本發(fā)明涉及計算機技術領域,尤其涉及一種入侵檢測提示方法及裝置。
背景技術:
隨著互聯(lián)網(wǎng)技術的發(fā)展,互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)已成為互聯(lián)網(wǎng)產(chǎn)業(yè)中不可或缺的一部分。IDC不僅要向用戶提供所需數(shù)據(jù)的服務,還需要對網(wǎng)絡數(shù)據(jù)進行監(jiān)控以保證服務器的正常運行,例如,部署入侵檢測系統(tǒng)(Intrusion Detection Systems,IDS),具體是在IDC的網(wǎng)絡數(shù)據(jù)的入口處部署物理設備分光器(或交換機鏡像),能夠將用戶終端發(fā)送的訪問請求發(fā)送至相應的服務器的同時,將相同的訪問請求發(fā)送至入侵檢測設備,以使入侵檢測設備對訪問請求進行一一檢測。
然而,在IDC中的服務器數(shù)量較多且訪問請求的數(shù)量較大時,入侵檢測設備需要檢測每個服務器的每個訪問請求,使得檢測工作量較大、處理周期長,無法及時向服務器反饋檢測結果。一旦存在攻擊性的訪問請求,極有可能無法正常響應合法訪問請求,從而造成服務器癱瘓,因此降低了入侵檢測效率。
技術實現(xiàn)要素:
本發(fā)明實施例所要解決的技術問題在于,提供一種入侵檢測方法及裝置,能夠實現(xiàn)對業(yè)務Docker容器中業(yè)務請求的及時檢測和反饋,提高了入侵檢測的效率。
第一方面,本發(fā)明實施例提供了一種入侵檢測方法,所述方法包括:
接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識;
對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征;
若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
第二方面,本發(fā)明實施例還提供了一種入侵檢測裝置,所述裝置包括:
請求接收模塊,用于接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識;
特征確定模塊,用于對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征;
命令發(fā)送模塊,用于若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
在本發(fā)明實施例中,通過接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求;接著對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則向第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,停止傳輸命令用于指示第一虛擬網(wǎng)卡停止傳輸業(yè)務Docker容器反饋的業(yè)務請求對應的響應數(shù)據(jù)。通過接收第一虛擬網(wǎng)卡發(fā)送的業(yè)務請求,實現(xiàn)了對該業(yè)務請求的實時檢測和檢測結果的反饋,進而提高了入侵檢測的效率。
附圖說明
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是本發(fā)明實施例提供的一種可能的物理主機的結構示意圖;
圖2是本發(fā)明實施例提供的一種入侵檢測方法的流程示意圖;
圖3是本發(fā)明實施例提供的另一種入侵檢測方法的流程示意圖;
圖4是本發(fā)明實施例提供的一種可能的入侵檢測系統(tǒng)的系統(tǒng)架構圖;
圖5是本發(fā)明實施例提供的另一種入侵檢測方法的流程示意圖;
圖6是本發(fā)明實施例提供的一種入侵檢測裝置的結構示意圖;
圖7是本發(fā)明實施例提供的另一種入侵檢測裝置的結構示意圖;
圖8是本發(fā)明實施例提供的另一種入侵檢測裝置的結構示意圖。
具體實施方式
下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明的說明書和權利要求書及上述附圖中的術語“包括”和“具有”以及它們?nèi)魏巫冃?,意圖在于覆蓋不排他的包含。例如包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設備沒有限定于已列出的步驟或單元,而是可選地還包括沒有列出的步驟或單元,或可選地還包括對于這些過程、方法、產(chǎn)品或設備固有的其他步驟或單元。
請參見圖1,為本發(fā)明實施例提供了一種可能的物理主機的結構示意圖。圖1所示的物理主機在安裝Docker的基礎上部署了多個Docker容器,其中包括多個業(yè)務Docker容器和IDS Docker容器,其中,可以設定Docker容器使用某個固定的硬件資源,如,中央處理器(Central Processing Unit,CPU)資源、內(nèi)存資源等等,所述物理主機為提供應用或業(yè)務的服務器。進一步的,通過單根輸入輸出虛擬化(Single Root I/O Virtualization,SR-IOV)技術將物理主機的網(wǎng)絡接口卡(Network Interface Card,NIC)虛擬化為多個虛擬網(wǎng)卡,每個Docker容器對應一個虛擬網(wǎng)卡,例如,虛擬網(wǎng)卡1對應業(yè)務Docker容器1、虛擬網(wǎng)卡2對應業(yè)務Docker容器2、虛擬網(wǎng)卡10對應IDS Docker容器10等等。
