檢測(cè)方法的流程圖。

如圖2(a)所示，惡意傳播源的檢測(cè)方法可以包括如下實(shí)施步驟：

步驟s201，基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；

步驟s203，將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

采用本發(fā)明上述實(shí)施例，通過基于傳播源模型，可以提取符合攻擊特征的攻擊路徑，并識(shí)別出攻擊路徑中指向惡意文件的惡意傳播源，由于傳播源模型中記錄有完整的攻擊特征，實(shí)現(xiàn)了精準(zhǔn)鎖定惡意軟件傳播源、防止惡意軟件傳播以及阻止服務(wù)器系統(tǒng)訪問惡意軟件傳播源的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

在一個(gè)可選的實(shí)施例中，基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑包括：基于傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑，其中，所述攻擊特征包括被動(dòng)攻擊特征和主動(dòng)攻擊特征；和/或基于所述傳播源模型，獲取網(wǎng)絡(luò)文件服務(wù)器中符合所述主動(dòng)攻擊特征的第二路徑，其中，所述攻擊路徑包括所述第一路徑和/或所述第二路徑。

圖2(b)示出了其中一個(gè)實(shí)現(xiàn)方式，如圖2(b)所示惡意傳播源的檢測(cè)方法可以包括如下實(shí)施步驟：

步驟s202，獲取預(yù)先建立的傳播源模型，其中，傳播源模型中記錄有網(wǎng)絡(luò)攻擊的被動(dòng)攻擊特征和主動(dòng)攻擊特征。

步驟s204，基于傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑。

步驟s206，基于傳播源模型，獲取網(wǎng)絡(luò)文件服務(wù)器中符合主動(dòng)攻擊特征的第二路徑。

步驟s208，分別獲取第一路徑和第二路徑中指向惡意文件的第三路徑，并將獲取的第三路徑確定為惡意傳播源。

采用本發(fā)明上述實(shí)施例，通過基于傳播源模型從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，達(dá)到了將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源的目的，從而實(shí)現(xiàn)了精準(zhǔn)鎖定惡意軟件傳播源、防止惡意軟件傳播以及阻止服務(wù)器系統(tǒng)訪問惡意軟件傳播源的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

本申請(qǐng)上述步驟s202中，網(wǎng)絡(luò)攻擊(networkattacks)是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進(jìn)行的攻擊。網(wǎng)絡(luò)攻擊又可分為被動(dòng)攻擊和主動(dòng)攻擊兩種方式，其中，主動(dòng)攻擊會(huì)導(dǎo)致某些數(shù)據(jù)流的篡改和虛假數(shù)據(jù)流的產(chǎn)生，篡改數(shù)據(jù)信息、偽造數(shù)據(jù)信息、終端拒絕服務(wù)等為明顯的主動(dòng)攻擊方式。而被動(dòng)攻擊中攻擊者不對(duì)數(shù)據(jù)信息做任何修改，竊聽、流量分析、破解弱加密的數(shù)據(jù)流等為明顯的被動(dòng)攻擊方式。

可選地，傳播源模型是指依據(jù)網(wǎng)絡(luò)攻擊特征或者惡意文件的傳播特征所建立的模型，該模型融合被動(dòng)偵測(cè)和主動(dòng)探測(cè)的優(yōu)勢(shì)，其構(gòu)造主要分為三個(gè)子模型，該三個(gè)子模型分別為被動(dòng)偵測(cè)web(網(wǎng)頁)攻擊的子模型、被動(dòng)偵測(cè)弱口令攻擊的子模型和主動(dòng)探測(cè)惡意軟件傳播源的子模型。

本申請(qǐng)上述步驟s204中，網(wǎng)絡(luò)攻擊日志是指服務(wù)器系統(tǒng)的網(wǎng)絡(luò)攻擊日志，通過網(wǎng)絡(luò)日志功能所記錄的具有網(wǎng)絡(luò)攻擊特征的網(wǎng)絡(luò)日志，網(wǎng)絡(luò)攻擊日志除可以記錄被動(dòng)攻擊的特征，還可以記錄被動(dòng)攻擊的初發(fā)時(shí)間、結(jié)束時(shí)間和持續(xù)時(shí)間。

服務(wù)器系統(tǒng)(serversystem)是一種簡(jiǎn)單高效、安全可靠、處理能力可彈性伸縮的計(jì)算服務(wù)系統(tǒng)，其管理方式比物理服務(wù)器更簡(jiǎn)單高效?？蛇x地，該服務(wù)器系統(tǒng)可以為云服務(wù)器系統(tǒng)(cloudserversystem)。

可選地，第一路徑為攜帶有被動(dòng)攻擊特征的網(wǎng)絡(luò)文件的路徑，其具體是指通過解析服務(wù)器系統(tǒng)中的網(wǎng)絡(luò)攻擊日志中的惡意流量，進(jìn)而獲取到的惡意url。第一路徑可以為相對(duì)路徑，也可以為絕對(duì)路徑。

本申請(qǐng)上述步驟s206中，網(wǎng)絡(luò)文件服務(wù)器(hierarchicalfilesystem，簡(jiǎn)稱hfs)是一種常見的文件系統(tǒng)，可用于向服務(wù)器上傳文件，其載體可以為軟盤、硬盤或者只讀光盤等。網(wǎng)絡(luò)文件服務(wù)器可以優(yōu)化網(wǎng)絡(luò)存儲(chǔ)功能以及簡(jiǎn)化網(wǎng)絡(luò)數(shù)據(jù)管理，還可以向用戶提供網(wǎng)絡(luò)文件。從網(wǎng)絡(luò)文件服務(wù)器所提供的網(wǎng)絡(luò)文件中，可以篩選出攜帶有主動(dòng)攻擊特征的網(wǎng)絡(luò)文件，例如，檢測(cè)服務(wù)器系統(tǒng)中的網(wǎng)絡(luò)文件服務(wù)器，并從該網(wǎng)絡(luò)文件服務(wù)器所提供的網(wǎng)絡(luò)文件中發(fā)現(xiàn)某個(gè)網(wǎng)絡(luò)文件在某天的某個(gè)時(shí)間段內(nèi)被進(jìn)行了20次有效傳輸，但據(jù)歷史傳輸次數(shù)統(tǒng)計(jì)，該網(wǎng)絡(luò)文件在當(dāng)前之前的任意一天于該時(shí)間段的平均傳輸次數(shù)為5次且最大傳輸次數(shù)為10次，因此，可以確定該網(wǎng)絡(luò)文件可能已經(jīng)受重放攻擊(replayattacks)，即不斷惡意或欺詐性的重復(fù)一個(gè)有效的文件傳輸過程，達(dá)到欺騙系統(tǒng)、破壞身份認(rèn)證的目的。重放攻擊可以由文件發(fā)起者進(jìn)行，也可以由攔截并重發(fā)該文件的攻擊者(指非合法用戶、黑客等進(jìn)行網(wǎng)絡(luò)攻擊的一方)進(jìn)行。

