本发明涉及网络入侵检测技术领域,具体涉及一种基于pca与贝叶斯相结合的网络入侵检测方法。
背景技术:
互联网在带给人们方便的同时,也出现了很多安全问题。网络攻击无时无刻不在发生着,网络入侵检测研究有着重要的现实意义,也是当前网络安全领域的重大挑战。
dorothydenning在1987年对入侵检测给出了定义:通过监测网络数据信息,检测出入侵行为,在入侵行为造成危害前,发出警报并进行响应(denning,de.1987.anintrusion-detectionmodel[j].ieeetransactionsonsoftwareengineering,se-13(2):222-232.)。可以发现入侵检测的一个重要特征就是即时性,检测方法需要快速对攻击信息进行判断,在危害发生之前能够进行报警。传统的入侵检测方法主要有两类。第一类是基于规则的入侵检测,它依赖于前期分析特定攻击类型的特征,然后将该攻击特征记录到规则文件,最后通过匹配规则文件来检测。这类方法主要应用于一些商用的或者开源的入侵检测系统(ids),例如snort入侵检测系统使用的就是这种方法(park,w.,ahn,s.2017.performancecomparisonanddetectionanalysisinsnortandsuricataenvironment[j].wirelesspersonalcommunocations,94(2):241-252;gaddam,r.,nandhini,m.2017.ananalysisofvarioussnortbasedtechniquestodetectandpreventintrusionsinnetworksproposalwithcoderefactoringsnorttoolinkalilinuxenvironment[j].internationalconferenceoninventivecommunicationandcomputationaltechnologies(icicct):10-15),因为基于规则的入侵检测有着检测速度快的特点。但该方法存在的一个重大问题是不能检测出新的攻击类型,只能检测出规则库中已有的攻击类型。黑客的攻击手段是不断变化的,经常会有新的攻击类型产生,而新的攻击类型往往危害更大,而且这种方法还存在着误报率高的问题。第二类方法是随着近些年机器学习和数据挖掘的兴起,数据挖掘方法被应用到了入侵检测之中。数据挖掘方法通过已标记的数据集来训练模型,然后通过训练好的模型进行入侵检测,能够对未知的攻击类型的检测有着很好的效果,例如svm(dongsk,parkjs.2003.network-basedintrusiondetectionwithsupportvectormachines[m].//informationnetworking.berlin:springer:747-756;yendrapalli,k.,mukkamala,s.,sung,ah.,ribeiro,b.2007.worldcongressonengineering:321-325)、神经网络(ryan,j.,lin,mj.,miikkulainenr.1997.intrusiondetectionwithneuralnetworks[j])等方法。数据挖掘应用到入侵检测需要事先收集大量的数据集,这限制了在线的入侵检测(huang,c.-t.,chang,r.k.c.,huang,p.,2009.editorial:signalprocessingapplicationsinnetworkintrusiondetectionsystems.eurasipj.adv.signalprocess2009,9:1–9:2)。
传统的入侵检测方法集中在数据挖掘(he,w.,hu,g.,yao,x.,kan,g.,wang,h.,xiang,h.,2008.applyingmultipletimeseriesdataminingtolarge-scalenetworktrafficanalysis.in:proceedingsof2008ieeeconferenceoncyberneticsandintelligentsystems,pp.394–399;ghourabi,a.,abbes,t.,bouhoula,a.,2010.dataanalyzerbasedondataminingforhoneypotrouter.in:proceedingsof2010ieee/acsinternationalconferenceoncomputersystemsandapplications(aiccsa),ieee,pp.1-6;osanaiye,o.,choo,k.