一种数据泄露检测方法及装置与流程

本发明涉及信息安全技术领域，具体而言，涉及一种数据泄露检测方法及装置。

背景技术：

dns(domainnamesystem，域名系统)协议是大多数企业网络环境中必不可少的网络通信协议之一。dns可以提供域名解析服务，将域名和ip地址进行转换，以访问互联网和内网资源。出于使用场景考虑，边界防护设备一般很少对dns数据包进行过滤、分析或屏蔽，因此，dns协议常被攻击者用来窃取数据或实现其他恶意目的，从而给企业带来巨大的安全风险。

dns通过递归或迭代的查询方式来获取目的域名的ip地址，攻击者会利用dns的这种查询机制来进行数据的窃取。在出现dns数据泄露时，局域网中受感染主机将数据嵌入在二级域名的子域名中进行dns查询，例如发起对域名data.malicious.com的查询，从malicious.com对应的二级名称服务器处查询data.malicious.com对应的信息，而攻击者控制了malicious.com对应的二级名称服务器，就可以获取到data中所含有的内容。

目前，针对dns数据泄露的检测方法主要有如下两种：

(1)建立域名黑名单。通过域名的威胁情报数据建立域名黑名单，但攻击者可以通过注册新域名来绕过检测，而且由于域名黑名单的更新具有滞后性，对新的恶意域名存在检测盲点。

(2)通过域名特征进行检测。选取的特征一般为子域名中的大写字母、小写字母、数字字符个数的统计特征，攻击者可以通过把子域名缩短或者分多次传输的方式来绕过检测。

技术实现要素：

本申请实施例的目的在于提供一种数据泄露检测方法及装置，以改善上述技术问题。

为实现上述目的，本申请提供如下技术方案：

第一方面，本申请实施例提供一种数据泄露检测方法，包括：获取多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名；将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源ip地址以及二级域名，每一分组对应局域网内的一个主机；对同一分组内的子域名进行拼接，以获得待检测字符串；根据每一分组的待检测字符串构造对应的特征向量；利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。

本技术方案通过解析dns请求中的源ip地址及域名信息，将具有相同源ip地址及相同二级域名的子域名分到同一分组中，从而将单个主机到某个二级域名对应的域名服务器之间的dns请求的子域名分到同一个组内，对同组内的子域名进行拼接得到待检测字符串，并对拼接后的待检测字符串进行检测，从而可不依赖于单个子域名的特征，对于子域名过短、分多次传输或多次查询等数据泄露场景十分有效。而且，即便攻击者注册新的恶意域名，也可以通过异常检测模型将其准确检测出来。

在一种可选的实施方式中，所述获取多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名，包括：获取局域网内的各个主机发出的多个dns数据包，并解析获得每一dns数据包中的dns请求；基于域名黑名单和/或域名白名单对获得的多个dns请求进行筛选，以获得多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名。

在一种可选的实施方式中，所述基于域名黑名单和/或域名白名单对获得的多个dns请求进行筛选，以获得多个目标dns请求，包括：将每一所述dns请求中的二级域名分别与所述域名黑名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名的二级域名所对应的dns请求作为目标dns请求；或者，将每一所述dns请求中的二级域名分别与所述域名白名单中的每一域名进行匹配，将未命中所述域名白名单中任一域名的二级域名所对应的dns请求作为目标dns请求；或者，将每一所述dns请求中的二级域名分别与所述域名黑名单中的每一域名以及所述域名白名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名且也未命中所述域名白名单中任一域名的二级域名所对应的dns请求作为目标dns请求。

结合域名的黑白名单对局域网内的dns数据包进行筛选，对于位于黑白名单中的二级域名，可以不必进行检测，以提升检测效率。

在一种可选的实施方式中，在利用异常检测模型分别对每一分组的特征向量进行异常检测之后，所述方法还包括：若任一所述分组的检测结果为异常，则将所述分组对应的二级域名添加到域名黑名单中。

通过本技术方案获得任一分组的检测结果后，及时将存在问题的二级域名添加到域名黑名单中，实现黑名单更新，这样一来，在之后进行新一轮的检测时，可以先通过黑名单将恶意的二级域名检测出来，于是，对该二级域名的dns请求无需再进行子域名分组、子域名拼接等过程，可以避免非必要的特征提取与检测步骤，进而提升检测效率。

在一种可选的实施方式中，所述根据每一分组的待检测字符串构造对应的特征向量，包括：获取所述待检测字符串的至少一个特征值，每个特征值的高低反映组成所述待检测字符串的各子域名中含有被泄露数据的概率大小；根据所述至少一个特征值以及所述异常检测模型的数据输入规则构造所述特征向量。

在一种可选的实施方式中，所述至少一个特征值包括至少一个如下特征的值：所述待检测字符串的长度；所述待检测字符串所对应分组中子域名的总个数；所述待检测字符串所对应分组中经去重的子域名的个数；所述待检测字符串的熵；所述待检测字符串中大写字母的占比；所述待检测字符串中数字字符的占比。

第二方面，本申请实施例提供一种数据泄露检测装置，包括：dns协议解析模块，用于获取多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名；dns数据分组模块，用于将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源ip地址以及二级域名，每一分组对应局域网内的一个主机；子域名拼接模块，用于对同一分组内的子域名进行拼接，以获得待检测字符串；特征向量构造模块，用于根据每一分组的待检测字符串构造对应的特征向量；检测模块，用于利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定所述局域网内存在数据泄露的主机。

第三方面，本申请实施例提供一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如第一方面、第一方面中任一可选实施方式所述的方法。

第四方面，本申请实施例提供一种电子设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储器之间通过所述总线通信，所述机器可读指令被所述处理器执行时执行如第一方面、第一方面中任一可选实施方式所述的方法。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1示出了本申请实施例提供的一种数据泄露检测方法在检测阶段的流程图；

图2示出了本申请实施例提供的一种数据泄露检测方法在训练阶段的流程图；

图3示出了本申请实施例提供的一种数据泄露检测装置的示意图；

图4示出了本申请实施例提供的一种电子设备的示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

针对现有技术中存在的不足，本申请实施例提供一种数据泄露检测方法。该检测方法从dns请求中提取二级域名的子域名，将具有相同源ip地址并且二级域名相同的子域名进行拼接，得到待检测字符串，从待检测字符串中提取特征来进行检测，从而可不依赖于单个子域名的特征，对于子域名过短、分多次传输或多次查询等数据泄露场景十分有效。通过此检测方法，可有效检测局域网(如企业网络、高校网络)中的受感染主机及外网的恶意服务器间出现的数据泄露。

本技术方案包括训练阶段和检测阶段，训练阶段用于训练异常检测模型，检测阶段用于利用训练后的异常检测模型对是否存在数据泄露进行检测。

图1示出了数据泄露检测方法在检测阶段的过程示意图，请参照图1，该检测方法包括如下步骤：

步骤110：获取多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及二级域名的子域名。

例如，某目标dns请求用于查询域名data.malicious.com的ip地址，解析该目标dns请求可得到对应主机的源ip地址、二级域名malicious.com以及二级域名的子域名data。

在局域网中部署检测设备，该检测设备能够获取局域网中各个主机发出的dns数据包流量，在获得dns数据包流量后，对其中各dns数据包进行解析，以获得多个目标dns请求及每一目标dns请求中携带的内容。

在一种实施例中，步骤110包括：获取局域网内的各个主机发出的多个dns数据包，解析dns数据包，获得其中的dns请求，解析dns请求，获得其中的源ip地址、二级域名及二级域名的子域名；基于域名黑名单和/或域名白名单对获得的多个dns请求进行筛选，以获得该多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名。

具体的，检测设备在完成对dns数据包的解析后，获得其中每一dns请求中的源ip地址、二级域名及二级域名的子域名，将每一dns请求中的二级域名分别与域名黑名单中的每一域名和/或域名白名单中的每一域名进行匹配，根据匹配结果筛选出可疑的目标dns请求，筛选方式主要有以下三种：

(1)将每一dns请求中的二级域名分别与域名黑名单中的每一恶意域名进行匹配，将未命中域名黑名单中任一恶意域名的二级域名所对应的dns请求作为目标dns请求。

域名黑名单中设置有多个恶意域名，恶意域名为二级域名，若dns请求中的二级域名命中域名黑名单中的任一恶意域名，则可以确定该dns请求中的二级域名是一个恶意域名，那么，没有必要再检测该二级域名的子域名是否存在数据泄露的异常。

(2)将每一dns请求中的二级域名分别与域名白名单中的每一受信任域名进行匹配，将未命中域名白名单中任一受信任域名的二级域名所对应的dns请求作为目标dns请求。

域名白名单中设置有多个受信任域名，受信任域名为二级域名，若dns请求中的二级域名未命中域名白名单中的任一受信任域名，则需要进一步检查该二级域名的子域名是否存在数据泄露的异常。

(3)将每一dns请求中的二级域名分别与域名黑名单中的每一恶意域名以及域名白名单中的每一受信任域名进行匹配，将未命中域名黑名单中任一恶意域名且也未命中域名白名单中任一受信任域名的二级域名所对应的dns请求作为目标dns请求。

在上述实施方式中，可设置检测周期，在步骤110中，获取局域网内的各个主机在本次检测周期内发出的多个dns数据包，对本次检测周期内的多个dns数据包进行检测；此外，也可设置dns数据包的数量阈值，在步骤110中，在检测到局域网内的各个主机发出的尚未检测的dns数据包的数量已达该数量阈值时进行检测。

步骤120：将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源ip地址以及二级域名，每一分组对应局域网内的一个主机。

在获得多个目标dns请求中的源ip地址、二级域名及二级域名的子域名后，对获得多个子域名进行分组，将具有相同源ip地址且具有相同二级域名的子域名分到同一分组中。

因为数据泄露通常为局域网中单个受感染主机到被控制的域名服务器的行为，受感染主机在局域网中与源ip地址对应，域名服务器与二级域名对应，所以通过步骤120进行分组后，单个主机到某个二级域名对应的域名服务器之间的dns请求的子域名被分到同一个组内，每一分组对应局域网内的一个主机，同一主机可能有多个分组(分别对应不同的二级域名)。在分组完成后，一个分组中可能仅存在一个子域名，也可能存在多个子域名。

步骤130：对同一分组内的子域名进行拼接，以获得待检测字符串。

在一种实施例中，将同一分组内的所有子域名进行拼接，生成待检测字符串。

示例性的，在步骤110中，获得如下三个域名的目标dns请求：mwqy.malicious.com、ytn0.malicious.com、nge1.malicous.com，三者具有相同的源ip地址以及相同的二级域名(即malicious.com)，其二级域名的子域名分别为mwqy、ytn0、nge1，在进行分组后，分组内共有：mwqy、ytn0、nge1三个子域名，将该分组内的子域名进行拼接，生成待检测字符串“mwqyytn0nge1”。

在步骤130中，若分组内仅有一个子域名，则拼接后得到的待检测字符串即为它本身。

步骤140：根据每一分组的待检测字符串构造对应的特征向量。

在获得每一分组对应的待检测字符串后，分别根据每一分组的待检测字符串构造特征向量，以将特征向量输入至异常检测模型中进行检测。

具体的，步骤140包括：获取待检测字符串的至少一个特征值，每个特征值的高低反映组成待检测字符串的各子域名中含有被泄露数据的概率大小；根据该至少一个特征值以及异常检测模型的数据输入规则构造对应的特征向量。异常检测模型已在训练阶段完成训练。

待检测字符串的至少一个特征值包括至少一个如下特征的值：

(1)待检测字符串的长度。待检测字符串的长度越长，则其中含有被泄露数据的可能性越大。

(2)待检测字符串所对应分组中子域名的总个数。分组中子域名的个数越多，表明对应主机发起dns请求的次数越多，则其中含有被泄露数据的可能性越大。

(3)待检测字符串所对应分组中经去重的子域名的个数。同一主机可能针对同一域名发起多次dns请求，因此，在同一分组内的多个子域名中可能出现重复的子域名，在进行去重后，去重后的子域名个数越多，则其中含有被泄露数据的可能性越大。

(4)待检测字符串的熵。熵表示待检测字符串的非确定性和非可读性的水平，如果出现数据泄露，受感染主机一般会对数据进行加密或者编码来得到子域名，而加密或者编码后的数据，其确定性和可读性都比较差，因此，熵的值可以反映待检测字符串中含有被泄露数据的可能性。

(5)待检测字符串中大写字母的占比。如果出现数据泄露，受感染主机一般会对数据进行加密或者编码来得到子域名，而加密或者编码后的数据，其大写字母占比更高。

(6)待检测字符串中数字字符的占比。如果出现数据泄露，受感染主机一般会对数据进行加密或者编码来得到子域名，而加密或者编码后的数据，其数字字符占比更高。

由于待检测字符串是由多个子域名拼接而来，大写字母和数字字符的个数并不能完全表征对应主机出现数据泄露的概率大小，还与待检测字符串的长度有关，例如，大写字母和数字字符的个数少，但如果待检测字符串的长度也短，此时不能认为主机出现数据泄露的可能性就一定较低。故本实施例不采用大写字母的个数作为进行检测的特征，而是使用其占比，检测效果会更好。

可以理解的，本实施例可以统计上述六种特征中的一种或者多种特征的值，根据统计出的一个或多个特征值构造特征向量。当然，如果只采用一种特征值，可能只对一部分数据泄露场景有效，且在检出率及误报率上的表现都不够优秀，因此，可以尽量选择多种特征值，从多个不同维度反映待检测字符串的特征，这样一来，检测的正确性更高，也能适用于更多种的数据泄露场景。

步骤150：利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定局域网内存在数据泄露的主机。

将每一分组的特征向量依次输出至已训练好的异常检测模型中，异常检测模型输出每一分组的检测结果，根据每一分组的检测结果可确定局域网内存在数据泄露的主机。如果某一分组的检测结果为异常，则确定该分组所对应的主机存在数据泄露，即为局域网内的受感染主机。

可选的，若多个分组中的任一分组的检查结果为异常，则将该分组对应的二级域名添加到域名黑名单中。

对于通过本实施例中的检测方法确定为存在异常的分组，将对应的二级域名添加到域名黑名单中，从而在之后再次执行步骤110-150时，对该二级域名的dns请求无需再进行子域名分组、子域名拼接等过程，可以避免非必要的特征提取与检测步骤，进而提升检测效率。

图2示出了数据泄露检测方法在训练阶段的过程示意图，请参照图2，训练阶段包括如下步骤，且如下步骤由一电子设备执行：

步骤210：获取局域网内的各个主机发出的多个dns数据包。

该电子设备可以是上述的检测设备，也可以是任意一台pc机、笔记本电脑、平板电脑、服务器、嵌入式设备等，电子设备也不限于单台设备，也可以是多台设备的组合或者大量设备构成的集群。

在步骤210中，可以由检测设备或一台单独的流量采集设备采集局域网内各个主机发出的原始的dns数据包，在采集完成后，保存为pcap文件格式，并将pcap文件格式传输给电子设备。

步骤220：解析该多个dns数据包，获得每一dns数据包中的dns请求的源ip地址、二级域名及二级域名的子域名。

例如，某dns请求用于查询域名news.baidu.com的ip地址，解析该dns请求可得到对应主机的源ip地址、二级域名baidu.com以及二级域名的子域名news。

步骤230：将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源ip地址以及二级域名，每一分组对应局域网内的一个主机。

步骤240：对同一分组内的子域名进行拼接，以获得目标字符串。

步骤250：根据每一分组的目标字符串构造对应的特征向量。

上述步骤230-250的具体实施方式可以参照检测阶段的描述，在此不赘述。

步骤260：利用每一分组的特征向量对一初始模型进行训练，并在训练完成后，得到异常检测模型。

初始模型可以是iforest(isolationforest，孤立森林)算法。

在步骤260中，初始模型的训练是无监督的，不需要构造恶意dns数据包流量。

综上所述，本发明提出的数据泄露检测方法，通过解析dns请求中的源ip地址及域名信息，将具有相同源ip地址及相同二级域名的子域名分到同一分组中，对同组内的子域名进行拼接得到待检测字符串，并对拼接后的待检测字符串进行检测，可对子域名过短、分多次传输或多次查询等数据泄露场景进行有效的数据泄露检测。而且，将数据泄露检测的结果与域名黑名单结合，可以进一步提升特征提取与检测的效率。

基于同一发明构思，本申请实施例提供一种数据泄露检测装置，请参照图3，该装置包括：

dns协议解析模块310，用于获取多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名；

dns数据分组模块320，用于将获得的多个子域名分成多个分组，其中，同一分组内的子域名具有相同的源ip地址以及二级域名，每一分组对应局域网内的一个主机；

子域名拼接模块330，用于对同一分组内的子域名进行拼接，以获得待检测字符串；

特征向量构造模块340，用于根据每一分组的待检测字符串构造对应的特征向量；

检测模块350，用于利用异常检测模型分别对每一分组的特征向量进行异常检测，以根据每一分组的检测结果确定该局域网内存在数据泄露的主机。

可选的，dns协议解析模块310具体用于：获取局域网内的各个主机发出的多个dns数据包，并解析获得每一dns数据包中的dns请求；基于域名黑名单和/或域名白名单对获得的多个dns请求进行筛选，以获得多个目标dns请求，并获得每一目标dns请求中的源ip地址、二级域名及所述二级域名的子域名。

可选的，dns协议解析模块310具体用于：将每一所述dns请求中的二级域名分别与所述域名黑名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名的二级域名所对应的dns请求作为目标dns请求；或者，将每一所述dns请求中的二级域名分别与所述域名白名单中的每一域名进行匹配，将未命中所述域名白名单中任一域名的二级域名所对应的dns请求作为目标dns请求；或者，将每一所述dns请求中的二级域名分别与所述域名黑名单中的每一域名以及所述域名白名单中的每一域名进行匹配，将未命中所述域名黑名单中任一域名且也未命中所述域名白名单中任一域名的二级域名所对应的dns请求作为目标dns请求。

可选的，该装置还包括：黑名单更新模块，用于在检测模块利用异常检测模型分别对每一分组的特征向量进行异常检测之后，若任一所述分组的检测结果为异常，则将所述分组对应的二级域名添加到域名黑名单中。

可选的，特征向量构造模块340包括：特征值获取子模块，用于获取所述待检测字符串的至少一个特征值，每个特征值的高低反映组成所述待检测字符串的各子域名中含有被泄露数据的概率大小；构造子模块，用于根据所述至少一个特征值以及所述异常检测模型的数据输入规则构造所述特征向量。

可选的，所述至少一个特征值包括至少一个如下特征的值：

所述待检测字符串的长度；

所述待检测字符串所对应分组中子域名的总个数；

所述待检测字符串所对应分组中经去重的子域名的个数；

所述待检测字符串的熵；

所述待检测字符串中大写字母的占比；

所述待检测字符串中数字字符的占比。

本申请实施例提供的数据泄露检测装置，其实现原理及产生的技术效果在前述方法实施例中已经介绍，为简要描述，装置实施例部分未提及之处，可参考方法实施例中相应内容。

图4示出了本申请实施例提供的电子设备400的一种可能的结构。参照图4，电子设备400包括：处理器410、存储器420以及通信接口430，这些组件通过通信总线440和/或其他形式的连接机构(未示出)互连并相互通讯。

其中，存储器420包括一个或多个(图中仅示出一个)，其可以是，但不限于，随机存取存储器(randomaccessmemory，简称ram)，只读存储器(readonlymemory，简称rom)，可编程只读存储器(programmableread-onlymemory，简称prom)，可擦除可编程只读存储器(erasableprogrammableread-onlymemory，简称eprom)，电可擦除可编程只读存储器(electricerasableprogrammableread-onlymemory，简称eeprom)等。处理器410以及其他可能的组件可对存储器420进行访问，读和/或写其中的数据。

处理器410包括一个或多个(图中仅示出一个)，其可以是一种集成电路芯片，具有信号的处理能力。上述的处理器410可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、微控制单元(microcontrollerunit，简称mcu)、网络处理器(networkprocessor，简称np)或者其他常规处理器；还可以是专用处理器，包括图形处理器(graphicsprocessingunit，gpu)、数字信号处理器(digitalsignalprocessor,简称dsp)、专用集成电路(applicationspecificintegratedcircuits，简称asic)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且，在处理器410为多个时，其中的一部分可以是通用处理器，另一部分可以是专用处理器。

通信接口430包括一个或多个(图中仅示出一个)，可以用于和其他设备进行直接或间接地通信，以便进行数据的交互。通信接口430可以包括进行有线和/或无线通信的接口。

在存储器420中可以存储一个或多个计算机程序指令，处理器410可以读取并运行这些计算机程序指令，以实现本申请实施例提供的数据泄露检测方法以及其他期望的功能，包括执行该数据泄露检测方法中检测阶段的步骤和/或训练阶段的步骤。

可以理解，图4所示的结构仅为示意，电子设备400还可以包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。电子设备400可能是pc机、笔记本电脑、平板电脑、服务器、嵌入式设备等，电子设备400不限于单台设备，也可以是多台设备的组合或者大量设备构成的集群。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令，所述计算机程序指令被计算机的处理器读取并运行时，执行本申请实施例提供的数据泄露检测方法。例如，计算机可读存储介质可以实现为图4中电子设备400中的存储器420。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。