以虛擬網(wǎng)卡1對應業(yè)務Docker容器1為例,當虛擬網(wǎng)卡1接收到訪問業(yè)務Docker容器1的業(yè)務請求時,虛擬網(wǎng)卡1將業(yè)務請求發(fā)送至業(yè)務Docker容器1,以及將業(yè)務請求發(fā)送至IDS Docker容器,業(yè)務請求攜帶發(fā)送業(yè)務請求的用戶終端的終端標識;相應的,IDS Docker容器10接收虛擬網(wǎng)卡1發(fā)送的訪問業(yè)務Docker容器1的業(yè)務請求,并對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則IDS Docker容器10向虛擬網(wǎng)卡1發(fā)送停止傳輸命令,停止傳輸命令用于指示虛擬網(wǎng)卡1停止傳輸業(yè)務Docker容器1反饋的業(yè)務請求對應的響應數(shù)據(jù)。通過在單獨的一臺物理主機中部署IDS Docker容器,能夠及時對該物理主機中的業(yè)務Docker容器的業(yè)務請求進行檢測,提高了入侵檢測的效率,另外通過設定IDS Docker容器使用固定的硬件資源,能夠在實現(xiàn)入侵檢測功能的同時不影響業(yè)務Docker容器的正常運行。
在圖1所示的網(wǎng)絡構架中,所涉及的用戶終端可以是具備顯示、通信功能的設備,例如:平板電腦、手機、電子閱讀器、個人計算機(Personal Computer,PC)、筆記本電腦、車載設備、網(wǎng)絡電視、可穿戴設備等設備。
基于圖1所示的物理主機的結構示意圖,下面將結合附圖2至附圖5,對本發(fā)明實施例提供的入侵檢測方法進行詳細介紹。
請參見圖2,為本發(fā)明實施例提供了一種入侵檢測方法的流程示意圖。如圖2所示,本發(fā)明實施例的所述方法可以包括以下步驟S101-步驟S103。
S101,接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求。
具體的,在第一虛擬網(wǎng)卡接收到訪問業(yè)務Docker容器的業(yè)務請求的情況下,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,以及將該業(yè)務請求發(fā)送至IDS Docker容器,其中,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。相應的,業(yè)務Docker容器接收所述業(yè)務請求,并對該業(yè)務請求進行處理以生成針對所述業(yè)務請求的響應數(shù)據(jù);入侵檢測裝置接收所述業(yè)務請求以檢測所述業(yè)務請求是否會對入侵檢測裝置所在的物理主機造成攻擊,例如,分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊等。
可選的,所述用戶終端的終端標識可以包括但不限定于所述用戶終端的網(wǎng)絡互聯(lián)協(xié)議(Internet Protocol,IP)地址、登陸用戶名等。
S102,對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征。
具體的,所述入侵檢測裝置對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征,舉例來說,該數(shù)據(jù)特征可以是攜帶于業(yè)務請求的頭部字段中,例如,所述業(yè)務請求可以為超文本傳輸協(xié)議(Hyper Text Transfer Protocol,Http)請求,業(yè)務請求的數(shù)據(jù)特征可以為該業(yè)務請求所使用的統(tǒng)一資源定位符(Uniform Resource Locator,URL)等。
S103,若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令。
具體的,若所述入侵檢測裝置檢測到所述數(shù)據(jù)特征滿足預設入侵條件,則所述入侵檢測裝置向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令。其中,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
由于所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,是為了讓業(yè)務Docker容器反饋響應數(shù)據(jù),在業(yè)務Docker容器已經(jīng)將響應數(shù)據(jù)反饋至第一虛擬網(wǎng)卡的情況下,若所述第一虛擬網(wǎng)卡還未開始向所述用戶終端發(fā)送所述響應數(shù)據(jù)或若所述第一虛擬網(wǎng)卡還未完成所述響應數(shù)據(jù)的傳輸,則一旦接收到所述入侵檢測裝置發(fā)送的停止傳輸命令,則所述第一虛擬網(wǎng)卡中斷所述響應數(shù)據(jù)的傳輸。
可選的,所述停止傳輸命令還用于指示所述第一虛擬網(wǎng)卡停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。例如,若所述第一虛擬網(wǎng)卡接收到所述用戶終端訪問業(yè)務Docker容器的其他業(yè)務請求時,所述第一虛擬網(wǎng)卡不執(zhí)行將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器;或者,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器,但不向所述用戶終端反饋所述業(yè)務Docker容器發(fā)送的針對其他業(yè)務請求反饋的響應數(shù)據(jù)。其中,所述入侵檢測裝置可以根據(jù)所述終端標識來標記所述用戶終端。
可選的,所述數(shù)據(jù)特征滿足預設入侵條件可以是指所述數(shù)據(jù)特征與預設的攻擊特征集合中的攻擊特征相匹配一致。
在本發(fā)明實施例中,通過接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求;接著對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則向第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,停止傳輸命令用于指示第一虛擬網(wǎng)卡停止傳輸業(yè)務Docker容器反饋的業(yè)務請求對應的響應數(shù)據(jù)。通過接收第一虛擬網(wǎng)卡發(fā)送的業(yè)務請求,實現(xiàn)了對該業(yè)務請求的實時檢測和檢測結果的反饋,進而提高了入侵檢測的效率。
請參見圖3,為本發(fā)明實施例提供了另一種入侵檢測方法的流程示意圖。如圖3所示,本發(fā)明實施例的所述方法可以包括以下步驟S201-步驟S207。
S201,接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求。
具體的,在第一虛擬網(wǎng)卡接收到訪問業(yè)務Docker容器的業(yè)務請求的情況下,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,以及將該業(yè)務請求發(fā)送至IDS Docker容器,其中,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。相應的,業(yè)務Docker容器接收所述業(yè)務請求,并對該業(yè)務請求進行處理以生成針對所述業(yè)務請求的響應數(shù)據(jù);入侵檢測裝置接收所述業(yè)務請求以檢測所述業(yè)務請求是否會對入侵檢測裝置所在的物理主機造成攻擊,例如,DDoS攻擊等。
可選的,所述用戶終端的終端標識可以包括但不限定于所述用戶終端的IP地址、登陸用戶名等。
S202,對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征。
具體的,所述入侵檢測裝置對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征,舉例來說,該數(shù)據(jù)特征可以是攜帶于業(yè)務請求的頭部字段中,例如,所述業(yè)務請求可以為Http請求,業(yè)務請求的數(shù)據(jù)特征可以為該業(yè)務請求所使用的URL等。
S203,檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征。
具體的,所述入侵檢測裝置檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征;若存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則執(zhí)行步驟S204;若不存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則執(zhí)行步驟S205。
可選的,所述預存的攻擊特征集合包含了多個用于檢測訪問請求的攻擊特征。可選的,所述入侵檢測裝置可以在攻擊特征集合中修改攻擊特征、刪除攻擊特征、增加攻擊特征等,以使攻擊特征集合中所存儲的攻擊特征更為完善,提高入侵檢測的有效性。
舉例來說,對于數(shù)據(jù)特征為所述業(yè)務請求的URL而言,若訪問業(yè)務Docker容器的業(yè)務請求中的URL為http://www.qq.com/***,由于正常訪問業(yè)務Docker容器的URL為http://www.qq.com/,因此所述入侵檢測裝置可以對“***”進行進一步檢測,通過判斷在預存的攻擊特征集合中存在“***”時,則確定所述數(shù)據(jù)特征滿足預設入侵條件。
S204,若是,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令。
具體的,若存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則所述入侵檢測裝置確定所述數(shù)據(jù)特征滿足預設入侵條件。若所述數(shù)據(jù)特征滿足預設入侵條件,則所述入侵檢測裝置向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
由于所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,是為了讓業(yè)務Docker容器反饋響應數(shù)據(jù),在業(yè)務Docker容器已經(jīng)將響應數(shù)據(jù)反饋至第一虛擬網(wǎng)卡的情況下,若所述第一虛擬網(wǎng)卡還未開始向所述用戶終端發(fā)送所述響應數(shù)據(jù)或若所述第一虛擬網(wǎng)卡還未完成所述響應數(shù)據(jù)的傳輸,則一旦接收到所述入侵檢測裝置發(fā)送的停止傳輸命令,則所述第一虛擬網(wǎng)卡中斷所述響應數(shù)據(jù)的傳輸。
可選的,所述停止傳輸命令還用于指示所述第一虛擬網(wǎng)卡停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。例如,若所述第一虛擬網(wǎng)卡接收到所述用戶終端訪問業(yè)務Docker容器的其他業(yè)務請求時,所述第一虛擬網(wǎng)卡不執(zhí)行將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器;或者,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器,但不向所述用戶終端反饋所述業(yè)務Docker容器發(fā)送的針對其他業(yè)務請求反饋的響應數(shù)據(jù)。其中,所述入侵檢測裝置可以根據(jù)所述終端標識來標記所述用戶終端。
S205,通過預先分配的第二虛擬網(wǎng)卡將所述業(yè)務請求上報至安全服務器。
具體的,所述入侵檢測裝置通過預先分配的第二虛擬網(wǎng)卡將所述業(yè)務請求上報至安全服務器,以使所述安全服務器對所述業(yè)務請求進行進一步檢測。可選的,所述安全服務器可以與多個入侵檢測裝置相連接,因此所述安全服務器能夠對不同入侵檢測裝置發(fā)送的業(yè)務請求進行分析整理,進而獲得更為準確的對該業(yè)務請求進行判斷,提高了入侵檢測的準確性??梢岳斫獾氖?,所述第一虛擬網(wǎng)卡與所述第二虛擬網(wǎng)卡為物理主機的NIC虛擬化的兩種不同的虛擬網(wǎng)卡,所述第一虛擬網(wǎng)卡具體為對應于業(yè)務Docker容器的虛擬網(wǎng)卡,所述第二虛擬網(wǎng)卡具體為對應于IDS Docker容器的虛擬網(wǎng)卡。
需要說明的是,在本發(fā)明實施例中是在步驟S204之后,或者若所述預存的攻擊特征集合中不存在與所述數(shù)據(jù)特征匹配一致的攻擊特征之后,所述入侵檢測裝置將所述業(yè)務請求上報至安全服務器的。可選的,所述入侵檢測裝置可以在接收到所述第一虛擬網(wǎng)卡發(fā)送的所述業(yè)務請求之后,將所述業(yè)務請求上報至所述安全服務器;或者,所述入侵檢測裝置還可以將當前一段時間內(nèi)接收到的業(yè)務請求打包之后上報安全服務器;或者,所述入侵檢測裝置還可以將一定數(shù)量的業(yè)務請求打包之后上報安全服務器,本發(fā)明實施例上報安全服務器的時間、單獨上報方式或打包上報方式不做限定。
S206,通過所述第二虛擬網(wǎng)卡接收所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略。
具體的,在所述安全服務器對所述業(yè)務請求進行深入分析,并確定了與所述業(yè)務請求對應的安全策略之后,將所述安全策略通過所述第二虛擬網(wǎng)卡發(fā)送至所述入侵檢測裝置。相應的,所述入侵檢測裝置通過所述第二虛擬網(wǎng)卡接收所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略。其中,所述安全策略用于指示所述第一虛擬網(wǎng)卡是否允許所述用戶終端訪問所述業(yè)務Docker容器。
可選的,所述安全服務器可以通過歷史訪問中數(shù)據(jù)特征和入侵檢測結果的記錄,獲得所述業(yè)務請求對應的數(shù)據(jù)特征和安全策略的對應關系。
S207,根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。
具體的,所述入侵檢測裝置根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。例如,若所述安全策略為不允許所述用戶終端訪問所述業(yè)務Docker容器,則所述入侵檢測裝置通知所述第一虛擬網(wǎng)卡拒絕所述用戶終端發(fā)送的訪問連接。若所述安全策略為允許所述用戶終端訪問所述業(yè)務Docker容器,則所述入侵檢測裝置不向所述第一虛擬網(wǎng)卡發(fā)送通知消息,或者發(fā)送允許所述用戶終端繼續(xù)訪問所述業(yè)務Docker的通知消息。
需要說明的是,本發(fā)明實施例中的入侵檢測裝置可以是部署在一臺物理主機中的IDS Docker容器中,并預先為所述IDS Docker容器分配一定量的硬件資源,如CPU資源、內(nèi)存資源等。通過設定入侵檢測裝置使用固定的硬件資源,能夠在實現(xiàn)入侵檢測功能的同時不影響其他業(yè)務Docker容器的正常運行。
在本發(fā)明實施例中,通過接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求;接著對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則向第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,停止傳輸命令用于指示第一虛擬網(wǎng)卡停止傳輸業(yè)務Docker容器反饋的業(yè)務請求對應的響應數(shù)據(jù)。這樣入侵檢測裝置能夠及時對其他業(yè)務Docker容器的網(wǎng)絡數(shù)據(jù)進行檢測,提高了入侵檢測的效率,另外通過安全服務器的進一步檢測,能夠提高入侵檢測的準確性。
請參見圖4,為本發(fā)明實施例提供了一種可能的入侵檢測系統(tǒng)架構圖。如圖4所示,該入侵檢測系統(tǒng)包括安全服務器和多臺物理主機,如物理主機1、物理主機2、……、物理主機N。其中,每一臺物理主機可以參考圖1所示的物理主機的結構圖。基于圖4所示的入侵檢測系統(tǒng)架構圖,請一并參見圖5,為本發(fā)明實施例提供了另一種入侵檢測方法的流程示意圖。其中,本發(fā)明實施例的入侵檢測方式是由用戶終端、物理主機和安全服務器共同執(zhí)行的,其中物理主機以物理主機1為例進行說明。其中,物理主機1以虛擬網(wǎng)卡1、業(yè)務Docker容器1和IDS Docker容器10為例進行說明。具體執(zhí)行過程請參見以下介紹。
S301,用戶終端向物理主機1發(fā)送訪問業(yè)務Docker容器1的業(yè)務請求。其中,所述業(yè)務請求攜帶所述用戶終端的終端標識。
S302,所述物理主機1的虛擬網(wǎng)卡1將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器1。
S303,所述物理主機1的虛擬網(wǎng)卡1將所述業(yè)務請求發(fā)送至所述IDS Docker容器10。
其中,本發(fā)明實施例并不限定所述虛擬網(wǎng)卡1執(zhí)行步驟302和步驟303的時間先后順序。
S304,在所述業(yè)務Docker容器1接收到所述業(yè)務請求之后,對所述業(yè)務請求進行處理,并確定所述業(yè)務請求對應的響應數(shù)據(jù),將所述業(yè)務請求對應的響應數(shù)據(jù)發(fā)送至所述虛擬網(wǎng)卡1。
