异常访问检测方法、装置、电子设备及可读存储介质与流程

本申请涉及网络安全技术领域，具体而言，涉及一种异常访问检测方法、装置、电子设备及可读存储介质。

背景技术：

互联网的快速发展给人们的生活带来了极大便利的同时，也带来了新的网络安全挑战，网站不可避免地会遭受恶意入侵或攻击，人们的财产、信息安全受到威胁。

现有技术中的网站攻击分析大多是依靠人工分析其网站的日志信息来发现异常行为，这种方式工作量较大，速度较慢。

技术实现要素：

本申请实施例的目的在于提供一种异常访问检测方法、装置、电子设备及可读存储介质，用以改善现有技术中依靠人工分析日志信息发现异常行为，工作量较大且速度较慢的问题。

第一方面，本申请实施例提供了一种异常访问检测方法，所述方法包括：获取目标用户在多个会话过程中访问目标网站的访问路径，所述访问路径包括所述多个会话过程中所述目标用户访问所述目标网站中的各个页面的页面标识；基于所述访问路径确定所述目标用户异常访问的目标页面。

在上述实现过程中，通过基于用户访问目标网站的访问路径来分析目标用户异常访问的目标页面，无需人工检测，可有效提高异常行为访问检测的速度。

可选地，所述访问路径还包括相邻两个页面连接的边对应的权重，所述基于所述访问路径确定所述目标用户异常访问的目标页面，包括：

获取所述访问路径中相邻两个页面连接的边对应的权重；

基于所述权重确定所述目标用户异常访问的目标页面。

在上述实现过程中，基于相邻两个页面的边的权重可以更加直接快速确定异常访问的页面。

可选地，所述基于所述权重确定所述目标用户异常访问的目标页面，包括：

确定所述权重大于预设值的目标权重；

将所述目标权重对应的边连接的两个页面确定为所述目标用户异常访问的目标页面。

可选地，所述获取目标用户在多个会话过程中访问目标网站的访问路径，包括：

获取所述目标用户访问所述目标网站的访问数据；

基于所述访问数据进行会话拆分，获得每个会话的访问数据；

基于所述每个会话的访问数据生成所述多个会话对应的访问路径。

在上述实现过程中，基于每个会话的访问数据生成多个会话的访问路径，以实现对用户对目标网站的所有访问行为进行分析。

可选地，所述基于所述每个会话的访问数据生成所述多个会话对应的访问路径，包括：

基于每个会话的访问数据生成每个会话对应的目标访问路径；

将多个所述目标访问路径进行合并，获得所述多个会话对应的访问路径。

在上述实现过程中，先基于每个会话数据生成每个会话的目标访问路径，然后再将目标访问路径进行合并获得多个会话的访问路径，由此，可便于对用户的整体访问行为进行分析。

可选地，所述将多个所述目标访问路径进行合并，获得所述多个会话对应的访问路径，包括：

将多个所述目标访问路径中相同两个页面连接的边进行合并，获得所述多个会话对应的访问路径。

可选地，所述基于所述访问数据进行会话拆分，获得每个会话的访问数据，包括：

获取所述访问数据中的各个会话标识；

基于所述各个会话标识对所述访问数据进行会话拆分，获得每个会话的访问数据。

在上述实现过程中，基于会话标识对访问数据进行会话拆分，由此可快速获得每个会话的访问数据。

可选地，所述获取所述目标用户访问所述目标网站的访问数据，包括：

获取对所述目标网站的所有访问数据；

确定所述目标用户的账户标识；

基于所述账户标识从所述所有访问数据中获取所述目标用户访问所述目标网站的访问数据。

在上述实现过程中，基于账户标识从访问数据中筛选出目标用户的访问数据，从而可区分每个用户的访问数据，以便于对目标用户的访问行为进行异常分析。

可选地，所述页面标识为统一资源定位符url，所述访问数据包括访问页面的页面标识，所述访问数据还包括会话标识、访问发生时间、访问页面时的参数以及访问页面时的数据流量中的至少一种。

可选地，所述基于所述访问路径确定所述目标用户异常访问的目标页面之后，还包括：

输出针对所述目标页面的告警信息。

可选地，所述基于所述访问路径确定所述目标用户异常访问的目标页面之后，还包括：

若有新的用户对所述目标页面进行访问时，输出告警信息。

在上述实现过程中，输出告警信息可对用户的异常访问进行告警，使得网络管理员可以及时知晓其异常访问，进而及时采取措施保护网络信息安全。

第二方面，本申请实施例提供了一种异常访问检测装置，所述装置包括：

访问路径获取模块，用于获取目标用户在多个会话过程中访问目标网站的访问路径，所述访问路径包括所述多个会话过程中所述目标用户访问所述目标网站中的各个页面的页面标识；

异常访问检测模块，用于基于所述访问路径确定所述目标用户异常访问的目标页面。

可选地，所述访问路径还包括相邻两个页面连接的边对应的权重，所述异常访问检测模块，用于获取所述访问路径中相邻两个页面连接的边对应的权重；基于所述权重确定所述目标用户异常访问的目标页面。

可选地，所述异常访问检测模块，还用于确定所述权重大于预设值的目标权重；将所述目标权重对应的边连接的两个页面确定为所述目标用户异常访问的目标页面。

可选地，所述访问路径获取模块，用于获取所述目标用户访问所述目标网站的访问数据；基于所述访问数据进行会话拆分，获得每个会话的访问数据；基于所述每个会话的访问数据生成所述多个会话对应的访问路径。

可选地，所述访问路径获取模块，用于基于每个会话的访问数据生成每个会话对应的目标访问路径；将多个所述目标访问路径进行合并，获得所述多个会话对应的访问路径。

可选地，所述访问路径获取模块，用于将多个所述目标访问路径中相同两个页面连接的边进行合并，获得所述多个会话对应的访问路径。

可选地，所述访问路径获取模块，用于获取所述访问数据中的各个会话标识；基于所述各个会话标识对所述访问数据进行会话拆分，获得每个会话的访问数据。

可选地，所述访问路径获取模块，用于获取对所述目标网站的所有访问数据；确定所述目标用户的账户标识；基于所述账户标识从所述所有访问数据中获取所述目标用户访问所述目标网站的访问数据。

可选地，所述页面标识为统一资源定位符url，所述访问数据包括访问页面的页面标识，所述访问数据还包括会话标识、访问发生时间、访问页面时的参数以及访问页面时的数据流量中的至少一种。

可选地，所述装置还包括：

告警模块，用于输出针对所述目标页面的告警信息。

可选地，所述装置还包括：

告警信息输出模块，用于若有新的用户对所述目标页面进行访问时，输出告警信息。

第三方面，本申请实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。

第四方面，本申请实施例提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。

本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种电子设备的结构示意图；

图2为本申请实施例提供的一种异常访问检测方法的流程图；

图3为本申请实施例提供的一种访问路径的示意图；

图4为本申请实施例提供的一种访问路径合并的示意图；

图5为本申请实施例提供的一种访问路径中边的权重的示意图；

图6为本申请实施例提供的一种异常访问检测装置的结构框图。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本申请实施例提供一种异常访问检测方法，通过基于用户访问目标网站的访问路径来分析目标用户异常访问的目标页面，无需人工检测，简单便捷，可有效提高异常行为访问检测的速度。

请参照图1，图1为本申请实施例提供的一种电子设备的结构示意图，所述电子设备可以包括：至少一个处理器110，例如cpu，至少一个通信接口120，至少一个存储器130和至少一个通信总线140。其中，通信总线140用于实现这些组件直接的连接通信。其中，本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速ram存储器，也可以是非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器110执行时，电子设备执行下述图2所示方法过程，例如，电子设备可以为服务器，其可以通过通信总线140与客户端进行通信，存储器130可用于存储用户对网站的访问路径，处理器110可在确定异常访问的页面时从存储器130中获取访问路径，然后对访问路径进行分析，以分析出异常访问的页面。

可以理解，图1所示的结构仅为示意，所述电子设备还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

请参照图2，图2为本申请实施例提供的一种异常访问检测方法的流程图，该方法包括如下步骤：

步骤s110：获取目标用户在多个会话过程中访问目标网站的访问路径，所述访问路径包括所述多个会话过程中所述目标用户访问所述目标网站中的各个页面的页面标识。

会话是指一个客户端与web服务器之间连续发生的一系列请求和响应的过程，可以简单理解为用户打开一个浏览器，然后点击该浏览器中一个网站，访问该网站内的不同页面，然后退出对该网站的访问，整个过程称之为一个会话，即该用户通过不同的浏览器访问网站则称为不同的会话。

目标用户若在不同时间段对目标网站进行多次访问，则会产生多个会话，如目标用户在第一次打开目标网站浏览三个页面后，关闭目标网站，称为第一个会话，该目标用户在第二次又打开目标网站浏览四个页面后，关闭目标网站，称为第二个会话。每个会话过程中均会产生目标用户浏览目标网站的页面的访问信息，基于这些访问信息即可生成对页面的访问路径，其访问路径中包括各个页面的页面标识，如访问路径可以表示为如图3所示的页面访问路径，这个访问路径为目标用户在多个会话过程中访问目标网站的访问路径。

其中，本申请实施例中的目标用户可以是指访问目标网站的所有用户中的任一用户，也可以是指访问目标网站的某个特定用户，目标网站可以是指浏览器中任一网站，也可以是指浏览器中某个指定的网站。本申请实施例中，为了分析每个用户对每个网站的访问的异常行为，目标用户可以是指任一用户，目标网站也可以是指任一网站。

步骤s120：基于所述访问路径确定所述目标用户异常访问的目标页面。

访问路径表示目标用户对目标网站的相关页面的访问过程，对访问路径进行分析即可分析出目标用户的访问行为，如若目标用户在访问某个页面后继续浏览与该页面完全无逻辑关联的另一个页面，如目标用户在浏览页面2后继续浏览页面6，则可能表示目标用户对页面2和页面6存在异常访问行为，由此，可发现这些异常访问的页面，使得网站管理员可以及时知晓该页面可能被黑客攻击，从而可以及时采取措施对其进行拦截，如及时确定其攻击源，找到发起攻击的客户端等，进而保护网络安全。

在上述实现过程中，通过基于用户访问目标网站的访问路径来分析目标用户异常访问的目标页面，无需人工检测，可有效提高异常行为访问检测的速度。

作为一种实施方式，为了获得目标用户在多个会话过程中访问目标网站的访问路径，可以先获取目标用户访问目标网站的访问数据，基于所述访问数据进行会话拆分，获得每个会话的访问数据，基于每个会话的访问数据生成多个会话对应的访问路径。

其中，访问数据可以是从目标网站的日志文件中获得，如可以采用日志采集工具采集目标网站的日志文件，然后从日志文件中筛选出目标网站的访问数据，由于日志文件中可能还包含有目标网站自身运行产生的相关信息，所以，可以基于相关的访问参数来获取访问数据，如可以从日志文件中获取携带有访问参数的数据作为访问数据，从而即可从日志文件中时筛选出对目标网站的访问数据。

由于目标网站的日志文件可能较多，为了减少分析量，可以采集预设时间段内目标网站的日志文件，如一周内目标网站的日志文件。

日志文件中包括各个用户对目标网站的访问数据，访问数据中包括页面标识，页面标识可以是指访问统一资源定位符(uniformresourcelocator，url)，访问数据还可以包括访问页面的页面标识，访问发生时间、访问页面时的参数以及访问页面时的数据流量中的至少一种。其中，目标网站中各个页面的访问参数(即访问页面时的参数)，如访问互联网协议(internetprotocol，ip)地址、访问跳转链接关系、访问用户代理、站点域名、请求方式等等。

由于上述获得的对目标网站的访问数据是目标网站的所有访问数据，为了获得目标用户访问目标网站的访问数据，还可以从所有访问数据中筛选出目标用户的访问数据，如先确定目标用户的账户标识，然后基于账户标识从所有访问数据中获取目标用户访问目标网站的访问数据。

其中，目标用户的账户标识可以是指目标用户通过客户端访问目标网站时的客户端的标识，或者是指目标用户登录目标网站的账户信息，或者是指相关的用户个人信息等，目标用户通过客户端向服务器进行访问请求时，向服务器发送请求数据，请求数据中可以包括目标用户的账户标识，服务器可将账户标识与其访问数据进行关联存储，由此，可基于账户标识筛选与该账户标识关联的访问数据。

在上述实现过程中，基于账户标识从访问数据中筛选出目标用户的访问数据，从而可区分每个用户的访问数据，以便于对目标用户的访问行为进行异常分析。

在获得目标用户访问目标网站的访问数据后，由于该访问数据是目标用户在多个会话过程中产生的访问数据，所以，为了获得每个会话的访问数据，可以对访问数据进行会话拆分获得每个会话的访问数据。

可以理解地，目标用户在客户端浏览网页时，客户端根据目标用户的网页访问地址向服务器发送访问数据，访问数据中还可以包括有目标用户的会话标识，会话标识用于对客户端发起的该目标用户的网络会话进行唯一标识，网络会话可以包括多次网络请求。

客户端向服务器发起网络会话的第一次网络请求时并不携带会话标识，服务器接收到第一次网络访问请求后生成会话标识，向客户端返回响应数据时携带生成的会话标识，会话标识用于唯一标识该网络会话，在下一次进行网络访问请求时会携带该会话标识，服务器则可以以会话标识来判断是否是同一个会话。

可以理解地，一般采用cookie和session技术来跟踪用户的整个会话，在客户端与服务器进行通信过程中，服务器会为这次会话创建一个session对象，一个浏览器对应一个session对象，在需要保存用户数据时，服务器可以将用户的相关数据，如访问数据写入到对应的session对象中。服务器为这个session对象生成一个唯一的sessionid返回给客户端的cookie中，这个sessionid就是指会话标识，其对应于服务器创建的session对象，之后客户端每次向服务器发送请求均携带有sessionid，服务器通过sessionid来找到对应的session对象使用，服务器可通过该sessionid来判断是否是同一个会话。

所以，每个会话均对应一个会话标识，在访问数据为多个会话的访问数据时，可以获取访问数据中的各个会话标识，然后基于各个会话标识对访问数据进行会话拆分，获得每个会话的访问数据。

也就是说，服务器在存储用户的访问数据时，将会话标识与该次会话的访问数据进行关联存储，这样可以从这些访问数据中获取各个会话标识，基于各个会话标识即可对访问数据进行会话拆分，从而获得每个会话对应的访问数据。

在上述实现过程中，基于会话标识对访问数据进行会话拆分，由此可快速获得每个会话的访问数据。

为了从整体分析用户对目标网站的所有访问行为，还可以基于每个会话的访问数据生成每个会话对应的目标访问路径，然后将多个目标访问路径进行合并，获得多个会话对应的访问路径。

例如，若目标用户对目标网站的访问包括3个会话，每个会话对应的访问路径如图4所示，其第一个会话对应的访问路径为页面1->页面3->页面4，第二个会话对应的访问路径为页面3->页面4->页面5，第三个会话对应的访问路径为页面1->页面2->页面4，在将这三个访问路径进行合并时，可以将多个目标访问路径中相同的两个页面连接的边进行合并，以获得多个会话对应的访问路径。如第一个会话中页面3->页面4与第二个会话中页面3->页面4存在相同的边，则可将这两个子路径合并为一个路径，如图4中合并后的访问路径所示。

在上述实现过程中，先基于每个会话数据生成每个会话的目标访问路径，然后再将目标访问路径进行合并获得多个会话的访问路径，由此，可便于对用户的整体访问行为进行分析。

在访问路径合并的过程中，由于相同的子路径出现在不同的会话中，为了体现用户的整体访问行为，可以将合并后的访问路径中相邻的两个页面的边设置对应的权重，即访问路径还包括相邻两个页面连接的边对应的权重。

例如，可以针对相邻两个页面的关系来确定相邻两个页面连接的边的权重，如页面3和页面4是两个逻辑完全不关联的两个页面，则可设置其对应的权重较大一些，说明目标用户在访问了页面3之后访问页面4可能存在异常访问行为。权重可以为0-1之间的数值，权重越大表示两个相邻页面的关联性越小，用户存在异常访问行为的可能性越大。

另外，边的权重还可以为边在上述的多个目标访问路径中出现的次数，例如，图4中页面3->页面4在第一个会话和第二个会话中均出现，所以其权重可以为2，则可在访问路径中在页面3->页面4的边标注权重为2。如此，基于该方式获得各个边的权重后，即可发现用户对页面的频繁访问的异常行为。

所以，可以根据实际需求设置边的权重，则在确定目标用户异常访问的目标页面时，可以先获取访问路径中相邻两个页面连接的边对应的权重，然后确定权重大于预设值的目标权重，将目标权重对应的边的连接的两个页面确定为目标用户异常访问的目标页面。

其中，预设值可以是根据实际需求设定的，如边的权重为边在多个会话中出现的次数时，则预设值可以基于会话的数量来确定，若在会话数量较多时，其预设值可以设置得相对大一些，若会话数量较少时，其预设值可以设置得相对小一些。若边的权重为基于相邻两个页面的关联性来确定的，则预设值可以设置为0.5。如图5中边的权重为边在多个会话中出现的次数，若预设值设置为5，则获取权重大于5的目标权重为6和7，目标权重6和7对应的边连接的两个页面分别为页面3->页面4，以及页面1->页面2，此时可确定这四个页面为目标用户异常访问的目标页面。

可以理解地，在确定目标页面时，可以从访问路径中获取目标页面的页面标识，基于页面标识即可确定异常访问的目标页面。

如此，按照上述方式，针对访问目标网站的每个用户均可获得对应的访问路径，然后基于访问路径即可确定异常访问的目标页面。

在有多个用户的访问路径时，还可以将多个访问路径进行综合分析，以确定存在异常访问的目标页面，如可以将各个具有相同相邻的两个页面对应的边的权重相加，获得权重和值，在权重和值大于指定值时，确定其两个页面为异常访问的目标页面。

在上述实现过程中，基于相邻两个页面的边的权重可以更加直接快速确定异常访问的页面。

另外，为了可以对用户的异常访问进行告警，在确定出异常访问的目标页面后，还可以输出针对目标页面的告警信息，如可以向网络管理员发送目标页面存在异常访问的告警信息，以提示网络管理员对该页面进行关注，使得网络管理员可以及时知晓其异常访问，进而及时采取措施保护网络信息安全。

在有新的用户对目标页面进行访问时，则也输出告警信息，表明该新的用户可能对目标页面产生新的攻击，网络管理员则可对新的用户的身份进行核实，在核实其为合法用户后，可通知服务器允许其对目标页面的访问，若核实其为非法用户，则通知服务器阻止其对目标页面的访问，从而可保护网络信息安全。

请参照图6，图6为本申请实施例提供的一种异常访问检测装置200的结构框图，该装置200可以是电子设备上的模块、程序段或代码。应理解，该装置200与上述图2方法实施例对应，能够执行图2方法实施例涉及的各个步骤，该装置200具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。

可选地，所述装置200包括：

访问路径获取模块210，用于获取目标用户在多个会话过程中访问目标网站的访问路径，所述访问路径包括所述多个会话过程中所述目标用户访问所述目标网站中的各个页面的页面标识；

异常访问检测模块220，用于基于所述访问路径确定所述目标用户异常访问的目标页面。

可选地，所述访问路径还包括相邻两个页面连接的边对应的权重，所述异常访问检测模块220，用于获取所述访问路径中相邻两个页面连接的边对应的权重；基于所述权重确定所述目标用户异常访问的目标页面。

可选地，所述异常访问检测模块220，还用于确定所述权重大于预设值的目标权重；将所述目标权重对应的边连接的两个页面确定为所述目标用户异常访问的目标页面。

可选地，所述访问路径获取模块210，用于获取所述目标用户访问所述目标网站的访问数据；基于所述访问数据进行会话拆分，获得每个会话的访问数据；基于所述每个会话的访问数据生成所述多个会话对应的访问路径。

可选地，所述访问路径获取模块210，用于基于每个会话的访问数据生成每个会话对应的目标访问路径；将多个所述目标访问路径进行合并，获得所述多个会话对应的访问路径。

可选地，所述访问路径获取模块210，用于将多个所述目标访问路径中相同两个页面连接的边进行合并，获得所述多个会话对应的访问路径。

可选地，所述访问路径获取模块210，用于获取所述访问数据中的各个会话标识；基于所述各个会话标识对所述访问数据进行会话拆分，获得每个会话的访问数据。

可选地，所述访问路径获取模块210，用于获取对所述目标网站的所有访问数据；确定所述目标用户的账户标识；基于所述账户标识从所述所有访问数据中获取所述目标用户访问所述目标网站的访问数据。

可选地，所述页面标识为统一资源定位符url，所述访问数据包括访问的页面的页面标识，所述访问数据还包括会话标识、访问发生时间、访问页面时的参数以及访问页面时的数据流量中的至少一种。

可选地，所述装置200还包括：

告警模块，用于输出针对所述目标页面的告警信息。

可选地，所述装置200还包括：

告警信息输出模块，用于若有新的用户对所述目标页面进行访问时，输出告警信息。

本申请实施例提供一种可读存储介质，所述计算机程序被处理器执行时，执行如图2所示方法实施例中电子设备所执行的方法过程。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：获取目标用户在多个会话过程中访问目标网站的访问路径，所述访问路径包括所述多个会话过程中所述目标用户访问所述目标网站中的各个页面的页面标识；基于所述访问路径确定所述目标用户异常访问的目标页面。

综上所述，本申请实施例提供一种异常访问检测方法、装置、电子设备及可读存储介质，通过基于用户访问目标网站的访问路径来分析目标用户异常访问的目标页面，无需人工检测，可有效提高异常行为访问检测的速度。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。