CN109598128A - 一种扫描检查的方法及装置 - Google Patents
一种扫描检查的方法及装置 Download PDFInfo
- Publication number
- CN109598128A CN109598128A CN201811509992.5A CN201811509992A CN109598128A CN 109598128 A CN109598128 A CN 109598128A CN 201811509992 A CN201811509992 A CN 201811509992A CN 109598128 A CN109598128 A CN 109598128A
- Authority
- CN
- China
- Prior art keywords
- scanning
- probability
- packet
- data packet
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000007689 inspection Methods 0.000 claims description 11
- 238000005516 engineering process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种扫描检查的方法,包括:确定每一个进入系统的数据包属于扫描包的概率;如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。还公开一种扫描检查的装置。本方案通过对每一个进入网络的数据包进行全面的分析和属性赋值,再通过赋值比对进行判断,具有低误报率和实时性的优点。
Description
技术领域
本发明涉及信息安全技术领域,尤指一种扫描检查的方法及装置。
背景技术
随着网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏洞层出不穷。入侵者对网络的攻击几乎都是从扫描开始的,首先判断主机或服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。因此,防恶意扫描对于网络安全来说是非常重要的,是防网络入侵第一步。
传统的反扫描方法分为如下几类:简单地对不同类型包进行统计,即如果同一源地址的某种类型的包(如SYN(Synchronize Sequence Numbers,同步序列编号)包)在M秒内发送到超过N个不同的目的地址/端口对,则认为发生了一次扫描行为;或对收到的包进行模式匹配,即如果某个系列的包符合某种扫描模式,则认为发生了一次扫描行为。
然而,这两种方法都有其不足之处。对于统计的方法来说,首先在于统计标准的粗糙性,很容易产生误报警,其次其还要对每个源地址都保存一定的状态信息(已发送过的地址/端日对等),当所在的网络较大时,这种做法是不实际的。再看模式匹配的方法,这种方法受限于必须知道扫描的模式特征,如果黑客稍微改变扫描的方法(如选择随机的地址/端口对),就有可能避开该方法的检测,因此其通用性较差。
发明内容
为了解决上述技术问题,本发明提供了一种扫描检查的方法,能够降低扫描行为的误报率。
一种扫描检查的方法,包括:
确定每一个进入系统的数据包属于扫描包的概率;
如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
进一步地,所述确定每一个进入系统的数据包属于扫描包的概率,包括:
根据数据包发送的目的端口和为各个端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率;
根据数据包的特征和预设的与数据包的特征对应的扫描概率,确定该数据包属于扫描包的第二扫描概率;
根据所述第一扫描概率、第二扫描概率和指定算法确定所述数据包属于扫描包的概率。
进一步地,所述根据数据包发送的目的端口和为端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率,包括:
如在所述时间阈值内同一个源地址发出相同的数据包,则按时间顺序下一个数据包的第一扫描概率为上一个数据包的第一扫描概率乘上一调整系数。
进一步地,所述指定算法包括:
Y0=1-(1-Y1)*(1-Y2),其中,
Y0为所述数据包属于扫描包的概率,Y1为第一扫描概率,Y2为第二扫描概率。
一种扫描检查的装置,包括:存储器和处理器;
所述存储器,用于保存用于扫描检查的程序;
所述处理器,用于读取执行所述用于扫描检查的程序,执行如下操作:
确定每一个进入系统的数据包属于扫描包的概率;
如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
所述确定每一个进入系统的数据包属于扫描包的概率,包括:
根据数据包发送的目的端口和为各个端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率;
根据数据包的特征和预设的与数据包的特征对应的扫描概率,确定该数据包属于扫描包的第二扫描概率;
根据所述第一扫描概率、第二扫描概率和指定算法确定所述数据包属于扫描包的概率。
所述根据数据包发送的目的端口和为端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率,包括:
如在所述时间阈值内同一个源地址发出相同的数据包,则按时间顺序下一个数据包的第一扫描概率为上一个数据包的第一扫描概率乘上一调整系数。
所述指定算法包括:
Y0=1-(1-Y1)*(1-Y2),其中,
Y0为所述数据包属于扫描包的概率,Y1为第一扫描概率,Y2为第二扫描概率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例的一种扫描检查的方法的流程图;
