知財求人 - 知財ポータルサイト「IP Force」
▶ エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッドの特許一覧 ▶ エヌエスフォーカス テクノロジーズ インクの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】特表2015-532048(P2015-532048A)
(43)【公表日】2015年11月5日
(54)【発明の名称】自動的なスキャン行為の判断方法及び装置
(51)【国際特許分類】
H04L 12/70 20130101AFI20151009BHJP
G06F 21/56 20130101ALI20151009BHJP
【FI】
H04L12/70 100Z
G06F21/56 320
【審査請求】有
【予備審査請求】未請求
【全頁数】21
(21)【出願番号】特願2015-528862(P2015-528862)
(86)(22)【出願日】2013年8月29日
(85)【翻訳文提出日】2015年2月27日
(86)【国際出願番号】CN2013082556
(87)【国際公開番号】WO2014032600
(87)【国際公開日】20140306
(31)【優先権主張番号】201210313458.3
(32)【優先日】2012年8月29日
(33)【優先権主張国】CN
(81)【指定国】
AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ
(71)【出願人】
【識別番号】511273078
【氏名又は名称】エヌエスフォーカス インフォメーション テクノロジー カンパニー,リミテッド
【氏名又は名称原語表記】NSFOCUS INFORMATION TECHNOLOGY CO.,LTD
(71)【出願人】
【識別番号】515056130
【氏名又は名称】エヌエスフォーカス テクノロジーズ インク
【氏名又は名称原語表記】NSFOCUS TECHNOLOGIES,INC.
(74)【代理人】
【識別番号】100161322
【弁理士】
【氏名又は名称】白坂 一
(72)【発明者】
【氏名】熊 俊勇
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030MA04
5K030MB09
5K030MC08
(57)【要約】
【解決手段】本発明は、自動的なスキャン行為の判断方法及び装置を開示する。当該方法は、既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、選定したウェブサイトサーバから選定した送信端へフィードバックしたアクセス応答メッセージとを採集するステップと、既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、選定した送信端の応答信頼値を確定するステップと、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、既定周期内の、選定した送信端の総合評価値を計算する;総合評価値と第1既定閾値を比較し、選定した送信端に自動的なスキャン行為の発生有無を判断するステップとを備える。当該技術案は従来より適用性及び正確性がさらに高くなる。【選択図】図1
【特許請求の範囲】
【請求項1】
自動的なスキャン行為の判断方法であって、
前記方法は、
既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するステップと、
前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定するステップと、
採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定するステップと、
前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算するステップと、
前記総合評価値と第1既定閾値とを比較して、判断前記選定した送信端において自動的なスキャン行為の発生有無を判断するステップとを備えることを特徴とする自動的なスキャン行為の判断方法。
前記方法は、
既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するステップと、
前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定するステップと、
採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定するステップと、
前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算するステップと、
前記総合評価値と第1既定閾値とを比較して、判断前記選定した送信端において自動的なスキャン行為の発生有無を判断するステップとを備えることを特徴とする自動的なスキャン行為の判断方法。
【請求項2】
統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定することは、
統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得し、
