网络安全态势分析方法、系统及设备

技术领域

本发明涉及数据处理技术领域，具体地涉及一种网络安全态势分析方法、一种网络安全态势分析系统、一种网络安全态势分析设备以及一种计算机可读存储介质。

背景技术

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地，随着网络安全重要性的凸显，态势感知开始在网络安全领域斩露头角，现阶段面对传统安全防御体系失效的风险，态势感知能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态、通过全流量分析技术实现完整的网络攻击溯源取证，帮助安全人员采取针对性响应处置措施，现有的网络安全态势感知的方法过于复杂，分析效率不高，针对性不强。

现有的计算机网络安全态势感知平台及方法，通常是对当前的网络安全状态进行评估，然后对当前发现的攻击源和漏洞进行处理，而预测的网络安全状态发展趋势，只是对发展趋势中的攻击源和漏洞发出预警，不能在趋势到来之前对攻击源和漏洞进行处理。

REST接口(Representational State Transfer)：表述性状态传递接口。

发明内容

本发明实施例的目的是提供一种网络安全态势分析方法、装置及设备，其能够对授权人员的登录及操作行为进行记录、分析、展现，做到事前规划预防、事中实时监控、违规行为告警和预警、事后合规报告和事故追踪。

为了实现上述目的，本发明的第一方面提供了一种网络安全态势分析方法，该方法包括：该方法包括：通过资源层对客户网络环境中的数据源进行原始数据的采集；通过采集管控层对所述资源层采集的原始数据进行解析、入库，响应上层控制功能，与外部设备进行联动；通过大数据层构建基于大数据平台的流式分析和批量计算业务，并将计算结果汇总给上层业务；通过服务层管理系统组件运行，收集大数据层的计算结果，以及对应用层进行功能支撑；通过应用层对安全业务计算结果进行呈现以及为用户提供业务交互。

优选的，通过采集管控层对所述资源层收集的原始数据进行解析、入库，包括：通过态势感知平台总体数据流，将从数据源采集的原始数据存储到缓冲队列，解析程序将原始数据解析完成后放到缓冲队列，入库程序将解析后数据存储到数据仓库中；所述数据仓库被配置为对数据分类规整。

优选的，所述流式分析包括：通过流式分析程序进行流式分析业务，将分析结果存储到数据库中；所述批量计算业务包括：通过与所述数据仓库的接口，完成大数据计算，并将计算结果存储到关系型数据库中。

优选的，所述方法还包括：对外提供运行于HTTPS之上的REST接口，对内提供基于HTTP的REST接口。

优选的，所述服务层还被配置为：接收应用层转发的用户请求，将所述用户请求经NGINX微服务转发至API网关微服务，所述API网关微服务根据服务注册中心信息对所述用户请求进行路由；所述服务层的服务之间采用REST接口进行相互访问，所述服务层还被配置为：根据服务注册实例的信息进行客户端的负载均衡；所述服务层还被配置为：通过API网关微服务进行API调用。

优选的，所述方法还包括：根据获取的日志数据，通过告警呈现模块、告警处置模块、告警管理模块、业务支撑模块和关联分析模块生成可运维的告警信息；所述关联分析模块被配置为：负责管理关联引擎、告警模块的规则内容编译执行关联规则，负责将告警信息写入数据库，供其它场景使用；所述告警呈现模块被配置为：将同一类型的告警按默认归并策略做归并处理，以减少最终需要运维的告警数量；所述告警管理模块被配置为：负责告警规则的管理及告警内容的查询；所述告警处置模块被配置为：对于告警的生成的内容进行处理，处理的手段包括：工单、设备响应、通知责任人；所述业务支撑模块被配置为：负责根据关联规则中配置的通知外发策略，执行相应的通知或外发动作。

优选的，所述方法还包括：通过风险评估模块、风险概况模块和风险展示模块对资产的风险信息进行评估呈现；所述风险评估模块被配置为：根据内置风险计算模型，从相关表中查询得到风险计算所需数据；所述风险概况模块被配置为：根据风险评估模块计算得到的单资产、资产组风险信息，基于不同维度对当前资产、资产组的相关风险、告警、漏洞状况进行关联分析并提供相关接口供风险展示模块调用；所述风险展示模块被配置为：通过调用风险概况提供的相关接口详细展示当前资产、资产组的风险信息。

