木马程序监控方法、装置、计算设备及存储介质

技术领域

本发明涉及计算机及操作系统技术领域，尤其涉及一种木马程序监控方法、监控装置、计算设备及存储介质。

背景技术

目前，由于虚拟货币区块链等技术和产品的发展以及虚拟货币价值的持续升高，导致一些企业内部的主机常常被恶意植入挖矿木马，消耗服务器资源来进行挖矿，防不胜防。

现有技术方案，由于挖矿程序通常会占用大量的系统资源和网络资源，采用人工排查的方案，结合经验检查企业机构内部主机的异常情况，例如包括多台主机卡顿、主机风扇狂响、在线业务或服务频繁无响应、内部网络拥堵等异常情况。并且，在反复重启、排除系统和程序本身的问题后依然无法解决异常，则需要考虑是否感染了恶意挖矿程序。现有的人工排查方案过于依赖人工经验水平，且耗费人力。

为此，需要一种木马程序监控方法，以解决上述方案中存在的问题。

发明内容

为此，本发明提供一种木马程序监控方法及监控装置，以解决或至少缓解上面存在的问题。

根据本发明的一个方面，提供一种木马程序监控方法，在计算设备中执行，所述计算设备中运行有操作系统，所述方法包括：检测所述操作系统的关键文件路径是否发生变更，如果是，则获取触发所述关键文件路径发生变更的调用者进程，作为第一异常进程；从所述操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程，作为第二异常进程；对所述第一异常进程、第二异常进程进行特征匹配，以确定所述第一异常进程、第二异常进程是否是木马程序。

可选地，在根据本发明的木马程序监控方法中，从操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程，包括：基于预定时间间隔，从所述操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程。

可选地，在根据本发明的木马程序监控方法中，获取系统资源占用最高的进程，作为第二异常进程，包括：判断所述系统资源占用最高的进程的资源占用率是否达到预定资源占用率；如果是，则将所述系统资源占用最高的进程作为第二异常进程。

可选地，在根据本发明的木马程序监控方法中，获取系统资源占用最高的进程，包括：获取CPU资源占用最高或存储资源占用最高的进程。

可选地，在根据本发明的木马程序监控方法中，所述方法还包括：获取所述操作系统的关键文件路径；计算所述关键文件路径的摘要值并对所述摘要值进行备份。

可选地，在根据本发明的木马程序监控方法中，对所述第一异常进程、第二异常进程进行特征匹配，以确定所述第一异常进程、第二异常进程是否是木马程序，包括：判断所述第一异常进程、第二异常进程是否发起异常网络连接；如果发起异常网络连接，则判断所述异常网络连接是否采用预定协议进行加密，并判断加密过程中的交换证书是否是木马程序特征库中的证书；如果是，则确定所述第一异常进程、第二异常进程是木马程序。

可选地，在根据本发明的木马程序监控方法中，所述木马程序为挖矿程序，判断加密过程中的交换证书是否是木马程序特征库中的已知证书，包括：判断加密过程中的交换证书是否是挖矿程序特征库中的矿池证书，并判断与所述挖矿程序建立异常网络连接的目标矿池IP是否属于挖矿程序特征库中的矿池IP地址池；如果是，则确定所述第一异常进程、第二异常进程是挖矿程序。

可选地，在根据本发明的木马程序监控方法中，对所述第一异常进程、第二异常进程进行特征匹配，以确定所述第一异常进程、第二异常进程是否是木马程序，还包括：对所述第一异常进程、第二异常进程的调用文件进行文件特征匹配，以确定所述调用文件是否包含木马程序特征文件；如果所述调用文件包含木马程序特征文件，则确定所述第一异常进程、第二异常进程是木马程序。

根据本发明的一个方面，提供一种监控装置，驻留在计算设备中，所述计算设备中运行有操作系统，所述装置包括：检测模块，适于检测所述操作系统的关键文件路径是否发生变更，如果是，则获取触发所述关键文件路径发生变更的调用者进程，作为第一异常进程；获取模块，适于从所述操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程，作为第二异常进程；特征匹配模块，适于对所述第一异常进程、第二异常进程进行特征匹配，以确定所述第一异常进程、第二异常进程是否是木马程序。

根据本发明的一个方面，提供一种计算设备，包括：至少一个处理器；存储器，存储有程序指令，其中，程序指令被配置为适于由上述至少一个处理器执行，所述程序指令包括用于执行如上所述的木马程序监控方法的指令。

根据本发明的一个方面，提供一种存储有程序指令的可读存储介质，当该程序指令被计算设备读取并执行时，使得该计算设备执行如上所述的木马程序监控方法。

根据本发明的技术方案，提供了一种木马程序监控方法，其中，通过检测操作系统的关键文件路径是否发生变更，将触发关键文件路径发生变更的调用者进程作为异常进程，以及，将系统资源占用最高的进程作为异常进程。针对可能是木马程序的异常进程，通过特征匹配模块来对异常进程进行特征匹配，以确定异常进程是否是木马程序，以便针对该木马程序进行告警。这样，本发明只需要检测文件路径和进程的资源占用情况，通过进行特征匹配便可以快速甄别包含挖矿程序在内的木马程序，从而能实现在消耗较少的系统资源的前提下，自动监控包含挖矿程序在内的木马程序，对包含挖矿程序在内的木马程序进行快速响应和告警。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。

图1示出了根据本发明一个实施例的计算设备100的示意图；

图2、图3分别示出了根据本发明一个实施例的木马程序监控方法200的流程示意图；

图4示出了根据本发明一个实施例的监控装置400的示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的计算设备100的示意图。如图1所示，在基本配置中，计算设备100包括至少一个处理单元102和系统存储器104。根据一个方面，取决于计算设备的配置和类型，处理单元102可以实现为处理器。系统存储器104包括但不限于易失性存储(例如，随机存取存储器)、非易失性存储(例如，只读存储器)、闪速存储器、或者这样的存储器的任何组合。根据一个方面，系统存储器104中包括操作系统105。

根据一个方面，操作系统105例如适合于控制计算设备100的操作。此外，示例结合图形库、其他操作系统、或任何其他应用程序而被实践，并且不限于任何特定的应用或系统。在图1中通过在虚线内的那些组件示出了该基本配置。根据一个方面，计算设备100具有额外的特征或功能。例如，根据一个方面，计算设备100包括额外的数据存储设备(可移动的和/或不可移动的)，例如磁盘、光盘、或者磁带。这样额外的存储在图1中是由可移动存储设备109和不可移动存储设备110示出的。

如在上文中所陈述的，根据一个方面，在系统存储器104中存储有程序模块103。根据一个方面，程序模块103可以包括一个或多个应用程序，本发明不限制应用程序的类型，例如应用程序可以包括：电子邮件和联系人应用程序、文字处理应用程序、电子表格应用程序、数据库应用程序、幻灯片展示应用程序、绘画或计算机辅助应用程序、网络浏览器应用程序等。在根据本发明的实施例中，程序模块103中的应用程序可以包括监控装置400，监控装置400被配置为执行本发明的木马程序监控方法200。

根据一个方面，可以在包括分立电子元件的电路、包含逻辑门的封装或集成的电子芯片、利用微处理器的电路、或者在包含电子元件或微处理器的单个芯片上实践示例。例如，可以经由其中在图1中所示出的每个或许多组件可以集成在单个集成电路上的片上系统(SOC)来实践示例。根据一个方面，这样的SOC设备可以包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元、以及各种应用功能，其全部作为单个集成电路而被集成(或“烧”)到芯片基底上。当经由SOC进行操作时，可以经由在单个集成电路(芯片)上与计算设备100的其他组件集成的专用逻辑来对在本文中所描述的功能进行操作。还可以使用能够执行逻辑操作(例如AND、OR和NOT)的其他技术来实践本发明的实施例，所述其他技术包括但不限于机械、光学、流体、和量子技术。另外，可以在通用计算机内或在任何其他任何电路或系统中实践本发明的实施例。

根据一个方面，计算设备100还可以具有一个或多个输入设备112，例如键盘、鼠标、笔、语音输入设备、触摸输入设备等。还可以包括输出设备114，例如显示器、扬声器、打印机等。前述设备是示例并且也可以使用其他设备。计算设备100可以包括允许与其他计算设备118进行通信的一个或多个通信连接116。合适的通信连接116的示例包括但不限于：RF发射机、接收机和/或收发机电路；通用串行总线(USB)、并行和/或串行端口。

