DE102011117299B4 - Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk - Google Patents

Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk Download PDF

Info

Publication number
DE102011117299B4
DE102011117299B4 DE102011117299.1A DE102011117299A DE102011117299B4 DE 102011117299 B4 DE102011117299 B4 DE 102011117299B4 DE 102011117299 A DE102011117299 A DE 102011117299A DE 102011117299 B4 DE102011117299 B4 DE 102011117299B4
Authority
DE
Germany
Prior art keywords
user
data
traffic
monitored
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102011117299.1A
Other languages
English (en)
Other versions
DE102011117299A1 (de
Inventor
Marion Wiersdorff
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deutsche Telekom AG
Original Assignee
Deutsche Telekom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Deutsche Telekom AG filed Critical Deutsche Telekom AG
Priority to DE102011117299.1A priority Critical patent/DE102011117299B4/de
Publication of DE102011117299A1 publication Critical patent/DE102011117299A1/de
Application granted granted Critical
Publication of DE102011117299B4 publication Critical patent/DE102011117299B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk (100), mit den Schritten: – Speichern von Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern in einer Datenbank (500), – Überwachen des Datenverkehrs innerhalb des Kommunikationsnetzwerks (100) und Zuordnen von Datenpaketen des überwachten Datenverkehrs zu individuellen Nutzern und/oder Nutzergruppen in Abhängigkeit hinterlegter Nutzerdaten und in Abhängigkeit der Quell- und/oder Ziel-IP des jeweiligen Datenpakets mittels wenigstens einer Überwachungseinrichtung (200, 300), welche die Datenpakete des überwachten Datenverkehrs in Echtzeit überprüft, – Erzeugen von Datensätzen mit vorgegebenem Datenformat durch Filtern des überwachten Datenverkehrs in Abhängigkeit hinterlegter Filterregeln (410, 420) zur Erkennung eines möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, – Analysieren der erzeugten Datensätze in Abhängigkeit der gespeicherten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparameter zur Bestätigung eines erkannten möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, und – Speichern der erzeugten Datensätze und/oder der Analyseergebnisse in einem dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordneten Speicher (601–60N).

Description

  • Die Erfindung betrifft allgemein Kommunikationsnetzwerke von Providern, die Netzinfarstrukturleistung und andere Dienste kommerziell anbieten, insbesondere ein Verfahren und ein System zur Betrugserkennung für IP- und Datennetze.
  • Aufgrund der Komplexität heutiger Kommunikationsnetzwerke sind die Anbieter von Diensten, insbesondere die Netzbetreiber, mit verschiedenen Problemen der Sicherheit konfrontiert, die vor allem auf die schnelle Erkennung von Sicherheitsvorfällen reflektieren müssen, z. B. DoS-Angriffe (Denial of Service, DDoS Attacken)
  • Es sind Systeme zur Analyse von Sicherheitsrelevanten Ereignissen bekannt, mit deren Hilfe ein Netzwerk laufend überwacht werden kann, um auf Sicherheitsvorfälle wie beispielsweise den Angriff eines Hackers reagieren zu können.
  • Ein weiteres Problem der Diensteanbieter stellen mögliche Betrugsfälle dar, wie eine mögliche Erschleichung von unberechtigten Leistungsmerkmalen durch Platzieren von Identity Theft und z. B. der Ausnutzung von IP-Protokollschwächen oder einer Manipulation der Systeme, die Abrechnungsdaten beinhalten.
  • Eine Erschleichung von unberechtigten Leistungsmerkmalen entgegen definierter vertraglicher Leistungsmerkmale kann beispielsweise in unberechtigtem Schalten von Leitungskapazität bzw. Netzinfrastrukturleistung bestehen.
  • Im Bereich der Telefonie sind Lösungen zur Betrugsermittlung bekannt, die auf der Auswertung von Datensätzen basieren, wie zum Beispiel den Verbindungsdaten und den Daten, die Anwendungen zur Abrechnung beinhalten.