需要說明的是，重放攻擊僅為主動(dòng)攻擊中較為常見的一種攻擊方式，主動(dòng)攻擊還具有其他攻擊方式，例如拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、信息篡改、網(wǎng)絡(luò)資源占用、欺騙和偽裝等。上述主動(dòng)攻擊方式各有側(cè)重，其攻擊對(duì)象也可各不相同，例如拒絕服務(wù)攻擊的攻擊對(duì)象可以為服務(wù)器，而偽裝攻擊的攻擊對(duì)象可以為郵件。

可選地，第二路徑為攜帶有主動(dòng)攻擊特征的網(wǎng)絡(luò)文件的路徑，其指向該網(wǎng)絡(luò)文件在網(wǎng)絡(luò)文件服務(wù)器中的存儲(chǔ)位置，第二路徑可以為相對(duì)路徑，也可以為絕對(duì)路徑。

本申請(qǐng)上述步驟s208中，惡意文件可以為惡意的文本文檔、圖片和計(jì)算機(jī)程序等，惡意傳播源可以衍生惡意文件，但上述二者并不類同。需要說明的是，第三路徑除可以指向惡意傳播源，也可以指向惡意下載源。

本申請(qǐng)上述實(shí)施例提供的一種可選方案中，圖3是根據(jù)本申請(qǐng)實(shí)施例的另一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖3所示，被動(dòng)攻擊特征包括網(wǎng)頁防御特征，上述步驟s204，基于傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑可以包括：

步驟s302，利用傳播源模型中的網(wǎng)頁防御特征與網(wǎng)絡(luò)攻擊日志中的網(wǎng)頁防御日志進(jìn)行匹配。

本申請(qǐng)上述步驟s302中，傳播源模型中的網(wǎng)頁防御特征與網(wǎng)絡(luò)攻擊日志中的網(wǎng)頁防御日志可以依據(jù)類型、周期、數(shù)值等因素進(jìn)行匹配。

步驟s304，提取網(wǎng)頁防御日志中存在網(wǎng)頁防御特征的第一日志信息。

本申請(qǐng)上述步驟s304中，提取第一日志信息的前提條件是傳播源模型中的網(wǎng)頁防御特征與網(wǎng)絡(luò)攻擊日志中的網(wǎng)頁防御日志匹配成功。

步驟s306，獲取提取到的第一日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

本申請(qǐng)上述步驟s306中，網(wǎng)絡(luò)資源定位符url可以對(duì)應(yīng)于第一日志信息中的某個(gè)程序、文件或網(wǎng)址。若該網(wǎng)絡(luò)資源定位符url對(duì)應(yīng)于第一日志信息中的某個(gè)文件，則說明該文件具備該傳播源模型中的網(wǎng)頁防御特征。

可選地，網(wǎng)頁防御特征包括下述之一：命令執(zhí)行漏洞特征和遠(yuǎn)程下載特征,其中，命令執(zhí)行漏洞特征包括：在驗(yàn)證性測(cè)試poc結(jié)果中包含預(yù)設(shè)攻擊命令。

其中，命令執(zhí)行漏洞特征是指用戶通過瀏覽器提交執(zhí)行命令，由于服務(wù)器端未過濾與該執(zhí)行命令對(duì)應(yīng)的執(zhí)行函數(shù)，導(dǎo)致其在未指定絕對(duì)路徑的情況下執(zhí)行命令。若如此，則攻擊者可以通過改變?cè)L問路徑或者程序執(zhí)行環(huán)節(jié)來執(zhí)行一個(gè)或多個(gè)惡意構(gòu)造的代碼。遠(yuǎn)程下載(remotedownload)是指用戶通過網(wǎng)絡(luò)從提供下載服務(wù)的服務(wù)器上遠(yuǎn)程下載文件等。

此外，驗(yàn)證性測(cè)試poc(proofofconcept)是針對(duì)用戶具體應(yīng)用的驗(yàn)證性測(cè)試，預(yù)設(shè)攻擊命令可以為wget命令(一款從網(wǎng)絡(luò)上自動(dòng)下載文件的下載工具所生成的命令)，也可以為fetch命令(一款基于安卓平臺(tái)的軟件查找工具所生成的命令)等。若確定在驗(yàn)證性測(cè)試poc結(jié)果中包含上述二者或其他預(yù)設(shè)攻擊命令，則可以從該驗(yàn)證性測(cè)試poc結(jié)果中提取url，并將該url作為惡意傳播源。

本申請(qǐng)上述實(shí)施例提供的一種可選方案中，圖4是根據(jù)本申請(qǐng)實(shí)施例的另一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖4所示，被動(dòng)攻擊特征包括口令攻擊特征，上述步驟s204，基于傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑可以包括：

步驟s402，確定服務(wù)器系統(tǒng)中被口令攻擊成功的服務(wù)器。

本申請(qǐng)上述步驟s402中，口令攻擊是指攻擊者進(jìn)行被動(dòng)攻擊時(shí)將破譯用戶口令作為初始攻擊行為，若攻擊者可以通過猜測(cè)或者其他方式確定用戶的口令，則其可以獲得機(jī)器或者網(wǎng)絡(luò)的訪問權(quán)，并能訪問到在該用戶訪問權(quán)限內(nèi)所能訪問到的任何資源，需要說明的是，若該用戶為域管理員或者擁有root權(quán)限(存在于linux系統(tǒng)、unix系統(tǒng)和類unix系統(tǒng)中，具有上述系統(tǒng)的所有操作權(quán)限)，則攻擊者的口令攻擊行為一旦奏效，將可能導(dǎo)致極其嚴(yán)重的后果。

可選地，口令攻擊主要由下述三種方式實(shí)現(xiàn)：

方式一，通過網(wǎng)絡(luò)監(jiān)聽獲得用戶口令，例如，攻擊者可以利用數(shù)據(jù)包截取工具，進(jìn)而采用中途截?fù)舻姆椒ǐ@得用戶口令。

方式二，在已知用戶賬號(hào)的情況下，通過破解軟件或方法獲得用戶口令，例如，攻擊者在已知用戶賬號(hào)的情況下，可以采用暴力窮舉法來強(qiáng)行破解該用戶賬號(hào)對(duì)應(yīng)的用戶口令。

方式三，利用系統(tǒng)漏洞獲得用戶口令，例如，在unix操作系統(tǒng)中，用戶的基本信息存放在文件名為password的文件中，而所有的用戶口令則經(jīng)由des(dataencryptionstandard，數(shù)據(jù)加密標(biāo)準(zhǔn))加密后存放在一個(gè)文件名為shadow的文件中，攻擊者一旦獲取到口令文件，則可以通過專用于破解des加密方法的程序破解該口令文件對(duì)應(yīng)的用戶口令。

可選地，服務(wù)器系統(tǒng)中可以包含若干個(gè)服務(wù)器，該若干個(gè)服務(wù)器可以具備不同功能。上述服務(wù)器可以為通用型服務(wù)器，也可以為專用型服務(wù)器。若該若干個(gè)服務(wù)器中僅有部分服務(wù)器被口令攻擊成功，則可以將已被口令攻擊成功的服務(wù)器作為可執(zhí)行下述步驟的目標(biāo)對(duì)象。

步驟s404，從網(wǎng)絡(luò)攻擊日志中，篩選被口令攻擊成功的服務(wù)器在預(yù)設(shè)攻擊時(shí)間段內(nèi)的網(wǎng)絡(luò)流量日志。

本申請(qǐng)上述步驟s404中，預(yù)設(shè)攻擊時(shí)間段可以為一次完整的口令攻擊所持續(xù)的時(shí)間段，即將該口令攻擊的開始時(shí)間到結(jié)束時(shí)間之間的時(shí)間段作為預(yù)設(shè)攻擊時(shí)間段。網(wǎng)絡(luò)流量日志可以記錄流量數(shù)值、某個(gè)流量數(shù)值對(duì)應(yīng)的時(shí)間和流量的變化情況。

步驟s406，利用傳播源模型中的口令攻擊特征與網(wǎng)絡(luò)流量日志進(jìn)行匹配。

本申請(qǐng)上述步驟s406中，傳播源模型中的口令攻擊特征可以為ssh口令特征或telnet口令特征，也可以為其他口令特征。將上述口令攻擊特征與網(wǎng)絡(luò)流量日志進(jìn)行匹配，進(jìn)而可以確定該網(wǎng)絡(luò)流量日志中是否記錄了惡意流量特征。

步驟s408，從網(wǎng)絡(luò)流量日志中提取存在口令攻擊特征的第二日志信息。

本申請(qǐng)上述步驟s408中，若第二日志信息中存在口令攻擊特征，則可以確定該第二日志信息中記錄了與該口令攻擊特征匹配的惡意流量特征。

步驟s410，獲取提取到的第二日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

本申請(qǐng)上述步驟s410中，若第二日志信息中存在多個(gè)口令特征，則多個(gè)口令特征中的每個(gè)口令特征對(duì)應(yīng)唯一的網(wǎng)絡(luò)資源定位符url。

可選地，圖5是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖5所示，該檢測(cè)方法可以包括：

步驟s504，獲取被口令攻擊成功攻擊的云服務(wù)器的網(wǎng)絡(luò)流量日志，具體地，網(wǎng)絡(luò)流量日志可以反映云服務(wù)器的流量數(shù)值和流量變化情況，為方便及準(zhǔn)確起見，可以僅獲取口令攻擊過程中生成的網(wǎng)絡(luò)流量日志，即獲取從口令攻擊開始到口令攻擊結(jié)束這一時(shí)間段的網(wǎng)絡(luò)流量日志。

步驟s506，暴力破解網(wǎng)絡(luò)流量日志，可以通過過濾waf(webapplicationfirewall，web應(yīng)用防護(hù)系統(tǒng))進(jìn)行攔截，從而獲取到網(wǎng)絡(luò)流量日志的惡意流量日志。

步驟s508，匹配下載源模型，例如，可以將網(wǎng)絡(luò)流量日志在某個(gè)時(shí)間段的流量特征與下載源模型在該時(shí)間段的口令攻擊特征進(jìn)行對(duì)比，進(jìn)而得到該網(wǎng)絡(luò)流量日志與該下載源模型的匹配度，若該匹配度高于某一預(yù)設(shè)數(shù)值，則可以視為上述二者匹配成功。

步驟s510，獲取低純度的惡意下載源，具體地，低純度的惡意下載源是指已知的、精確度較低的惡意下載源。

步驟s512，進(jìn)行同源遍歷，具體地，具體地，同源是指兩個(gè)或兩個(gè)以上的惡意文件指向同一個(gè)惡意下載源，因此，該兩個(gè)或兩個(gè)以上的惡意文件為同源惡意文件。進(jìn)行同源遍歷，可以從該下載源中查找到與已確定的惡意軟件同源的其他惡意軟件。

步驟s514，依據(jù)預(yù)設(shè)重掃機(jī)制定期重新掃描，具體地，重掃機(jī)制可以依據(jù)實(shí)際需求和網(wǎng)絡(luò)運(yùn)行環(huán)境人為地進(jìn)行建立或修改，運(yùn)行重掃機(jī)制，可以使惡意下載源的檢測(cè)更為全面和準(zhǔn)確，有效防止漏掃等情況的發(fā)生。

步驟s516，獲取低純度的惡意下載源的監(jiān)測(cè)結(jié)果，具體地，該監(jiān)測(cè)結(jié)果可以用于指示該惡意下載源的狀態(tài)或惡意下載源的狀態(tài)變化情況。

可選地，通過執(zhí)行上述步驟s502至步驟s518，可以依據(jù)預(yù)先建立的下載源模型對(duì)網(wǎng)絡(luò)流量日志進(jìn)行監(jiān)測(cè)，進(jìn)而在該網(wǎng)絡(luò)流量日志中流量特征與該下載源模型的口令攻擊特征匹配成功時(shí)，從該網(wǎng)絡(luò)流量日志中提取其url信息，該url信息可以作為指向惡意傳播源的第一路徑。基于上述，本申請(qǐng)的實(shí)施例一可以通過網(wǎng)絡(luò)流量日志提取到惡意傳播源。

可選地，圖6是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖6所示，該檢測(cè)方法可以包括：

步驟s602，開始。

步驟s604，確定惡意下載源，具體地，若某個(gè)惡意文件可以通過該惡意下載源衍生，則由該惡意文件的文件路徑可以確定該惡意下載源。

步驟s606，進(jìn)行同源遍歷，具體地，同源是指兩個(gè)或兩個(gè)以上的惡意文件指向同一個(gè)惡意下載源，因此，該兩個(gè)或兩個(gè)以上的惡意文件為同源惡意文件。例如，某款名為“軟件a”的惡意軟件與另一款名為“軟件b”的惡意軟件均下載自網(wǎng)站www.abc.com，則該網(wǎng)站為上述兩款惡意軟件的下載源，需要說明的是，上述網(wǎng)址為隨機(jī)舉例，若互聯(lián)網(wǎng)中存在域名或網(wǎng)址與其雷同，實(shí)屬巧合，并無他意。進(jìn)行同源遍歷，可以從該下載源中查找到與已確定的惡意軟件同源的其他惡意軟件。

步驟s608，依據(jù)預(yù)設(shè)重掃機(jī)制定期重新掃描，具體地，重掃機(jī)制可以依據(jù)實(shí)際需求和網(wǎng)絡(luò)運(yùn)行環(huán)境人為地進(jìn)行建立或修改，例如，重掃機(jī)制可以規(guī)定掃描對(duì)象、掃描頻率、掃描時(shí)間、掃描中斷條件、掃描完成條件和掃描報(bào)警條件等。運(yùn)行重掃機(jī)制，可以使惡意下載源的檢測(cè)更為全面和準(zhǔn)確，有效防止漏掃等情況的發(fā)生。

步驟s610，獲取惡意下載源的監(jiān)測(cè)結(jié)果，具體地，監(jiān)測(cè)結(jié)果可以用于指示下載源的狀態(tài)或下載源的狀態(tài)變化情況，下載源的狀態(tài)可以包括當(dāng)前狀態(tài)和歷史狀態(tài)等，下載源的狀態(tài)變化情況可以包括下載源的全部狀態(tài)變化情況和局部狀態(tài)變化情況等。

步驟s612，結(jié)束。

可選地，通過執(zhí)行上述步驟s602至步驟s612，可以對(duì)惡意下載源的狀態(tài)和狀態(tài)變化情況進(jìn)行全方位的監(jiān)測(cè)，進(jìn)而可通過監(jiān)測(cè)結(jié)果獲悉上述攻擊行為的發(fā)生規(guī)律，達(dá)到洞察黑客動(dòng)機(jī)、弱化惡意文件的破壞力、保持良性的網(wǎng)絡(luò)環(huán)境的目的。

可選地，確定服務(wù)器系統(tǒng)中被口令成功攻擊的服務(wù)器可以包括：

步驟s10，將預(yù)先設(shè)置的情報(bào)收集終端作為被口令成功攻擊的服務(wù)器，其中，情報(bào)收集終端被設(shè)置為可被攻擊者成功攻擊；或

步驟s12，解析安全外殼協(xié)議ssh和遠(yuǎn)程登錄協(xié)議telnet的網(wǎng)絡(luò)流量；將網(wǎng)絡(luò)流量中被暴力破解的流量指向的終端，確定為被口令成功攻擊的服務(wù)器。

其中，步驟s10和步驟s12可以不具備從屬關(guān)系或先后順序。

本申請(qǐng)上述步驟s10中，預(yù)先設(shè)置的情報(bào)收集終端可以為蜜罐，蜜罐是一種可以引誘黑客攻擊、記錄攻擊特征和分析黑客行為的情報(bào)收集系統(tǒng)，蜜罐在類型層面可以分為“實(shí)系統(tǒng)蜜罐”和“偽系統(tǒng)蜜罐”兩種類型，在功能層面可以具備“迷惑入侵者，保護(hù)服務(wù)器”和“抵御入侵者，加固服務(wù)器”兩種功能。

安全外殼協(xié)議ssh(secureshell)是由ietf(theinternetengineeringtaskforce，國(guó)際互聯(lián)網(wǎng)工程任務(wù)組)的網(wǎng)絡(luò)工作小組所制定，建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。遠(yuǎn)程登錄協(xié)議telnet是tcp/ip(transmissioncontrolprotocol/internetprotocol，傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議)協(xié)議族中的一員，是互聯(lián)網(wǎng)遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式，該協(xié)議為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。

暴力破解又名密碼窮舉，是指將窮舉法應(yīng)用于用戶密碼破解。例如，黑客事先知曉了用戶的社交軟件賬號(hào)、郵件賬號(hào)或網(wǎng)上銀行賬號(hào)等合法注冊(cè)的賬號(hào)，若用戶為上述賬號(hào)所設(shè)置的密碼或密保問題過于簡(jiǎn)單(密碼為一串純數(shù)字或純英文字母)，則黑客可以使用暴力破解工具破譯上述賬號(hào)的密碼。

可選地，在基于傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑之后，該檢測(cè)方法還包括：

步驟s20，通過網(wǎng)絡(luò)爬蟲技術(shù)定期遍歷第一路徑的同源路徑，以獲取第一路徑的監(jiān)控結(jié)果，其中，監(jiān)控結(jié)果用于記錄第一路徑的路徑狀態(tài)和路徑變化信息。

本申請(qǐng)上述步驟s20中，網(wǎng)絡(luò)爬蟲技術(shù)是指通過網(wǎng)絡(luò)爬蟲(computerrobot)獲取互聯(lián)網(wǎng)信息的計(jì)算機(jī)技術(shù)，其中，網(wǎng)絡(luò)爬蟲又名網(wǎng)頁蜘蛛、網(wǎng)頁追逐者或網(wǎng)絡(luò)機(jī)器人，其具體是指可以按照預(yù)定規(guī)則，自動(dòng)地抓取互聯(lián)網(wǎng)信息的程序或者腳本。通過網(wǎng)絡(luò)爬蟲技術(shù)定期遍歷第一路徑的同源路徑的周期可以依據(jù)實(shí)際需求人為進(jìn)行設(shè)置，例如，可以通過網(wǎng)絡(luò)爬蟲技術(shù)每隔48小時(shí)遍歷第一路徑的同源路徑。此外，對(duì)第一路徑監(jiān)控結(jié)果可以由網(wǎng)絡(luò)爬蟲反饋至預(yù)設(shè)數(shù)據(jù)庫(kù)。

本申請(qǐng)上述實(shí)施例提供的一種可選方案中，圖7是根據(jù)本申請(qǐng)實(shí)施例的另一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖7所示，上述步驟s206，基于傳播源模型，獲取網(wǎng)絡(luò)文件服務(wù)器中符合主動(dòng)攻擊特征的第二路徑可以包括：

步驟s702，對(duì)服務(wù)器系統(tǒng)中的服務(wù)器進(jìn)行指紋主題特征掃描，確定服務(wù)器系統(tǒng)中的網(wǎng)絡(luò)文件服務(wù)器。

本申請(qǐng)上述步驟s702中，進(jìn)行指紋主題特征掃描實(shí)質(zhì)上為對(duì)待確定的網(wǎng)絡(luò)文件服務(wù)器進(jìn)行掃描，可以依據(jù)掃描過程中提取到的banner信息(主題特征信息)確定與該banner信息對(duì)應(yīng)的網(wǎng)絡(luò)文件服務(wù)器。

步驟s704，通過網(wǎng)絡(luò)爬蟲技術(shù)獲取網(wǎng)絡(luò)文件服務(wù)器上的下載源。

本申請(qǐng)上述步驟s704中，網(wǎng)絡(luò)爬蟲可以按照預(yù)定規(guī)則，自動(dòng)地抓取網(wǎng)絡(luò)文件服務(wù)器中的網(wǎng)絡(luò)信息，從網(wǎng)絡(luò)爬蟲抓取到的網(wǎng)絡(luò)信息中可以得到網(wǎng)絡(luò)文件的下載源。

步驟s706，對(duì)下載源進(jìn)行病毒掃描，將指向惡意文件的下載源確定為第二路徑。

本申請(qǐng)上述步驟s706中，可以通過常見的病毒掃描軟件或程序?qū)Λ@取到的下載源進(jìn)行病毒掃描，從而檢測(cè)該下載源是否指向某一惡意文件，若該下載源是否指向某惡意文件，則可以將指向該惡意文件的下載源確定為第二路徑。

可選地，圖8是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖8所示，該檢測(cè)方法可以包括：

步驟s804，進(jìn)行指紋主題特征掃描，具體地，進(jìn)行指紋主題特征掃描實(shí)質(zhì)上為對(duì)待確定的網(wǎng)絡(luò)文件服務(wù)器進(jìn)行掃描。

步驟s806，確定網(wǎng)絡(luò)文件服務(wù)器，具體地，在執(zhí)行步驟s804之后，可以依據(jù)掃描過程中提取到的banner信息(主題特征信息)確定與該banner信息對(duì)應(yīng)的網(wǎng)絡(luò)文件服務(wù)器。

步驟s808，進(jìn)行網(wǎng)絡(luò)爬蟲檢測(cè)，具體地，網(wǎng)絡(luò)爬蟲可以按照預(yù)定規(guī)則，自動(dòng)地抓取網(wǎng)絡(luò)文件服務(wù)器中的網(wǎng)絡(luò)信息。

步驟s810，獲取下載源，具體地，從網(wǎng)絡(luò)爬蟲抓取到的網(wǎng)絡(luò)信息中可以得到網(wǎng)絡(luò)文件的下載源。

步驟s812，進(jìn)行病毒掃描，具體地，可以通過常見的病毒掃描軟件或程序?qū)Λ@取到的下載源進(jìn)行病毒掃描，從而檢測(cè)該下載源中是否存在惡意病毒(例如蠕蟲病毒、特洛伊木馬病毒等)。

步驟s814，確定惡意下載源，具體地，若在執(zhí)行步驟s812之后，檢測(cè)到該下載源中存在惡意病毒，則可以確定該下載源為惡意下載源。

需要說明的是，通過計(jì)算機(jī)程序依次執(zhí)行上述步驟s802至s816，則該計(jì)算機(jī)程序可以被視為惡意下載源的被動(dòng)偵測(cè)模型，網(wǎng)絡(luò)文件服務(wù)器經(jīng)該被動(dòng)偵測(cè)模型偵測(cè)，可以確定其是否包含惡意下載源。

可選地，圖9是根據(jù)本申請(qǐng)實(shí)施例的又一種可選的惡意傳播源的檢測(cè)方法的流程示意圖，如圖9所示，該檢測(cè)方法可以包括：

步驟s904，獲取低純度的惡意下載源，具體地，此處的純度應(yīng)該被理解為惡意下載源中的已知病毒與惡意下載源中的全部病毒的比例。低純度的惡意下載源也可被理解為已知的、病毒數(shù)目或特征并不精確的惡意下載源。

步驟s906，進(jìn)行病毒檢測(cè)，具體地，進(jìn)行病毒檢測(cè)可以通過常用的病毒檢測(cè)軟件或方法進(jìn)行。進(jìn)行病毒檢測(cè)或可以發(fā)現(xiàn)惡意下載源中的未知病毒。

步驟s908，獲取高純度的惡意下載源，具體地，低純度的惡意下載源也可被理解為在經(jīng)執(zhí)行步驟s906之后，已知的、病毒數(shù)目或特征較為精確的惡意下載源。

需要說明的是，通過上述步驟s902至步驟s910對(duì)低純度的惡意下載源進(jìn)行病毒檢測(cè)，從而獲取到高純度的惡意下載源，實(shí)質(zhì)上可被理解為是對(duì)同一惡意下載源進(jìn)行病毒提純，即更為精確的了解惡意下載源中的病毒數(shù)目或病毒特征。

可選地，將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源可以包括：

步驟s30，通過惡意文件檢測(cè)引擎，識(shí)別攻擊路徑中指向惡意文件的惡意路徑，并將惡意路徑確定為惡意傳播源。

本申請(qǐng)上述步驟s30中，惡意文件檢測(cè)引擎可以為現(xiàn)有的殺毒軟件(anti-virussoftware)，并可具備監(jiān)控識(shí)別、病毒掃描、自動(dòng)升級(jí)病毒庫(kù)以及主動(dòng)防御等功能。具體地，通過預(yù)先建立的傳播源模型得到的第一路徑和第二路徑，僅可以指向疑似惡意傳播源，只有通過惡意文件檢測(cè)引擎對(duì)第一路徑和第二路徑進(jìn)行識(shí)別，方可以得到指向惡意文件的第三路徑，需要說明的是，惡意傳播源可以衍生惡意文件，但上述二者并不類同，惡意文件檢測(cè)引擎需首先通過第一路徑和第二路徑識(shí)別到惡意文件，然后方可通過該惡意文件確定惡意傳播源。

可選地，在將指向惡意文件的下載源確定為所述第二路徑之后，檢測(cè)方法可以包括：

步驟s40，對(duì)惡意傳播源進(jìn)行標(biāo)記，并阻止惡意傳播源在服務(wù)器系統(tǒng)中傳播。

本申請(qǐng)上述步驟s40中，可以通過html(hyper_textmarkuplanguage，超文本標(biāo)記語言)對(duì)惡意傳播源進(jìn)行標(biāo)記，阻值標(biāo)記后的惡意傳播源在服務(wù)器系統(tǒng)中傳播，從而消除了惡意傳播源對(duì)網(wǎng)絡(luò)環(huán)境的破壞，也降低了其對(duì)合法用戶的困擾。

需要說明的是，對(duì)于前述的各方法實(shí)施例，為了簡(jiǎn)單描述，故將其都表述為一系列的動(dòng)作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本申請(qǐng)并不受所描述的動(dòng)作順序的限制，因?yàn)橐罁?jù)本申請(qǐng)，某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動(dòng)作和模塊并不一定是本申請(qǐng)所必須的。

通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施例的方法可借助軟件加必需的通用硬件平臺(tái)的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本申請(qǐng)的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺(tái)終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例所述的方法。

實(shí)施例2

根據(jù)本申請(qǐng)實(shí)施例，還提供了一種用于實(shí)施上述惡意傳播源的檢測(cè)方法的惡意傳播源的檢測(cè)裝置，如圖10(a)所示，該裝置可以包括：處理單元1002、確定單元1007。

其中，處理單元1002，用于基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；確定單元1007，用于將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

可選地，上述方案還可以包括：第一獲取單元1001，用于獲取預(yù)先建立的傳播源模型。

在一個(gè)可選地實(shí)施例中，如圖10(b)所示，處理單元1002可以包括：提取單元1003、第二獲取單元1005。

其中，提取單元1003，用于基于所述傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑，其中，所述攻擊特征包括被動(dòng)攻擊特征和主動(dòng)攻擊特征；和/或第二獲取單元1005，用于基于所述傳播源模型，獲取網(wǎng)絡(luò)文件服務(wù)器中符合所述主動(dòng)攻擊特征的第二路徑，其中，所述攻擊路徑包括所述第一路徑和/或所述第二路徑。

此處需要說明的是，上述第一獲取單元1001、提取單元1003、第二獲取單元1005、確定單元1007對(duì)應(yīng)于實(shí)施例一中的步驟s202至步驟s208，四個(gè)單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端10中。

由上可知，本申請(qǐng)上述實(shí)施例二所提供的方案，通過基于傳播源模型從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，達(dá)到了將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源的目的，從而實(shí)現(xiàn)了精準(zhǔn)鎖定惡意軟件傳播源、防止惡意軟件傳播以及阻止服務(wù)器系統(tǒng)訪問惡意軟件傳播源的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

可選地，被動(dòng)攻擊特征包括網(wǎng)頁防御特征，如圖11所示，提取單元1003可以包括：第一匹配子單元1101、第一提取子單元1103、第一處理子單元1105。

其中，第一匹配子單元1101，用于利用傳播源模型中的網(wǎng)頁防御特征與網(wǎng)絡(luò)攻擊日志中的網(wǎng)頁防御日志進(jìn)行匹配；第一提取子單元1103，用于提取網(wǎng)頁防御日志中存在網(wǎng)頁防御特征的第一日志信息；第一處理子單元1105，用于獲取提取到的第一日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

此處需要說明的是，上述第一匹配子單元1101、第一提取子單元1103、第一處理子單元1105對(duì)應(yīng)于實(shí)施例一中的步驟s302至步驟s306，三個(gè)子單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述子單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，上述實(shí)施例二中的網(wǎng)頁防御特征包括下述之一：命令執(zhí)行漏洞特征和遠(yuǎn)程下載特征,其中，命令執(zhí)行漏洞特征包括：在驗(yàn)證性測(cè)試poc結(jié)果中包含預(yù)設(shè)攻擊命令。

可選地，被動(dòng)攻擊特征包括口令攻擊特征，如圖12所示，提取單元1003可以包括：第一確定子單元1201、篩選子單元1203、第二匹配子單元1205、第二提取子單元1207、第二處理子單元1209。

其中，第一確定子單元1201，用于確定服務(wù)器系統(tǒng)中被口令攻擊成功的服務(wù)器；篩選子單元1203，用于從網(wǎng)絡(luò)攻擊日志中，篩選被口令攻擊成功的服務(wù)器在預(yù)設(shè)攻擊時(shí)間段內(nèi)的網(wǎng)絡(luò)流量日志；第二匹配子單元1205，用于利用傳播源模型中的口令攻擊特征與網(wǎng)絡(luò)流量日志進(jìn)行匹配；第二提取子單元1207，用于從網(wǎng)絡(luò)流量日志中提取存在口令攻擊特征的第二日志信息；第二處理子單元1209，用于獲取提取到的第二日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

此處需要說明的是，上述第一確定子單元1201、篩選子單元1203、第二匹配子單元1205、第二提取子單元1207、第二處理子單元1209對(duì)應(yīng)于實(shí)施例一中的步驟s402至步驟s410，五個(gè)子單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述子單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，如圖13(a)所示,第一確定子單元1201可以包括：第一確定模塊1301；或者如圖13(b)所示,第一確定子單元1201可以包括：第二確定模塊1303。

其中，第一確定模塊1301用于將預(yù)先設(shè)置的情報(bào)收集終端作為被口令成功攻擊的服務(wù)器，其中，情報(bào)收集終端被設(shè)置為可被攻擊者成功攻擊；第二確定模塊1303用于解析安全外殼協(xié)議ssh和遠(yuǎn)程登錄協(xié)議telnet的網(wǎng)絡(luò)流量；將網(wǎng)絡(luò)流量中被暴力破解的流量指向的終端，確定為被口令成功攻擊的服務(wù)器。

此處需要說明的是，上述第一確定模塊1301對(duì)應(yīng)于實(shí)施例一中的步驟s10，上述第二確定模塊1303對(duì)應(yīng)于實(shí)施例一中的步驟s12，兩個(gè)模塊與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，上述實(shí)施例二中的檢測(cè)裝置還可以包括：第三獲取單元。

其中，第三獲取單元用于通過網(wǎng)絡(luò)爬蟲技術(shù)定期遍歷第一路徑的同源路徑，以獲取第一路徑的監(jiān)控結(jié)果，其中，監(jiān)控結(jié)果用于記錄第一路徑的路徑狀態(tài)和路徑變化信息。

此處需要說明的是，上述第三獲取單元對(duì)應(yīng)于實(shí)施例一中的步驟s20，該單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，如圖14所示，第二獲取單元1005可以包括：第二確定子單元1401、獲取子單元1403、第三確定子單元1405。

其中，第二確定子單元1401，用于對(duì)服務(wù)器系統(tǒng)中的服務(wù)器進(jìn)行指紋主題特征掃描，確定服務(wù)器系統(tǒng)中的網(wǎng)絡(luò)文件服務(wù)器；獲取子單元1403，用于通過網(wǎng)絡(luò)爬蟲技術(shù)獲取網(wǎng)絡(luò)文件服務(wù)器上的下載源；第三確定子單元1405，用于對(duì)下載源進(jìn)行病毒掃描，將指向惡意文件的下載源確定為第二路徑。

此處需要說明的是，上述第二確定子單元1401、獲取子單元1403、第三確定子單元1405對(duì)應(yīng)于實(shí)施例一中的步驟s502至步驟s506，三個(gè)子單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述子單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，上述實(shí)施例二中的確定單元1007可以包括：識(shí)別子單元。

其中，識(shí)別子單元，用于通過惡意文件檢測(cè)引擎，識(shí)別攻擊路徑中指向惡意文件的惡意路徑，并將惡意路徑確定為惡意傳播源。

此處需要說明的是，上述識(shí)別子單元對(duì)應(yīng)于實(shí)施例一中的步驟s30，該單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述子單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

可選地，上述實(shí)施例二中的檢測(cè)裝置還可以包括：標(biāo)記單元。

其中，標(biāo)記單元用于對(duì)惡意傳播源進(jìn)行標(biāo)記，并阻止惡意傳播源在服務(wù)器系統(tǒng)中傳播。

此處需要說明的是，上述標(biāo)記單元對(duì)應(yīng)于實(shí)施例一中的步驟s40，該單元與對(duì)應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場(chǎng)景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述單元作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的計(jì)算機(jī)終端40中。

實(shí)施例3

本申請(qǐng)的實(shí)施例可以提供一種計(jì)算機(jī)終端，該計(jì)算機(jī)終端可以是計(jì)算機(jī)終端群中的任意一個(gè)計(jì)算機(jī)終端設(shè)備?？蛇x地，在本實(shí)施例中，上述計(jì)算機(jī)終端也可以替換為移動(dòng)終端等終端設(shè)備。

可選地，在本實(shí)施例中，上述計(jì)算機(jī)終端可以位于計(jì)算機(jī)網(wǎng)絡(luò)的多個(gè)網(wǎng)絡(luò)設(shè)備中的至少一個(gè)網(wǎng)絡(luò)設(shè)備。

在本實(shí)施例中，上述計(jì)算機(jī)終端可以執(zhí)行應(yīng)用程序的漏洞檢測(cè)方法中以下步驟的程序代碼：基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

由上可知，本申請(qǐng)上述實(shí)施例三所提供的方案，通過基于傳播源模型從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，達(dá)到了將攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源的目的，從而實(shí)現(xiàn)了精準(zhǔn)鎖定惡意軟件傳播源、防止惡意軟件傳播以及阻止服務(wù)器系統(tǒng)訪問惡意軟件傳播源的技術(shù)效果，進(jìn)而解決了現(xiàn)有技術(shù)中的惡意傳播源檢測(cè)準(zhǔn)確度較低的技術(shù)問題。

可選地，圖15是根據(jù)本申請(qǐng)實(shí)施例的一種計(jì)算機(jī)終端的結(jié)構(gòu)框圖。如圖15所示，該計(jì)算機(jī)終端a可以包括：一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器1501、存儲(chǔ)器1503、以及傳輸裝置1505。

其中，存儲(chǔ)器1503可用于存儲(chǔ)軟件程序以及模塊，如本申請(qǐng)實(shí)施例中的安全漏洞檢測(cè)方法和裝置對(duì)應(yīng)的程序指令/模塊，處理器1501通過運(yùn)行存儲(chǔ)在存儲(chǔ)器1503內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實(shí)現(xiàn)上述的系統(tǒng)漏洞攻擊的檢測(cè)方法。存儲(chǔ)器1503可包括高速隨機(jī)存儲(chǔ)器，還可以包括非易失性存儲(chǔ)器，如一個(gè)或者多個(gè)磁性存儲(chǔ)裝置、閃存、或者其他非易失性固態(tài)存儲(chǔ)器。在一些實(shí)例中，存儲(chǔ)器1503可進(jìn)一步包括相對(duì)于處理器遠(yuǎn)程設(shè)置的存儲(chǔ)器，這些遠(yuǎn)程存儲(chǔ)器可以通過網(wǎng)絡(luò)連接至終端a。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動(dòng)通信網(wǎng)及其組合。

上述的傳輸裝置1505用于經(jīng)由一個(gè)網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括有線網(wǎng)絡(luò)及無線網(wǎng)絡(luò)。在一個(gè)實(shí)例中，傳輸裝置1505包括一個(gè)網(wǎng)絡(luò)適配器(networkinterfacecontroller，nic)，其可通過網(wǎng)線與其他網(wǎng)絡(luò)設(shè)備與路由器相連從而可與互聯(lián)網(wǎng)或局域網(wǎng)進(jìn)行通訊。在一個(gè)實(shí)例中，傳輸裝置1505為射頻(radiofrequency，rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。

其中，具體地，存儲(chǔ)器1503用于存儲(chǔ)預(yù)設(shè)動(dòng)作條件和預(yù)設(shè)權(quán)限用戶的信息、以及應(yīng)用程序。

處理器1501可以通過傳輸裝置1505調(diào)用存儲(chǔ)器1503存儲(chǔ)的信息及應(yīng)用程序，以執(zhí)行下述步驟：基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：基于所述傳播源模型，從網(wǎng)絡(luò)攻擊日志中提取符合被動(dòng)攻擊特征的第一路徑，其中，所述攻擊特征包括被動(dòng)攻擊特征和主動(dòng)攻擊特征；和/或基于所述傳播源模型，獲取網(wǎng)絡(luò)文件服務(wù)器中符合所述主動(dòng)攻擊特征的第二路徑，其中，所述攻擊路徑包括所述第一路徑和/或所述第二路徑。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：利用傳播源模型中的網(wǎng)頁防御特征與網(wǎng)絡(luò)攻擊日志中的網(wǎng)頁防御日志進(jìn)行匹配；提取網(wǎng)頁防御日志中存在網(wǎng)頁防御特征的第一日志信息；獲取提取到的第一日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：確定服務(wù)器系統(tǒng)中被口令攻擊成功的服務(wù)器；從網(wǎng)絡(luò)攻擊日志中，篩選被口令攻擊成功的服務(wù)器在預(yù)設(shè)攻擊時(shí)間段內(nèi)的網(wǎng)絡(luò)流量日志；利用傳播源模型中的口令攻擊特征與網(wǎng)絡(luò)流量日志進(jìn)行匹配；從網(wǎng)絡(luò)流量日志中提取存在口令攻擊特征的第二日志信息；獲取提取到的第二日志信息中的網(wǎng)絡(luò)資源定位符url，并將獲取到的網(wǎng)絡(luò)資源定位符url作為第一路徑。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：將預(yù)先設(shè)置的情報(bào)收集終端作為被口令成功攻擊的服務(wù)器，其中，情報(bào)收集終端被設(shè)置為可被攻擊者成功攻擊；或解析安全外殼協(xié)議ssh和遠(yuǎn)程登錄協(xié)議telnet的網(wǎng)絡(luò)流量；將網(wǎng)絡(luò)流量中被暴力破解的流量指向的終端，確定為被口令成功攻擊的服務(wù)器。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：通過網(wǎng)絡(luò)爬蟲技術(shù)定期遍歷第一路徑的同源路徑，以獲取第一路徑的監(jiān)控結(jié)果，其中，監(jiān)控結(jié)果用于記錄第一路徑的路徑狀態(tài)和路徑變化信息。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：對(duì)服務(wù)器系統(tǒng)中的服務(wù)器進(jìn)行指紋主題特征掃描，確定服務(wù)器系統(tǒng)中的網(wǎng)絡(luò)文件服務(wù)器；通過網(wǎng)絡(luò)爬蟲技術(shù)獲取網(wǎng)絡(luò)文件服務(wù)器上的下載源；對(duì)下載源進(jìn)行病毒掃描，將指向惡意文件的下載源確定為第二路徑。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：通過惡意文件檢測(cè)引擎，識(shí)別攻擊路徑和攻擊路徑中指向惡意文件的惡意路徑，并將所述惡意路徑確定為所述惡意傳播源。

可選的，上述處理器還可以執(zhí)行如下步驟的程序代碼：對(duì)惡意傳播源進(jìn)行標(biāo)記，并阻止惡意傳播源在服務(wù)器系統(tǒng)中傳播。

本領(lǐng)域普通技術(shù)人員可以理解，圖15所示的結(jié)構(gòu)僅為示意，計(jì)算機(jī)終端也可以是智能手機(jī)(如android手機(jī)、ios手機(jī)等)、平板電腦、掌聲電腦以及移動(dòng)互聯(lián)網(wǎng)設(shè)備(mobileinternetdevices，mid)、pad等終端設(shè)備。圖15其并不對(duì)上述電子裝置的結(jié)構(gòu)造成限定。例如，計(jì)算機(jī)終端a還可包括比圖15中所示更多或者更少的組件(如網(wǎng)絡(luò)接口、顯示裝置等)，或者具有與圖15所示不同的配置。

本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過程序來指令終端設(shè)備相關(guān)的硬件來完成，該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，存儲(chǔ)介質(zhì)可以包括：閃存盤、只讀存儲(chǔ)器(read-onlymemory，rom)、隨機(jī)存取器(randomaccessmemory，ram)、磁盤或光盤等。

實(shí)施例4

本申請(qǐng)的實(shí)施例還提供了一種存儲(chǔ)介質(zhì)?？蛇x地，在本實(shí)施例中，上述存儲(chǔ)介質(zhì)可以用于保存上述實(shí)施例一所提供的惡意傳播源的檢測(cè)方法所執(zhí)行的程序代碼。

可選地，在本實(shí)施例中，上述存儲(chǔ)介質(zhì)可以位于計(jì)算機(jī)網(wǎng)絡(luò)中計(jì)算機(jī)終端群中的任意一個(gè)計(jì)算機(jī)終端中，或者位于移動(dòng)終端群中的任意一個(gè)移動(dòng)終端中。

可選地，在本實(shí)施例中，存儲(chǔ)介質(zhì)被設(shè)置為存儲(chǔ)用于執(zhí)行以下步驟的程序代碼：基于傳播源模型，從服務(wù)器系統(tǒng)中提取符合攻擊特征的攻擊路徑，其中，所述傳播源模型中記錄有網(wǎng)絡(luò)攻擊的攻擊特征；將所述攻擊路徑中指向惡意文件的惡意路徑確定為惡意傳播源。

此處需要說明的是，上述計(jì)算機(jī)終端群中的任意一個(gè)可以與網(wǎng)站服務(wù)器和掃描器建立通信關(guān)系，掃描器可以掃描計(jì)算機(jī)終端上php執(zhí)行的web應(yīng)用程序的值命令。

上述本申請(qǐng)實(shí)施例序號(hào)僅僅為了描述，不代表實(shí)施例的優(yōu)劣。

在本申請(qǐng)的上述實(shí)施例中，對(duì)各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。

在本申請(qǐng)所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的技術(shù)內(nèi)容，可通過其它的方式實(shí)現(xiàn)。其中，以上所描述的裝置實(shí)施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。

另外，在本申請(qǐng)各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。基于這樣的理解，本申請(qǐng)的技術(shù)方案本質(zhì)上或者說對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中，包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本申請(qǐng)各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括：u盤、只讀存儲(chǔ)器(rom，read-onlymemory)、隨機(jī)存取存儲(chǔ)器(ram，randomaccessmemory)、移動(dòng)硬盤、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。

以上所述僅是本申請(qǐng)的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說，在不脫離本申請(qǐng)?jiān)淼那疤嵯?，還可以做出若干改進(jìn)和潤(rùn)飾，這些改進(jìn)和潤(rùn)飾也應(yīng)視為本申請(qǐng)的保護(hù)范圍。