前記統計データシークエンスのうちの最大値を取得し、取得した最大値と第2既定閾値とを比較し、
取得した最大値が前記第2既定閾値より小さくなければ、取得した最大値と前記第2既定閾値の比を前記リクエスト信頼値とし、
取得した最大値が前記第2既定閾値より小さければ、前記統計データシークエンスの誤差比を計算し、前記誤差比が第3既定閾値より小さければ、前記誤差比を前記リクエスト信頼値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得し、
前記統計データシークエンスのうちの最大値を取得し、取得した最大値と第2既定閾値とを比較し、
取得した最大値が前記第2既定閾値より小さくなければ、取得した最大値と前記第2既定閾値の比を前記リクエスト信頼値とし、
取得した最大値が前記第2既定閾値より小さければ、前記統計データシークエンスの誤差比を計算し、前記誤差比が第3既定閾値より小さければ、前記誤差比を前記リクエスト信頼値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
【請求項3】
前記統計データシークエンスの誤差比を計算することは、
前記統計データシークエンスの標準差と平均値とを計算し、
前記統計データシークエンスの標準差と平均値の比を前記統計データシークエンスの誤差比とすることを特徴とする請求項2に記載の自動的なスキャン行為の判断方法。
前記統計データシークエンスの標準差と平均値とを計算し、
前記統計データシークエンスの標準差と平均値の比を前記統計データシークエンスの誤差比とすることを特徴とする請求項2に記載の自動的なスキャン行為の判断方法。
【請求項4】
前記統計データシークエンスの標準差と平均値とを計算することは、
式(3)により前記統計データシークエンスYiの標準差σを計算し、
式(4)により前記統計データシークエンスYiの平均値
を計算し、
ここで、yiは統計データシークエンスYi中の第i個エリメントを示し、i=0,1,...n-1、nは統計データシークエンスYi中のエリメントの総数を示すことを特徴とする請求項3に記載の自動的なスキャン行為の判断方法。
式(3)により前記統計データシークエンスYiの標準差σを計算し、
式(4)により前記統計データシークエンスYiの平均値
【数1】
【数2】
【請求項5】
前記誤差比が第3既定閾値より小さくなければ、
前記統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、
前記第1傾斜度の絶対値と前記第2傾斜度の絶対値の平均値を前記リクエスト信頼値とすることを特徴とする請求項2に記載の自動的なスキャン行為の判断方法。
前記統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、
前記第1傾斜度の絶対値と前記第2傾斜度の絶対値の平均値を前記リクエスト信頼値とすることを特徴とする請求項2に記載の自動的なスキャン行為の判断方法。
【請求項6】
前記統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とを計算することは、
式(5)により前記統計データシークエンスYi前第1既定個数のエリメントの第1傾斜度k1を計算し、
式(6)により前記統計データシークエンスYi後部からの第2既定個数のエリメントの第2傾斜度k2を計算し、
ここで、yiは、統計データシークエンスYi中の第i個エリメントを示し、i=0,1,...n1,...,n-n2,...n、n1は第1既定個数であり、n2は第2既定個数であり、nは統計データシークエンスYi中エリメントの総数であることを特徴とする請求項5に記載の自動的なスキャン行為の判断方法。
式(5)により前記統計データシークエンスYi前第1既定個数のエリメントの第1傾斜度k1を計算し、
式(6)により前記統計データシークエンスYi後部からの第2既定個数のエリメントの第2傾斜度k2を計算し、
【数3】
【数4】
【請求項7】
統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定することは、
成功した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第1比を得、前記第1を前記応答信頼値とし、
または、
失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、前記第1比と前記第2比を得て、前記応答信頼値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
成功した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第1比を得、前記第1を前記応答信頼値とし、
または、
失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、前記第1比と前記第2比を得て、前記応答信頼値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
【請求項8】
確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算することは、
前記第1重み係数と前記リクエスト信頼値を乗算して第1積を得、前記第2重み係数と前記応答信頼値を乗算して第2積を得、
前記第1積と前記第2積の和を前記総合評価値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
前記第1重み係数と前記リクエスト信頼値を乗算して第1積を得、前記第2重み係数と前記応答信頼値を乗算して第2積を得、
前記第1積と前記第2積の和を前記総合評価値とすることを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
【請求項9】
前記総合評価値と第1既定閾値とを比較して、前記選定した送信端において自動的なスキャン行為の発生有無を判断することは、
前記総合評価値が前記第1既定閾値より大きければ、前記選定した送信端に自動的なスキャン行為が発生すると判断し、
前記総合評価値が前記第1既定閾値より大きくなければ、前記選定した送信端に自動的なスキャン行為が発生しなかったと判断することを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
前記総合評価値が前記第1既定閾値より大きければ、前記選定した送信端に自動的なスキャン行為が発生すると判断し、
前記総合評価値が前記第1既定閾値より大きくなければ、前記選定した送信端に自動的なスキャン行為が発生しなかったと判断することを特徴とする請求項1に記載の自動的なスキャン行為の判断方法。
【請求項10】
自動的なスキャン行為の判断装置であって、
前記装置は、
既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するメッセージ採集手段と、
前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定する信頼値確定手段と、
前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算する評価値確定手段と、
前記総合評価値と第1既定閾値とを比較して、判断前記選定した送信端において自動的なスキャン行為の発生有無を判断する判断手段とを備えることを特徴とする自動的なスキャン行為の判断装置。
前記装置は、
既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するメッセージ採集手段と、
前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定する信頼値確定手段と、
前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算する評価値確定手段と、
前記総合評価値と第1既定閾値とを比較して、判断前記選定した送信端において自動的なスキャン行為の発生有無を判断する判断手段とを備えることを特徴とする自動的なスキャン行為の判断装置。
【請求項11】
前記信頼値確定手段は、
統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得し、
前記統計データシークエンスのうちの最大値を取得し、取得した最大値と第2既定閾値とを比較し、
取得した最大値が前記第2既定閾値より小さくなければ、取得した最大値と前記第2既定閾値の比を前記リクエスト信頼値とし、
取得した最大値が前記第2既定閾値より小さければ、前記統計データシークエンスの誤差比を計算し、前記誤差比が第3既定閾値より小さければ、前記誤差比を前記リクエスト信頼値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得し、
前記統計データシークエンスのうちの最大値を取得し、取得した最大値と第2既定閾値とを比較し、
取得した最大値が前記第2既定閾値より小さくなければ、取得した最大値と前記第2既定閾値の比を前記リクエスト信頼値とし、
取得した最大値が前記第2既定閾値より小さければ、前記統計データシークエンスの誤差比を計算し、前記誤差比が第3既定閾値より小さければ、前記誤差比を前記リクエスト信頼値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
【請求項12】
前記信頼値確定手段は、
前記統計データシークエンスの標準差と平均値とを計算し、
前記統計データシークエンスの標準差と平均値の比を前記統計データシークエンスの誤差比とすることを特徴とする請求項11に記載の自動的なスキャン行為の判断装置。
前記統計データシークエンスの標準差と平均値とを計算し、
前記統計データシークエンスの標準差と平均値の比を前記統計データシークエンスの誤差比とすることを特徴とする請求項11に記載の自動的なスキャン行為の判断装置。
【請求項13】
前記信頼値確定手段は、
式(3)により前記統計データシークエンスYiの標準差σを計算し、
式(4)により前記統計データシークエンスYiの平均値
を計算し、
ここで、yiは統計データシークエンスYi中の第i個エリメントを示し、i=0,1,...n-1、nは統計データシークエンスYi中のエリメントの総数を示すことを特徴とする請求項12に記載の自動的なスキャン行為の判断装置。
式(3)により前記統計データシークエンスYiの標準差σを計算し、
式(4)により前記統計データシークエンスYiの平均値
【数5】
【数6】
【請求項14】
前記誤差比が第3既定閾値より小さくなければ、前記信頼値確定手段は、
