本發(fā)明涉及威脅情報技術(shù)領(lǐng)域,特別是一種基于輕量級領(lǐng)域本體的安全設(shè)備威脅情報共享方法。
背景技術(shù):
當(dāng)前,網(wǎng)絡(luò)空間威脅正在持續(xù)增長,網(wǎng)絡(luò)攻擊、數(shù)據(jù)盜竊和金融詐騙事件不斷涌現(xiàn),為網(wǎng)絡(luò)空間的安全運(yùn)行帶來了極大威脅和隱患。在這一攻擊者與防御者的博弈中,情報作用的重要性是不容忽視的。一方面攻擊者需要掌握目標(biāo)的全面信息情報才能精確、定向發(fā)動攻擊;而另一方面,由于攻擊具有高度不確定性,防御者更加依賴于情報的收集和處理以進(jìn)行有效的部署、控制和響應(yīng)。網(wǎng)絡(luò)空間中的情報是為了保護(hù)網(wǎng)絡(luò)空間資源免受威脅的侵害,主要應(yīng)用于安全風(fēng)險管理領(lǐng)域,指利用安全專家、專業(yè)團(tuán)體的經(jīng)驗、技能和針對性工作生成的關(guān)于安全和威脅的相關(guān)信息。一般包括信譽(yù)情報和攻擊情報兩類。威脅情報將情報理論知識與網(wǎng)絡(luò)空間安全技術(shù)結(jié)合,能夠有效指導(dǎo)和解決網(wǎng)絡(luò)空間防御實(shí)踐中新涌現(xiàn)的難點(diǎn)性問題。與傳統(tǒng)情報的生命周期階段類似,威脅情報為發(fā)揮在網(wǎng)絡(luò)空間防護(hù)中的積極作用,通常按照一個有序、連續(xù)和線性的過程運(yùn)行。由于這種威脅情報體系的復(fù)雜性較大,對環(huán)節(jié)間的依賴性突出,為了最大限度的節(jié)約安全專家的人力和精力,整個威脅情報的處理過程必須盡可能以自動化的方式來進(jìn)行,從而為安全設(shè)備的機(jī)器與機(jī)器之間交換可讀、可理解的規(guī)范化信息內(nèi)容提出了迫切的要求。當(dāng)前,盡管眾多安全廠商已經(jīng)為設(shè)備與管理系統(tǒng)之間的信息交互設(shè)計了多種協(xié)議,但主要以格式要求嚴(yán)格、缺乏靈活性的專用、私有協(xié)議為主,無法完成威脅情報共建、共享、共用的預(yù)期目標(biāo)。
目前安全設(shè)備威脅情報的交互存在以下問題:
(1)安全設(shè)備間威脅情報交互的可擴(kuò)展性問題。當(dāng)前協(xié)議的格式字段均在設(shè)計之初就嚴(yán)格限定,靈活性差,難以擴(kuò)展,表達(dá)能力有限;
(2)安全設(shè)備間威脅情報交互的內(nèi)容關(guān)聯(lián)問題。協(xié)議的內(nèi)容均以記錄事實(shí)為主,基于元數(shù)據(jù)的信息與信息間孤立性強(qiáng),缺乏語義和相互聯(lián)系,不能進(jìn)行演繹、推理從而形成新的知識;
(3)安全設(shè)備間威脅情報交互的接口開放性問題。協(xié)議主要依托廠商自行開發(fā)的專用、封閉模塊實(shí)現(xiàn),在多個廠商間進(jìn)行信息的適配與轉(zhuǎn)接工作量巨大;
(4)安全設(shè)備間威脅情報交互的概念一致性問題。協(xié)議的關(guān)鍵要素定義不統(tǒng)一,隨意性較強(qiáng),不同廠商的設(shè)備間難以對安全領(lǐng)域概念、術(shù)語和取值形成一致的約定和認(rèn)知。
以上問題導(dǎo)致了在不同廠商的設(shè)備間進(jìn)行威脅情報信息的互聯(lián)互通操作極為困難,自動化流程的推進(jìn)舉步維艱。為了使安全設(shè)備間能夠?qū)γ媾R風(fēng)險、威脅狀況和安全態(tài)勢形成無歧義的、一致的、準(zhǔn)確的認(rèn)知,需要通過提煉網(wǎng)絡(luò)安全領(lǐng)域知識、構(gòu)建領(lǐng)域本體、設(shè)計語義解析器和規(guī)則映射器,構(gòu)建信息共享機(jī)制,打破設(shè)備間威脅情報信息交換的瓶頸,最大化發(fā)揮威脅情報的積極作用。
因此,安全風(fēng)險管理領(lǐng)域亟需一種表達(dá)能力強(qiáng)、無歧義、高效的威脅情報共享方法,既可以促進(jìn)威脅情報在設(shè)備間交互的規(guī)范化、有序化,提高兼容性,又能夠通過威脅情報中語義關(guān)系的確立加深設(shè)備對情報內(nèi)容的深入理解,便于自動化響應(yīng)策略的執(zhí)行,實(shí)現(xiàn)安全設(shè)備間、安全設(shè)備與管理系統(tǒng)的無縫銜接以及功能自治,從整體上達(dá)到信息共享效率、協(xié)同能力和智能化水平顯著提升的有益效果。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明所要解決的技術(shù)問題是:針對上述存在的問題,提供了一種基于輕量級領(lǐng)域本體的安全設(shè)備威脅情報共享方法。
本發(fā)明采用的技術(shù)方案如下:一種基于輕量級領(lǐng)域本體的安全設(shè)備威脅情報共享方法,具體包括以下過程:步驟1、采用輕量級本體作為設(shè)備間的信息溝通媒介,建立威脅情報通用領(lǐng)域本體;步驟2、情報生產(chǎn)者將威脅情報通用領(lǐng)域本體本地化,從網(wǎng)絡(luò)空間獲取原始威脅情報信息,將原始威脅情報信息轉(zhuǎn)化并映射為輕量級本體知識;步驟3、情報轉(zhuǎn)發(fā)者基于本體通信服務(wù)將輕量級本體知識轉(zhuǎn)發(fā)給情報使用者;步驟4、情報使用者將接收到的輕量級本體知識轉(zhuǎn)化并適配為本地專用策略描述并作用于網(wǎng)絡(luò)空間的運(yùn)行。
進(jìn)一步的,所述步驟1的具體過程為:步驟11、對標(biāo)準(zhǔn)、規(guī)范以及業(yè)界報告進(jìn)行收集和整理,根據(jù)威脅情報目的和應(yīng)用范圍進(jìn)行本體分析,確定威脅情報領(lǐng)域知識;步驟12、通過概念化,將威脅情報領(lǐng)域知識轉(zhuǎn)換形成威脅情報領(lǐng)域的概念模型;步驟13、通過形式化語言處理威脅情報領(lǐng)域知識的概念模型獲得威脅情報通用領(lǐng)域本體;步驟14、根據(jù)清晰性、一致性、完整性、可擴(kuò)展性以及最小承諾原則,評估本體是否達(dá)到應(yīng)用要求;步驟15、如果達(dá)到要求,編碼將本體以結(jié)構(gòu)化數(shù)據(jù)的方式存儲在數(shù)據(jù)庫中,獲得威脅情報知識庫。
進(jìn)一步的,所述步驟2的具體過程為:步驟21、采用Native XML的方式表示威脅情報通用領(lǐng)域本體,以XML文檔作為基本儲存單元;步驟22、建立本地數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)模型,對本體進(jìn)行儲存、查詢和更新,將本體本地化;步驟23、將網(wǎng)絡(luò)環(huán)境中多類型安全設(shè)備產(chǎn)生的原始數(shù)據(jù)轉(zhuǎn)化為原始威脅情報信息,通過預(yù)處理、消重、歸并和分類的處理形成安全威脅數(shù)據(jù);步驟24、將安全威脅數(shù)據(jù)映射為輕量級威脅本體知識。
進(jìn)一步的,所述步驟24的具體過程為:(1)識別不同層次和不同時間序列的待處理的安全威脅數(shù)據(jù),將所有的安全威脅數(shù)據(jù)提升至相同的標(biāo)識層級;(2)使用RDF消除語義的不一致性;(2)建立相似度量函數(shù),進(jìn)行原語間相似性匹配;(3)建立語義關(guān)系,建立安全威脅數(shù)據(jù)原語與輕量級威脅本體知識原語中的聯(lián)系。
進(jìn)一步的,所述步驟3的具體過程為:步驟31、將輕量級本體知識序列化,使輕量級本體知識解析成資源描述框架(RDF)三元組,獲得序列化本體;步驟32、訪問序列化本體的資源,識別接口;步驟33、建立情報生產(chǎn)者和情報使用者之間的握手機(jī)制進(jìn)行握手過程;步驟34;將序列化本體的RDF信息發(fā)送至情報使用者。
進(jìn)一步的,所述接口采用REST接口.
進(jìn)一步的,REST構(gòu)架風(fēng)格包含了統(tǒng)一接口概念。
進(jìn)一步的,所述步驟4的具體過程為:步驟41、情報使用者將輕量級威脅本體本地化;步驟42、將本地化的輕量級威脅本體轉(zhuǎn)化為威脅情報結(jié)構(gòu)化數(shù)據(jù);步驟43、依據(jù)通用的威脅情報結(jié)構(gòu)化數(shù)據(jù)所指示的信息,將威脅情報結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化為專用策略描述。
進(jìn)一步的,所述專用策略描述的轉(zhuǎn)化過程為目標(biāo)查詢、功能匹配、參數(shù)調(diào)整和配置驗證的步驟。
進(jìn)一步的,所述基于輕量級領(lǐng)域本體的安全設(shè)備威脅情報共享方法還包括以下過程:情報使用者將專用策略描述作用于網(wǎng)絡(luò)空間的運(yùn)行情況通過本體通信服務(wù)反饋給情報生產(chǎn)者。
與現(xiàn)有技術(shù)相比,采用上述技術(shù)方案的有益效果為:
(1)安全設(shè)備間威脅情報交互的可擴(kuò)展性能力強(qiáng)。通過基于輕量級本體對威脅情報進(jìn)行描述,可以大大提升情報的表達(dá)能力,靈活性好,擴(kuò)展性強(qiáng),能夠向后兼容。
(2)安全設(shè)備間威脅情報交互的內(nèi)容關(guān)聯(lián)能力強(qiáng)?;诒倔w概念與關(guān)系的信息與信息間具備了語義,通過語義關(guān)系的建立,能夠進(jìn)行演繹、推理從而形成新的知識。
(3)安全設(shè)備間威脅情報交互的接口開放能力強(qiáng)?;谳p量級本體的威脅情報接口使用標(biāo)準(zhǔn)化的XML和REST方式進(jìn)行傳輸,通用性強(qiáng),能夠兼容多個廠商的多個設(shè)備間的信息的適配與轉(zhuǎn)接工作。
(4)安全設(shè)備間威脅情報交互的概念一致性能力強(qiáng)。通過建立實(shí)體、關(guān)系及屬性定義清晰的輕量級本體,將輕量級本體轉(zhuǎn)化成結(jié)構(gòu)化數(shù)據(jù),統(tǒng)籌威脅情報領(lǐng)域的術(shù)語和知識,實(shí)現(xiàn)理解層面的共同認(rèn)知。
附圖說明
圖1是本發(fā)明安全設(shè)備威脅情報共享方法角色構(gòu)成圖。
圖2是本發(fā)明安全設(shè)備威脅情報共享方法作用時機(jī)圖。
圖3是本發(fā)明威脅情報領(lǐng)域輕量級本體概念圖。
圖4是本發(fā)明威脅情報領(lǐng)域輕量級本體構(gòu)建流程圖。
具體實(shí)施方式
下面結(jié)合附圖對本發(fā)明做進(jìn)一步描述。
如圖1所示本發(fā)明的整體構(gòu)架由情報生產(chǎn)者、情報轉(zhuǎn)發(fā)者和情報使用者使用三類不同的角色構(gòu)成。情報生產(chǎn)者一般是專業(yè)的安全分析機(jī)構(gòu),通過感知接口在攻擊者對信息資源發(fā)起攻擊后接收受害者上報的信息,經(jīng)過處理、分析、編排后形成情報并發(fā)布;生產(chǎn)者還承擔(dān)著偵測攻擊者,以及接收監(jiān)管者指令并執(zhí)行的職能。情報轉(zhuǎn)發(fā)者是情報信息按照用戶需求精確匯集、路由、分發(fā),以及傳遞使用者需求反饋的生態(tài)要素,傳遞者一般由情報服務(wù)門戶、情報知識庫及情報傳遞鏈路構(gòu)成,是聯(lián)結(jié)情報使用者與情報生產(chǎn)者的有機(jī)紐帶。情報使用者是情報的最終用戶,在角色構(gòu)成中,情報使用者可以是N個,N是大于1的自然數(shù),在通過人工或自動方式解析了情報內(nèi)容后,能夠通過控制接口對自有信息資源進(jìn)行控制以達(dá)到防御配置、攻擊免疫的效果;使用者對情報使用情況進(jìn)行評估后反饋給生產(chǎn)者,幫助生產(chǎn)者改進(jìn)情報質(zhì)量;在企業(yè)將信息安全工作完全外包的情況下,生產(chǎn)者將直接對目標(biāo)信息資源進(jìn)行配置以達(dá)到防護(hù)目標(biāo)。