S305,所述虛擬網(wǎng)卡1接收所述業(yè)務Docker容器1發(fā)送的響應數(shù)據(jù),并向所述用戶終端發(fā)送從所述業(yè)務Docker容器1接收到的響應數(shù)據(jù)。
S306,所述IDS Docker容器10接收所述虛擬網(wǎng)卡1發(fā)送的所述業(yè)務請求,并所述IDS Docker容器10對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征。
S307,所述IDS Docker容器10檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征。
S308,若所述IDS Docker容器10檢測到攻擊特征集合中存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則所述IDS Docker容器10向所述虛擬網(wǎng)卡1發(fā)送停止傳輸命令。其中,所述停止傳輸命令用于指示所述虛擬網(wǎng)卡1停止傳輸所述業(yè)務Docker容器1反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。可選的,所述停止傳輸命令還用于指示所述虛擬網(wǎng)卡1停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。
需要說明的是,所述業(yè)務Docker容器1和所述IDS Docker容器10是分別執(zhí)行接收業(yè)務請求的,進而所述業(yè)務Docker容器1和所述IDS Docker容器10所執(zhí)行的步驟之間并無時間先后順序之分。
S309,所述IDS Docker容器10還可以將所述業(yè)務請求發(fā)送至安全服務器,以使所述安全服務器對所述業(yè)務請求進行進一步檢測,以提高入侵檢測的準確性。
S310,在安全服務器對所述業(yè)務請求檢測完畢之后,向所述IDS Docker容器10發(fā)送所述安全策略,其中,所述安全策略用于指示所述第一虛擬網(wǎng)卡是否允許所述用戶終端訪問所述業(yè)務Docker容器。
S311,所述IDS Docker容器10接收到所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略之后,根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。
需要說明的是,所述IDS Docker容器10和所述安全服務器之間的通信是通過與所述IDS容器10對應的虛擬網(wǎng)卡10實現(xiàn)的,例如,所述安全服務器將安全策略發(fā)送至虛擬網(wǎng)卡10,虛擬網(wǎng)卡10將安全策略發(fā)送至IDS Docker容器10。
需要說明的是,本發(fā)明實施例中的步驟S301至步驟S311的具體實現(xiàn)方式以及帶來的技術效果可以參見圖2或圖3所示實施例的具體描述,在此不再贅述。
基于圖1所示的物理主機的結構示意圖和圖4所示的入侵檢測系統(tǒng)的系統(tǒng)架構圖,下面將結合附圖6-附圖8,對本發(fā)明實施例提供的入侵檢測裝置進行詳細介紹。需要說明的是,附圖6-附圖8所示的入侵檢測裝置,用于執(zhí)行本發(fā)明圖2至圖5所示實施例的方法。附圖6-附圖8所示的入侵檢測裝置可以是圖1所示的物理主機中IDS Docker容器中的入侵檢測模塊。為了便于說明,僅示出了與本發(fā)明實施例相關的部分,具體技術細節(jié)未揭示的,請參照本發(fā)明圖2至圖5所示的實施例。
請參見圖6,為本發(fā)明實施例提供了一種入侵檢測裝置的結構示意圖。如圖6所示,本發(fā)明實施例的所述入侵檢測裝置1可以包括:請求接收模塊11、特征確定模塊12、命令發(fā)送模塊13。
請求接收模塊11,用于接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。
具體的,在第一虛擬網(wǎng)卡接收到訪問業(yè)務Docker容器的業(yè)務請求的情況下,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,以及將該業(yè)務請求發(fā)送至IDS Docker容器,其中,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。相應的,業(yè)務Docker容器接收所述業(yè)務請求,并對該業(yè)務請求進行處理以生成針對所述業(yè)務請求的響應數(shù)據(jù);所述請求接收模塊11接收所述業(yè)務請求以檢測所述業(yè)務請求是否會對入侵檢測裝置1所在的物理主機造成攻擊,例如,DDoS攻擊等。
可選的,所述用戶終端的終端標識可以包括但不限定于所述用戶終端的IP地址、登陸用戶名等。
特征確定模塊12,用于對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征。
具體的,所述特征確定模塊12對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征,舉例來說,該數(shù)據(jù)特征可以是攜帶于業(yè)務請求的頭部字段中,例如,所述業(yè)務請求可以為Http請求,業(yè)務請求的數(shù)據(jù)特征可以為該業(yè)務請求所使用的URL等。
命令發(fā)送模塊13,用于若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
