本發(fā)明涉及工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,特別是涉及基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng)。
背景技術(shù):
監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)是以計(jì)算機(jī)為基礎(chǔ)的生產(chǎn)過(guò)程控制與調(diào)度自動(dòng)化系統(tǒng),它可以對(duì)現(xiàn)場(chǎng)的運(yùn)行設(shè)備進(jìn)行監(jiān)視和控制,在電力、石油、化工等關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)中發(fā)揮著重要作用。隨著工業(yè)SCADA系統(tǒng)的復(fù)雜性和互連性不斷增加,同時(shí)也增大了惡意網(wǎng)絡(luò)攻擊的可能性。遵循傳統(tǒng)通信協(xié)議的工業(yè)控制網(wǎng)絡(luò),在設(shè)計(jì)之初對(duì)網(wǎng)絡(luò)安全威脅的考慮往往不足。不斷發(fā)展的SCADA系統(tǒng)可能被惡意攻擊者或心懷不滿的內(nèi)部員工視為攻擊的重點(diǎn)目標(biāo),在未經(jīng)授權(quán)的情況下利用系統(tǒng)脆弱點(diǎn)實(shí)現(xiàn)非法訪問(wèn)和控制。這種入侵可能是一些簡(jiǎn)單或高級(jí)持續(xù)的攻擊,并可能危及工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行。例如:2015年12月烏克蘭遭受惡意攻擊導(dǎo)致電網(wǎng)發(fā)生大停電事件。國(guó)內(nèi)外工業(yè)界和學(xué)術(shù)界對(duì)工控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題愈加重視并更加關(guān)注,SCADA系統(tǒng)網(wǎng)絡(luò)信息安全問(wèn)題已經(jīng)成為關(guān)系電力、石油、化工等系統(tǒng)安全、可靠和穩(wěn)定運(yùn)行的工程實(shí)際問(wèn)題。
目前,在電力SCADA系統(tǒng)中存在許多開(kāi)放的國(guó)際標(biāo)準(zhǔn)。例如分布式網(wǎng)絡(luò)協(xié)議(DNP3),IEC60870-5系列和IEC 61850等標(biāo)準(zhǔn)。其中IEC60870-5-104(下文簡(jiǎn)稱“IEC/104”)傳輸協(xié)議特別為基于TCP/IP的60870-5-101協(xié)議作為網(wǎng)絡(luò)接入服務(wù),可以實(shí)現(xiàn)控制中心和變電站之間的基本遠(yuǎn)動(dòng)任務(wù)。
IEC/104協(xié)議已廣泛應(yīng)用于歐洲、中國(guó)和其他非美國(guó)家的SCADA系統(tǒng)。IEC/104協(xié)議在增強(qiáng)性能架構(gòu)(EPA)模型的基礎(chǔ)上增加了傳輸層和網(wǎng)絡(luò)層,屬于應(yīng)用層協(xié)議?;赥CP/IP的應(yīng)用層協(xié)議具有相應(yīng)的端口號(hào)。IEC/104協(xié)議的標(biāo)準(zhǔn)端口號(hào)為<2404>。
IEC/104協(xié)議的應(yīng)用層傳輸應(yīng)用服務(wù)數(shù)據(jù)單元(ASDU)。因?yàn)閭鬏斀涌跊](méi)有定義IEC60870-5-101的應(yīng)用服務(wù)數(shù)據(jù)單元的開(kāi)始或停止機(jī)制,IEC/104協(xié)議定義了應(yīng)用協(xié)議控制信息(APCI)用于檢測(cè)ASDU的開(kāi)始和結(jié)束。APCI包括起始字符(68H)、APDU的長(zhǎng)度字段和控制字段。APCI與ASDU組合構(gòu)成應(yīng)用協(xié)議數(shù)據(jù)單元(APDU)。APDU的最大長(zhǎng)度為253字節(jié),控制字段的長(zhǎng)度為4字節(jié)。三種類型的控制字段格式是I格式,S格式和U格式,I格式用于執(zhí)行編號(hào)信息傳輸,S格式是編號(hào)監(jiān)控函數(shù)和U格式是未編號(hào)的控制函數(shù)。
