一种用户安全审计方法及系统与流程

1.本发明涉及网络安全领域，具体涉及一种用户安全审计方法及系统。


背景技术：

2.计算机网络安全审计是指按照一定的安全策略，通过记录系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为的过程。通过计算机网络安全审计，可在发现系统漏洞、入侵行为后，采取相应措施进而提高系统安全性。
3.然而，目前的网络审计系统在对主机运行状态进行审计时，仅能得出是否存在异常的结论，而无法准确定位异常发生的位置，导致监控不全面，无法实现网络安全的细粒度审计。


技术实现要素：

4.因此，本发明要解决的技术问题在于克服现有技术中无法实现网络安全的细粒度审计的缺陷，从而提供一种用户安全审计方法及系统。
5.为达到上述目的，本发明提供如下技术方案：
6.第一方面，本发明实施例提供一种用户安全审计方法，应用于审计服务器，所述审计服务器部署在中心交换机上，包括：接收目标主机发送的运行状态信息；根据所述运行状态信息生成查询请求，将所述查询请求发送至控制中心；接收所述控制中心发送的运行定位信息，所述运行定位信息为所述控制中心接收的当前目标主机根据所述查询请求获取的运行定位信息；根据所述运行定位信息建立虚拟工作空间，并在虚拟工作空间中对所述目标主机进行联动控制。
7.可选地，在根据所述运行状态信息生成查询请求之前，所述用户安全审计方法还包括：判断所述运行状态信息与预设运行状态信息是否一致；当所述运行状态信息与所述预设运行状态信息不一致时，根据所述运行状态信息生成查询请求。
8.可选地，所述在虚拟工作空间中对所述目标主机进行联动控制，包括：根据所述运行定位信息触发虚拟工作空间中的预设控制逻辑；将所述预设控制逻辑发送至所述目标主机。
9.第二方面，本发明实施例提供一种用户安全审计方法，应用于目标主机，所述目标主机部署在内网，包括：获取当前目标主机的运行状态信息；将所述运行状态信息发送至审计服务器；接收控制中心发送的查询请求，所述查询请求为所述控制中心接收的所述审计服务器根据所述运行状态信息生成的查询请求；根据所述查询请求获取所述当前目标主机的运行定位信息，所述运行定位信息包括进程信息及文件关联信息；将所述运行定位信息发送至所述控制中心。
10.可选地，所述运行状态信息，包括：所述当前目标主机的运行状态及镜像网络流量信息，其中，所述当前目标主备的运行状态包括：cpu运行状态及内存使用量，所述镜像网络
流量信息包括：网络流量及协议信息。
11.可选地，用户安全审计方法，还包括：接收所述审计服务器发送的预设控制逻辑，所述预设控制逻辑为所述审计服务器触发的虚拟工作空间中的预设控制逻辑，所述虚拟工作空间为所述审计服务器根据所述运行定位信息建立的；根据所述预设控制逻辑调整运行定位信息。
12.第三方面，本发明实施例提供一种用户安全审计方法，应用于控制中心，所述控制中心部署在中心交换机上，包括：接收审计服务器发送的查询请求，所述查询请求为所述审计服务器根据运行状态信息生成的查询请求；将所述查询请求发送至目标主机；接收所述目标主机发送的运行定位信息，所述运行定位信息为所述目标主机根据所述查询请求获取的当前目标主机的运行定位信息；将所述运行定位信息发送至所述审计服务器。
13.第四方面，本发明实施例提供一种用户安全审计系统，包括：审计服务器、目标主机及控制中心，其中，所述目标主机获取当前目标主机的运行状态信息，并将所述运行状态信息发送至审计服务器；所述审计服务器接收目标主机发送的运行状态信息，并根据所述运行状态信息生成查询请求，将所述查询请求发送至控制中心；所述控制中心接收审计服务器发送的查询请求，所述查询请求为所述审计服务器根据所述运行状态信息生成的查询请求，并将所述查询请求发送至目标主机；所述目标主机接收控制中心发送的查询请求，所述查询请求为所述控制中心接收的所述审计服务器根据所述运行状态信息生成的查询请求，并根据所述查询请求获取所述当前目标主机的运行定位信息，所述运行定位信息包括进程信息及文件关联信息，同时将所述运行定位信息发送至所述控制中心；所述控制中心接收所述目标主机发送的所述运行定位信息，所述运行定位信息为所述目标主机根据所述查询请求获取的当前目标主机的运行定位信息，将所述运行定位信息发送至所述审计服务器；所述审计服务器接收所述控制中心发送的所述运行定位信息，所述运行定位信息为所述控制中心接收的所述当前目标主机根据所述查询请求获取的运行定位信息，同时根据所述运行定位信息建立虚拟工作空间，并在虚拟工作空间中对所述目标主机进行联动控制。
14.第五方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使所述计算机执行本发明实施例第一方面、第二方面或第三方面所述的用户安全审计方法。
15.第六方面，本发明实施例提供一种计算机设备，包括：存储器和处理器，所述存储器和所述处理器之间互相通信连接，所述存储器存储有计算机指令，所述处理器通过执行所述计算机指令，从而执行本发明实施例第一方面、第二方面或第三方面所述的用户安全审计方法。
16.本发明技术方案，具有如下优点：
17.本发明实施例提供的用户安全审计方法，通过审计服务器发送的查询请求定位当前目标主机异常的运行状态信息的位置，并将定位结果反馈至审计服务器，通过查询请求准确定位异常的运行状态信息，并将异常的运行状态信息反馈至审计服务器，进而全面监控目标主机的详细运行状态，实现网络安全的细粒度审计。
18.本发明实施例提供的用户安全审计系统，包括：审计服务器、目标主机及控制中心，其中，目标主机获取当前目标主机的运行状态信息，并将运行状态信息发送至审计服务器；审计服务器接收目标主机发送的运行状态信息，并根据运行状态信息生成查询请求，将
查询请求发送至控制中心；控制中心接收审计服务器发送的查询请求，查询请求为审计服务器根据运行状态信息生成的查询请求，并将查询请求发送至目标主机；目标主机接收控制中心发送的查询请求，查询请求为控制中心接收的审计服务器根据运行状态信息生成的查询请求，并根据查询请求获取当前目标主机的运行定位信息，运行定位信息包括进程信息及文件关联信息，同时将运行定位信息发送至控制中心；控制中心接收目标主机发送的运行定位信息，运行定位信息为目标主机根据查询请求获取的当前目标主机的运行定位信息，将运行定位信息发送至审计服务器；审计服务器接收控制中心发送的运行定位信息，运行定位信息为控制中心接收的当前目标主机根据查询请求获取的运行定位信息，同时根据运行定位信息建立虚拟工作空间，并在虚拟工作空间中对目标主机进行联动控制。通过审计服务器发送的查询请求定位当前目标主机异常的运行状态信息的位置，并将定位结果反馈至审计服务器，通过查询请求准确定位异常的运行状态信息，并将异常的运行状态信息反馈至审计服务器，进而全面监控目标主机的详细运行状态，实现网络安全的细粒度审计。
附图说明
19.为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
20.图1为本发明实施例中的应用场景示意图；
21.图2为本发明实施例中用户安全审计系统的一个具体示例的原理框图；
22.图3为本发明实施例中用户安全审计方法的一个具体示例的流程图；
23.图4为本发明实施例中用户安全审计方法的另一个具体示例的流程图；
24.图5为本发明实施例中用户安全审计方法的另一个具体示例的流程图；
25.图6为本发明实施例提供的计算机设备一个具体示例的组成图。
具体实施方式
26.下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
28.此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
29.如图1所示，是本发明实施例的应用场景示意图，主要由审计服务器1、目标主机2和控制中心3三部分组成，其中，审计服务器1和控制中心3部署在网络的边界的中心交换机上，目标主机2部署于内网。通过构建一套监控全面、细粒度审计的用户安全审计系统，以控制中心3作为审计服务器1和目标主机2之间的通信桥梁，实现审计服务器1和目标主机2的
之间的联动控制。
30.本发明实施例提供一种用户安全审计系统，如图2所示，包括：审计服务器1、目标主机2及控制中心3，其中，
31.在一实施例中，目标主机2获取当前目标主机2的运行状态信息，并将运行状态信息发送至审计服务器1。
32.在一实施例中，审计服务器1接收目标主机2发送的运行状态信息，并根据运行状态信息生成查询请求，将查询请求发送至控制中心3。
33.在一实施例中，控制中心3接收审计服务器1发送的查询请求，查询请求为审计服务器1根据运行状态信息生成的查询请求，并将查询请求发送至目标主机2。
34.在一实施例中，目标主机2接收控制中心3发送的查询请求，查询请求为控制中心3接收的审计服务器1根据运行状态信息生成的查询请求，并根据查询请求获取当前目标主机2的运行定位信息，运行定位信息包括进程信息及文件关联信息，同时将运行定位信息发送至控制中心3。
35.在一实施例中，控制中心3接收目标主机2发送的运行定位信息，运行定位信息为目标主机2根据查询请求获取的当前目标主机2的运行定位信息，将运行定位信息发送至审计服务器1。
36.在一实施例中，审计服务器1接收控制中心3发送的运行定位信息，运行定位信息为控制中心3接收的当前目标主机2根据查询请求获取的运行定位信息，同时根据运行定位信息建立虚拟工作空间，并在虚拟工作空间中对目标主机2进行联动控制。
37.在一实施例中，目标主机2接收审计服务器1发送的预设控制逻辑，预设控制逻辑为审计服务器1触发的虚拟工作空间中的预设控制逻辑，虚拟工作空间为审计服务器1根据运行定位信息建立的，并根据预设控制逻辑调整运行定位信息。
38.在一具体实施例中，目标主机2在获取当前目标主机2的运行状态信息后，通过控制中心3将上述运行状态信息发送至审计服务器1，其中，控制中心3作为审计服务器1和目标主机2之间的通信桥梁，具体地，控制中心3、审计服务器1及目标主机2之间的通信协议为传输控制协议。在本发明实施例中，运行状态信息包括：当前目标主机2的运行状态及镜像网络流量信息，其中，当前目标主备的运行状态包括：cpu运行状态及内存使用量，镜像网络流量信息包括：网络流量及协议信息。通过采集镜像网络流量信息，并将镜像网络流量信息发送至审计服务器1，能够实时且全面的监测目标主机2的工作状态，达到全方位、多层次的监测效果。
39.在本发明实施例中，审计服务器1通过控制中心3接收目标主机2发送的运行状态信息，并在接收到运行状态信息后，通过判断运行状态信息与预设运行状态信息的关系以确定是否发起查询请求。具体地，在根据运行状态信息生成查询请求之前，审计服务器1还用于判断运行状态信息与预设运行状态信息是否一致；当运行状态信息与预设运行状态信息不一致时，根据运行状态信息生成查询请求。其中，当运行状态信息与预设运行状态信息不一致时，例如当运行状态信息中的网络流量与预设存储的当前运行状态下的网络流量阈值不一致时，审计服务器1会判定此时网络流量存在异常，并根据发生异常的运行状态信息生成查询请求，通过控制中心3将查询请求发送至目标主机2，以进一步查询异常发生的位置。
40.在本发明实施例中，控制中心3作为审计服务器1与目标主机2的通信中转站，在接收审计服务器1发送的查询请求后，采用传输控制协议将查询请求转发至目标主机2，以保障查询请求数据传输的可靠性。
41.在本发明实施例中，目标主机2在接收到控制中心3发送的查询请求后，从上述查询请求中提取出异常的运行状态信息，并根据异常的运行状态信息定位发生异常的运行状态信息的位置。例如，当异常的运行状态信息为网络流量异常时，目标主机2统计出使用网络流量的几个进程，并从中筛选出网络流量消耗最大的进程，并将筛选出的网络流量消耗最大的进程信息作为运行定位信息发送至控制中心3。
42.在本发明实施例中，控制中心3作为审计服务器1与目标主机2的通信中转站，在接收到目标主机2发送的运行定位信息后，采用传输控制协议将运行定位信息转发至审计服务器1，以保障运行定位信息数据传输的可靠性。
43.在本发明实施例中，由于此时审计服务器1已判定目标主机2出现了异常的运行状态信息，为尽快恢复目标主机2的异常运行，审计服务器1通过利用虚拟化技术在审计服务器1与目标主机2之间构建虚拟化工作环境，通过在虚拟工作空间中对目标主机2进行联动控制，以尽快将目标主机2的运行状态恢复至正常运行状态。审计服务器1还用于根据运行定位信息触发虚拟工作空间中的预设控制逻辑；将预设控制逻辑发送至目标主机2。具体地，审计服务器1在接收到异常的运行状态信息的定位信息后，触发虚拟工作空间中的预设控制逻辑，例如此时审计服务器1在接收到网络流量消耗最大的进程信息后，触发虚拟工作空间中预先存储的关闭进程逻辑，并将上述关闭进程逻辑通过控制中心3发送至目标主机2。
44.在本发明实施例中，目标主机2在接收到审计服务器1通过控制中心3发送的预设控制逻辑后，根据预设控制逻辑重新调整运行定位信息，以使目标主机2消除异常的运行状态信息。例如，当预设控制逻辑为关闭进程逻辑时，目标主机2从上述关闭进程逻辑中提取出待关闭的进程信息，并根据该进程信息定位到该进程的存储位置，从而关闭该进程。
45.本发明实施例提供的用户安全审计系统，包括：审计服务器、目标主机及控制中心，其中，目标主机获取当前目标主机的运行状态信息，并将运行状态信息发送至审计服务器；审计服务器接收目标主机发送的运行状态信息，并根据运行状态信息生成查询请求，将查询请求发送至控制中心；控制中心接收审计服务器发送的查询请求，查询请求为审计服务器根据运行状态信息生成的查询请求，并将查询请求发送至目标主机；目标主机接收控制中心发送的查询请求，查询请求为控制中心接收的审计服务器根据运行状态信息生成的查询请求，并根据查询请求获取当前目标主机的运行定位信息，运行定位信息包括进程信息及文件关联信息，同时将运行定位信息发送至控制中心；控制中心接收目标主机发送的运行定位信息，运行定位信息为目标主机根据查询请求获取的当前目标主机的运行定位信息，将运行定位信息发送至审计服务器；审计服务器接收控制中心发送的运行定位信息，运行定位信息为控制中心接收的当前目标主机根据查询请求获取的运行定位信息，同时根据运行定位信息建立虚拟工作空间，并在虚拟工作空间中对目标主机进行联动控制。通过审计服务器发送的查询请求定位当前目标主机异常的运行状态信息的位置，并将定位结果反馈至审计服务器，通过查询请求准确定位异常的运行状态信息，并将异常的运行状态信息反馈至审计服务器，进而全面监控目标主机的详细运行状态，实现网络安全的细粒度审计。
46.本发明实施例还提供一种用户安全审计方法，应用于审计服务器1，审计服务器1部署在中心交换机上，如图3所示，包括如下步骤：
47.步骤s20：接收目标主机发送的运行状态信息。
48.步骤s21：根据运行状态信息生成查询请求，将查询请求发送至控制中心。
49.步骤s22：接收控制中心发送的运行定位信息，运行定位信息为控制中心接收的当前目标主机根据查询请求获取的运行定位信息。
50.步骤s23：根据运行定位信息建立虚拟工作空间，并在虚拟工作空间中对目标主机进行联动控制。
51.本发明实施例还提供一种用户安全审计方法，应用于目标主机2，目标主机2部署在内网，如图4所示，包括如下步骤：
52.步骤s30：获取当前目标主机的运行状态信息。
53.步骤s31：将运行状态信息发送至审计服务器。
54.步骤s32：接收控制中心发送的查询请求，查询请求为控制中心接收的审计服务器根据运行状态信息生成的查询请求。
55.步骤s33：根据查询请求获取当前目标主机的运行定位信息，运行定位信息包括进程信息及文件关联信息。
56.步骤s34：将运行定位信息发送至控制中心。
57.在一实施例中，用户安全审计方法，还包括：
58.步骤s35：接收审计服务器发送的预设控制逻辑，预设控制逻辑为审计服务器触发的虚拟工作空间中的预设控制逻辑，虚拟工作空间为审计服务器根据运行定位信息建立的。
59.步骤s36：根据预设控制逻辑调整运行定位信息。
60.本发明实施例还提供一种用户安全审计方法，应用于控制中心3，控制中心3部署在中心交换机上，如图5所示，包括如下步骤：
61.步骤s40：接收审计服务器发送的查询请求，查询请求为审计服务器根据运行状态信息生成的查询请求。
62.步骤s41：将查询请求发送至目标主机。
63.步骤s42：接收目标主机发送的运行定位信息，运行定位信息为目标主机根据查询请求获取的当前目标主机的运行定位信息。
64.步骤s43：将运行定位信息发送至审计服务器。
65.在一具体实施例中，目标主机2在获取当前目标主机2的运行状态信息后，通过控制中心3将上述运行状态信息发送至审计服务器1，其中，控制中心3作为审计服务器1和目标主机2之间的通信桥梁，具体地，控制中心3、审计服务器1及目标主机2之间的通信协议为传输控制协议。在本发明实施例中，运行状态信息包括：当前目标主机2的运行状态及镜像网络流量信息，其中，当前目标主备的运行状态包括：cpu运行状态及内存使用量，镜像网络流量信息包括：网络流量及协议信息。通过采集镜像网络流量信息，并将镜像网络流量信息发送至审计服务器1，能够实时且全面的监测目标主机2的工作状态，达到全方位、多层次的监测效果。
66.在本发明实施例中，审计服务器1通过控制中心3接收目标主机2发送的运行状态
信息，并在接收到运行状态信息后，通过判断运行状态信息与预设运行状态信息的关系以确定是否发起查询请求。具体地，在根据运行状态信息生成查询请求之前，用户安全审计方法还包括如下步骤：
67.步骤s200：判断运行状态信息与预设运行状态信息是否一致。
68.步骤s201：当运行状态信息与预设运行状态信息不一致时，根据运行状态信息生成查询请求。
69.具体地，当运行状态信息与预设运行状态信息不一致时，例如当运行状态信息中的网络流量与预设存储的当前运行状态下的网络流量阈值不一致时，审计服务器1会判定此时网络流量存在异常，并根据发生异常的运行状态信息生成查询请求，通过控制中心3将查询请求发送至目标主机2，以进一步查询异常发生的位置。
70.在本发明实施例中，控制中心3作为审计服务器1与目标主机2的通信中转站，在接收审计服务器1发送的查询请求后，采用传输控制协议将查询请求转发至目标主机2，以保障查询请求数据传输的可靠性。
71.在本发明实施例中，目标主机2在接收到控制中心3发送的查询请求后，从上述查询请求中提取出异常的运行状态信息，并根据异常的运行状态信息定位发生异常的运行状态信息的位置。例如，当异常的运行状态信息为网络流量异常时，目标主机2统计出使用网络流量的几个进程，并从中筛选出网络流量消耗最大的进程，并将筛选出的网络流量消耗最大的进程信息作为运行定位信息发送至控制中心3。
72.在本发明实施例中，控制中心3作为审计服务器1与目标主机2的通信中转站，在接收到目标主机2发送的运行定位信息后，采用传输控制协议将运行定位信息转发至审计服务器1，以保障运行定位信息数据传输的可靠性。
73.在本发明实施例中，由于此时审计服务器1已判定目标主机2出现了异常的运行状态信息，为尽快恢复目标主机2的异常运行，审计服务器1通过利用虚拟化技术在审计服务器1与目标主机2之间构建虚拟化工作环境，通过在虚拟工作空间中对目标主机2进行联动控制，以尽快将目标主机2的运行状态恢复至正常运行状态。在虚拟工作空间中对目标主机2进行联动控制，包括如下步骤：
74.步骤s231：根据运行定位信息触发虚拟工作空间中的预设控制逻辑。
75.步骤s232：将预设控制逻辑发送至目标主机。
76.具体地，审计服务器1在接收到异常的运行状态信息的定位信息后，触发虚拟工作空间中的预设控制逻辑，例如此时审计服务器1在接收到网络流量消耗最大的进程信息后，触发虚拟工作空间中预先存储的关闭进程逻辑，并将上述关闭进程逻辑通过控制中心3发送至目标主机2。
77.在本发明实施例中，目标主机2在接收到审计服务器1通过控制中心3发送的预设控制逻辑后，根据预设控制逻辑重新调整运行定位信息，以使目标主机2消除异常的运行状态信息。例如，当预设控制逻辑为关闭进程逻辑时，目标主机2从上述关闭进程逻辑中提取出待关闭的进程信息，并根据该进程信息定位到该进程的存储位置，从而关闭该进程。
78.本发明实施例提供的用户安全审计方法，通过审计服务器发送的查询请求定位当前目标主机异常的运行状态信息的位置，并将定位结果反馈至审计服务器，通过查询请求准确定位异常的运行状态信息，并将异常的运行状态信息反馈至审计服务器，进而全面监
控目标主机的详细运行状态，实现网络安全的细粒度审计。
79.本发明实施例还提供一种计算机设备，如图6所示，该设备可以包括处理器61和存储器62，其中处理器61和存储器62可以通过总线或者其他方式连接，图6以通过总线连接为例。
80.处理器61可以为中央处理器(central processing unit，cpu)。处理器61还可以为其他通用处理器、数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。
81.存储器62作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块，如本发明实施例中的对应的程序指令/模块。处理器61通过运行存储在存储器62中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的用户安全审计方法。
82.存储器62可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器61所创建的数据等。此外，存储器62可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器62可选包括相对于处理器61远程设置的存储器，这些远程存储器可以通过网络连接至处理器61。上述网络的实例包括但不限于互联网、企业内部网、企业内网、移动通信网及其组合。
83.一个或者多个模块存储在存储器62中，当被处理器61执行时，执行本发明实施例提供的电能表数据交互方法或执行本发明实施提供的用户安全审计方法。
84.上述计算机设备具体细节可以对应参阅图1
‑
5所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。
85.本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，存储介质可为磁碟、光盘、只读存储记忆体(read
‑
only memory，rom)、随机存储记忆体(random access memory，ram)、快闪存储器(flash memory)、硬盘(hard disk drive，缩写：hdd)或固态硬盘(solid
‑
state drive，ssd)等；存储介质还可以包括上述种类的存储器的组合。
86.显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。