发明创造名称:一种网络流量的联动审计设备和方法
外观设计名称:
决定号:182393
决定日:2019-06-28
委内编号:1F274124
优先权日:
申请(专利)号:201610236604.5
申请日:2016-04-14
复审请求人:丽水市睿鼎知识产权咨询有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:左一
合议组组长:赵博华
参审员:吴卫民
国际分类号:H04L12/24,H04L12/26
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:如果一项权利要求的技术方案与最接近的现有技术相比存在区别特征,但该区别特征已经被其他现有技术公开,并且所起到的作用相同,对本领域技术人员而言,将上述现有技术结合可得到该权利要求的技术方案是显而易见的,则该权利要求不具备创造性。
全文:
本复审请求涉及申请号为201610236604.5,名称为“一种网络流量的联动审计设备和方法”的发明专利申请(下称本申请)。申请人为丽水市睿鼎知识产权咨询有限公司。本申请的申请日为2016年04月14日,公开日为2016年09月28日。
经实质审查,国家知识产权局实质审查部门于2019年01月18日发出驳回决定,驳回了本申请,其理由是:权利要求1-2相对于对比文件1(CN103078766A)结合对比文件2(CN102497298A)结合对比文件3(CN101826992A)不符合专利法第22条第3款的规定。驳回决定所依据的文本为2016年04月14日提交的说明书第1-42段、说明书附图1、说明书摘要和摘要附图和,2018年11月06日提交的权利要求第1-2项。驳回决定所针对的权利要求书内容如下:
“1. 一种网络流量的联动审计设备,其特征在于,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息;
所述空闲的存储空间为缓存中空闲的存储空间;
所述的网络流量的联动审计设备,其特征在于,所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中;
所述联动审计主要流程分解为网络审计设备控制流程,控制中心控制流程,以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系,以下分别详述三部分流程以及其间的联动关系:
网络审计设备控制流程中,网络审计设备采集数据包,网络审计设备对采集的数据包进行缓冲,网络审计设备分析采集到的数据包,具体通过抓包方式进行协议分析和流量监 视,网络审计设备判断目标主机的收发数据情况是否有异常,若有,网络审计设备向目标主机的审计系统发送联动请求,具体是发送查询或控制请求包;网络审计设备接收反馈的联动结果,网络审计设备处理联动结果,对该联动结果进行日志记录或报警等处理;
代理主机控制流程中,主机审计系统启动主机审计服务,主机审计系统连接控制中心,主机审计系统等待控制事件,即等待联动请求,主机审计系统收到联动请求后,进行联动处理;主机审计系统将查询、统计后的结果作为联动结果反馈;
控制中心控制流程中,控制中心启动主机网络监听,控制中心启动联动网络监听,控制中心等待联动请求,控制中心收到联动请求后,处理联动事件,得到主机控制事件,控制中心等待主机控制事件分析过程完成,控制中心发送主机控制事件,即发送联动请求,控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果,控制中心将控制事件结果整合为联动结果,控制中心向网络审计设备反馈联动结果。
2. 采用如权利要求1所述的网络流量的联动审计设备进行审计的方法,其特征在于,具体步骤如下:
(1)网络审计设备进行数据分析,发现目标主机收发的协议端口数据出现情况异常时,经由控制中心向目标主机的审计系统发送联动请求;所述数据分析具体为网络审计设备通过抓包方式进行协议分析或/和流量监视;
(2)在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和;所述预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体包括:获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值
(3)在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络流量信息,并存储统计得到的网络流量信息;
(4)在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,等待预定的等待周期,在等待该预定的等待周期到时后、且空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况,依次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计得到的网络流量信息;
(5)目标主机的审计系统根据统计得到的网络流量信息进行相应的联动处理,并经由控制中心向网络审计设备反馈联动结果;
(6)网络审计设备根据所述联动结果对目标主机进行控制。”
