Web攻击的识别方法和和装置[发明专利]

(12)发明专利申请

(10)申请公布号 CN 112637205 A(43)申请公布日 2021.04.09

(21)申请号 202011534478.4(22)申请日 2020.12.22

(71)申请人 北京天融信网络安全技术有限公司

地址 100000 北京市海淀区上地东路1号院

3号楼四层

申请人 北京天融信科技有限公司　

北京天融信软件有限公司(72)发明人 唐金满　梁志红　

(74)专利代理机构 北京开阳星知识产权代理有

限公司 11710

代理人 张通(51)Int.Cl.

H04L 29/06(2006.01)H04L 29/08(2006.01)

权利要求书1页 说明书7页 附图2页

(54)发明名称

Web攻击的识别方法和和装置(57)摘要

本申请提供一种web攻击的识别方法和装置，方法包括：将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；根据所述第一判定结果，确定所述请求消息是否为web攻击消息。在请求消息为非法请求的情况下，因为web服务器类型并不相同，根据拟态思想各个web服务器可能生成不同的响应信息。而通过比较响应信息，可以评估请求消息是否合法，也就可以判定请求消息是否为web攻击消息。CN 112637205 ACN 112637205 A

权　利　要　求　书

1/1页

1.一种web攻击的识别方法，其特征在于，包括：将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；

根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；根据所述第一判定结果，确定所述请求消息是否为web攻击消息。2.根据权利要求1所述web攻击的识别方法，其特征在于，根据所述第一判定结果，确定所述请求消息是否为web攻击消息，包括：

在所述第一判定结果为非法结果时，确定所述请求消息为web攻击消息。3.根据权利要求1或2所述web攻击的识别方法，其特征在于，根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果，包括：

根据所述响应信息的文本长度、包体、文本类型、状态码中的至少一种，进行一致性检测，生成所述第一判定结果。

其特征在于，还包括：4.根据权利要求1所述web攻击的识别方法，

采用攻击识别模型处理所述请求消息，得到第二判定结果；根据所述第一判定结果，确定所述请求消息是否为web攻击消息，包括：根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息。5.根据权利要求4所述web攻击的识别方法，其特征在于，根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息，包括：

在所述第一判定结果和所述第二判定结果至少之一为非法结果时，确定所述请求消息为web攻击消息。

6.根据权利要求4所述web攻击的识别方法，其特征在于，所述攻击识别模型为机器学习模型；所述方法还包括：

查找所述第一判定结果和所述第二判定结果不同的所述请求消息；根据所述请求消息获取所述web服务器中的访问日志；

周期性地采用所述访问日志重新训练并更新所述攻击识别模型。7.根据权利要求1所述web攻击的识别方法，其特征在于：

所述至少两个web服务器为从服务器样本池中随机选择的服务器。8.一种web攻击的识别装置，其特征在于，包括：分发代理单元，用于将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；

裁决判断单元，用于根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；

合法性判定单元，用于根据所述第一判定结果，确定所述请求消息是否为web攻击消息。

9.一种电子设备，其特征在于，包括处理器和存储器；所述处理器通过调用所述存储器存储的程序或指令，用于执行如权利要求1至7任一项所述web攻击的识别方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储程序或指令，所述程序或指令使计算机执行如权利要求1至7任一项所述web攻击的识别方法的步骤。

2

CN 112637205 A

说　明　书

Web攻击的识别方法和和装置

1/7页

技术领域

[0001]本申请涉及网络安全技术领域，尤其涉及一种Web攻击的识别方方法和装置。背景技术

[0002]Web应用防护系统用于对客户端请求进行内容检测和验证，识别非法的web请求(也就是web攻击)，实现对网站站点的有效保护。

[0003]传统的Web应用防护系统依赖于规则库和黑白名单方式，安全人员需要配置合理的用于非法请求筛选的正则表达式，通过正则表达式实现web攻击的拦截。为了提高防护效果，需要提高正则表达式的准确性，细化正则规则；因此正则表达式由安全人员构建，采用规则库和黑白名单方式需要安全人员持续识别漏洞，并根据识别的漏洞构建新的正则表达式而实现打补丁。

[0004]为解决前述问题，行业内提出了采用机器学习方法，以样本库为依据训练构建模型，采用训练模型识别web请求是否为web攻击。实际应用中，由于样本库很可能并不具有广泛的代表性，使得采用样本库训练得到的模型并不能有效地识别web攻击。发明内容