  • Aus US 2007/0204033 A1 ist ein Verfahren und ein System zum Erkennen von Missbrauch von Netzwerkdiensten mittels eines Betrugs-Detektors bekannt, wobei dieser dazu ausgebildet ist, Benutzerdaten zu prüfen und auf der Grundlage einer von zentralen Servern bereitgestellten Historie von Internetaktivitäten betrügerische Aktivitätsmuster zu erkennen, sowie insbesondere einen Missbrauch von Internetdiensten basierend auf Dienstvereinbarungen und den historischen Aktivitätsinformationen zu erkennen. Für den Zugriff auf Nutzerdaten von Internetdienstanbietern, eines ISPs oder eines Drittanbieters, ist der Betrugs-Detektor mit entsprechenden Datenspeichereinrichtungen verbunden, in welchen Nutzerdaten gespeichert sind. Ferner ist eine Datenstruktur mit darin hinterlegten Missbrauchs- und Betrugsmustern vorgesehen, auf welche der Betrugs-Detektor zugreifen kann, um zu prüfen, ob bei bestimmten Nutzerkonten ein Missbrauch vermutet wird. Für einen Vergleich einer Historie überwachter Internetaktivitäten mit vertraglich festgelegten Parametern kann der Betrugs-Detektor außerdem auf eine Datenstruktur mit darin hinterlegten Dienstvereinbarungen zugreifen.
  • Es ist die Aufgabe der vorliegenden Erfindung, einen Weg aufzuzeigen, wie Missbrauch in einem IP-basierten Kommunikationsnetzwerk erkannt werden kann, wie beispielsweise die unberechtigte Nutzung von Leistungsmerkmalen, wobei insbesondere die unberechtigte Nutzung auch in einer Nutzung entgegen definierter vertraglicher Vereinbarungen bestehen kann.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Vorteilhafte Ausführungsformen sind Gegenstand der abhängigen Ansprüche.
  • Ein erfindungsgemäßes Verfahren zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk umfasst dementsprechend das Erfassen und Speichern von Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern in einer Datenbank, sowie das Überwachen des Datenverkehrs innerhalb des Kommunikationsnetzwerks und deren Netzaußenkanten. Das Überwachen des Datenverkehrs erfolgt vorzugsweise mittels einem oder mehreren Überwachungseinrichtungen bzw. Sensoren, welche jeweils einzelnen Netzwerkelementen oder Netzwerksegmenten zugeordnet sein können, und welche die Datenpakete in Echtzeit überprüfen, die über das jeweils zugeordnete Netzwerkelement oder Netzwerksegment übertragen werden. Die Datenpakete des überwachten Datenverkehrs werden in Abhängigkeit hinterlegter Nutzerdaten und in Abhängigkeit der Quell- und/oder Ziel-IP des jeweiligen Datenpakets individuellen Nutzern und/oder Nutzergruppen zugeordnet.
  • Das Verfahren sieht ferner vor, den überwachten Datenverkehr in Abhängigkeit hinterlegter Filterregeln zur Erkennung eines möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe zu filtern, wobei die durch Filtern erzeugten Datensätze ein vorgegebenes Datenformat aufweisen. Die so erzeugten Datensätze werden in Abhängigkeit der gespeicherten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparameter analysiert, um ein erkanntes mögliches Betrugsverhalten eines Nutzers und/oder einer Nutzergruppe zu bestätigen.
  • Die in Abhängigkeit der hinterlegten Filterregeln erzeugten Datensätze und/oder Ergebnisse der Analyse dieser Datensätze werden in einem dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordneten Speicher zur weiteren Verwendung gespeichert.
  • Ein Kerngedanke der Erfindung besteht darin, durch eine Echtzeit-Analyse des Datenverkehrs in einem Kommunikationsnetzwerk und den Vergleich zu hinterlegten Missbrauchsszenarien und deren Filterregeln auf Basis IP mögliche Betrugsfälle aufzudecken.