由于傳統(tǒng)系統(tǒng)中有限的計(jì)算資源,以及缺乏內(nèi)置的安全考慮,傳統(tǒng)IT安全方案可能在使用IEC/104的SCADA系統(tǒng)中失效,目前傳統(tǒng)工業(yè)控制SCADA系統(tǒng)缺乏網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)。
技術(shù)實(shí)現(xiàn)要素:
發(fā)明目的:本發(fā)明的目的是提供一種能夠在使用IEC/104的SCADA系統(tǒng)中使用的基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)方法及系統(tǒng)。
技術(shù)方案:本發(fā)明所述的基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)方法,所述方法包括:
確定待檢測(cè)的報(bào)文;
檢測(cè)報(bào)文中是否包含異常行為,檢測(cè)過(guò)程包括基于特征的入侵檢測(cè)過(guò)程和基于模型的入侵檢測(cè)過(guò)程,其中,基于特征的入侵檢測(cè)過(guò)程為:將待檢測(cè)的報(bào)文與攻擊特征的規(guī)則數(shù)據(jù)庫(kù)進(jìn)行匹配,如果匹配,則產(chǎn)生相應(yīng)的告警;基于模型的入侵檢測(cè)過(guò)程為:建立表征特定協(xié)議預(yù)期行為的模型,如果檢測(cè)的報(bào)文違背了這些模型,則產(chǎn)生相應(yīng)的告警;
將檢測(cè)發(fā)現(xiàn)的異常行為記錄到日志文件中,并顯示為告警信息。
進(jìn)一步,所述確定待檢測(cè)的報(bào)文包括:在線捕獲網(wǎng)口流入的數(shù)據(jù)包或離線導(dǎo)入PCAP數(shù)據(jù)報(bào)文。
進(jìn)一步,在所述檢測(cè)報(bào)文中是否包含異常行為之前,進(jìn)一步包括,對(duì)所述待檢測(cè)報(bào)文進(jìn)行解析和處理。
進(jìn)一步,所述基于特征的入侵檢測(cè)過(guò)程中,攻擊特征的規(guī)則數(shù)據(jù)庫(kù)包括以下檢測(cè)規(guī)則:
1)控制中心的客戶端與服務(wù)器之間已建立的連接被劫持或者欺騙;
2)服務(wù)器發(fā)送虛假報(bào)文,影響控制服務(wù)器以及調(diào)度人員的判斷;
3)未經(jīng)授權(quán)的客戶端從現(xiàn)場(chǎng)設(shè)備讀取信息;
4)未經(jīng)授權(quán)的客戶端向服務(wù)器發(fā)出詢問(wèn)命令;
5)未授權(quán)客戶端向服務(wù)器發(fā)出遙控或者遙調(diào)命令;
6)通過(guò)發(fā)送帶類型標(biāo)識(shí)69H的命令,強(qiáng)制服務(wù)器重置進(jìn)程;
7)向服務(wù)器網(wǎng)絡(luò)發(fā)送廣播請(qǐng)求包;
8)報(bào)文長(zhǎng)度超過(guò)正常報(bào)文長(zhǎng)度。
進(jìn)一步,所述基于模型的入侵檢測(cè)過(guò)程中,所述表征特定協(xié)議預(yù)期行為的模型包括以下幾種:
1)類型標(biāo)識(shí)模型:所述類型標(biāo)識(shí)模型中有256個(gè)可能的值,其中,數(shù)字0無(wú)效,數(shù)字1-127的類型標(biāo)識(shí)值已定義,數(shù)字128-255的類型標(biāo)識(shí)值未定義;
2)傳輸原因模型:所述傳輸原因模型中的傳輸原因字段有64個(gè)可能的值,其中,數(shù)字0未定義,數(shù)字14-19和42-63為保留值,傳輸原因值定義在1-13和20-41范圍內(nèi);
3)長(zhǎng)度字段模型:所述長(zhǎng)度字段模型中長(zhǎng)度字段值的范圍是4-253;
4)關(guān)聯(lián)模型:所述關(guān)聯(lián)模型中的類型標(biāo)識(shí)字段數(shù)值與傳輸原因字段數(shù)值相匹配;
5)基于流量模式的模型:所述基于流量模式的模型中,從客戶端發(fā)送TCP初始化連接請(qǐng)求到服務(wù)器,TCP初始化連接到服務(wù)器的端口號(hào)為2404,服務(wù)器的TCP連接包括授權(quán)的客戶端。
本發(fā)明所述的基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),包括:
數(shù)據(jù)采集模塊:用于確定待檢測(cè)的報(bào)文;