在本发明的第二方面，还提供了一种网络安全态势分析系统，包括：资源层，用于对客户网络环境中的数据源进行原始数据的采集；采集管控层，用于对所述资源层采集的原始数据进行解析、入库，响应上层控制功能，与外部设备进行联动；大数据层，用于构建基于大数据平台的流式分析和批量计算业务，并将计算结果汇总给上层业务；服务层，用于管理系统组件运行，收集大数据层的计算结果，以及对应用层进行功能支撑；以及应用层，用于对安全业务计算结果进行呈现以及为用户提供业务交互。

优选的，通过采集管控层对所述资源层收集的原始数据进行解析、入库，包括：通过态势感知平台总体数据流，将从数据源采集的原始数据存储到缓冲队列，解析程序将原始数据解析完成后放到缓冲队列，入库程序将解析后数据存储到数据仓库中；所述数据仓库被配置为对数据分类规整。

优选的，所述流式分析包括：通过流式分析程序进行流式分析业务，将分析结果存储到数据库中；所述批量计算业务包括：通过与所述数据仓库的接口，完成大数据计算，并将计算结果存储到关系型数据库中。

优选的，所述方法还包括：对外提供运行于HTTPS之上的REST接口，对内提供基于HTTP的REST接口。

优选的，所述服务层还被配置为：接收应用层转发的用户请求，将所述用户请求经NGINX微服务转发至API网关微服务，所述API网关微服务根据服务注册中心信息对所述用户请求进行路由；所述服务层的服务之间采用REST接口进行相互访问，所述服务层还被配置为：根据服务注册实例的信息进行客户端的负载均衡；所述服务层还被配置为：通过API网关微服务进行API调用。

优选的，所述方法还包括：根据获取的日志数据，通过告警呈现模块、告警处置模块、告警管理模块、业务支撑模块和关联分析模块生成可运维的告警信息；所述关联分析模块被配置为：负责管理关联引擎、告警模块的规则内容编译执行关联规则，负责将告警信息写入数据库，供其它场景使用；所述告警呈现模块被配置为：将同一类型的告警按默认归并策略做归并处理，以减少最终需要运维的告警数量；所述告警管理模块被配置为：负责告警规则的管理及告警内容的查询；所述告警处置模块被配置为：对于告警的生成的内容进行处理，处理的手段包括：工单、设备响应、通知责任人；所述业务支撑模块被配置为：负责根据关联规则中配置的通知外发策略，执行相应的通知或外发动作。

优选的，所述方法还包括：通过风险评估模块、风险概况模块和风险展示模块对资产的风险信息进行评估呈现；所述风险评估模块被配置为：根据内置风险计算模型，从相关表中查询得到风险计算所需数据；所述风险概况模块被配置为：根据风险评估模块计算得到的单资产、资产组风险信息，基于不同维度对当前资产、资产组的相关风险、告警、漏洞状况进行关联分析并提供相关接口供风险展示模块调用；所述风险展示模块被配置为：通过调用风险概况提供的相关接口详细展示当前资产、资产组的风险信息。

在本发明的第三方面，还提供了一种网络安全态势分析设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现前述的网络安全态势分析方法的步骤。

在本发明的第四方面，还提供了一种计算机可读存储介质，所述存储介质中存储有指令，当其在计算机上运行时，使得计算机执行前述的网络安全态势分析方法的步骤。

本发明的第五方面提供一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现前述的网络安全态势分析方法。

上述技术方案至少具有以下有益效果：

构建统一性体系化网络安全保障与信息通报平台，实现网络安全数据的集中全面的处理。同时该平台具有良好的互交性、安全性和便利性，提升了网络安全数据的处理效率。

本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明实施例的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明实施例，但并不构成对本发明实施例的限制。在附图中：

