发明创造名称:云主机防破解方法、系统及处理设备
外观设计名称:
决定号:183538
决定日:2019-07-10
委内编号:1F271719
优先权日:无
申请(专利)号:201711296214.8
申请日:2017-12-08
复审请求人:北京百度网讯科技有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:李彦欣
合议组组长:李美丽
参审员:李晓
国际分类号:H04L29/06
外观设计分类号:
法律依据:专利法第二十二条第三款
决定要点
:若一项权利要求请求保护的技术方案与作为最接近现有技术的对比文件相比存在区别特征,但该区别特征部分被其他对比文件公开,部分为本领域的惯用手段,则认为现有技术中给出了将上述区别特征应用到该作为最接近现有技术的对比文件中以解决其存在的技术问题的技术启示,该权利要求所要求保护的技术方案不具备创造性。
全文:
本复审请求涉及申请号为201711296214.8,名称为“云主机防破解方法、系统及处理设备”的发明专利申请(下称本申请)。申请人为北京百度网讯科技有限公司。本申请的申请日为2017年12月08日,公开日为2018年03月13日。
经实质审查,国家知识产权局原审查部门于2019年01月08日发出驳回决定,驳回了本申请。驳回决定中引用了以下对比文件:对比文件1:CN106686014A,公开日为2017年05月17日;对比文件2:CN101494639A,公开日为2009年07月29日;对比文件3:CN105704146A,公开日为2016年06月22日。驳回决定的理由是:权利要求1-11相对于对比文件1、对比文件2、对比文件3及本领域常规技术手段的结合不具备专利法第二十二条第三款规定的创造性。
驳回决定所依据的文本为:2018年12月10日提交的权利要求第1-11项;申请日2017年12月08日提交的说明书第1-120段(即第1-12页)、说明书附图第1-9页、说明书摘要以及摘要附图。
驳回决定所针对的权利要求书内容如下:
“1. 一种云主机防破解的方法,其特征在于,所述方法包括:
定位云主机的系统日志位置并实时获取系统日志;
截取系统日志中登录失败的IP,并标记为可疑IP;
跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;
在防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;以及
到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
预先设定所述连续登录失败次数的阈值;
所述根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP包括:
基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
3. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:
所述在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,阻断所述攻击IP的登录。
4. 根据权利要求3所述的方法,其特征在于,跳转进行时,当前设置的所述屏蔽时间为前一次设置的所述屏蔽时间的两倍。
5. 根据权利要求3或4所述的方法,其特征在于,所述方法还包括:
基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
6. 一种云主机防破解的系统,其特征在于,所述系统包括:
定位单元,配置用于定位云主机的系统日志位置并实时获取系统日志;
获取单元,配置用于截取系统日志中登陆失败的IP,并标记为可疑IP;
判定单元,配置用于跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;
禁封单元,配置用于在防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,阻断所述攻击IP的登录;以及
解封单元,配置用于到达所述屏蔽时间后,在防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表。
7. 根据权利要求6所述的系统,其特征在于,所述系统中预先设定有所述连续登录失败次数的阈值;
所述判定单元,还配置用于跟踪所述可疑IP,基于所述可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
8. 根据权利要求7所述的系统,其特征在于,所述系统还包括:
