发明创造名称:一种网络攻击行为检测方法及相关装置
外观设计名称:
决定号:189214
决定日:2019-09-09
委内编号:1F273552
优先权日:
申请(专利)号:201610575103.X
申请日:2016-07-19
复审请求人:腾讯科技(深圳)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:张巍
合议组组长:左一
参审员:刘斌
国际分类号:H04L29/06,H04L29/08
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:权利要求的技术方案与最接近的现有技术存在区别特征,其中部分区别特征既未被其他现有技术所公开,也不能从这些现有技术中以及本领域的公知常识中得到技术启示,且该权利要求的技术方案可以获得有益的技术效果,则该权利要求具备创造性。
全文:
本复审请求涉及申请号为201610575103.X,名称为“一种网络攻击行为检测方法及相关装置”的发明专利申请(下称本申请)。申请人为腾讯科技(深圳)有限公司。本申请的申请日为2016年07月19日,公开日为2016年09月21日。
经实质审查,国家知识产权局原审查部门于2018年11月02日以本申请不符合专利法第22条第3款的规定为由发出驳回决定,驳回了本申请。驳回决定所依据的文本为:申请人于2018年10月09日提交的权利要求第1-22项,2016年07月19日提交的说明书第1-131段、说明书附图1-10,说明书摘要及摘要附图。驳回决定中引用了如下对比文件:对比文件1:CN103248472A,公开日为2013年08月14日;对比文件2:CN105704146A,公开日为2016年06月22日。驳回决定中认为:权利要求1-22相对于对比文件1、对比文件2和公知常识的结合不具备创造性,不符合专利法第22条第3款的规定。
驳回决定所针对的权利要求书如下:
“1. 一种网络攻击行为检测方法,其特征在于,包括:
接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息;
判断所述用户上传信息中是否包含网络攻击信息;
仅在所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息发送至业务逻辑层进行处理;
所述判断所述用户上传信息中是否包含网络攻击信息的步骤包括:
提取所述用户上传信息中的发送方信息,所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址;
判断所述发送方信息是否是合法发送方信息;
或;
提取所述用户上传信息中的上传请求参数,所述上传请求参数为用户上传信息过程中采用的参数;
判断所述上传请求参数中是否包含网络攻击信息。
2. 根据权利要求1所述的方法,其特征在于,所述判断所述发送方信息是否是合法发送方信息的步骤包括:
判断所述发送方信息是否存储在发送方白名单列表中,所述发送方白名单列表中至少包括:发送用户上传信息的合法用户对应的合法发送方信息。
3. 根据权利要求1所述的方法,其特征在于,所述判断所述发送方信息是否是合法发送方信息的步骤包括:
判断所述发送方信息是否未存储在发送方黑名单列表中,所述发送方黑名单列表中至少包括:发送用户上传信息的非法用户对应的非法发送方信息。
4. 根据权利要求1所述的方法,其特征在于,所述判断所述上传请求参数中是否包含网络攻击信息的步骤包括:
判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符。
5. 根据权利要求1所述的方法,其特征在于,所述判断所述登录请求参数中是否包含网络攻击信息的步骤包括:
判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符。
6. 根据权利要求1所述的方法,其特征在于,还包括:
在预设时间间隔中,统计由同一用户发送包含网络攻击信息的用户上传信息的次数;
在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息。
7. 根据权利要求1所述的方法,其特征在于,在判断所述用户上传信息中是否包含网络攻击信息之前,还包括:
提取包含网络攻击信息的用户上传信息中的发送方信息;
判断所述发送方信息是否存储在安全扫描白名单列表中,所述安全扫描白名单列表中至少包括:适配安全平台漏洞扫描的发送方信息;
在所述发送方信息存储在安全扫描白名单列表中的情况下,判断所述用户上传信息中是否包含网络攻击信息。
8. 根据权利要求1所述的方法,其特征在于,在判断所述用户上传信息中是否包含网络攻击信息之前,还包括:
提取包含网络攻击信息的用户上传信息中的发送方信息;
判断所述发送方信息中是否包含漏洞扫描的请求标识;
在所述发送方信息中包含漏洞扫描的请求标识的情况下,判断所述用户上传信息中是否包含网络攻击信息。