图1为本发明实施例提供的网络安全态势分析方法步骤示意图；

图2为本发明实施例提供的态势感知平台的逻辑架构示意图；

图3为本发明实施例提供的态势感知平台部署架构图；

图4为本发明实施例提供的系统进程关系示意图；

图5为本发明实施例提供的态势感知平台总体数据流示意图；

图6为本发明实施例提供的系统API调用逻辑流程示意图；

图7为本发明实施例提供的告警管理功能框架示意图；

图8为本发明实施例提供的告警管理模块架构示意图；

图9为本发明实施例提供的风险管理功能框架图；

图10为本发明实施例提供的风险管理架构图；

图11为本发明实施例提供的网络安全态势分析系统的模块示意图；

图12为本发明实施例提供的电子设备结构示意图。

具体实施方式

以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明实施例，并不用于限制本发明实施例。

图1为本发明实施例提供的网络安全态势分析方法步骤示意图。如图1所示，一种网络安全态势分析方法，该方法包括：

S01、通过资源层对客户网络环境中的数据源进行原始数据的采集；

S02、通过采集管控层对所述资源层采集的原始数据进行解析、入库，响应上层控制功能，与外部设备进行联动；

S03、通过大数据层构建基于大数据平台的流式分析和批量计算业务，并将计算结果汇总给上层业务；

S04、通过服务层管理系统组件运行，收集大数据层的计算结果，以及对应用层进行功能支撑；

S05、通过应用层对安全业务计算结果进行呈现以及为用户提供业务交互。

图2为本发明实施例提供的态势感知平台的逻辑架构示意图；如图2所示，整个系统的逻辑架构如下，总体上从下到上分为五层，分别为：资源层、采集管控层、大数据层、服务层和应用层。其中，资源层是客户网络环境中的各种数据源，包括但不限于通过流量探针将流量日志进行采集、通过日志探针采集安全日志、通过漏洞扫描器收集漏洞信息、通过终端管理系统收集终端信息。采集管控层，一方面对资源层各种原始数据进行解析、入库；另一方面响应上层控制功能，与外部部分设备进行联动。大数据层以大数据平台为基础，构建基于大数据平台的流式分析、批量计算业务。最终将计算结果汇总给上层业务。服务层是一些基础、公共的业务逻辑，为业务层作功能支撑；收集大数据层计算结果、管理系统各组件运行等。应用层是客户可接触到的主要业务功能，对安全业务计算结果进行呈现、负责为用户提供业务交互，例如各种类型的态势感知业务。

图3为本发明实施例提供的态势感知平台部署架构图。如图3所示，态势感知平台以PKS平台系统架构要求为基础，对安全态势感知平台核心业务组件进行微服务化拆分、适配PKS中k8s架构体系。

态势感知平台的核心微服务(docker@pod)分为几类：Nginx代理：为系统提供HTTPS/REST接口、负责页面、作为系统入口；API网关：微服务后端入口，提供审计、接口管控、负载均衡、权限校验、用户验证等功能；注册中心：用于服务发现、服务注册；PostgreSQL：以微服务形态运行、提供数据存储；有状态服务：单实例有状态的微服务；无状态服务：多实例无状态的微服务；外部组件：大数据平台、vmware/k8s管理体系、vmware/k8s外部存储体系。

图4为本发明实施例提供的系统进程关系示意图。如图4所示，系统中有三部分进程，第一部分是业务类进程、第二部分是系统基础功能进程、第三类是第三方组件相关进程。业务进程依赖平台基础功能进程提供的服务能力，而业务进程和平台基础业务进程依赖大数据进程提供的计算和数据能力。除大数据类进程外，所有其它进程均运行在docker中，以某个微服务形态存在于PKS平台内。图中将这几类中主要进程进行描述，业务类进程：业务类主要是态势感知平台业务微服务相关进程。基础功能进程：是态势感知平台相关支撑功能微服务进程，如登录鉴权、审计、用户管理等。第三方组件类：大数据相关进程、nginx、关系数据库、REDIS、服务发现等。

图5为本发明实施例提供的态势感知平台总体数据流示意图。如图5所示，通过采集管控层对所述资源层收集的原始数据进行解析、入库，包括：通过态势感知平台总体数据流，将从数据源采集的原始数据存储到缓冲队列，解析程序将原始数据解析完成后放到缓冲队列，入库程序将解析后数据存储到数据仓库中；所述数据仓库被配置为对数据分类规整。具体的，系统从各种数据源采集数据，将原始数据存储到缓冲队列，解析程序将原始数据解析完成后放到缓冲队列，入库程序将解析后数据存储到HIVE/ES等数据仓库中，流式分析程序会做一定的流式分析业务，将结果存储到各类数据库中，而业务分析通过数据仓库的接口，完成各类大数据计算，并将结果存储到关系型DB中。所述流式分析包括：通过流式分析程序进行流式分析业务，将分析结果存储到数据库中；所述批量计算业务包括：通过与所述数据仓库的接口，完成大数据计算，并将计算结果存储到关系型数据库中。