跟踪单元,配置用于跟踪所述观察列表中的所述攻击IP,并判断其登录状态;
基于所述观察列表中的所述攻击IP再次登录失败,跳转至所述禁封单元并进行:
所述在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,阻断所述攻击IP的登录。
9. 根据权利要求8所述的系统,其特征在于,跳转进行时,当前设置的所述屏蔽时间为前一次设置的所述屏蔽时间的两倍。
10. 根据权利要求8或9所述的系统,其特征在于,所述系统还包括:
报警单元,配置用于基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
11. 一种云主机防破解的终端设备,其特征在于,所述设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
通信接口,配置为在存储器和处理器之间进行通信;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。”
申请人(下称复审请求人)对上述驳回决定不服,于2019年01月22日向国家知识产权局提出了复审请求,在原权利要求书的基础上进行了修改,将从属权利要求3-5的全部附加技术特征加入权利要求1、从属权利要求9-11的全部附加技术特征加入权利要求7,并删除了从属权利要求3-5和9-11,调整了权利要求的编号和引用关系,形成了修改后的权利要求1-7。复审请求人认为:对比文件1-3都没有涉及云主机防破解的问题,也没有公开区别特征“到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表;跟踪所述观察列表中的所述攻击IP,并判断其登录状态;基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;当跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍”,且上述区别特征也不属于本领域的公知常识。
复审请求时新修改的权利要求书内容如下:
“1. 一种云主机防破解的方法,其特征在于,所述方法包括:
定位云主机的系统日志位置并实时获取系统日志;
截取系统日志中登录失败的IP,并标记为可疑IP;
跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;
到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表;
跟踪所述观察列表中的所述攻击IP,并判断其登录状态;
基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;
当跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
预先设定所述连续登录失败次数的阈值;
所述根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP包括:
基于可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
3. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
4. 一种云主机防破解的系统,其特征在于,所述系统包括:
日志获取单元,配置用于定位云主机的系统日志位置,并实时获取系统日志;
可疑IP标记单元,配置用于截取系统日志中登录失败的IP,并标记为可疑IP;
攻击IP确定单元,配置用于跟踪所述可疑IP,根据所述可疑IP连续登录失败次数,判断所述可疑IP为攻击IP;以及
攻击IP屏蔽单元,配置用于在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;
攻击IP解除单元,配置用于到达所述屏蔽时间后,在防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表;
状态跟踪及判断单元,配置用于跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及
返回单元,配置用于基于所述观察列表中的所述攻击IP再次登录失败,跳转至所述攻击IP屏蔽单元并进行:
在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;
当跳转至所述攻击IP屏蔽单元时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。