-k.r.,dlodlo,m.,2016.distributeddenialofservice(ddos)resilienceincloud:reviewandconceptualcloudddosmitigationframework.j.netw.comput.appl.67,147–165)和普通的文件分析(raynal,f.,berthier,y.,biondi,p.,kaminsky,d.,2004.honeypotforensics.in:proceedingsfromthefifthannualieeesmc,informationassuranceworkshop,2004,ieee,pp.22-29)。an,wj等人将fisher判别分析中的最小类内散度与传统的支持向量机相结合的方法应用在入侵检测中,提出了类内散度最小支持向量机(wcs-svm),比传统的支持向量机有更好的入侵检测率(anwj.,liangmg.2013.anewintrusiondetectionmethodbasedonsvmwithminimumwithin-classscatter[j].securityandcommunicationnetworks,6:1064-1074)。kabir,e等人提出基于最小二乘支持向量机(ls-svm)的入侵检测系统(kabir,e.,hu,jk.,wang,h.,zhuo,gp.2017.anovelstatisticaltechniqueforintrusiondetectionsystems[j].futuregenerationcomputersystems:303-318)。mrudulagudadhe等人提出一种新的提升决策树的方法被应用在入侵检测中,它允许结合多个决策树形成一个分类器(mrudulagudadhe,prakashprasad,kapilwankhade,2010.anewdataminingbasednetworkintrusiondetectionmodel[j],computerandcommunicationtechnology(iccct2010),ieee,pp.731-735)。sufyan,t等人将反向传播人工神经网络模型应用于入侵检测,使得ids的效率更高,系统能够适应新的环境,可以应对新的攻击类型(sufyant.farajal-janabi,hadeelamjedsaeed,2011.aneuralnetworkbasedanomalyintrusiondetectionsystem[j],developmentsinesystemsengineering,ieee,pp.221-226)。因为网络数据集非常大,手工标记类别费时费力,聚类方法被引入到数据集分类中(deepthykdenatious,anitajohn.2012.surveyondataminingtechniquestoenhanceintrusiondetection[j].computercommunicationandinformatics(iccci-2012),jan.10–12,2012,coimbatore,india,ieee)。y-均值聚类算法入侵检测(yuguanandalia.ghorbani,nabilbelacel.2003.y-means:aclusteringmethodforintrusiondetection[j],electricalandcomputerengineering,,ieee,pp.1083-1086),克服了两个缺点:k-均值数字集群的依赖和退化。此方法自动将数据集划分为适当数量的集群,利用聚类分析进行入侵检测是可行的和有效的。k-均值(lihan.2010.researchandimplementationofananomalydetectionmodelbasedonclusteringanalysis[j].intelligenceinformationprocessingandtrustedcomputing(iptc2010),ieee,huanggang,china,pp.458-462)是一个最简单的分割算法,解决了众所周知的聚类问题。聚类算法利用som和k-均值(wanghuai-bin,yanghong-liang,xuzhi-jian,yuanzheng.2010.aclusteringalgorithmusesomandk-meansinintrusiondetection[j].e-businessandegovernment,ieee,pp.1281-1284)可以克服了传统som无法提供精确聚类结果的缺点,克服了传统k-均值依赖于初始值且难以找到聚类中心的缺点。