CN1203641C - 网络入侵监测的方法和系统 - Google Patents
网络入侵监测的方法和系统 Download PDFInfo
- Publication number
- CN1203641C CN1203641C CN 02131143 CN02131143A CN1203641C CN 1203641 C CN1203641 C CN 1203641C CN 02131143 CN02131143 CN 02131143 CN 02131143 A CN02131143 A CN 02131143A CN 1203641 C CN1203641 C CN 1203641C
- Authority
- CN
- China
- Prior art keywords
- protocol
- characteristic
- network
- data
- protocol data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明是一种网络入侵监测的方法,该方法包含如下步骤:a、捕获网络中的原始报文数据包;b、对该原始报文数据包进行协议解析,得到协议变量,即该原始报文数据包的各层协议数据;c、读取预先设定的特征数据,并对该特征数据和当前协议变量相应的协议数据比较匹配;d、将该匹配结果输出。本发明可以用相同的方法处理所有的IDS特征事件,有效地提高网络入侵监测分析的速度;能够大大节省匹配事件时间,降低误报率,提高准确率;可以在不升级应用程序的前提下,迅速地把这些更新特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的;通过灵活的用户可定义接口,实现了特征数据模块的更新与程序无关,确保了NIDS系统对安全事件的快速响应,以及用户可现场定制所有特征事件的能力。
Description
技术领域
本发明涉及网络信息安全领域,具体来说是涉及一种在一个网络的多个数字设备之间或多个网络之间进行信息传输时,通过对发送或接收的数据进行监视和检查进而分析其具体行为的网络入侵监测的方法和系统。
背景技术
在计算机网络得到飞速发展的今天,网络安全问题日益突出,而作为网络安全的重要产品之一的网络入侵监测系统(NIDS:NetworkIntrusion Detection System)更是得到了极其广泛的应用,各种网络安全产品日益更新。在现有的计算机网络中,网络上的数据被分组成称为原始报文数据包的离散单元,每个原始报文数据包具有一个来源地和目的地的指示,将网络入侵监测系统安装在被保护的网段中,通过处理这些信息包,来生成网络入侵监测系统中最基本的安全事件,即特征事件,报告该段网络中发生的非正常情况。当网络中的网络数据在特定区域内包含有特定的数据(数据模式或匹配模式),即特征数据时,生成一个特征事件。
网络入侵监测领域生成特征事件的现有技术主要包括以下两种:第一种是程序生成方法,其将所有数据模式全部体现在程序代码中,一个子程序对应一个特征事件,然后该子程序读取网络中的原始报文数据包直接进行匹配来判断是否发生相应的特征事件;第二种是粗匹配法,其将所有数据模式全部存储在数据缓冲区中,然后程序读取网络中的原始报文数据包直接和数据缓冲区中的特征数据进行匹配,来判断是否发生相应的特征事件。
而随着网络技术的发展和攻击技术的不断变化,NIDS系统对于新攻击手段的检测也应该快速提高,上述现有的网络入侵监测方法对于攻击行为的检测,即攻击的特征数据和特征事件的关联,都是采用硬编码的方式实现,对于新出现的攻击手段,只能靠能够识别该攻击的升级程序进行程序升级,显然存在许多不足,具体来讲包括:
1、新增加的程序会使系统不可靠;
2、由于程序的升级更新,造成时间的浪费,响应慢;
3、不能够在现场按照用户的特殊需求定制特征事件;
4、特征事件的上报准确率差。
发明内容
针对上述情形,本发明提出了一种在协议解析的基础上,把数据模式只与相关的协议数据进行精确匹配,来发现特征数据的网络入侵监测的方法和系统。
为实现上述目的,本发明所述的网络入侵监测的方法,其包含如下具体步骤:
a、捕获网络中的原始报文数据包;
b、对该原始报文数据包进行协议解析,得到协议数据,即该原始报文数据包的各层协议数据;
c、读取预先设定的特征数据,并对该特征数据和相应协议数据进行匹配;
d、将该匹配结果输出。
其中,所述的步骤b中进行协议解析是指按照协议的层次划分从底层到顶层逐层,对包括应用层协议在内的所有协议按照循序渐进的方式进行解析。而所述的进行协议解析更进一步包括:如果协议为IP协议,则对解析中的协议数据进行重组后,再进一步继续协议解析,以便获得网络数据的真实特征,否则的话,有可能丢掉故意对数据进行分片以隐藏攻击特征的恶意攻击行为;如果协议为TCP协议,则对TCP的报文流进行重组后,再进一步继续协议解析,以便获得TCP的连接状态和流重组以后的数据。
所述的步骤b中各层协议数据更具体是指网卡的硬件MAC地址、IP地址、网络协议HTTP的统一资源地址http_url、网络协议telnet的用户名称telnet_user等协议类型数据和其他特征数据。所述的步骤c中读取预先设定的特征数据更具体是指从单独的数据库、文件或端口读取。所述的步骤c中对该特征数据和协议数据进行匹配更具体是指:对该特征数据和协议数据进行数学逻辑运算。所述的步骤c中对该特征数据和协议数据进行匹配更进一步包括:对该特征数据和相应的协议数据进行多层嵌套匹配。
所述的步骤d更进一步包括:如果该匹配结果是成功匹配,则输出,否则不进行输出。
本发明还提出了一种网络入侵监测的系统,其包含有:
数据捕获单元:用于捕获网络中的原始报文数据包;
协议解析单元:用于对该原始报文数据包进行协议解析;
协议数据缓冲区单元:用于存储协议数据;
特征数据单元,用于存储预先设定的特征数据;
事件匹配单元:用于读取预先设定的特征数据,并对该特征数据和相应的协议数据进行匹配;
事件上报单元:用于将该匹配结果输出;
首先所述的数据捕获单元捕获网络中的原始报文数据包后,送至所述的协议解析单元对其进行协议解析,得到该原始报文数据包的各层协议数据,存储至所述的协议数据缓冲区单元,其次所述的事件匹配单元通过该特征数据单元读取预先设定的特征数据,将其和所述协议数据缓冲区单元的各层协议数据进行进行匹配,最后由所述的事件上报单元将该匹配结果输出。
本发明在基于网络数据特点和通信协议规范研究的基础上,对各类网络数据特征进行综合的统计、分析,在特征事件的生成中,结合特征精确匹配和协议分析技术,对网络中的所有特征事件提供了一个有效的、可扩展的监测方法和系统。本发明能够涵盖所有的NIDS需要处理的模式和TCP/IP通信协议,实现了特征事件的特征数据和协议规范有机统一的分析方法,来简单显示描述所有的NIDS(网络入侵监测系统,Network Intrusion Detection System)特征事件,更具体来讲,本发明具有以下优点:
1、可以有效地提高网络入侵监测分析的速度;
2、能够大大节省匹配事件时间,降低误报率,提高准确率;
3、当出现网络事件新特征和在关注特殊网络数据特征时,可以在不升级应用程序的前提下,迅速地把这些特征增加到含有NIDS事件库的特征数据模块中,达到报警的目的;
4、通过灵活的用户可定义接口,实现了特征数据模块的更新与程序无关,确保了NIDS系统对安全事件的快速响应,以及用户可现场定制特征事件的能力。
下面结合附图和具体实施例来详细描述本发明。
附图说明
图1是本发明所述的网络入侵监测的方法的流程图;
图2是本发明所述的网络入侵监测的系统的组成架构图;
图3是本发明所述的协议解析后的结构示意图。
具体实现方式
当前互联网(WAN)和局域网(LAN)得到了非常广泛的应用,在这些网络中,以太网的TCP/IP协议是应用极其典型和普遍的协议,其中的扫描行为是网络入侵者(或黑客)经常使用的操作,即Ping扫描特征事件,众所周知,Ping扫描所对应的特征数据是ICMP协议的类型码等于8。本发明实施例所述的网络入侵监测的方法和系统,以监测Ping扫描特征事件为例来详细说明如下:
本实施例中网络环境为:网络入侵者位于远端计算机上,在本地计算机网络上安装有本实施例所述的网络入侵监测的系统,在远端计算机和本地计算机之间通过以太网相连,当在远端计算机使用相应的漏洞扫描工具对本地网络中的某计算机进行扫描,并选择扫描前用ping探测主机存在时,其实施过程是发送一系列相关的原始报文数据包至本地网络中,并包含如下的原始数据。相应说明如下表1所示:
表1
| 原始报文 | 协议 | 数据域说明 | 协议变量 | 备注 |
| 00 50 ba ba 35 d5 | 以太协议 | 目的mac地址 | Dmac | |
| 00 50 ba 65 6f eb | 源mac地址 | Smac | ||
| 08 00 | 以太协议类型 | Eth_type | ||
| 45 00 00 3c 98b6 00 00 80 | IP协议 | …………… | ||
| 01 | IP协议类型 | Ip_type | ||
| 17 a4 c0 a8 0418 c0 a8 04 fe | …………… | |||
| 08 | ICMP协议 | Icmp协议类型 | Icmp_type | Icmp_type=8 |
| 00 39 5c 02 00 12 00 | …………… | |||
| 61 62 63 64 6566 67 68 69 6a6b 6c | ICMP数据 | …………… | ||
| 49 53 53 | 特征数据 | [String.12] | [string.12]=ISS | |
| 6d 6e 70 71 7273 74 75 76 77 | …………… |
其中,上表中的协议变量是为了记录相应的数据域说明的特征数据,[string.12]=ISS是表明在ICMP(INTERNET CONTROL MESSAGEPROTOCOL:网际控制信息协议)数据区的偏移量为12字节处的字符串变量为“ISS”;
如图2所示,本地网络上安装的网络入侵监测的系统包含有:
数据捕获单元:用于捕获网络中的原始报文数据包;
协议解析单元:用于对该原始报文数据包进行协议解析;
协议数据缓冲区单元:用于存储各层协议数据;
特征数据单元:用于存储预先设定的特征数据;
事件匹配单元:用于读取预先设定的特征数据,并对该特征数据和相应的协议数据进行匹配;
事件上报单元:用于将该匹配结果输出。
在启动本地计算机的网络入侵监测的系统时,对该系统进行初始化,即从所述的特征数据模块中读取相关的协议数据、运算类型、运算变量名、运算变量值、特征事件返回值变量等特征数据,并存储至计算机的内存储器中;该特征数据对“Ping ISS”扫描特征事件而言,具体为:协议变量(数据)是icmp_type和[string.12]、运算类型是字符串和整数操作类型、运算变量名是等于操作(=)和包含操作(^)、运算变量值是字符串ISS和整数值8、特征事件返回值变量的名称是“长度”,相应的协议变量是“icmp_length“。
本地计算机的网络入侵监测的系统开始监测网络入侵行为,如图1所示,其具体包括如下步骤:
第一、捕获网络中的原始报文数据包。
数据捕获单元捕获到如上表1中所述的原始报文数据包。
第二、对该原始报文数据包进行协议解析,得到该原始报文数据包的各层协议数据。