图2为本发明实施例的一种扫描检查的装置的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本发明实施例的一种扫描检查的方法的流程图,如图1所示,本实施例的方法包括:
步骤101、确定每一个进入系统的数据包属于扫描包的概率;
步骤102、如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
本实施例的方法通过对每一个进入网络的数据包进行全面的分析和属性赋值,再通过赋值比对进行判断,具有低误报率和实时性的优点。
本实施例的方法可以有效的防止网络上大部分无目的的原始性扫描,防止“黑客”对网络的进一步恶意试探及攻击,减少计算机上网受到“黑客”攻击的可能性。
本实施例中,对于每一个进入系统的数据包进行全面的分析,从而给出它的扫描概率(即扫描包的可能性)。在一个设定的时间阈值(T)内,如果同一个源地址发出的数据包的扫描概率总和大于一个预设的判断阈值(Y),则判断发生了一次扫描。
本实施例中,扫描概率给定的依据如下:
以一个数据包为例,其扫描概率的高低主要与两个方面有关:一是数据包可能达到的目的,二是数据包自身的特点。这里分别用Y1和Y2赋值来表示。
一个数据包Y1值的高低和它所能达到的目的有关。一个数据包能够从目标系统中获得的信息越多,则分配给它的Y1值就应该越大。预先对服务器中各个端口设置一扫描目的性,用Y1值表示。预先梳理开放的所有端口服务,然后对每个端口赋值,Y1值随着端口或服务的风险程度,逐渐加大,最后形成端口Y1表。
公开的资源一般是所在系统愿意提供的服务,如80端口服务;未公开的资源则是系统不愿意为别人所知的服务,如19784端口。对于正常的访问者来说,其不需要也没必要去探测那些没有公开的资源,而黑客扫描的主要目的之一就是为了发现这些未公开的资源。因此,Y1值随着端口或服务的风险程度,逐渐加大。
举例来说,一个发送到Web服务器80端口的数据包所获得的Y1值可以为0;而一个发送到该服务器19784端口的数据包可以得到0.9的Y1值。
如果同样的数据包(主要是源目地址/端口对相同)在某个时间阈值内多次出现,则需要对Y1值进行调整。也就是某次数据包得到的Y1值应该是在同一时间阈值内的上一次Y1值乘上一个调整系数a(0<a<1,建议a=0.1)。这是因为多次扫描同一个地址/端口对是没有必要的,因此后面的数据包不应该产生超过前面数据包的影响。
一个数据包Y2值的高低与其自身的特点有关。一个数据包越是异常(导致了异常的行为或者实际中不存在这样的包),其所对应的Y2值就应该越高。预先设置数据包规则库,每种数据包也实现赋值Y2。规则库的来源主要是公开的知识库和经验积累。例如,如果收到某一源地址发来的ACK包,而此前并没有收到过它发来的SYN包(这导致了一种破坏三次握手协议的异常行为),则该ACK包的Y2值可以设定为0.9;如果收到了一个所有标志位都为0的TCP包(现实中不存在这样的包),则该包的Y2值可以设定为1;如果收到的数据包一切都正常,则该包的Y2值可以设定为0。
分别得到一个数据包的Y1值和Y2值之后,可以利用下式算出该数据包对应的扫描概率Y0了。
Y0=1-(1-Y1)*(1-Y2)。
得到了扫描概率Y0之后,就可以把它加到扫描概率总和上去,同时进行是否扫描的判断。如果在一个设定的时间阈值(T)内扫描概率总和大于设定的判断阈值,则表明检测到了一次扫描;否则,重复上面的做法,对下一个包进行检测。
本实施例所采用的技术简单有效,在云计算环境中的入侵防御方面具有良好的应用前景。
图2为本发明实施例的一种扫描检查的装置的示意图,如图2所示,本实施例的装置包括:存储器和处理器;其中,
所述存储器,用于保存用于扫描检查的程序;
所述处理器,用于读取执行所述用于扫描检查的程序,执行如下操作:
确定每一个进入系统的数据包属于扫描包的概率;
如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
在一实施例中,所述确定每一个进入系统的数据包属于扫描包的概率,还可以包括:
根据数据包发送的目的端口和为各个端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率;
根据数据包的特征和预设的与数据包的特征对应的扫描概率,确定该数据包属于扫描包的第二扫描概率;
根据所述第一扫描概率、第二扫描概率和指定算法确定所述数据包属于扫描包的概率。
在一实施例中,所述根据数据包发送的目的端口和为端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率,包括:
如在所述时间阈值内同一个源地址发出相同的数据包,则按时间顺序下一个数据包的第一扫描概率为上一个数据包的第一扫描概率乘上一调整系数。
在一实施例中,所述指定算法包括:
Y0=1-(1-Y1)*(1-Y2),其中,
Y0为所述数据包属于扫描包的概率,Y1为第一扫描概率,Y2为第二扫描概率。
本发明实施例还提供了一种计算机可读存储介质,其存储有计算机可执行指令,所述计算机可执行指令被执行时实现所述扫描检查的方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (8)
1.一种扫描检查的方法,其特征在于,包括:
确定每一个进入系统的数据包属于扫描包的概率;
如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
2.根据权利要求1所述的方法,其特征在于,所述确定每一个进入系统的数据包属于扫描包的概率,包括:
根据数据包发送的目的端口和为各个端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率;
根据数据包的特征和预设的与数据包的特征对应的扫描概率,确定该数据包属于扫描包的第二扫描概率;
根据所述第一扫描概率、第二扫描概率和指定算法确定所述数据包属于扫描包的概率。
3.根据权利要求2所述的方法,其特征在于,所述根据数据包发送的目的端口和为端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率,包括:
如在所述时间阈值内同一个源地址发出相同的数据包,则按时间顺序下一个数据包的第一扫描概率为上一个数据包的第一扫描概率乘上一调整系数。
4.根据权利要求2所述的方法,其特征在于,所述指定算法包括:
Y0=1-(1-Y1)*(1-Y2),其中,
Y0为所述数据包属于扫描包的概率,Y1为第一扫描概率,Y2为第二扫描概率。
5.一种扫描检查的装置,包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于扫描检查的程序;
所述处理器,用于读取执行所述用于扫描检查的程序,执行如下操作:
确定每一个进入系统的数据包属于扫描包的概率;
如确定在设定的时间阈值内同一个源地址发出的数据包属于扫描包的概率的总和大于预设阈值,则认定该源地址发生了一次扫描行为。
6.根据权利要求5所述的装置,其特征在于,所述确定每一个进入系统的数据包属于扫描包的概率,包括:
根据数据包发送的目的端口和为各个端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率;
根据数据包的特征和预设的与数据包的特征对应的扫描概率,确定该数据包属于扫描包的第二扫描概率;
根据所述第一扫描概率、第二扫描概率和指定算法确定所述数据包属于扫描包的概率。
7.根据权利要求6所述的装置,其特征在于,所述根据数据包发送的目的端口和为端口预设的扫描概率,确定该数据包属于扫描包的第一扫描概率,包括:
如在所述时间阈值内同一个源地址发出相同的数据包,则按时间顺序下一个数据包的第一扫描概率为上一个数据包的第一扫描概率乘上一调整系数。
8.根据权利要求6所述的装置,其特征在于,所述指定算法包括:
Y0=1-(1-Y1)*(1-Y2),其中,
Y0为所述数据包属于扫描包的概率,Y1为第一扫描概率,Y2为第二扫描概率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811509992.5A CN109598128A (zh) | 2018-12-11 | 2018-12-11 | 一种扫描检查的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811509992.5A CN109598128A (zh) | 2018-12-11 | 2018-12-11 | 一种扫描检查的方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109598128A true CN109598128A (zh) | 2019-04-09 |
Family
ID=65961649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811509992.5A Pending CN109598128A (zh) | 2018-12-11 | 2018-12-11 | 一种扫描检查的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109598128A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110309088A (zh) * | 2019-06-19 | 2019-10-08 | 北京百度网讯科技有限公司 | Zynq fpga芯片及其数据处理方法、存储介质 |
| CN113904853A (zh) * | 2021-10-13 | 2022-01-07 | 百度在线网络技术(北京)有限公司 | 网络系统的入侵检测方法、装置、电子设备和介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| CN105095752A (zh) * | 2014-05-07 | 2015-11-25 | 腾讯科技(深圳)有限公司 | 病毒数据包的识别方法、装置及系统 |
| CN105429817A (zh) * | 2015-10-30 | 2016-03-23 | 中兴软创科技股份有限公司 | 基于dpi和dfi的非法业务识别装置与方法 |
| CN106951783A (zh) * | 2017-03-31 | 2017-07-14 | 国家电网公司 | 一种基于深度神经网络的伪装入侵检测方法及装置 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
-
2018
- 2018-12-11 CN CN201811509992.5A patent/CN109598128A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101123492A (zh) * | 2007-09-06 | 2008-02-13 | 杭州华三通信技术有限公司 | 检测扫描攻击的方法和设备 |
| CN103748983B (zh) * | 2009-06-23 | 2011-04-27 | 北京理工大学 | 一种基于模糊eca规则的网络攻击知识表达与推理方法 |
| CN105095752A (zh) * | 2014-05-07 | 2015-11-25 | 腾讯科技(深圳)有限公司 | 病毒数据包的识别方法、装置及系统 |
| CN105429817A (zh) * | 2015-10-30 | 2016-03-23 | 中兴软创科技股份有限公司 | 基于dpi和dfi的非法业务识别装置与方法 |
| CN106982206A (zh) * | 2017-03-10 | 2017-07-25 | 中国科学院信息工程研究所 | 一种基于ip地址自适应转换的恶意扫描防御方法及系统 |