  • Mit besonderem Vorteil umfasst das Filtern des überwachten Datenverkehrs und/oder das Analysieren der erzeugten Datensätze ein Analysieren des in wenigstens einem Datenpaket des überwachten Datenverkehrs enthaltenen Nutzdateninhalts. Der Nutzdateninhalt entspricht typischerweise dem Dateninhalt der Anwendungsschicht, d. h. der Schicht 7 im OSI-Referenzmodell. Durch das Analysieren des Nutzdateninhalts wird vorteilhaft eine Zuordnung eines Datenpakets zu einem vorgegebenen Dienst ermöglicht. Dies wiederum erlaubt einen Vergleich mit hinterlegten Dienst- spezifischen Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern.
  • Da bei den heutigen Netzkapazitäten das Sammeln sämtlicher Datenpakete kaum handhabbar wäre, umfasst das Filtern des überwachten Datenverkehrs vorteilhaft das Ermitteln abgeleiteter Größen aus dem überwachten Datenverkehr, wobei dies, vorzugsweise ein statistisches Auswerten des überwachten Datenverkehrs umfasst. Ferner umfasst das Filtern des überwachten Datenverkehrs vorteilhaft das Vergleichen der ermittelten abgeleiteten Größen mit hinterlegten Grenz- oder Schwellwerten und/oder mit hinterlegten Betrugsmustern und/oder mit hinterlegten, einen Normalzustand repräsentierenden Nutzungsmustern vorgegebener Netzwerkelemente oder Netzwerksegmente.
  • Zu Beweissicherungszwecken erfolgt das Speichern der erzeugten Datensätze und/oder der Analyseergebnisse vorzugsweise revisionssicher.
  • In einer bevorzugten Ausgestaltung des Verfahren ist ferner vorgesehen, bei Erkennen eines möglichen Betrugsverhaltens ein Alarmsignal zu erzeugen und an eine vorgegebene Instanz zu übertragen, wobei das Alarmsignal insbesondere eine E-Mail und/oder eine Kurznachricht umfasst.
  • Ferner ist vorteilhaft vorgesehen, über eine Benutzerschnittstelle die erzeugten Datensätze und/oder Analyseergebnisse, welche einem erkannten möglichen Betrugsverhalten zugeordnet sind, zu visualisieren.
  • Ein erfindungsgemäßes System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk umfasst eine Nutzerdatenbank mit hinterlegten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern, wenigstens eine Überwachungseinrichtung zum Überwachen des Datenverkehrs, die inaktiv im Netztraffic innerhalb des Kommunikationsnetzwerks eingebunden ist, welche dazu ausgebildet ist, Datenpakete des überwachten Datenverkehrs anhand von Filterregeln individuellen Nutzern und/oder Nutzergruppen in Abhängigkeit hinterlegter Nutzerdaten und in Abhängigkeit der Quell- und/oder Ziel-IP des jeweiligen Datenpakets zuzuordnen, eine Regeldatenbank mit darin gespeicherten Filterregeln zur Erkennung eines möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, eine Filtereinrichtung zum Erzeugen von Datensätzen mit vorgegebenem Datenformat durch Filtern des überwachten Datenverkehrs in Abhängigkeit der in der Regeldatenbank gespeicherten Filterregeln, eine Analyseeinrichtung zum Analysieren der erzeugten Datensätze in Abhängigkeit der in der Nutzerdatenbank hinterlegten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparameter zur Bestätigung eines erkannten möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, und wenigstens einen dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordneten Speicher zum Speichern der erzeugten Datensätze und/oder der Analyseergebnisse.
  • Die Filtereinrichtung und/oder die Analyseeinrichtung ist jeweils vorteilhaft dazu ausgebildet, den in den Datenpaketen des überwachten Datenverkehrs enthaltenen Nutzdateninhalt zu analysieren. Ferner ist die Filtereinrichtung vorzugsweise zum Ermitteln abgeleiteter Größen aus dem überwachten Datenverkehr, insbesondere durch statistisches Auswerten des überwachten Datenverkehrs, und zum Vergleichen der ermittelten Größen mit in der Regeldatenbank hinterlegten Grenz- oder Schwellwerten und/oder Betrugsmustern und/oder einen Normalzustand repräsentierenden Nutzungsmustern vorgegebener Netzwerkelemente ausgebildet.
