CN111181918B - 基于ttp的高风险资产发现和网络攻击溯源方法 - Google Patents

基于ttp的高风险资产发现和网络攻击溯源方法 Download PDF

Info

Publication number
CN111181918B
CN111181918B CN201911203152.0A CN201911203152A CN111181918B CN 111181918 B CN111181918 B CN 111181918B CN 201911203152 A CN201911203152 A CN 201911203152A CN 111181918 B CN111181918 B CN 111181918B
Authority
CN
China
Prior art keywords
ttp
attack
guid
detected
tree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911203152.0A
Other languages
English (en)
Other versions
CN111181918A (zh
Inventor
罗家强
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN201911203152.0A priority Critical patent/CN111181918B/zh
Publication of CN111181918A publication Critical patent/CN111181918A/zh
Application granted granted Critical
Publication of CN111181918B publication Critical patent/CN111181918B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种基于TTP的高风险资产发现和网络攻击溯源方法,包括以下步骤:对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程。通过告警规则模型,来检测每一个攻击技术Techniques,检测到技术Techniques后每一个技术都对应一个Techniques编号(TTP编号),除了Techniques编号外还有战术Tactics编号。当检测到攻击技术Techniques时,溯源这个攻击进程的进程树。分析进程树上是否覆盖了多个攻击技术Techniques,设想当一个进程树上只检测到一个攻击技术Techniques可能是检测规则的误报,若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。