| CN106951783A (zh) * | 2017-03-31 | 2017-07-14 | 国家电网公司 | 一种基于深度神经网络的伪装入侵检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 丁剑等: "一种基于概率的实时扫描检测方法", 《计算机应用研究》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110309088A (zh) * | 2019-06-19 | 2019-10-08 | 北京百度网讯科技有限公司 | Zynq fpga芯片及其数据处理方法、存储介质 |
| CN110309088B (zh) * | 2019-06-19 | 2021-06-08 | 北京百度网讯科技有限公司 | Zynq fpga芯片及其数据处理方法、存储介质 |
| CN113904853A (zh) * | 2021-10-13 | 2022-01-07 | 百度在线网络技术(北京)有限公司 | 网络系统的入侵检测方法、装置、电子设备和介质 |
| CN113904853B (zh) * | 2021-10-13 | 2024-05-14 | 百度在线网络技术(北京)有限公司 | 网络系统的入侵检测方法、装置、电子设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9654485B1 (en) | Analytics-based security monitoring system and method | |
| US20190166144A1 (en) | Detection of malicious network activity | |
| US8874763B2 (en) | Methods, devices and computer program products for actionable alerting of malevolent network addresses based on generalized traffic anomaly analysis of IP address aggregates | |
| US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
| CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
| Shamsolmoali et al. | Statistical-based filtering system against DDOS attacks in cloud computing | |
| US20030236995A1 (en) | Method and apparatus for facilitating detection of network intrusion | |
| US20130340078A1 (en) | Systems and methods for detecting and preventing flooding attacks in a network environment | |
| US11184378B2 (en) | Scanner probe detection | |
| US11770396B2 (en) | Port scan detection using destination profiles | |
| CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
| JP7109391B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
| US20200244684A1 (en) | Malicious port scan detection using source profiles | |
| US11316872B2 (en) | Malicious port scan detection using port profiles | |
| CN109040140B (zh) | 一种慢速攻击检测方法及装置 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| CN102447707A (zh) | 一种基于映射请求的DDoS检测与响应方法 | |
| US10142360B2 (en) | System and method for iteratively updating network attack mitigation countermeasures | |
| CN110740144A (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
| CN109598128A (zh) | 一种扫描检查的方法及装置 | |
| Cambiaso et al. | Detection and classification of slow DoS attacks targeting network servers | |
| Rajakumaran et al. | Early detection of LDoS attack using SNMP MIBs | |
| Shamsolmoali et al. | C2DF: High rate DDOS filtering method in cloud computing | |
| KR100803029B1 (ko) | 협력적인 통계기반 탐지기법을 이용한 분산서비스거부공격의 방어 방법 | |
| Sun et al. | SACK2: effective SYN flood detection against skillful spoofs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |