攻击线索IOC置信度计算方法及设备与流程

攻击线索ioc置信度计算方法及设备
技术领域
1.本发明涉及数据处理领域，尤其涉及一种攻击线索ioc置信度计算方法及设备。


背景技术：

2.随着威胁情报技术、大数据技术的发展，网络安全分析人员往往会面对来自各个渠道收集的威胁情报，在大量的威胁情报中有些情报很可能是过时的、冲突的、不完整的、甚至是相互矛盾的。而且随着时间的推移，情报库中情报数量会越来越多，如果将全部情报应用到生产环境，会对系统产生巨大的负担，同时也会影响计算效率，甚至一些攻击组织弃用的ioc还会带来大量误报。


技术实现要素：

3.本发明实施例提供一种攻击线索ioc置信度计算方法及设备，用以解决现有技术中价值低的情报对系统造成的巨大负担的问题。
4.根据本发明实施例的攻击线索ioc置信度计算方法，包括：
5.基于预设周期，计算ioc情报库中每条ioc情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的ioc情报；
6.所述计算ioc情报库中每条ioc情报的置信度，包括：
7.获取所述ioc情报的多维特征；
8.根据所述ioc情报的多维特征，计算所述ioc情报的基础分数，并对所述ioc情报进行判定；
9.当所述ioc情报的判定结果为确认事件时，将所述基础分数的n倍数值作为所述ioc情报的置信度值，其中所述n满足：n＞1；
10.当所述ioc的判定结果为误报事件时，将所述基础分数乘以衰减系数作为所述ioc情报的置信度值，其中，所述衰减系数与所述ioc情报的置信度计算时间间隔呈反比。
11.根据本发明的一些实施例，所述方法还包括：
12.当所述ioc情报库更新时，重新计算所述ioc情报库中每条ioc情报的置信度，并清零所述预设周期的计算时间。
13.根据本发明的一些实施例，所述多维特征，包括：
14.情报源特征，包括以下特征中的至少一个：ioc情报源的权威度、ioc情报源的类型、ioc情报源的更新频率、ioc情报源的误报率、ioc情报源的漏报率；
15.内容特征，包括以下特征中的至少一个：ioc情报的防御级别、ioc情报的时效性、ioc情报的提交时间、ioc情报的安全事件数量、ioc情报是否有历史情报、ioc情报的历史情报数量；
16.知识挖掘特征，包括以下特征中的至少一个：通讯的恶意样本数量、通讯的恶意ip数量、通讯的恶意url数量、通讯的恶意域名数量、whois信息完整性、ioc情报的权威性、ioc情报的支持度；
17.时间特征，包括以下特征中的至少一个：ioc情报的最早发布时间、ioc情报的最晚发布时间、ioc情报的平均更新频率。
18.根据本发明的一些实施例，所述ioc情报的支持度，包括内容维度相似性、时间维度相似性以及空间维度相似性；
19.所述内容维度相似性根据公式1计算获得：
20.iocs＝count(iocc)/count(ioca)
ꢀꢀ
公式1，
21.其中，iocs表示所述内容维度相似性，count(iocc)表示两则ioc情报共有的ioc的条数，count(ioca)表示两则ioc情报的ioc的条数平均值；
22.所述时间维度相似性根据公式2计算获得：
[0023][0024]
其中，s
t
(f1,f2)表示ioc情报f1和ioc情报f2的时间维度相似性，f1t表示ioc情报f1的时间戳，f2t表示ioc情报f2的时间戳，τ为预定义的时间间隔阈值；
[0025]
所述空间维度相似性的计算方式如下：
[0026]
将ioc情报进行切割，以获得多个特征值；
[0027]
将所述特征值转化为二进制代码，并基于所述二进制代码计算两则ioc情报之间的海明距离。
[0028]
根据本发明的一些实施例，所述获取所述ioc情报的多维特征，包括：
[0029]
富化所述ioc情报库；
[0030]
基于所述富化后的ioc情报库，构建ioc攻击线索图，并基于所述ioc攻击线索图，进行特征挖掘。
[0031]
根据本发明的一些实施例，所述富化所述ioc情报库，包括：
[0032]
基于ioc上下文信息、ip地理位置、ip活跃度、ip标签、域名whois注册信息、域名活跃度、域名标签，富化所述ioc情报库。
[0033]
根据本发明的一些实施例，所述基于所述富化后的ioc情报库，构建ioc攻击线索图，包括：
[0034]
用节点代表所述ioc情报库中的ioc，用连接两个节点的边代表两个ioc之间来源相同。
[0035]
根据本发明的一些实施例，所述基于所述ioc攻击线索图，进行特征挖掘，包括：
[0036]
基于所述ioc攻击线索图，根据公式1，计算所述ioc情报的权威度：
[0037][0038]
其中，n表示所述ioc攻击线索图中的节点个数，l(vj)表示节点vj的出度，s(vi)表示节点vi的出度，j＝1、2、...i，d为阻尼系数。
[0039]
根据本发明的一些实施例，所述根据所述ioc情报的多维特征，计算所述ioc情报的基础分数，并对所述ioc情报进行判定，包括：
[0040]
根据所述ioc情报的多维特征，通过python_sklearn模块的randomforest，计算所
述ioc情报的基础分数，并对所述ioc情报进行判定。
[0041]
根据本发明实施例的攻击线索ioc置信度计算设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的攻击线索ioc置信度计算方法的步骤。
[0042]
采用本发明实施例，通过周期性计算，对ioc攻击线索的置信度进行了有效的评估，帮助用户筛选出高价值ioc攻击线索，为安全分析提供了可量化的指标，对低价值的情报进行停用，节约了计算资源。
[0043]
上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。
附图说明
[0044]
通过阅读下文实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。在附图中：
[0045]
图1是本发明实施例中攻击线索ioc置信度计算方法流程图；
[0046]
图2是本发明实施例中ioc攻击线索图。
具体实施方式
[0047]
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。另外，在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0048]
根据本发明实施例的攻击线索ioc置信度计算方法，包括：
[0049]
基于预设周期，计算ioc情报库中每条ioc情报的置信度，并根据置信度阈值，筛选出参与下次置信度计算的ioc情报；换言之，置信度小于置信度阈值的ioc情报会被排除，下次计算过程中仅仅计算置信度大于置信度阈值的ioc情报。
[0050]
所述计算ioc情报库中每条ioc情报的置信度，包括：
[0051]
获取所述ioc情报的多维特征；
[0052]
根据所述ioc情报的多维特征，计算所述ioc情报的基础分数，并对所述ioc情报进行判定；
[0053]
当所述ioc情报的判定结果为确认事件时，将所述基础分数的n倍数值作为所述ioc情报的置信度值，其中所述n满足：n＞1；
[0054]
当所述ioc的判定结果为误报事件时，将所述基础分数乘以衰减系数作为所述ioc情报的置信度值，其中，所述衰减系数与所述ioc情报的置信度计算时间间隔呈反比。可以理解，时间间隔越久，衰减系数约小。
[0055]
采用本发明实施例，通过周期性计算，对ioc攻击线索的置信度进行了有效的评估，帮助用户筛选出高价值ioc攻击线索，为安全分析提供了可量化的指标，对低价值的情
报进行停用，节约了计算资源。
[0056]
在上述实施例的基础上，进一步提出各变型实施例，在此需要说明的是，为了使描述简要，在各变型实施例中仅描述与上述实施例的不同之处。
[0057]
根据本发明的一些实施例，所述方法还包括：
[0058]
当所述ioc情报库更新时，重新计算所述ioc情报库中每条ioc情报的置信度，并清零所述预设周期的计算时间。
[0059]
可以理解的是，当ioc情报库更新时，例如有新的ioc入库，就对ioc情报进行置信度计算，然后将周期计时初始化，重新开始计时。
[0060]
根据本发明的一些实施例，所述多维特征，包括：
[0061]
情报源特征，包括以下特征中的至少一个：ioc情报源的权威度、ioc情报源的类型、ioc情报源的更新频率、ioc情报源的误报率、ioc情报源的漏报率；
[0062]
内容特征，包括以下特征中的至少一个：ioc情报的防御级别、ioc情报的时效性、ioc情报的提交时间、ioc情报的安全事件数量、ioc情报是否有历史情报、ioc情报的历史情报数量；
[0063]
知识挖掘特征，包括以下特征中的至少一个：通讯的恶意样本数量、通讯的恶意ip数量、通讯的恶意url数量、通讯的恶意域名数量、whois信息完整性、ioc情报的权威性、ioc情报的支持度；这里的通讯可以理解为ioc之间有关联，例如在ioc攻击线索图中存在直接连接关系。
[0064]
时间特征，包括以下特征中的至少一个：ioc情报的最早发布时间、ioc情报的最晚发布时间、ioc情报的平均更新频率。
[0065]
根据本发明的一些实施例，所述ioc情报的支持度，包括内容维度相似性、时间维度相似性以及空间维度相似性；
[0066]
所述内容维度相似性根据公式1计算获得：
[0067]
iocs＝count(iocc)/count(ioca)
ꢀꢀ
公式1，
[0068]
其中，iocs表示所述内容维度相似性，count(iocc)表示两则ioc情报共有的ioc的条数，count(ioca)表示两则ioc情报的ioc的条数平均值；可以理解，每个ioc情报都对应有至少一个ioc。任意两个ioc情报可以共有一个ioc。
[0069]
所述时间维度相似性根据公式2计算获得：
[0070][0071]
其中，s
t
(f1,f2)表示ioc情报f1和ioc情报f2的时间维度相似性，f1t表示ioc情报f1的时间戳，f2t表示ioc情报f2的时间戳，τ为预定义的时间间隔阈值；
[0072]
所述空间维度相似性的计算方式如下：
[0073]
将ioc情报进行切割，以获得多个特征值；
[0074]
将所述特征值转化为二进制代码，并基于所述二进制代码计算两则ioc情报之间的海明距离。
[0075]
每个ioc对应一个二进制代码，将一个ioc情报中每个ioc对应的二进制代码与另一个ioc情报中对应的ioc的二进制代码求异或，以获得一个值，ioc情报有几个ioc就对应
有几个值，将这几个值加权求和就可以获得ioc情报的空间维度相似性。
[0076]
根据本发明的一些实施例，所述获取所述ioc情报的多维特征，包括：
[0077]
富化所述ioc情报库；
[0078]
基于所述富化后的ioc情报库，构建ioc攻击线索图，并基于所述ioc攻击线索图，进行特征挖掘。
[0079]
根据本发明的一些实施例，所述富化所述ioc情报库，包括：
[0080]
基于ioc上下文信息、ip地理位置、ip活跃度、ip标签、域名whois注册信息、域名活跃度、域名标签，富化所述ioc情报库。
[0081]
根据本发明的一些实施例，所述基于所述富化后的ioc情报库，构建ioc攻击线索图，包括：
[0082]
用节点代表所述ioc情报库中的ioc，用连接两个节点的边代表两个ioc之间来源相同。
[0083]
根据本发明的一些实施例，所述基于所述ioc攻击线索图，进行特征挖掘，包括：
[0084]
基于所述ioc攻击线索图，根据公式1，计算所述ioc情报的权威度：
[0085][0086]
其中，n表示所述ioc攻击线索图中的节点个数，l(vj)表示节点vj的出度，s(vi)表示节点vi的出度，出度可以理解为连接节点的边的条数，j＝1、2、...i，d为阻尼系数。
[0087]
根据本发明的一些实施例，所述根据所述ioc情报的多维特征，计算所述ioc情报的基础分数，并对所述ioc情报进行判定，包括：
[0088]
根据所述ioc情报的多维特征，通过python_sklearn模块的randomforest，计算所述ioc情报的基础分数，并对所述ioc情报进行判定。
[0089]
下面参照图1-图2以一个具体的实施例详细描述根据本发明实施例的攻击线索ioc置信度计算方法。值得理解的是，下述描述仅是示例性说明，而不是对本发明的具体限制。凡是采用本发明的相似结构及其相似变化，均应列入本发明的保护范围。
[0090]
2012年3月美国政府发布的《大数据研究和发展倡议》中提到要将孤立的威胁信息转化为威胁情报(ioc情报)，并对网络威胁数据进行深度分析，网络空间“威胁情报”的概念被正式提出。受国内外重大安全事件影响以及国外安全企业的启发，我国逐渐意识到以威胁情报为驱动、大数据分析技术为基础的主动防御体系是应对未知威胁的重要手段，并于2012年开始进行针对木马僵尸网络、移动互联网恶意程序等的情报分析和态势感知平台建设。
[0091]
本发明实施例提出了一种攻击线索ioc置信度计算方法。通过ioc攻击线索图的构建、基于图挖掘的情报推理、多维度的信任特征提取，基于反馈结果的评估算法，为ioc置信度评估提供解决方案。
[0092]
具体的，如图1所示，本发明实施例的攻击线索ioc置信度计算方法，包括：
[0093]
步骤一、设置情报库置信度计算周期t；
[0094]
为了应对不断进步的安全防御和检测，攻击组织会更新迭攻击工具，对ip地址进行更换，因此对于ioc情报的置信度应进行周期性的计算。默认设置计算周期为7天，如果有
新ioc入库则直接对全部ioc情报进行计算置信度，计算周期重新计时。
[0095]
步骤二、对收集到的ioc情报通过whois信息、apt组织信息等信息进行富化；
[0096]
ioc富化是对ioc知识的整合，用于丰富ioc信息，帮助发现有价值的信息。
[0097]
本发明中使用的部分富化信息如下：
[0098]
1、ioc上下文信息(组织编号、来源、报告信息、功能、记录人员、关联ioc等)；
[0099]
2、ip地理位置；
[0100]
3、ip活跃度(一周内通信数量大于100为活跃)；
[0101]
4、ip标签；
[0102]
5、域名whois注册信息(主域名、注册时间、过期时间、更新时间、域名服务商、注册邮箱、注册手机号等)；
[0103]
6、域名活跃度；
[0104]
7、域名标签(动态域名、c2域名等)。
[0105]
步骤三、将ioc构造成线索图，进行情报特征挖掘；
[0106]
ioc攻击线索图的构建不仅能够促进ioc情报基础设施之间显示关系的描述，还能帮助网络安全专家从节点之间的隐式关系中推断出有价值的情报。一条情报关联的信息越多，它就越有价值。ioc攻击线索图的构建不仅能够促进ioc基础设施之间显示关系的描述，还能帮助网络安全专家从节点之间的隐式关系中推断出有价值的信息。
[0107]
构建ioc攻击线索图g＝(v，e)，其中v为节点集，由ioc情报库中ioc组成。其中e为边，当ioc关联来源相同时，两个节点通过一条边e连接。例如，
[0108]
(a2117f2058043ef757af6e5d45afa111，12.37.89.44，hack.com，教育机构，00031)
[0109]
(a2117f2058043ef757af6e5d45afa111，12.37.211.23，hack.com，教育机构，00031)
[0110]
(a2117f2058043ef757af6e5d45afa111，12.37.94.44，hack.com，教育机构，00031)
[0111]
(a2117f2058043ef757af6e5d45afa111,hack.com,教育机构，http://hack.com/attackj，18200754389，00031)
[0112]
(hack@126.com，12.37.89.44，http://hack.com/attackj 00031)
[0113]
(b2117f2058043ef757af6e5d45afa111，hack.exe,00031)
[0114]
其ioc攻击线索图如图2所示。
[0115]
ioc情报特征的挖掘包括：
[0116]
a.基于ioc攻击线索图，联通关系的挖掘；
[0117]
一条ioc关联的信息越多，它就越有价值。通过谷歌的pagerank算法原理，我们可以计算出ioc攻击线索图中节点的权威性。如果一个节点vi的权威性越大，就越有影响力。vi的权威度的计算方式可以被定义为：
[0118][0119]
其中，n是所有节点的数量，l(vj)是节点vj的出度，s(vi)表示节点vi的出度，常数d
是阻尼系数，通常被设置为0.85。节点vj为与节点vi连接的节点。节点vi的出度可以理解为与节点vi连接的节点的个数，节点vj的出度可以理解为与节点vj连接的节点的个数。
[0120]
初始pr(vi)＝pr(vj)＝1，当i为需要计算的节点，j为一个循环，其中包括i。右侧整体计算时，左侧的pr(vi)为pr(vj)中的一项。
[0121]
具体例子，n为2，j为1,2，i为2，|l(v1)|＝|l(v2)|＝4时，
[0122][0123]
第一次计算结果：
[0124][0125]
pr(v2)＝0.5
[0126]
第二次计算结果：
[0127][0128]
......迭代直到pr(v1)变化小于阈值(可设置)0.0001时停止。
[0129]
b.基于相似的挖掘；
[0130]
利用ioc相同比例计算情报相似度，ioc相同比例计算公式如下：
[0131]
iocs＝count(iocc)/count(ioca)；
[0132]
其中iocs为相似度值，count(iocc)表示的是两则ioc情报共有的ioc条数；count(ioca)表示的是两则ioc情报的ioc个数的平均值。ioc相同比例大于零则相关，比例越大，相似度越高。
[0133]
网络攻击行为或许会在短时间内引发大量冗余ioc情报的生成，因此两条ioc情报的时间戳越接近，他们可能越有可能是关于同一网络攻击行为。ioc情报f1和f2的时间相似度，记作st(f1,f2)计算方式如下：
[0134][0135]
其中，f1t是情报f1的时间戳，τ是预定义的时间间隔阈值。
[0136]
在高级持续攻击中，攻击者一旦在受害系统中植入后门，通常使用那些容易获取的相似的攻击工具来攻击网络。simhash是一种局部敏感hash，它确保相似的对象有相似的指纹，它能确保形式对象的指纹之间的汉明距离最小。simhash的这种属性使我们容易发现相似的恶意软件样本，计算流程一般分为三步：
[0137]
1、对ioc情报的特征进行切割，生成对应的特征值；
[0138]
2、对两个ioc情报的特征值进行异或，求海明距离；
[0139]
3、加权求和。
[0140]
以(a2117f2058043ef757af6e5d45afa111，12.37.89.44，hack.com，教育机构，00031)为例
[0141][0142][0143]
另一则情报为(a2117f2058043ef757af6e5d45afa111，12.37.211.23，hack.com，教育机构，00031)
[0144][0145]
然后计算海明距离，如将二进制代码进行异或的结果为...000100000011111000110100000011011111111000...可见结构中有19个1，总长度为456。因此距离为19/416＝0.0456，相似度为sh＝1-0.0456＝0.954。
[0146]
sim(e1,e2)表示相似度，simt(e1,e2)，simc(e1,e2)(即iocs)，sims(e1,e2)(即sh)分别表示时间维度(simt(e1,e2))、内容维度(iocs)、空间维度(sh)的相似性。由于攻击主机之间的关联程度并不存在一定的定论，因此，w1，w2，w3是根据真实给出的超参数。默认值都为1。
[0147]
sim(e1,e2)＝w1simt(e1,e2) w2simc(e1,e2) w3siml(e1,e2)。
[0148]
步骤四、基于挖掘出的ioc特征、模型反馈特征进行模型训练，获取ioc置信度；
[0149]
根据基于图挖掘的ioc情报推理，得到了更丰富的特征。本发明实施例提取了五个
维度的特征：基于ioc情报源的特征、基于ioc情报内容的特征、基于时间的特征、基于知识挖掘的特征、基于反馈的特征。
[0150]
基于ioc情报源的特征：考虑情报源的特征，例如情报源的权威性，情报源的平均误报率，情报源的漏报率等。情报源的平均误报/漏报率的计算是根据情报源检测到的最近一百次著名攻击事件的百分比。情报源的权威度由alexa排名(根据网站的活跃度和在全网的影响力评估得到)和用户数量计算得到。由于情报可能会传达相互矛盾的信息，由一个情报源支持的情报很可能不正确。因此，有多个独立的情报源支持的情报更可信。
[0151]
基于ioc情报内容的特征：考虑情报描述的内容特征。情报描述越详细，情报就越有价值。如攻击指示器的防御级别、是否有历史情报、该类ioc情报的时效性等。
[0152]
基于知识挖掘的特征：考虑情报知识的特征。通过ioc线索图能够发现ioc之间的隐式特征，如与它通信的恶意软件/ip地址/域名/urls个数，whois信息完整程度，ioc的权威性、情报的支持度。ioc的权威度即通过ioc之间的联通关系计算得到。大部分ioc情报有多个来源，各平台部分ioc情报相互覆盖，因此我们可以通过多源情报来验证内容的真实性即情报的支持度，同时说明它的可验证性。在情报检索和验证中的一个公共问题就是如何对不同属性类型的情报进行比较。在多源验证过程中，本发明通过ioc情报间的相似度来比较，度量其真实性，相似度越高则说明ioc情报的多源验证的一致性高，情报的支持度更高。
[0153]
基于时间的特征：考虑情报的时间特征。计算机应急响应中心(computer energency response teams，certs)的研究发现，时效性是评估情报可信度的重要因素之一。从某种意义上来说，攻击与防守是一场时间的博弈。情报的时效性非常强，评估情报的可信度离不开对情报的时间维度的分析。据统计，75％的恶意ip情报生存时间为5天。如果某个ip情报的最近更新时间举例当前时间很长，那么很可能最近没有关于此ip的攻击发生。另一方面，攻击者也能够获取ioc情报，从而在被发现之前改变他们的攻击战略和战术。只有及时的ioc情报才能帮助防御者快速有效地识别、响应最新的网络攻击。情报的时效性可以被分为四种类型：时效性非常强(1天之内有效)，时效性强(3天之内有效)，时效性正常(7天之内有效)，时效性弱(7天以上仍有效)。最近n次历史情报的平均更新频率，记作f，计算方式：
[0154][0155]
其中，i
i1
是第i条历史情报与最早的历史情报的时间间隔。
[0156]
本发明采用多维特征结合技术，部分特征如下：
[0157][0158][0159]
基于上述特征，本发明通过python_sklearn模块的randomforest计算ioc情报的基础分数，通过反馈结果进行最后分数的确认。反馈结果由安全分析师最终的研判结果为准。如果反馈结果为确认事件，则模型计算出分数*2，研判结果为误报则模型计算分值*衰减系数。衰减系数以该ioc上一次确认时间为基准，如距离上次确认时间为0～7天，则衰减系数为1，具体如下表所示。最终计算出ioc得分，得分小于0.4则停用。
[0160]
衰减系数天周月半年一年两年分值10.80.60.40.20
[0161]
步骤五、将ioc置信度分值低于阈值的ioc标记为失效，在计算时停用。
[0162]
采用本发明实施例，通过周期性计算对ioc攻击线索的置信度进行了有效的评估，帮助用户筛选出高价值ioc攻击线索，为安全分析提供了可量化的指标。对低价值的情报进行停用，节约了计算资源。本发明有利于安全分析师进行研判，有利于提高ioc情报的可用性，从而为网络安全提供更有利的保障。
[0163]
需要说明的是，以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
[0164]
根据本发明实施例的攻击线索ioc置信度计算设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上所述的攻击线索ioc置信度计算方法的步骤。
[0165]
需要说明的是，在本说明书的描述中，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0166]
使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。
[0167]
参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0168]
术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0169]
不应将位于括号之内的任何参考符号构造成对权利要求的限制。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。