图6为本发明实施例提供的系统API调用逻辑流程示意图。如图6所示，在本实施方式中，对外提供运行于HTTPS之上的REST接口，对内提供基于HTTP的REST接口。在态势感知平台技术体系结构中，对外(页面)提供运行于HTTPS之上的REST接口；对内(nginx内)提供基于HTTP的REST接口。通过对API调用流程，读者可了解态势感知平台模块间基本关系。本系统API调用逻辑如图所示，其包括：

南北向：用户从浏览器发出请求后，进入NGINX微服务再进入API网关微服务。API网关会根据服务注册中心信息，对请求进行路由(轮询方式)。所有业务微服务均可使用大数据平台提供的大数据能力。

东西向：服务之间采用REST接口进行相互访问。API调用也类似API网关行为，根据服务注册实例的信息，进行客户端负载均衡。外部扩展：对外外部扩展的服务，可通过API网关进行API调用、使用态势平台内部(部分)数据。

其中，所述服务层还被配置为：接收应用层转发的用户请求，将所述用户请求经NGINX微服务转发至API网关微服务，所述API网关微服务根据服务注册中心信息对所述用户请求进行路由；所述服务层的服务之间采用REST接口进行相互访问，所述服务层还被配置为：根据服务注册实例的信息进行客户端的负载均衡；所述服务层还被配置为：通过API网关微服务进行API调用。

图7为本发明实施例提供的告警管理功能框架示意图。如图7所示，在本实施方式中，所述方法还包括：根据获取的日志数据，通过告警呈现模块、告警处置模块、告警管理模块、业务支撑模块和关联分析模块生成可运维的告警信息。其主要功能是对进入系统的日志数据，结合客户环境中的情境知识，进行流式关联分析，并产生可运维的告警信息。所述关联分析模块被配置为：负责管理关联引擎、告警模块的规则内容编译执行关联规则，负责将告警信息写入数据库，供其它场景使用；所述告警呈现模块被配置为：将同一类型的告警按默认归并策略做归并处理，以减少最终需要运维的告警数量；所述告警管理模块被配置为：负责告警规则的管理及告警内容的查询；所述告警处置模块被配置为：对于告警的生成的内容进行处理，处理的手段包括：工单、设备响应、通知责任人；所述业务支撑模块被配置为：负责根据关联规则中配置的通知外发策略，执行相应的通知或外发动作。

图8为本发明实施例提供的告警管理模块架构示意图。如图8所示，架构描述了以上告警模块之间的逻辑关系及依赖关系，用于说明各个模块的输入输出。在规则管理配置关联规则，把日志、情报、资产等数据通过关联分析和异常检测，关联分析和异常检测通过规则生成告警，业务和工单系统通过获取告警信息进行处置响应。

图9为本发明实施例提供的风险管理功能框架图。如图9所示，所述方法还包括：通过风险评估模块、风险概况模块和风险展示模块对资产的风险信息进行评估呈现；所述风险评估模块被配置为：根据内置风险计算模型，从相关表中查询得到风险计算所需数据；所述风险概况模块被配置为：根据风险评估模块计算得到的单资产、资产组风险信息，基于不同维度对当前资产、资产组的相关风险、告警、漏洞状况进行关联分析并提供相关接口供风险展示模块调用；所述风险展示模块被配置为：通过调用风险概况提供的相关接口详细展示当前资产、资产组的风险信息。以上各个模块的架构如图10所示，图10为本发明实施例提供的风险管理架构图。风险管理模块架构流程如下：风险管理模块主要依赖于告警管理、资产管理、漏洞管理的相关信息；根据这些信息分别计算单资产脆弱性、威胁值、风险值以及资产组风险值，得到风险信息并存储于数据库中；风险概况模块会将风险信息包装成接口，供可视化统计、风险态势、风险展示等模块调用。