Description

基于TTP的高风险资产发现和网络攻击溯源方法
技术领域
本发明涉及一种溯源方法,具体涉及一种基于TTP的高风险资产发现和网络攻击溯源方法。
背景技术
当今网络中存在各种各样怀揣不同目的黑客在互联网对其他个人或企业进行网络攻击,以达到他们的获取利益、提高声望、政治意图等目的。而在以往爆发的安全事件中,企业对于网络中已经失陷的主机感知能力存在问题,往往不能第一时间发现网络中的攻击。黑客在组织内部进行长期的潜伏,进行信息收集、敏感资料窃取甚至是破坏等行为。
在TTP没有被引入网络安全领域之前,在主机上发现的问题只能是一个威胁点,无法根据更多的信息去尽可能全貌的知道这个威胁点相关的上下文。在TTP被引入网络安全领域之后,可以结合TTP的信息理解攻击者的攻击意图、攻击技术、攻击过程。
在APT等高级威胁研究的领域,时常可以在各组织发布的APT报告中看到一个专业术语TTP,TTP及其中的三要素,战术Tactics、技术Techniques和过程Procedures,是描述高级威胁组织及其攻击的重要指标。TTP的概念最早来自于军事领域及反恐活动,随着在信息安全领域及网络安全领域的推广应用。
MITRE公司总结了244种已知的攻击技术并且为他们分配了唯一的编号。
目前现有技术存在以下缺点:
1、目前终端检测安全告警大多只是对异常行为本身进行告警,告警无法直接看出攻击者的目的及攻击技术,通过把告警映射到TTP编号来描述攻击者的目的及攻击技术。
2、目前终端只能针对恶意的特征进行告警,但是很多攻击行为会利用Windows官方的工具发起攻击,这时会绕过部分终端检测产品。我们可以通过审计可能被利用的官方工具,进行行为分析来判断机器是否沦陷。
3、目前在终端检测触发的告警间是独立的,没有一个整体的视角串联攻击者的行为,我们根据失陷主机的进程绘制进程树,并附加相关的TTP信息,可以清晰的描述机器上恶意进程的运行过程和攻击技术。
因此,需要对现有技术进行改进。
发明内容
本发明要解决的技术问题是提供一种高效的基于TTP的高风险资产发现和网络攻击溯源方法。
为解决上述技术问题,本发明提供一种基于TTP的高风险资产发现和网络攻击溯源方法,包括以下步骤:
对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的改进:进程树溯源包括以下步骤:
1)、获取该可疑进程的进程Guid;执行步骤2;
2)、展示该进程Guid的进程路径;执行步骤3;
3)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4;
4)、判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2;如没有;执行步骤5;
5)、把步骤1得到可疑进程的进程Guid当作父进程Guid搜索子进程,执行步骤6;
6)、展示该进程的进程路径;执行步骤7;
7)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8;
8)、判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6;如没有;执行步骤9;
9)、根据所有的进程得到进程树,结束。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
将检测到的TTP信息,标注到进程树相应的进程上。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警;
当检测两种情况标记主机为高风险失陷主机:
(1)、当检测到高危告警;
(2)、当检测到多个可疑的行为发生在一个进程树上。
作为对本发明基于TTP的高风险资产发现和网络攻击溯源方法的进一步改进:
当检测到进程Guid查询发起过网络连接时,展示该机器上检测到的TTP信息及摘要;可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
TTP编号是来自于Att&ck框架内的一个编号(参考:https://attack.mitre.org/),上面说过TTP是战术Tactics、技术Techniques和过程Procedures,这里的TTP编号其实对应的是其中的技术Techniques的编号,但业内一般直接称呼TTP编号。每一个攻击技术对应一个唯一的Techniques编号。
Att&ck框架目前分为12个战术,每个战术下面细分出很多攻击技术,形成一个2维的矩阵,也就是说当我想到到达什么目的(战术)时,需要使用什么技术。可以通过Techniques编号、Tactics编号来确定。例如:攻击使用凭证导出技术达到了凭证获取的目的,这就是通过通过Techniques编号、Tactics编号来定位攻击者目的和使用技术的过程;
本发明基于TTP的高风险资产发现和网络攻击溯源方法的技术优势为:
1、通过把告警映射到TTP编号来描述攻击者的目的及攻击技术;
通过告警规则模型,来检测每一个攻击技术Techniques,检测到技术Techniques后每一个技术都对应一个Techniques编号(TTP编号),除了Techniques编号外还有战术Tactics编号。
2、可以通过审计可能被利用的官方工具,进行行为分析来判断机器是否沦陷。
当检测到攻击技术Techniques时,溯源这个攻击进程的进程树。分析进程树上是否覆盖了多个攻击技术Techniques,设想当一个进程树上只检测到一个攻击技术Techniques可能是检测规则的误报,若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。
3、根据失陷主机的进程绘制进程树,并附加相关的TTP信息,可以清晰的描述机器上恶意进程的运行过程和攻击技术。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细说明。
图1为本发明基于TTP的高风险资产发现和网络攻击溯源方法的流程示意图;
图2为进程树最终的效果图演示图;
图3为图2中将检测到的TTP信息标注到进程树相应的进程的示意图;
图4当检测到多个可疑的行为(感叹号标记)发生在一个进程树上的示意图;
图5为当检测到失陷主机有进程访问内网其他机器时展示该机器上检测到的TTP信息及摘要的示意图。
具体实施方式
下面结合具体实施例对本发明进行进一步描述,但本发明的保护范围并不仅限于此。
实施例1、基于TTP的高风险资产发现和网络攻击溯源方法,如图1-5所示,包括以下步骤:
首先针对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁(预先检测设置),之后将所有检测到的TTP信息显示到进程树上对应的进程。
已经触发了TTP相关规则的进程,攻击技术Techniques的检测(TTP相关规则)均来自于Siem平台(安全信息事件管理平台,俗称日志分析平台),通过Siem平台的实时检测能力,分析实时传递来的终端日志,检测攻击技术Techniques。在原始的终端数据中操作一般会带有进程信息,可以将进程信息输出到告警中。
当有进程被检测到带有TTP标识的行为,开始溯源该进程的进程树,包括以下步骤:
1、获取该可疑进程的进程Guid;执行步骤2;
2、展示该进程的进程路径;执行步骤3;
3、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4;
4、把当前进程的父进程Guid当作进程Guid去向前检索,溯源该进程树的前半段,直到父进程Guid当作进程Guid搜索不到其父进程才终止进行后半段溯源;
即为判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2;如没有;执行步骤5;
5、把起始进程Guid(步骤1得到可疑进程的进程Guid)当作父进程Guid搜索子进程,执行步骤6;
6、展示该进程的进程路径;执行步骤7;
7、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8;
8、把当前进程的进程Guid当作父进程Guid去向后搜索子进程,溯源该进程树的后半段,直到当前进程Guid当作父进程Guid搜索不到其子进程才终止,进程树溯源完毕。
即为判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6;如没有;执行步骤9;
9、根据所有的进程得到进程树,结束。
进程树最终的效果图演示如图2所示。
将检测到的TTP信息,标注到进程树相应的进程上,可以清晰的了解进程触发的可疑行为,如图3所示。
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警。
失陷告警:极低误报率、确切高危行为的告警
参考告警:存在误报情况的高危行为告警、较低误报率的中危告警
审计信息:可能被攻击者利用也可能是用户自己操作的行为
当检测两种情况标记主机为高风险失陷主机:
1、当检测到高危告警,如图3所示;
2、当检测到多个可疑的行为发生在一个进程树上,如图4所示。
若一个进程树上检测到多个攻击技术Techniques,那大概率这个设备已经沦陷,并且被攻击者控制,进行多个恶意的攻击行为。
当检测到失陷主机有进程访问内网其他机器(即为步骤7中进程Guid查询该进程发起过网络连接)时,展示该机器上检测到的TTP信息及摘要。可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
进程树的溯源逻辑:
英文解释:processGuid:(进程Guid,Guid是唯一标识的ID)
Image:(进程路径)
ParentProcessGuid(父进程Guid)
最后,还需要注意的是,以上列举的仅是本发明的若干个具体实施例。显然,本发明不限于以上实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。

Claims (4)

1.基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于包括以下步骤:
对已经触发了TTP相关规则的进程进行进程树溯源,并查询进程树上的其他进程是否也检测到TTP威胁,之后将所有检测到的TTP信息显示到进程树上对应的进程;
所述进程树溯源包括以下步骤:
1)、获取可疑进程的进程Guid;执行步骤2);
2)、展示该进程Guid的进程路径;执行步骤3);
3)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤4);
4)、判断当前进程有无父进程,如有,把当前进程的父进程Guid当作进程Guid,重新执行步骤2);如没有;执行步骤5);
5)、把步骤1)得到可疑进程的进程Guid当作父进程Guid搜索子进程,执行步骤6);
6)、展示该进程的进程路径;执行步骤7);
7)、根据进程Guid查询该进程是否发起过网络连接、文件释放、域名请求;执行步骤8);
8)、判断当前进程有无子进程,如有,当前进程的子进程Guid当作进程Guid,重新执行步骤6);如没有;执行步骤9);
9)、根据所有的进程得到进程树,结束。
2.根据权利要求1所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
将检测到的TTP信息,标注到进程树相应的进程上。
3.根据权利要求2所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
根据检测攻击技术Techniques的规则可靠性评估的,把规则分为失陷告警、参考告警和审计信息三类,其中高危告警和可疑的行为就是对应失陷告警和参考告警;
当检测两种情况标记主机为高风险失陷主机:
(1)、当检测到高危告警;
(2)、当检测到多个可疑的行为发生在一个进程树上。
4.根据权利要求3所述的基于TTP的高风险资产发现和网络攻击溯源方法,其特征在于:
当检测到进程Guid查询发起过网络连接时,展示机器上检测到的TTP信息及摘要;可以根据此信息来判断是否为横向移动攻击,可在内网其他机器的TTP信息上下钻到该TTP所在的进程树。
CN201911203152.0A 2019-11-29 2019-11-29 基于ttp的高风险资产发现和网络攻击溯源方法 Active CN111181918B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911203152.0A CN111181918B (zh) 2019-11-29 2019-11-29 基于ttp的高风险资产发现和网络攻击溯源方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911203152.0A CN111181918B (zh) 2019-11-29 2019-11-29 基于ttp的高风险资产发现和网络攻击溯源方法

Publications (2)

Publication Number Publication Date
CN111181918A CN111181918A (zh) 2020-05-19
CN111181918B true CN111181918B (zh) 2021-11-16

Family

ID=70648828

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911203152.0A Active CN111181918B (zh) 2019-11-29 2019-11-29 基于ttp的高风险资产发现和网络攻击溯源方法

Country Status (1)

Country Link
CN (1) CN111181918B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113225356B (zh) * 2021-07-08 2021-10-26 广东云智安信科技有限公司 一种基于ttp的网络安全威胁狩猎方法及网络设备
CN113965407A (zh) * 2021-11-04 2022-01-21 杭州安恒信息技术股份有限公司 Ioc情报文件生成方法、装置、存储介质及电子设备
CN113824736B (zh) * 2021-11-22 2022-02-25 杭州安恒信息技术股份有限公司 一种资产风险处置方法、装置、设备及存储介质
CN114915485A (zh) * 2022-05-31 2022-08-16 阿里云计算有限公司 基于ueba的异常行为分析方法及装置
CN115065558A (zh) * 2022-08-11 2022-09-16 北京未来智安科技有限公司 Apt攻击的攻击流程溯源方法及装置