前記統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、
前記第1傾斜度の絶対値と前記第2傾斜度の絶対値の平均値を前記リクエスト信頼値とすることを特徴とする請求項11に記載の自動的なスキャン行為の判断装置。
前記統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、
前記第1傾斜度の絶対値と前記第2傾斜度の絶対値の平均値を前記リクエスト信頼値とすることを特徴とする請求項11に記載の自動的なスキャン行為の判断装置。
【請求項15】
前記信頼値確定手段は、
式(5)により前記統計データシークエンスYiの前部からの第1既定個数のエリメントの第1傾斜度k1を計算し、
式(6)により前記統計データシークエンスYi後部からの第2既定個数のエリメントの第2傾斜度k2を計算し、
ここで、yiは統計データシークエンスYi中の第i個のエリメントを示し、i=0,1,...n1,...,n-n2,...nであり、n1は第1既定個数であり、n2は第2既定個数であり、nは、統計データシークエンスYi中のエリメントの総数であることを特徴とする請求項14に記載の自動的なスキャン行為の判断装置。
式(5)により前記統計データシークエンスYiの前部からの第1既定個数のエリメントの第1傾斜度k1を計算し、
式(6)により前記統計データシークエンスYi後部からの第2既定個数のエリメントの第2傾斜度k2を計算し、
【数7】
【数8】
【請求項16】
前記信頼値確定手段は、
成功した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第1比を得、前記第1比を前記応答信頼値とし、
または、
失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、前記第1比と前記第2比を得て、前記応答信頼値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
成功した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第1比を得、前記第1比を前記応答信頼値とし、
または、
失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、前記第1比と前記第2比を得て、前記応答信頼値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
【請求項17】
前記評価値確定手段は、
前記第1重み係数と前記リクエスト信頼値を乗算して第1積を得、前記第2重み係数と前記応答信頼値を乗算して第2積を得、
前記第1積と前記第2積の和を前記総合評価値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
前記第1重み係数と前記リクエスト信頼値を乗算して第1積を得、前記第2重み係数と前記応答信頼値を乗算して第2積を得、
前記第1積と前記第2積の和を前記総合評価値とすることを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
【請求項18】
前記判断手段は、前記総合評価値が前記第1既定閾値より大きければ、前記選定した送信端に自動的なスキャン行為が発生すると判断し、
前記総合評価値が前記第1既定閾値より大きくなければ、前記選定した送信端に自動的なスキャン行為が発生しなかったと判断することを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
前記総合評価値が前記第1既定閾値より大きくなければ、前記選定した送信端に自動的なスキャン行為が発生しなかったと判断することを特徴とする請求項10に記載の自動的なスキャン行為の判断装置。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はネットワークセキュリティ技術分野に関し、特に、自動的なスキャン行為の判断方法及び装置に関する。
【背景技術】
【0002】
本出願は、2012年08月29日に中国特許局に提出し、出願番号が201210313458.3であり、発明名称が「自動的なスキャン行為の判断方法及び装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0003】
インターネット技術の発展と伴い、ウェブサイトにおける情報量は爆発的に増えつつ、サーチ・エンジン、ダウンロードツール、スキャナーなど、ウェブサイトに対する自動的なスキャン行為を起こすツールも増えつつある。これらのツールの自動的なスキャン行為は、ユーザーにより生成されたものではなく、ツール自身がウェブサイト情報を分析するために自動的に生成されたものである。これらのツールの自動的なスキャン行為により多くのネットワークリソースが占有され、ユーザーからの正常なアクセスに影響を及ぼすようになる。よって、これらの自動的なスキャン行為を判断して、遮断することは必要となる。
【発明の概要】
【発明が解決しようとする課題】
【0004】
従来の自動的なスキャン行為の判断方法は以下2種類があった。第1種
自動的なスキャン行為を起こすツールの特徴情報に基づいて、自動的なスキャン行為を判断する特徴情報データベースを確立し、アクセスリクエストを受信後、アクセスリクエストにおける特徴情報と、特徴情報データベースにおける特徴情報とをマッチすることにより、自動的なスキャン行為の有無を判断する。当該方法の適用性が悪く、既知の特徴情報のツールの自動的なスキャン行為のみを判断でき、未知の特徴情報に対して何の役も立てない。
第2種
ネットワークセキュリティ装置のアラーム頻度により判断し、あるアラーム頻度を超えると、自動的なスキャン行為として判断する。当該方法は、簡単過ぎ、正確性が低い。
【0005】
よって、従来の自動的なスキャン行為の判断方法は、適用性と正確性が低い。
【0006】
本発明に係る実施例は、自動的なスキャン行為の判断方法及び装置を提供し、従来の自動的なスキャン行為の判断方法の適用性及び正確性が低い問題点を解決できる。
【課題を解決するための手段】
【0007】
本発明に係る自動的なスキャン行為の判断方法は、既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するステップと、前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定するステップと、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定するステップと、前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算するステップと、前記総合評価値と第1既定閾値とを比較して、前記選定した送信端において自動的なスキャン行為の発生有無を判断するステップとを備える。
【0008】
自動的なスキャン行為の判断装置は、既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集するメッセージ採集手段と、前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定する信頼値確定手段と、前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算する評価値確定手段と、前記総合評価値と第1既定閾値とを比較して、前記選定した送信端において自動的なスキャン行為の発生有無を判断する判断手段とを備える。
【発明の効果】
【0009】
本発明の効果は以下のようである。本発明に係る実施例の自動的なスキャン行為の判断方法及び装置は、既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、前記選定したウェブサイトサーバから前記選定した送信端へフィードバックしたアクセス応答メッセージとを採集し、前記既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、前記選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、前記選定した送信端の応答信頼値を確定する前記リクエスト信頼値に対応する第1重み係数と、前記応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、前記既定周期内の前記選定した送信端の総合評価値を計算し、前記総合評価値と第1既定閾値とを比較して、前記選定した送信端において自動的なスキャン行為の発生有無を判断する。当該技術案は、採集した選定した送信端により送信したアクセスリクエストメッセージと、ウェブサイトサーバからフィードバックしたアクセス応答メッセージとにより、選定した送信端の総合評価値を最終的に確定し、そして、総合評価値と第1既定閾値の比較結果により、選定した送信端に自動的なスキャン行為の発生有無を判断する。当該技術案は、各選定した送信端に対しても、アクセスリクエストメッセージとアクセス応答メッセージを採集して判断することができるため、従来の既知データベース情報のマッチ結果により判断することより、適応性が高い。当該技術案は、採集したアクセスリクエストメッセージに基づいて選定した送信端のリクエスト信頼値を確定し、また、採集した応答メッセージにより、選定した送信端の応答信頼値を確定する。その後、リクエスト信頼値と、応答信頼値とにより、選定した送信端の総合評価値を確定する。本発明は、選定した送信端のリクエスト信頼値と応答信頼値とを総合的に考慮したため、従来のネットワークセキュリティ装置のアラーム頻度のみに基づいて判断することより、正確性がさらに高くなる。
【図面の簡単な説明】
【0010】
【発明を実施するための形態】
【0011】
従来の自動的なスキャン行為の判断方法の適用性及び正確性が弱い問題点を解決するため、本発明に係る実施例は、自動的なスキャン行為の判断方法を提供する。当該方法のフローチャートは図1に示すように、以下のステップを備える。
【0012】
S10:既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、選定したウェブサイトサーバから選定した送信端へフィードバックしたアクセス応答メッセージとを採集する。
【0013】
実のニーズに応じて、一定の時間を既定周期として選定し、現在多数のウェブサイトサーバが存在し、1つまたは複数のウェブサイトサーバを、選定したウェブサイトサーバとして選定し、ある選定したウェブサイトサーバに、複数の送信端によりアクセスされるが、全部または一部の送信端を選定した送信端として選定する。
【0014】
ある選定した送信端の場合、既定周期において、当該送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、選定したウェブサイトからフィードバックしたアクセス応答メッセージとを採集する。即ち、選定サーバが受信した、選定した送信端のインターネットプロトコル(Internet Protocol,IP)アドレスを、ソースIPアドレスのアクセスリクエストメッセージとして採集し、選定サーバが送信した、選定した送信端のIPアドレスを、目的IPアドレスのアクセス応答メッセージとして採集する。
【0015】
S11:既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、選定した送信端のリクエスト信頼値を確定する。
【0016】
既定周期などを少なくとも2つの既定サブ周期に分け、もし既定周期をTとし、既定サブ周期をtとすれば、Tは、nとtの積と等しく、ここで、nは既定サブ周期数である。もし統計した第1既定サブ周期t1内の採集したアクセスリクエストメッセージ数がy1であり、第2个既定サブ周期t2内の、採集したアクセスリクエストメッセージ数がy2であり、......、第nの固定子周期tn内の、採集したアクセスリクエストメッセージ数がynであれば、y1、y2、......、ynにより選定した送信端のリクエスト信頼値を確定する。
【0017】
S12:採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、選定した送信端の応答信頼値を確定する。
【0018】
選定したウェブサイトサーバの、選定した送信端的アクセスリクエストメッセージに対するアクセス応答メッセージは、成功した応答メッセージと、失敗した応答メッセージとの2種類がある。統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、選定した送信端の応答信頼値を確定することができる。
【0019】
S12とS11は前後順ではなく、S11を執行してからS12を執行してもよいし、S12を執行してからS11を執行してもよい。もちろん、S11とS12とを同時に執行してもよい。
【0020】
S13:リクエスト信頼値に対応する第1重み係数と、応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、既定周期内の、選定した送信端の総合評価値を計算する。
【0021】
第1重み係数と第2重み係数は、実のニースに応じて設定することができる。
【0022】
S14:総合評価値と第1既定閾値を比較し、選定した送信端に自動的なスキャン行為の発生有無を判断する。
【0023】
採集した選定した送信端により送信したアクセスリクエストメッセージと、ウェブサイトサーバからフィードバックしたアクセス応答メッセージとにより、選定した送信端の総合評価値を最終的に確定し、そして、総合評価値と第1既定閾値の比較結果により、選定した送信端に自動的なスキャン行為の発生有無を判断する。当該技術案は、各選定した送信端に対しても、アクセスリクエストメッセージとアクセス応答メッセージを採集して判断することができるため、従来の既知データベース情報のマッチ結果により判断することより、適応性が高い。当該技術案は、採集したアクセスリクエストメッセージに基づいて選定した送信端のリクエスト信頼値を確定し、また、採集した応答メッセージにより、選定した送信端の応答信頼値を確定する。その後、リクエスト信頼値と、応答信頼値とにより、選定した送信端の総合評価値を確定する。本発明は、選定した送信端のリクエスト信頼値と応答信頼値とを総合的に考慮したため、従来のネットワークセキュリティ装置のアラーム頻度のみに基づいて判断することより、正確性がさらに高くなる。
【0024】
具体的に、上述S11における統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、選定した送信端のリクエスト信頼値を確定することは、図2に示すように、下記のステップを備える。
【0025】
S111:統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得する。
【0026】
統計した各既定サブ周期内的アクセスリクエストメッセージ数を記録し、統計データシークエンスは、式(1)である。
【0027】
【数1】
【0028】
nは、既定サブ周期数を示し、即ち、統計データシークエンスYi中のエリメント数を示す。
【0029】
S112:統計データシークエンスのうちの最大値を取得し、取得した最大値が第2既定閾値より小さいか否かを判断する。取得した最大値が第2既定閾値より小さければ、S113を執行し、取得した最大値が第2既定閾値より小さくなければ、S114を執行する。
【0030】
S113:取得した最大値と第2既定閾値の比をリクエスト信頼値とする。
【0031】
第2既定閾値をYmaxと仮説し、ymaxは、Yiのうちの最大値であり、ymaxがYmaxより大きければ、ymaxとYmaxの比を、リクエスト信頼値Qとする。
【0032】