[0005]为了解决上述技术问题或者至少部分地解决上述技术问题，本申请提供了一种web攻击的识别方法和装置。[0006]一方面，本申请提供一种web攻击的识别方法，包括：[0007]将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；[0008]根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；[0009]根据所述第一判定结果，确定所述请求消息是否为web攻击消息。[0010]可选地，包括：根据所述第一判定结果，确定所述请求消息是否为web攻击消息，[0011]在所述第一判定结果为非法结果时，确定所述请求消息为web攻击消息。[0012]可选地，根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果，包括：

[0013]根据所述响应信息的文本长度、包体、文本类型、状态码中的至少一种，进行一致性检测，生成所述第一判定结果。[0014]可选地，还包括：采用攻击识别模型处理所述请求消息，得到第二判定结果；[0015]根据所述第一判定结果，确定所述请求消息是否为web攻击消息，包括：[0016]根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息。

[0017]可选地，根据所述第一判定结果和所述第二判定结果，确定所述请求消息是否为web攻击消息，包括：

[0018]在所述第一判定结果和所述第二判定结果至少之一为非法结果时，确定所述请求

3

CN 112637205 A

说　明　书

2/7页

消息为web攻击消息。[0019]可选地，所述攻击识别模型为机器学习模型；所述方法还包括：

[0020]查找所述第一判定结果和所述第二判定结果不同的所述请求消息；[0021]根据所述请求消息获取所述web服务器日志中的访问日志；[0022]周期性地采用所述访问日志重新训练并更新所述攻击识别模型。[0023]可选地，所述至少两个web服务器为从服务器样本池中随机选择的服务器。[0024]另一方面，本申请提供一种web攻击的识别装置，包括：[0025]分发代理单元，用于将获取的请求消息下发给至少两个web服务器，以使各个所述web服务器处理所述请求消息而生成响应信息；各个所述web服务器的类型互不相同；[0026]裁决判断单元，用于根据各个所述web服务器生成的响应信息进行一致性裁决，生成第一判定结果；

[0027]合法性判定单元，用于根据所述第一判定结果，确定所述请求消息是否为web攻击消息。

[0028]本申请提供的web攻击的识别方法和装置，采用了至少两个类型不同的web服务器处理请求消息生成响应信息；按照拟态思想，在请求消息为合法请求的情况下，各个web服务器生成的响应信息相同；而在请求消息为非法请求的情况下，因为web服务器类型并不相同，根据拟态思想各个web服务器可能生成不同的响应信息。而通过比较响应信息，可以反向地评估请求消息是否合法，也就可以判定请求消息是否为web攻击消息。附图说明

[0029]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

[0030]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。[0031]图1是本申请一实施例提供的web攻击的识别方法流程图；[0032]图2是本申请另一实施例提供的web攻击的识别方法流程图[0033]图3是本申请实施例提供的web攻击的识别装置结构示意图。[0034]图4是本申请实施例提供的电子设备的结构示意图；[0035]其中：11‑分发代理单元，12‑裁决判断单元，13‑合法性判定单元；21‑处理器，22‑存储器，23‑通信接口，24‑总线系统。具体实施方式

[0036]为了能够更清楚地理解本申请的上述目的、特征和优点，下面将对本申请的方案

需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可进行进一步描述。

以相互组合。

[0037]在下面的描述中阐述了很多具体细节以便于充分理解本申请，但本申请还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本申请的一部分实施例，而不是全部的实施例。

4

CN 112637205 A[0038]

说　明　书

3/7页

本申请实施例提供一种web攻击的识别方法，应用于网关设备，通过采用拟态思想

实现对请求消息中web攻击消息的识别。图1是本申请一实施例提供的web攻击的识别方法流程图；如图1所示，本申请实施例提供的web攻击的识别方法包括步骤S101‑S103。[0039]S101：将获取的请求消息下发给至少两个web服务器，以使得各个web服务器处理请求消息而生成响应信息。[0040]本申请实施例中，步骤S101中提及的web服务器的类型互不相同，其中类型互不相同包括web服务器是不同厂商提供的web服务器，可能是不同版本类型的web服务器，也可能是具有不同架构类型的web服务器。[0041]本申请实施例中，各个web服务器可以是具有独立实体架构的服务器，也可以是采用虚拟技术在实体计算机设备上搭建的虚拟化服务器。[0042]前述的至少两个web服务器中，各个web服务器均可以正常地提供web服务，在接收到请求消息后对请求消息进行处理，生成相应的响应信息和访问日志。[0043]实际应用中，可以预先设置一个服务器样本池，服务器样本池中存储多个web服务器；在执行步骤S101时，可以随机地在服务器样本池中选择至少两个web服务器。[0044]为了满足业务需求，在请求消息为正常请求消息的情况下，各个web服务器在接收到正常请求消息后，均能够生成相同的响应信息。如果请求消息为非法的请求消息(也就是web攻击消息)，各个web服务器可能因为架构不同、结构的不同而生成不同的反馈消息和不同的响应信息。[0045]S102：生成第一判定结果。根据各个web服务器生成的响应信息进行一致性裁决，[0046]本申请实施例中，在获得各个web服务器生成的响应信息后，对各个web服务器的响应信息进行一致性裁决，比较各个响应信息的内容，并根据比较内容确定第一判定结果的过程。

