本發(fā)明涉及病毒查殺方法及裝置，特別是涉及一種基于虛擬化環(huán)境的查殺方法及裝置。

背景技術(shù)：

隨著云計(jì)算的不斷普及，虛擬化技術(shù)的應(yīng)用越來(lái)越廣。Gartner預(yù)測(cè)，到2016年，企業(yè)數(shù)據(jù)中心50％的安全控制將是虛擬化的。同時(shí)，虛擬化環(huán)境下的安全防護(hù)問(wèn)題也日益突顯。因此，針對(duì)虛擬化環(huán)境的安全部署方案十分重要。

早期的虛擬機(jī)病毒防護(hù)采用代理模式和無(wú)代理模式防病毒。在無(wú)代理模式中，需將一臺(tái)虛擬機(jī)作為安全虛擬機(jī)，管理虛擬化環(huán)境下的其他虛擬機(jī)的安全。虛擬機(jī)上的文件被訪問(wèn)時(shí)都要先通過(guò)安全虛擬機(jī)檢查然后再進(jìn)行文件訪問(wèn)。這樣雖然保證了文件的安全，但如果反復(fù)對(duì)同一文件進(jìn)行檢測(cè)，卻導(dǎo)致了文件訪問(wèn)效率過(guò)低。

技術(shù)實(shí)現(xiàn)要素：

基于此，有必要針對(duì)文件訪問(wèn)效率過(guò)低的問(wèn)題，提供基于虛擬化環(huán)境的查殺方法及裝置。

一種基于虛擬化環(huán)境的查殺方法，包括：

接收文件的訪問(wèn)請(qǐng)求；

根據(jù)文件的訪問(wèn)請(qǐng)求獲得文件信息；

根據(jù)所述文件信息，獲取文件標(biāo)識(shí)；

根據(jù)所述文件標(biāo)識(shí)在可信文件記錄中查找對(duì)應(yīng)的可信項(xiàng)；

若未查找到對(duì)應(yīng)的可信項(xiàng)，則將所述文件送往安全虛擬機(jī)進(jìn)行檢測(cè)；

接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果；

若所述檢測(cè)結(jié)果為文件安全，則將所述文件標(biāo)識(shí)添加到可信文件記錄中，并將所述文件存入可信文件緩存。

一種基于虛擬化環(huán)境的查殺裝置，包括：

訪問(wèn)請(qǐng)求接收模塊，用于接收文件的訪問(wèn)請(qǐng)求；

文件信息獲取模塊，用于根據(jù)文件的訪問(wèn)請(qǐng)求獲得文件信息；

文件標(biāo)識(shí)獲取模塊，用于根據(jù)所述文件信息，獲取文件標(biāo)識(shí)；

可信文件查找模塊，用于根據(jù)所述文件標(biāo)識(shí)在可信文件記錄中查找對(duì)應(yīng)的可信項(xiàng)；

文件傳送模塊，用于若未查找到對(duì)應(yīng)的可信項(xiàng)，則將所述文件送往安全虛擬機(jī)進(jìn)行檢測(cè)；

檢測(cè)結(jié)果接收模塊，用于接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果；

可信文件記錄更新模塊，用于若所述檢測(cè)結(jié)果為文件安全，則將所述文件標(biāo)識(shí)添加到可信文件記錄中，并將所述文件存入可信文件緩存。

上述基于虛擬化環(huán)境的查殺方法及裝置，先通過(guò)獲取的文件信息獲得文件標(biāo)識(shí)，然后根據(jù)文件標(biāo)識(shí)值從可信文件記錄中查找該文件的信息，當(dāng)可信文件記錄沒有對(duì)應(yīng)的可信項(xiàng)時(shí)，才送往安全虛擬機(jī)進(jìn)行進(jìn)一步檢測(cè)，并非直接送往安全虛擬機(jī)檢測(cè)。在安全虛擬機(jī)返回結(jié)果安全時(shí)，將文件標(biāo)識(shí)添加到可信文件記錄中，下次查找時(shí)即可以找到對(duì)應(yīng)的可信項(xiàng)，確認(rèn)其為安全文件。同時(shí)，將文件存入可信文件緩存，下次訪問(wèn)該文件時(shí)，可直接從緩存中取用文件。該方法和裝置利用可信文件記錄的方法，減少了文件送往安全虛擬機(jī)進(jìn)行檢測(cè)的次數(shù)，使得可信文件不用每次都經(jīng)過(guò)同樣的檢測(cè)，并且可以直接從可信文件緩存中取用文件，提高了文件訪問(wèn)效率。

附圖說(shuō)明

圖1為一個(gè)實(shí)施例中的基于虛擬化環(huán)境的查殺方法的流程圖；

圖2為一個(gè)實(shí)施例中的將多個(gè)第一成員與多個(gè)所述第二成員按照排列順序一一進(jìn)行比較的流程示意圖；

圖3為一個(gè)實(shí)施例中的基于虛擬化環(huán)境的查殺裝置的結(jié)構(gòu)框圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

使用無(wú)代理模式的防病毒方法中，物理主機(jī)上配置有安全虛擬機(jī)及虛擬機(jī)客戶端，安全虛擬機(jī)對(duì)虛擬客戶端進(jìn)行安全防護(hù)。在虛擬機(jī)客戶端中將有與PCI(Peripheral Component Interconnection，外圍設(shè)備互聯(lián))插槽連接的設(shè)備(簡(jiǎn)稱PCI設(shè)備)。一臺(tái)計(jì)算機(jī)可以連接多個(gè)PCI設(shè)備，每臺(tái)PCI設(shè)備需要相應(yīng)的驅(qū)動(dòng)程序來(lái)與計(jì)算機(jī)進(jìn)行通訊。其中有一塊特殊的PCI設(shè)備用于客戶機(jī)與安全虛擬機(jī)之間的通信。相應(yīng)地，此PCI設(shè)備具有PCI驅(qū)動(dòng)程序完成這一任務(wù)。所述PCI驅(qū)動(dòng)程序能夠捕獲系統(tǒng)內(nèi)對(duì)文件的操作(如文件的打開、復(fù)制、讀寫等)，也可以先將文件和文件的相關(guān)信息通過(guò)此驅(qū)動(dòng)程序發(fā)送給安全虛擬機(jī)，從而進(jìn)行檢測(cè)或其他防病毒相關(guān)的工作。

如圖1所示，在一個(gè)實(shí)施例中，提供了一種基于虛擬化環(huán)境的查殺方法，該方法具體包括以下步驟：

步驟102，接收文件的訪問(wèn)請(qǐng)求。

在步驟102中，客戶端程序例如文件監(jiān)控程序或者文件掃描程序等捕獲到對(duì)文件的訪問(wèn)請(qǐng)求。

步驟104，根據(jù)文件的訪問(wèn)請(qǐng)求獲得文件信息。

在步驟104中，對(duì)即將訪問(wèn)的文件進(jìn)行安全檢測(cè)來(lái)確定文件是否被病毒感染。進(jìn)行安全檢測(cè)需要文件信息，客戶端程序通過(guò)調(diào)用線程、函數(shù)或者其他方法獲取所需的文件信息。

步驟106，根據(jù)所述文件信息，獲得文件標(biāo)識(shí)。

在步驟106中，客戶端在獲取到所需的文件信息之后，可通過(guò)數(shù)學(xué)計(jì)算、函數(shù)運(yùn)算或者其他方式獲得文件標(biāo)識(shí)，作為該文件的唯一標(biāo)識(shí)，用于與其他文件區(qū)分。

步驟108，根據(jù)所述文件標(biāo)識(shí)在可信文件記錄中查找對(duì)應(yīng)的可信項(xiàng)。

在步驟108中，客戶端可通過(guò)將該文件標(biāo)示值與可信文件記錄中的可信項(xiàng)進(jìn)行一一比對(duì)，以在可信文件記錄中查找該文件標(biāo)識(shí)的對(duì)應(yīng)項(xiàng)是否存在，來(lái)初步判定所述文件是否安全。

步驟110，接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果。

在步驟110中，安全虛擬機(jī)進(jìn)行安全檢測(cè)后將把結(jié)果返回給客戶端，客戶端接收安全虛擬機(jī)返回的結(jié)果。

步驟112，若未查找到所述對(duì)應(yīng)項(xiàng)，則將所述文件送往安全虛擬機(jī)進(jìn)行檢測(cè)。

在步驟112中，若客戶端的查找結(jié)果為可信文件記錄中不存在與所述文件標(biāo)識(shí)相應(yīng)的相應(yīng)時(shí)，則將文件發(fā)送給安全虛擬機(jī)，由安全虛擬機(jī)進(jìn)行檢測(cè)。安全虛擬機(jī)在進(jìn)行文件檢測(cè)后將會(huì)返回結(jié)果。相應(yīng)的，若可信文件記錄中存在與該文件標(biāo)識(shí)相對(duì)應(yīng)的對(duì)應(yīng)項(xiàng)，則不需要進(jìn)行排查，可以直接訪問(wèn)文件。

步驟114，若所述檢測(cè)結(jié)果為文件安全，則將所述文件標(biāo)識(shí)添加到可信文件記錄中，并將所述文件存入可信文件緩存。

在步驟114中，客戶端接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果，若檢測(cè)結(jié)果為文件安全，則將所述文件標(biāo)識(shí)添加到可信文件記錄中來(lái)記錄此文件是安全的，將文件存入可信文件緩存以便下次訪問(wèn)時(shí)取用。此時(shí)，安全的文件可以直接進(jìn)行訪問(wèn)。

具體的：

在一個(gè)實(shí)施例中，步驟104所述的文件信息包括但不限于：文件的路徑和文件的大小。文件的路徑通常是字符串的形式表達(dá)的文件絕對(duì)路徑，文件的大小通常是以KB為單位的數(shù)值。所述文件信息的其他參數(shù)還可以包括文件的類型，創(chuàng)建時(shí)間，修改時(shí)間等。在本實(shí)施例中，僅以文件的路徑和文件的大小作為文件信息。

在一個(gè)實(shí)施例中，步驟106所述的文件信息通常在消息或參數(shù)中以字符串或者數(shù)值的方式保存?zhèn)鬟f，其也可以被轉(zhuǎn)換成字符串?？梢酝ㄟ^(guò)字符串拼接函數(shù)、其他函數(shù)或者其他計(jì)算方法將文件信息中所包含的字符拼接成一個(gè)字符串。對(duì)拼接后形成的字符串，進(jìn)行哈希運(yùn)算，即得到所述文件標(biāo)識(shí)。在本實(shí)施例中，哈希運(yùn)算可以是采取任意加密算法的運(yùn)算或任意其他算法。

在一個(gè)實(shí)施例中，步驟108中所述的可信文件記錄包括多個(gè)可信項(xiàng)，所述可信項(xiàng)按照樹狀結(jié)構(gòu)排列。在本實(shí)施例中，可信文件記錄按照紅黑樹結(jié)構(gòu)組織，利于提高查找效率?？尚盼募涗浿械拿總€(gè)可信項(xiàng)對(duì)應(yīng)紅黑樹中的一個(gè)節(jié)點(diǎn)，例如子節(jié)點(diǎn)或葉節(jié)點(diǎn)。

當(dāng)開始根據(jù)文件標(biāo)識(shí)查找可信文件記錄之前，可先將文件標(biāo)識(shí)進(jìn)行一次哈希運(yùn)算，來(lái)確定從紅黑樹中的哪一個(gè)節(jié)點(diǎn)開始進(jìn)行查找，以縮小查找范圍、加快查找速度，提高查殺效率。之后，對(duì)此節(jié)點(diǎn)所包含的所有子節(jié)點(diǎn)開始進(jìn)行查找，查找過(guò)程如下：

首先，將所述文件標(biāo)識(shí)拆分為多個(gè)第一成員，并以相同的拆分方式將可信項(xiàng)拆分為多個(gè)第二成員。所述的拆分方法可以是通過(guò)現(xiàn)有函數(shù)或者是其他計(jì)算方法。本實(shí)施例中，為了說(shuō)明方便，文件標(biāo)識(shí)的拆分結(jié)果稱作第一數(shù)值組，可信項(xiàng)拆分后的結(jié)果稱作第二數(shù)值組，這兩個(gè)均為兩個(gè)字符串。本實(shí)施例中只用拆分結(jié)果為兩個(gè)的情況舉例說(shuō)明。但應(yīng)注意，本發(fā)明實(shí)施時(shí)，還會(huì)有拆分結(jié)果為兩個(gè)以上的情況。拆分后的結(jié)果可以為非字符串，比如整形、浮點(diǎn)數(shù)、字符或用戶自定義的類型等多種類型。

拆分后的數(shù)值為兩組，即第一數(shù)值組和第二數(shù)值組。每組包含被未拆分前的字符串中的一部分，作為數(shù)值組中的成員，即數(shù)值組中的所有成員按照一定順序排列組合后可以形成未拆分前的字符串。字符串是按順序被拆分，即若原字符串是a0c1e2g，按順序拆分結(jié)果為a0c和1e2g兩個(gè)字符串。應(yīng)注意，本發(fā)明實(shí)施時(shí)，拆分結(jié)果還可能會(huì)為a0c1和e2g，以及a0、c1和e2g等多種拆分結(jié)果

同時(shí)，為了比較兩個(gè)字符串，所采用的拆分方法必須完全一致。即，所述第一數(shù)值組中的成員個(gè)數(shù)應(yīng)與第二數(shù)值組中的成員個(gè)數(shù)是相等的，且每個(gè)成員中的字符個(gè)數(shù)也應(yīng)該是分別相等的。比如，若文件標(biāo)識(shí)經(jīng)拆分后得到的第一數(shù)值組中的成員是a0c和1e2g，共兩個(gè)，第一成員包含3個(gè)字符，第二成員包含4個(gè)字符，則可信項(xiàng)經(jīng)拆分后得到的第二數(shù)值組中的成員是h9j和kl8n，共兩個(gè)，第一成員包含3個(gè)字符，第二成員包含4個(gè)字符。數(shù)值組成員個(gè)數(shù)與成員中的字符個(gè)數(shù)均為對(duì)應(yīng)相等的關(guān)系。

然后，將所述多個(gè)第一成員與多個(gè)所述第二成員按照排列順序一一進(jìn)行比較。在本實(shí)施例中，可先將第一數(shù)值組中的第一成員與第二數(shù)值組中的第一成員相比較，比較方法可以采用比較函數(shù)、其他函數(shù)或者是其他計(jì)算方法將文件標(biāo)識(shí)與可信項(xiàng)進(jìn)行對(duì)比。

具體地，如圖2所示，將拆分結(jié)果進(jìn)行比較的步驟還包括下列步驟：

步驟1002：比較第一數(shù)值組中的第一成員與第二數(shù)值組中的第一成員。

步驟1004：若第一數(shù)值組中的第一成員與第二數(shù)值組中的第一成員相等，則繼續(xù)比較第一數(shù)值組中的第二成員與第二數(shù)值組中的第二成員。

步驟1006：若第一數(shù)值組中的第二成員與第二數(shù)值組中的第二成員不相等，則未在可信文件記錄中查找到所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)。

步驟1008：比較第一數(shù)值組中的第二成員與第二數(shù)值組中的第二成員。

步驟1010：若第一數(shù)值組中的第二成員與第二數(shù)值組中的第二成員相等，則在可信文件記錄中查找到所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)。

步驟1012：若第一數(shù)值組中的第二成員與第二數(shù)值組中的第二成員不相等，則未在可信文件記錄中查找到所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)。

上述查找步驟結(jié)束之后，若所述多個(gè)第一成員組與所述多個(gè)第二成員均相同，則在可信文件記錄中查找到對(duì)應(yīng)的可信項(xiàng)。

具體為：第一數(shù)值組第一成員是a0c1，第二數(shù)值組第一成員是a0c1，第一數(shù)值組第二成員是e2g，第二數(shù)值組第二成員e2g，多個(gè)第一成員組與所述多個(gè)第二成員均相同，則在可信文件記錄中查找到對(duì)應(yīng)的可信項(xiàng)。所述查找到的可信項(xiàng)即為所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)。

在其他實(shí)施例中，若數(shù)值組包括兩個(gè)以上成員，方法同理。即，依次比較每一數(shù)值組中的相應(yīng)成員，若某一組成員之間不相等，則判定可信文件記錄中不存在與所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)，否則將一直比較，直到將最后一組成員的比較完成。若所述多個(gè)第一成員組與所述多個(gè)第二成員均相同，則在可信文件記錄中查找到對(duì)應(yīng)的可信項(xiàng)，否則，則未在可信文件記錄中查找到對(duì)應(yīng)的可信項(xiàng)。

可以理解，上述拆分文件標(biāo)識(shí)的過(guò)程只在查找開始時(shí)進(jìn)行一次，而拆分可信項(xiàng)和將拆分結(jié)果進(jìn)行比較過(guò)程在每個(gè)節(jié)點(diǎn)查找時(shí)都執(zhí)行一次，即每次查詢子節(jié)點(diǎn)都需要進(jìn)行拆分當(dāng)前被比較的可信項(xiàng)和進(jìn)行比較的過(guò)程，直到查找到所述對(duì)應(yīng)項(xiàng)或者遍歷完全部節(jié)點(diǎn)。

在一個(gè)實(shí)施例中，步驟110中所述的安全虛擬機(jī)返回的結(jié)果類型可以是整形數(shù)值(比如0或1)，也可以是布爾型變量、字符串或者是任意自定義的數(shù)據(jù)類型。所述返回結(jié)果用于表示該文件是否是安全。

在一個(gè)實(shí)施例中，步驟112所述的更新可信文件緩存可采用最近最少替換策略。即對(duì)文件被訪問(wèn)的時(shí)間進(jìn)行排序，比如升序排序，然后從排序后的結(jié)果中查找被訪問(wèn)次數(shù)最小的一條，刪除此條可信文件記錄，將剛剛判定為安全的這一條可信文件記錄存入其中。

在另外一個(gè)實(shí)施例中，步驟112中所述的可信文件緩存包括最近N個(gè)檢測(cè)結(jié)果為文件安全的可信文件，其中N為預(yù)設(shè)閾值。N的取值與實(shí)際系統(tǒng)環(huán)境相關(guān)，一般為數(shù)千條。上述可信文件緩存中的文件是安全虛擬機(jī)檢測(cè)結(jié)果為安全后的某一版本的內(nèi)容，即使文件在置入緩存后感染病毒，但只要取用的是可信文件緩存中的內(nèi)容，則能夠保證所操作的文件是安全的版本。同時(shí)，一旦該文件被感染病毒，將會(huì)從可信文件記錄及可信文件緩存中刪除其相應(yīng)的記錄和信息，保證客戶端將不會(huì)因?yàn)閷?duì)感染病毒的文件進(jìn)行操作而產(chǎn)生問(wèn)題。

當(dāng)文件不在可信文件記錄中時(shí)，若安全虛擬機(jī)檢測(cè)結(jié)果是其為安全文件，則將所述文件標(biāo)識(shí)添加到可信文件記錄中，并將所述文件存入可信文件緩存。

如圖3所示，在一個(gè)實(shí)施例中，提供了一種基于虛擬化環(huán)境的查殺裝置200的結(jié)構(gòu)框圖，該裝置包括：

訪問(wèn)請(qǐng)求接收模塊202，用于接收文件的訪問(wèn)請(qǐng)求。

文件信息獲取模塊204，用于根據(jù)文件的訪問(wèn)請(qǐng)求獲得文件信息。所述文件信息獲取模塊用于接收文件訪問(wèn)請(qǐng)求并根據(jù)文件訪問(wèn)請(qǐng)求獲得文件信息。

客戶端程序例如文件監(jiān)控程序或者文件掃描程序等捕獲到對(duì)文件的訪問(wèn)請(qǐng)求時(shí)，會(huì)對(duì)即將訪問(wèn)的文件進(jìn)行檢測(cè)來(lái)確定文件是否被病毒感染。進(jìn)行安全檢測(cè)需要文件信息，文件信息獲取模塊202可通過(guò)調(diào)用線程、函數(shù)或者其他方法獲取所需的文件信息。

文件標(biāo)識(shí)獲取模塊206，用于獲取所述文件標(biāo)識(shí)。

客戶端在獲取到所需的文件信息之后，文件標(biāo)識(shí)獲取模塊206可通過(guò)字符串拼接單元2062及哈希值計(jì)算單元2064獲得文件標(biāo)識(shí)，作為該文件的唯一標(biāo)識(shí)，用于與其他文件區(qū)分。

可信文件查找模塊208，用于查找可信文件記錄中是否有與所述文件標(biāo)識(shí)對(duì)應(yīng)的可信項(xiàng)。

可信文件查找模塊208通過(guò)在可信文件記錄中查找該文件標(biāo)識(shí)的對(duì)應(yīng)項(xiàng)是否存在，來(lái)初步判定所述文件是否安全。

文件傳送模塊210，用于在未查找到所述對(duì)應(yīng)項(xiàng)時(shí)，將文件送往安全虛擬機(jī)進(jìn)行檢測(cè)；

客戶端的查找結(jié)果為可信文件記錄中不存在與所述文件標(biāo)識(shí)相應(yīng)的相應(yīng)時(shí)，文件傳送模塊210則將文件發(fā)送給安全虛擬機(jī)，由安全虛擬機(jī)進(jìn)行檢測(cè)。安全虛擬機(jī)在進(jìn)行文件檢測(cè)后將會(huì)返回結(jié)果。

檢測(cè)結(jié)果接收模塊212，用于接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果。

安全虛擬機(jī)進(jìn)行安全檢測(cè)后將把結(jié)果返回給客戶端，檢測(cè)結(jié)果接收模塊212接收安全虛擬機(jī)返回的結(jié)果。

可信文件記錄更新模塊214，用于接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果，若檢測(cè)結(jié)果為文件安全，則將所述文件存入可信文件緩存，并更新所述可信文件記錄。

可信文件記錄更新模塊212接收所述安全虛擬機(jī)返回的檢測(cè)結(jié)果，若檢測(cè)結(jié)果為文件安全，則對(duì)該文件進(jìn)行訪問(wèn)，并將文件存入可信文件緩存。同時(shí)，可信文件記錄更新模塊212將所述文件標(biāo)識(shí)添加到可信文件記錄中來(lái)記錄此文件是安全的。

本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程，是可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)的硬件來(lái)完成，所述的程序可存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，可包括如上述各方法的實(shí)施例的流程。其中，所述的存儲(chǔ)介質(zhì)可為磁碟、光盤、只讀存儲(chǔ)記憶體(Read-Only Memory，ROM)或隨機(jī)存儲(chǔ)記憶體(Random Access Memory，RAM)等。

以上所述實(shí)施例的各技術(shù)特征可以進(jìn)行任意的組合，為使描述簡(jiǎn)潔，未對(duì)上述實(shí)施例中的各個(gè)技術(shù)特征所有可能的組合都進(jìn)行描述，然而，只要這些技術(shù)特征的組合不存在矛盾，都應(yīng)當(dāng)認(rèn)為是本說(shuō)明書記載的范圍。

以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對(duì)發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是，對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明的保護(hù)范圍。因此，本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。