发明创造名称:网络攻击检测方法及检测设备
外观设计名称:
决定号:185273
决定日:2019-07-24
委内编号:1F259993
优先权日:
申请(专利)号:201510423996.1
申请日:2015-07-17
复审请求人:北京京东尚科信息技术有限公司 北京京东世纪贸易有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:蔡茹辛
合议组组长:罗芳洁
参审员:李俊洁
国际分类号:H04L29/06,H04L29/08
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:权利要求的技术方案与最接近的现有技术的一个技术方案相比存在区别特征,但是如果该最接近的现有技术的另一技术方案以及本领域公知常识给出了将该区别特征应用于该最接近的现有技术中以解决其存在的技术问题的技术启示,则该权利要求的技术方案不具有突出的实质性特点,因而不具备创造性。
全文:
本复审请求复审决定涉及申请号为201510423996.1,名称为“网络攻击检测方法及检测设备”的发明专利申请(下称本申请)。申请人为北京京东尚科信息技术有限公司和北京京东世纪贸易有限公司。本申请的申请日为2015年07月17日,公开日为2015年09月23日。
经实质审查,国家知识产权局实质审查部门于2018年05月30日发出驳回决定,以本申请权利要求1-22不具备专利法第22条第3款规定的创造性为由驳回了本申请。驳回决定所依据的文本为:申请日2015年07月17日提交的说明书第1-97段(即第1-13页)、说明书附图第1-5页、说明书摘要、摘要附图;2017年11月08日提交的权利要求第1-22项。驳回决定所针对的权利要求书的内容如下:
“1.一种网络攻击检测方法,是针对利用工具脚本或程序自动向网站发起访问请求来进行网络攻击的网络攻击检测方法,包括:
访问数据采集步骤(S1),在第一预定时间内采集每次所述访问请求的时间信息,根据所述时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,以构成访问时间间隔数据组;
访问数据离散程度计算步骤(S2),根据所述访问时间间隔数据组,来计算所述访问时间间隔数据组的离散程度;和
攻击数据判定步骤(S3),当所述离散程度在预定的攻击数据离散范围内时,判定为所述访问请求是网络攻击,当所述离散程度不在所述预定的攻击数据离散范围内时,判定为所述访问请求不是网络攻击,并输出该判定结果作为最终检测结果,所述预定的攻击数据离散范围是根据所述网站的网络环境预先确定的,
在所述访问数据采集步骤(S1)之前,包括:
网络攻击预侦测步骤(SA1),计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集步骤(S1),当所述访问频率未超过所述可疑访问频率阈值时,不进行所述访问数据采集步骤(S1)及其之后的步骤,而直接判定为所述访问请求不是网络攻击,
所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值。
2.根据权利要求1所述的网络攻击检测方法,其特征在于,
所述离散程度是利用方差、标准差或平均差来计算的。
3.根据权利要求1所述的网络攻击检测方法,其特征在于,所述访问数据离散程度计算步骤(S2)包括:
常数波动范围确定步骤(S2-1),根据通过所述访问数据采集步骤(S1)构成的所述访问时间间隔数据组,计算出所有访问时间间隔数据的平均值,以作为常数期望值,并采用下列公式(1)来确定常数波动范围;
常数数量计数步骤(S2-2),根据通过所述常数波动范围确定步骤 (S2-1)确定的所述常数波动范围,判断所述访问时间间隔数据中的每个所述访问时间间隔数据是否在所述常数波动范围内,并对在所述常数波动范围内的所述访问时间间隔数据进行计数,计算出符合所述常数波动范围的所述访问时间间隔数据的数据数量,以作为常数数量;和
离散程度计算步骤(S2-3),根据通过所述常数数量计数步骤(S2-2)计算出的所述常数数量,采用下列公式(2)来计算出所述访问时间间隔数据组的离散程度,
