一种基于流量特征的攻击检测方法及系统

技术领域

本申请涉及数据检测技术领域，具体而言，涉及一种基于流量特征的攻击检测方法、系统、电子设备及计算机可读存储介质。

背景技术

目前，高级持续性威胁(APT，Advanced Persistent Threat)已成为针对高度机密的金融企业、各类机构等高安全等级网络的最主要威胁之一。APT攻击主要目的是窃取敏感数据信息，APT攻击一旦发生，会给受害主体带来严重的经济和信誉损失，甚至会对战略安全造成重大威胁。APT攻击属于攻击时间链长，攻击方式隐蔽、攻击手段高级且不断升级的高级网络攻击行为。但APT攻击目的比较固定，其攻击中通信行为有一定规律可寻，根据攻击者在入侵、建立监控通道、数据资源发现与上传等阶段的行为特点，可以检测在入侵过程中的C&C通信场景。

现有技术中，APT攻击往往会使用很多不同的方法、工具、手段来攻击同一个目标，而现有方案仅使用域名和IP等静态特征，无法有效地表征攻击的行为特点；此外，对于APT攻击入侵阶段，如钓鱼、访问恶意域名等攻击场景下很少会表现出如上描述的流量异常行为，最直观的差异往往为域名本身，而现有方案仅使用流量的上下文特征，没有考虑域名的静态特征，现有方案使用的上下文特征仅覆盖常规的流量异常行为，没有使用APT长时间内高隐蔽性的相关特征。

发明内容

本申请实施例的目的在于提供一种基于流量特征的攻击检测方法、系统、电子设备及计算机可读存储介质，可以实现提高对C&C攻击的检测效果。

第一方面，本申请实施例提供了一种基于流量特征的攻击检测方法，包括：

获取待识别域名在预设时间窗内的流量数据；

基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；

加载预训练模型并将所述特征向量信息输入至所述预训练模型；

基于所述预训练模型和所述特征向量信息获得所述待识别域名为C&C攻击的评估结果。

在上述实现过程中，该基于流量特征的攻击检测方法通过待识别域名中提取域名静态特征、域名统计特征、上下文特征，生成相应的特征向量信息，进而基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果，从而结合动态特征和静态特征检测C&C攻击，解决现有方案仅使用单一静态特征或动态特征的问题，可以实现提高对C&C攻击的检测效果。

进一步地，所述获取待识别域名在预设时间窗内的流量数据的步骤，包括：

获取流量采集设备采集的DNS流量数据；

解析所述DNS流量数据并提取所述待识别域名和所述待识别域名对应的解析IP；

获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据。

在上述实现过程中，通过流量采集设备采集对应的DNS流量数据，解析并提取每条流量的域名以及域名解析IP；然后，将该域名作为待识别域名，在预设时间窗内与该待识别域名和解析IP通信的所有流量，生成流量数据。

进一步地，在获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据的步骤之后，所述方法还包括：

将所述待识别域名和所述解析IP对应的流量储存到预设格式的原始数据文件；

根据所述评估结果记录并更新恶意域名信息和恶意IP信息。

进一步地，所述域名静态特征包括域名长度、域名level数量、子域名1-gram熵、主域名1-gram熵、子域名最大子词长度、主域名最大子词长度、全限定域名中特殊字符比例、全限定域名中数字比例、全限定域名中大写字母比例、全限定域名中连续数字比例、全限定域名中最长连续数字、全限定域名中最长连续字符、主域名在Alexa中的排名中的一种或多种；

所述域名统计特征包括预设时间窗内所述待识别域名解析的IP数、IP对应的国家数、平均DNS Answer RRs数、平均DNS Authority RRs数、同一个IP对应的域名数、与域名黑名单中有相同B类地址的IP数、平均域名缓存TTL、平均每天域名所解析IP的变化频次、平均每天DNS查询数中的一种或多种；

所述上下文特征包括该时间窗内HTTP响应状态数、异常协议和端口流量比例、TCP连接时长均值、方差、最大值、最小值、所有流量上行数据长度和下数据长度比例的均值、总上行数据长度和总下行数据长度的比例、所有流量TCP RTT方差的均值、所有流量TCP len方差的均值中的一种或多种。

进一步地，所述预训练模型为梯度提升树模型，所述梯度提升树模型定义为：

其中，f

f

进一步地，在加载预训练模型并将所述特征向量信息输入至所述预训练模型的步骤之前，所述方法还包括：

根据恶意域名信息和恶意IP信息对训练样本中的特征向量信息进行标注，获得标注特征数据；

根据所述标注特征数据对梯度提升树模型进行训练，获得所述预训练模型。

进一步地，基于所述预训练模型和所述特征向量信息获得所述待识别域名为C&C攻击的评估结果的步骤，包括：

将所述特征向量信息输入至所述梯度提升树模型进行推理预测，所述梯度提升树模型输出所述评估结果，其中，所述评估结果包括所述待识别域名为C&C攻击的概率p。

第二方面，本申请实施例提供了一种基于流量特征的攻击检测系统，包括：

流量模块，用于获取待识别域名在预设时间窗内的流量数据；

特征向量模块，用于基于所述流量数据生成特征向量信息，所述特征向量信息包括所述待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；

模型加载模块，用于加载预训练模型并将所述特征向量信息输入至所述预训练模型；

评估模块，用于基于所述预训练模型和所述特征向量信息获得所述待识别域名为C&C攻击的评估结果。

进一步地，所述流量模块具体用于：获取流量采集设备采集的DNS流量数据；解析所述DNS流量数据并提取所述待识别域名和所述待识别域名对应的解析IP；获取在所述预设时间窗内与所述待识别域名和所述解析IP通信的所有流量，生成流量数据。

进一步地，所述流量模块还用于：将所述待识别域名和所述解析IP对应的流量储存到预设格式的原始数据文件；根据所述评估结果记录并更新恶意域名信息和恶意IP信息。

进一步地，所述基于流量特征的攻击检测系统还包括模型训练模块，用于根据恶意域名信息和恶意IP信息对训练样本中的特征向量信息进行标注，获得标注特征数据；根据所述标注特征数据对梯度提升树模型进行训练，获得所述预训练模型。

进一步地，所述评估模块具体用于：将所述特征向量信息输入至所述梯度提升树模型进行推理预测，所述梯度提升树模型输出所述评估结果，其中，所述评估结果包括所述待识别域名为C&C攻击的概率p。

第三方面，本申请实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

第四方面，本申请实施例提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。

第五方面，本申请实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。

本申请公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本申请公开的上述技术即可得知。

为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种基于流量特征的攻击检测方法的流程示意图；

图2为本申请实施例提供的另一种基于流量特征的攻击检测方法的流程示意图；

图3为本申请实施例提供的基于流量特征的攻击检测系统的结构框图；

图4为本申请实施例提供的一种电子设备的结构框图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

本申请实施例提供了一种基于流量特征的攻击检测方法、系统、电子设备及计算机可读存储介质，可以应用于C&C攻击的检测过程中；该基于流量特征的攻击检测方法通过待识别域名中提取域名静态特征、域名统计特征、上下文特征，生成相应的特征向量信息，进而基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果，从而结合动态特征和静态特征检测C&C攻击，解决现有方案仅使用单一静态特征或动态特征的问题，可以实现提高对C&C攻击的检测效果。

示例性地，在本申请实施例中，IP一般指的是互联网协议地址，即IP地址(Internet Protocol Address)；域名系统(DNS，Domain Name System)；命令与控制(C&C，command-and-control)命令与控制是一种机器与机器之间的通讯方式；C&C Server即C&C服务器，是由攻击者的计算机将命令发送到受恶意软件入侵的系统，并从目标网络接收被盗的数据。值得一提，现在已经发现许多C&C服务器为互联网数据中心服务器以及使用基于云的服务，例如网络邮件和文件共享服务，因为C&C服务器可以与正常流量融合在一起并避免被检测到；Botnet即僵尸网络，是指已被恶意软件感染并受到恶意参与者控制的一组计算机。僵尸网络是包括机器、人和网络的组合词，每个受感染的设备都称为僵尸网络。僵尸网络可以实现完成非法或恶意任务，包括发送垃圾邮件，窃取数据，勒索软件，欺诈性点击广告或分布式拒绝服务(DDoS，Distributed denial of service attack)攻击。

请参见图1，图1为本申请实施例提供的一种基于流量特征的攻击检测方法的流程示意图，该基于流量特征的攻击检测方法包括如下步骤：

S100：获取待识别域名在预设时间窗内的流量数据。

示例性地，待识别域名包括对应的域名解析IP；流量数据可以是在预设时间窗内与该待识别域名和解析IP通信的所有流量，并将该待识别域名和解析IP对应的流量数据储存到特定格式的原始数据文件中，作为正常数据。

S200：基于流量数据生成特征向量信息，特征向量信息包括待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种。

示例性地，对于待识别域名及其解析IP的所有流量，可以分别提取域名静态特征、域名统计特征和上下文特征共三类特征。

S300：加载预训练模型并将特征向量信息输入至预训练模型。

示例性地，通过将特征向量信息输入到预训练模型，最后基于预训练模型，输出待识别域名及解析IP为C&C攻击的概率，生成评估结果。

S400：基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果。

示例性地，该基于流量特征的攻击检测方法通过待识别域名中提取域名静态特征、域名统计特征、上下文特征，生成相应的特征向量信息，进而基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果，从而结合动态特征和静态特征检测C&C攻击，解决现有方案仅使用单一静态特征或动态特征的问题，可以实现提高对C&C攻击的检测效果。

请参见图2，图2为本申请实施例提供的另一种基于流量特征的攻击检测方法的流程示意图。

示例性地，S100：获取待识别域名在预设时间窗内的流量数据的步骤，包括：

S110：获取流量采集设备采集的DNS流量数据；

S120：解析DNS流量数据并提取待识别域名和待识别域名对应的解析IP；

S130：获取在预设时间窗内与待识别域名和解析IP通信的所有流量，生成流量数据。

示例性地，通过流量采集设备采集对应的DNS流量数据，解析并提取每条流量的字段全限定域名(FDQN，DNS query Queries Name)，以及DNS流量数据中DNS responseAnswer Address字段的域名解析IP；然后，将字段全限定域名作为待识别域名，在预设时间窗内与该待识别域名和解析IP通信的所有流量，生成流量数据。

示例性地，在S130：获取在预设时间窗内与待识别域名和解析IP通信的所有流量，生成流量数据的步骤之后，方法还包括：

S140：将待识别域名和解析IP对应的流量储存到预设格式的原始数据文件；

S150：根据评估结果记录并更新恶意域名信息和恶意IP信息。

在一些实施方式中，按照如上规则解析APT-Mila和CTU Malware Botnet数据集，按时间顺序过滤预设时间窗内与特定域名及其对应的解析IP通信的所有流量，并将每个域名和解析IP对应的流量储存到特定格式的原始数据文件中，作为攻击数据，同时记录恶意的域名和恶意IP；然后，不断收集以及更新已知的恶意域名和恶意IP作为黑名单，并将黑名单存储到设备磁盘。

示例性地，域名静态特征包括域名长度、域名level数量、子域名1-gram熵、主域名1-gram熵、子域名最大子词长度、主域名最大子词长度、全限定域名中特殊字符比例、全限定域名中数字比例、全限定域名中大写字母比例、全限定域名中连续数字比例、全限定域名中最长连续数字、全限定域名中最长连续字符、主域名在Alexa中的排名中的一种或多种；

域名统计特征包括预设时间窗内待识别域名解析的IP数、IP对应的国家数、平均DNS Answer RRs数、平均DNS Authority RRs数、同一个IP对应的域名数、与域名黑名单中有相同B类地址的IP数、平均域名缓存TTL、平均每天域名所解析IP的变化频次、平均每天DNS查询数中的一种或多种；

上下文特征包括该时间窗内HTTP响应状态数、异常协议和端口流量比例、TCP连接时长均值、方差、最大值、最小值、所有流量上行数据长度和下数据长度比例的均值、总上行数据长度和总下行数据长度的比例、所有流量TCP RTT方差的均值、所有流量TCP len方差的均值中的一种或多种。

示例性地，通过域名静态特征可以识别APT攻击过程中每个阶段访问域名的异常情况；APT攻击持续时间长，往往在非活动时间将域名解析至无关的IP，因此通过域名统计特征可以有效表征APT攻击的隐蔽性；上下文特征可以有效表征整体攻击过程的异常行为，其中TCP RTT方差和len方差可以有效表征心跳流量特征。从而，通过读取所有域名及其解析IP的原始数据文件，提取每个域名及其解析IP的域名静态特征、域名统计特征和上下文特征作为特征向量，并将特征向量保存到特定格式的特征文件。

示例性地，梯度提升树模型(Gradient Boosting Decision Tree)是机器学习中一个长盛不衰的模型，其主要思想是利用弱分类器，即CART树迭代训练得到最优的模型，该模型具有训练效果好、不易过拟合等优点。

示例性地，预训练模型为梯度提升树模型，梯度提升树模型定义为：

其中，f

f

示例性地，在S300：加载预训练模型并将特征向量信息输入至预训练模型的步骤之前，方法还包括：

S210：根据恶意域名信息和恶意IP信息对训练样本中的特征向量信息进行标注，获得标注特征数据；

S220：根据标注特征数据对梯度提升树模型进行训练，获得预训练模型。

示例性地，根据上述提及的黑名单，即通过记录的恶意域名和恶意IP对特征文件中每个样本的特征向量进行标注，若训练样本为C&C域名或C&C IP，则将该特征向量标注为1，否则标注为0。然后，加载特征文件，使用标注后的数据训练梯度提升树模型；最后将最优模型持久化，保存到设备磁盘。

示例性地，S400：基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果的步骤，包括：

S410：将特征向量信息输入至梯度提升树模型进行推理预测，梯度提升树模型输出评估结果，其中，评估结果包括待识别域名为C&C攻击的概率p。

示例性地，对于待识别域名及对应的解析IP，获得特征向量信息后，从设备磁盘加载模型，并将将特征向量信息输入至梯度提升树模型进行推理预测，进而获得该识别域名及对应的解析IP为C&C攻击的概率p。对于人工设定的阈值k(默认k＝0.5)，若p＞k，则判定该待识别域名及解析IP为C&C攻击，否则为正常域名和IP。

在一些实施场景中，本申请实施例提供的基于流量特征的攻击检测方法可应用于审计设备；按照本申请详细描述中的方法，具体的流程如下：

1、审计设备采集待识别域名或IP在固定时间窗大小内的所有流量；

2、审计设备通过特征提取模块提取域名及其解析IP的域名静态特征、域名统计特征、上下文特征，作为域名及其解析IP的特征向量；

3、审计设备加载预训练的模型，将特征向量输入到预训练模型，最后预训练模型输出域名及IP为C&C的概率；

4、若域名或IP为C&C，则审计设备输出该恶意域名及恶意IP，同时将恶意域名和IP记录到黑名单。

综上所述，本申请实施例提供的基于流量特征的攻击检测方法，通过挖掘域名及解析IP的变化、以及连接C&C产生的心跳流量来表征APT高隐蔽性行为，以解决现有方案缺乏高隐蔽性特征的缺陷；使用域名静态特征、域名统计特征和上下文特征检测恶意域名和恶意IP；基于静态特征和动态特征结合的C&C检测方法，本申请实施例提取的动态特征和静态特征覆盖了多个APT攻击过程；进而，本申请针对于APT攻击过程中的高隐蔽性设计特征，有效地提高了C&C的检测效果。

请参见图3，图3为本申请实施例提供的基于流量特征的攻击检测系统的结构框图，该基于流量特征的攻击检测系统包括：

流量模块100，用于获取待识别域名在预设时间窗内的流量数据；

特征向量模块200，用于基于流量数据生成特征向量信息，特征向量信息包括待识别域名的域名静态特征、域名统计特征、上下文特征中的一种或多种；

模型加载模块300，用于加载预训练模型并将特征向量信息输入至预训练模型；

评估模块400，用于基于预训练模型和特征向量信息获得待识别域名为C&C攻击的评估结果。

示例性地，流量模块100具体用于：获取流量采集设备采集的DNS流量数据；解析DNS流量数据并提取待识别域名和待识别域名对应的解析IP；获取在预设时间窗内与待识别域名和解析IP通信的所有流量，生成流量数据。

示例性地，流量模块100还用于：将待识别域名和解析IP对应的流量储存到预设格式的原始数据文件；根据评估结果记录并更新恶意域名信息和恶意IP信息。

示例性地，基于流量特征的攻击检测系统还包括模型训练模块，用于根据恶意域名信息和恶意IP信息对训练样本中的特征向量信息进行标注，获得标注特征数据；根据标注特征数据对梯度提升树模型进行训练，获得预训练模型。

示例性地，评估模块400具体用于：将特征向量信息输入至梯度提升树模型进行推理预测，梯度提升树模型输出评估结果，其中，评估结果包括待识别域名为C&C攻击的概率p。

需要注意的是，本申请实施例提供的基于流量特征的攻击检测系统与图1至图2所示的方法实施例相对应，为避免重复，此处不再赘述。

本申请还提供一种电子设备，请参见图4，图4为本申请实施例提供的一种电子设备的结构框图。电子设备可以包括处理器510、通信接口520、存储器530和至少一个通信总线540。其中，通信总线540用于实现这些组件直接的连接通信。其中，本申请实施例中电子设备的通信接口520用于与其他节点设备进行信令或数据的通信。处理器510可以是一种集成电路芯片，具有信号的处理能力。

上述的处理器510可以是通用处理器，包括中央处理器(CPU，Central ProcessingUnit)、网络处理器(NP，Network Processor)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器510也可以是任何常规的处理器等。

存储器530可以是，但不限于，随机存取存储器(RAM，Random Access Memory)，只读存储器(ROM，Read Only Memory)，可编程只读存储器(PROM，Programmable Read-OnlyMemory)，可擦除只读存储器(EPROM，Erasable Programmable Read-Only Memory)，电可擦除只读存储器(EEPROM，Electric Erasable Programmable Read-Only Memory)等。存储器530中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器510执行时，电子设备可以执行上述图1至图2方法实施例涉及的各个步骤。

可选地，电子设备还可以包括存储控制器、输入输出单元。

所述存储器530、存储控制器、处理器510、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线540实现电性连接。所述处理器510用于执行存储器530中存储的可执行模块，例如电子设备包括的软件功能模块或计算机程序。

输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。所述输入输出单元可以是，但不限于，鼠标和键盘等。

可以理解，图4所示的结构仅为示意，所述电子设备还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供一种存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，所述计算机程序被处理器执行时实现方法实施例所述的方法，为避免重复，此处不再赘述。

本申请还提供一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。