檢測(cè)規(guī)則模塊:用于檢測(cè)數(shù)據(jù)包中是否包含異常行為,檢測(cè)過(guò)程包括基于特征的入侵檢測(cè)過(guò)程和基于模型的入侵檢測(cè)過(guò)程;其中,基于特征的入侵檢測(cè)過(guò)程為:將待檢測(cè)的報(bào)文與攻擊特征的規(guī)則數(shù)據(jù)庫(kù)進(jìn)行匹配,如果匹配,則產(chǎn)生相應(yīng)的告警;基于模型的入侵檢測(cè)過(guò)程為:建立表征特定協(xié)議預(yù)期行為的模型,如果檢測(cè)的報(bào)文違背了這些模型,則產(chǎn)生相應(yīng)的告警;
檢查結(jié)果輸出模塊:用于將檢測(cè)發(fā)現(xiàn)的異常行為記錄到日志文件中,并顯示為告警信息。
進(jìn)一步,數(shù)據(jù)采集模塊用于在線捕獲網(wǎng)口流入的數(shù)據(jù)包或者離線導(dǎo)入PCAP數(shù)據(jù)報(bào)文。
進(jìn)一步包括數(shù)據(jù)處理模塊,所述數(shù)據(jù)處理模塊包括包解碼器和預(yù)處理器,所述包解碼器用于對(duì)數(shù)據(jù)包進(jìn)行解碼,所述預(yù)處理器對(duì)所述解碼后的數(shù)據(jù)包進(jìn)行處理,所述處理包括對(duì)分片的數(shù)據(jù)包進(jìn)行重新組裝以及處理明顯的錯(cuò)誤。
進(jìn)一步,所述檢驗(yàn)規(guī)則模塊包括Snort配置文件、用戶自定義規(guī)則庫(kù)和檢測(cè)引擎;所述檢測(cè)過(guò)程通過(guò)Snort規(guī)則實(shí)現(xiàn)。
進(jìn)一步,所述Snort配置文件包括規(guī)則頭和規(guī)則選項(xiàng);其中,規(guī)則頭包括規(guī)則的響應(yīng)、協(xié)議、源IP、源端口、方向、目的IP和目的端口;規(guī)則選項(xiàng)包括告警內(nèi)容。
有益效果:本發(fā)明公開(kāi)了一種基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)方法,其中,基于特征的入侵檢測(cè)過(guò)程能夠檢測(cè)已知的惡意攻擊和可疑威脅,也能夠識(shí)別攻擊的來(lái)源,預(yù)防未來(lái)的入侵?;谀P偷娜肭謾z測(cè)過(guò)程是對(duì)基于特征的入侵檢測(cè)過(guò)程的有效補(bǔ)充,通過(guò)監(jiān)視SCADA系統(tǒng)中使用IEC/104協(xié)議的設(shè)備的通信行為,可以檢測(cè)未知攻擊和零日漏洞攻擊。本發(fā)明還公開(kāi)了一種基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。本發(fā)明能夠有效提高基于IEC/104協(xié)議的SCADA系統(tǒng)的網(wǎng)絡(luò)安全性。
附圖說(shuō)明
圖1為本發(fā)明具體實(shí)施方式的方法的流程圖;
圖2為本發(fā)明具體實(shí)施方式的系統(tǒng)的框圖。
具體實(shí)施方式
下面結(jié)合附圖和具體實(shí)施方式,對(duì)本發(fā)明的技術(shù)方案作進(jìn)一步的介紹。
本具體實(shí)施方式公開(kāi)了一種基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)方法,如圖1所示,所述方法包括如下步驟:
確定待檢測(cè)的報(bào)文;
檢測(cè)報(bào)文中是否包含異常行為,檢測(cè)過(guò)程包括基于特征的入侵檢測(cè)過(guò)程和基于模型的入侵檢測(cè)過(guò)程,其中,基于特征的入侵檢測(cè)過(guò)程為:將待檢測(cè)的報(bào)文與攻擊特征的規(guī)則數(shù)據(jù)庫(kù)進(jìn)行匹配,如果匹配,則產(chǎn)生相應(yīng)的告警;基于模型的入侵檢測(cè)過(guò)程為:建立表征特定協(xié)議預(yù)期行為的模型,如果檢測(cè)的報(bào)文違背了這些模型,則產(chǎn)生相應(yīng)的告警;
將檢測(cè)發(fā)現(xiàn)的異常行為記錄到日志文件中,并顯示為告警信息。
其中,確定待檢測(cè)的報(bào)文包括:在線捕獲網(wǎng)口流入的數(shù)據(jù)包或離線導(dǎo)入PCAP數(shù)據(jù)報(bào)文。PCAP是Packet CAPture的縮寫(xiě)。
檢測(cè)報(bào)文中是否包含異常行為之前還可以對(duì)待檢測(cè)報(bào)文進(jìn)行解析和處理。