其中,所述公式(1)为:
常数波动范围≤常数期望值×(1±预定的方差),
所述公式(2)为:
离散程度=(1-常数数量/访问时间间隔数据组的数据总量)×100%。
4.根据权利要求3所述的网络攻击检测方法,其特征在于,
所述预定的方差是根据所述网站的网络环境来预先确定的。
5.根据权利要求3所述的网络攻击检测方法,其特征在于,
所述预定的方差为8%。
6.根据权利要求3所述的网络攻击检测方法,其特征在于,
0≤所述预定的攻击数据离散范围≤20%。
7.根据权利要求1所述的网络攻击检测方法,其特征在于,
在所述访问数据采集步骤(S1)之前,包括:
既存网络攻击处理步骤(SS1),根据预先设置的存储有已被确定为网络攻击的访问请求的信息的网络攻击信息表,来判定所述访问请求是否是既存网络攻击,并进行分支处理,即:
当所述访问请求存在于所述网络攻击信息表中时,判定为所述访问请求是既存网络攻击,并直接判定为所述访问请求是网络攻击,而不进行所述访问数据采集步骤(S1)及其之后的步骤的动作;
当所述访问请求不存在于所述网络攻击信息表中时,判定为所述访问请求不是既存网络攻击,接着进行所述访问数据采集步骤(S1)。
8.根据权利要求7所述的网络攻击检测方法,其特征在于,
所述攻击数据判定步骤(S3)包括:
网络攻击信息追加步骤(SS3),在所述攻击数据判定步骤(S3)的所 述判定结果为所述访问请求是网络攻击时,将所述访问请求的信息追加入所述网络攻击信息表中。
9.根据权利要求7所述的网络攻击检测方法,其特征在于,
在所述既存网络攻击处理步骤(SS1)之前,包括:
网络攻击预侦测步骤(SA1),计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述既存网络攻击处理步骤(SS1),当所述访问频率未超过所述可疑访问频率阈值时,不进行所述既存网络攻击处理步骤(SS1)及其之后的步骤,而直接判定为所述访问请求不是网络攻击。
10.根据权利要求1或9所述的网络攻击检测方法,其特征在于,
所述可疑访问频率阈值是根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值。
11.根据权利要求1或9所述的网络攻击检测方法,其特征在于,
所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低20%的值。
12.根据权利要求1或9所述的网络攻击检测方法,其特征在于,
所述第一预定时间与所述第二预定时间相同。
13.根据权利要求1-9中任意一项所述的网络攻击检测方法,其特征在于,
所述网络攻击是分布式拒绝服务攻击。
14.根据权利要求13所述的网络攻击检测方法,其特征在于,
所述分布式拒绝服务攻击是HTTP-Flood攻击。
15.根据权利要求1-9中任意一项所述的网络攻击检测方法,其特征在于,
所述访问请求是相同IP地址的访问请求。
16.一种网络攻击检测设备,是针对利用工具脚本或程序自动向网站发起访问请求来进行网络攻击的网络攻击检测设备,包括:
访问数据采集单元,在第一预定时间内采集每次所述访问请求的时间信息,根据所述时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,以构成访问时间间隔数据组;
访问数据离散程度计算单元,根据所述访问时间间隔数据组,来计算所述访问时间间隔数据组的离散程度;和
攻击数据判定单元,当所述离散程度在预定的攻击数据离散范围内时,判定为所述访问请求是网络攻击,当所述离散程度不在所述预定的攻击数据离散范围内时,判定为所述访问请求不是网络攻击,并输出该判定结果作为最终检测结果,
所述预定的攻击数据离散范围是根据所述网站的网络环境预先确定,
在所述访问数据采集单元的前级,包括:
网络攻击预侦测单元,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集单元的动作,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述访问数据采集单元及其之后的单元的动作,而直接判定为所述访问请求不是网络攻击,