如在本文中所使用的术语计算机可读介质包括计算机存储介质。计算机存储介质可以包括以任何用于存储信息(例如，计算机可读指示、数据结构、或程序模块103)的方法或技术来实现的易失性的和非易失性的、可移动的和不可移动的介质。系统存储器104、可移动存储设备109、和不可移动存储设备110都是计算机存储介质的示例(即，存储器存储)。计算机存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、电可擦只读存储器(EEPROM)、闪速存储器或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储、盒式磁带、磁带、磁盘存储器或其他磁存储设备、或者可用于存储信息并且可以由计算机设备100访问的任何其他制品。根据一个方面，任何这样的计算机存储介质都可以是计算设备100的一部分。计算机存储介质不包括载波或其他经传播的数据信号。

根据一个方面，通信介质是由计算机可读指令、数据结构、程序模块103、或者经调制的数据信号(例如，载波或其他传输机制)中的其他数据实施的，并且包括任何信息传递介质。根据一个方面，术语“经调制的数据信号”描述了具有一个或多个特征集或者以将信息编码在信号中的方式改变的信号。作为示例而非限制，通信介质包括诸如有线网络或直接有线连接之类的有线介质，以及诸如声学、射频(RF)、红外线的、以及其他无线介质之类的无线介质。

在根据本发明的实施例中，计算设备100被配置为执行根据本发明的木马程序监控方法200。计算设备100包括一个或多个处理器、以及存储有程序指令的一个或多个可读存储介质，当程序指令被配置为由一个或多个处理器执行时，使得计算设备执行本发明实施例中的木马程序监控方法200。

根据本发明的一个实施例，计算设备100的监控装置400被配置为执行根据本发明的木马程序监控方法200。其中，监控装置400中包含用于执行本发明的木马程序监控方法200的多条程序指令，这些程序指令可以指示处理器执行根据本发明的木马程序监控方法200。

图2、图3分别示出了根据本发明一个实施例的木马程序监控方法200的流程示意图。方法200适于在计算设备(前述计算设备100)的监控装置400中执行，计算设备中运行有操作系统。

根据本发明的一个实施例，木马程序例如可以包括挖矿程序，但本发明并不受限于木马程序的具体类型。

如图2和图3所示，方法200包括步骤210～230。

在步骤210中，检测操作系统的关键文件路径是否发生变更，如果是，则获取触发关键文件路径发生变更的调用者进程，将触发关键文件路径发生变更的调用者进程作为第一异常进程。这里，系统的关键文件路径可以包括一个或多个。

需要说明的是，对于包含挖矿程序在内的木马程序，通常会在操作系统的关键文件路径上生成一些特殊配置文件，或者在关键文件路径上进行文件替换。例如，挖矿程序会在操作系统cron任务中添加系统自启任务，或者，在开机自启动检测的/etc/init.d/、/etc/rc.local、/etc/systemd/system/等目录下增加自启动任务，或者，添加ssh公钥登录。又例如，挖矿程序会在关键文件路径上进行系统命令的替换，包括替换netstat、ps、ls等系统命令，通过将病毒文件隐藏为系统命令的方式来隐藏病毒文件。另外，常见的存储算例挖矿程序，会在/tmp目录下生成大量临时文件，包括对应矿池的特性文件。

由于木马程序在操作系统的关键文件路径上生成特殊配置文件、或者在关键文件路径上进行文件替换等操作，均会导致关键文件路径发生变更。基于此，在本发明的实施例中，通过检测操作系统的关键文件路径是否发生变更，当检测到操作系统的关键文件路径发生变更时，触发该关键文件路径发生变更的调用者进程可能是木马程序，因此，可以将触发关键文件路径发生变更的调用者进程作为第一异常进程，并需要进一步通过特征匹配模块来验证该第一异常进程(调用者进程)是否是木马程序。

在一个实施例中，在执行步骤210之前，在启动操作系统后，可以获取操作系统的关键文件路径，计算关键文件路径的摘要值，并对关键文件路径的摘要值进行备份，从而实现对操作系统的关键文件路径进行数字指纹备份。