基于特征的入侵檢測(cè)過(guò)程中,攻擊特征的規(guī)則數(shù)據(jù)庫(kù)包括多個(gè)檢測(cè)規(guī)則,能夠用來(lái)跟蹤攻擊的來(lái)源,以阻止未來(lái)的攻擊。檢測(cè)規(guī)則如下:
1)IEC/104端口通信:控制中心的客戶端與服務(wù)器之間已建立的連接被劫持或者欺騙;
2)自發(fā)報(bào)文風(fēng)暴:服務(wù)器發(fā)送虛假報(bào)文,影響控制服務(wù)器以及調(diào)度人員的判斷;
3)對(duì)服務(wù)器的未授權(quán)讀取命令:未經(jīng)授權(quán)的客戶端從現(xiàn)場(chǎng)設(shè)備讀取信息;
4)對(duì)服務(wù)器的未授權(quán)詢問(wèn)命令:未經(jīng)授權(quán)的客戶端向服務(wù)器發(fā)出詢問(wèn)命令;
5)來(lái)自未授權(quán)客戶端的遙控或者遙調(diào)命令:未授權(quán)客戶端向服務(wù)器發(fā)出遙控或者遙調(diào)命令;
6)未授權(quán)客戶端的重置進(jìn)程命令:通過(guò)發(fā)送帶類型標(biāo)識(shí)69H的命令,強(qiáng)制服務(wù)器重置進(jìn)程;
7)來(lái)自未授權(quán)客戶端的廣播請(qǐng)求:向服務(wù)器網(wǎng)絡(luò)發(fā)送廣播請(qǐng)求包;
8)潛在緩沖區(qū)溢出:報(bào)文長(zhǎng)度超過(guò)正常報(bào)文長(zhǎng)度。
由于特征的入侵檢測(cè)過(guò)程需要事先知道攻擊特征,因此它無(wú)法檢測(cè)未知或零日攻擊。為了加強(qiáng)對(duì)未知攻擊的檢測(cè),下面提出了基于模型的入侵檢測(cè)過(guò)程作為基于特征的檢測(cè)方法的補(bǔ)充?;谀P偷娜肭謾z測(cè)過(guò)程中,所述表征特定協(xié)議預(yù)期行為的模型包括以下幾種:
1)類型標(biāo)識(shí)模型:所述類型標(biāo)識(shí)模型中有256個(gè)可能的值,其中,數(shù)字0無(wú)效,數(shù)字1-127的類型標(biāo)識(shí)值已定義,數(shù)字128-255的類型標(biāo)識(shí)值未定義;當(dāng)從IEC/104客戶端向IEC/104服務(wù)器的控制方向發(fā)送I格式的ASDU請(qǐng)求時(shí),類型標(biāo)識(shí)模型可以定義如下,
其中C是控制方向上的IEC/104請(qǐng)求報(bào)文,TIField表示類型標(biāo)識(shí)字段的值;當(dāng)從服務(wù)器向客戶端的監(jiān)控方向發(fā)送I格式的ASDU響應(yīng)時(shí),類型標(biāo)識(shí)模型定義如下,
其中M表示監(jiān)控方向的IEC/104響應(yīng)報(bào)文;
2)傳輸原因模型:所述傳輸原因模型中的傳輸原因字段有64個(gè)可能的值,其中,數(shù)字0未定義,數(shù)字14-19和42-63為保留值,傳輸原因值定義在1-13和20-41范圍內(nèi);傳輸原因模型可以描述為如下:
3)長(zhǎng)度字段模型:所述長(zhǎng)度字段模型中長(zhǎng)度字段值的范圍是4-253;
長(zhǎng)度字段的值取決于APUD的報(bào)文格式和類型標(biāo)識(shí)值。例如,因?yàn)镾格式和U格式的APDU僅包含APCI而不包含ASDU,長(zhǎng)度字段的值是固定的且應(yīng)該是4,即:
其中l(wèi)enField表示APDU長(zhǎng)度字段;
如果報(bào)文包含I格式的APDU,則長(zhǎng)度字段的值應(yīng)該大于4且小于253;該值是可變的,與類型標(biāo)識(shí)相關(guān);例如,當(dāng)類型標(biāo)識(shí)值為45(單點(diǎn)命令)或46(雙點(diǎn)命令),典型長(zhǎng)度字段值是14,即,
4)關(guān)聯(lián)模型:所述關(guān)聯(lián)模型中的類型標(biāo)識(shí)字段數(shù)值與傳輸原因字段數(shù)值相匹配;例如,在控制方向上,當(dāng)類型標(biāo)識(shí)值為45、46、47(遙調(diào)指令)、48(帶歸一化值的階躍點(diǎn)指令)、100(總召命令)或101(計(jì)數(shù)總召命令),對(duì)應(yīng)的傳輸原因值是6,即:
當(dāng)監(jiān)視方向的類型標(biāo)識(shí)值為45-48、100或101時(shí),相應(yīng)的傳輸原因值為7或10:
5)基于流量模式的模型:所述基于流量模式的模型中,從客戶端發(fā)送TCP初始化連接請(qǐng)求到服務(wù)器,TCP初始化連接到服務(wù)器的端口號(hào)為2404,服務(wù)器的TCP連接包括授權(quán)的客戶端。
基于同一發(fā)明構(gòu)思,本具體實(shí)施方式還公開(kāi)了一種基于IEC60870-5-104協(xié)議的SCADA網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),包括數(shù)據(jù)采集模塊、數(shù)據(jù)處理模塊、檢測(cè)規(guī)則模塊和檢測(cè)結(jié)果輸出模塊,如圖2所示,其中:
數(shù)據(jù)采集模塊201:用于在線捕獲網(wǎng)口流入的數(shù)據(jù)包或者離線導(dǎo)入PCAP數(shù)據(jù)報(bào)文;數(shù)據(jù)采集模塊處理之后,將處理后的數(shù)據(jù)發(fā)送給數(shù)據(jù)處理模塊。
數(shù)據(jù)處理模塊202:用于對(duì)報(bào)文進(jìn)行解析和處理,包括包解碼器2021和預(yù)處理器2022,首先通過(guò)包解碼器對(duì)數(shù)據(jù)包進(jìn)行解碼,解碼成Snort認(rèn)識(shí)的統(tǒng)一格式,再將數(shù)據(jù)包送到預(yù)處理器進(jìn)行處理,預(yù)處理包括對(duì)分片的數(shù)據(jù)包進(jìn)行重新組裝、處理一些明顯錯(cuò)誤等問(wèn)題。
檢測(cè)規(guī)則模塊203:用于檢測(cè)數(shù)據(jù)包中是否包含異常行為,包括Snort配置文件、用戶自定義規(guī)則庫(kù)和檢測(cè)引擎,檢測(cè)過(guò)程通過(guò)Snort規(guī)則實(shí)現(xiàn);典型的Snort規(guī)則包含規(guī)則頭和規(guī)則選項(xiàng)兩部分。規(guī)則頭包括規(guī)則的響應(yīng)(如:告警)、協(xié)議(如:tcp)、源IP、源端口、方向、目的IP和目的端口。規(guī)則選項(xiàng)包括告警內(nèi)容和其它信息。在Snort配置文件中自定義104_CLIENT、104_SERVER和104_PORT等用戶變量,分別代表IEC/104客戶主機(jī)集、IEC/104服務(wù)器集以及IEC/104服務(wù)器使用的端口號(hào)。檢測(cè)過(guò)程包括基于特征的入侵檢測(cè)過(guò)程和基于模型的入侵檢測(cè)過(guò)程;其中,基于特征的入侵檢測(cè)過(guò)程為:將待檢測(cè)的報(bào)文與攻擊特征的規(guī)則數(shù)據(jù)庫(kù)進(jìn)行匹配,如果匹配,則產(chǎn)生相應(yīng)的告警;基于模型的入侵檢測(cè)過(guò)程為:建立表征特定協(xié)議預(yù)期行為的模型,如果檢測(cè)的報(bào)文違背了這些模型,則產(chǎn)生相應(yīng)的告警;
檢查結(jié)果輸出模塊204:用于將檢測(cè)發(fā)現(xiàn)的異常行為記錄到日志文件中,并顯示為告警信息。
為了描述的方便,以上所述裝置的各部分以功能分為各種模塊或單元分別描述。當(dāng)然,在實(shí)施本申請(qǐng)時(shí)可以把各模塊或單元的功能在同一個(gè)或多個(gè)軟件或硬件中實(shí)現(xiàn)。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本申請(qǐng)的實(shí)施例可提供為方法、系統(tǒng)、或計(jì)算機(jī)程序產(chǎn)品。因此,本申請(qǐng)可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本申請(qǐng)可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器、CD-ROM、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本申請(qǐng)是參照根據(jù)本申請(qǐng)實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合。可提供這些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。
盡管已描述了本申請(qǐng)的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對(duì)這些實(shí)施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本申請(qǐng)范圍的所有變更和修改。