  • Der wenigstens eine dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordnete Speicher zum Speichern der erzeugten Datensätze und/oder der Analyseergebnisse ist besonders vorteilhaft als revisionssicherer Datencontainer ausgebildet, um sicherzustellen, dass die in einem solchen Datencontainer gespeicherten Daten nicht nachträglich verändert werden können.
  • Um einen Managementzugriff auf das System zu ermöglichen, ist vorteilhaft eine grafische Benuterzschnittstelle vorgesehen, welche einen Zugriff auf alle Komponenten des Systems bereitstellt und zum Visualisieren von erzeugten Datensätzen und/oder Analyseergebnissen, welche einem erkannten möglichen Betrugsverhalten zugeordnet sind, ausgebildet ist.
  • Ferner sind die Filtereinrichtung und/oder die Analyseeinrichtung vorzugsweise dazu ausgebildet, bei Erkennen eines möglichen Betrugsverhaltens eine Alarmfunktion auszuführen, wobei durch Ausführen der Alarmfunktion insbesondere eine Signalisierung über eine grafische Benuterzschnittstelle des Systems erfolgt und/oder ein Alarmsignal erzeugt und, vorzugsweise als E-Mail und/oder als Kurznachricht, an eine vorgegebene Instanz übertragen wird.
  • Die Erfindung wird nachfolgend beispielhaft anhand einer bevorzugten Ausführungsform und unter Bezugnahme auf die einzige Zeichnung genauer beschrieben. Diese zeigt:
  • eine schematische Darstellung eines bevorzugten Ausführungsbeispiels eines erfindungsgemäßen Systems zur Betrugserkennung.
  • Das in der einzigen Figur dargestellte System 10 umfasst eine Komponente 200 zur Überwachung des Datenverkehrs in einer Netzinfrastruktur 100. Die Komponente 200 kann einen oder mehrere Überwachungseinrichtungen umfassen, welche jeweils einzelnen Elementen oder Segmenten der zu überwachenden Netzinfrastruktur 100 zugeordnet sein können.
  • Die systemische Lösung stellt ein Technologieverfahren zur Ermittlung von möglichen Betrugsszenarien zur Erschleichung von Leistungsmerkmalen oder der Manipulation von Abrechnungsdaten auf Basis IP bereit.
  • Die Überwachungseinrichtungen sind vorzugsweise als leistungsstarke Netzdatenverkehrssensoren ausgebildet, welche im jeweils zu überwachenden Netzsegment implementiert sind und die es grundsätzlich gestatten, hochbitratige Datenverkehrsströme zu erfassen und über etablierte, kompatible Schnittstellen an andere Systemkomponenten weiterzuleiten.
  • Integraler Bestandteil ist ferner die Installation von Analyse- und Auswertekomponenten 300 und 400, die eine Aufzeichnung und Speicherung von Verhalten dieser erfassten Verkehrsströme im Netz gestatten. Im dargestellten Ausführungsbeispiel sind eine erste Regeldatenbank 410, die Regeln zu möglichen Sicherheitsvorfällen umfasst, sowie eine zweite Regeldatenbank 420, die die möglichen erkannten Missbrauchsszenarien auf 12 Basis enthält, vorgesehen. Ferner ist eine Vorfilterung der Datenströme vorgesehen, um eine Trennung und Zuordnung der erfassten Datenströme zu individuellen Nutzern und/oder Nutzergruppen zu gewährleisten. Dementsprechend sind individuelle Speichereinrichtungen 301 bis 30N vorgesehen, in welchen die den jeweiligen, in der Figur allgemein als Mandanten bezeichneten Nutzern und/oder Nutzergruppen zugeordneten Rohdaten gespeichert werden. Das heißt, ein Datensatz, der mögliche Betrugsdatensätze enthalten könnte, wird sofort getrennt nach den verschiedenen Nutzergruppen abgespeichert. Zu diesem Zweck ist eine Datenbank 500 vorgesehen, auf welche die Komponenten 300 und 400 Zugriff haben und in der Kundenprofile und die dazugehörigen Vertragsdaten vorgehalten werden.