协议解析单元对如上表1中所述的原始报文数据包进行协议解析,如图3所示是本发明所述的协议解析后的结构示意图。协议解析是按照网络协议的层次划分循序渐进的,其从底层到顶层逐层进行,并将解析后的协议数据赋值给协议变量,即存储到协议数据缓冲区模块,如将“8”赋值给“ICMP_type”,将“ISS”赋值给“[String.12]”等。
第三、读取预先设定的特征数据,并对该特征数据和相应的协议数据比较匹配。
所述的事件匹配单元首先读取初始化时设定的存储至计算机的内存储器中的特征数据,如协议类型数据即“ICMP_type”为“8“、计算机名即在ICMP数据区的偏移量为12字节处的字符串“[String.12]”为“ISS”、前述两种比较运算的逻辑关系值为与函数“AND”;然后将该特征数据分别和相应的上述步骤二中的协议数据缓冲区单元中的协议变量的值进行比较,即得到“ICMP_type=8”的结果为真,“[String.12]=ISS”也为真,两种比较运算的逻辑关系取“AND”后,其结果仍然为真。
第四、将该匹配结果输出。
很显然,步骤三中的匹配结果为真,是成功匹配,则由所述的事件上报单元输出上报,如输出到计算机前台显示输出,或输出到文件中保存为磁盘文件。
Claims (10)
1、一种网络入侵监测的方法,其特征在于,该方法包含如下步骤:
a、捕获网络中的原始报文数据包;
b、对该原始报文数据包进行协议解析,得到协议数据,即该原始报文数据包的各层协议数据;
c、读取预先设定的特征数据,并对该特征数据和协议数据进行匹配;
d、将该匹配结果输出。
2、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析是指按照协议的层次划分从底层到顶层逐层进行,对包括应用层协议在内的所有协议进行解析。
3、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析更进一步包括:如果协议为IP协议,则对解析中的协议数据进行重组后,再进一步继续协议解析。
4、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤b中进行协议解析更进一步包括:如果协议为TCP协议,则对TCP的报文流进行重组后,再进一步继续协议解析。
5、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤b中各层协议数据是指网卡的硬件MAC地址、IP地址、网络协议HTTP的统一资源地址http_url、网络协议telnet的用户名称telnet_user协议类型数据和其他特征数据。
6、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤c中读取预先设定的特征数据是指从单独的数据库、文件或端口读取。
7、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤c中对该特征数据和相应的协议变量数据进行匹配是指:对该特征数据和相应的协议数据进行数学逻辑运算。
8、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤c中对该特征数据和协议数据进行匹配更进一步包括:对该特征数据和相应的协议数据进行多层嵌套匹配。
9、如权利要求1所述的网络入侵监测的方法,其特征在于,所述的步骤d更进一步包括:如果该匹配结果是成功匹配,则输出,否则不进行输出。
10、一种网络入侵监测的系统,其特征在于,该系统包含有:
数据捕获单元:用于捕获网络中的原始报文数据包;
协议解析单元:用于对该原始报文数据包进行协议解析;
协议数据缓冲区单元:用于存储协议数据;
特征数据单元,用于存储预先设定的特征数据;
事件匹配单元:用于读取预先设定的特征数据,并对该特征数据和相应的协议数据进行匹配;
事件上报单元:用于将该匹配结果输出;
首先所述的数据捕获单元捕获网络中的原始报文数据包后,送至所述的协议解析单元对其进行协议解析,得到该原始报文数据包的各层协议数据,存储至所述的协议数据缓冲区单元,其次所述的事件匹配单元通过该特征数据单元读取预先设定的特征数据,将其和所述协议数据缓冲区单元的各层协议数据进行匹配,最后由所述的事件上报单元将该匹配结果输出。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02131143 CN1203641C (zh) | 2002-10-11 | 2002-10-11 | 网络入侵监测的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02131143 CN1203641C (zh) | 2002-10-11 | 2002-10-11 | 网络入侵监测的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1450757A CN1450757A (zh) | 2003-10-22 |
| CN1203641C true CN1203641C (zh) | 2005-05-25 |
Family
ID=28680801
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02131143 Expired - Fee Related CN1203641C (zh) | 2002-10-11 | 2002-10-11 | 网络入侵监测的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1203641C (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100338915C (zh) * | 2005-08-19 | 2007-09-19 | 杭州华三通信技术有限公司 | 报文镜像方法及具有报文镜像功能的网络设备 |