[0047]本申请实施例中，可以根据响应信息的状态码、包体、文本长度和文本类型中的至少一个，采用一致性表决算法确定各个日志是否相同。如果各个日志相同，则生成的第一判定结果是表征请求消息合法的结果；而如果各个日志并不相同，则生成的第一判定结果是表征请求消息不合法的结果。[0048]S103：根据第一判定结果，确定请求消息是否为web攻击消息。[0049]在本申请一个实施例中，根据第一判定结果确定请求消息是否为web攻击消息包括：如果第一判定结果是表征请求消息合法的结果，则认定请求消息不是web攻击消息；如果第一判定结果是表征请求消息不合法的结果，则认定请求消息为web攻击消息。[0050]本申请实施例中，在确定请求消息为web攻击消息的情况下，则不再向请求消息对应的客户端发送反馈消息，也就是不向可能发起web攻击的客户端提供服务。此时，在客户端的显示端可能显示的为异常页面。

[0051]本申请实施例提供的web攻击的识别方法中，步骤S101中采用了至少两个类型不同的web服务器处理请求消息生成响应信息；按照拟态思想，在请求消息为合法请求的情况下，各个web服务器生成的响应信息相同；而在请求消息为非法请求的情况下，因为web服务器类型并不相同，根据拟态思想各个web服务器可能生成不同的响应信息。而通过比较响应信息，可以反向地评估请求消息是否合法，也就可以判定请求消息是否为web攻击消息。[0052]图2是本申请另一实施例提供的web攻击的识别方法流程图。如图2所示，本申请实

5

CN 112637205 A

说　明　书

4/7页

施例中的另一web攻击的识别方法包括步骤S201‑S204。[0053]S201：将获取的请求消息下发给至少两个web服务器，以使得各个web服务器处理请求消息而生成响应信息。[0054]S202：根据各个web服务器生成的响应信息进行一致性裁决，生成第一判定结果。[0055]步骤S201与步骤S101的操作内容相同，步骤S202与步骤S102的操作内容相同，此处不再复述。[0056]S203：采用攻击识别模型处理请求消息，得到第二判定结果。[0057]本申请实施例中，攻击识别模型是一个预先训练的、用于识别是否请求消息是否为web攻击消息的机器学习模型。

[0058]如果攻击模型识别请求消息为web攻击消息的概率较大，则其对应的生成的第二判定结果为不合法的结果。[0059]S204：根据第一判定结果和第二判定结果，确定请求消息是否为web攻击消息。[0060]在本申请的一个实施例中，根据第一判定结果和第二判定结果，确定请求消息是否为web攻击消息，可以是在第一判定结果和第二判定结果中的一个为非法结果的情况下，即将请求消息判定为web攻击消息。采用前述第一判定结果和第二判定结果判定请求消息是否为web攻击消息的方法，利用两种不同判定结果综合判定是否为web攻击消息，进一步地排除了某些web攻击消息可能不被识别的问题。[0061]当然，在本申请的其他实施例中，也可以在第一判定结果和第二判定结果均为非法结果的情况下，确定请求消息为web攻击消息。[0062]在本申请的另一实施例中，在采用第一判定结果和第二判定结果至少之一为非法结果时，确定请求消息为web攻击消息的情况下，还可以执行如下步骤S205‑S207。[0063]S205：识别第一判定结果和第二判定结果不同的请求消息。[0064]本申请实施例中，可以建立一个异常记录表，异常记录表中存储有各个请求消息，以及对应的第一判定结果和第二判定结果。例如，在一个具体应用中，异常记录表如下表。[0065]异常记录表

ID请求消息E0F0Status1url11102url2011…………..nurl000

[0067]具体的：在第一判定结果为合法结果时将F0设置为1，在第一判定结果为非法结果时将F0设置为0；在第二判定结果为合法结果时将E0设置为1，在第二判定结果为非法结果时将E0设置为0。在F0和E0为相同值时，设定status为0，在F0和E0为不同值时，设置status为1。因此，根据status的数值，可以识别得到第一判定结果和第二判定结果不同的请求消息。

[0068]S206：根据请求消息获取web服务器中的访问日志。[0069]步骤S206中，根据请求消息获取web服务器中的访问日志，是利用请求消息作为查询标识符，查询相应的日志。本申请实施例中，访问日志可以存储到问题日志服务器中[0070]S207：周期性地采访问日志重新训练并更新攻击识别模型。

6

[0066]

CN 112637205 A[0071]

说　明　书

5/7页

在经过一定地周期后，可以采用日志服务器中的一条日志，重新对攻击识别模型

进行训练，并更新攻击识别模型。[0072]采用前述的方法，可以自动化地并且实时地获取不同类型web服务器的日志作为训练样本，实现对攻击识别模型的训练。因为前述训练样本快速地更新，实现了样本的多样性，也就增强了模型的泛化能力和通用性，提高了对未知攻击的区分能力。[0073]具体的，因为第一判定结果具有较高的判定准确率，而攻击识别模型确定的第二判定结果存在一定的误判率；在第一判定结果和第二判定结果不同时，可能攻击识别模型过分用权而使得结果不准确；利用多个web服务器生成的访问日志训练攻击识别模型，对模型进行优化，扩大了模型识别范围，同时提升了模型对未知漏洞的识别能力。[0074]除了提供前述的web攻击的识别方法外，本申请实施例还提供一种web攻击的识别装置。

[0075]图3是本申请实施例提供的web攻击的识别装置结构示意图。如图3所示，web攻击的识别装置包括分发代理单元11、裁决判断单元12和合法性判定单元13。

[0076]分发代理单元11用于将获取的请求消息下发给至少两个web服务器，以使各个web服务器处理请求消息而生成响应信息。[0077]本申请实施例中，各个web服务器的类型互不相同，其中类型互不相同包括web服务器是不同厂商提供的web服务器，可能是不同版本类型的web服务器，也可能是具有不同架构类型的web服务器。[0078]本申请实施例中，各个web服务器可以是具有独立实体架构的服务器，也可以是采用虚拟技术在实体计算机设备上搭建的虚拟化服务器。[0079]前述的至少两个web服务器中，各个web服务器均可以正常地提供web服务，在接收到请求消息后对请求消息进行处理，生成相应的响应信息，并生成访问日志。[0080]实际应用中，可以预先设置一个服务器样本池，服务器样本池中存储多个web服务器；分发代理单元11可以在服务器样本池中随机地选择至少两个web服务器，并将获取的请求消息下发给选中的web服务器。[0081]为了满足业务需求，在请求消息为正常请求消息的情况下，各个web服务器在接收

如果请求消到正常请求消息后，均能够生成相应的反馈消息，也就生成了相同的响应信息。

息为非法的请求消息(也就是web攻击消息)，各个web服务器可能因为架构不同、结构的不同而生成不同的响应信息。

[0082]裁决判断单元12用于根据各个web服务器生成的响应信息进行一致性裁决，生成第一判定结果。

[0083]本申请实施例中，在获得各个web服务器生成的响应信息后，对各个web服务器的响应信息进行一致性裁决，是比较各个响应信息的内容，并根据比较内容确定第一判定结果的过程。

[0084]本申请实施例中，可以根据响应信息的状态码、包体、文本长度和文本类型中的至少一个，采用一致性表决算法确定各个响应信息是否相同。如果各个响应信息相同，则生成的第一判定结果是表征请求消息合法的结果；而如果各个响应信息并不相同，则生成的第一判定结果是表征请求消息不合法的结果。

[0085]合法性判定单元13用于根据第一判定结果，确定请求消息是否为web攻击消息。

7

CN 112637205 A[0086]

说　明　书

6/7页

在本申请一个实施例中，根据第一判定结果确定请求消息是否为web攻击消息包

括：如果第一判定结果是表征请求消息合法的结果，则认定请求消息不是web攻击消息；如果第一判定结果是表征请求消息不合法的结果，则认定请求消息为web攻击消息。[0087]本申请实施例中，在确定请求消息为web攻击消息的情况下，则不再向请求消息对应的客户端发送反馈消息，也就是不向可能发起web攻击的客户端提供服务。此时，在客户端的显示端可能显示的为异常页面。