S114:統計データシークエンスの誤差比を計算し、誤差比が第3既定閾値より小さいか否かを判断する。誤差比が第3既定閾値より小さければ、S115を執行し、誤差比が第3既定閾値より小さくなければ、S116を執行する。
【0033】
ymaxがYmaxより小さくなければ、統計データシークエンスYiの誤差比Kを引き続き計算する必要がある。ここで、Kが大きいほど、統計データシークエンス中のデータが分散していることを示し、これは人より開始したアクセスリクエストメッセージの場合と一致する。一方、Kが小さいほど、統計データシークエンス中のデータが集中することを示し、これは選定した送信端に自動的なスキャン行為が存在する場合と一致する。
【0034】
S115:誤差比をリクエスト信頼値とする。
【0035】
誤差比Kが第3既定閾値より小さければ、誤差比Kは、リクエスト信頼値Qである。
【0036】
S116:統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、第1傾斜度の絶対値と第2傾斜度の絶対値の平均値をリクエスト信頼値とする。
【0037】
誤差比Kは第3既定閾値より小さくなければ、即ち、統計データシークエンス中のデータが、非常に分散するため、リクエスト信頼値Qを確定することができない。そうすれば、統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とを選定する。統計データシークエンスYi中の前部からの5つのエリメントと、後部からの5つのエリメントを選定すると仮説し、前部からの5つのエリメント的傾斜度k1と、後部からの5つのエリメント的傾斜度k2を算出することができる。k1とk2の絶対値の平均値をリクエスト信頼値Qとする。
【0038】
【数2】
【0039】
具体的に、上述S114における統計データシークエンスの誤差比を計算することは、統計データシークエンスの標準差と平均値とを計算し、統計データシークエンスの標準差と平均値の比を、統計データシークエンスの誤差比とすることを指す。
【0040】
具体的に、上述統計データシークエンスの標準差と平均値とを計算することは、式(3)により統計データシークエンスYiの標準差σを計算し、式(4)により統計データシークエンスYiの平均値【0041】
【数3】
【0042】
【数4】
【0043】
ここで、yiは統計データシークエンスYi中の第i個のエリメントを示し、i=0,1,...n-1であり、nは、統計データシークエンスYi中のエリメントの総数を示す。
【0044】
具体的に、上述S116における統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とを計算することは、具体的には、式(5)により統計データシークエンスYiの前部の第1既定個数のエリメントの第1傾斜度k1を計算し、式(6)により統計データシークエンスYi後部の第2既定個数のエリメントの第2傾斜度k2を計算する。
【0045】
【数5】
【0046】
【数6】
【0047】
ここで、yiは、統計データシークエンスYiにおける、第i個のエリメントを示し、i=0,1,...n1,...,n-n2,...nであり、n1は第1既定個数であり、n2は第2既定個数であり、nは統計データシークエンスYi中のエリメントの総数である。
【0048】
具体的に、上述S11における統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、選定した送信端の応答信頼値を確定することは、成功した応答メッセージ数を採集したアクセス応答メッセージ数で割って第1比を得、第1比を応答信頼値とするか、または、失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、第1比と第2比の差を応答信頼値とする。
【0049】
もし既定周期における、成功した応答メッセージ数s1と、失敗した応答メッセージ数s2とを統計すれば、式(7)を応答信頼値Aとしてもよいし、式(8)を応答信頼値Aとしてもよい。
【0050】
【数7】
【0051】
【数8】
【0052】
具体的に、上述S12における確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、既定周期内の、選定した送信端の総合評価値を計算することは、第1重み係数とリクエスト信頼値の乗算で第1積を得、第2重み係数と応答信頼値の乗算で第2積を得て、第1積と第2積の和を総合評価値とする。
【0053】
第1重み係数と第2重み係数は、実のニーズに応じて設定することができる。第1重み係数をとし、第2重み係数をα2とすれば、総合評価値は式(9)である。
【0054】
【数9】
【0055】
具体的に、上述S13における総合評価値と第1既定閾値を比較し、選定した送信端に自動的なスキャン行為の発生有無を判断することは、総合評価値が第1既定閾値により大きければ、選定した送信端に自動的なスキャン行為が発生したと判断し、総合評価値が第1既定閾値より大きくなければ、選定した送信端未に自動的なスキャン行為が発生しなかったと判断する。
【0056】
総合評価値 式(9)と第1既定閾値の大小に基づいて選定端末に自動的なスキャン行為が発生したか否かを判断することができる。
【0057】
総合評価値 式(9)に対し、まだ2つの特殊の場合がある。場合1:第1重み係数α1が0である場合、応答信頼値を総合評価値とし、即ち、応答信頼値のみに基づいて、選定した送信端に自動的なスキャン行為の発生を判断する。