5. 根据权利要求4所述的系统,其特征在于,所述系统中预先设定有所述连续登录失败次数的阈值;
所述攻击IP确定单元,还配置用于跟踪所述可疑IP,基于所述可疑IP连续登录失败次数超过所述阈值,判断所述可疑IP为攻击IP。
6. 根据权利要求4所述的系统,其特征在于,所述系统还包括:
报警信号发送单元,配置用于基于所述观察列表中的所述攻击IP登录成功,向云端发送报警信号。
7. 一种云主机防破解的终端设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
通信接口,配置为在存储器和处理器之间进行通信;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-3中任一所述的方法。”
经形式审查合格,国家知识产权局于2019年01月28日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年04月26日向复审请求人发出复审通知书,本次复审通知书依据的审查文本为:复审请求人于2019年01月22日提交的权利要求第1-7项;申请日2017年12月08日提交的说明书第1-12页、说明书附图第1-9页、说明书摘要以及摘要附图。本次复审通知书引用的对比文件与驳回决定中引用的对比文件相同。通知书中指出:权利要求1-7相对于对比文件1、对比文件2、对比文件3及本领域惯用手段的结合不具备专利法第二十二条第三款规定的创造性,并针对复审请求人陈述的意见进行了阐述,指出:对比文件2公开了在防火墙中增加屏蔽规则以屏蔽恶意攻击。对比文件3公开了对黑名单中的IP地址设置屏蔽时间并在屏蔽时间到达后删除对所述IP的屏蔽规则以解除对所述IP的屏蔽。在对比文件2和对比文件3的启示下,本领域技术人员在面对设置屏蔽方式的技术问题时,有动机对对比文件1进行改进,即在防火墙中增加屏蔽规则并设置屏蔽时间,在屏蔽时间内屏蔽攻击IP的登录,到达屏蔽时间后,删除所述屏蔽规则以解除对所述攻击IP的屏蔽。此外,在本领域中,对连续登录失败的用户设置锁定时间并且在解除锁定后若再次登录失败则增加锁定时间或采用更严格的防护手段,这是本领域技术人员经常采用的安全防护策略。比如,手机锁屏后在第一次连续输错密码的情况下,手机会被锁定一定时间,并且在第二次连续输错时,手机被锁定的时间增长,若第三次连续输错,手机可能会永久锁定。在上述惯用手段的启示下,本领域技术人员在面对设置屏蔽方式的技术问题时,有动机进一步对解除屏蔽后的IP放入观察列表进行跟踪观察,若再次登录失败,则再次进行屏蔽且屏蔽时间加长。而具体将屏蔽时间设置为前一次屏蔽时间的两倍仅仅是本领域技术人员基于具体需求的常规选择,属于惯用手段。
复审请求人于2019年05 月16日提交了意见陈述书,未提交修改文本。复审请求人认为:(1)对比文件1仅针对Linux系统的SSH暴力攻击防护,而本申请权利要求1的方案中,云主机防破解的方法不仅适用于Linux系统的SSH暴力攻击防护,而且适用于Windows系统的RDP远程爆破场景,而Windows的RDP登录方式与Linux的SSH登录方式在协议格式、登录日志形式上均不相同,其对应的日志发现方式和失败日志分析方式均有不同;本申请权利要求1的技术方案是针对各类云主机环境,包括Windows/Linux环境。(2)对比文件3仅说明屏蔽恶意IP一段时间,是单次行为,当屏蔽时间到期时,未做任何处理。而本申请权利要求1的技术方案将恶意IP放入“观察列表”,当观察列表中的IP重新登录失败时能迅速重新屏蔽并加大封禁时间。(3)对比文件1-3均未涉及云主机防破解的问题,从技术方面来讲,云主机或者云服务器使用了云计算技术,整合了计算、网络、存储等各种资源,而对比文件1-3有可能涉及的是独立的服务器,不会整合这些资源。从安全性方面来讲,云主机或云服务器具有天然防ARP攻击和MAC欺骗、快照备份、数据永久不丢失的特点,而独立服务器则不具备这方面的功能。从稳定性方面来看,云主机或云服务器具有故障自动迁移的功能,而独立服务器则不具备该功能。由此可见,本申请权利要求1中限定的“云主机防破解”与对比文件1-3涉及的一般主机或服务器上的防攻击有本质上的区别。(4)本申请权利要求1中限定的云主机环境下,不同客户一般拥有多台云主机,这些云主机的日志可以由后端服务来收集并进行综合分析,下发到所有云主机进行防御,这是对比文件1-3中涉及的传统单个主机防护产品无法做到的。因此,坚持权利要求1-7具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
(一)审查文本的认定