如圖2所示,一種基于輕量級領(lǐng)域本體的安全設(shè)備威脅情報共享方法,具體包括以下過程:步驟1、采用輕量級本體作為設(shè)備間的信息溝通媒介,建立威脅情報通用領(lǐng)域本體;步驟2、情報生產(chǎn)者將威脅情報通用領(lǐng)域本體本地化,從網(wǎng)絡(luò)空間獲取原始威脅情報信息,將原始威脅情報信息轉(zhuǎn)化并映射為輕量級本體知識;步驟3、情報轉(zhuǎn)發(fā)者基于本體通信服務(wù)將輕量級本體知識轉(zhuǎn)發(fā)給情報使用者;步驟4、情報使用者將接收到的輕量級本體知識轉(zhuǎn)化并適配為本地專用策略描述并作用于網(wǎng)絡(luò)空間的運(yùn)行。上述過程共同構(gòu)建和形成完整的基于輕量級本體的安全設(shè)備威脅情報共享方法,能夠有效支撐整體安全系統(tǒng)的感知、控制功能,在建立威脅情報通用領(lǐng)域本體的前提下,情報生產(chǎn)者和情報使用者能夠傳遞網(wǎng)絡(luò)空間的獲取的信息,與網(wǎng)絡(luò)空間其它實(shí)體進(jìn)行信息和能量交互,在管理者的組織下,更好地應(yīng)對攻擊者層出不窮的網(wǎng)絡(luò)威脅而持續(xù)、高效運(yùn)行。
如圖3-4所示,所述步驟1的具體過程為:步驟11、對標(biāo)準(zhǔn)、規(guī)范以及業(yè)界報告進(jìn)行收集和整理,根據(jù)威脅情報目的和應(yīng)用范圍進(jìn)行本體分析,確定威脅情報領(lǐng)域知識;步驟12、通過概念化,將威脅情報領(lǐng)域知識轉(zhuǎn)換形成威脅情報領(lǐng)域的概念模型;步驟13、通過形式化語言處理威脅情報領(lǐng)域知識的概念模型獲得威脅情報通用領(lǐng)域本體;步驟14、根據(jù)清晰性、一致性、完整性、可擴(kuò)展性以及最小承諾,評估本體是否達(dá)到應(yīng)用要求;步驟15、如果達(dá)到要求,編碼將本體以結(jié)構(gòu)化數(shù)據(jù)的方式存儲在數(shù)據(jù)庫中,獲得威脅情報知識庫。上述過程是針對信息安全的威脅情報這一特定領(lǐng)域,基于輕量級本體建立能夠在安全設(shè)備間共享知識的通用本體過程。輕量級本體是一種層次簡化、關(guān)系清晰。易于操作的本體表達(dá)形式,同樣遵循明晰、一致、可擴(kuò)展、最小編碼和最小承諾的設(shè)計原則。對威脅情報本體的建設(shè)首先從核心元素相關(guān)類、屬性、關(guān)系等方面出發(fā)逐步進(jìn)行完善。本實(shí)施列的威脅情報的輕量級本體主要由類、關(guān)系、個體、約束、公理構(gòu)成,形式化語言可以基于框架的邏輯或者一階謂詞邏輯或者描述邏輯,本實(shí)施列采用描述邏輯作為形式化語言,去描述要研究的威脅情報領(lǐng)域知識,并形成威脅情報通用領(lǐng)域本體以及威脅情報知識庫。威脅情報領(lǐng)域知識庫主要包括TBox和ABox,其中TBox是術(shù)語集,即應(yīng)用領(lǐng)域的詞匯;ABox是采用詞匯對個體的斷言。
威脅情報一般包括信譽(yù)情報(“壞”的IP地址、URL、域名等,比如C2服務(wù)器相關(guān)信息)、攻擊情報(攻擊源、攻擊工具、利用的漏洞、該采取的方式)。在運(yùn)行過程中,首先描述威脅情報領(lǐng)域的重要概念:資產(chǎn)、威脅、脆弱性、對策等;然后建立這些概念之間的相互約束關(guān)系,包括類與實(shí)例的關(guān)系、類之間的關(guān)系、類的屬性約束,由此形成研究領(lǐng)域的知識庫并用來表示本體;再依據(jù)推理算法和知識表示領(lǐng)域的公理,推出被研究領(lǐng)域沒有被顯示定義的類之間的包含被包含關(guān)系、實(shí)例的斷言問題和所定義知識庫內(nèi)部的一致性問題。
所述步驟2的具體過程為:步驟21、采用Native XML的方式表示威脅情報通用領(lǐng)域本體,以XML文檔作為基本儲存單元;步驟22、建立本地數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)模型,對本體進(jìn)行儲存、查詢和更新以提高系統(tǒng)效率、降低實(shí)現(xiàn)的復(fù)雜度,將本體本地化;本體本地化是設(shè)備根據(jù)自身的計算、存儲及平臺架構(gòu),將威脅情報通用領(lǐng)域本體的類、關(guān)系、個體、約束、公理以本地化方式表示的過程,本體本地化的主要任務(wù)是本體及檢索引擎的存儲,包括操作空間準(zhǔn)備、存儲空間準(zhǔn)備、本體導(dǎo)入、校驗四個步驟;步驟23、將網(wǎng)絡(luò)環(huán)境中多類型安全設(shè)備產(chǎn)生的專有安全狀態(tài)、信息和事件描述等原始數(shù)據(jù)轉(zhuǎn)化為原始威脅情報信息,通過預(yù)處理、消重、歸并和分類的處理形成安全威脅數(shù)據(jù),形成的安全威脅數(shù)據(jù)價值較高,有效的達(dá)到威脅情報信息的質(zhì)量要求;步驟24、將安全威脅數(shù)據(jù)映射為輕量級威脅本體知識。
本體概念結(jié)構(gòu)的映射是將多類型安全設(shè)備產(chǎn)生并轉(zhuǎn)換的安全威脅數(shù)據(jù)映射為格式均一化、語義標(biāo)準(zhǔn)化、表達(dá)一致化的輕量級威脅本體知識的過程,在不同的知識域中建立語義橋,使其代表的知識實(shí)現(xiàn)共同的理解和溝通。所述步驟24的具體過程為:(1)識別不同層次和不同時間序列的待處理的安全威脅數(shù)據(jù),識別過程中數(shù)據(jù)處理的難度在于:第一是不同層次件的信息,而且需要考慮環(huán)境和目標(biāo)描述;第二是時間序列上的不同,大多數(shù)情況多元異構(gòu)安全數(shù)據(jù)的時間坐標(biāo)是非線性的,其中的時間異構(gòu)直接影響數(shù)據(jù)的質(zhì)量和時空校準(zhǔn)。將所有的安全威脅數(shù)據(jù)提升至相同的標(biāo)識層級,該相同的標(biāo)識層級包括相同的空間層和一個線性時間層(2)使用RDF消除語義的不一致性;(2)建立相似度量函數(shù),根據(jù)協(xié)同行為、依賴性、源和目標(biāo)在原語間建立相似性,進(jìn)行原語間相似性匹配;(3)建立語義關(guān)系,建立源本體原語即安全威脅數(shù)據(jù)原語與目標(biāo)本體原語即輕量級威脅本體知識原語中的聯(lián)系;通過建立語義關(guān)系來完成該項過程。
情報轉(zhuǎn)發(fā)者基于本體通信服務(wù)將輕量級本體知識轉(zhuǎn)發(fā)給情報使用者,是面向情報生產(chǎn)者、情報轉(zhuǎn)發(fā)者和情報使用者間的情報傳遞和路由需求?;诒倔w通信服務(wù)接口的定義、信息交互流程的規(guī)范和對威脅情報本體語義的分析實(shí)現(xiàn)威脅情報的正確交付。所述步驟3的具體過程為:步驟31、將輕量級本體知識序列化,將輕量級本體知識解析成資源描述框架(RDF)三元組,獲得序列化本體;RDF是基于XML的資源描述框架規(guī)范,可以很好地表達(dá)威脅情報領(lǐng)域本體;RDF看作是資源、屬性和陳述三元組的語法形式,所有通過RDF描述的對象(Object)都看作是一個資源,資源可以是一個對象、一個地址或一個概念,資源用URI加以標(biāo)示;屬性是描述資源的某個方面的特征、屬性和關(guān)系;一個資源加上一個特性以及該特性的值(Value)就構(gòu)成了一個陳述,一個陳述有3個獨(dú)立的組成部分:主體(subject)、謂詞(predicate)、客體(object);步驟32、訪問序列化本體的資源,識別接口;步驟33、建立情報生產(chǎn)者和情報使用者之間的握手機(jī)制進(jìn)行握手過程;步驟34;將序列化本體的RDF信息發(fā)送至情報使用者。
所述接口采用REST接口;接口的服務(wù)化是以請求—應(yīng)答的方式通過網(wǎng)絡(luò)在安全設(shè)備間建立本體知識連接的支撐技術(shù),本方法使用基于RESTful的方法進(jìn)行信息的共享,能夠使延遲和網(wǎng)絡(luò)交互最小化,同時使組件實(shí)現(xiàn)的獨(dú)立性和擴(kuò)展性最大化。
資源是REST中最關(guān)鍵的抽象概念,它們是能夠被遠(yuǎn)程訪問的應(yīng)用程序?qū)ο?;一個資源就是一個標(biāo)識單位,任何可以被訪問或被遠(yuǎn)程操縱的東西都可能是一個資源;資源可以是靜態(tài)的,也就是該資源的狀態(tài)永遠(yuǎn)不會改變;相反,某些資源的狀態(tài)可能隨著時間推移呈現(xiàn)很大的可變性。為了簡化整體系統(tǒng)架構(gòu),REST架構(gòu)風(fēng)格包含了統(tǒng)一接口的概念;統(tǒng)一接口包含一組受限的良定義的操作,由它們進(jìn)行資源的訪問和操作;不論什么資源,都使用相同的接口。
所述步驟4的具體過程為:步驟41、情報使用者將輕量級威脅本體本地化;采用Native XML的方式表示威脅情報通用領(lǐng)域本體,以XML文檔作為基本儲存單元;建立本地數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)模型,對本體進(jìn)行儲存、查詢和更新以提高系統(tǒng)效率、降低實(shí)現(xiàn)的復(fù)雜度,將本體本地化;步驟42、在作為情報使用者的安全設(shè)備上,將接受到的本地化的輕量級威脅本體轉(zhuǎn)化為威脅情報結(jié)構(gòu)化數(shù)據(jù);步驟43、依據(jù)通用的威脅情報結(jié)構(gòu)化數(shù)據(jù)所指示的信息,將威脅情報結(jié)構(gòu)化數(shù)據(jù)轉(zhuǎn)化為專用策略描述。實(shí)現(xiàn)響應(yīng)指令、更改配置或更新策略的過程。所述專用策略描述的轉(zhuǎn)化過程為目標(biāo)查詢、功能匹配、參數(shù)調(diào)整和配置驗證的步驟。
情報使用者將專用策略描述作用于網(wǎng)絡(luò)空間的運(yùn)行情況通過本體通信服務(wù)反饋給情報生產(chǎn)者,幫助情報生產(chǎn)者改進(jìn)情報質(zhì)量
本發(fā)明并不局限于前述的具體實(shí)施方式。本發(fā)明擴(kuò)展到任何在本說明書中披露的新特征或任何新的組合,以及披露的任一新的方法或過程的步驟或任何新的組合。如果本領(lǐng)域技術(shù)人員,在不脫離本發(fā)明的精神所做的非實(shí)質(zhì)性改變或改進(jìn),都應(yīng)該屬于本發(fā)明權(quán)利要求保護(hù)的范圍。