具體的,若檢測到所述數(shù)據(jù)特征滿足預設入侵條件,則所述命令發(fā)送模塊13向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令。其中,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
由于所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,是為了讓業(yè)務Docker容器反饋響應數(shù)據(jù),在業(yè)務Docker容器已經(jīng)將響應數(shù)據(jù)反饋至第一虛擬網(wǎng)卡的情況下,若所述第一虛擬網(wǎng)卡還未開始向所述用戶終端發(fā)送所述響應數(shù)據(jù)或若所述第一虛擬網(wǎng)卡還未完成所述響應數(shù)據(jù)的傳輸,則一旦接收到所述命令發(fā)送模塊13發(fā)送的停止傳輸命令,則所述第一虛擬網(wǎng)卡中斷所述響應數(shù)據(jù)的傳輸。
可選的,所述停止傳輸命令還用于指示所述第一虛擬網(wǎng)卡停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。例如,若所述第一虛擬網(wǎng)卡接收到所述用戶終端訪問業(yè)務Docker容器的其他業(yè)務請求時,所述第一虛擬網(wǎng)卡不執(zhí)行將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器;或者,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器,但不向所述用戶終端反饋所述業(yè)務Docker容器發(fā)送的針對其他業(yè)務請求反饋的響應數(shù)據(jù)。其中,所述命令發(fā)送模塊13可以根據(jù)所述終端標識來標記所述用戶終端。
可選的,所述數(shù)據(jù)特征滿足預設入侵條件可以是指所述數(shù)據(jù)特征與預設的攻擊特征集合中的攻擊特征相匹配一致。
在本發(fā)明實施例中,通過接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求;接著對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則向第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,停止傳輸命令用于指示第一虛擬網(wǎng)卡停止傳輸業(yè)務Docker容器反饋的業(yè)務請求對應的響應數(shù)據(jù)。通過接收第一虛擬網(wǎng)卡發(fā)送的業(yè)務請求,實現(xiàn)了對該業(yè)務請求的實時檢測和檢測結果的反饋,進而提高了入侵檢測的效率。
請參見圖7,為本發(fā)明實施例提供了另一種入侵檢測裝置的結構示意圖。如圖7所示,本發(fā)明實施例的所述入侵檢測裝置1可以包括:請求接收模塊11、特征確定模塊12、命令發(fā)送模塊13、特征檢測模塊14、入侵確定模塊15、請求上報模塊16、策略接收模塊17和訪問處理模塊18。
請求接收模塊11,用于接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。
具體的,在第一虛擬網(wǎng)卡接收到訪問業(yè)務Docker容器的業(yè)務請求的情況下,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,以及將該業(yè)務請求發(fā)送至IDS Docker容器,其中,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識。相應的,業(yè)務Docker容器接收所述業(yè)務請求,并對該業(yè)務請求進行處理以生成針對所述業(yè)務請求的響應數(shù)據(jù);所述請求接收模塊11接收所述業(yè)務請求以檢測所述業(yè)務請求是否會對入侵檢測裝置1所在的物理主機造成攻擊,例如,DDoS攻擊等。
可選的,所述用戶終端的終端標識可以包括但不限定于所述用戶終端的IP地址、登陸用戶名等。
特征確定模塊12,用于對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征。
具體的,所述特征確定模塊12對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征,舉例來說,該數(shù)據(jù)特征可以是攜帶于業(yè)務請求的頭部字段中,例如,所述業(yè)務請求可以為Http請求,業(yè)務請求的數(shù)據(jù)特征可以為該業(yè)務請求所使用的URL等。
特征檢測模塊14,用于檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征。
具體的,所述特征檢測模塊14檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征;若存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則通知入侵確定模塊15執(zhí)行其步驟;若不存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則通知請求上報模塊16執(zhí)行其步驟。
可選的,所述預存的攻擊特征集合包含了多個用于檢測訪問請求的攻擊特征??蛇x的,所述入侵檢測裝置1可以在攻擊特征集合中修改攻擊特征、刪除攻擊特征、增加攻擊特征等,以使攻擊特征集合中所存儲的攻擊特征更為完善,提高入侵檢測的有效性。
入侵確定模塊15,用于若所述特征檢測模塊的檢測結果為是,則確定所述數(shù)據(jù)特征滿足預設入侵條件。
具體的,若存在與所述數(shù)據(jù)特征匹配一致的攻擊特征,則所述入侵確定模塊15確定所述數(shù)據(jù)特征滿足預設入侵條件。若所述數(shù)據(jù)特征滿足預設入侵條件。
舉例來說,對于數(shù)據(jù)特征為所述業(yè)務請求的URL而言,若訪問業(yè)務Docker容器的業(yè)務請求中的URL為http://www.qq.com/***,由于正常訪問業(yè)務Docker容器的URL為http://www.qq.com/,因此所述入侵檢測裝置1可以對“***”進行進一步檢測,通過判斷在預存的攻擊特征集合中存在“***”時,則確定所述數(shù)據(jù)特征滿足預設入侵條件。
命令發(fā)送模塊13,用于若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
具體的,則所述命令發(fā)送模塊13向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
由于所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至業(yè)務Docker容器,是為了讓業(yè)務Docker容器反饋響應數(shù)據(jù),在業(yè)務Docker容器已經(jīng)將響應數(shù)據(jù)反饋至第一虛擬網(wǎng)卡的情況下,若所述第一虛擬網(wǎng)卡還未開始向所述用戶終端發(fā)送所述響應數(shù)據(jù)或若所述第一虛擬網(wǎng)卡還未完成所述響應數(shù)據(jù)的傳輸,則一旦接收到所述命令發(fā)送模塊13發(fā)送的停止傳輸命令,則所述第一虛擬網(wǎng)卡中斷所述響應數(shù)據(jù)的傳輸。
可選的,所述停止傳輸命令還用于指示所述第一虛擬網(wǎng)卡停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。例如,若所述第一虛擬網(wǎng)卡接收到所述用戶終端訪問業(yè)務Docker容器的其他業(yè)務請求時,所述第一虛擬網(wǎng)卡不執(zhí)行將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器;或者,所述第一虛擬網(wǎng)卡將所述業(yè)務請求發(fā)送至所述業(yè)務Docker容器,但不向所述用戶終端反饋所述業(yè)務Docker容器發(fā)送的針對其他業(yè)務請求反饋的響應數(shù)據(jù)。其中,所述命令發(fā)送模塊13可以根據(jù)所述終端標識來標記所述用戶終端。
請求上報模塊16,用于通過預先分配的第二虛擬網(wǎng)卡將所述業(yè)務請求上報至安全服務器。
具體的,所述請求上報模塊16通過預先分配的第二虛擬網(wǎng)卡將所述業(yè)務請求上報至安全服務器,以使所述安全服務器對所述業(yè)務請求進行進一步檢測。可選的,所述安全服務器可以與多個入侵檢測裝置相連接,因此所述安全服務器能夠對不同入侵檢測裝置發(fā)送的業(yè)務請求進行分析整理,進而獲得更為準確的對該業(yè)務請求進行判斷,提高了入侵檢測的準確性。
需要說明的是,在本發(fā)明實施例中是在執(zhí)行命令發(fā)送模塊13之后,或者若所述預存的攻擊特征集合中不存在與所述數(shù)據(jù)特征匹配一致的攻擊特征之后,所述請求上報模塊16將所述業(yè)務請求上報至安全服務器的??蛇x的,所述請求上報模塊16可以在接收到所述第一虛擬網(wǎng)卡發(fā)送的所述業(yè)務請求之后,將所述業(yè)務請求上報至所述安全服務器;或者,所述請求上報模塊16還可以將當前一段時間內(nèi)接收到的業(yè)務請求打包之后上報安全服務器;或者,所述請求上報模塊16還可以將一定數(shù)量的業(yè)務請求打包之后上報安全服務器,本發(fā)明實施例上報安全服務器的時間、單獨上報方式或打包上報方式不做限定。
策略接收模塊17,用于通過所述第二虛擬網(wǎng)卡接收所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略,所述安全策略用于指示所述第一虛擬網(wǎng)卡是否允許所述用戶終端訪問所述業(yè)務Docker容器。
具體的,在所述安全服務器對所述業(yè)務請求進行深入分析,并確定了與所述業(yè)務請求對應的安全策略之后,將所述安全策略通過所述第二虛擬網(wǎng)卡發(fā)送至所述入侵檢測裝置。相應的,所述策略接收模塊17通過所述第二虛擬網(wǎng)卡接收所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略。其中,所述安全策略用于指示所述第一虛擬網(wǎng)卡是否允許所述用戶終端訪問所述業(yè)務Docker容器。
可選的,所述安全服務器可以通過歷史訪問中數(shù)據(jù)特征和入侵檢測結果的記錄,獲得所述業(yè)務請求對應的數(shù)據(jù)特征和安全策略的對應關系。
訪問處理模塊18,用于根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。
具體的,所述訪問處理模塊18根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。例如,若所述安全策略為不允許所述用戶終端訪問所述業(yè)務Docker容器,則所述訪問處理模塊18通知所述第一虛擬網(wǎng)卡拒絕所述用戶終端發(fā)送的訪問連接。若所述安全策略為允許所述用戶終端訪問所述業(yè)務Docker容器,則所述訪問處理模塊18不向所述第一虛擬網(wǎng)卡發(fā)送通知消息,或者發(fā)送允許所述用戶終端繼續(xù)訪問所述業(yè)務Docker的通知消息。
需要說明的是,本發(fā)明實施例中的入侵檢測裝置可以是部署在一臺物理主機中的IDS Docker容器中,并預先為所述IDS Docker容器分配一定量的硬件資源,如CPU資源、內(nèi)存資源等。通過設定入侵檢測裝置使用固定的硬件資源,能夠在實現(xiàn)入侵檢測功能的同時不影響其他業(yè)務Docker容器的正常運行。