本复审请求审查决定所依据的文本与复审通知书所依据的文本相同,为:复审请求人于2019年01月22日提交的权利要求第1-7项;申请日2017年12月08日提交的说明书第1-12页、说明书附图第1-9页、说明书摘要以及摘要附图。经审查,复审请求人于2019年01月22日提交的权利要求书的修改之处符合专利法第三十三条的规定。
(二)关于创造性
专利法第二十二条第三款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定与驳回决定及2019年04月26日发出的复审通知书中引用的对比文件相同,即:
对比文件1:CN106686014A,公开日为2017年05月17日;
对比文件2:CN101494639A,公开日为2009年07月29日;
对比文件3:CN105704146A,公开日为2016年06月22日。
1、权利要求1请求保护一种云主机防破解的方法,对比文件1公开了一种网络攻击的防治方法及装置,并具体公开了以下技术内容(参见说明书第[0025]-[0051]段,附图1-4):在初始的linux服务器上部署及时防治程序,在通过安全外壳协议SSH远程登录终端操作系统时,检测所述终端操作系统登录日志中是否存在登录失败的日志;需要说明的是,在SSH远程登录终端操作系统时,会在一定的日志存储路径下记录登录过程的日志,例如,在SSH远程登录linux系统时,会在/var/log/auth.log记录登录过程的日志;其中,检测所述终端操作系统登录日志中是否存在登录失败的日志,可以在通过安全外壳协议SSH远程登录终端操作系统的过程中持续进行(相当于权利要求1中的:定位系统日志位置并实时获取系统日志);若存在登录失败的日志,分析所述登录失败的日志确定是否存在SSH暴力攻击,其中,在分析所述登录失败的日志确定是否存在SSH暴力攻击时,可以采用但不局限于以下的方法显示,该方法包括:分析所述登录失败的日志,记录登录失败的参数,所述参数包括IP地址、失败次数、时间中的一个或任意多个;根据所述参数与预定对应规则之间的关系确定是否存在SSH暴力攻击;在分析所述登录失败的日志,记录登录失败的参数,若所述参数包括IP地址、失败次数时,记录的分析结果可以如图4所示,左边两位为失败次数,右边为IP地址(相当于权利要求1中的:截取系统日志中登录失败的IP);预定对应规则基于参数的不同而不同,若该参数为失败次数,则该预定对应规则为失败次数超过预设阈值次数为存在SSH暴力攻击,该阈值次数可以根据经验设置;若存在SSH暴力攻击,记录SSH暴力攻击的IP地址、失败次数、时间以及攻击终端的标识,得到记录信息,将SSH暴力攻击的IP地址添加在拒绝IP地址访问的文件中(相当于权利要求1中的:跟踪所述登录失败的IP,根据所述登录失败IP的登录失败次数,判断所述IP为攻击IP,并屏蔽所述攻击IP的登录)。
本申请权利要求1与对比文件1公开的内容相比,其区别在于:(1)防破解方法针对的是云主机,获取的是云主机的系统日志,以及将登录失败的IP标记为可疑IP,且登录失败次数是连续登录失败次数;(2)在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表;跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;当跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍。基于上述区别特征可确定,本申请权利要求1实际要解决的技术问题是云计算系统中云主机的防破解问题以及如何设置具体的屏蔽方式。
对于区别特征(1),对云计算系统中云主机的暴力破解攻击与对比文件1中的SSH暴力攻击实质上属于相同的攻击方式,本领域技术人员在面对云计算系统中云主机的防破解问题时,有动机将对比文件1中SSH暴力攻击的防治方法转用到云计算系统中云主机的安全防护环境中,并且这种技术转用并不存在需要本领域技术人员付出创造性的劳动才能克服的技术障碍。此外,将登录失败的IP具体标记为可疑IP以及登录失败次数具体设置为连续登录失败次数,这仅仅是本领域技术人员在具体实现防破解攻击时的常规选择,属于惯用手段。