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506495A (zh) * 2014-12-11 2015-04-08 国家电网公司 一种智能化网络apt攻击威胁分析方法
CN105871883A (zh) * 2016-05-10 2016-08-17 上海交通大学 基于攻击行为分析的高级持续性威胁检测方法
WO2017046789A1 (en) * 2015-09-15 2017-03-23 Gatekeeper Ltd. System and method for securely connecting to a peripheral device
CN107292169A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 恶意软件的威胁溯源方法及装置
CN108200053A (zh) * 2017-12-30 2018-06-22 成都亚信网络安全产业技术研究院有限公司 记录apt攻击操作的方法及装置
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、系统、用户设备及存储介质
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
CN109981587A (zh) * 2019-02-27 2019-07-05 南京众智维信息科技有限公司 一种基于apt攻击的网络安全监控溯源系统
WO2019160427A1 (en) * 2018-02-13 2019-08-22 Craig Rowland Computer investigation method and system
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9819689B2 (en) * 2015-03-13 2017-11-14 Microsoft Technology Licensing, Llc Large scale malicious process detection
US10320814B2 (en) * 2015-10-02 2019-06-11 Trend Micro Incorporated Detection of advanced persistent threat attack on a private computer network

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104506495A (zh) * 2014-12-11 2015-04-08 国家电网公司 一种智能化网络apt攻击威胁分析方法
WO2017046789A1 (en) * 2015-09-15 2017-03-23 Gatekeeper Ltd. System and method for securely connecting to a peripheral device
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
CN107292169A (zh) * 2016-03-31 2017-10-24 阿里巴巴集团控股有限公司 恶意软件的威胁溯源方法及装置
CN105871883A (zh) * 2016-05-10 2016-08-17 上海交通大学 基于攻击行为分析的高级持续性威胁检测方法
CN108200053A (zh) * 2017-12-30 2018-06-22 成都亚信网络安全产业技术研究院有限公司 记录apt攻击操作的方法及装置
WO2019160427A1 (en) * 2018-02-13 2019-08-22 Craig Rowland Computer investigation method and system
CN109067815A (zh) * 2018-11-06 2018-12-21 深信服科技股份有限公司 攻击事件溯源分析方法、系统、用户设备及存储介质
CN109981587A (zh) * 2019-02-27 2019-07-05 南京众智维信息科技有限公司 一种基于apt攻击的网络安全监控溯源系统
CN110430190A (zh) * 2019-08-05 2019-11-08 北京经纬信安科技有限公司 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"Cyber Threat Intelligence from Honeypot Data Using Elasticsearch";Hamad Almohannadi等;《2018 IEEE 32nd International Conference on Advanced Information Networking and Applications (AINA)》;20180813;全文 *
"基于行动特征的APT攻击追踪溯源浅析";王浩淼;《网络安全技术与应用》;20190819;全文 *

Also Published As

Publication number Publication date
CN111181918A (zh) 2020-05-19

Similar Documents

Publication Publication Date Title
CN111181918B (zh) 基于ttp的高风险资产发现和网络攻击溯源方法
US10949534B2 (en) Method for predicting and characterizing cyber attacks
Bryant et al. A novel kill-chain framework for remote security log analysis with SIEM software
CN105264861B (zh) 用于检测多阶段事件的方法和设备
CN106411578B (zh) 一种适应于电力行业的网站监控系统及方法
US10728264B2 (en) Characterizing behavior anomaly analysis performance based on threat intelligence
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
CN103428196A (zh) 一种基于url白名单的web应用入侵检测方法和装置
CN104811447A (zh) 一种基于攻击关联的安全检测方法和系统
CN112134877A (zh) 网络威胁检测方法、装置、设备及存储介质
CN112787992A (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
US10462170B1 (en) Systems and methods for log and snort synchronized threat detection
CN111953697A (zh) 一种apt攻击识别及防御方法
CN107579997A (zh) 无线网络入侵检测系统
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
US10805326B1 (en) Systems and methods for threat visualization with signature composure, spatial scale and temporal expansion
CN113381980B (zh) 信息安全防御方法及系统、电子设备、存储介质
KR101444250B1 (ko) 개인정보 접근감시 시스템 및 그 방법
Vieane et al. Coordinated displays to assist cyber defenders
CN111835781B (zh) 一种基于失陷主机发现同源攻击的主机的方法及系统
Jaafar et al. A systematic approach for privilege escalation prevention
Kim et al. A study on a cyber threat intelligence analysis (CTI) platform for the proactive detection of cyber attacks based on automated analysis
Liew et al. Detecting adversary using Windows digital artifacts
Pihelgas et al. Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises
CN113660223A (zh) 基于告警信息的网络安全数据处理方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant