一种基于知识图谱的网络安全态势感知方法及系统与流程

1.本说明书一个或多个实施例涉及通信技术领域，尤其涉及一种基于知识图谱的网络安全态势感知方法及系统。


背景技术：

2.当今社会互联网技术高速发展，在新的时代背景下，网络入侵和攻击行为朝着分布化、规模化、间接化的趋势发展，传统的网络安全产品已经越来越难以满足人们对网络安全的需要，尤其是在网络规模比较大的情况下，网络安全技术面临着前所未有的挑战。网络态势感知(network security situation awareness，nssa)系统的重要性日益凸显。网络态势感知系统旨在对网络态势状况进行实时监控，在潜在的、恶意的网络行为失去控制之前发出预警并能给出相应的对策。网络态势感知系统集成了传统的网络安全工具，如入侵检测系统、防火墙，并以这些网络安全工具提供的原始数据为基础进行分析，以期获得更有用的信息，为网络安全分析师提供决策支持。网络安全态势感知技术为网络态势感知系统提供了技术支持，网络安全态势感知技术根据原始数据进行一定抽象层次的分析，主要涉及入侵检测与告警关联、利用攻击图实现漏洞分析、因果关系分析、取证分析(入侵的反向追踪)、信息流分析、攻击趋势分析和入侵响应等方面。
3.知识图谱(knowledge graph，kg)作为人工智能的重要分支，在大数据分析和决策方面有其独有的优势，它能够将数据表示为以“实体-关系-实体”为基础的网状知识结构，通过语义链接帮助理解大数据，获得对大数据的整体洞察，提供决策支持。网络安全知识图谱是面向网络安全领域的领域知识图谱，人们对网络安全知识图谱的研究仍处于探索阶段，致力于构建以知识图谱为基础的网络威胁情报平台，提出了自动化的网络安全实体标注方法、以安全相关的语料标注为基础的有监督的实体抽取方、结合半监督自然语言处理和bootstrapping算法的网络安全实体关系抽取方法、基于网络威胁情报的安全知识图谱本体构建方法和基于网络异常探测的graphprints分析方法、基于深度神经网络的网络安全实体识别方法，大数据背景下的大规模网络命名实体识别方法和基于远程监督模型的关系抽取方法。


技术实现要素：

4.有鉴于此，本说明书一个或多个实施例的目的在于提出一种基于知识图谱的网络安全态势感知方法及系统，以解决上述至少一个问题。
5.基于上述目的，本说明书一个或多个实施例提供了一种基于知识图谱的网络安全态势感知方法，包括：
6.基于知识图谱构建安全态势感知模型；
7.根据所述安全态势感知模型识别网络攻击场景；
8.根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。
9.可选的，所述基于知识图谱构建安全态势感知模型，包括：
10.获取网络数据；
11.根据所述网络数据确定网络安全知识图谱。
12.可选的，所述根据所述安全态势感知模型识别网络攻击场景，包括：
13.所述网络攻击场景，包括：单步攻击场景和多步攻击串联场景；
14.基于告警聚合识别所述单步攻击场景；
15.基于告警关联分析识别所述多步攻击串联场景。
16.可选的，所述基于告警关联分析识别所述多步攻击串联场景，包括：
17.挖掘潜在多部攻击以确定关联度量；
18.所述关联度量，包括：时间关联性度量、空间关联性度量和服务关联性度量，所述时间关联性度量表示为
[0019][0020]
其中，e
tj
表示攻击事件ej的结束时间，s
ti
表示所述攻击事件ei的开始时间；
[0021]
所述空间关联性度量表示为
[0022][0023]
所述服务关联性度量表示为
[0024][0025]
可选的，所述基于告警关联分析识别所述多步攻击串联场景，还包括：
[0026]
设置攻击阈值；
[0027]
判断所述攻击事件之间的所述关联性度量是否超过所述攻击阈值；
[0028]
若超过，则所述攻击事件之间处于所述多步攻击串联场景。
[0029]
基于上述目的，本说明书一个或多个实施例还提供了一种基于知识图谱的网络安全态势感知系统，包括：
[0030]
构建模块，被配置为基于知识图谱构建安全态势感知模型；
[0031]
识别模块，被配置为根据所述安全态势感知模型识别网络攻击场景；
[0032]
态势感知模块，被配置为根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。
[0033]
可选的，所述构建模块，具体被配置为获取网络数据；根据所述网络数据确定网络安全知识图谱。
[0034]
可选的，所述识别模块，具体被配置为所述网络攻击场景，包括：单步攻击场景和多步攻击串联场景；基于告警聚合识别所述单步攻击场景；基于告警关联分析识别所述多步攻击串联场景。
[0035]
可选的，所述识别模块，还被配置为挖掘潜在多部攻击以确定关联度量；所述关联度量，包括：时间关联性度量、空间关联性度量和服务关联性度量，所述时间关联性度量表示为
[0036][0037]
其中，e
tj
表示攻击事件ej的结束时间，s
ti
表示所述攻击事件ei的开始时间；
[0038]
所述空间关联性度量表示为
[0039][0040]
所述服务关联性度量表示为
[0041][0042]
可选的，所述识别模块，还被配置为设置攻击阈值；判断所述攻击事件之间的所述关联性度量是否超过所述攻击阈值；若超过，则所述攻击事件之间处于所述多步攻击串联场景。
[0043]
从上面所述可以看出，本说明书一个或多个实施例提供的一种基于知识图谱的网络安全态势感知方法，包括：基于知识图谱构建安全态势感知模型；根据所述安全态势感知模型识别网络攻击场景；根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。本说明书一个或多个实施例提供的方法在构建网络安全知识图谱的基础上，针对网络攻击场景发现和态势理解问题，给出解决方案，克服了传统告警聚合过程和告警关联分析过程易受大量冗余、误报影响的缺点，通过属性图挖掘和相似度计算完成攻击发现和攻击关联，有效地反映具体的网络攻击行为、挖掘攻击场景。在完成攻击场景发现的基础上，给出态势理解方案，有效地将网络攻击场景反映在资产节点态势中。本发明可以有效地挖掘攻击场景并完成态势理解，在准确性、效率等方面较传统方法有所提升。
附图说明
[0044]
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0045]
图1为本说明书一个或多个实施例中一种基于知识图谱的网络安全态势感知方法的流程图；
[0046]
图2为本说明书一个或多个实施例中基于资产的网络安全知识图谱示意图；
[0047]
图3为本说明书一个或多个实施例中安全态势感知模型的示意图；
[0048]
图4为本说明书一个或多个实施例中安全态势感知模型的schema层的构造示意图；
[0049]
图5为本说明书一个或多个实施例中攻击事件的时间关系图；
[0050]
图6为本说明书一个或多个实施例中一种基于知识图谱的网络安全态势感知系统的结构图。
具体实施方式
[0051]
为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。
[0052]
需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
[0053]
申请人通过研究发现，当今社会互联网技术高速发展，在新的时代背景下，网络入侵和攻击行为朝着分布化、规模化、间接化的趋势发展，传统的网络安全产品已经越来越难以满足人们对网络安全的需要，尤其是在网络规模比较大的情况下，网络安全技术面临着前所未有的挑战。网络态势感知(network security situation awareness，nssa)系统的重要性日益凸显。网络态势感知系统旨在对网络态势状况进行实时监控，在潜在的、恶意的网络行为失去控制之前发出预警并能给出相应的对策。网络态势感知系统集成了传统的网络安全工具，如入侵检测系统、防火墙，并以这些网络安全工具提供的原始数据为基础进行分析，以期获得更有用的信息，为网络安全分析师提供决策支持。网络安全态势感知技术为网络态势感知系统提供了技术支持，网络安全态势感知技术根据原始数据进行一定抽象层次的分析，主要涉及入侵检测与告警关联、利用攻击图实现漏洞分析、因果关系分析、取证分析(入侵的反向追踪)、信息流分析、攻击趋势分析和入侵响应等方面。
[0054]
知识图谱(knowledge graph，kg)作为人工智能的重要分支，在大数据分析和决策方面有其独有的优势，它能够将数据表示为以“实体-关系-实体”为基础的网状知识结构，通过语义链接帮助理解大数据，获得对大数据的整体洞察，提供决策支持。网络安全知识图谱是面向网络安全领域的领域知识图谱，人们对网络安全知识图谱的研究仍处于探索阶段，致力于构建以知识图谱为基础的网络威胁情报平台，提出了自动化的网络安全实体标注方法、以安全相关的语料标注为基础的有监督的实体抽取方、结合半监督自然语言处理和bootstrapping算法的网络安全实体关系抽取方法、基于网络威胁情报的安全知识图谱本体构建方法和基于网络异常探测的graphprints分析方法、基于深度神经网络的网络安全实体识别方法，大数据背景下的大规模网络命名实体识别方法和基于远程监督模型的关系抽取方法。
[0055]
因此，为了解决现有技术中存在的上述问题，本说明书一个或多个实施例提供的方法先基于知识图谱构建安全态势感知模型；根据所述安全态势感知模型识别网络攻击场景；根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。本说明书一个或多个实施例提供的方法在构建网络安全知识图谱的基础上，针对网络攻击场景发现和态势理解问题，给出解决方案，克服了传统告警聚合过程和告警关联分析过程易受大量冗余、误报影响的缺点，通过属性图挖掘和相似度计算完成攻击发现和攻击关联，有效地反映具体的网络攻击行为、挖掘攻击场景。在完成攻击场景发现的基础上，给出态势理解方案，有效地
将网络攻击场景反映在资产节点态势中。本发明可以有效地挖掘攻击场景并完成态势理解，在准确性、效率等方面较传统方法有所提升。
[0056]
参考图1，本说明书一个或多个实施例提供了一种基于知识图谱的网络安全态势感知方法，具体包括以下步骤：
[0057]
s101：基于知识图谱构建安全态势感知模型。
[0058]
本实施例中，提出了基于知识图谱的网络安全态势感知模型，给出结合网络实时流量和资产信息的知识图谱的构建方法，以属性图为网络安全知识图谱数据模型。
[0059]
作为一个可选的实施例，基于知识图谱构建安全态势感知模型，包括：获取网络数据；根据所述网络数据确定网络安全知识图谱。
[0060]
作为一个可选的实施例，参考图2，通用安全知识图谱利用爬虫等技术获取外部知识并自动化构建。攻击特征图谱的一部分信息来自多步攻击特征知识，也可以通过通用安全知识图谱进行补全。网络基本事件图谱的数据则来自部署在受监控网络中的流量传感器，把网络流量信息转为网络基本事件信息，在经过通用安全知识图谱的补充、提升之后，成为结合了具体威胁情报的网络基本事件，最后以图谱的形式展现。资产是网络安全态势感知的核心，基于资产的网络安全知识图谱的组成及其各个部分之间的关系。知识图谱的分层结构指的是schema-data分层结构，即模式层-数据层分层结构。网络安全知识图谱的schema层给出了图谱中可能存在的实体类型以及这些实体之间可能存在的关系，网络安全知识图谱的data层是在schema层的指导下建立的，本节将分别介绍通用安全知识图谱、网络攻击特征事件图谱以及网络基本事件图谱的schema-data分层结构。
[0061]
作为一个可选的实施例，参考图3，网络安全知识图谱的schema层是网络安全领域内的数据模型，该数据模型包含了网络安全领域中有意义的概念类型以及这些类型的属性。构建schema层时需要考虑三个问题：域的构建，类型的构建，属性的确定。参考图4，描述了知识图谱schema层的构造，域之间相互独立不交叉，域中的圆圈表示类型，类型之间有关联关系，类型内部有各种各样的属性。在基于资产的网络安全知识图谱中，schema层的域和图谱的三个部分相对应，分割为三个域。若以“域1”表示通用安全知识图谱，则“域1”中的类型圆圈可以表示漏洞、恶意域等概念，表示“漏洞”的类型下可以有漏洞编号、漏洞日期、漏洞描述信息等属性，同理，“域2”可表示攻击特征事件图谱，“域3”可表示网络基本事件图谱。
[0062]
作为一个可选的实施例，data层：与schema层相对，网络安全知识图谱的data层是网络安全知识图谱的实际数据。知识图谱的构建工作其实就是在schema层的指导下，接收原始数据，经过一系列的数据预处理操作，将data层填充的过程。因此，data层是依托于schema层存在的，是schema层的落地工作。在知识图谱中，实际数据往往就是指可供用户查询的点和边，即图数据。攻击特征事件图谱data层的另一个特点：单个攻击特征事件是构成整个攻击特征事件图谱的一个弱连通分支。若以e表示攻击特征事件图谱，以gi(1≤i≤m,m为弱连通分支数)表示单个攻击特征事件，则有
[0063][0064][0065]
e＝g
ꢀꢀ
(3)
[0066]
从集合角度来说，e代表全集，g是对全集的划分。
[0067]
综上，通用安全知识图谱和攻击特征事件图谱的数据是相对稳定的数据，网络基本事件图谱的数据是相对活跃的数据。我们可以把通用安全知识图谱和攻击特征事件图谱的数据理解为一个“知识库”，将网络基本事件图谱的数据理解为一个“事件库”。系统的任务就是运用“知识库”中的知识，去分析处理“事件库”中的事件，以这种工作模式去完成网络安全态势感知工作。
[0068]
s102：根据所述安全态势感知模型识别网络攻击场景。
[0069]
本实施例中，攻击场景发现的过程分两步，分别是单步攻击发现和多步攻击串联。在传统的告警信息处理系统中，单步攻击发现一般是基于告警聚合实现的，多步攻击串联则是基于告警关联分析实现。在基于资产的网络安全知识图谱中，网络流量以“网络基本事件”的形式呈现，在构建网络基本事件图谱的过程中，系统对底层的网络事件进行过滤和合并，其实就已经在一定程度上实现了类似告警聚合的效果，剩下的工作只需根据网络攻击特征事件图谱中的一系列网络攻击特征信息去网络基本事件图谱中寻找符合攻击特征的子图，得到的子图便是单步攻击发现的结果。
[0070]
作为一个可选的实施例，根据所述安全态势感知模型识别网络攻击场景，包括：所述网络攻击场景，包括：单步攻击场景和多步攻击串联场景；基于告警聚合识别所述单步攻击场景；基于告警关联分析识别所述多步攻击串联场景。
[0071]
作为一个可选的实施例，基于告警关联分析识别所述多步攻击串联场景，包括：挖掘潜在多部攻击以确定关联度量；所述关联度量，包括：时间关联性度量、空间关联性度量和服务关联性度量，所述时间关联性度量表示为
[0072][0073]
其中，e
tj
表示攻击事件ej的结束时间，s
ti
表示所述攻击事件ei的开始时间；
[0074]
所述空间关联性度量表示为
[0075][0076]
所述服务关联性度量表示为
[0077][0078]
作为一个可选的实施例，基于告警关联分析识别所述多步攻击串联场景，还包括：设置攻击阈值；判断所述攻击事件之间的所述关联性度量是否超过所述攻击阈值；若超过，则所述攻击事件之间处于所述多步攻击串联场景。
[0079]
作为一个可选的实施例，参考图5，我们可以从攻击事件中提取六元组数据，根据攻击事件ei的时序关系对当前所有攻击事件进行排序，构成长度为n的攻击事件链，然后检查攻击事件链中所有的先后发生的攻击事件时间间隔是否小于预先设定的t
β
。得到攻击事件的时间关系之后，我们便可以在图5的基础上进行潜在多步攻击挖掘。设图5中任意两个不同攻击事件之间的关联度度量为任意两个不同攻击事件之间的关联度度量为：
[0080]
[0081]
其中c1为攻击事件之间的时间关联性度量，c2为攻击事件之间的空间关联性度量，c3为攻击事件之间的服务关联性度量，c4为攻击事件之间的类型关联性度量，c1、c2、c3的定义如下：
[0082][0083][0084][0085]
其中e
tj
和s
ti
分别代表攻击事件ej的结束时间和攻击事件ei的开始时间。可见，两个攻击事件时间间隔越小，时间关联度越大。杰卡德(jaccard)相似度是描述集合样本相似度的重要指标，其定义如下
[0086][0087]
作为一个可选的实施例，攻击事件之间的类型关联性度量c4主要考虑的是六元组数据中的最后两个分量，attacker和label，分别反映两个攻击事件在攻击方上的差异和攻击行为的因果关系，其定义如下：
[0088][0089]
其中a
ij
是区间[0,1]之间的实数，b
ij
是bool变量，两者定义分别如下：
[0090][0091][0092]
综合上述四个关联性度量，我们可以得到任意两个攻击事件之间的关联度度量，对两个攻击事件之间的关联性度量设置阈值，若超过则认为两个攻击事件属于同一个多步攻击链。
[0093]
s103：根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。
[0094]
本实施例中，根据网络攻击场景确定网络资产态势值以感知网络安全态势，服务器处理多源异构数据并其转换为图数据以构建网络安全知识图谱，网络安全知识图谱提供了查询、分析接口以及可视化服务，用户可以基于网络安全知识图谱做网络安全态势相关的分析工作。
[0095]
从上面所述可以看出，本说明书一个或多个实施例提供的一种基于知识图谱的网络安全态势感知方法，包括：基于知识图谱构建安全态势感知模型；根据所述安全态势感知模型识别网络攻击场景；根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。本说明书一个或多个实施例提供的方法在构建网络安全知识图谱的基础上，针对网络
攻击场景发现和态势理解问题，给出解决方案，克服了传统告警聚合过程和告警关联分析过程易受大量冗余、误报影响的缺点，通过属性图挖掘和相似度计算完成攻击发现和攻击关联，有效地反映具体的网络攻击行为、挖掘攻击场景。在完成攻击场景发现的基础上，给出态势理解方案，有效地将网络攻击场景反映在资产节点态势中。本发明可以有效地挖掘攻击场景并完成态势理解，在准确性、效率等方面较传统方法有所提升。
[0096]
需要说明的是，本说明书一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0097]
需要说明的是，上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0098]
基于同一发明构思，与上述任意实施例方法相对应的，本说明书一个或多个实施例还提供了一种基于知识图谱的网络安全态势感知系统。
[0099]
参考图6，所述基于知识图谱的网络安全态势感知系统，包括：
[0100]
构建模块，被配置为基于知识图谱构建安全态势感知模型；
[0101]
识别模块，被配置为根据所述安全态势感知模型识别网络攻击场景；
[0102]
态势感知模块，被配置为根据所述网络攻击场景确定网络资产态势值以感知网络安全态势。
[0103]
作为一个可选的实施例，所述构建模块，具体被配置为获取网络数据；根据所述网络数据确定网络安全知识图谱。
[0104]
作为一个可选的实施例，所述识别模块，具体被配置为所述网络攻击场景，包括：单步攻击场景和多步攻击串联场景；基于告警聚合识别所述单步攻击场景；基于告警关联分析识别所述多步攻击串联场景。
[0105]
作为一个可选的实施例，所述识别模块，还被配置为挖掘潜在多部攻击以确定关联度量；所述关联度量，包括：时间关联性度量、空间关联性度量和服务关联性度量，所述时间关联性度量表示为
[0106][0107]
其中，e
tj
表示攻击事件ej的结束时间，s
ti
表示所述攻击事件ei的开始时间；
[0108]
所述空间关联性度量表示为
[0109][0110]
所述服务关联性度量表示为
[0111][0112]
作为一个可选的实施例，所述识别模块，还被配置为设置攻击阈值；判断所述攻击事件之间的所述关联性度量是否超过所述攻击阈值；若超过，则所述攻击事件之间处于所述多步攻击串联场景。
[0113]
作为一个可选的实施例，本发明系统的总体框架设计同样围绕图谱构建和应用展开，系统主要的功能模块分为三部分：预处理模块、网络攻击场景发现模块、网络安全态势理解模块。预处理模块完成总体框架图中图数据存储之前的所有内容，而网络攻击场景发现和网络安全态势理解模块均属于图数据分析的范畴。收集器部署在受监控网络中，承担了采集以安全知识为主的外部数据和以网络流量信息为主的内部数据的任务。消息队列负责将收集器收集的数据汇总并传送至服务器。服务器处理多源异构数据并其转换为图数据以构建网络安全知识图谱，网络安全知识图谱提供了查询、分析接口以及可视化服务，用户可以基于网络安全知识图谱做网络安全态势相关的分析工作。
[0114]
系统运行流程分为下列五步：(1)设置生成网络基本事件的策略脚本；(2)将数据集的网络流量重放至zeek-ids并构建网络基本事件图谱；(3)设置攻击特征至网络攻击特征图谱；(4)执行网络攻击场景发现并分析结果；(5)执行网络态势理解并分析结果。
[0115]
为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0116]
上述实施例的装置用于实现前述任一实施例中相应的一种基于知识图谱的网络安全态势感知方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0117]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0118]
另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。
[0119]
尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
[0120]
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做
的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。