所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值。
17.根据权利要求16所述的网络攻击检测设备,其特征在于,
在所述访问数据采集单元的前级,包括:
既存网络攻击处理单元,根据预先设置的存储有已被确定为网络攻击的访问请求的信息的网络攻击信息表,来判定所述访问请求是否是既存网络攻击,并进行分支处理,即:
当所述访问请求存在于所述网络攻击信息表中时,判定为所述访问请求是既存网络攻击,并直接判定为所述访问请求是网络攻击,而不进行所述访问数据采集单元及其之后的单元的动作;
当所述访问请求不存在于所述网络攻击信息表中时,判定为所述访问请求不是既存网络攻击,接着进行所述访问数据采集单元的动作。
18.根据权利要求17所述的网络攻击检测设备,其特征在于,
所述攻击数据判定单元包括:
网络攻击信息追加单元,在所述攻击数据判定单元的所述判定结果为所述访问请求是网络攻击时,将所述访问请求的信息追加入所述网络攻击信息表中。
19.根据权利要求17所述的网络攻击检测设备,其特征在于,
在所述既存网络攻击处理单元的前级,包括:
网络攻击预侦测单元,计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述既存网络攻击处理单元的动作,当所述访问频率未超过所述可疑访问频率阈值时,不进行所述既存网络攻击处理单元及其之后的单元的动作,而直接判定为所述访问请求不是网络攻击。
20.根据权利要求16或19所述的网络攻击检测设备,其特征在于,
所述可疑访问频率阈值是根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值。
21.根据权利要求16或19所述的网络攻击检测设备,其特征在于,
所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低20%的值。
22.根据权利要求16或19所述的网络攻击检测设备,其特征在于,
所述第一预定时间与所述第二预定时间相同。”
驳回决定中引用对比文件1,CN104113519A,公开日为2014年10月22日,和对比文件2,CN101834866A,公开日为2010年09月15日,并指出权利要求1相对于对比文件1以及本领域惯用手段的结合不具备专利法第22条第3款规定的创造性,从属权利要求2-6、9-15的附加技术特征被对比文件1公开或是本领域惯用手段,从属权利要求7-8的附加技术特征被对比文件2公开或是本领域惯用手段,不具备专利法第22条第3款规定的创造性;和权利要求1、7-12相应的装置权利要求16-22也不具备专利法第22条第3款规定的创造性。
申请人(下称复审请求人)对上述驳回决定不服,于2018年09月05日向国家知识产权局提出了复审请求,未修改申请文件。复审请求人认为:(1)审查员认定“所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值”可预料到的作用及效果是“为了防止用户被误杀”,而本发明中此特征实际是为了防止攻击被漏杀,这是与公知效果相违背的;(2)本申请首次考虑到了“通过统计所采集的访问时间间隔数据组的离散程度来进行判断的网络攻击判断”这一检测方法存在“运算较复杂,若直接针对所述流量进行该检测会带来很大的计算负担”这样的技术问题,获得了“不仅减轻了检测负荷,而且能够更有效、更精确地排查出网络攻击”这样显著有益的技术效果。基于以上理由,权利要求1-22具备专利法第22条第3款规定的创造性。
经形式审查合格,国家知识产权局于2018年09月11日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中认为权利要求1-22仍然不具备创造性,因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2018年12月26日向复审请求人发出复审通知书,复审通知书所依据的审查文本和驳回决定针对的审查文本相同,为:申请日2015年07月17日提交的说明书第1-13页、说明书附图第1-5页、说明书摘要、摘要附图;2017年11月08日提交的权利要求第1-22项。在复审通知书中引用了驳回决定中引用的对比文件1和对比文件2,指出权利要求1-22不具备专利法第22条第3款规定的创造性,并针对复审请求人的意见陈述进行了答复。
复审请求人于2019年01月09日提交了意见陈述书,同时修改了权利要求书,将从属权利要求12、22的附加技术特征分别加入独立权利要求1、16,删除了从属权利要求12、22并重新修改了权利要求书的编号和引用关系。复审请求人认为:(1)修改后的权利要求1和15的技术方案进一步明确了“所述第一预定时间与所述第二预定时间相同”这一技术特征,从而在已获得的“通过减少了精确检测所要的运算量而提高了检测效率”的基础上,“又进一步通过使两段步骤保持同步来进一步简化运算,而实现了更高效的检测效率”这样的显著有益技术效果。(2)在对比文件1中分别记载有网络攻击预侦测和网络攻击精确侦测,没有任何将两者进行结合的启示。
合议组于2019年04月24日向复审请求人发出复审通知书。此次复审通知书所依据的审查文本为:申请日2015年07月17日提交的说明书第1-13页、说明书附图第1-5页、说明书摘要、摘要附图;2019年01月09日提交的权利要求第1-20项。复审通知书中引用了前次复审通知书和驳回决定中引用的对比文件1和对比文件2,指出权利要求1-20不具备专利法第22条第3款规定的创造性,并对复审请求人在答复复审通知书时提出的意见进行了答复。
复审请求人于2019年05月28日提交了意见陈述书,未修改申请文件。复审请求人主要认为:(1)对比文件1要解决的是现有技术中有关“误杀”的问题,而本发明要解决的技术问题在于“在精准检测的同时大幅度提高检测网络攻击方法的效率”,对比文件1中没有关于要解决“检测方法的效率”的任何记载或启示,其中所公开的“两段式”检测的作用和目的也并非“提高检测方法的效率”。对比文件1整体技术思想中始终贯彻“防止误杀”的技术宗旨,对本领域技术人员想到“降低基于访问频率的检测方法的检测阈值”来“增加误杀”是有阻碍的,也没有任何证据证明该技术思想是本领域的公知常识。(2)本发明获得了“通过减少了精确检测所要的运算量而提高了检测效率”的基础上,“又进一步通过使两段步骤保持同步来进一步简化运算,而实现了更高效的检测效率”这样的显著有益技术效果。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出复审请求审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人在2019年01月09日答复复审通知书时提交了权利要求书的修改替换页,经审查,上述对权利要求书的修改符合专利法第33条的规定。本复审请求审查决定所依据的审查文本为:申请日2015年07月17日提交的说明书第1-13页、说明书附图第1-5页、说明书摘要、摘要附图;2019年01月09日提交的权利要求第1-20项。
(二)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定中引用的对比文件与驳回决定和复审通知书中所引用的对比文件相同,即
对比文件1:CN104113519A,公开日为2014年10月22日;
对比文件2:CN101834866A,公开日为2010年09月15日。
1、权利要求1要求保护一种网络攻击检测方法,对比文件1是最接近的现有技术,其公开了网络攻击检测方法及其装置,其公开的一个技术方案的具体内容如下(参见说明书第[0003]-[0023]、[0028]-[0126]段,图1-10):HTTP-Flood攻击发生时,攻击者利用工具伪造或劫持浏览器向特定的网站发送大量的HTTP请求,使服务器忙于向攻击者提供资源而无法响应其他合法用户的服务请求;本申请的主要目的在于提供一种网络攻击检测方法及其装置,以解决现有技术存在的缺少精确而有效地检测对网站的HTTP-Flood攻击的技术问题(相当于网络攻击检测方法,是针对利用工具脚本或程序自动向网站发起访问请求来进行网络攻击的网络攻击检测方法);在本申请的一个实施例中,所述访问请求信息包括访问者的以下信息:IP地址和访问时间;相关访问信息包括:访问平均时间间隔及其离散度。