在本發(fā)明實施例中,通過接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求;接著對業(yè)務請求進行解析,以確定業(yè)務請求的數(shù)據(jù)特征,若數(shù)據(jù)特征滿足預設入侵條件,則向第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,停止傳輸命令用于指示第一虛擬網(wǎng)卡停止傳輸業(yè)務Docker容器反饋的業(yè)務請求對應的響應數(shù)據(jù)。這樣入侵檢測裝置能夠及時對其他業(yè)務Docker容器的網(wǎng)絡數(shù)據(jù)進行檢測,提高了入侵檢測的效率,另外通過安全服務器的進一步檢測,能夠提高入侵檢測的準確性。
請參見圖8,為本發(fā)明實施例提供了另一種入侵檢測裝置的結構示意圖。如圖8所示,所述入侵檢測裝置1000可以包括:至少一個處理器1001,例如CPU,至少一個網(wǎng)絡接口1004,存儲器1005,至少一個通信總線1002。網(wǎng)絡接口1004可選的可以包括標準的有線接口、無線接口(如WI-FI接口)。存儲器1005可以是高速RAM存儲器,也可以是非不穩(wěn)定的存儲器(non-volatile memory),例如至少一個磁盤存儲器。存儲器1005可選的還可以是至少一個位于遠離前述處理器1001的存儲裝置。其中,通信總線1002用于實現(xiàn)這些組件之間的連接通信??蛇x的,所述入侵檢測裝置1000包括用戶接口1003,其中,可選的,所述用戶接口1003可以包括顯示屏(Display)、鍵盤(Keyboard)。如圖8所示,作為一種計算機存儲介質(zhì)的存儲器1005中可以包括操作系統(tǒng)、網(wǎng)絡通信模塊、用戶接口模塊以及入侵檢測應用程序。
在圖8所示的入侵檢測裝置1000中,處理器1001可以用于調(diào)用存儲器1005中存儲的入侵檢測應用程序,并具體執(zhí)行以下操作:
接收業(yè)務Docker容器對應的第一虛擬網(wǎng)卡發(fā)送的訪問業(yè)務Docker容器的業(yè)務請求,所述業(yè)務請求攜帶發(fā)送所述業(yè)務請求的用戶終端的終端標識;
對所述業(yè)務請求進行解析,以確定所述業(yè)務請求的數(shù)據(jù)特征;
若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令,所述停止傳輸命令用于指示所述第一虛擬網(wǎng)卡停止傳輸所述業(yè)務Docker容器反饋的所述業(yè)務請求對應的響應數(shù)據(jù)。
在一個可能的實施例中,所述停止傳輸命令還用于指示所述第一虛擬網(wǎng)卡停止傳輸發(fā)送至所述用戶終端的其他響應數(shù)據(jù)。
在一個可能的實施例中,所述處理器1001在執(zhí)行若所述數(shù)據(jù)特征滿足預設入侵條件,則向所述第一虛擬網(wǎng)卡發(fā)送停止傳輸命令之前,所述處理器1001還執(zhí)行:
檢測預存的攻擊特征集合中是否存在與所述數(shù)據(jù)特征匹配一致的攻擊特征;
若是,則確定所述數(shù)據(jù)特征滿足預設入侵條件。
在一個可能的實施例中,所述處理器1001還執(zhí)行:
通過預先分配的第二虛擬網(wǎng)卡將所述業(yè)務請求上報至安全服務器;
通過所述第二虛擬網(wǎng)卡接收所述安全服務器發(fā)送的所述業(yè)務請求對應的安全策略,所述安全策略用于指示所述第一虛擬網(wǎng)卡是否允許所述用戶終端訪問所述業(yè)務Docker容器;
根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理。
在一個可能的實施例中,所述處理器1001在執(zhí)行根據(jù)所述安全策略,通知所述第一虛擬網(wǎng)卡對所述用戶終端發(fā)送的訪問連接進行處理,具體執(zhí)行當所述安全策略為不允許所述用戶終端訪問所述業(yè)務Docker容器時,通知所述第一虛擬網(wǎng)卡拒絕所述用戶終端發(fā)送的訪問連接。
需要說明的是,本發(fā)明實施例中所示的處理器1001可以用于執(zhí)行圖2至圖5所示任一實施例中入侵檢測裝置的動作或步驟,該處理器1001所執(zhí)行內(nèi)容的具體實現(xiàn)方式以及帶來的技術效果參見相應方法實施例的具體描述,在此不再贅述。
需要說明的是,對于前述的各個方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發(fā)明并不受所描述的動作順序的限制,因為依據(jù)本發(fā)明,某一些步驟可以采用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬于優(yōu)選實施例,所涉及的動作和模塊并不一定是本發(fā)明所必須的。
在上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳細描述的部分,可以參見其他實施例的相關描述。
本領域普通技術人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程,是可以通過計算機程序來指令相關的硬件來完成,所述的程序可存儲于一計算機可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。其中,所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory,ROM)或隨機存儲記憶體(Random Access Memory,RAM)等。
以上所揭露的僅為本發(fā)明較佳實施例而已,當然不能以此來限定本發(fā)明之權利范圍,因此依本發(fā)明權利要求所作的等同變化,仍屬本發(fā)明所涵蓋的范圍。