| CN100342692C (zh) * | 2005-09-02 | 2007-10-10 | 杭州华三通信技术有限公司 | 入侵检测装置和入侵检测系统 |
| CN100429617C (zh) * | 2006-05-16 | 2008-10-29 | 北京启明星辰信息技术有限公司 | 一种自动协议识别方法及系统 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7725936B2 (en) * | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
| WO2008061483A1 (fr) | 2006-11-24 | 2008-05-29 | Hangzhou H3C Technologies Co., Ltd. | Procédé et appareil d'identification de contenu de données |
| CN101005497A (zh) * | 2006-11-27 | 2007-07-25 | 科博技术有限公司 | 一种阻止恶意代码入侵的系统及方法 |
| CN101035111B (zh) * | 2007-04-13 | 2010-10-13 | 北京启明星辰信息技术股份有限公司 | 一种智能协议解析方法及装置 |
| CN101562604B (zh) * | 2008-04-17 | 2012-08-08 | 北京启明星辰信息技术股份有限公司 | 一种基于报文流数据的无缓存模式匹配方法 |
| CN101562603B (zh) * | 2008-04-17 | 2012-06-20 | 北京启明星辰信息技术股份有限公司 | 一种通过回显解析telnet协议的方法及系统 |
| CN101753316B (zh) * | 2008-12-02 | 2012-08-08 | 北京启明星辰信息技术股份有限公司 | 一种智能特征提取方法及系统 |
| CN101771575B (zh) * | 2008-12-29 | 2014-04-16 | 华为技术有限公司 | 一种处理ip分片报文的方法、装置及系统 |
| CN101695031B (zh) * | 2009-10-27 | 2011-12-07 | 成都市华为赛门铁克科技有限公司 | 入侵防御系统的升级方法和装置 |
| CN102035855B (zh) * | 2010-12-30 | 2014-05-07 | 江苏省电力公司 | 网络安全事件关联分析系统 |
| EP2560338B1 (en) | 2011-06-13 | 2016-01-13 | Huawei Technologies Co., Ltd. | Method and apparatus for protocol parsing |
| CN102244610A (zh) * | 2011-06-24 | 2011-11-16 | 吉林中软吉大信息技术有限公司 | 一种利用捕获数据来解析协议的方法 |
| CN104023000A (zh) * | 2013-09-05 | 2014-09-03 | 田玥 | 一种网络入侵检测方法 |
| CN104135490A (zh) * | 2014-08-14 | 2014-11-05 | 浪潮(北京)电子信息产业有限公司 | 入侵检测系统分析方法和入侵检测系统 |
| CN106209488B (zh) * | 2015-04-28 | 2021-01-29 | 北京瀚思安信科技有限公司 | 用于检测网站攻击的方法和设备 |
| CN105678188B (zh) * | 2016-01-07 | 2019-01-29 | 杨龙频 | 数据库防泄露协议识别方法及装置 |
| CN106446720B (zh) * | 2016-09-08 | 2019-02-01 | 上海携程商务有限公司 | Ids规则的优化系统及优化方法 |
| CN112997467B (zh) * | 2020-09-18 | 2022-08-19 | 华为技术有限公司 | 入侵监控系统、方法及相关产品 |
| CN112565290B (zh) * | 2020-12-22 | 2022-11-22 | 深信服科技股份有限公司 | 一种入侵防御方法、系统及相关设备 |
-
2002
- 2002-10-11 CN CN 02131143 patent/CN1203641C/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100338915C (zh) * | 2005-08-19 | 2007-09-19 | 杭州华三通信技术有限公司 | 报文镜像方法及具有报文镜像功能的网络设备 |
| CN100342692C (zh) * | 2005-09-02 | 2007-10-10 | 杭州华三通信技术有限公司 | 入侵检测装置和入侵检测系统 |
| CN100429617C (zh) * | 2006-05-16 | 2008-10-29 | 北京启明星辰信息技术有限公司 | 一种自动协议识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1450757A (zh) | 2003-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1203641C (zh) | 网络入侵监测的方法和系统 | |
| US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
| US8813220B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
| Rafique et al. | Firma: Malware clustering and network signature generation with mixed network behaviors | |
| US8726382B2 (en) | Methods and systems for automated detection and tracking of network attacks | |
| US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
| CN101350745B (zh) | 一种入侵检测方法及装置 | |
| US8296842B2 (en) | Detecting public network attacks using signatures and fast content analysis | |
| CN1697404A (zh) | 一种交互式的网络蠕虫检测系统和方法 | |
| CN101656634B (zh) | 基于IPv6网络环境的入侵检测方法 | |
| CN101018121B (zh) | 日志的聚合处理方法及聚合处理装置 | |
| CN111600850B (zh) | 一种检测挖矿虚拟货币的方法、设备及存储介质 | |
| CN1269030A (zh) | 自动化网络监视和安全违规干预的方法和装置 | |
| CN112383538B (zh) | 一种混合式高交互工业蜜罐系统及方法 | |
| CN1909488A (zh) | 一种结合病毒检测与入侵检测的方法及系统 | |
| US20100050084A1 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
| CN1529248A (zh) | 网络入侵行为关联事件的检测方法及系统 | |
| CN1881911A (zh) | 对于网络和本地因特网协议业务的综合监测 | |
| CN101640594A (zh) | 一种在网络设备上提取流量攻击报文特征的方法和单元 | |
| Leita et al. | Exploiting diverse observation perspectives to get insights on the malware landscape | |
| CN111770097B (zh) | 一种基于白名单的内容锁防火墙方法及系统 | |
| CN1848745A (zh) | 基于网络流量特征的蠕虫病毒检测方法 | |
| CN1549160A (zh) | 基于插件技术的设备日志实时解析系统及日志解析方法 | |
| CN1317855C (zh) | 一种入侵检测系统及其入侵检测方法 | |
| CN112507336A (zh) | 基于代码特征和流量行为的服务端恶意程序检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee after: BEIJING VENUSTECH Inc. Address before: No 12, No. 188 South Main Street, Beijing, Haidian District, Zhongguancun Patentee before: Beijing Venus Information Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20090320 Address after: Building 100193, building 21, Zhongguancun Software Park, 8 West Wang Xi Road, Beijing, Haidian District Co-patentee after: BEIJING VENUSTECH CYBERVISION Co.,Ltd. Patentee after: BEIJING VENUSTECH Inc. Address before: 12, 100081 South Main Street, Beijing, Haidian District, 188: zip code: Patentee before: BEIJING VENUSTECH Inc. |
|
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING QIMINGXINGCHEN INFORMATION TECHNOLOGY CO., Free format text: FORMER NAME: BEIJING QIMING XINGCHEN INFORMATION TECHNOLOGY CO. LTD. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050525 Termination date: 20141011 |
|
| EXPY | Termination of patent right or utility model |