基于旁路技术的工控网络流量分析安全检测系统及方法

1.本发明涉及信息技术领域，尤其涉及基于旁路技术的工控网络流量分析安全检测系统及方法。


背景技术：

2.工控网络发展至今，大多使用专有的设备和通信协议，通过与外部网络隔离获得“隐蔽安全”，以此避免遭受各种网络攻击。但随着两化深度融合，网络通信技术在工控网络中大规模运用，传统与外网隔离的工控网络已然无法满足生产需求。为了维护工控网络的安全，首先即需采集网络中的流量数据进行安全分析，现有技术中一般使用串联监控模式对网络流量进行采集与监控，即通过网关、网桥或者代理服务器的模式监控网络，该种方式对网络的正常运行会产生影响，且当监控器故障时会影响到网络中通信流量的正常传输。
3.传统的信息网络采用的安全策略总是按照机密性、完整性、可用性的优先级设计方案，而在工控网络中，考虑顺序是与之颠倒的。确保工业设施的可用性是首要任务，而工控网络中传播的测量结果或传感器数据的机密性是最无需担忧的问题。由于工控网络关注系统可用性和高正常运行时间的要求，传统串联监控模式所具有的缺点是工控网络完全无法接受的，即，传统的串联监控方法无法实现对工控网络的安全检测。


技术实现要素：

4.本发明提供了一种基于旁路技术的工控网络流量分析安全检测系统及方法，用以解决或者至少部分解决现有技术中无法实现对工控网络的安全检测的技术问题。
5.为了解决上述技术问题，本发明第一方面提供了基于旁路技术的工控网络流量分析安全检测系统，包括：通讯模块，用于采用旁路技术接入工控网络，采集工控网络流量数据，包括原始通信数据、网络会话日志和网络应用日志；大数据转发模块，用于利用kafka分布式消息转发订阅框架构建包括数据采集层、数据缓存层、数据转发层三个层次的大数据模型，其中，数据采集层通过接入通讯模块，利用kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络流量数据；数据缓存层用于对工控网络流量数据中的多源数据进行融合；数据转发层用于利用kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，并将消息中携带的工控网流量数据发送给字段解码模块；字段解码模块，用于对数据转发层发送的工控网络流量数据进行字段解码；安全检测模块，用于对字段解码后的流量数据进行安全检测。
6.在一种实施方式中，通讯模块包括串口通讯单元、gsm通讯单元、lte通讯单元以及移动监控终端。
7.在一种实施方式中，字段解码模块根据预设时间间隔对对数据转发层发送的工控网络流量数据进行字段解码。
8.在一种实施方式中，安全检测模块，包括：攻击行为检测模块，用于对字段解码后的流量数据采用通信协议进行识别，根据预训练的模型对字段解码后的流量数据进行检测，检测其是否受到攻击；异常行为检测模块，用于对字段解码后的流量数据采用的通信协议进行行为分析，利用机器学习和数据分析算法识别其行为是否异常；基线式检测模块，用于离线分析海量的工控网络流量数据，判断预设基线式检测检测项是否正常；安全分析模块，用于构建三层工控网络安全态势感知模型，对工控网络的安全态势进行感知。
9.在一种实施方式中，预训练的模型为预先通过大量已经标注的工控网流量数据训练好的机器学习模型或者深度学习模块，检测的攻击包括web攻击、应用层攻击、端口/服务扫描攻击。
10.在一种实施方式中，异常行为检测模块具体用于：通过预训练完毕的机器学习或深度学习模型对字段解码后的流量数据进行检测，检测其所处时刻的工控系统的行为；统计固定时间段某行为出现次数，并与固定时刻出现次数阈值进行比对，判断固定时间的工控网络行为是否为异常。
11.在一种实施方式中，所述系统还包括攻击溯源模块，用于根据攻击行为检测模块、异常行为检测模块、基线式检测模块以及安全分析模块的结果对工控网络攻击进行回溯，并生成工控网络安全分析报告。
12.在一种实施方式中，所述系统还包括异常报警模块，用于根据生成的工控网络安全分析报告发出报警信息并执行相应的动作。
13.基于同样的发明构思，本发明第二方面提供了基于旁路技术的工控网络流量分析安全检测方法，包括：采用旁路技术将通讯模块接入工控网络，采集工控网络流量数据，包括原始通信数据、网络会话日志和网络应用日志；利用kafka分布式消息转发订阅框架构建包括数据采集层、数据缓存层、数据转发层三个层次的大数据模型，其中，数据采集层通过接入通讯模块，利用kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络流量数据；数据缓存层用于对工控网络流量数据中的多源数据进行融合；数据转发层用于利用kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，并将消息中携带的工控网流量数据发送给字段解码模块；对数据转发层发送的工控网络流量数据进行字段解码；对字段解码后的流量数据进行安全检测。