申请人(下称复审请求人)对上述驳回决定不服,于2019年02月18日向国家知识产权局提出了复审请求,同时修改了权利要求书。复审请求人认为:修改后的权利要求1要求保护联动思想,而对比文件1、对比文件2均未公开上述联动思想,对比文件3虽然在某种程度上公开了联动思想,但对比文件3的联动主要是系统、控制中心、代理主机之间的联动,而本申请实现了网络审计设备与主机审计系统的通信和联动审计。修改后的权利要求书仅有1项权利要求。
经形式审查合格,国家知识产权局于2019年02月25日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中坚持原驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年05月15日向复审请求人发出复审通知书,指出:复审请求人于2019年02月18日提交的权利要求1相对于对比文件1(CN103078766A)结合对比文件2(CN102497298A)结合对比文件3(CN101826992A)不符合专利法第22条第3款的规定。此外针对复审请求人的意见,合议组进一步指出:对比文件3已经公开了网络审计和主机审计相联动的技术方案,并且主要思路是提供审计服务器中部署的网络审计系统和代理主机中部署的主机审计系统相互联动方案(参见对比文件3说明书第0018段、图3)。在对比文件1公开的网络审计设备基础上结合对比文件2即可得到网络审计设备,将该设备用于对比文件3的联动审计系统中作为网络审计设备(审计服务器)即可得到权利要求1的技术方案。并且对比文件1的网络审计装置能够在进行网络流量审计之前,就根据存储空间中空闲存储空间的情况判断当前是否有足够的存储空间以存储审计得到的网络流量信息,从而避免现有技术中网络审计流量信息的丢失(参见对比文件1说明书第0049段)。即对比文件1已经能够实现本申请在其说明书发明内容部分所声称的发明目的。
复审请求人于2019年05月24日提交了意见陈述书,同时修改了权利要求书。复审请求人认为基于增加的内容因而起到了有益的技术效果。修改后的权利要求书内容如下:
“1. 一种网络流量的联动审计设备,其特征在于,包括确定模块、判断模块、审计模块和存储模块,所述确定模块、判断模块、审计模块和存储模块依次相连,所述确定模块用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小,具体为获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;所述判断模块用于在当前预定的审计周期内,根据所述确定模块确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所述确定模块确定的各个审计对象的网络流量信息所需的存储空间之和;所述审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;所述存储模块用于存储所述审计模块统计得到的网络流量信息;
所述空闲的存储空间为缓存中空闲的存储空间;
所述的网络流量的联动审计设备,所述存储模块具体用于:根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中;
所述联动审计主要流程分解为网络审计设备控制流程,控制中心控制流程,以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系,以下分别详述三部分流程以及其间的联动关系:
网络审计设备控制流程中,网络审计设备采集数据包,网络审计设备对采集的数据包进行缓冲,网络审计设备分析采集到的数据包,具体通过抓包方式进行协议分析和流量监 视,网络审计设备判断目标主机的收发数据情况是否有异常,若有,网络审计设备向目标主机的审计系统发送联动请求,具体是发送查询或控制请求包,发现某主机发出或接收的某协议端口的数据不正常,80端口HTTP、20和21端口的FTP,判断是主机被安装了本马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常;网络审计设备接收反馈的联动结果,网络审计设备处理联动结果,对该联动结果进行日志记录或报警处理,通知管理员对目标主机进行控制,否则进行常规的审计日记记录;
代理主机控制流程中,主机审计系统启动主机审计服务,主机审计系统连接控制中心,主机审计系统等待控制事件,即等待联动请求,主机审计系统收到联动请求后,进行联动处理;如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息;主机审计系统将查询、统计后的结果作为联动结果反馈;
控制中心控制流程中,控制中心启动主机网络监听,控制中心启动联动网络监听,控制中心等待联动请求,控制中心收到联动请求后,处理联动事件,得到主机控制事件,控制中心等待主机控制事件分析过程完成,控制中心发送主机控制事件,即发送联动请求,控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果,控制中心将控制事件结果整合为联动结果,控制中心向网络审计设备反馈联动结果。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
审查文本的认定
复审请求人于2019年05月24日提交了权利要求书修改替换页,经审查,上述修改文本的修改之处符合专利法第33条的规定。本复审请求审查决定所针对的审查文本为:申请日2016年04月14日提交的说明书第1-42段、说明书附图1、说明书摘要和摘要附图,2019年05月24日提交的权利要求第1项。
具体理由的阐述
本复审请求审查决定所依据的对比文件与驳回决定和复审通知书所依据的对比文件相同,即:
对比文件1:CN103078766A,公开日为2013年05月01日;
对比文件2:CN102497298A,公开日为2012年06月13日;
对比文件3:CN101826992A,公开日为2010年09月08日。
权利要求1要求保护一种网络流量的联动审计设备,该权利要求包括审计设备的模块化组成结构、联动审计主要流程、采用该设备进行审计的方法三部分内容。
对比文件1公开了一种网络流量的审计方法、装置和网络设备,并具体公开了如下技术特征(参见对比文件1说明书第0023-0049段,图1-2):网络流量审计装置包括确定模块20、判断模块21、审计模块22、存储模块23,这四个模块依次相连(参见图2、3),其中,确定模块20,用于预先确定存储各个审计对象的网络流量信息所需的存储空间的大小;具体地,确定模块20获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值;判断模块21,用于在当前预定的审计周期内,根据确定模块20确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于确定模块20确定的各个审计对象的网络流量信息所需的存储空间之和;审计模块22,用于依次统计各个审计对象在上一个审计周期内产生的网络流量信息;存储模块23,用于存储所述审计模块22统计得到的网络流量信息(参见说明书第0041-0047段);优选地,空闲的存储空间为缓存中的空闲的存储空间(参见说明书第0026段);存储模块23,还用于根据审计周期与预定的报表生成周期的对应关系,将统计得到的网络流量信息存储到与当前审计周期对应的报表生成周期的审计报表中(参见说明书第0051段)。上述装置能够实现如下类似方法(参见说明书0048段),步骤101、在当前预定的审计周期内,根据预先确定的存储各个审计对象的网络流量信息所需的存储空间的大小,判断空闲的存储空间是否大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和;其中,预先确定存储各个审计对象的网络流量信息所需的存储空间的大小的操作,具体包括:获取预先为各个审计对象分配的存储一次统计的网络流量信息所需的存储空间大小信息;或者,分别确定在当前审计周期之前的若干个审计周期内,每个审计对象的网络流量信息所占用的存储空间的和值的均值(参见说明书0024-0025段);步骤102、在判断得到空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内产生的网络流量信息,并存储统计得到的网络流量信息(参见说明书第0028段);步骤103、在判断得到空闲的存储空间小于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,等待预定的等待周期,在等待预定的等待周期到时后、且空闲的存储空间大于或等于所确定的各个审计对象的网络流量信息所需的存储空间之和的情况下,依次统计各个审计对象在上一个审计周期内和等待周期内产生的网络流量信息,并存储统计得到的网络流量信息(参见说明书第0029段)。
由此可知,对比文件1已经公开了审计设备的四个组成模块、以及采用该审计设备进行网络审计的方法,但其并未公开审计模块的具体内部结构组成和联动审计主要流程以及将该审计结构应用于联动审计系统中的联动步骤。权利要求1所请求保护的技术方案与对比文件1所公开的技术内容相比,其区别特征在于:(1)审计模块包括内容分析模块、流量统计模块、报文分类模块和报文统计模块,所述报文分类模块的输出端分别连接内容分析模块的输入端和报文统计模块的输入端,所述报文统计模块的输出端通过统计寄存器模块连接流量统计模块的输入端,所述流量统计模块和内容分析模块相连;所述报文分类模块将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块,所述统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块,所述报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块,所述报文分类模块根据网卡ip、端口、协议、长度特征把报文分类处理;(2)联动审计主要流程分解为网络审计设备控制流程,控制中心控制流程,以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系;网络审计设备控制流程中,网络审计设备采集数据包,网络审计设备对采集的数据包进行缓冲,网络审计设备分析采集到的数据包,具体通过抓包方式进行协议分析和流量监视,网络审计设备判断目标主机的收发数据情况是否有异常,若有,网络审计设备向目标主机的审计系统发送联动请求,具体是发送查询或控制请求包,发现某主机发出或接收的某协议端口的数据不正常,80端口HTTP、20和21端口的FTP,判断是主机被安装了本马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常;网络审计设备接收反馈的联动结果,网络审计设备处理联动结果,对该联动结果进行日志记录或报警处理,通知管理员对目标主机进行控制,否则进行常规的审计日记记录;代理主机控制流程中,主机审计系统启动主机审计服务,主机审计系统连接控制中心,主机审计系统等待控制事件,即等待联动请求,主机审计系统收到联动请求后,进行联动处理;如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息;主机审计系统将查询、统计后的结果作为联动结果反馈;控制中心控制流程中,控制中心启动主机网络监听,控制中心启动联动网络监听,控制中心等待联动请求,控制中心收到联动请求后,处理联动事件,得到主机控制事件,控制中心等待主机控制事件分析过程完成,控制中心发送主机控制事件,即发送联动请求,控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果,控制中心将控制事件结果整合为联动结果,控制中心向网络审计设备反馈联动结果。
基于上述区别特征,权利要求1所要求保护的技术方案实际解决的技术问题是:如何利用审计模块统计网络流量信息以及如何在网络审计的基础上结合主机审计进行联动处理。
对于区别特征(1),对比文件2公开了一种基于流量统计网卡的网络审计设备和方法,并具体公开了如下技术特征(参见对比文件2说明书第0020-0027段,图1):网络审计设备包括网络审计软件模块和流量统计网卡模块,该流量统计网卡模块包括报文分类模块和报文统计模块而网络审计软件模块包括内容分析模块和流量统计模块以及统计寄存器模块,其中统计寄存器模块用于存储报文统计模块上传的数据并传给流量统计模块;流量统计网卡模块的报文分类模块根据网卡ip、端口、协议、长度等特征把报文分类处理,将需要进行内容分析的流量上传给网络审计软件模块中的内容分析模块;其中报文统计模块根据报文特征进行统计并更新网络审计软件模块中可读取的统计寄存器模块。对比文件2已经公开了区别特征(1),且其在对比文件2中所起的作用与在权利要求中所起的作用相同,都是利用审计模块统计网络流量信息。因此本领域技术人员有动机在对比文件1的基础上采用对比文件2中的审计模块进行网络流量信息统计。
对于区别特征(2),对比文件3公开了一种联动审计的方法及系统,并具体公开了如下技术特征(参见对比文件3的权利要求1-5,说明书第0022-0058段):网络审计系统通过抓包方式进行协议分析或/和流量监视,发现某主机发出或接收的某协议端口的数据不正常,例如80端口HTTP、20和21端口的FTP等,可能是主机被安装了木马程序,正在利用某常用端口穿透防火墙正向外网发送数据;或者发现流量有异常,则向控制中心发送查询或控制请求包(即联动请求),然后等待反馈的联动结果;目标代理主机接收来自控制中心的请求包后,目标代理主机的主机审计系统进行处理,例如:如果为通信端口有异常,则查询与该端口关联的进程信息;如果为流量异常,则统计流量最大的前几个进程的信息,把查询、统计后的结果作为联动结果返回给控制中心。本发明联动审计方法的主要流程可分解为网络审计系统控制流程,控制中心控制流程,以及代理主机控制流程三部分,并且该三部分流程之间存在联动关系,以下分别详述三部分流程以及其间的联动关系;网络审计系统控制流程包括:S101、网络审计系统采集数据包,S102、网络审计系统对采集的数据包进行缓冲,S103、网络审计系统分析采集到的数据包,具体通过抓包方式进行协议分析和流量监视,S104、网络审计系统判断目标主机的收发数据情况是否有异常,若有,则转入S105,S105、网络审计系统向目标主机的审计系统发送联动请求,具体可以是发送查询或控制请求包,S106、网络审计系统接收反馈的联动结果,S107、网络审计系统处理联动结果,对该联动结果进行日志记录或报警等处理,例如:通知管理员对目标主机进行控制,S108、进行常规的审计日记记录;代理主机控制流程包括:S201、主机审计系统启动主机审计服务,S202、主机审计系统连接控制中心,S203、主机审计系统等待控制事件,即等待联动请求,S204、主机审计系统收到联动请求后,进行联动处理,S205、主机审计系统将查询、统计后的结果作为联动结果反馈;控制中心控制流程包括:S301、控制中心启动主机网络监听,S302、控制中心启动联动网络监听,S303、控制中心等待联动请求,S304、控制中心收到联动请求后,处理联动事件,得到主机控制事件,S305、控制中心等待主机控制事件分析过程完成,S306、控制中心发送主机控制事件,即发送联动请求,S307、控制中心接收控制事件结果,即接收主机审计系统反馈的查询、统计后的结果,S308、控制中心将控制事件结果整合为联动结果,S309、控制中心向网络审计系统反馈联动结果。由此可见,对比文件3已经公开了区别特征(2),且上述特征在对比文件3中所起的作用与其在该权利要求中所起的作用相同,都是在网络审计的基础上结合主机审计进行联动处理。因此本领域技术人员有动机在对比文件1和2均已公开网络审计的基础上进一步结合对比文件3的网络架构来实现联动审计。
综上,在对比文件1的基础上结合对比文件2以及对比文件3以获得权利要求1所要求保护的技术方案,对于本领域技术人员来说是显而易见的,因此该权利要求所要求保护的技术方案不具有突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
三、决定
维持国家知识产权局于2019年01月18日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