場合2:第2重み係数α2が0である場合、リクエスト信頼値を総合評価値とする。即ち、リクエスト信頼値のみに基づいて、選定した送信端に自動的なスキャン行為の発生を判断する。
【0058】
同一の発明思想に基づいて、本発明に係る実施例は、自動的なスキャン行為の判断装置をさらに提供する。当該装置の構造は図3に示すように、メッセージ採集手段30と、信頼値確定手段31と、評価値確定手段32と、判断手段33とを備える。
【0059】
メッセージ採集手段30は、既定周期において、選定した送信端から選定したウェブサイトサーバへ送信したアクセスリクエストメッセージと、選定したウェブサイトサーバから選定した送信端へフィードバックしたアクセス応答メッセージと採集する。
【0060】
信頼値確定手段31は、既定周期などを少なくとも2つの既定サブ周期に分け、各既定サブ周期内のアクセスリクエストメッセージ数を順次に統計し、統計した各既定サブ周期内のアクセスリクエストメッセージ数に基づいて、選定した送信端のリクエスト信頼値を確定し、採集したアクセス応答メッセージのうちの成功した応答メッセージ数と失敗した応答メッセージ数とを統計し、統計した成功した応答メッセージ数と失敗した応答メッセージ数とに基づいて、選定した送信端の応答信頼値を確定する。
【0061】
評価値確定手段32は、リクエスト信頼値に対応する第1重み係数と、応答信頼値に対応する第2重み係数とを取得し、確定したリクエスト信頼値と、応答信頼値と、第1重み係数と、第2重み係数とに基づいて、既定周期内の、選定した送信端の総合評価値を計算する。
【0062】
判断手段33は、総合評価値と第1既定閾値を比較し、選定した送信端に自動的なスキャン行為の発生有無を判断する。
【0063】
具体的に、上述信頼値確定手段31は、統計した各既定サブ周期内のアクセスリクエストメッセージ数を記録し、統計データシークエンスを取得する。統計データシークエンスのうちの最大値を取得し、取得した最大値と第2既定閾値とを比較する。取得した最大値が第2既定閾値より小さくなければ、取得した最大値と第2既定閾値の比をリクエスト信頼値とする。取得した最大値が第2既定閾値より小さければ、統計データシークエンスの誤差比を計算し、誤差比が第3既定閾値より小さい場合、誤差比をリクエスト信頼値とする。
【0064】
具体的に、上述信頼値確定手段31は、統計データシークエンスの標準差と平均値とを計算し、統計データシークエンスの標準差と平均値の比を、統計データシークエンスの誤差比とする。
【0065】
具体的に、上述信頼値確定手段31は、式(3)により統計データシークエンスYiの標準差σを計算し、式(4)により統計データシークエンスYiの平均値【0066】
【数10】
【0067】
【数11】
【0068】
ここで、yiは統計データシークエンスYi中の第i個のエリメントを示し、i=0,1,...n-1であり、nは、統計データシークエンスYi中のエリメントの総数を示す。
【0069】
具体的に、誤差比が第3既定閾値より小さくなければ、上述信頼値確定手段31は、さらに、統計データシークエンスにおける、前部からの第1既定個数のエリメントの第1傾斜度と、後部からの第2既定個数のエリメントの第2傾斜度とをそれぞれ計算し、第1傾斜度の絶対値と第2傾斜度の絶対値の平均値をリクエスト信頼値とする。
【0070】
具体的に、上述信頼値確定手段31は、式(5)により統計データシークエンスYiの前部の第1既定個数のエリメントの第1傾斜度k1を計算し、式(6)により統計データシークエンスYi後部の第2既定個数のエリメントの第2傾斜度k2を計算する。
【0071】
【数12】
【0072】
【数13】
【0073】
ここで、yiは、統計データシークエンスYiにおける、第i個のエリメントを示し、i=0,1,...n1,...,n-n2,...nであり、n1は第1既定個数であり、n2は第2既定個数であり、nは統計データシークエンスYi中のエリメントの総数である。
【0074】
具体的に、上述信頼値確定手段31は、成功した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第1比を得、第1比を応答信頼値とする。または、失敗した応答メッセージ数を採集したアクセス応答メッセージ総数で割って第2比を得、第1比と第2比の差を得て、応答信頼値とする。
【0075】
具体的に、上述評価値確定手段32は、第1重み係数とリクエスト信頼値の乗算で第1積を得、第2重み係数と応答信頼値の乗算で第2積を得、第1積と第2積の和を総合評価値とする。
【0076】
具体的に、上述判断手段33は、総合評価値が第1既定閾値より大きければ、選定した送信端に自動的なスキャン行為が発生すると判断し、総合評価値が第1既定閾値より大きくなければ、選定した送信端に自動的なスキャン行為が発生しなかったと判断する。
【0077】
無論、当業者によって、上述した実施形態に記述された技術的な解決手段を改造し、或いはその中の一部の技術要素を置換することもできる。そのような、改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。そのような改造と置換は、すべて本発明の請求の範囲に属する。【国際調査報告】