发明创造名称:一种恶意行为的检测方法及系统
外观设计名称:
决定号:181708
决定日:2019-06-19
委内编号:1F265713
优先权日:
申请(专利)号:201510386083.7
申请日:2015-06-30
复审请求人:百度在线网络技术(北京)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:胡向莉
合议组组长:梁婷
参审员:张真
国际分类号:H04L29/06
外观设计分类号:
法律依据:专利法第22条第3款
决定要点:如果一项权利要求请求保护的技术方案与对比文件公开的技术方案相比存在区别特征,但该区别特征是本领域技术人员解决发明实际解决的技术问题时的惯用手段,则该项权利要求请求保护的技术方案不具有突出的实质性特点和显著的进步,不具备创造性。
全文:
本复审请求涉及申请号为201510386083.7,名称为“一种恶意行为的检测方法及系统”的发明专利申请(下称本申请)。申请人为百度在线网络技术(北京)有限公司。本申请的申请日为2015年06月30日,公开日为2015年10月14日。
经实质审查,国家知识产权局原审查部门于2018年07月27日发出驳回决定,驳回了本申请,其理由是:权利要求1-8相对于对比文件1和本领域惯用手段的结合不具备专利法第22条第3款规定的创造性。驳回决定所引用的对比文件为:对比文件1:CN104219230A,公开日为2014年12月17日。驳回决定所依据的文本为:2018年01月10日提交的权利要求第1-8项;申请日2015年06月30日提交的说明书第1-114段(即第1-14页)、说明书附图第1-3页、说明书摘要和摘要附图。驳回决定所针对的权利要求书如下:
“1. 一种恶意行为的检测方法,其特征在于,所述方法包括:获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;对所述待检测IP地址进行恶意行为检测,以获得检测结果;所述对所述待检测IP地址进行恶意行为检测,以获得检测结果,包括:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,以及
预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果。
2. 根据权利要求1所述的方法,其特征在于,所述根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,所述方法还包括:
采集恶意IP地址;
根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
3. 根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
4. 根据权利要求1至2中任一项所述的方法,其特征在于,所述方法还包括:
若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所 述提示信息用以指示用户进行相应的操作;或者,
若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
5. 一种恶意行为的检测系统,其特征在于,所述系统包括:
获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元,用于对所述待检测IP地址进行恶意行为检测,以获得检测结果;
所述检测单元,具体用于:
根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果。
6. 根据权利要求5所述的系统,其特征在于,所述系统还包括:
采集单元,用于采集恶意IP地址;
计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
7. 根据权利要求6所述的系统,其特征在于,所述计算单元,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
8. 根据权利要求5至6中任一项所述的系统,其特征在于,所述系统还包括:
输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。”
申请人(下称复审请求人)对上述驳回决定不服,于2018年11月12日向国家知识产权局提出了复审请求,同时修改了权利要求书,将从属权利要求2和6的附加特征加入到了各自的独立权利要求1和5中,删除了权利要求1和6中的部分特征,修改了权利要求之间的引用关系,并适应性重新编号为权利要求第1-6项。复审请求人认为:(1)本申请不是基于现有技术中利用URL和恶意文件的内容来检测恶意行为,而是基于待查URL对应的IP地址的信誉分值来检测恶意行为,能够提高恶意行为的检出率。本申请建立IP地址信誉库时,根据恶意IP地址的采集来源和采集来源的数据更新频率中的至少一个,获得恶意IP地址的信誉分值,使IP地址信誉分值的分配更加精确;(2)对比文件1的目的在于快速有效地识别恶意网站,通过恶意地址数据库中是否存在待检测IP地址所在的IP地址段来检测恶意行为,已经是一个完整的检测方案,没必要再建立IP地址信誉库并利用待测IP地址的信誉值以及预设信誉分值与恶意行为的对应关系来检测恶意行为。因为这样设置两种完全不同的两套识别恶意网站的策略,与本申请发明目的“快速有效”相悖,且在一套系统中存在两种不同的识别策略时,存在如何选择策略以及两种策略结果发生矛盾如何解决的问题。因此,本申请的具有创造性。复审请求时新修改的权利要求书如下:
“1. 一种恶意行为的检测方法,其特征在于,所述方法包括:
获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
根据所述待检测IP地址查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果,
在所述根据所述待检测IP地址查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,还包括:
采集恶意IP地址;
根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
3. 根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,
若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
4. 一种恶意行为的检测系统,其特征在于,所述系统包括:
获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元,用于根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值,根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果;
采集单元,用于采集恶意IP地址;
计算单元,用于根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值;
存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
5. 根据权利要求4所述的系统,其特征在于,所述计算单元,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
6. 根据权利要求4或5所述的系统,其特征在于,所述系统还包括:
输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。”
经形式审查合格,国家知识产权局于2018年11月21日依法受理了该复审请求,并将其转送至原审查部门进行前置审查。
原审查部门在前置审查意见书中认为,修改后的权利要求1-6仍然不具备专利法第22条第3款规定的创造性,因而坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年02月27日向复审请求人发出复审通知书,该复审通知书所针对的文本为:2018年11月12日提交的权利要求第1-6项;申请日2015年06月30日提交的说明书第1-14页、说明书附图第1-3页、说明书摘要和摘要附图。该复审通知书所引用的对比文件与驳回决定中所引用的对比文件相同,即对比文件1。通知书中指出:权利要求1-6相对于对比文件1以及本领域惯用手段的结合不具备专利法第22条第3款规定的创造性。同时,该复审通知书还针对复审请求人的复审请求意见进行了答复:1、对于上述第1点意见,对比文件1已经公开了基于待查URL对应的IP地址来检测恶意行为;而根据恶意IP地址的来源和攻击频率等信息形成信誉分值进行精细化判断,这是计算机网络和通信领域技术人员能够想到的,IP地址信誉评价是一种检测IP地址的常见方式。因此,根据采集来源以及采集来源的数据更新频率中的至少一个,获取其信誉分值,建立IP地址信誉库以作为后续检测对比使用,这是本领域的惯用手段。2、对于上述第2点意见,虽然对比文件1中没有提及IP地址信誉库,但是本申请的IP地址信誉库中保存的是IP地址信誉分值,是和IP地址的来源以及攻击频率有关的内容,这些均是本领域常见的技术手段,是检测恶意IP地址的常规方法。对比文件1已经公开了按照IP地址进行恶意检测,在对比文件1所公开内容的基础上,为了更加精细、准确的根据IP地址快速识别恶意网站,本领域技术人员有动机建立IP地址信誉库,设置信誉分值,根据预设的信誉分值与恶意行为的检测结果的对应关系,获取IP地址的检测结果。
复审请求人于2019年04月15日答复上述复审通知书时提交了意见陈述书,同时修改了权利要求书,修改后的权利要求书共6项权利要求,将独立权利要求1和4中的特征“根据所述恶意IP地址的采集来源和采集来源的数据更新频率中至少一个,获得所述恶意IP地址的信誉分值”修改为“根据所述恶意IP地址的采集来源的类型、数量和数据更新频率,获得所述恶意IP地址的信誉分值”。复审请求人认为:权利要求1中记载的IP地址信誉评价是根据所述恶意IP地址的采集来源的类型、数量和数据更新频率,获得所述恶意IP地址的信誉分值,该技术手段不属于本领域常见方式,现有技术中采用的方式与权利要求1不同。因此,本申请权利要求1-6具有创造性。复审请求人在答复2019年02月27日发出的复审通知书时新修改的权利要求书内容如下:
“1. 一种恶意行为的检测方法,其特征在于,所述方法包括:
获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
根据所述待检测IP地址查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;
根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果;
在所述根据所述待检测IP地址查询IP地址信誉库,以获得所述待检测IP地址的信誉分值之前,还包括:
采集恶意IP地址;
根据所述恶意IP地址的采集来源的类型、数量和数据更新频率,获得所述恶意IP地址的信誉分值;
对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
2. 根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
3. 根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,
若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。
4. 一种恶意行为的检测系统,其特征在于,所述系统包括:
获取单元,用于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址;
检测单元,用于根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值,根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果;
采集单元,用于采集恶意IP地址;
计算单元,用于根据所述恶意IP地址的采集来源的类型、数量和数据更新频率,获得所述恶意IP地址的信誉分值;
存储单元,用于对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,以生成所述IP地址信誉库。
5. 根据权利要求4所述的系统,其特征在于,所述计算单元,还用于:
根据信誉分值的有效期,若所述IP地址信誉库中恶意IP地址的信誉分值在所述有效期内没有发生变化,在所述有效期之后,降低所述恶意IP地址的信誉分值。
6. 根据权利要求4或5所述的系统,其特征在于,所述系统还包括:
输出单元,用于若所述检测结果为所述待检测IP地址属于恶意IP地址,显示提示信息,所述提示信息用以指示用户进行相应的操作;或者,若所述检测结果为所述待检测IP地址属于正常IP地址或者未知IP地址,不显示提示信息。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人于2019年04月15日提交了权利要求书的修改文本,经审查,上述修改文本的修改之处符合专利法第33条的规定。本复审请求审查决定所依据的审查文本为:2019年04月15日提交的权利要求第1-6项;申请日2015年06月30日提交的说明书第1-14页、说明书附图第1-3页、说明书摘要和摘要附图。
(二)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
本复审请求审查决定所引用的对比文件与驳回决定以及复审通知书所引用的对比文件相同,为:
对比文件1:CN 104219230A,公开日为2014年12月17日。
1、独立权利要求1要求保护一种恶意行为的检测方法。对比文件1公开了一种识别恶意网站的方法及装置(参见对比文件1说明书第[0021]-[0104]段、图1-2),并具体公开了:步骤201,根据统计的恶意网站的网址信息,获取恶意IP地址(相当于采集恶意IP地址);步骤202,根据地址段分类方式,对恶意IP地址进行地址段分类,得到多个IP地址段,该地址段分类方式包括字节分类、地理位置和归属机构分类;步骤203,根据获取的恶意IP地址,从该多个IP地址段中选择恶意IP地址段;步骤204,将恶意IP地址段存储在恶意地址段数据库中;步骤205,接收终端发送的查询请求,该查询请求中携带待识别网站的网址信息;步骤206,从待识别网站的网址信息中,获取待识别网站的域名;步骤207,根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址(相当于获取客户端访问的统一资源定位符URL所对应的网络互连协议IP地址,以作为待检测IP地址);步骤208,根据地址段分类方式,确定获取的IP地址所在的IP地址段;步骤209:如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站(相当于对所述待检测IP地址进行恶意行为检测,以获得检测结果)。
该权利要求与对比文件1的区别特征是:根据所述待检测IP地址,查询IP地址信誉库,以获得所述待检测IP地址的信誉分值;根据所述待检测IP地址的信誉分值,以及预设的信誉分值与恶意行为的检测结果的对应关系,获得所述待检测IP地址的恶意行为检测的检测结果;在查询之前,恶意IP地址的信誉分值是根据恶意IP地址的采集来源的类型、数量和数据更新频率而获得的,对应存储正常IP地址与正常IP地址的信誉分值、所述恶意IP地址与所述恶意IP地址的信誉分值,生成IP地址信誉库。
基于上述区别特征,该权利要求相对于对比文件1实际解决的技术问题是:如何提高通过IP地址检测恶意行为的精准性。
对于上述区别特征,对比文件1已经公开了将恶意IP地址段存储在数据库中,而IP地址信誉评价是本领域的一种检测IP地址的常见方式,为了对各IP地址进行精细化管理,通过恶意IP地址的采集来源的类型、数量和数据更新频率等常用参数来获取其信誉分值,使用信誉分值标识该信息的恶意程度,对应存储以生成IP地址信誉库,这是本领域的惯用手段。因此,为了精细化检测IP地址以区分恶意地址,本领域技术人员有动机基于上述惯用手段将对比文件1的技术方案进行改进,在检测和阻拦恶意IP地址时提前建立IP地址信誉库,设置信誉分值,根据预设的信誉分值与恶意行为的检测结果的对应关系,获取IP地址的检测结果。
由此可见,在对比文件1的基础上结合上述本领域的惯用手段得到该权利要求的技术方案,对于本领域技术人员而言是显而易见的。因此,该权利要求不具备突出的实质性特点和显著的进步,不具备专利法第22条第3款规定的创造性。
2、权利要求2对权利要求1进一步限定,对于该权利要求的附加特征来说,恶意行为的攻击频率也是一个衡量恶意行为恶意程度的重要标准,因此,设置信誉分值的有效期,若信誉分值在有效期内没有发生变化,则降低恶意IP地址的信誉分值,这是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,该权利要求不具备专利法第22条第3款规定的创造性。
3、权利要求3对权利要求2或3进一步限定,对于该权利要求的附加特征来说,根据恶意行为检测结果来确定是否显示提示信息,这是本领域的惯用手段。因此,在其引用的权利要求不具备创造性的基础上,该权利要求不具备专利法第22条第3款规定的创造性。
4、权利要求4-6请求保护一种与权利要求1-3请求保护的恶意行为的检测方法一一对应的恶意行为的检测系统,并限定了使用不同的功能单元完成相应的步骤,由于通过相应的功能单元实现相应的方法步骤是本领域的惯用手段,因此,参见本复审请求审查决定对权利要求1-3的上述审查意见,基于相同的理由,以及上述本领域的惯用手段,权利要求4-6相对于对比文件1和上述本领域的惯用手段的结合也不具备专利法第22条第3款规定的创造性。
(三)关于复审请求人意见陈述的答复
对复审请求人陈述的以上意见,合议组认为,基于对比文件1公开的上述内容,其已公开了“步骤207:根据待识别网站的域名,从存储的域名与IP地址之间的对应关系中获取对应的IP地址;恶意网站的网址信息可以为该网站的URL;步骤208:根据地址段分类方式,确定获取的IP地址所在的IP地址段;步骤209:如果恶意地址段数据库中存在该IP地址段,则确定待识别网站为恶意网站;云安全服务器统计的恶意网站可以是云安全服务器检测得到的,还可以是接收用户举报的”,即对比文件1已经公开了基于待查URL对应的IP地址来检测恶意行为;而IP地址信誉评价是一种检测IP地址的常见方式,根据恶意IP地址的采集来源类型、攻击数量和频率等信息形成信誉分值进行精细化判断,这是计算机网络和通信领域技术人员能够想到的。因此,在以上现有技术的基础上,本领域技术人员在需要时,能够想到根据恶意IP地址的采集来源的类型、数量和数据更新频率,获取其信誉分值,建立IP地址信誉库以作为后续检测对比使用。
综上所述,合议组对复审请求人的上述意见不予支持。
三、决定
维持国家知识产权局于2018年07月27日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