参考图2,是本申请一个实施例的网络攻击检测方法的流程图,如图2所示,该方法包括:步骤S202,获取访问网站服务器的访问请求信息,访问请求信息包括访问者的以下信息:IP地址和访问时间。步骤S204,统计预设时间段内的访问请求信息(由于访问请求信息包含访问时间,因此此处相当于访问数据采集步骤S1中的:在第一预定时间内采集每次访问请求的时间信息);步骤S206,根据预设时间段内的访问请求信息计算预定时间段内IP地址的访问平均时间间隔及其离散度;假设某用户的IP地址为192.168.1.1,该用户在某段时间内访问网站的时刻分别为:T1、T2、…Tm,通过计算可得到相邻两次访问的时间间隔为K1=T2-T1、K2=T3-T2、…Km-1=Tm-Tm-1,由此该IP地址的平均时间间隔为:V=(K1 K2 K3 … Km-1)/m-1 公式(1),时间间隔的方差为:D=(1/(m-1))[(T1-V)^2 (T2-V)^2 … (Tm-V)^2] 公式(2)(相当于访问数据采集步骤S1中的:根据所述时间信息来计算出各个相邻的两次访问请求之间的访问时间间隔数据,以构成访问时间间隔数据组),由此可计算出标准差为:A=D^0.5 公式(3),通过上述公式就能够计算出标准差(A)与访问平均时间间隔(V)的比值,当IP地址的访问平均时间间隔的标准差与访问平均时间间隔的比值小于10%,则判定该IP地址为攻击IP地址(相当于访问数据离散程度计算步骤S2,根据所述访问时间间隔数据组,来计算所述访问时间间隔数据组的离散程度)。若IP地址的访问平均时间间隔的离散度与访问平均时间间隔的比值小于预设值,则判定该IP地址为攻击IP地址(相当于攻击数据判定步骤S3中的:当所述离散程度在预定的攻击数据离散范围内时,判定为所述访问请求是网络攻击);其中,上述的离散度可以采用标准差或方差;在依据时间间隔平均值和标准差来判断是否存在攻击行为时,可依据网站的实际流量情况进行调整(相当于预定的攻击数据离散范围是根据网站的网络环境预先确定的)。在本申请的一个实施例中,通过建立的IP地址信息表统计访问请求信息;判断标准差与访问平均时间间隔的比值是否小于预设值,若是则判定该IP地址为攻击IP地址,输出恶意IP地址列表;否则,判定该IP地址的请求为正常的请求(相当于当所述离散程度不在所述预定的攻击数据离散范围内时,判定为所述访问请求不是网络攻击,并输出该判定结果作为最终检测结果)。
权利要求1与对比文件1公开的上述技术方案的区别在于:在所述访问数据采集步骤(S1)之前,包括:网络攻击预侦测步骤(SA1),计算所述访问请求在第二预定时间内的访问频率,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集步骤(S1),当所述访问频率未超过所述可疑访问频率阈值时,不进行所述访问数据采集步骤(S1)及其之后的步骤,而直接判定为所述访问请求不是网络攻击,所述可疑访问频率阈值是比根据所述网站的网络环境而预先设定的能够判定所述访问请求有可能是网络攻击的频率阈值低的值,将第一预定时间和第二预定时间设置为相同。
基于以上区别可知:权利要求1要求保护的技术方案实际解决的技术问题是如何在检测网络攻击的过程中兼顾效率和准确度。
对比文件1还公开了另一技术方案(参见说明书第[0070]-[0072]段):本申请提出了以下的方法可提高HTTP-Flood的检测精度,减少合法用户的误杀量。首先获取用户HTTP请求的信息,其中包括用户IP地址、访问时间、HTTP协议中User-Agent字段,以IP地址为依据,分别记录这些信息;后续的访问,记录并更新这些信息的访问次数;在某一指定的时间间隔,计算每个用户IP地址的访问次数,如果其访问次数超过某个阈值,再计算该IP地址的所有User-Agent的信息熵值,如果信息熵值较小,则可认为该IP地址与某一User-Agent有较强的关联关系,即该IP地址的请求可能来自于同一个用户电脑环境,这可认为该IP地址存在恶意攻击行为,如果信息熵值较大,说明该IP地址可能来自于不同的用户电脑环境,该IP地址可能是共享出口的IP地址,这些访问可认为是合法访问。