一种工业控制系统入侵检测方法及系统与流程

本发明涉及信息安全技术领域，尤其涉及一种工业控制系统入侵检测方法及系统。

背景技术

随着网络攻击的不断增多，入侵检测系统已经成为组建安全网络系统的重要组成部分。工业控制系统是工业部门的重要基础设施，工业控制系统是对诸如图像、语音信号等大数据量、高速率传输的要求，当前在商业领域风靡的以太网与控制网络的结合;检测入侵事件，保护工业控制网络安全，维护工业控制系统的正常运转，是当前网络安全建设的核心内容之一。

然而，目前工业控制系统入侵检测主要有以下两大类方法：一是基于规则的入侵检测方法，主要实现方式是通过匹配规则码或特征码来检测出入侵行为;这种方式准确率较高，误报率低，但是检测效果完全取决与规则库，而且无法发现未知的攻击行为，有较大的局限性。二是基于机器学习的检测方法，主要实现方式是通过训练神经网络模型，判别系统是否具有属于恶意程序的行为特征。这种方法的优点是具备一定的泛化能力，可以检测出未知的攻击行为；但由于基于机器学习的方法需要预先采集正常系统行为和恶意程序行为特征来对判决模型进行训练，而当前应用程序、恶意程序众多，系统行为复杂多变，导致行为空间特征集十分庞大，很难对正常的系统行为及恶意程序的行为进行准确建模，从而影响检测的准确率。

因此，现有技术还有待于改进和发展。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术缺陷，本发明提供一种工业控制系统入侵检测方法及系统，将被保护的工业控制系统中的每个应用程序及系统服务对应进程单独视为一类，或是将多个行为相似的应用程序及系统服务视为一类进行建模，增强模型训练的针对性，解决行为空间庞大导致的建模不够准确的问题，相较于个人计算机使用环境，工业控制系统软硬件环境比较稳定、变化较小，因此本发明公开的方法非常适用于工业控制系统的网络环境，可以提高工业控制系统的网络环境对恶意程序攻击的感知能力。

本发明解决技术问题所采用的技术方案如下：

一种工业控制系统入侵检测方法，其中，所述工业控制系统入侵检测方法包括：

记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；

运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；

分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；

处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

所述的工业控制系统入侵检测方法，其中，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息具体包括：

遍历需要检测的工控系统环境，记录工业控制系统环境中需要的运行的全部软件及操作系统；

在安全环境下，根据记录的软件及操作系统环境来配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息。

所述的工业控制系统入侵检测方法，其中，所述工业控制系统的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息；所述恶意程序运行的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。

所述的工业控制系统入侵检测方法，其中，所述记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息还包括：

提取工业控制系统每个进程的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。

所述的工业控制系统入侵检测方法，其中，所述运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列具体包括：

在相同的环境中运行恶意程序，并采集和存储恶意程序运行的行为信息，运行下一个恶意程序前，将环境恢复至未运行恶意程序前的状态；

将采集的工业控制系统的行为信息和每个恶意程序运行的行为信息进行处理；

提取所述工业控制系统的行为信息中每个进程的api调用序列和所述恶意程序运行的行为信息中每个恶意程序对应进程的api调用序列；

依照预定的api函数名称与数字标号的对应关系将每个api调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；

提取每个恶意程序的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。

所述的工业控制系统入侵检测方法，其中，所述分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息具体包括：

将n个应用程序及系统服务对应进程的n个特征序列标识为n类，或将进程特征序列依照进程对应应用程序或系统服务的类型归类，标识为1至n-1类；

将所有恶意程序进程的特征序列标识为一类，或将m个恶意程序特征序列依照恶意程序类型归类，标识为1至m-1类；

利用得到的符合用于训练神经网络模型输入格式的训练数据对神经网络模型进行训练；

采集和存储实际运行的工业控制系统的行为信息；

所述实际运行的工业控制系统的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。

所述的工业控制系统入侵检测方法，其中，所述处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行具体包括：

提取所述实际运行的工业控制系统的行为信息中每个进程的api调用序列，依照预定的api函数名称与数字标号的对应关系将每个api调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；

判别结果认定特征序列属于恶意程序行为的认定依据为神经网络模型将特征序列判别为属于恶意程序特征序列中所标识的1至m-1类；

如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

所述的工业控制系统入侵检测方法，其中，所述处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行之后还包括：

提取所述实际运行的工业控制系统的行为信息中被判别为恶意行为的进程对应的所有api调用、注册表操作、文件操作、网络访问以及时间戳的行为信息；

将文件操作信息中记录的文件样本提交至病毒性平台和多种杀毒软件引擎，根据获得的分析报告判别文件样本是否属于已知恶意程序；

如果不属于已知恶意程序，则人工分析注册表操作、文件操作以及网络访问的行为信息，判别进程是否具有恶意行为。

所述的工业控制系统入侵检测方法，其中，所述前处理包括：

按预先设置的api函数名称与数字标号的对应关系，将api调用序列中的函数名用数字标号替换，经独热编码生成数字化的特征序列。

一种工业控制系统入侵检测系统，其中，所述工业控制系统入侵检测系统包括：

记录配置模块，用于记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；

入侵测试模块，用于运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；

分类训练模块，用于分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；

处理判别模块，用于处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

本发明公开了一种工业控制系统入侵检测方法及系统，所述方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。本发明将工业控制系统中的每个应用程序及系统服务对应进程单独视为一类，或是将多个行为相似的应用程序及系统服务视为一类，针对性的训练神经网络，提升入侵检测的准确率，保障工业控制系统网络环境的安全，提高工业控制系统对恶意程序攻击的感知能力。

附图说明

图1是本发明工业控制系统入侵检测方法的较佳实施例的流程图；

图2是本发明工业控制系统入侵检测方法的较佳实施例中步骤s10的流程图；

图3是本发明工业控制系统入侵检测方法的较佳实施例中步骤s20的流程图；

图4是本发明工业控制系统入侵检测方法的较佳实施例中步骤s30的流程图；

图5是本发明工业控制系统入侵检测方法的较佳实施例中步骤s30的流程图；

图6是本发明工业控制系统入侵检测系统的较佳实施例的结构原理图；

图7是本发明工业控制系统入侵检测系统的较佳实施例中具体组成结构示意图。

具体实施方式

为使本发明的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明较佳实施例所述的工业控制系统入侵检测方法，如图1所示，所述工业控制系统入侵检测方法包括以下步骤：

步骤s10、记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息。

具体过程请参阅图2，其为本发明提供的工业控制系统入侵检测方法中步骤s10的流程图。

如图2所示，所述步骤s10包括：

s11、遍历需要检测的工控系统环境，记录工业控制系统环境中需要的运行的全部软件及操作系统；

s12、在安全环境下，根据记录的软件及操作系统环境来配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息。

其中，所述工业控制系统的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息；所述恶意程序运行的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。

进一步地，提取工业控制系统每个进程的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。

步骤s20、运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列。

具体过程请参阅图3，其为本发明提供的工业控制系统入侵检测方法中步骤s20的流程图。

如图3所示，所述步骤s20包括：

s21、在相同的环境中运行恶意程序，并采集和存储恶意程序运行的行为信息，运行下一个恶意程序前，将环境恢复至未运行恶意程序前的状态；

s22、将采集的工业控制系统的行为信息和每个恶意程序运行的行为信息进行处理；

s23、提取所述工业控制系统的行为信息中每个进程的api调用序列和所述恶意程序运行的行为信息中每个恶意程序对应进程的api调用序列；

s24、依照预定的api函数名称与数字标号的对应关系将每个api调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；

s25、提取每个恶意程序的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据。

其中，所述前处理包括：按预先设置的api函数名称与数字标号的对应关系，将api调用序列中的函数名用数字标号替换，经独热编码（独热编码即one-hot编码，又称一位有效编码，其方法是使用n位状态寄存器来对n个状态进行编码，每个状态都有它独立的寄存器位，并且在任意时候，其中只有一位有效）生成数字化的特征序列。

步骤s30、分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息。

具体过程请参阅图4，其为本发明提供的工业控制系统入侵检测方法中步骤s30的流程图。

如图4所示，所述步骤s30包括：

s31、将n个应用程序及系统服务对应进程的n个特征序列标识为n类，或将进程特征序列依照进程对应应用程序或系统服务的类型（例如文档处理类、数据处理类、网络管理类等）归类，标识为1至n-1类；

s32、将所有恶意程序进程的特征序列标识为一类，或将m个恶意程序特征序列依照恶意程序类型（例如蠕虫、勒索软件、后门等）归类，标识为1至m-1类；

s33、利用得到的符合用于训练神经网络模型输入格式的训练数据对神经网络模型进行训练；

s34、采集和存储实际运行的工业控制系统的行为信息。

其中，所述实际运行的工业控制系统的行为信息包括：工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问的行为信息及对应的时间戳信息。

步骤s40、处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

具体过程请参阅图5，其为本发明提供的工业控制系统入侵检测方法中步骤s40的流程图。

如图5所示，所述步骤s40包括：

s41、提取所述实际运行的工业控制系统的行为信息中每个进程的api调用序列，依照预定的api函数名称与数字标号的对应关系将每个api调用转换为数字标号，分属于每个进程的数字标号按时间排列并进行独热编码后，作为特征序列；

s42、判别结果认定特征序列属于恶意程序行为的认定依据为神经网络模型将特征序列判别为属于恶意程序特征序列中所标识的1至m-1类；

s43、如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

所述步骤s40之后还包括：提取所述实际运行的工业控制系统的行为信息中被判别为恶意行为的进程对应的所有api调用、注册表操作、文件操作、网络访问以及时间戳的行为信息；将文件操作信息中记录的文件样本提交至病毒性平台和多种杀毒软件引擎，根据获得的分析报告判别文件样本是否属于已知恶意程序；如果不属于已知恶意程序，则人工分析注册表操作、文件操作以及网络访问的行为信息，判别进程是否具有恶意行为。

进一步说明，本发明所述的工业控制系统入侵检测方法，整个实现流程如下：

步骤s0，遍历需要检测的工业控制系统环境，记录各个系统环境中需要的运行的全部软件及操作系统；

步骤s1，在安全环境下，按照步骤s0中记录的软件及操作系统环境配置工业控制系统，并采集、存储（包括但不限于）系统全部运行进程的api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间戳信息；

步骤s2，提取每个进程的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据；

步骤s3，在与步骤s1相同的环境中运行恶意程序样本，采集、存储（包括但不限于）恶意样本进程的api调用、注册表操作、文件操作、网络访问等行为信息；运行下一个恶意程序样本前，将环境恢复至未运行恶意程序前的状态；

步骤s4，提取每个恶意程序样本的api调用序列作为特征序列，进行前处理，得到符合用于训练神经网络模型输入格式的训练数据；

步骤s5，利用步骤s2和步骤s4中生成的训练数据对神经网络模型进行训练；

步骤s6，采集实际运行环境中工业控制系统全部运行进程的api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间戳信息；

步骤s7，提取步骤s6中每个进程的api调用序列作为特征序列，进行前处理，得到符合步骤s5训练后神经网络模型的输入数据，输入神经网络模型进行判别；

步骤s8，如果判别结果属于某一类系统进程，则继续执行步骤s6；如果判别结果属于恶意程序，则暂时停止运行工业控制系统，并执行步骤s9；

步骤s9，提取判别结果属于恶意程序的进程的api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间戳信息，做进一步判别，如果判别结果正常，则恢复工业控制系统运行；如果依然判决为恶意程序，则中止运行工业控制系统，并更新训练数据且重新训练神经网络模型。

本发明中，记录工业控制系统环境中需要的运行的全部软件及操作系统；在安全环境下，根据记录的软件及操作系统环境来配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；在相同的环境中运行恶意程序，采集和存储恶意程序运行的行为信息；将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型；采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行；结合其它行为信息进行进一步判别，如判定结果保持不变，则中止工业控制系统运行，否则恢复工业控制系统运行。

如图6所示，基于上述工业控制系统入侵检测方法，本发明还相应提供了一种工业控制系统入侵检测系统，所述工业控制系统入侵检测系统包括：记录配置模块101，用于记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；入侵测试模块102，用于运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类训练模块103，用于分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理判别模块104，用于处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。

具体地，如图7所示，所述工业控制系统入侵检测系统具体包括：行为信息采集单元10、审计单元20、训练单元30、第一入侵行为判别单元40以及第二入侵行为判别单元50。

其中，行为信息采集单元10，用于采集工业控制系统行为信息；采集全部运行进程包括api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间戳信息；所述行为信息采集单元10具体包括：api调用监控模块11，用于记录工业控制系统各进程调用操作系统api的函数名称、参数及调用事件发生的时间信息；注册表监控模块12，用于记录进程访问及更改注册表信息及对应操作发生的时间信息；文件操作监控模块13，用于记录进程读取及修改文件的文件路径信息及对应操作发生的时间信息；网络访问监控模块14，用于记录进程访问网络的网址信息、操作指令及对应操作发生的时间信息。

审计单元20，用于处理、存储、查询行为采集单元采集到的信息；所述审计单元20包括：前处理模块21，用于清除重复调用，调整数据格式；存储模块22，用于存储前处理模块处理后数据以及检索、返回需要提取的行为信息。

训练单元30，用于生成、更新训练数据及训练神经网络模型；所述训练单元30包括:训练数据采集模块31，用于生成第一判别模型训练数据；第一判别模型训练模块32，用于训练得到神经网络模型。

第一入侵行为判别单元40，用于根据进程api调用特征判别是否遭受入侵；所述第一入侵行为判别单元40将进程api函数调用特征序列输入通过训练得到的神经网络模型，判断进程是否属于恶意程序，如果进程行为正常，则系统继续运行；如果进程被判定为恶意，则暂停系统运行，并从审计单元20的存储模块22中检索该进程相关的全部信息，发送至第二入侵行为判别单元50。第二入侵行为判别单元50，用于根据进程所有特征进一步判别是否遭受入侵；所述第二入侵行为判别单元50利用不同杀毒软件引擎、virustotal平台及人工检测等多种方法进行判别，如果最终确定为遭遇入侵，则停止系统运行，报告入侵行为；如果最终确定为正常，则重新恢复系统运行。

具体实施过程如下：

行为信息采集单元10通过虚拟机监控器由软件方式实现，工业控制系统运行于虚拟机环境中，可利用包括openstack、xen等虚拟机监控器监控虚拟机状态，在虚拟机监控器中用软件方式实现api调用监控模块、注册表监控模块、文件操作监控模块、网络访问监控模块等，以采集虚拟机中运行的工业控制系统中各个进程的api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间信息，输出至审计单元20。

审计单元20对接收自行为信息采集单元10的输入进行前处理，包括：重复项处理，若出现同一进程连续重复相同api调用达三次以上的情况，则只保存该重复调用时间区间内的首次及最后一次调用情况；特征序列生成，分别将重复项处理后各个进程的api调用按时间顺序排列，按事先约定的api函数名称与数字标号的对应关系，将api调用序列中的函数名用数字标号替换，经独热编码生成数字化的特征序列，若有n个进程，则生成n个特征序列；格式化存储，设置进程名称、pid、函数名、函数参数、调用时间等字段，将全部api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间信息存入数据库。

训练单元30主要完成数据采集及第一判别模型训练，训练数据采集模块31实施过程中，选取各种典型工业控制系统运行于安全虚拟机环境中，在虚拟机监控器中记录各虚拟机运行的工业控制系统各进程的api调用信息，用与审计单元中相同的前处理方法生成特征序列。梳理特征序列，将各种工业控制软件对应进程生成的特征序列标注为r1至rn，将操作系统运行的各类服务对应进程生成的特征序列标注为s1至sm；选取恶意程序集，将其中恶意程序分为蠕虫、勒索软件、木马、后门等k类，逐一运行于工业控制系统相同的虚拟机环境中，在虚拟机监控器中记录各虚拟机运行的恶意程序对应进程的api调用信息，用与审计单元中相同的前处理方法生成特征序列。梳理特征序列，将各特征序列依其对应的恶意程序类型标注为v1至vk；第一判别模型训练模块32主要利用标注好的n+m+k类数据集，选取适合的神经网络模型，训练得到可用于第一入侵行为判别单元40的神经网络模型。

第一入侵行为判别单元40，利用训练单元30得到的神经网络模型对特征序列进行分类，如果判别结果认定特征序列对应进程属于标签r1至rn或s1至sm所属类别，则系统继续运行；如果判别结果认定特征序列对应进程属于标签v1至vk所属类别，则暂停系统运行，并将判别结果告知第二入侵行为判别单元50。

第二入侵行为判别单元50部署于专门的计算机平台上，通过网络与第一入侵行为判别单元40及审计单元20连接，在收到第一入侵行为判别单,40的判别结果后，从审计单元20中获取判别结果对应进程全部api调用、注册表操作、文件操作、网络访问等行为信息及对应的时间信息；将进程启动及操作的文件样本提交至virustotal和多种杀毒软件引擎，获取分析报告，判别文件样本是否属于已知恶意程序；如果不是，则人工分析注册表操作、文件操作、网络访问等行为信息，进而判断进程是否具有恶意行为，若无恶意行为，恢复工业控制系统虚拟机运行；若发现恶意行为，则报告恶意行为并中止工业控制系统虚拟机运行。

综上所述，本发明提供一种工业控制系统入侵检测方法及系统，所述方法包括：记录工业控制系统环境中需要的运行的全部软件及操作系统，配置工业控制系统，并采集和存储运行时的工业控制系统的行为信息；运行恶意程序，采集和存储恶意程序运行的行为信息，将采集的工业控制系统的行为信息和恶意程序运行的行为信息进行处理，生成特征序列；分类标注特征序列并训练神经网络模型，采集和存储实际运行的工业控制系统的行为信息；处理实际运行的工业控制系统的行为信息，生成特征序列，并通过训练后的神经网络模型判别特征序列，如果判别结果认定特征序列属于恶意程序行为，则暂停工业控制系统运行。本发明将工业控制系统中的每个应用程序及系统服务对应进程单独视为一类，或是将多个行为相似的应用程序及系统服务视为一类，针对性的训练神经网络，提升入侵检测的准确率，保障工业控制系统网络环境的安全，提高工业控制系统对恶意程序攻击的感知能力。

应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。