具体地，可以基于摘要算法计算关键文件路径的摘要值，并对关键文件路径的摘要值进行备份存储。可以理解，当关键文件路径发生变更时，关键文件路径的摘要值也会发生变化。

在一种实现方式中，摘要算法例如可以实现为MD5，相应地，关键文件路径的摘要值可以为关键文件路径的MD5值(也称为“数字指纹”)。

在一个实施例中，操作系统的关键文件例如包括/etc/hosts文件，/usr/bin目录下常用系统文件，/etc/crontab定时任务文件，/root/.ssh/authorized_keys认证公钥文件等。

在步骤210中，当检测到/etc/hosts文件被改写，或者，检测到/etc/crontab定时任务文件中新增了自动运行任务，可以确定操作系统的关键文件路径发生变更，并可以记录触发关键文件路径发生变更的调用者进程、以及发生变更的内容，将触发关键文件路径发生变更的调用者进程作为第一异常进程。

在步骤220中，从操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程，并将系统资源占用最高的进程作为第二异常进程。

具体地，可以基于预定时间间隔，从操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程。这里，系统资源占用最高的进程，例如可以是CPU资源占用最高或者存储资源占用最高的进程。存储资源占用最高的进程，也即对磁盘存储io调用最频繁的进程。

需要说明的是，由于包含挖矿程序在内的木马程序会占用大量的系统算力或者存储能力，因此，当这些木马程序在操作系统上运行时，会表现为：系统CPU资源或者存储资源长时间被异常进程大量占用。

基于此，在本发明的一个实施例中，通过定时采样统计每个预定时间间隔内的系统资源占用最高的进程，经统计确定的系统资源占用最高的进程可能是木马程序，因此，可以将每个预定时间间隔内的系统资源占用最高的进程作为第二异常进程，需要进一步通过特征匹配模块来验证该第二异常进程(系统资源占用最高的进程)是否是木马程序。

在一个实施例中，可以针对异常资源占用情况预先配置预定资源占用率、预定资源占用时长等信息，生成配置文件。在每隔预定四航局从操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程后，可以基于配置文件，判断系统资源占用最高的进程的资源占用率是否达到预定资源占用率，如果达到预定资源占用率，则可以将系统资源占用最高的进程作为第二异常进程。进一步地，还可以进一步判断系统资源占用最高的进程的资源占用时长是否达到预定时长，如果系统资源占用最高的进程的资源占用率达到预定资源占用率、且资源占用时长是否达到预定时长，则可以将系统资源占用最高的进程作为第二异常进程。

在步骤230中，可以通过特征匹配模块，来对异常进程(第一异常进程、第二异常进程)进行特征匹配，以确定异常进程(第一异常进程、第二异常进程)是否是木马程序。这里，异常进程可以包括前文获取到的触发关键文件路径发生变更的调用者进程(第一异常进程)、系统资源占用最高的进程(第二异常进程)。也就是说，对于前述确定的第一异常进程、第二异常进程，均可以执行步骤230来对异常进程进行特征匹配，以确定异常进程是否是木马程序。

如果特征匹配模块确定第一异常进程、第二异常进程是木马程序，可以针对木马程序进行告警，从而可以实现对包含挖矿程序在内的木马程序的快速响应和告警。

在一个实施例中，对异常进程(第一异常进程、第二异常进程)进行特征匹配，可以是对异常进程(第一异常进程、第二异常进程)的调用文件进行文件特征匹配，以确定调用文件是否包含木马程序特征文件(二进制特征文件)。如果异常进程(第一异常进程、第二异常进程)的调用文件包含木马程序特征文件，则可以确定异常进程(第一异常进程、第二异常进程)是木马程序。

另外，由于包含挖矿程序在内的木马程序的网络连接过程通常会进行加密，即，进行加密通信。并且，可以采用预定协议进行加密，例如采用TLS(Transport LayerSecurity，安全传输层协议)建立加密数据通道。例如，挖矿程序需要与矿池进行网络连接，以通过矿池提供算力来实现协同挖矿，挖矿程序与矿池的加密通信过程会采用TLS证书，而且，公用矿池的IP也是确定的。

基于此，在一个实施例中，对异常进程进行特征匹配，还可以是对异常程序进行加密通信特征匹配。具体地，可以通过以下方法来对异常进程(第一异常进程、第二异常进程)进行特征匹配：判断异常进程(第一异常进程、第二异常进程)是否发起异常网络连接，如果异常进程(第一异常进程、第二异常进程)发起异常网络连接，则判断异常网络连接的过程是否采用预定协议进行加密，并判断加密过程中的交换证书是否是木马程序特征库中已知的证书。这里，预定协议例如为TLS协议，即，可以判断异常网络连接的过程是否采用TLS协议进行加密。

如果异常网络连接的过程是采用预定协议进行加密，并且，加密过程中的交换证书是木马程序特征库中已知的证书，则可以确定异常进程(第一异常进程、第二异常进程)是木马程序。

在一个实施例中，木马程序例如为挖矿程序，相应地，木马程序特征库可以实现为挖矿程序特征库。挖矿程序可以与目标矿池建立异常网络连接。

判断加密过程中的交换证书是否是木马程序特征库中已知的证书，具体可以实现为：判断加密过程中的交换证书是否是挖矿程序特征库中的已知的矿池证书，并判断与挖矿程序建立异常网络连接的目标矿池IP，是否属于挖矿程序特征库中的矿池IP地址池。如果交换证书是挖矿程序特征库中的已知的矿池证书，并且，与挖矿程序建立异常网络连接的目标矿池IP属于挖矿程序特征库中的矿池IP地址池，则确定异常进程(第一异常进程、第二异常进程)是挖矿程序。

图4示出了根据本发明的一个实施例的监控装置400的示意图。监控装置400驻留在计算设备(例如前述计算设备100)中，计算设备中运行有操作系统。监控装置400适于执行本发明的木马程序监控方法200。

如图4所示，监控装置400包括依次通信相连的检测模块410、获取模块420、特征匹配模块430。

其中，检测模块410适于检测操作系统的关键文件路径是否发生变更，如果是，则获取触发所述关键文件路径发生变更的调用者进程，作为第一异常进程。获取模块420适于从操作系统上运行的一个或多个进程中，获取系统资源占用最高的进程，作为第二异常进程。特征匹配模块430适于对第一异常进程、第二异常进程进行特征匹配，以确定第一异常进程、第二异常进程是否是木马程序。

应当指出，检测模块410用于执行前述步骤210，获取模块420用于执行前述步骤220，特征匹配模块430用于执行前述步骤230。这里，检测模块410、获取模块420、特征匹配模块430的具体执行逻辑参见前文方法200中对步骤210～230的描述，此处不再赘述。

根据本发明的木马程序监控方法，通过检测操作系统的关键文件路径是否发生变更，将触发关键文件路径发生变更的调用者进程作为异常进程，以及，将系统资源占用最高的进程作为异常进程。针对可能是木马程序的异常进程，通过特征匹配模块来对异常进程进行特征匹配，以确定异常进程是否是木马程序，以便针对该木马程序进行告警。这样，本发明只需要检测文件路径和进程的资源占用情况，通过进行特征匹配便可以快速甄别包含挖矿程序在内的木马程序，从而能实现在消耗较少的系统资源的前提下，自动监控包含挖矿程序在内的木马程序，对包含挖矿程序在内的木马程序进行快速响应和告警。

这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本发明的方法和设备，或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介，例如可移动硬盘、U盘、软盘、CD-ROM或者其它任意机器可读的存储介质中的程序代码(即指令)的形式，其中当程序被载入诸如计算机之类的机器，并被所述机器执行时，所述机器变成实践本发明的设备。

在程序代码在可编程计算机上执行的情况下，移动终端一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)，至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的所述程序代码中的指令，执行本发明的木马程序监控方法。

以示例而非限制的方式，可读介质包括可读存储介质和通信介质。可读存储介质存储诸如计算机可读指令、数据结构、程序模块103或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块103或其它数据，并且包括任何信息传递介质。以上的任一种的组合也包括在可读介质的范围之内。

在此处所提供的说明书中，算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

此外，所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外，装置实施例的在此所述的元素是如下装置的例子：该装置用于实施由为了实施该发明的目的的元素所执行的功能。

如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。

尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的而非限制性的，本发明的范围由所附权利要求书限定。