通过计算一段时间内的User-Agent的信息熵,可以分析出User-Agent的分散程度。因此上述对比文件1的另一技术方案公开了,通过两级检测的方式判断访问请求是否是网络攻击,在较为复杂的通过计算分散程度来进行网络攻击检测之前,首先采用了统计指定时间间隔内每个用户IP地址访问次数的方式,在访问次数超过阈值时执行下一步网络攻击检测。即上述对比文件1的另一技术方案已经给出了在精确检测之前执行基于访问频率的网络攻击预侦测步骤的启示,本领域技术人员可以基于该启示,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集步骤,而当所述访问频率未超过所述可疑访问频率阈值时,无需进行下一步精确的检测即可认为不是网络攻击,从而减少需要进行下一步精确网络攻击检测的检测数量,提高检测的效率。同时,为了防止预侦测步骤遗漏一部分访问频率位于可疑访问频率阈值附近的访问请求,而将可疑访问频率的阈值设置为比预先设定的能够判定网络攻击的频率阈值更低,使更多的访问请求能够进入精确的网络攻击检测步骤,进行再次筛查,从而在兼顾检测效率的同时能够避免遗漏可疑访问请求,这是本领域的惯用手段。此外,为了简化运算,在相同时间间隔内进行访问数据的采集,即将第一预定时间和第二预定时间设置为相同是本领域技术人员在设置网络攻击检测和预侦测时间间隔时的常规选择,也是本领域的惯用手段。
因此,在对比文件1前一技术方案的基础上,结合另一技术方案及本领域的惯用手段,获得该权利要求所要求保护的技术方案,对本领域技术人员来说是显而易见的,该权利要求不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
2、权利要求2对权利要求1作了进一步的限定,其部分附加技术特征已被对比文件1公开(参见说明书第[0041]段):上述的离散度可以采用标准差或方差。平均差也是用于表示数据离散程度的常见参数,用平均差来计算离散程度也是本领域的惯用手段。在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
3、权利要求3对权利要求1作了进一步的限定。对比文件1还公开了(参见说明书第[0044]-[0052]段):假设某用户的IP地址为192.168.1.1,该用户在某段时间内访问网站的时刻分别为:T1、T2、…Tm,通过计算可得到相邻两次访问的时间间隔为K1=T2-T1、K2=T3-T2、…Km-1=Tm-Tm-1,由此该IP地址的平均时间间隔为:V=(K1 K2 K3 … Km-1)/m-1 公式(1),时间间隔的方差为:D=(1/(m-1))[(T1-V)^2 (T2-V)^2 … (Tm-V)^2] 公式(2),由此可计算出标准差为:A=D^0.5 公式(3),通过上述公式就能够计算出标准差(A)与访问平均时间间隔(V)的比值,当IP地址的访问平均时间间隔的标准差与访问平均时间间隔的比值小于10%,则判定该IP地址为攻击IP地址。需要说明的是,上述判断的判断阈值不限于10%,还可以是9%或8%等值。举例来说,某一IP地址访问平均时间间隔为100毫秒,标准差为1毫秒,则标准差和平均时间间隔的比值为1%,根据正态分布的特征可得知,有约68%的请求停留在某页面上的时间为99至101毫秒之间,约95%的请求停留在某页面上的时间为98-102毫秒之间,说明该IP地址访问的时间间隔比较集中,则认定为该IP地址为攻击IP地址。由此可见,对比文件1已经公开了根据通过所述访问数据采集步骤(S1)构成的所述访问时间间隔数据组,计算出所有访问时间间隔数据的平均值,以作为常数期望值,确定常数波动范围,并通过计算访问时间间隔数据符合所述常数波动范围的数据数量,结合方差来计算访问数据离散程度,而本领域技术人员可以根据需要选择具体的数据离散程度计算方式,采用该权利要求附加技术特征中的公式计算常数波动范围和离散程度也是本领域的常规方式,属于本领域的惯用手段。在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