对于区别特征(2),对比文件2公开了一种分组通信系统中防止攻击的方法,并具体公开了以下技术内容(参见说明书第4页第1行至第7页第27行,图1):终端可以是移动终端,也可以是一个TCP/IP主机,防止攻击的方法步骤如下:步骤S101,终端接收来自外部的不期望的数据包;步骤S102,在接收到不期望的数据包时发送差错报文,该差错报文携带有所述数据包的特征信息,如五元组信息,即源IP地址、目的IP地址、上层协议类型(TCP)、源端口号、目的端口号;步骤S103,根据所述差错报文携带的所述数据包的特征信息生成相应的屏蔽规则;需要说明的是,可以由防火墙独立完成上述工作,即在防火墙对上报的差错报文进行识别和统计,并在判定数据流为恶意攻击数据流后,在自身上对该恶意攻击数据流进行屏蔽(相当于权利要求1中的:在防火墙中增加屏蔽规则);步骤S104,利用所述屏蔽规则过滤后续的数据报文。由此可见,对比文件2给出了在防火墙中增加屏蔽规则以屏蔽恶意攻击的技术启示。对比文件3公开了一种SQL防注入的系统与方法,并具体公开了以下技术内容(参见说明书第[0033]段):模块首先提取http请求中的参数,对IP地址进行记录,单位时间内访问请求超过一定数量的IP,可以认为存在攻击行为,将IP标记为黑名单;检测过程中,如果请求的IP地址与记录的攻击源IP匹配,直接过滤掉http请求,拒绝其对网站的一切操作,屏蔽一定的时间段之后,将IP地址移出黑名单,该地址又可以进行正常的网页访问(“将IP地址移除黑名单”实质上相当于删除了对所述IP地址的屏蔽规则,因此对比文件3公开了权利要求1中的:在屏蔽时间内屏蔽攻击IP,到达所述屏蔽时间后,删除所述屏蔽规则,以解除对所述攻击IP的屏蔽),其中屏蔽时间和单位时间访问量限制由管理员根据实际情况自行设定。由此可见,对比文件3给出了对黑名单中的IP地址设置屏蔽时间并在屏蔽时间到达后删除对所述IP的屏蔽规则的技术启示。在对比文件2和对比文件3的启示下,本领域技术人员在面对设置具体屏蔽方式的技术问题时,有动机对对比文件1进行改进,即在防火墙中增加屏蔽规则并设置屏蔽时间,在屏蔽时间内屏蔽攻击IP的登录,到达屏蔽时间后,删除所述屏蔽规则以解除对所述攻击IP的屏蔽。此外,在本领域中,对连续登录失败的用户设置锁定时间并且在解除锁定后若再次登录失败则增加锁定时间或采用更严格的防护手段,这是本领域技术人员经常采用的安全防护策略。比如,手机锁屏后在第一次连续输错密码的情况下,手机会被锁定一定时间,并且在第二次连续输错时,手机被锁定的时间增长,若第三次连续输错,手机可能会永久锁定。在上述惯用手段的启示下,本领域技术人员在面对设置具体屏蔽方式的技术问题时,有动机进一步对解除屏蔽后的IP放入观察列表进行跟踪观察,若再次登录失败,则再次进行屏蔽且屏蔽时间加长。而具体将屏蔽时间设置为前一次屏蔽时间的两倍仅仅是本领域技术人员基于具体需求的常规选择,属于惯用手段。
综上所述,在对比文件1的基础上结合对比文件2、对比文件3及本领域的惯用手段得到权利要求1所请求保护的技术方案对本领域技术人员来说是显而易见的,因此权利要求1请求保护的技术方案不具有突出的实质性特点,不具备专利法第二十二条第三款规定的创造性。
2、权利要求2引用了权利要求1。对比文件1公开了(参见说明书第[0044]-[0046]段):预定对应规则基于参数的不同而不同,若该参数为失败次数,则该预定对应规则为失败次数超过预设阈值次数为存在SSH暴力攻击,该阈值次数可以根据经验设置。可见,对比文件1已经公开了设置登录失败阈值次数并在失败次数超过阈值次数时判定为暴力攻击。而采用连续登录失败的次数来进行判断仅仅是本领域技术人员在具体实现防破解攻击时的常规选择,属于惯用手段。因此,在其引用的权利要求不具备创造性的情况下,权利要求2也不具备创造性,不符合专利法第二十二条第三款的规定。
3、权利要求3引用了权利要求1。当解除屏蔽的IP登录成功时向云端发送报警信号以提示风险属于本领域技术人员在实现防破解时的常规选择,属于惯用手段。因此,在其引用的权利要求不具备创造性的情况下,权利要求3也不具备创造性,不符合专利法第二十二条第三款的规定。
4、权利要求4是与方法权利要求1对应的产品权利要求,其请求保护一种云主机防破解的系统。对比文件1公开了一种网络攻击的防治方法及装置,具体公开的技术内容(参见说明书第[0025]-[0051]段,附图1-4)已经记载在本复审请求审查决定对权利要求1的评述中,在此不再赘述。基于前面对权利要求1的评述可知,权利要求4与对比文件1公开的内容相比,其区别在于:(1)防破解方法针对的是云主机,获取的是云主机的系统日志,以及将登录失败的IP标记为可疑IP,且登录失败次数是连续登录失败次数;(2)在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;到达所述屏蔽时间后,在所述防火墙中删除所述屏蔽规则,以解除对所述攻击IP的屏蔽,并将解除屏蔽后的所述攻击IP放入观察列表;跟踪所述观察列表中的所述攻击IP,并判断其登录状态;以及基于所述观察列表中的所述攻击IP再次登录失败,跳转进行:在所述防火墙中增加屏蔽规则并设置屏蔽时间,所述屏蔽规则用于在所述屏蔽时间内,屏蔽所述攻击IP的登录;当跳转进行增加屏蔽规则并设置屏蔽时间时,所设置的屏蔽时间为前一次设置的屏蔽时间的两倍;(3)所述系统中设置了具体的功能单元来实现相应的功能。