14.在一种实施方式中，所述方法还包括：根据安全检测的工控网络攻击进行回溯，并生成工控网络安全分析报告。
15.相对于现有技术，本发明的优点和有益的技术效果如下：（1）提出的基于旁路技术的工控网络流量分析安全检测系统，通过通讯模块以旁路技术的方式控网络，可在不影响工控网络的正常运行情况下采集工控网络流量数据，对
工控网络原结构无影响，工控网络流量分析安全检测系统的问题也不会影响到工控网络的正常运行。
16.（2）采集的工控网络数据导入采用kafka分布式消息转发订阅框架的大数据转发模块，可以应对工控网络流量数据的大规模和大数据特性，且使用kafka，对大规模工控网络实时流式数据实现快速准确安全的转发存储，可避免数据丢失现象。
17.（3）利用字段解码模块对数据转发层的工控网络流量数据进行字段解码，并进一步进行安全检测，实现了对工控网络数据的安全检测与分析。
附图说明
18.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
19.图1为本发明实施例中基于旁路技术的工控网络流量分析安全检测系统的结构示意图。
具体实施方式
20.由于工控网络关注系统可用性和高正常运行时间的要求，传统串联监控模式所具有的缺点是工控网络完全无法接受的。为了解决这一问题，本发明的系统采用旁路技术接入工控网络，在不影响工控网络正常运行的前提下收集工控网络原始数据，并将数据接入大数据系统后进行安全分析，以维护工控网络的安全和正常运行。
21.现有技术中虽然提及了旁路技术的安全分析，但是本发明与其相比，首先，不同之处在于适用领域不同，现有技术为传统的信息网络，本发明为工控网络。工控网络相较于传统it网络，具有使用领域单一、网络相对封闭、通讯协议特定（如modbus、profibus等）以及系统升级困难，一般在遇到系统被破坏的情况才会进行系统升级迭代，且无法通过打补丁的方式修复系统漏洞等特点。且由于工控网络关注系统可用性和高正常运行时间的要求和工控网络的大规模和大数据特性，本发明所使用的模块皆围绕大数据转发模块展开，故本发明的创新性还体现在根据工控网络特性，将旁路技术与大数据技术结合，利用kafka的生产者和消费者，在生产者端编写程序实时读取通讯设备旁路接入工控网络所收集的原始数；在消费者端编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，在统一进行解码后分布式地运行攻击行为检测模块、异常行为检测模块、基线式检测模块和安全分析模块，分析工控系统所遭受的攻击、系统的行为、检查项以及工控网络的安全态势。同时，本发明所提出的工控网络流量分析安全检测系统还利用攻击溯源模块分析网络安全态势和攻击与行为之间的关系，并生成工控网络安全分析报告，最后还利用异常报警模块读取分析报告，并根据报告内容发出报警信息以及执行相应的处理措施。
22.本发明旨在提出一种基于旁路技术的工控网络流量分析安全检测系统，解决背景技术中存在的缺点，以实现工控网络流量数据的高效采集与安全分析。具体而言，主要包括以下三点：
（1）采用旁路技术接入工控网络，设置包括数据采集模块（即数据采集层）、数据处理模块和通讯模块的工控网络流量分析安全检测系统，可在不影响工控网络的正常运行情况下采集工控网络流量数据，且对工控网络原结构无影响，工控网络流量分析安全检测系统的问题也不会影响到工控网络的正常运行。
23.（2）采用旁路技术接入工控网络，并将采集的工控网络数据导入采用了kafka的大数据转发模块的工控网络流量分析安全检测系统的进行安全分析，以应对工控网络流量数据的大规模和大数据特性，且使用kafka，对大规模工控网络实时流式数据实现快速准确安全的转发存储，可避免数据丢失现象。
24.（3）采用旁路技术接入工控网络，对网络流量多个维度进行安全分析，实时产生安全结果，并根据结果进行响应，执行相应的处理措施。
25.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