针对ids提出的并行聚类集成算法(hongweigao,dingjuzhu,xiaominwang.2010.aparallelclusteringensemblealgorithmforintrusiondetectionsysteminproceedingsof2010ninthinternationalsymposiumondistributedcomputingandapplicationstobusiness[j],engineeringandscience,ieee,pp.450-453)实现了高速度、高检测率,而且误报率低。ann分类器(akashdeep.,manzoori.,kumarn.2017.afeaturereducedintrusiondetectionsystemusingannclassifier[j].expertsystemswithapplications:249-257)在入侵检测中也有不错的性能。通过使用混合的学习方法能够达到较高的检测率和较低的误报率(z.muda,w.yassin,m.n.sulaiman,n.i.udzir.2011.intrusiondetectionbasedonk-meansclusteringandnaivebayesclassification[j].7thinternationalconferenceonitinasia(cita),ieee;moriteruishida,hirokitakakura,yasuookabe.2011.high-performanceintrusiondetectionusingoptigridclusteringandgrid-basedlabelling[j].internationalsymposiumnapplicationsandtheinternet,ieee,pp.11-19;hariom,aritrakundu.2012.ahybridsystemforreducingthefalsealarmrateofanomalyintrusiondetectionsystem[j].informationtechnology(rait-2012),ieee),例如聚类和分类相结合可以取得不错的效果。还有syedalirazashah等人直接比较机器学习方法直接应用在snort入侵检测系统中的检测性能(syedalirazashah,.bijuissac.2017.performancecomparisonofintrusiondetectionsystemsandapplicationofmachinelearningtosnortsystem[j].futuregenerationcomputersystems:157-170)。
除了以上的基于数据挖掘的入侵检测方法外,基于流的入侵检测(umer,mf.,sher,by.,bi,yx.2017.flow-basedintrusiondetection:techniquesandchallenges[j].computers&security:238-254)是检测高速网络入侵的一种创新方法。基于流的入侵检测只检查包头,不分析包的有效载荷。滤波方法使用一些预定义的标准的ria为了选择功能从数据集消除无关的相关特征(barmejo,p.,ossa,l.,gamez,j.a.,&puerta,j.m.2012.fastwrapperfeaturesubsetselectioninhighdimensionaldatasetsbymeansoffilterreranking.journalofknowledgebasedsystems,25,35-44)。
传统的文件分析入侵检测方法对普通和常规类型的攻击可能是有效的,但是却不能对新的攻击技术有效。常用的数据挖掘方法虽然可以适用新的攻击类型,但是存在检测时间过长的问题。
技术实现要素:
有鉴于此,本发明提供了一种基于pca与贝叶斯相结合的网络入侵检测方法,能够实现对普通、常规类型攻击以及新类型攻击的快速有效检测,检测时间短,且正确率高。
本发明的基于pca与贝叶斯相结合的网络入侵检测方法,包括如下步骤:
步骤1,提取网络训练数据集以及网络测试数据集中的各网络连接记录的网络数据特征,构建训练网络数据特征矩阵和测试训练网络数据特征矩阵;
步骤2,利用主成分分析法分别对训练网络数据特征矩阵和测试训练网络数据特征矩阵进行降维,得到降维后的训练网络数据特征矩阵和测试训练网络数据特征矩阵;其中,在主成分分析过程中,对前3个特征向量进行加权,权重系数k=0~1;
步骤3,构建贝叶斯分类器,利用降维后的训练网络数据特征矩阵对贝叶斯分类器进行训练;
步骤4,采用训练好的贝叶斯分类器对降维后的测试网络数据特征矩阵进行入侵检测。
进一步的,所述步骤1中,网络数据特征包括tcp连接的基本特征、tcp连接的内容特征和网络流量统计特征。
进一步的,所述步骤2中,首先对步骤1得到的训练网络数据特征矩阵和测试训练网络数据特征矩阵中的各特征下的数值进行归一化处理,得到归一化后的训练网络数据特征矩阵和测试训练网络数据特征矩阵;然后对归一化后的训练网络数据特征矩阵和测试训练网络数据特征矩阵进行主成分分析,得到降维后的训练网络数据特征矩阵和测试训练网络数据特征矩阵。
进一步的,k=10-4~10-6。
进一步的,所述贝叶斯分类器为高斯朴素贝叶斯分类器。
有益效果:
本发明利用贝叶斯分类器可以快速进行入侵检测,并可以实现已有的攻击类型以及未知的新的攻击类型的入侵检测;同时,利用主成分分析方法对网络数据进行降维处理,进一步提高检测时间,并且,对主成分分析方法进行改进,提交了检测的正确率。本发明方法与传统的基于数据挖掘的网络入侵检测方法相比,虽然在检测正确率上没有大的提升,但是检测时间却是其他入侵检测方法所无法相比的。
附图说明
图1为本发明入侵检测方法流程图。
图2为检测率对比折现图。
图3为检测时间对比折现图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
随着网络入侵攻击手段的不断变化,新的攻击类型不断产生,而传统的基于规则文件的检测方法不能适应新的攻击类型,因此,本发明选择基于数据挖掘的入侵检测方法。然而,现有数据挖掘中的大部分入侵检测方法都存在检测时间过长的问题,不能做到及时检测,为此,本发明提供了一种基于pca与贝叶斯相结合的网络入侵检测方法,首先对训练数据集d与测试数据集t应用pca得到降维后的训练数据与测试数据,降低了贝叶斯分类器的模型训练时间,大大缩短检测时间,然后,采用检测时间最快的贝叶斯分类器进行入侵检测,检测速度快,且可适用于新的攻击类型;然而,检测时间的缩短也意味着检测率的损失,本发明通过对pca的改进,提高了检测正确率,从而使得本发明方法在检测时间与检测正确率上均表现高效。本发明的入侵检测方法流程如图1所示,具体包括如下步骤:
步骤一:提取网络训练数据集以及网络测试数据集中的各网络连接记录的网络数据特征
网络数据特征主要包括tcp连接的基本特征、tcp连接的内容特征和网络流量统计特征,但不限于这三个特征,只要是能够反映网络流量的特征均可。具体介绍如下:
tcp连接的基本特征包含了一些连接的基本属性,共包括9种属性,(1)duration:连接持续时间,以秒为单位,它的定义是从tcp连接以3次握手建立算起,到fin/ack连接结束为止的时间;(2)protocol_type:协议类型,包括tcp,udp,icmp;(3)service:目标主机的网络服务类型;(4)flag:连接正常或错误的状态;(5)src_bytes:从源主机到目标主机的数据的字节数;(6)dst_bytes:从目标主机到源主机的数据的字节数;(7)land:若连接来自/送达同一个主机/端口则为1,否则为0;(8)wrong_fragment:错误分段的数量;(9)urgent:加急包的个数。
tcp连接的内容特征共包括13种:(1)hot:访问系统敏感文件和目录的次数;(2)num_failed_logins:登录尝试失败的次数;(3)logged_in:成功登录则为1,否则为0;(4)num_compromised:compromised条件出现的次数;(5)root_shell:若获得rootshell则为1,否则为0;(6)su_attempted:若出现”suroot”命令则为1,否则为0;(7)num_root:root用户访问次数;(8)num_file_creations:文件创建操作的次数;(9)num_shells:使用shell命令的次数;(10)num_access_files:访问控制文件的次数;(11)num_outbound_cmds:一个ftp会话中出站连接的次数;(12)is_hot_login:登录是否属于“hot”列表;(13)is_guest_login:若是guest登录则为1,否则为0。
网络流量统计特征共包括9种:(1)count:过去两秒内,与当前连接具有相同的目标主机的连接数;(2)srv_count:过去两秒内,与当前连接具有相同服务的连接数;(3)serror_rate:过去两秒内,在与当前连接具有相同目标主机的连接中,出现“syn”错误的连接的百分比;(4)srv_serror_rate:过去两秒内,在与当前连接具有相同服务的连接中,出现“syn”错误的连接的百分比;(5)rerror_rate:过去两秒内,在与当前连接具有相同目标主机的连接中,出现“rej”错误的连接的百分比;(6)srv_rerror_rate:过去两秒内,在与当前连接具有相同服务的连接中,出现“rej”错误的连接的百分比;(7)same_srv_rate:过去两秒内,在与当前连接具有相同目标主机的连接中,与当前连接具有相同服务的连接的百分比;(8)diff_srv_rate:过去两秒内,在与当前连接具有相同目标主机的连接中,与当前连接具有不同服务的连接的百分比;(9)srv_diff_host_rate:过去两秒内,在与当前连接具有相同服务的连接中,与当前连接具有不同目标主机的连接的百分比。
将tcp连接的基本特征定义为b,连接特征共有9种,所以b={b1,b2,…,b9}。将tcp连接的内容特征定义为c,内容特征共有13种,所以c={c1,c2,…,c13}。将网络流量统计特征定义为f,流量特征共有9种,所以f={f1,f2,…,f9}。将训练网络数据集定义为d,测试网络数据集定义为t。数据集中的一条网络连接记录就为di和ti。
定义1:训练集中的一条记录di与测试集中的一条记录ti如下:
di={b,c,f},i=1,2,…,n,(训练数据集包括n条记录)
ti={b,c,f},i=1,2,…,m,(训练数据集包括m条记录)
步骤二:采用改进的主成分分析(ipca)法对训练网络数据特征矩阵和测试训练网络数据特征矩阵进行降维
主成分分析(pca)是使用正交变换将一组相关变量转换成一组线性不相关变量,其中第一主成分方差最大,是一种常用的降维统计技术。在采用贝叶斯分类器进行入侵检测前,对网络数据利用主成分分析进行降维,大大缩短了检测时间。
定义2:由于训练数据与测试数据都要应用主成分分析,因此将d和t写成矩阵的形式,即得到训练网络数据特征矩阵d和测试训练网络数据特征矩阵t,定义数据矩阵为x,那么x=d或t。x中的一条连接记录如下:
xi=di或ti(1)
对x矩阵进行主成分分析,具体流程如下:第一步去除数据的平均值,第二步计算数据矩阵的协方差矩阵,第三步计算协方差矩阵的特征值与特征向量,第四步把特征值从大到小排序,第五步用前d′个特征值对应的特征向量乘以数据矩阵x便得到了降维后的训练数据集d′/测试数据集t′。其中d′=5~8,效果较优。
采用主成分分析法对网络数据进行降维,虽然提高了检测速度,但是损失了检测精度,为此,本发明对主成分分析法进行改进,提高检测精度。
分析认为,pca法的前三个特征向量能够体现网络数据的整体信息,当网络数据受到某种因素的影响时,pca法中的前三个特征向量可能受污染最为严重,如果对前三个特征向量进行某种处理,则可以在一定程度上减少因素对它的影响,从而可以提高检测精度。由此,本发明提出,对前三个特征向量进行加权处理,即:
ω′=(kω1,kω2,kω3,ω4,…,ωd′)(2)
其中,ω′为改进后的特征向量,k为引入的权重系数,权重系数是一个介于0-1之间的数,目的是为了缩小前三个分量的权重,减少数据受污染程度,最后用ω′来对数据矩阵x进行降维。改进的主成分分析法ipca的伪代码如下所示。
算法:ipca
输入:训练网络数据特征矩阵或测试网络数据特征矩阵x=d或t
输出:降维后的训练网络数据特征矩阵或测试网络数据特征矩阵x′=d′或t′
1.x′=x-mean//去除平均值
2.求数据矩阵x′的协方差矩阵x′x′t
3.求协方差矩阵x′x′t的特征值λ和特征向量
4.排列特征值并取前d′个特征值λ1≥λ2≥…≥λd′
5.ω=(ω1,ω2,ω3,ω4,…,ωd′);ω1,ω2,ω3,ω4,…,ωd′分别为λ1,λ2,λ3,λ4,…,λd′对应的特征向量
6.ω′=(kω1,kω2,kω3,ω4,…,ωd′)
7.x′=x·ω′
第一行去除数据矩阵的均值,第二行求数据矩阵的协方差矩阵。第三行到第四行求协方差矩阵的特征值与特征值向量,并将特征值从大到小排列。第五行选取前d′个特征值对应的特征向量就是传统pca的解。第六行对传统pca的解进行加权处理就得到了新的解,最后一行用新的解与数据矩阵相乘将数据降低至d′维。加权系数的大小通过实验验证而定,较优的,k=10-4~10-6。
为了消除特征数据之间的量纲影响,本发明在对数据矩阵x进行主成分分析前,首先对数据矩阵x进行归一化处理。具体的,针对数据矩阵x中的每一列(即不同网络连接记录的同一特征下的值),分别进行归一化处理,即:首先选取出该特征下各数值的最大值与最小值,然后对于该特征下的每一个数值采用下式,计算出归一化后的新值,新值的映射区间为0-1。
其中,
然后对
步骤三:构建贝叶斯分类器,利用降维后的训练网络数据矩阵对贝叶斯分类器进行训练
理论上,各类贝叶斯分类器均可适用于本发明,如高斯朴素贝叶斯分类器、伯努利朴素贝叶斯分类器等均可。本实施例以高斯朴素贝叶斯分类器为例进行说明。
在所有相关概率都已知的情况下,贝叶斯决策论考虑如何基于这些概率和误判损失来选择最优的类别标记。对于入侵检测任务来说,需要判断网络流量是正常的还是异常的。因此假设有2种可能的类别标记γ={c1,c2},c1代表正常类别标记,c2代表异常类别标记。对于每一个连接记录x=xi,选择能使后验概率p(c|x)最大的类别标记。基于贝叶斯定理,p(c|x)可以写为
其中,p(c)是类先验概率,p(x|c)是一条连接记录x相对于类标记c的类条件概率,p(x)是用于归一化的证据因子。对于给定连接记录x,证据因子p(x)与类标记无关,因此p(c|x)只与p(c)和p(x|c)有关。
朴素贝叶斯分类器采用了“属性条件独立性假设”,对已知类别,假设所有属性相互独立,换言之,假设每个属性独立地对分类结果发生影响。所以上式可以改写为
其中d为每条连接记录的属性数目,如果在没有应用ipca之前,d=31。xi为连接记录x在第i个属性上的取值。由于对所有类别来说p(x)相同,所以朴素贝叶斯分类器的表达式为
对于连续性属性而言,可以考虑概率密度函数。假定
对于每一条连接记录,分别计算正常与异常两个类别的后验概率,选择其中较大的作为该记录的类别标记结果。
步骤四,采用训练好的贝叶斯分类器对降维后的测试网络数据矩阵t′进行入侵检测。
具体的,高斯朴素贝叶斯分类器(gnb)流程如下:对降维后的训练数据集d′(训练时)/测试数据集t′(测试时)应用高斯朴素贝叶斯分类器判别每一条记录的类别。首先根据公式(7)计算每个属性的条件概率p(xi|c),再分别计算记录属于正常与异常的类先验概率p(c)。最后由公式(6)计算出记录属于正常与异常的先验概率,选择先验概率大的类别作为该记录的检测结果。
报警机制:检测的结果为正常就什么都不做,如果检测该网络数据为异常则向用户报警,使得用户可以快速地发现入侵,及时应对避免损失。报警方式不是本发明关注的重点,可以采用snort入侵检测系统的full模式,对每个产生警报的ip都建立一个目录,把解码后的数据包记录到对应的目录下,除了输出报警信息之外,还可以输出包的头部信息。
模型需要通过不断调整改进的pca的权值系数,来寻找最合适的权值系数,以使得模型检测效果更好。模型的训练与测试时间之和就是检测时间,检测率就是测试集中检测正确的记录数除以测试集的记录总数。
数据处理过程实例分析:
通过实例能够清楚地了解数据被处理的流程,训练集d中的第一条记录如下
0,2,19,8,181,5450,0,0,0,(tcp连接的基本特征)
0,0,1,0,0,0,0,0,0,0,0,0,0,(tcp连接的内容特征)
8,8,0.00,0.00,0.00,0.00,1.00,0.00,0.00,(基于时间的网络流量统计特征)
根据公式(3)对数据集d归一化,归一化后第一条记录如下
0,0.0018,0.0012,0.0016,0,0,0,0,0,(tcp连接基本特征)
0,0,0.0037,0,0,0,0,0,0,0,0,0,0,(tcp连接的内容特征)
0,0,0.00,0.00,0.00,0.00,0.0016,0.00,0.00(基于时间的网络流量统计特征)
可以看到所有特征都被映射到了0-1区间,再经过ipca过程,降维后的第一条连接记录如下:
24.701,0,0,0.001,0,-0.001,0,0
在对训练数据集d与测试数据集t降维之后,就可以应用高斯朴素贝叶斯来进行入侵检测了。为了对比本发明提出的模型的效果,将它分别与经典的高斯朴素贝叶斯方法,还有传统的pca与高斯朴素贝叶斯相结合的方法进行对比,证明本发明引入pca和改进pca的意义。同时也将贝叶斯分类器与其他分类器在入侵检测中的效果进行对比,证明贝叶斯分类器在检测时间上的优势。
实验环境为一台搭载了intelg2020处理器、8gb内存和windows7操作系统的pc机。首先对比了常用的分类器在入侵检测中的效果,如下表1所示。
表1常用分类器效果对比
通过对比可以发现虽然gnb具有最低的检测率,但是却能够在1.42s的时间训练完模型并进行模型测试,而其他分类器虽然检测率比较高,但是在检测时间上不能满足入侵检测的要求。支持向量机分类器甚至需要高达10个多小时的时间,迭代决策树分类器也需要2分多钟的时间。因此本发明选择gnb分类器作为入侵检测的分类器,虽然检测率不如其他分类器,但是却拥有更短的检测时间,而且经过本发明引入改进的pca检测率将不低于其他分类器。通过引入pca,还可以将gnb时间大大缩短。
改进的pca通过设置前三个特征向量的不同权值,来观察准确率的变化,从而寻找出该模型最好的权值系数。不同的权重系数值与对应的检测正确率如下表2所示。
表2权重系数与准确率
本发明的模型与改进之前的模型在检测正确率与检测时间上的对比如图2和图3所示。证明了本发明相比于经典的贝叶斯模型,引入pca可以大大缩短检测时间,改进pca可以使得模型的检测正确率不低于其他数据挖掘方法。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。