[0088]本申请实施例提供的web攻击的识别装置，采用至少两个类型不同的web服务器处理请求消息生成响应信息；按照拟态思想，在请求消息为合法请求的情况下，各个web服务器生成的反馈消息和响应信息相同；而在请求消息为非法请求的情况下，因为web服务器类型并不相同，根据拟态思想各个web服务器可能生成不同的响应信息。而通过比较响应信息，可以反向地评估请求消息是否合法，也就可以判定请求消息是否为web攻击消息。[0089]在本申请的另一实施例中，web攻击的识别装置除了包括前述的分发代理单元11、

还可以包括模型识别单元。裁决判断单元12和合法性判定单元13外，

[0090]模型识别单元用于采用攻击识别模型处理请求消息，得到第二判定结果。[0091]对应的合法性判定单元13根据第一判定结果和第二判定结果，确定请求消息是否为web攻击消息。

[0092]在本申请的一个实施例中，根据第一判定结果和第二判定结果，确定请求消息是否为web攻击消息，可以是在第一判定结果和第二判定结果中的一个为非法结果的情况下，即将请求消息判定为web攻击消息。采用前述第一判定结果和第二判定结果判定请求消息是否为web攻击消息的方法，利用两种不同判定结果综合判定是否为web攻击消息，进一步地排除了某些web攻击消息可能不被识别的问题。[0093]本申请的一个实施例中，web攻击的识别装置还可以包括请求消息识别单元、访问日志获取单元和攻击识别模型训练单元。

[0094]请求消息识别单元用于识别第一判定结果和第二判定结果不同的请求消息。[0095]访问日志获取单元用于根据请求消息获取web服务器中的访问日志。根据请求消息获取访问日志，是利用请求消息作为查询标识符，查询web服务器获取访问日志的过程。本申请实施例中，获取的访问日志可以存储到问题日志服务器中

[0096]攻击识别模型训练单元用于周期性地采用访问日志重新训练并更新攻击识别模型。在经过一定地周期后，可以采用日志服务器中的访问日志，重新对攻击识别模型进行训练，并更新攻击识别模型。[0097]采用前述的方法，可以自动化地并且实时地获取不同类型web服务器的日志作为训练样本，实现对攻击识别模型的训练。因为前述训练样本快速地更新，实现了样本的多样性，也就增强了模型的泛化能力和通用性，提高了对未知攻击的区分能力。[0098]基于前述的发明构思，本申请还提供一种电子设备。图4是本申请实施例提供的电子设备的结构示意图。如图4所示，第一服务器包括至少一个处理器21、至少一个存储器22和至少一个通信接口23。通信接口23，用于与外部设备之间的信息传输。[0099]第一服务器中的各个组件通过总线系统24耦合在一起。可理解地，总线系统24用于实现这些组件之间的连接通信。总线系统24除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但为了清楚说明起见，在图4中将各种总线都标为总线系统24。

8

CN 112637205 A[0100]

说　明　书

7/7页

可以理解，本实施例中的存储器22可以是易失性存储器或非易失性存储器，或可

包括易失性和非易失性存储器两者。在一些实施方式中，存储器22存储了如下的元素，可执行单元或者数据结构，或者他们的子集，或者他们的扩展集：操作系统和应用程序。[0101]其中，操作系统，包含各种系统程序，例如框架层、核心库层、驱动层等，用于实现各种基础任务以及处理基于硬件的任务。应用程序，包含各种应用程序，例如媒体播放器(MediaPlayer)、浏览器(Browser)等，用于实现各种应用任务。实现本公开实施例提供的web攻击的识别方法的程序可以包含在应用程序中。[0102]在本公开实施例中，处理器21通过调用存储器22存储的程序或指令，具体的，可以是应用程序中存储的程序或指令，处理器21用于执行本公开实施例提供的web攻击的识别方法的各个步骤。

[0103]本公开实施例提供的web攻击的识别方法可以应用于处理器21中，或者由处理器21实现。处理器21可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方

上述的法的各步骤可以通过处理器21中的硬件的集成逻辑电路或者软件形式的指令完成。

处理器21可以是通用处理器、数字信号处理器(DigitalSignalProcessor，DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit，ASIC)、现成可编程门阵列(FieldProgrammableGateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

[0104]本公开实施例提供的web攻击的识别方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件单元组合执行完成。软件单元可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器22，处理器21读取存储器22中的信息，结合其硬件完成方法的步骤。

[0105]本公开实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储程序或指令，所述程序或指令使计算机执行web攻击的识别方法的步骤各实施例的步骤，为避免重复描述，在此不再赘述。[0106]需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[0107]以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

9

CN 112637205 A

说　明　书　附　图

1/2页

图1

图2

图3

10

CN 112637205 A

说　明　书　附　图

2/2页

图4

11