26.实施例一本发明实施例提供了基于旁路技术的工控网络流量分析安全检测系统，包括：通讯模块，用于采用旁路技术接入工控网络，采集工控网络流量数据，包括原始通信数据、网络会话日志和网络应用日志；大数据转发模块，用于利用kafka分布式消息转发订阅框架构建包括数据采集层、数据缓存层、数据转发层三个层次的大数据模型，其中，数据采集层通过接入通讯模块，利用kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络流量数据；数据缓存层用于对工控网络流量数据中的多源数据进行融合；数据转发层用于利用kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，并将消息中携带的工控网流量数据发送给字段解码模块；字段解码模块，用于对数据转发层发送的工控网络流量数据进行字段解码；安全检测模块，用于对字段解码后的流量数据进行安全检测。
27.具体来说，通讯模块以流量镜像的方式旁路接入工控网络中的感器的感知终端，在不影响原有生产业务的前提下对网络流量数据进行采集。
28.大数据转发模块选用kafka分布式消息转发订阅框架，利用kafka高吞吐量、持久性存储以及分布式等特性，实现工控网络流式数据的实时快速准确安全转发与缓存，用于解决目前工控网络安全研究所面临的通信流量规模大、协议种类繁多、生成速度快等问题。该模块利用kafka构建了包括数据采集、缓存、转发三个层次的大数据模型。采集层通过接入通讯模块，利用kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络原始数据；缓存层主要关注工控网络多源数据的融合，多源数据往往包含各种不确定性信息，在融合时借助ds证据理论来提高数据融合的可信性；转发层接入字段解码模块，利用kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，在统一进行解码后分布式地运行安全检测模块，安全检测包括攻击行为检测、异常行为检测等，具体地，可以包括行为检测模块、异常行为检测模块、基线式检测模块和安全分析模块。
29.在一种实施方式中，通讯模块包括串口通讯单元、gsm通讯单元、lte通讯单元以及移动监控终端。
30.具体实施过程中，通讯模块可通过gsm通讯单元和lte通讯单元无线连接至移动监控终端，操作人员可通过手机、平板、电脑等多种设备实时接收报警信号，并且通讯模块可以接收来自操作人员的处理指令，并反馈于工控网络以执行相应的响应措施。
31.在一种实施方式中，字段解码模块根据预设时间间隔对对数据转发层发送的工控网络流量数据进行字段解码。
32.其中，预设时间间隔可以根据需要进行设置，例如5秒、10秒等。对kafka转发的工控网络流量数据进行字段解码，并将解码后的数据分别发送至攻击行为检测模块、异常行为检测模块、基线式检测模块、安全分析模块，各模块运行完毕后将运行结果发送至攻击溯源模块，以形成分析报告后发至异常报警模块。
33.在一种实施方式中，安全检测模块，包括：攻击行为检测模块，用于对字段解码后的流量数据采用通信协议进行识别，根据预训练的模型对字段解码后的流量数据进行检测，检测其是否受到攻击；异常行为检测模块，用于对字段解码后的流量数据采用的通信协议进行行为分析，利用机器学习和数据分析算法识别其行为是否异常；基线式检测模块，用于离线分析海量的工控网络流量数据，判断预设基线式检测检测项是否正常；安全分析模块，用于构建三层工控网络安全态势感知模型，对工控网络的安全态势进行感知。
34.在一种实施方式中，预训练的模型为预先通过大量已经标注的工控网流量数据训练好的机器学习模型或者深度学习模块，检测的攻击包括web攻击、应用层攻击、端口/服务扫描攻击。
35.具体来说，攻击行为检测模块通过对流量数据采用的通信协议进行特征识别，根据预训练完毕的机器学习或深度学习模型对流量数据检测其所遭受的通用攻击行为，如web攻击、应用层攻击、端口/服务扫描攻击等。此模块聚焦常见攻击行为的检测，通过大量已有的打上对应攻击标签的流量数据训练的机器学习或深度学习模型，对采集的工控网络流量数据进行分析与检测。
36.在一种实施方式中，异常行为检测模块具体用于：通过预训练完毕的机器学习或深度学习模型对字段解码后的流量数据进行检测，检测其所处时刻的工控系统的行为；统计固定时间段某行为出现次数，并与固定时刻出现次数阈值进行比对，判断固定时间的工控网络行为是否为异常。
37.具体来说，异常行为检测模块对流量数据采用的通信协议进行行为分析，注重协议的上下文的关联性，综合运用机器学习、数据分析算法识别异常行为以及高级风险。本模块聚焦从工控网络的流量数据中分析出工控系统此时的行为，通过预训练完毕的机器学习或深度学习模型对流量数据检测其所处时刻的工控系统的行为，并结合数据分析算法判断行为的上下文联系是否异常和此行为是否会带来安全风险。数据分析算法统计固定时间段某行为出现次数并发送给攻击溯源模块，以与攻击溯源模块设定的固定时刻出现次数阈值
