本申請涉及信息安全領域,特別涉及一種支持特征跨包的編碼攻擊檢測方法和裝置。
背景技術:
隨著網絡入侵事件的不斷增加和攻擊水平的不斷提高,一些企業(yè)和單位的網絡時刻面臨著大量進攻威脅。為解決這一問題,一般部署IPS(IntrusionPrevention System,入侵防御系統(tǒng))設備進行攻擊防護。IPS設備檢查攻擊基于特征匹配原理,根據預先下發(fā)的攻擊特征與網絡中數據包進行匹配,匹配成功則認為數據包存在攻擊,匹配失敗則對該數據包放行。
如果網絡中傳輸的報文經過編碼,且攻擊特征因報文分段而跨包時,IPS設備可能無法檢測到完整的攻擊特征,造成安全防御出現漏洞。
技術實現要素:
有鑒于此,本申請?zhí)峁┮环N支持特征跨包的編碼攻擊檢測方法和裝置,用于解決網絡中傳輸的報文經過編碼,且攻擊特征因報文分段而跨包時,IPS設備無法檢測到報文中完整的攻擊特征的問題。
具體地,本申請是通過如下技術方案實現的:
一種支持特征跨包的編碼攻擊檢測方法,應用于IPS設備,包括:
在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符;所述結構體用于存儲對應于所述會話的未解碼字符、編碼方式以及多模式匹配進度;
當所述結構體存在未解碼字符時,合并所述未解碼字符和所述報文的報文負載;
根據所述結構體中的編碼方式,對合并后的所述未解碼字符和所述報文的報文負載進行解碼處理;
基于預先配置的攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配,以確定所述報文是否為攻擊報文。
在所述支持特征跨包的編碼攻擊檢測方法中,還包括:
當接收到所述報文時,讀取所述報文的編碼方式字段;
基于讀取到的所述編碼方式字段中記錄的信息判斷所述報文是否經過編碼。
在所述支持特征跨包的編碼攻擊檢測方法中,在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符,包括:
在針對接收到的報文進行解碼時,判斷所述報文所在的會話是否存在對應的結構體;
如果所述報文所在的會話不存在所述結構體,為所述報文所在的會話創(chuàng)建所述結構體;
將所述報文的編碼方式存儲在所述結構體中。
在所述支持特征跨包的編碼攻擊檢測方法中,還包括:
當針對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在所述支持特征跨包的編碼攻擊檢測方法中,還包括:
當所述結構體中不存在未解碼字符時,根據所述結構體中記錄的編碼方式,對所述報文的報文負載進行解碼處理;
基于預先配置的所述攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述報文的報文負載進行多模式匹配;
當針對解碼后的所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在所述支持特征跨包的編碼攻擊檢測方法中,還包括:
當解碼處理后仍存在無法解碼的字符時,將該字符作為所述未解碼字符存儲到所述結構體中。
所述多模式匹配算法為AC算法。
一種支持特征跨包的編碼攻擊檢測裝置,應用于IPS設備,包括:
判斷單元,用于在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符;所述結構體用于存儲對應于所述會話的未解碼字符、編碼方式以及多模式匹配進度;
合并單元,用于當所述結構體存在未解碼字符時,合并所述未解碼字符和所述報文的報文負載;
解碼單元,用于根據所述結構體中的編碼方式,對合并后的所述未解碼字符和所述報文的報文負載進行解碼處理;