4、权利要求4-6对权利要求3作了进一步的限定。根据网站的网络环境确定方差、将方差确定为某个预定值、以及设置预定的攻击数据离散范围为一个数据百分比区间,均是本领域的常规方式,属于本领域的惯用手段。在其引用的权利要求不具备创造性时,上述权利要求也不具备专利法第22条第3款规定的创造性。
5、权利要求7对权利要求1作了进一步的限定,对比文件2公开了一种CC攻击防护方法及其系统,并具体公开了(参见说明书第[0006]-[0027]、[0033]-[0097]段,图1-4):在S1之前,进行以下步骤的操作:(i)接受IP访问请求,判断该IP是否在所述过滤列表中,如果不在所述过滤列表中,则执行所述步骤1,如果在所述过滤列表中,则进行步骤(ii) (相当于既存网络攻击处理步骤(SS1)中的:根据预先设置的存储有已被确定为网络攻击的访问请求的信息的网络攻击信息表,来判定所述访问请求是否是既存网络攻击,并进行分支处理);(ii)判断该IP的此次访问与第一次被添加到所述过滤列表中的时间间隔是否在预设时间B内,如果超过所述预设时间B,则在所述过滤列表中删除记录的所述IP地址,并执行所述步骤1,如果在预设时间B内,则拒绝其进行服务器访问。由此可见,对比文件2公开了在数据采集和检测之前用预存的网络攻击信息表来进行预判断,根据判定结果进行分支处理,以避免不必要的重复检测,也就是说对比文件2给出了将上述特征应用到对比文件1中以避免重复检测的技术启示,本领域技术人员能够将对比文件2公开的用网络攻击信息表进行是否为既存网络攻击的预判断用于对比文件1的方案中,在数据采集步骤之前执行既存网络攻击的预判断,并基于结果进行分支处理,直接判定为网络攻击,或继续执行访问数据采集步骤。因此,在对比文件1的基础上结合对比文件2和本领域的惯用手段,获得该权利要求所要求保护的技术方案,对本领域技术人员来说是显而易见的,该权利要求不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
6、权利要求8对权利要求7作了进一步的限定,其附加技术特征已被对比文件2所公开(参见说明书第[0007]-[0016]段):S3:判断所述攻击次数是否超过预设最大攻击次数N1,如果没有超过所述最大攻击次数N1,则拒绝其访问WEB服务器,如果超过所述最大攻击次数N1,则通过将所述访问的IP地址添加至过滤列表来进行底层过滤,并且拒绝其访问WEB服务器。在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
7、权利要求9对权利要求7作了进一步的限定。对比文件1还公开了另一技术方案(参见说明书第[0070]-[0072]段):本申请提出了以下的方法可提高HTTP-Flood的检测精度,减少合法用户的误杀量。首先获取用户HTTP请求的信息,其中包括用户IP地址、访问时间、HTTP协议中User-Agent字段,以IP地址为依据,分别记录这些信息;后续的访问,记录并更新这些信息的访问次数;在某一指定的时间间隔,计算每个用户IP地址的访问次数,如果其访问次数超过某个阈值,再计算该IP地址的所有User-Agent的信息熵值,如果信息熵值较小,则可认为该IP地址与某一User-Agent有较强的关联关系,即该IP地址的请求可能来自于同一个用户电脑环境,这可认为该IP地址存在恶意攻击行为,如果信息熵值较大,说明该IP地址可能来自于不同的用户电脑环境,该IP地址可能是共享出口的IP地址,这些访问可认为是合法访问。通过计算一段时间内的User-Agent的信息熵,可以分析出User-Agent的分散程度。因此上述对比文件1的另一技术方案公开了,通过两级检测的方式判断访问请求是否是网络攻击,在较为复杂的通过计算分散程度来进行网络攻击检测之前,首先采用了统计指定时间间隔内每个用户IP地址访问次数的方式,在访问次数超过阈值时执行下一步网络攻击检测。即上述对比文件1的另一技术方案已经给出了在精确检测之前执行基于访问频率的网络攻击预侦测步骤的启示,本领域技术人员可以基于该启示,当所述访问频率超过可疑访问频率阈值时,判定为所述访问请求是可疑访问请求,接着进行所述访问数据采集步骤,而当所述访问频率未超过所述可疑访问频率阈值时,无需进行下一步精确的检测即可认为不是网络攻击,从而减少需要进行下一步精确网络攻击检测的检测数量,提高检测的效率。在其引用的权利要求不具备创造性时,该权利要求也不具备专利法第22条第3款规定的创造性。