进行比对，并且初步简单判断固定时间的工控系统行为集是否会导致系统异常，通过机器学习或深度学习模型，输入为固定时间段的工控系统行为，输入为正常或异常，并将结果反馈给攻击溯源模块。
38.需要说明的是，攻击行为检测模块中的模型的输出是通过运算判断工控网络流量数据是否遭受到攻击，而异常行为检测模块中的机器学习模型或者深度学习模型则是输出某个时间工控系统的行为状态，如系统某设备运行、重启、关闭，系统审查等。
39.行为的上下文关联或者联系是指某时刻的行为和之前或之后的行为结合起来是否会导致系统异常，如关闭a设备后再关闭b设备可能导致系统运行异常。
40.此外，基线式检测模块以海量工控网络流量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁。此模块不聚焦于实时性，而是离线分析海量的工控网络流量数据，根据设置的检测周期，如每个小时检测一次，检测工控网络对预设的基线式检测检测项是否正常（如阀门是否开启、电压是否在正常区间等）并将结果发送至攻击溯源模块，不同的检测项采用不同的检测规则，固定周期检测工控系统是否符合一些风险特征从而提示风险点，及修复建议。清理风险后，固定周期后会对该风险再次检测，如果发现风险已经修复，在发送至攻击溯源模块的数据中删除该条警告。
41.安全分析模块基于保留的原始工控网络流量数据，结合数据挖掘、机器学习、小样本增强等相关大数据和人工智能技术，构建三层工控网络安全态势感知模型（数据源层、统计分析层和智能诊断层），感应工控网络安全态势，更弹性地应对新型复杂的未知威胁和风险。
42.在一种实施方式中，所述系统还包括攻击溯源模块，用于根据攻击行为检测模块、异常行为检测模块、基线式检测模块以及安全分析模块的结果对工控网络攻击进行回溯，并生成工控网络安全分析报告。
43.具体来说，攻击溯源模块应用大数据解析与检索手段，对上述各模块（攻击行为检测模块、异常行为检测模块、基线式检测模块、安全分析模块）的运行结果进行上下文与内容的调查取证，快速定位风险事件，实现工控网络攻击的全线回溯，并生成工控网络安全分析报告。
44.例如，攻击溯源模块根据固定时间段收集攻击行为检测模块、异常行为检测模块、基线式检测模块、安全分析模块的结果。攻击行为检测模块结果：统计该固定时间段工控系统遭受攻击威胁，并统计系统遭受各攻击的总次数，写入报告；异常行为检测模块结果：对汇报的该固定时间段工控系统的行为次数与设定次数阈值进行对比，当该段时间某行为发生次数超过阈值则将情况写入报告并预警，同时也统计工控系统行为次数的历史值；基线式检测模块结果：统计该固定时间段工控系统预设检测项的风险出现次数以及次数的历史值并写入报告；安全分析模块结果：对汇报的该固定时间段工控系统的安全态势（正常状态、遭受威胁、未知攻击）写入分析报告。其中，该模块将上述四个模块的结果以时间顺序形成时间序列，并构建攻击、行为与网络态势的知识图谱，形成网络态势与攻击、行为等的关系对并写入分析报告。
45.在一种实施方式中，所述系统还包括异常报警模块，用于根据生成的工控网络安全分析报告发出报警信息并执行相应的动作。
46.具体来说，异常报警模块读取分析报告，并根据报告内容发出报警信息以及执行
相应的处理措施。异常报警模块设置多个不同等级的异常警告，并且异常警告随着时间积累，警告等级逐渐上升。
47.如图1所示，本发明提出的一种基于旁路技术的工控网络流量分析安全检测系统。
48.本发明提供的系统，通过旁路接入技术，可不改变工控网络原有的网络结构，部署简单，且不影响网络的稳定性和可靠性。针对多种不同的网络形态，系统设备采用与网络硬件无关的工作模式，能够适应各种硬件配置和网络驱动。在典型部署的情况下，采用交换机镜像或接入的方式。数据采集层具备高可用性和高可靠性，可单点部署和集群部署，并支持弹性扩充系统存储、检索和分析的能力，具备避免因单点硬件宕机导致数据丢失的能力。
49.通讯模块包括串口通讯单元、gsm通讯单元和lte通讯单元，通讯模块通过部署流量镜像的方式旁路接入工控网络各传感器的感知终端，在不影响原有工业生产的前提下对工控网络流量数据进行采集。
50.数据采集方面，采用旁路方式，将数据转发模块的数据采集层与工控网络并联进行数据采集，利用工控网络中协议的广播机制，完全引入工控网络的原始通信数据，以及采集工控网络的网络会话日志和网络应用日志，并发送至数据处理模块。
51.数据处理模块包括大数据转发模块、字段解码模块、攻击行为检测模块、异常行为检测模块、基线式检测模块、安全分析模块、攻击溯源模块以及异常报警模块。
52.大数据转发模块利用kafka构造数据中转站，对大规模工控网络的实时流式数据进行快速准确安全转发与存储，屏蔽数据采集端和数据处理端之间的数据处理速率差异，避免了工控网络流量数据的丢失现象。对后续采集工控网络的会话日志、网络应用日志和原始通信数据，通过创建kafka的topic、生产者和消费者程序，构建数据采集、缓存、转发三个层次的kafka数据中转站，最终将流量数据传入字段解码模块。
53.字段解码模块以5秒为时间间隔，对kafka转发的工控网络流量数据进行字段解码，形成一段工控网络流量时间序列数据，并将解码后的数据分别发送至攻击行为检测模块、异常行为检测模块、基线式检测模块、安全分析模块、攻击溯源模块以及异常报警模块进行后续的工控网络安全分析。
54.对于解码后的工控网络流量数据，在一个实例中可带入各种安全分析模块进行处理。攻击行为检测模块通过对流量数据采用的通信协议进行特征识别，检测通用攻击行为，如web攻击、应用层攻击、端口/服务扫描攻击等；异常行为检测模块综合运用机器学习、数据分析算法对流量数据采用的通信协议进行行为分析，识别异常行为以及高级风险；基线式检测以海量工控网络流量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁；安全分析模块基于保留的原始工控网络流量数据，结合数据挖掘、机器学习等相关大数据技术，感应工控网络安全态势，更弹性地应对新型复杂的威胁和风险。以上各模型对工控网络流量数据进行安全分析后将结果发至攻击溯源模块。
55.攻击溯源模块应用大数据解析与检索手段，接收上述各模型的运行结果，并对协议上下文与协议内容进行调查取证，快速定位风险事件与协议事件的关系，实现工控网络攻击的全线回溯，并生成工控网络安全分析报告。
56.异常报警模块读取分析报告，并根据报告内容发出报警信息以及执行相应的处理措施。报警信息可通过通讯模块无线连接至移动监控终端，使得操作人员可通过手机、平板、电脑等多种设备实时接收此报警信号，并且通讯模块可以接收来自操作人员的处理指
令，并反馈于工控网络以执行相应的处理措施。
57.本发明提出一种基于旁路技术的工控网络流量分析安全检测系统，其优越性主要体现在：满足工控网络关注系统可用性和高正常运行时间的要求，且本发明对工控网络原有结构不产生任何影响；选用kafka分布式消息转发订阅框架对采集的工控网络流量数据进行缓存与转发，隔离数据采集端与处理端速率的差异，解决目前工控网络安全研究所面临的通信流量规模大、协议种类繁多、生成速度快等问题。
58.实施例二基于同样的发明构思，本实施例提供了基于旁路技术的工控网络流量分析安全检测方法，包括：采用旁路技术将通讯模块接入工控网络，采集工控网络流量数据，包括原始通信数据、网络会话日志和网络应用日志；利用kafka分布式消息转发订阅框架构建包括数据采集层、数据缓存层、数据转发层三个层次的大数据模型，其中，数据采集层通过接入通讯模块，利用kafka的生产者功能，编写程序实时读取通讯模块采集的工控网络流量数据；数据缓存层用于对工控网络流量数据中的多源数据进行融合；数据转发层用于利用kafka的消费者功能，编写程序实时消费工控网络原始数据，同时在大数据集群中多个节点上部署消费者程序，读取kafka中的相同消息，并将消息中携带的工控网流量数据发送给字段解码模块；对数据转发层发送的工控网络流量数据进行字段解码；对字段解码后的流量数据进行安全检测。
59.在一种实施方式中，所述方法还包括：根据安全检测的工控网络攻击进行回溯，并生成工控网络安全分析报告。
60.由于本发明实施例二所介绍的方法为基于本发明实施例一中基于旁路技术的工控网络流量分析安全检测系统所采用的方法，故而基于本发明实施例一所介绍的系统，本领域所属人员能够了解该方法的具体实施方式而在此不再赘述。凡是基于本发明实施例一中系统所采用的方法都属于本发明所欲保护的范围。
61.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。
62.本发明是参照根据本发明实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。
63.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
64.显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。