查找單元,用于基于預先配置的攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配,以確定所述報文是否為攻擊報文。
在所述支持特征跨包的編碼攻擊檢測裝置中,還包括:
讀取單元,用于當接收到所述報文時,讀取所述報文的編碼方式字段;
所述判斷單元,進一步用于基于讀取到的所述編碼方式字段中記錄的信息判斷所述報文是否經過編碼。
在所述支持特征跨包的編碼攻擊檢測裝置中,所述判斷單元,進一步用于:
在針對接收到的報文進行解碼時,判斷所述報文所在的會話是否存在對應的結構體;
如果所述報文所在的會話不存在所述結構體,為所述報文所在的會話創(chuàng)建所述結構體;
將所述報文的編碼方式存儲在所述結構體中。
在所述支持特征跨包的編碼攻擊檢測裝置中,還包括:
存儲單元,用于當針對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在所述支持特征跨包的編碼攻擊檢測裝置中,還包括:
所述解碼單元,進一步用于當所述結構體中不存在未解碼字符時,根據所述結構體中記錄的編碼方式,對所述報文的報文負載進行解碼處理;
所述查找單元,進一步用于基于預先配置的所述攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述報文的報文負載進行多模式匹配;
所述存儲單元,進一步用于當針對解碼后的所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在所述支持特征跨包的編碼攻擊檢測裝置中,還包括:
所述存儲單元,進一步用于當解碼處理后仍存在無法解碼的字符時,將該字符作為所述未解碼字符存儲到所述結構體中。
所述多模式匹配算法為AC算法。
在本申請實施例中,IPS設備在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符,如果上述結構體中存在未解碼字符,合并所述未解碼字符和所述報文的報文負載,將未解碼字符與接收到報文的報文負載進行解碼處理;然后基于預先配置的攻擊特征,在多模式匹配進度的基礎上,對解碼后的字符進行多模式匹配,以確定所述報文是否為攻擊報文。
由于本申請?zhí)峁┝擞糜诖鎯ξ唇獯a字符和多模式匹配進度的結構體,一方面,IPS設備在對接收到的報文進行多模式匹配的過程中,不會丟棄暫時無法解碼的字符;另一方面,在攻擊特征跨包的情況下,可以在已保存的多模式匹配進度的基礎上繼續(xù)進行多模式匹配,從而提升了在攻擊特征跨包的情況下,從報文中查找到完整的攻擊特征的概率,解決了網絡中傳輸的報文經過編碼,且攻擊特征因報文分段而跨包時,IPS設備無法檢測到報文的攻擊特征的問題。
附圖說明
圖1是本申請示出的一種相關技術中編碼攻擊檢測方法的流程圖;
圖2是本申請示出的一種支持特征跨包的編碼攻擊檢測方法的流程圖;
圖3是本申請示出的一種特征二叉樹的示意圖;
圖4是本申請示出的一種支持特征跨包的編碼攻擊檢測裝置的邏輯框圖;
圖5是本申請示出的一種支持特征跨包的編碼攻擊檢測裝置的硬件結構圖。
具體實施方式
為了使本技術領域的人員更好地理解本發(fā)明實施例中的技術方案,并使本發(fā)明實施例的上述目的、特征和優(yōu)點能夠更加明顯易懂,下面結合附圖對現有技術方案和本發(fā)明實施例中的技術方案作進一步詳細的說明。
參見圖1,圖1為本申請示出的一種相關技術中編碼攻擊檢測方法的流程圖,該技術方案應用于IPS設備上。
在相關技術中,IPS設備通常可以在內存中預先配置兩個緩沖區(qū)(例如:緩沖區(qū)A和緩沖區(qū)B),其中一個緩沖區(qū)用于存放報文負載,另一個緩沖區(qū)用于存放報文負載解碼后的字符序列。