9. 根据权利要求1或2所述的方法,其特征在于,在确定在所述用户上传信息中不包含网络攻击信息的情况下,还包括:
提取不包含网络攻击信息的用户上传信息中的发送方信息;
依据所述不包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方白名单列表进行更新。
10. 根据权利要求1或3所述的方法,其特征在于,在确定在所述用户上传信息中包含网络攻击信息的情况下,还包括:
提取包含网络攻击信息的用户上传信息中的发送方信息;
依据所述包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方黑名单列表进行更新。
11. 一种网络攻击行为检测装置,其特征在于,包括:
用户上传信息接收模块,用于接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息;
判断模块,用于判断所述用户上传信息中是否包含网络攻击信息;
第一用户上传信息发送模块,用于仅在所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息发送至业务逻辑层进行处理;
所述判断模块包括:
第一发送方信息提取模块,用于提取所述用户上传信息中的发送方信息,所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址;
合法发送方信息判断模块,用于判断所述发送方信息是否是合法发送方信息;
或;
所述判断模块包括:
上传请求参数提取模块,用于提取所述用户上传信息中的上传请求参数,所述上传请求参数为用户上传信息过程中采用的参数;
上传请求参数判断模块,用于判断所述上传请求参数中是否包含网络攻击信息。
12. 根据权利要求11所述的装置,其特征在于,所述合法发送方信息判断模块包括:
第一合法发送方信息判断子模块,用于判断所述发送方信息是否存储在发送方白名单列表中,所述发送方白名单列表中至少包括:发送用户上传信息的合法用户对应的合法发送方信息。
13. 根据权利要求11所述的装置,其特征在于,所述合法发送方信息判断模块包括:
第二合法发送方信息判断子模块,用于判断所述发送方信息是否未存储在发送方黑名单列表中,所述发送方黑名单列表中至少包括:发送用户上传信息的非法用户对应的非法发送方信息。
14. 根据权利要求11所述的装置,其特征在于,所述上传请求参数判断模块包括:
SQL注入攻击特征判断模块,用于判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符;
XSS注入攻击特征判断模块,用于判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符。
15. 根据权利要求11所述的装置,其特征在于,还包括:
用户上传信息次数统计模块,用于在预设时间间隔中,统计由同一用户发送包含网络攻击信息的用户上传信息的次数;
提示信息发送模块,用于在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息。
16. 根据权利要求11所述的装置,其特征在于,还包括:
第二发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
第一发送方信息判断模块,用于判断所述发送方信息是否存储在安全扫描白名单列表中,所述安全扫描白名单列表中至少包括:适配安全平台漏洞扫描的发送方信息。
17. 根据权利要求11所述的装置,其特征在于,还包括:
第三发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
第二发送方信息判断模块,用于判断所述发送方信息中是否包含漏洞扫描的请求标识。
18. 根据权利要求11或12所述的装置,其特征在于,还包括:
第四发送方信息提取模块,用于提取不包含网络攻击信息的用户上传信息中的发送方信息;
白名单列表更新模块,用于依据所述不包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方白名单列表进行更新。
19. 根据权利要求11或13所述的装置,其特征在于,还包括:
第五发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
黑名单列表更新模块,用于依据所述包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方黑名单列表进行更新。
20. 一种应用服务器,其特征在于,包括:
如权利要求11至权利要求19任意一项所述的网络攻击行为检测装置。
21. 一种计算机设备,其特征在于,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于实现如上权利要求1至8任一项所述的网络攻击行为检测方法。
22. 一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至8任一项所述的网络攻击行为检测方法。”
申请人(下称复审请求人)对上述驳回决定不服,于2019年02月14日向国家知识产权局提出了复审请求,同时修改了权利要求书,其中主要修改方式为在独立权利要求1、11中进一步限定了技术特征“在框架层”、“从框架层”、“避免业务逻辑层对网络攻击信息的处理”,对其他权利要求未作修改。复审请求人认为:修改后的权利要求1接收用户上传信息以及判断所述用户上传信息中是否包含网络攻击信息的步骤都是在框架层执行的,仅在所述用户上传信息中不包含网络攻击信息的情况下,才将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理,而对比文件1中的业务服务器执行了对登录请求的网络攻击识别过程,对比文件1中并不能避免业务服务器对任何网络攻击信息的处理操作。因此,本申请具备创造性。复审请求时新修改的权利要求书中权利要求1、11的内容如下:
“1. 一种网络攻击行为检测方法,其特征在于,包括:
在框架层接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息;
在框架层判断所述用户上传信息中是否包含网络攻击信息;
仅在所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理;
所述判断所述用户上传信息中是否包含网络攻击信息的步骤包括:
提取所述用户上传信息中的发送方信息,所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址;
判断所述发送方信息是否是合法发送方信息;
或;
提取所述用户上传信息中的上传请求参数,所述上传请求参数为用户上传信息过程中采用的参数;
判断所述上传请求参数中是否包含网络攻击信息。”
“11. 一种网络攻击行为检测装置,其特征在于,包括:
用户上传信息接收模块,用于在框架层接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息;
判断模块,用于在框架层判断所述用户上传信息中是否包含网络攻击信息;
第一用户上传信息发送模块,用于仅在所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理;
所述判断模块包括:
第一发送方信息提取模块,用于提取所述用户上传信息中的发送方信息,所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址;
合法发送方信息判断模块,用于判断所述发送方信息是否是合法发送方信息;
或;
所述判断模块包括:
上传请求参数提取模块,用于提取所述用户上传信息中的上传请求参数,所述上传请求参数为用户上传信息过程中采用的参数;
上传请求参数判断模块,用于判断所述上传请求参数中是否包含网络攻击信息。”
经形式审查合格,国家知识产权局于2019年02月19日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中坚持驳回决定的意见。
随后,国家知识产权局成立合议组对本案进行审理。合议组于2019年06月25日向复审请求人发出复审通知书。复审通知书所针对的文本为:复审请求人于2019年02月14日提交的权利要求第1-22项,2016年07月19日提交的说明书第1-131段、说明书附图1-10,说明书摘要及摘要附图。复审通知书中引用的对比文件为驳回决定中引用的对比文件1和对比文件2。复审通知书中指出:权利要求1的两个技术方案分别相对于对比文件1和本领域常用技术手段的结合、对比文件1、对比文件2和本领域常用技术手段的结合不具备创造性;从属权利要求2-10的附加技术特征或被对比文件1、2所公开,或属于本领域的常用技术手段,因此也不具备创造性;基于和权利要求1-10类似的理由,权利要求11-19也不具备创造性;在权利要求1-8、11-19不具备创造性的基础上,权利要求20-22也不具备创造性。因此,权利要求1-22均不符合专利法第22条第3款的规定。同时针对复审请求人的意见进行了答复。
复审请求人于2019年08月05日提交了意见陈述书,同时对权利要求书进行了较大修改,其中基于说明书的内容对权利要求1、11中涉及的框架层、业务逻辑层进行了进一步限定,并将权利要求6、15的内容补入权利要求1、11中,此外还作了其他文字性修改,对其他权利要求也进行了修改。修改后的权利要求书的内容为:
“1、一种网络攻击行为检测方法,其特征在于,应用于服务器,包括:
在框架层接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息,其中所述框架层封装了对所有请求进行处理的公共方法;
在框架层判断所述用户上传信息中是否包含网络攻击信息,其中通过提取所述用户上传信息中的发送方信息,并通过判断所述发送方信息是否是合法发送方信息来确定所述用户上传信息中是否包含网络攻击信息,或者,通过提取所述用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息;所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址,所述上传请求参数为用户上传信息过程中采用的参数;
在框架层确认所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理,其中所述业务逻辑层用于逻辑性数据的生成、处理及转换;
在框架层确认所述用户上传信息中包含网络攻击信息的情况下,在预设时间间隔中,统计由同一用户发送包含网络攻击信息的用户上传信息的次数;
在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息。
2、根据权利要求1所述的方法,其特征在于,所述判断所述发送方信息是否是合法发送方信息来确定所述用户上传信息中是否包含网络攻击信息的步骤包括:
判断所述发送方信息是否存储在发送方白名单列表中来确定所述用户上传信息中是否包含网络攻击信息,当发送方信息存储在发送方白名单列表中,确定用户上传信息中不包含网络攻击信息,所述发送方白名单列表中至少包括:发送用户上传信息的合法用户对应的合法发送方信息。
3、根据权利要求1所述的方法,其特征在于,所述判断所述发送方信息是否是合法发送方信息来确定所述用户上传信息中是否包含网络攻击信息的步骤包括:
判断所述发送方信息是否未存储在发送方黑名单列表中来确定所述用户上传信息中是否包含网络攻击信息,当发送方信息未存储在发送方黑名单列表中,确定用户上传信息中不包含网络攻击信息,所述发送方黑名单列表中至少包括:发送用户上传信息的非法用户对应的非法发送方信息。
4、根据权利要求1所述的方法,其特征在于,所述通过提取所述用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息的步骤包括:
提取所述用户上传信息中的上传请求参数;
判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符;
在所述上传请求参数中包含结构化查询语言SQL注入攻击特征字符的情况下,确定所述用户上传信息中包含网络攻击信息。
5、根据权利要求1所述的方法,其特征在于,所述通过提取所述用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息的步骤包括:
提取所述用户上传信息中的上传请求参数;
判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符;
在所述上传请求参数中包含跨站脚本XSS注入攻击特征字符的情况下,确定所述用户上传信息中包含网络攻击信息。
6、根据权利要求1所述的方法,其特征在于,在框架层判断所述用户上传信息中是否包含网络攻击信息之前,还包括:
提取包含网络攻击信息的用户上传信息中的发送方信息;
判断所述发送方信息是否存储在安全扫描白名单列表中,所述安全扫描白名单列表中至少包括:适配安全平台漏洞扫描的发送方信息;
在所述发送方信息存储在安全扫描白名单列表中的情况下,判断所述用户上传信息中是否包含网络攻击信息。
7、根据权利要求1所述的方法,其特征在于,在框架层判断所述用户上传信息中是否包含网络攻击信息之前,还包括:
框架层提取包含网络攻击信息的用户上传信息中的发送方信息;
判断所述发送方信息中是否包含漏洞扫描的请求标识;
在所述发送方信息中包含漏洞扫描的请求标识的情况下,判断所述用户上传信息中是否包含网络攻击信息。
8、根据权利要求1或2所述的方法,其特征在于,在框架层确认所述用户上传信息中不包含网络攻击信息的情况下,还包括:
框架层提取不包含网络攻击信息的用户上传信息中的发送方信息;
依据所述不包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方白名单列表进行更新。
9、根据权利要求1或3所述的方法,其特征在于,在框架层确认所述用户上传信息中包含网络攻击信息的情况下,还包括:
框架层提取包含网络攻击信息的用户上传信息中的发送方信息;
依据所述包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方黑名单列表进行更新。
10、一种网络攻击行为检测装置,其特征在于,应用于服务器,所述装置包括:
用户上传信息接收模块,用于在框架层接收用户上传信息,所述用户上传信息为客户端与服务器交互过程中主动上传的信息或者客户端响应服务器请求所上传的信息,其中所述框架层封装了对所有请求进行处理的公共方法;
判断模块用于:在框架层判断所述用户上传信息中是否包含网络攻击信息,其中通过提取所述用户上传信息中的发送方信息,并通过判断所述发送方信息是否是合法发送方信息来确定所述用户上传信息中是否包含网络攻击信息,或者,通过提取所述用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息;所述发送方信息至少包括:发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的协议IP地址,所述上传请求参数为用户上传信息过程中采用的参数;
第一用户上传信息发送模块,用于在框架层确认所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理,其中所述业务逻辑层用于逻辑性数据的生成、处理及转换;
用户上传信息次数统计模块,用于在框架层确认所述用户上传信息中包含网络攻击信息的情况下,在预设时间间隔中,统计由同一用户发送包含网络攻击信息的用户上传信息的次数;
提示信息发送模块,用于在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息。
11、根据权利要求10所述的装置,其特征在于,所述判断模块包括:
第一合法发送方信息判断子模块,用于判断所述发送方信息是否存储在发送方白名单列表中来确定所述用户上传信息中是否包含网络攻击信息,当发送方信息存储在发送方白名单列表中,确定用户上传信息中不包含网络攻击信息,所述发送方白名单列表中至少包括:发送用户上传信息的合法用户对应的合法发送方信息。
12、根据权利要求10所述的装置,其特征在于,所述判断模块包括:
第二合法发送方信息判断子模块,用于判断所述发送方信息是否未存储在发送方黑名单列表中来确定所述用户上传信息中是否包含网络攻击信息,当发送方信息未存储在发送方黑名单列表中,确定用户上传信息中不包含网络攻击信息,所述发送方黑名单列表中至少包括:发送用户上传信息的非法用户对应的非法发送方信息。
13、根据权利要求10所述的装置,其特征在于,所述判断模块包括:
SQL注入攻击特征判断模块,用于提取所述用户上传信息中的上传请求参数,判断所述上传请求参数中是否包含结构化查询语言SQL注入攻击特征字符,在所述上传请求参数中包含结构化查询语言SQL注入攻击特征字符的情况下,确定所述用户上传信息中包含网络攻击信息;
XSS注入攻击特征判断模块,用于提取所述用户上传信息中的上传请求参数,判断所述上传请求参数中是否包含跨站脚本XSS注入攻击特征字符,在所述上传请求参数中包含跨站脚本XSS注入攻击特征字符的情况下,确定所述用户上传信息中包含网络攻击信息。
14、根据权利要求10所述的装置,其特征在于,还包括:
第二发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
第一发送方信息判断模块,用于判断所述发送方信息是否存储在安全扫描白名单列表中,所述安全扫描白名单列表中至少包括:适配安全平台漏洞扫描的发送方信息。
15、根据权利要求10所述的装置,其特征在于,还包括:
第三发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
第二发送方信息判断模块,用于判断所述发送方信息中是否包含漏洞扫描的请求标识。
16、根据权利要求10或11所述的装置,其特征在于,还包括:
第四发送方信息提取模块,用于提取不包含网络攻击信息的用户上传信息中的发送方信息;
白名单列表更新模块,用于依据所述不包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方白名单列表进行更新。
17、根据权利要求10或12所述的装置,其特征在于,还包括:
第五发送方信息提取模块,用于提取包含网络攻击信息的用户上传信息中的发送方信息;
黑名单列表更新模块,用于依据所述包含网络攻击信息的用户上传信息中的发送方信息,对所述发送方黑名单列表进行更新。
18、一种应用服务器,其特征在于,包括:
如权利要求10至权利要求17任意一项所述的网络攻击行为检测装置。
19、一种计算机设备,其特征在于,包括:
处理器和存储器;
其中,所述处理器用于执行所述存储器中存储的程序;
所述存储器用于存储程序,所述程序至少用于实现如上权利要求1至9任一项所述的网络攻击行为检测方法。
20、一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时, 实现如上权利要求1至9任一项所述的网络攻击行为检测方法。”
复审请求人在意见陈述书中主要认为:1、本申请中框架层以及业务逻辑层都属于服务器一侧,框架层封装了对所有请求进行处理的公共方法,而业务逻辑层用于逻辑性数据的生成、处理及转换,对比文件1中没有相应的框架层、业务逻辑层;2、本申请中所有的验证过程都是在框架层执行的,本申请只有在框架层完成所有的验证操作之后,并验证发送方信息是合法发送方信息的情况下,才会将所述用户上传信息从框架层发送至业务逻辑层进行处理,本申请的业务逻辑层并没有执行任何的验证操作,而对比文件1中的业务服务器执行了对用户身份进行认证的操作,因此两者的验证方式是完全不同的;3、本申请是在框架层确认所述用户上传信息中包含网络攻击信息的情况下,才会预设时间间隔中统计由同一用户发送包含网络攻击信息的用户上传信息的次数,而对比文件1中并不是在框架层确认所述用户上传信息中包含网络攻击信息的情况下去执行用户上传信息的次数统计操作的,对比文件1也没有公开在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息的技术特征。因此,修改后的权利要求1对框架层、业务逻辑层等具体组织架构做了限定,从而使该权利要求的技术方案相对于对比文件具备突出的实质性特点和显著的进步,因而具备创造性,其他权利要求也具备创造性。
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
1、审查文本的认定
复审请求人于2019年08月05日提交了修改后的权利要求书,经审查,其中的修改之处符合专利法33条的规定。本复审请求审查决定所针对的文本为:复审请求人于2019年08月05日提交的权利要求第1-20项,2016年07月19日提交的说明书第1-131段、说明书附图1-10,说明书摘要及摘要附图。
2、具体理由的阐述
本复审请求审查决定所引用的对比文件与驳回决定中所引用的对比文件相同,即:
对比文件1:CN103248472A,公开日为2013年08月14日;
对比文件2:CN105704146A,公开日为2016年06月22日。
2.1权利要求1请求保护一种网络攻击行为检测方法,对比文件1公开了一种处理操作请求的方法,其中具体公开了以下内容(参见对比文件1说明书第0073-0122段,图1-7):当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,可以通过AOP技术拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作的合法性,其中所述业务操作请求可以包括业务操作的内容、操作ID、用户的权限ID以及用户的其他信息;当检测到所请求的业务操作为非法业务操作时,阻止所述非法业务操作的执行;当检测到所请求的业务操作为合法业务操作时,将所述业务操作请求转发到所述业务服务器,以使业务服务器完成对应操作;当检测到所述业务操作请求所请求的业务操作为非法业务操作的次数达到预设的次数阈值时,确定所述用户为攻击用户(相当于在预设时间间隔中,统计由同一用户发送包含网络攻击信息的用户上传信息的次数),并将所述用户添加到黑名单,所述黑名单用于记录用户ID和/或用户IP,使得添加到黑名单中的用户在后续都无法登录到服务端;预置所述攻击用户识别规则,拦截用户发送的登录请求(相当于用户上传信息为客户端与服务器交互过程中主动上传的信息),从所述登录请求中提取用户令牌Token,并校验用户Token是否有效(相当于提取用户上传信息中的发送发信息,并通过判断所述发送方信息是否是合法发送发信息来确定所述用户上传信息中是否包含网络攻击信息),例如可以校验出用户伪造的Token是无效的Token,或者还可以通过AOP技术拦截防护装置转发到所述业务服务器的登录请求,从所述登录请求中提取用户Token,并校验用户Token是否有效,其中所述防护装置用于接收用户发送的登录请求,并结合访问控制列表ACL和黑名单检测所述登录请求是否符合登录条件,当满足登录条件时,将所述登录请求转发到所述业务服务器,当不满足登录条件时,拒绝所述登录请求,其中,所述登录请求可以包括用户Token、用户ID、用户IP等属性(相当于所述发送方信息至少包括发送用户上传信息的用户对应的用户标识或者发送用户上传信息的用户的网络之间互连的IP地址);图5为本发明实施例提供的一种处理操作请求的系统的结构示意图,所述系统包括攻击识别装置1和业务服务器2,所述攻击识别装置1用于当用户发送业务操作请求时,拦截所述用户发送的业务操作请求,并根据预置的攻击用户识别规则检测所述业务操作请求所请求的业务操作,所述业务服务器2,用于接收所述业务操作请求,并根据所述业务操作请求完成业务操作。
由对比文件1公开的内容可知(尤其参见图2),对比文件1的技术方案在处理业务操作请求时,首先根据用户识别规则对用户发送的登录请求进行验证,若根据用户令牌确定用户为攻击用户,则将用户添加到黑名单,若用户令牌有效,则将用户的登录请求转发到业务服务器,由业务服务器对用户身份进行认证;在认证通过后,用户可以向业务服务器发送业务操作请求,通过拦截用户发送的业务操作请求,对业务操作请求的业务操作的合法性进行验证。即,对比文件1中对用户的验证分为三个阶段,分别为对登录请求的用户令牌的校验,业务服务器对用户身份的认证以及认证成功后对用户发送的业务操作请求的验证,其处理过程并不刻意区分封装所有请求进行处理的公共方法的框架层和对逻辑性数据生成、处理及转换的业务逻辑层。
将权利要求1的技术方案与对比文件1相比,其区别特征在于:a、用户上传信息还可以为客户端响应服务器请求所上传的信息;b、通过提取用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息,所述上传请求参数为用户上传信息过程中采用的参数;c、权利要求1中在框架层接收用户上传信息,所述框架层封装了对所有请求进行处理的公共方法,对用户上传信息的判断均在框架层中进行,在框架层确认所述用户上传信息中不包含网络攻击信息的情况下,将所述用户上传信息从框架层发送至业务逻辑层进行处理,避免业务逻辑层对网络攻击信息的处理,其中所述业务逻辑层用于逻辑性数据的生成、处理及转换,在框架层确认所述用户上传信息中包含网络攻击信息的情况,并在由同一用户发送包含网络攻击信息的用户上传信息的次数满足预设网络攻击次数值的情况下,向该用户发送访问受到限制的提示信息。基于上述区别特征所能实现的技术效果可以确定,权利要求1实际所要解决的技术问题是:如何防止恶意代码植入型网络攻击行为以及如何及时检测网络攻击行为并减少服务器的资源消耗。
对于区别特征a,对本领域技术人员来说,为了网络安全的目的,一般会对用户上传的全部信息进行判断,设置被检测的对象为用户主动向服务器上传信息或者是客户端响应服务器请求上传的信息属于本领域技术人员可以根据需求而采用的常规技术手段。
对于区别特征b,对比文件2公开了如下技术内容(参见其说明书第0029-0040段):本发明设计了一种SQL防注入的系统,首先对http的请求的安全检测,系统设置有IP的黑名单和http过滤规则进行安全检测;满足一定攻击条件的请求源IP设置为黑名单,IP黑名单作为第一道防线,系统会拦截掉黑名单的IP请求;第二道防线为请求规则检测,系统会对通过IP检测的请求进行请求参数合法性的检测,如果参数异常,对请求进行拦截(相当于权利要求1中的通过提取用户上传信息中的上传请求参数来判断所述用户上传信息中是否包含网络攻击信息,所述上传请求参数为用户上传信息过程中采用的参数)。可见,区别特征b已被对比文件2公开。
对于区别特征c,其明确限定了对用户上传信息的处理均在框架层中处理,所述框架层封装了对所有请求进行处理的公共方法,在框架层确定用户上传信息中不包含网络攻击信息的情况下,才将用户上传信息从框架层发送到用于逻辑性数据的生成、处理及转换的业务逻辑层进行处理,而对比文件1中对用户上传信息的处理为三个阶段的验证,其并未将服务器侧区分为封装所有请求进行处理的公共方法的框架层和用于逻辑性数据的生成、处理及转换的业务逻辑层,对比文件1中第二阶段对用户的认证已经由业务服务器进行处理,之后才对用户的业务操作请求进行第三阶段的验证,对比文件1图5所公开的内容即属于第三阶段的验证,即从整体上而言,对比文件1中并非对所有的用户上传信息均由框架层进行处理,因此权利要求1和对比文件1的技术方案中,服务器在接收到用户的上传信息后对其进行的处理分别基于不同层次的处理,本领域技术人员无法从对比文件1中得到技术启示,从而得到上述区别特征c。同时,对比文件2中也没有公开上述区别特征c,也未给出相应的技术启示,且上述区别特征c也不属于本领域的公知常识。包含该区别特征的权利要求1的技术方案可以获得及时检测网络攻击行为并减少服务器的资源消耗的有益效果。因此,权利要求1的技术方案具备突出的实质性特点和显著的进步。
综上所述,权利要求1的技术方案相对于对比文件1、对比文件2和公知常识的结合或对比文件1和公知常识的结合均具备创造性,符合专利法第22条第3款的规定。
2、权利要求10请求保护与权利要求1的方法对应的装置权利要求,其各个模块的功能一一对应于权利要求1中的各步骤,基于和评述权利要求1类似的理由,权利要求10相对于对比文件1、对比文件2和公知常识的结合或对比文件1和公知常识的结合也具备创造性,符合专利法第22条第3款的规定。
3、在权利要求1、10具备创造性的基础上,从属权利要求2-9、11-17也具备创造性,符合专利法第22条第3款的规定。
4、权利要求18请求保护一种应用服务器,其包括如权利要求10至权利要求17任意一项所述的网络攻击行为检测装置。如前所述,在权利要求10-17具备创造性的基础上,权利要求18也具备创造性,符合专利法第22条第3款的规定。
5、权利要求19请求保护一种计算机设备,其包括存储用于实现如上权利要求1至9任一项所述的网络攻击行为检测方法的程序。如前所述,在权利要求1-9具备创造性的基础上,权利要求20也具备创造性,符合专利法第22条第3款的规定。
6、权利要求20请求保一种存储介质,其存储有实现如上权利要求1至9任一项所述的网络攻击行为检测方法的计算机可执行指令。如前所述,在权利要求1-9具备创造性的基础上,权利要求20也具备创造性,符合专利法第22条第3款的规定。
三、决定
撤销国家知识产权局于2018年11月02日对本申请作出的驳回决定。由国家知识产权局原审查部门以下述文本为基础继续进行审批程序:
复审请求人于2019年08月05日提交的权利要求第1-20项;
复审请求人于2016年07月19日提交的说明书第1-131段、说明书附图1-10,说明书摘要及摘要附图。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