基于相同的发明构思，本发明的实施方式中还提供了一种网络安全态势分析系统。图11为本发明实施例提供的网络安全态势分析系统的模块示意图。如图11所示，该系统包括：资源层10，用于对客户网络环境中的数据源进行原始数据的采集；采集管控层20，用于对所述资源层采集的原始数据进行解析、入库，响应上层控制功能，与外部设备进行联动；大数据层30，用于构建基于大数据平台的流式分析和批量计算业务，并将计算结果汇总给上层业务；服务层40，用于管理系统组件运行，收集大数据层的计算结果，以及对应用层进行功能支撑；以及应用层50，用于对安全业务计算结果进行呈现以及为用户提供业务交互。

在一些可选实施方式中，通过采集管控层对所述资源层收集的原始数据进行解析、入库，包括：通过态势感知平台总体数据流，将从数据源采集的原始数据存储到缓冲队列，解析程序将原始数据解析完成后放到缓冲队列，入库程序将解析后数据存储到数据仓库中；所述数据仓库被配置为对数据分类规整。

在一些可选实施方式中，所述流式分析包括：通过流式分析程序进行流式分析业务，将分析结果存储到数据库中；所述批量计算业务包括：通过与所述数据仓库的接口，完成大数据计算，并将计算结果存储到关系型数据库中。

在一些可选实施方式中，所述方法还包括：对外提供运行于HTTPS之上的REST接口，对内提供基于HTTP的REST接口。

在一些可选实施方式中，所述服务层还被配置为：接收应用层转发的用户请求，将所述用户请求经NGINX微服务转发至API网关微服务，所述API网关微服务根据服务注册中心信息对所述用户请求进行路由；所述服务层的服务之间采用REST接口进行相互访问，所述服务层还被配置为：根据服务注册实例的信息进行客户端的负载均衡；所述服务层还被配置为：通过API网关微服务进行API调用。

在一些可选实施方式中，所述方法还包括：根据获取的日志数据，通过告警呈现模块、告警处置模块、告警管理模块、业务支撑模块和关联分析模块生成可运维的告警信息；所述关联分析模块被配置为：负责管理关联引擎、告警模块的规则内容编译执行关联规则，负责将告警信息写入数据库，供其它场景使用；所述告警呈现模块被配置为：将同一类型的告警按默认归并策略做归并处理，以减少最终需要运维的告警数量；所述告警管理模块被配置为：负责告警规则的管理及告警内容的查询；所述告警处置模块被配置为：对于告警的生成的内容进行处理，处理的手段包括：工单、设备响应、通知责任人；所述业务支撑模块被配置为：负责根据关联规则中配置的通知外发策略，执行相应的通知或外发动作。

在一些可选实施方式中，所述方法还包括：通过风险评估模块、风险概况模块和风险展示模块对资产的风险信息进行评估呈现；所述风险评估模块被配置为：根据内置风险计算模型，从相关表中查询得到风险计算所需数据；所述风险概况模块被配置为：根据风险评估模块计算得到的单资产、资产组风险信息，基于不同维度对当前资产、资产组的相关风险、告警、漏洞状况进行关联分析并提供相关接口供风险展示模块调用；所述风险展示模块被配置为：通过调用风险概况提供的相关接口详细展示当前资产、资产组的风险信息。

上述的网络安全态势分析系统中的各个功能模块的具体限定可以参见上文中对于网络安全态势分析方法的限定，在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

图12为本发明实施例提供的电子设备结构示意图。如图12所示，在本实施方式中，还提供了一种网络安全态势分析设备，包括存储器101、处理器102以及存储在所述存储器中并可在所述处理器102上运行的计算机程序，所述处理器102执行所述计算机程序时实现前述的网络安全态势分析方法的步骤。此处的处理器102具有数值计算和逻辑运算的功能，其至少具有数据处理能力的中央处理器CPU、随机存储器RAM、只读存储器ROM、多种I/O口和中断系统等。处理器102中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来实现前述的方法。存储器101可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)，存储器包括至少一个存储芯片。该设备还包括通信接口103。

在本发明的一种实施方式中，还提供了一种计算机可读存储介质，所述存储介质中存储有指令，当其在计算机上运行时，该指令在被处理器执行时使得处理器被配置成执行上述的网络安全态势分析方法。

在本发明提供的一种实施方式中，提供了一种计算机程序产品，包括计算机程序，该计算机程序在被处理器执行时实现上述的网络安全态势分析方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。