IPS設備在接收到報文后,通??梢宰x取該報文的編碼方式字段,根據讀取到的上述編碼方式字段中記錄的信息,判斷該報文是否經過編碼。如果該編碼方式字段為空,則表明該報文未經過編碼,此時,報文中不包括經過編碼的攻擊特征,IPS設備可以正常處理該報文。如果該編碼方式字段不為空,則表明該報文經過編碼。
IPS設備在確認報文經過編碼后,可以復制該報文的報文負載到預先配置的緩沖區(qū)A,根據讀取到的報文的編碼方式字段中記錄的信息,對報文負載進行解碼,并將解碼后的字符序列輸出到緩沖區(qū)B。
當解碼完成,解碼后的字符序列被輸出到緩沖區(qū)B后,可以根據預先下發(fā)的攻擊特征,基于預設的多模式匹配算法對緩沖區(qū)B的字符序列進行多模式匹配,即對攻擊特征與解碼后的字符序列進行匹配,如果匹配成功,則確定報文為攻擊報文,對該報文進行攔截;反之,則正常處理該報文。
然而,對于報文經過編碼的情況,編碼后的報文的長度可能增加;例如,以采用UTF-8(8-bit Unicode Transformation Format,萬國碼)對報文進行編碼為例,UTF-8編碼是一種針對Unicode的可變長度字符編碼,通常情況下,UTF-8使用1到6個字節(jié)對Unicode進行編碼,其中,如果使用6字節(jié)編碼,報文經過編碼后,長度會增加6倍。
在這種情況下,編碼后的報文在網絡傳輸出現分段的可能性大大增加,從而導致被報文承載的攻擊特征出現分段,由多個報文承載。
然而,在圖1示出的流程中,通常并不支持攻擊特征跨包的編碼攻擊檢測。當攻擊特征跨包后,單個報文在解碼后可能存在未解碼字符,由于通常情況下IPS設備對分段報文的處理過程保持最大的容錯性,即在處理到未解碼字符時,會直接跳過。在這種情況下,如果攻擊特征的一部分恰好在未解碼字符中,則在跳過這部分特征后,即使IPS設備能夠檢測到該攻擊特征的其它部分,也無法根據預先配置的攻擊特征匹配到一個完整的攻擊特征,因此會導致特征匹配失敗,無法檢測到攻擊報文。
為解決上述問題,本申請實施例的技術方案,針對特征跨包的情況,保存未解碼字符和多模式匹配進度;IPS設備在接收到新的報文后,合并新接收報文的報文負載和已保存的未解碼字符,然后對合并后的字符序列進行解碼處理;在解碼完成后,基于預先配置的攻擊特征,在已保存的多模式匹配進度的基礎上,對解碼后的字符序列進行多模式匹配。并且,本申請實施例在每次多模式匹配完未查找到完整攻擊特征時更新多模式匹配進度。通過上述措施,提升了從報文中查找到完整的攻擊特征的概率,解決了網絡中傳輸的報文經過編碼,而攻擊特征因報文分段而跨包時,IPS設備無法檢測攻擊報文的問題。
參見圖2,本申請示出的一種支持特征跨包的編碼攻擊檢測方法的流程圖,該實施例的執(zhí)行主體是IPS設備;所述方法包括以下步驟:
步驟201:在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符;所述結構體用于存儲對應于所述會話的未解碼字符、編碼方式以及多模式匹配進度。
步驟202:當所述結構體存在未解碼字符時,合并所述未解碼字符和所述報文的報文負載。
步驟203:根據所述結構體中的編碼方式,對合并后的所述未解碼字符和所述報文的報文負載進行解碼處理。
步驟204:基于預先配置的攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配,以確定所述報文是否為攻擊報文。