8、权利要求10-11对权利要求1或9作了进一步的限定。根据网站的网络环境预先设定可疑访问频率阈值为能够判定访问请求是网络攻击的频率阈值是本领域的惯用手段;而为了防止预侦测步骤遗漏一部分访问频率位于可疑访问频率阈值附近的可疑访问请求,而将可疑访问频率的阈值设置为比预先设定的能够判定网络攻击的频率阈值更低的某个值,如20%,使更多的访问请求能够进入精确的网络攻击检测步骤,进行再次筛查,从而在兼顾检测效率的同时能够避免遗漏可疑访问请求,是本领域的惯用手段。在其引用的权利要求不具备创造性时,上述权利要求也不具备专利法第22条第3款规定的创造性。
9、权利要求12、14对权利要求1-9中任意一项作了进一步的限定,权利要求13对权利要求12作了进一步的限定。其附加技术特征均已被对比文件1公开(参见说明书第[0003]、[0016]、[0037]段):HTTP-Flood攻击(基于HTTP协议的DDoS攻击)的主要目标是Web服务器的网页。本申请的主要目的在于提供一种网络攻击检测方法及其装置,以解决现有技术存在的缺少精确而有效地检测对网站的HTTP-Flood攻击的技术问题;在本申请的一个实施例中,所述访问请求信息包括访问者的以下信息:IP地址和访问时间;相关访问信息包括:访问平均时间间隔及其离散度……若IP地址的访问平均时间间隔的离散度与访问平均时间间隔的比值小于预设值,则判定该IP地址为攻击IP地址。在其引用的权利要求不具备创造性时,上述权利要求也不具备专利法第22条第3款规定的创造性。
10、权利要求15-20是与权利要求1、7-11的方法权利要求一一对应的装置权利要求,在装置中采用相应的模块单元来实现方法中各步骤相应的功能是本领域的惯用手段,基于与评述权利要求1、7-11类似的理由,权利要求15-20的装置权利要求也不具备专利法第22条第3款规定的创造性。
(三)关于复审请求人的意见
针对请求人的意见陈述,合议组认为:
(1)对比文件1公开的通过访问频率阈值进行网络攻击快速检测的技术方案,由于其相对于基于访问频率进行检测的传统方法算法更复杂,因此客观存在如何进一步改进检测效率的技术问题;且对比文件1中已明确记载通过两级检测的方式判断访问请求是否是网络攻击,而该两级检测的方式客观地减少了进入第二步精确检测步骤的待检测数量,也就是说,对比文件1中已经给出了在精确检测之前执行预侦测步骤的启示,且实际上同样起到了兼顾精确度和检测效率的作用。预侦查步骤中的阈值如何设定对本领域技术人员而言是根据需要进行调整的参数;为了防止预侦查步骤遗漏一部分访问频率位于可疑访问频率阈值附近的访问请求,而将可疑访问频率的阈值设置为比预先设定的能够判定网络攻击的频率阈值更低,使更多的访问请求能够进入精确的网络攻击检测步骤,进行再次筛查,从而在兼顾检测效率的同时能够避免遗漏可疑访问请求,这是本领域的惯用手段。
(2)对比文件1已经公开了一种精确的网络攻击检测方式,以及在另一个实施例中公开了通过两级检测的方式判断访问请求是否是网络攻击,基于对比文件1公开的内容、以及现有技术中的技术启示,本领域技术人员能够对对比文件1公开的技术方案进一步改进,从而兼顾检测效率的同时能够避免遗漏可疑访问请求,实现更高效检测网络攻击的技术效果,这是本领域技术人员根据所掌握的现有技术可预期达到的、并非是远超出现有技术的效果。基于以上理由,合议组坚持关于权利要求1-20不具备专利法第22条第3款规定的创造性的意见。
三、决定
维持国家知识产权局于2018年05月30日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人自收到本决定之日起3个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