基于该区别特征可确定,权利要求4实际要解决的技术问题是云计算系统中云主机的防破解问题以及如何设置具体的屏蔽方式。
对于区别特征(1)和(2),权利要求4中的区别特征(1)和(2)与权利要求1中的区别特征(1)和(2)对应一致,具体分析可参见上述对权利要求1的相关评述。
对于区别特征(3),对本领域技术人员而言,设置相应的功能单元构成一个系统以实现相应的功能或方法步骤是本领域技术人员在实现方法或功能时的惯用手段。
综上所述,在对比文件1的基础上结合对比文件2、对比文件3及本领域的惯用手段得到权利要求4所请求保护的技术方案对本领域技术人员来说是显而易见的,因此权利要求4请求保护的技术方案不具有突出的实质性特点,不具备专利法第二十二条第三款规定的创造性。
5、对于从属权利要求5-6,除了采用功能单元来限定的附加特征外,从属权利要求5-6中的其它附加特征分别与从属权利要求2-3的附加特征相对应,参考上述对权利要求2-3的评述可知,这些附加特征或被对比文件1公开或为本领域的惯用手段。而对本领域的技术人员来说,设置单独的功能单元来实现相应的功能或方法步骤,是本领域在实现方法或功能时的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,权利要求5-6也不具备创造性,不符合专利法第二十二条第三款的规定。
6、权利要求7请求保护一种云主机防破解的终端设备,其中引用了权利要求1-3任一所述的方法。参考上述评述可知,权利要求1-3相对于对比文件1、对比文件2、对比文件3和本领域惯用手段的结合不具备创造性。而在设备中设置一个或多个处理器、存储一个或多个程序的存储器以及使存储器和处理器进行通信的通信接口以使处理器执行相应程序来实现相关方法或功能,属于本领域技术人员在实现方法或功能时的惯用手段。因此,在权利要求1-3不具备创造性的情况下,权利要求7也不具备创造性,不符合专利法第二十二条第三款的规定。
(三)对复审请求人相关意见的评述
对于复审请求人于2019年05月16日提交的意见陈述书中陈述的意见,合议组不能认同,具体理由如下:(1)首先,本申请权利要求1的技术方案并未限定应用在Linux系统还是Windows系统,并且也未限定具体的日志发现和失败日志分析方式,即权利要求1的技术方案未体现出其在日志发现和失败日志分析上与对比文件1有何不同。其次,无论是Linux系统下的登录日志记录形式还是Windows系统下的登录日志记录形式都是本领域的公知常识,对相应的日志进行分析也都是本领域的惯用手段,本领域技术人员可以基于具体需求选择使用。(2)如前述对权利要求1的评述,对比文件3公开了在黑名单中的IP地址的屏蔽时间到达后删除对所述IP的屏蔽规则。此外,在本领域中,对连续登录失败的用户设置锁定时间并且在解除锁定后若再次登录失败则增加锁定时间或采用更严格的防护手段,这是本领域技术人员经常采用的安全防护策略。比如,手机锁屏后在第一次连续输错密码的情况下,手机会被锁定一定时间,并且在第二次连续输错时,手机被锁定的时间增长,若第三次连续输错,手机可能会永久锁定。在上述惯用手段的启示下,本领域技术人员在面对设置具体屏蔽方式的技术问题时,有动机进一步对解除屏蔽后的IP放入观察列表进行跟踪观察,若再次登录失败,则再次进行屏蔽且屏蔽时间加长。(3)复审请求人所述的云主机或云服务器在技术、安全、稳定等方面的优点都属于云计算技术本身的优点,而本申请权利要求1所限定的云主机防破解方法并未体现出与上述云计算技术本身的优点有直接关联,如前述对权利要求1的评述,对云计算系统中云主机的暴力破解攻击与对比文件1中的SSH暴力攻击实质上属于相同的攻击方式,本领域技术人员在面对云计算系统中云主机的防破解问题时,有动机将对比文件1中SSH暴力攻击的防治方法转用到云计算系统中云主机的安全防护环境中,并且这种技术转用并不存在需要本领域技术人员付出创造性的劳动才能克服的技术障碍。(4)首先,本申请权利要求1的技术方案中并未限定日志的具体收集方式。其次,在云主机环境下,无论是收集多个云主机的日志进行综合分析还是针对每个云主机进行日志的收集分析,都属于本领域技术人员基于具体需求的常规选择。
综上所述,合议组对复审请求人陈述的理由不予支持。
三、决定
维持国家知识产权局于2019年01月08日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第四十一条第二款的规定,复审请求人自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