上述多模式匹配算法,用于在一段文本中查找多個模式字符序列,應用于關鍵字過濾、入侵檢測、病毒檢測、分詞等等問題中。在本實施例,用于檢測攻擊報文。其中,多模式匹配算法可以包括Trie樹,AC(Aho-Corasick)算法,WM(Wu-Manber)算法,等等。
以下以AC算法為例,對本申請實施例的技術方案進行說明,當然,在實際應用中,上述多模式匹配算法也可以是其它類型的多模式匹配算法,在此不一一說明。
其中,基于AC算法的多模式匹配也可以稱之為AC查找,相似的,多模式匹配進度也可以稱之為AC查找進度。
在本實施例中,AC查找通常是基于預先下發(fā)的攻擊特征來完成的,攻擊特征出自特征庫,特征庫的大量攻擊特征編譯出來就是一個特征二叉樹。
如圖3所示,為本申請示出的一種特征二叉樹的示意圖。ABC、ABD、AEG、AEF分別為攻擊特征,基于攻擊特征對解碼后的字符序列進行匹配。如果攻擊特征能在一個報文里匹配到,則確定該報文為攻擊報文;如果攻擊特征跨包,即一個攻擊特征被分拆后由多個報文承載,此時如果未查找到完整的攻擊特征,則需記錄AC查找進度。例如:在第一個報文中AC查找獲得AB,此時AB為AC查找進度,記錄該AC查找進度,在下一個報文中基于該AC查找進度繼續(xù)查找,獲得ABC,則確定存在攻擊報文。
在現有技術中,IPS設備對經過編碼的報文進行AC查找,通常只能檢測攻擊特征被一個報文完整承載的攻擊報文,如果出現攻擊特征跨包,則無法檢測出攻擊特征。
為解決上述問題,在本例中,可以通過保存AC查找過程中的未解碼字符和AC查找進度,在出現攻擊特征跨包的情況下,使屬于同一會話的報文建立聯(lián)系,將被多個報文承載的攻擊特征逐步收集、檢測出來,從而解決了攻擊特征跨包,無法檢測攻擊報文的問題。
在本例中,當IPS設備接收到報文后,可以讀取該報文的編碼方式字段(例如:char-set字段),判斷該報文是否經過編碼。
其中,報文的編碼方式有許多種,常見的是UTF-8編碼,UTF-8編碼是一種針對Unicode的可變長度字符編碼,又稱萬國碼。
一方面,當該報文的編碼方式字段為空時,則說明該報文未經過編碼,在這種情況下,該報文不攜帶經過編碼的攻擊特征,可以對該報文進行正常處理。
另一方面,當該報文經過編碼時,該報文可能攜帶經過編碼的攻擊特征。由于報文經過編碼后,報文長度會增大,在網絡傳輸中,報文被分段的可能性大大增加;如果報文攜帶攻擊特征,此時,攻擊特征會跨包,即由多個報文承載,因此,為了檢測出被多個報文承載的攻擊特征,可以為屬于同一會話的報文建立聯(lián)系。
在示出的一種實施方式中,IPS設備可以針對不同的會話分別建立一個對應的結構體,該結構體用于存儲對應于上述會話的相關信息;例如,該結構體可以存儲對應于上述會話的未解碼字符、編碼方式以及AC查找進度。
在本實施例中,當IPS設備確定接收到的報文經過編碼時,首先判斷該報文所在的會話是否存在對應的結構體。
一方面,如果不存在該報文所在的會話對應的結構體,說明是第一次接收到該報文所在的會話的報文,在這種情況下,可以為該報文所在的會話創(chuàng)建一個結構體,并將讀取到的該報文的編碼方式存儲在該結構體中,以便于后續(xù)根據該編碼方式對該會話的報文進行解碼。
另一方面,如果存在該報文所在的會話對應的結構體,說明此前已接收到與該報文同屬一個會話的報文。因此,上述結構體中可能存在此前對報文解碼而留下的未解碼字符,該未解碼字符可能包括攻擊特征的一部分,需要對該未解碼字符進行解碼。
可以在IPS設備的內存中預先配置兩個緩沖區(qū)(緩沖區(qū)A和緩沖區(qū)B),一個緩沖區(qū)用于存放未解碼字符和未解碼的報文負載,另一個緩沖區(qū)用于存放解碼后的字符序列。
在本實施例中,在IPS設備針對接收到的上述報文進行解碼時,判斷與上述報文所在會話對應的結構體中是否存在未解碼字符。
一方面,如果上述結構體中存在未解碼字符,該未解碼字符可能包括攻擊特征的一部分,并可能與上述報文包括的特征有關聯(lián)(如果上述報文也包括攻擊特征)。此時,可以合并該未解碼字符和上述報文的報文負載,并將合并后的字符序列復制到緩沖區(qū)A。
在合并后的字符序列被復制到緩沖區(qū)A后,獲取上述結構體中的編碼方式,根據該編碼方式對合并后的字符序列進行解碼處理。將解碼處理完成后的字符序列保存到緩沖區(qū)B;
此時,如果存在無法解碼的字符,將該字符作為未解碼字符存儲到上述結構體中。上述字符可能與后續(xù)接收的報文包括的特征存在關聯(lián),因此保存上述字符,可以避免攻擊特征的遺漏。
當解碼完成后,獲取上述結構體中的AC查找進度,在該AC查找進度的基礎上,基于預先配置的攻擊特征,對緩沖區(qū)B的字符序列進行AC查找,查找完成后,根據查找結果更新AC查找進度,確定是否存在攻擊報文。
其中,如果更新后的AC查找進度中存在完整的攻擊特征,則說明存在攻擊報文,此時,可以針對攻擊報文進行攔截。
另外,如果更新后的AC查找進度中存在的攻擊特征不完整,則將更新后的AC查找進度存儲到上述結構體中。由于攻擊特征在編碼后可能被多個報文承載,保存AC查找進度,可以在每次接收到攜帶部分攻擊特征的報文時,更新AC查找進度,最終查找到完整的攻擊特征。
除此以外,如果更新后的AC查找進度與更新之前的AC查找進度相同,則說明解碼后的字符序列中不存在攻擊特征的內容,上述報文不是攻擊報文,在這種情況下,可以正常處理上述報文。
另一方面,如果上述結構體中不存在未解碼字符,可以將上述報文的報文負載復制到緩沖區(qū)A,然后,獲取上述結構體中的編碼方式,根據該編碼方式對上述報文的報文負載進行解碼處理。將解碼處理完成后的字符序列保存到緩沖區(qū)B,此時,如果存在無法解碼的字符,將該字符作為未解碼字符存儲到上述結構體中。上述字符可能與后續(xù)接收的報文包括的特征存在關聯(lián),因此保存上述字符,可以避免攻擊特征的遺漏。
當解碼完成后,獲取上述結構體中的AC查找進度,在該AC查找進度的基礎上,基于預先配置的攻擊特征,對緩沖區(qū)B的字符序列進行AC查找,查找完成后,根據查找結果更新AC查找進度,確定是否存在攻擊報文。
其中,如果更新后的AC查找進度中存在完整的攻擊特征,則說明存在攻擊報文,此時,可以針對攻擊報文進行攔截。
另外,如果更新后的AC查找進度中存在的攻擊特征不完整,則將更新后的AC查找進度存儲到上述結構體中。由于攻擊特征在編碼后可能被多個報文承載,保存AC查找進度,可以在每次接收到攜帶部分攻擊特征的報文時,更新AC查找進度,最終查找到完整的攻擊特征。
除此以外,如果更新后的AC查找進度與更新之前的AC查找進度相同,則說明解碼后的字符序列中不存在攻擊特征的內容,上述報文不是攻擊報文,在這種情況下,可以正常處理上述報文。
綜上所述,本實施例通過保存解碼后的未解碼字符,以及多模式匹配進度,在接收到新的報文后,合并報文負載和未解碼字符,再對合并后的字符序列進行解碼和基于多模式匹配進度的多模式匹配;使得由多個報文承載的攻擊特征能夠被解碼,并被檢測出來,從而提升了從報文中查找到完整的攻擊特征的概率,解決了網絡中傳輸的報文經過編碼,且攻擊特征因報文分段而跨包時,IPS設備無法檢測到報文的攻擊特征的問題。
與本發(fā)明支持特征跨包的編碼攻擊檢測方法的實施例相對應,本發(fā)明還提供了用于執(zhí)行上述方法實施例的裝置的實施例。
參見圖4,為本發(fā)明支持特征跨包的編碼攻擊檢測裝置的一個實施例框圖:
如圖4所示,該支持特征跨包的編碼攻擊檢測裝置40包括:
判斷單元410,用于在針對接收到的報文進行解碼時,判斷與所述報文所在會話對應的結構體中是否存在未解碼字符;所述結構體用于存儲對應于所述會話的未解碼字符、編碼方式以及多模式匹配進度。
合并單元420,用于當所述結構體存在未解碼字符時,合并所述未解碼字符和所述報文的報文負載。
解碼單元430,用于根據所述結構體中的編碼方式,對合并后的所述未解碼字符和所述報文的報文負載進行解碼處理。
查找單元440,用于基于預先配置的攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配,以確定所述報文是否為攻擊報文。
在本例中,所述裝置還包括:
讀取單元450,用于當接收到所述報文時,讀取所述報文的編碼方式字段。
所述判斷單元410,進一步用于基于讀取到的所述編碼方式字段中記錄的信息判斷所述報文是否經過編碼。
在本例中,所述判斷單元410,進一步用于:
在針對接收到的報文進行解碼時,判斷所述報文所在的會話是否存在對應的結構體。
如果所述報文所在的會話不存在所述結構體,為所述報文所在的會話創(chuàng)建所述結構體。
將所述報文的編碼方式存儲在所述結構體中。
在本例中,所述裝置還包括:
存儲單元460,用于當針對解碼后的所述未解碼字符和所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在本例中,所述裝置還包括:
所述解碼單元430,進一步用于當所述結構體中不存在未解碼字符時,根據所述結構體中記錄的編碼方式,對所述報文的報文負載進行解碼處理。
所述查找單元440,進一步用于基于預先配置的所述攻擊特征,在所述多模式匹配進度的基礎上,基于預設的多模式匹配算法對解碼后的所述報文的報文負載進行多模式匹配。
所述存儲單元460,進一步用于當針對解碼后的所述報文的報文負載進行多模式匹配后,未查找到完整的攻擊特征時,在所述結構體中記錄當前的多模式匹配進度,對所述結構體中記錄的多模式匹配進度進行更新。
在本例中,所述裝置還包括:
所述存儲單元460,進一步用于當解碼處理后仍存在無法解碼的字符時,將該字符作為所述未解碼字符存儲到所述結構體中。
在本例中,所述多模式匹配算法為AC算法。
本申請支持特征跨包的編碼攻擊檢測裝置的實施例可以應用在IPS設備上。裝置實施例可以通過軟件實現,也可以通過硬件或者軟硬件結合的方式實現。以軟件實現為例,作為一個邏輯意義上的裝置,是通過其所在IPS設備的處理器將非易失性存儲器中對應的計算機程序指令讀取到內存中運行形成的。從硬件層面而言,如圖5所示,為本申請支持特征跨包的編碼攻擊檢測裝置所在IPS設備的一種硬件結構圖,除了圖5所示的處理器、內存、網絡接口、以及非易失性存儲器之外,實施例中裝置所在的IPS設備通常根據該支持特征跨包的編碼攻擊檢測裝置的實際功能,還可以包括其他硬件,對此不再贅述。
上述裝置中各個單元的功能和作用的實現過程具體詳見上述方法中對應步驟的實現過程,在此不再贅述。
對于裝置實施例而言,由于其基本對應于方法實施例,所以相關之處參見方法實施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的,其中所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網絡單元上??梢愿鶕嶋H的需要選擇其中的部分或者全部模塊來實現本申請方案的目的。本領域普通技術人員在不付出創(chuàng)造性勞動的情況下,即可以理解并實施。
以上所述僅為本申請的較佳實施例而已,并不用以限制本申請,凡在本申請的精神和原則之內,所做的任何修改、等同替換、改進等,均應包含在本申請保護的范圍之內。