发明创造名称:一种提高网络安全性的方法及装置
外观设计名称:
决定号:192657
决定日:2019-04-25
委内编号:1F264170
优先权日:
申请(专利)号:201310740440.6
申请日:2013-12-27
复审请求人:华为技术有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:刘永喆
合议组组长:薛钰
参审员:亓晓旭
国际分类号:H04L29/06
外观设计分类号:
法律依据:专利法第二十二条第三款
决定要点:如果一项权利要求请求保护的技术方案与作为最接近的现有技术的对比文件相比存在区别特征,且上述区别特征为本领域解决相同问题所采取的惯用手段,则在最接近的对比文件的基础上结合本领域的惯用手段得到权利要求的技术方案,对本领域技术人员而言是显而易见的,则该权利要求不具有突出的实质性特点和显著的进步,不具备创造性。
全文:
本复审请求涉及申请号为201310740440.6,名称为“一种提高网络安全性的方法及装置”的发明专利申请(下称本申请)。申请人为华为技术有限公司。本申请的申请日为2013年12月27日,公开日为2015年07月01日。
经实质审查,国家知识产权局实质审查部门于2018年07月12日发出驳回决定,驳回了本申请,其理由是:权利要求1-12相对于对比文件1以及本领域的惯用手段的结合不符合专利法第二十二条第三款有关创造性的规定。驳回决定中引用的对比文件为:对比文件1:“Honeynet-based collaborative defense using improved highly predictive blacklisting algorithm”,公开日为2010年08月23日。
驳回决定所依据的文本为:2018年05月11日提交的权利要求第1-12项;2014年05月08日提交的说明书第1-194段(即,第1-29页);申请日2013年12月27日提交的说明书附图第1-11页、说明书摘要及摘要附图。驳回决定所针对的权利要求内容如下:
“1. 一种提高基于Openflow协议的SDN网络安全性的方法,其特征在于,所述网络包括Openflow控制节点和与所述Openflow控制节点具有通信连接的至少两个子网,所述方法包括:
所述Openflow控制节点从所述子网的Openflow交换机发送的Openflow异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
所述Openflow控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网;
其中,在所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序之前,还包括:
确定每一个攻击源的威胁信息,其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序。
2. 根据权利要求1所述的提高基于Openflow协议的SDN网络安全性的方法, 其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
3. 根据权利要求1或2所述的提高基于Openflow协议的SDN网络安全性的方法,其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
4. 根据权利要求1所述的提高基于Openflow协议的SDN网络安全性的方法,其特征在于,
所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
5. 根据权利要求4所述的提高基于Openflow协议的SDN网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
根据,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源 的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址。
6. 根据权利要求5所述的提高基于Openflow协议的SDN网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
根据每一个子网的受害信息获取脆弱程度值;
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
7. 一种提高基于Openflow协议的SDN网络安全性的装置,其特征在于,所述网络包括Openflow控制节点和与所述Openflow控制节点具有通信连接的至少两个子网,所述装置包括:
报警信息接收模块,用于从所述子网的Openflow交换机发送的Openflow异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网;
第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
其中,所述分析模块还包括第三生成单元,用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序。
8. 根据权利要求7所述的提高基于Openflow协议的SDN网络安全性的装置,其特征在于,所述分析模块包括:
受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
9. 根据权利要求7或8所述的提高基于Openflow协议的SDN网络安全性的装置,其特征在于,所述分析模块包括:
受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
10. 根据权利要求7所述的提高基于Openflow协议的SDN网络安全性的装置,其特征在于,
所述第三生成单元,还用于利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
11. 根据权利要求10所述的提高基于Openflow协议的SDN网络安全性的装置,其特征在于,还包括:
关联模块,用于在对所述攻击源进行排序之前,根据,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址。
12. 根据权利要求11所述的提高基于Openflow协议的SDN网络安全性的装置,其特征在于,还包括:
第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值;
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年10月29日向国家知识产权局提出了复审请求,并提交了权利要求书的全文修改替换页。复审请求人对于权利要求书的修改如下:在独立权利要求1和7中添加特征“其中,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述控制节点”,删除了上述独立权利要求中的“其中,在所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序之前,还包括:确定每一个攻击源的威胁信息,其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序”,删除了上述独立权利要求中的“Openflow”,删除了上述独立权利要求主题名称中的“基于Openflow协议的SDN”,并对从属权利要求中的主题名称进行了适应性修改。
复审请求人认为:(1)本申请权利要求1可以基于现有已部署的SDN网络架构来实现其目的,而对比文件1是特意部署了一套新的蜜网系统来实现;对比文件1不同于本申请权利要求1中的IDS进行攻击监测,由子网交换机进行攻击数据的获取,两者方法和过程的不同也是因为两个方案实现的网络结构和部署不同,在对比文件1的方案的基础上本领域技术人员无法想到不采用蜜网系统来进行攻击的检测及攻击数据的获取而基于现有网络架构来实现;(2)对比文件1最终是将生成的黑名单反馈给受到攻击的子网。基于对比文件1的技术方案,是无法获知没有反馈被攻击信息的子网(即没有被攻击的子网)的黑名单信息的。因此,修改后的权利要求1-12具备创造性。
经形式审查合格,国家知识产权局于2018年11月02日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年01月30日向复审请求人发出复审通知书,该复审通知书所依据的文本为:2018年10月29日提交的权利要求第1-12项;2014年05月08日提交的说明书第1-29页(即说明书第1-194段);申请日2013年12月27日提交的说明书附图第1-11页、说明书摘要及摘要附图。该复审通知书所引用的对比文件与驳回决定所引用的对比文件相同,为:
对比文件1:“Honeynet-based collaborative defense using improved highly predictive blacklisting algorithm”,公开日为2010年08月23日。
复审通知书中指出:权利要求1-12相对于对比文件1以及本领域的惯用手段的结合不符合专利法第二十二条第三款有关创造性的规定。并对复审请求人的意见陈述作出了针对性答复。
复审请求人于2019年03月14日提交了意见陈述书和权利要求书的全文修改替换页。复审请求人对于权利要求书的具体修改如下:在独立权利要求1和7中分别添加从属权利要求4和10的部分附加技术特征“所述威胁程度由所述Openflow控制节点根据所述攻击源进行攻击的持续时间、来自所述攻击源的数据量、被所述攻击源攻击的子网数量和被所述攻击源攻击的端口数量中的一种或多种参数来确定”,将上述独立权利要求中的“控制节点”修改为“Openflow控制节点”,并在上述独立权利要求主题名称中增加“基于Openflow协议的SDN”。修改后的独立权利要求1和7的内容如下:
“1. 一种提高基于Openflow协议的SDN网络安全性的方法,其特征在于,所述网络包括Openflow控制节点和与所述Openflow控制节点具有通信连接的至少两个子网,所述方法包括:
所述Openflow控制节点从所述子网的交换机发送的异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
所述Openflow控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
所述Openflow控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网;
其中,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述Openflow控制节点;
所述威胁程度由所述Openflow控制节点根据所述攻击源进行攻击的持续时间、来自所述攻击源的数据量、被所述攻击源攻击的子网数量和被所述攻击源攻击的端口数量中的一种或多种参数来确定。”
“7. 一种提高基于Openflow协议的SDN网络安全性的装置,其特征在于,所述网络包括Openflow控制节点和与所述Openflow控制节点具有通信连接的至少两个子网,所述装置包括:
报警信息接收模块,用于从所述子网的交换机发送的异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
所述威胁程度由所述Openflow控制节点根据所述攻击源进行攻击的持续时间、来自所述攻击源的数据量、被所述攻击源攻击的子网数量和被所述攻击源攻击的端口数量中的一种或多种参数来确定;
发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网;
其中,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述Openflow控制节点。”
复审请求人在意见陈述中指出:(1)本申请的方案是基于现有网络以及协议实现的,而对比文件1的方案是,在现有网络中增加了蜜网,也就是对现有网络的改进。因此,对比文件1的方案无法给出在不改进网络结果的前提下进行网络防御的技术启示;(2)权利要求1中的识别信息可以用来确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量,而通过单纯的子网地址和端口无法直接得到被攻击的子网数量;(3)本申请方案的黑名单生成方法与对比文件1的方法不同。因此,权利要求1-12具备创造性。
合议组于2019年05月30日向复审请求人发出复审通知书,该复审通知书所依据的文本为:2019年03月14日提交的权利要求第1-12项;2014年05月08日提交的说明书第1-29页;申请日2013年12月27日提交的说明书附图第1-11页、说明书摘要及摘要附图。该复审通知书所引用的对比文件与驳回决定和前次复审通知书所引用的对比文件相同,即对比文件1。合议组在该复审通知书中指出:权利要求1-12相对于对比文件1以及本领域惯用手段的结合不具备专利法第二十二条第三款规定的创造性。并对复审请求人的意见陈述作出了针对性答复。
复审请求人于2019年07月12日和2019年07月15日分别提交了意见陈述书和权利要求书的全文修改替换页,两次提交的意见陈述书和权利要求书的全文修改替换页相同。复审请求人对于权利要求书的具体修改如下:在独立权利要求1和7中分别添加技术特征“所述Openflow控制节点根据所述报警信息确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;所述Openflow控制节点根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;对于一个被攻击的子网,所述Openflow控制节点根据所述每一个攻击源的威胁值和所述每一个攻击源与所有被攻击子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度”;分别删除独立权利要求1和7中的“所述威胁程度由所述Openflow控制节点根据所述攻击源进行攻击的持续时间、来自所述攻击源的数据量、被所述攻击源攻击的子网数量和被所述攻击源攻击的端口数量中的一种或多种参数来确定”;将上述独立权利要求中的“威胁程度”修改为“所述危险程度”。修改后的独立权利要求1和7的内容如下:
“1. 一种提高网络安全性的方法,其特征在于,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述方法包括:
所述控制节点从所述子网的交换机发送的异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
所述控制节点利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
所述控制节点将所获取的黑名单发送到所述网络系统中至少一个尚未受到攻击的子网;
其中,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述控制节点。
2. 根据权利要求1所述的提高网络安全性的方法,其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
3. 根据权利要求1或2所述的提高网络安全性的方法,其特征在于,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,包括:
利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行 排序。
4. 根据权利要求1所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,进一步包括:
确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
相应地,所述利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单,包括:利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
5. 根据权利要求4所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
根据rs=[(I-aW)-1-I]?bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址;
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单,包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
6. 根据权利要求5所述的提高网络安全性的方法,其特征在于,在对所述攻击源进行排序之前,还包括:
确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
根据每一个子网的受害信息获取脆弱程度值;
相应地,所述利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单包括:
对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;
按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
7. 一种提高网络安全性的装置,其特征在于,所述网络包括控制节点和与所述控制节点具有通信连接的至少两个子网,所述装置包括:
报警信息接收模块,用于从所述子网的交换机发送的异步消息中获取报警信息;所述报警信息包括对所述至少两个子网中的子网进行攻击的攻击源的地址信息和所述至少两个子网中受到攻击的子网的识别信息;
分析模块,用于利用所述报警信息,按照威胁程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单;
发布模块,用于将所获取的黑名单发送到所述网络系统中至少一个尚未受 到攻击的子网;
其中,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述控制节点。
8. 根据权利要求7所述的提高网络安全性的装置,其特征在于,所述分析模块包括:
受害子网统计单元,用于利用所述受到攻击的子网的识别信息,确定被与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的子网数量;
第一生成单元,用于按照被攻击的子网数量的由大到小的顺序,对各个攻击源进行排序。
9. 根据权利要求7或8所述的提高网络安全性的装置,其特征在于,所述分析模块包括:
受害端口统计单元,用于利用所述受到攻击的子网的识别信息,确定与所述攻击源的地址信息对应的多个攻击源中的各个攻击源攻击的端口的数量;
第二生成单元,用于按照各个攻击源攻击的端口的数量的由大到小的顺序,对各个攻击源进行排序。
10. 根据权利要求7所述的提高网络安全性的装置,其特征在于,进一步包括:
第一信息采集模块,用于在对所述攻击源进行排序之前,确定每一个攻击源的威胁信息:其中,所述威胁信息包括:所述一个攻击源进行攻击的持续时间、来自所述一个攻击源的数据量、被所述一个攻击源攻击的子网数量和被所述一个攻击源攻击的端口数量;
第一攻击源评估模块,用于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值;
所述分析模块还包括第三生成单元,用于利用所述报警信息,按照各个攻击源的威胁值由大到小的顺序,对各个攻击源进行排序,并将排序结果作为黑名单。
11. 根据权利要求10所述的提高网络安全性的装置,其特征在于,还包括:
关联模块,用于在对所述攻击源进行排序之前,根据rs=[(I-aW)-1-I]?bs,确定每一个攻击源与所有被攻击的子网之间的关联值,rs表示一个攻击源与所有被攻击的子网之间的关联值,bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量,s表示这一个攻击源的标识,a表示这一个攻击源的威胁值,I表示单位矩阵,W表示所述攻击源的地址;
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。
12. 根据权利要求11所述的提高网络安全性的装置,其特征在于,还包括:
第二信息采集模块,用于在对所述攻击源进行排序之前,确定每一个子网的受害信息,所述受害信息包括:攻击一个子网的攻击源的数量、这一个子网被攻击的端口数量、这一个子网被攻击的持续时间和这一个子网接收到的来自各个攻击源的数据量之和;
子网评估模块,用于根据每一个子网的受害信息获取脆弱程度值;
相应地,所述第三生成单元,还用于对于一个被攻击的子网,利用攻击所述子网的每一个攻击源的威胁值和攻击所述子网的每一个攻击源与所述子网之间的关联值和所述子网的脆弱程度值,确定攻击所述子网的每一个攻击源对于 所述的子网的危险程度;并按照危险程度由高到低的顺序对攻击所述子网的每一个攻击源进行排序并生成对应于所述子网的黑名单。”
复审请求人在意见陈述中指出:(1)本申请方案的黑名单确定方法与对比文件1不同;(2)本申请方案中的关联值与对比文件1中的关联值不同;(3)对比文件1中部署具有蜜罐的蜜墙,形成了对于现有网络结构的改变,因此,本领域技术人员无法从对比文件1的方案获取不改进网络结构进行网络防御的启示。因此,权利要求1-12具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人在2019年07月15日提交意见陈述书同时提交了权利要求书的全文修改替换页。本复审请求审查决定依据的审查文本为:2019年07月15日提交的权利要求第1-12项;2014年05月08日提交的说明书第1-29页;申请日2013年12月27日提交的说明书附图第1-11页、说明书摘要及摘要附图。经审查,上述文本的修改之处符合专利法第三十三条的规定。
(二)关于专利法第二十二条第三款
专利法第二十二条第三款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定引用的对比文件与历次复审通知书和驳回决定引用的对比文件相同,为:
对比文件1:“Honeynet-based collaborative defense using improved highly predictive blacklisting algorithm”,公开日为2010年08月23日。
1、权利要求1请求保护一种提高网络安全性的方法,对比文件1公开了一种基于蜜网的使用改进高预测性黑名单生成IHPB算法的协同式防御方法,并具体公开了以下内容(参见对比文件1的第2页第II节、第III节,以及图1):如图1所示的基于蜜网的协同式防御系统HCDF,一个大型网络根据不同的IP网段被分割成若干个子网,所述网络中包括数据中心(相当于控制节点)和与所述数据中心具有通信连接的至少两个子网,其中每个子网中部署有由若干个蜜罐组成的密网,用于捕获攻击不同子网的攻击源;所有的蜜罐配置在蜜墙后,蜜墙捕获攻击不同子网的攻击源,并依次将其发往数据中心,等待被IHPB算法处理,因此,数据中心执行IHPB算法以获取黑名单,这属于隐含公开;根据HCDF可自动为单个子网生成高度个性化和预测性的黑名单,之后个性化的黑名单将被返回至各子网的防火墙以对将来可能遭遇的新的攻击进行防御;IHPB算法的基本思想是通过将每个子网遇到的历史攻击者相关联,为每个子网生成高度个性化和预测性的黑名单,以这种方式不同的网络可以以协作的方式防御新的攻击者;基于其历史相关性,一个子网将通知其他子网近期可能遇到的最可能的攻击者(可见被通知的其他子网尚未受到攻击,因此相当于控制节点将所获取的黑名单发送到所述网络系统中的至少一个尚未受到攻击的子网),减少了防御新的攻击者时的延时;A数据预处理阶段:对蜜网在每个子网中捕获的攻击数据进行处理以统一IHPB的输入格式:将攻击事件定义为5元组,即攻击者IP(相当于对所述至少两个子网中的子网进行攻击的攻击源的地址信息)、被攻击的子网地址、端口(被攻击的子网地址和端口相当于所述至少两个子网中受到攻击的子网的识别信息)、持续时间、总数据包大小;C攻击源威胁度分析:当衡量各个攻击源的威胁程度时考虑如下参数:包括被一个攻击源攻击的子网数量I(s)、被一个攻击源攻击的端口数量P(s)、所有攻击的平均持续时间T(s)等(所有攻击的平均持续时间必然是由每一个攻击源进行攻击的持续时间相加求平均计算得出,可见其必然包括一个攻击源进行攻击的持续时间,这属于隐含公开),表3示出了被各个攻击源攻击的子网数量和端口数量;通过对上述参数进行中心化、标准化和加权计算得到每一个攻击源的威胁值Fi(相当于根据每一个攻击源的威胁信息获取每一个攻击源的威胁值); E最终黑名单生成:对每个子网,根据各个攻击源与所述子网的关联度从大到小排序,生成c*Ls大小的备选黑名单;对这c*Ls个攻击源,根据攻击所述子网的每一个攻击源的威胁值对备选黑名单进行调整,选取黑名单中的前L个攻击源作为每个子网的最终的名单,L值的大小与每个子网的脆弱程度值有关,越脆弱的子网需要更长的黑名单(相当于按照危险程度的由高到低的顺序,对所述攻击源进行排序,并将排序结果作为黑名单)。
由此可知,权利要求1与对比文件1相比,区别特征在于:(1)网络为基于Openflow协议的SDN网络,控制节点为Openflow控制节点,所述Openflow控制节点从所述子网的交换机发送的异步消息中获取报警信息,并利用所述报警信息生成黑名单,所述异步消息是由所述子网的交换机接收到子网的入侵检测系统IDS受到攻击的消息后,发送给所述Openflow控制节点;(2)确定威胁程度的参数还包括来自攻击源的数据量:(3)对比文件1中是根据各个攻击源与子网的关联度生成备选黑名单,然后根据每个攻击源的威胁值来调整备选黑名单,从而确定每个子网的最终黑名单;而本申请是根据每一个攻击源的威胁值和所述每一个攻击源与所有被攻击子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度,用于生成黑名单。
基于上述区别特征,可以确定权利要求1实际解决的技术问题是:如何更好地控制网络和获取网络受到攻击的消息、如何确定危险程度以及如何生成黑名单。
对于区别特征(1),SDN网络是本领域常用的网络架构,而基于OpenFlow协议实现SDN网络以在控制节点上实现数据的转发控制是本领域技术人员所熟知的;而对比文件1已经公开了基于蜜网的使用改进高预测性黑名单生成IHPB算法的协同式防御方法,因此在面对如何更好地控制网络的技术问题时,本领域技术人员有动机地采用基于Openflow协议的SDN网络以及Openflow控制节点,实现对网络的控制,这是本领域解决如何更好地控制网络问题的惯用手段。并且,在通信安全领域,入侵检测系统IDS可以对网络传输进行及时监视,在发现可疑传输或者攻击源时发出警报是本领域技术人员的常规方式,网络交换机是为子网络中提供更多的连接端口,实现子网与其他节点的数据传输,这也是本领域技术人员所熟知的;而对比文件1已经公开了基于蜜网的协同式防御系统HCDF对数据预处理以得到IHPB的输入格式,该格式中包括攻击者IP、被攻击的子网地址、端口,数据中心执行IHPB算法以获取黑名单,即相当于控制节点获取报警信息,并利用所述报警信息生成黑名单,因此在面对如何获取网络受到攻击的消息的技术问题时,本领域技术人员有动机地在子网的入侵检测系统IDS受到攻击后,将攻击源的地址信息和受到攻击的子网的识别信息作为报警信息,通过子网的交换机发送给控制节点,以便于控制节点利用所述报警信息生成黑名单,从而实现获取网络受到攻击的消息,这是本领域解决如何获取网络受到攻击的消息问题的惯用手段。
对于区别特征(2),本领域技术人员知晓,攻击源进行攻击的持续时间、来自所述攻击源的数据量、被所述攻击源攻击的子网数量和被所述攻击源攻击的端口数量,都是本领域确定攻击源威胁信息的相关参数;因此,对比文件1已经公开了确定攻击源的威胁信息的参数包括被一个攻击源攻击的子网数量I(s)、被一个攻击源攻击的端口数量P(s)、所有攻击的平均持续时间T(s)(隐含公开包括一个攻击源进行攻击的持续时间)、被各个攻击源攻击的子网次数和端口次数的基础上,本领域技术人员有动机将来自一个攻击源的数量值也作为确定攻击源的危险程度的参数,从而确定其威胁值,这是本领域解决如何确定危险程度的惯用手段。
对于区别特征(3),本领域技术人员知晓,在生成黑名单的过程中,可以根据一个参数来生成初步的黑名单,进而通过其他参数来调整从而生成最终的黑名单;也可以根据相关参数进行运算获得一个参数用于生成最终的黑名单,这是本领域技术人员可以根据实际情况进行选择的;因此,对比文件1已经公开了根据各个攻击源与子网的关联度生成备选黑名单,然后根据每个攻击源的威胁值来调整备选黑名单,从而确定每个子网的最终黑名单的基础上,本领域技术人员有动机将不同参数进行运算处理,得到进一步的参数值用以生成黑名单,即根据每一个攻击源的威胁值和所述每一个攻击源与所有被攻击子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度,用于生成黑名单,这是本领域解决如何生成黑名单问题的惯用手段。
因此,在对比文件1的基础上结合本领域的惯用手段,得到权利要求1请求保护的技术方案,对于本领域技术人员来说是显而易见的,权利要求1不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
2.权利要求2引用权利要求1,对比文件1还公开了(参见对比文件1正文第III节):B关联度排序:有8个攻击源s1-s8;C攻击源威胁程度:当衡量各个攻击源的威胁程度时考虑如下度量:包括被一个攻击源攻击的子网数量I(s)等,表3示出了被各个攻击源攻击的子网次数。因此,在对比文件1公开的上述内容的基础上,本领域技术人员可以将被各个攻击源攻击的子网次数的从大到小的顺序作为对各个攻击源进行排序时的依据,从而简化攻击源的威胁程度排序方式,这是本领域技术人员解决如何生成个性化黑名单问题的惯用手段。因此,在其引用的权利要求不具备创造性时,权利要求2所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
3.权利要求3引用权利要求1或2,对比文件1公开了(参见对比文件1正文第III节):B关联度排序:有8个攻击源s1-s8;C攻击源威胁程度:当衡量各个攻击源的威胁程度时考虑如下度量:包括被一个攻击源攻击的端口数量P(s)等,表3示出了被各个攻击源攻击的端口次数。因此,在对比文件1公开的上述内容的基础上,本领域技术人员可以将被各个攻击源攻击的端口次数的从大到小的顺序作为对各个攻击源进行排序时的依据,从而简化攻击源的威胁程度排序方式,这是本领域技术人员解决如何生成个性化黑名单问题的惯用手段。因此,在其引用的权利要求不具备创造性时,权利要求3所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
4.权利要求4引用权利要求1,对比文件1公开了(参见对比文件1正文第III节):B关联度排序:有8个攻击源s1-s8;C攻击源威胁度分析:当衡量各个攻击源的威胁程度时考虑如下参数:包括被一个攻击源攻击的子网数量I(s)、被一个攻击源攻击的端口数量P(s)、所有攻击的平均持续时间T(s)等,必然包括一个攻击源进行攻击的持续时间,这属于隐含公开,表3示出了被各个攻击源攻击的子网次数和端口次数;E最终黑名单生成:对每个子网,根据各个攻击源与其的关联度从大到小排序,生成c*Ls大小的备选黑名单;对这c*Ls个攻击源,根据攻击所述子网的每一个攻击源的威胁程度对备选黑名单进行调整,选取黑名单中的前L个攻击源作为每个子网的最终的名单,L值的大小与每个子网的脆弱程度值有关,越脆弱的子网需要更长的黑名单。可见,对比文件1已经公开了确定攻击源的威胁信息并根据攻击源与其关联度大小排序进而调整黑名单,因而为了生成个性化黑名单,本领域技术人员有动机将按照各个攻击源的威胁值从大到小的顺序作为对各个攻击源进行排序时的依据,从而简化攻击源的排序方式,实现个性化黑名单的生成。因此,在其引用的权利要求不具备创造性时,权利要求4所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
5.权利要求5引用权利要求4,对比文件1公开了(参见对比文件1正文第III节):B关联值排序:有8个攻击源s1-s8,因此s表示攻击源的标识,10个子网v1-v10;根据公式(1)确定每一个攻击源与所有被攻击的子网之间的关联值,其中rs表示s与vi之间的关联性等级(相当于rs表示一个攻击源与所有被攻击的子网之间的关联值),bs表示s攻击了哪些v,如果bis=1,即vi被s攻击;如果bis=0,即vi未被s攻击(相当于bs表示这一个攻击源与所有被攻击的子网之间的攻击关系的布尔向量),α表示考虑相关传播的衰减系数(相当于表示这一个攻击源的威胁值),W表示所述攻击源的地址,而I表示单位矩阵属于隐含公开;C攻击源威胁程度分析:当衡量各个攻击源的威胁度时考虑如下度量:被一个攻击源攻击的子网数量I(s)、被一个攻击源攻击的端口数量P(s)、所有攻击的平均持续时间T(s)、通过来自所述一个攻击源攻击所述子网的次数区分的数据包尺寸B(s)(而必然包括一个攻击源进行攻击的持续时间,这属于隐含公开);通过对上述参数的中心化、标准化和加权计算得到每一个攻击源的威胁值Fi(相当于威胁值),如表4所示;E最终黑名单生成:对每个子网,根据各个攻击源与其的关联度从大到小排序,生成c*Ls大小的备选黑名单;对这c*Ls个攻击源,根据攻击所述子网的每一个攻击源的威胁程度对备选黑名单进行调整,选取黑名单中的前L个攻击源作为每个子网的最终的名单,L值的大小与每个子网的脆弱程度值有关,越脆弱的子网需要更长的黑名单。可见,对比文件1已经公开了确定攻击源的威胁信息并根据攻击源与其关联度大小排序进而调整黑名单,因而为了生成个性化黑名单,本领域技术人员有动机根据威胁值、关联值确定相应的危险程度,将危险程度的从大到小的顺序作为对各个攻击源进行排序时的依据,从而简化攻击源的排序方式,实现个性化黑名单的生成。因此,在其引用的权利要求不具备创造性时,权利要求5所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
6.权利要求6引用权利要求5,对比文件1还公开了(参见对比文件1正文第III节):B关联值排序:有8个攻击源s1-s8, 10个子网v1-v10;根据公式(1)确定每一个攻击源与所有被攻击的子网之间的关联值;C攻击源威胁程度分析:当衡量各个攻击源的威胁度时考虑如下度量:被一个攻击源攻击的子网数量I(s)、被一个攻击源攻击的端口数量P(s)、所有攻击的平均持续时间T(s)、通过来自所述一个攻击源攻击所述子网的次数区分的数据包尺寸B(s),而必然包括一个攻击源进行攻击的持续时间,这属于隐含公开;通过对上述参数的中心化、标准化和加权计算得到每一个攻击源的威胁值Fi(相当于威胁值),如表4所示;D子网的脆弱程度值:根据每一个子网的以下4个度量(相当于受害信息)获取脆弱程度值(相当于根据每一个子网的受害信息获取脆弱程度值):攻击一个子网的攻击源的数量I(v)、这一个子网被攻击的端口数量P(v)、这一个子网被攻击的平均持续时间T(v)和这一个子网接受到的所有攻击中的数据包平均尺寸B(v)(相当于这一个子网接收到的来自各个攻击源的数据量之和),其中每个子网的脆弱程度值如表6所示;E最终黑名单生成:对每个子网,根据各个攻击源与其的关联度从大到小排序,生成c*Ls大小的备选黑名单;对这c*Ls个攻击源,根据攻击所述子网的每一个攻击源的威胁程度对备选黑名单进行调整,选取黑名单中的前L个攻击源作为每个子网的最终的名单,L值的大小与每个子网的脆弱程度值有关,越脆弱的子网需要更长的黑名单。可见,对比文件1已经公开了确定攻击源的威胁信息、关联值和子网的脆弱程度并进行排序进而调整黑名单,因而为了生成个性化黑名单,本领域技术人员有动机根据威胁值、关联值和子网的脆弱程度确定相应的危险程度,将危险程度的从大到小的顺序作为对各个攻击源进行排序时的依据,从而简化攻击源的排序方式,实现个性化黑名单的生成。因此,在其引用的权利要求不具备创造性时,权利要求6所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
7. 权利要求7-12是与方法权利要求1-6相对应的装置权利要求,而通过设置对应的功能模块来完成相应的功能是本领域的惯用手段,因此基于与评述权利要求1-6相类似的理由,权利要求7-12所要求保护的技术方案也不具有突出的实质性特点和显著的进步,不具备专利法第二十二条第三款规定的创造性。
(三)关于复审请求人相关意见的答复
对于复审请求人的意见,合议组认为:(1)对比文件1公开了:最终黑名单生成:对每个子网,根据各个攻击源与所述子网的关联度从大到小排序,生成c*Ls大小的备选黑名单;对这c*Ls个攻击源,根据攻击所述子网的每一个攻击源的威胁程度对备选黑名单进行调整,选取黑名单中的前L个攻击源作为每个子网的最终的名单(参见对比文件1的第2页第III节)。因此,对比文件1中是根据各个攻击源与子网的关联度生成备选黑名单,然后根据每个攻击源的威胁值来调整备选黑名单,从而确定每个子网的最终黑名单;本申请是根据每一个攻击源的威胁值和所述每一个攻击源与所有被攻击子网之间的关联值,确定攻击所述子网的每一个攻击源对于所述的子网的危险程度,用于生成黑名单。可见,对比文件1和本申请生成黑名单所采用的参数是相同的,都是根据攻击源的威胁值和每一个攻击源与被攻击子网之间的关联值进行确定,其区别仅仅在于对参数的处理方式不同,而这是本领域技术人员在实际实施过程中可以进行选择的,属于本领域技术人员的惯用手段。(2)对比文件1中的关联值为对各个攻击源与被攻击子网的关联度,本申请中的关联值为每一个攻击源与所有被攻击子网之间的关联度,因此,两者都是度量攻击源与子网之间的关联程度,用以确定子网被攻击的可能性,因此,对比文件1中的关联值与本申请中的关联值相同。(3)在通信安全领域,入侵检测系统IDS可以对网络传输进行及时监视,在发现可疑传输或者攻击源时发出警报是本领域技术人员的常规方式,网络交换机是为子网络中提供更多的连接端口,实现子网与其他节点的数据传输,这也是本领域技术人员所熟知的;而对比文件1的方法将大型网络划分为若干个子网,各个子网中部署有配置在蜜墙后的蜜罐,并通过蜜墙捕获攻击源发送给数据中心进行处理生成高度个性化和预测性的黑名单,并被返回至各子网的防火墙以对将来可能遭遇的新的攻击进行防御。即,对比文件1给出了在不改进网络结构的前提下进行网络防御的技术启示,因此,本领域技术人员可以根据对比文件1公开的上述内容,在现有网络和协议的基础上,采用入侵检测系统IDS来实现对攻击消息的捕获,从而实现网络防御。
综上所述,对复审请求人的意见不予接受。
基于上述事实和理由,合议组作出如下审查决定。
三、决定
维持国家知识产权局于2018年07月12日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第四十一条第二款的规定,复审请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。