  • Die Komponenten 300 und 400 können jeweils eine oder mehrere Hard- und/oder Software-Komponenten umfassen, welche in einer einzigen Einrichtung angeordnet oder auf eine Mehrzahl von Einrichtungen verteilt sein können, wobei die Einrichtungen innerhalb der zu überwachenden Netzinfrastruktur liegen oder mit dieser verbunden sein können.
  • Die Komponente 400, welche mittels eines Filtermoduls 430 und eines Analysemoduls 440 eine Auswertung nach Sicherheitsvorfällen und Missbrauchsszenarien durchführt, stellt die relevanten Datensätze nach vorgegebenen Datensatzformaten bereit und legt diese in einer Datenbank 600 ab, wobei die Speicherung der möglichen relevanten Datensätze für den Nachweis eines Betrugs nach Nutzern und/oder Nutzergruppen getrennt in individuellen, separat gesicherten Datencontainern 601 bis 60N erfolgt. Vorzugsweise werden die Datensätze in den Datencontainern 601 bis 60N revisionssicher gespeichert, so dass diese dann bei Bedarf weiteren Ermittlungsprozessen für Betrug und Sicherheitsvorfälle gleichermaßen zur Verfügung gestellt werden können.
  • Bei greifenden Kriterien oder Indizien für einen möglichen Betrugsfall, zum Beispiel das Überschreiten von definierten Grenz- oder Schwellwerten, erfolgt vorteilhaft eine Analyse des jeweiligen Nutzdateninhaltes mittels einer Funktion, welche die Sicht auf den Dateninhalt der Anwendungsschicht bietet. Diese Analyse kann von dem Filtermodul 430 oder dem Analysemodul 440 ausgeführt werden. Der Dateninhalt der Anwendungsschicht ermöglicht vorzugsweise eine Zuordnung zu vorbestimmten IP-Diensten und damit einen Vergleich mit in der Datenbank 500 hinterlegten Nutzerprofilen.
  • Vorzugsweise umfasst das System 10 für eine Managementsicht eine Komponente, welche eine Arbeitsoberfläche bereitstellt, die vorteilhaft als Web-basierte grafische Oberfläche ausgebildet sein kann, und die den Zugriff auf alle Kernkomponenten der systemischen Lösung gestattet. Die grafische Oberfläche weist vorzugsweise systemseitig eine Funktion zum Managementzugriff auf alle Komponenten auf.
  • Für das Einrichten von vordefinierten Assets für Systemkomponenten aus dem Netz, die ein gewisses Risiko für möglichen Betrug oder Sicherheitsvorfälle bietet, ist vorteilhaft eine Funktion ähnlich einem Baukastenprinzip vorgesehen.
  • In vorteilhafter Ausgestaltung ist ferner die Implementierung einer Alarmfunktion vorgesehen, die bei einem möglichem Betrug/IP Fraud, sofort einen Alarm und gegebenenfalls eine Benachrichtigung durch ein geeignetes Medium an eine festgelegte Instanz veranlasst. Diese Funktion dient insbesondere notwendigen Sofortmaßnahmen, wie zum Beispiel dem Sperren eines Dienstes.
  • Ein mögliches Missbrauchsszenario besteht beispielsweise im bewussten Abweichen in der Nutzung eines vertraglich vereinbarten Leistungsmerkmals eines IP-Dienstes und/oder IP-Produktes, welches zum Beispiel ein Netzbetreiber gegen Entgeltzahlungen anbietet, wobei eine missbräuchliche Nutzung der inhaltlichen Punkte in Bezug auf das Leistungsmerkmal und die dazugehörige Vereinbarung zur Abrechnung vorliegt.
  • Dies kann beispielsweise durch eine illegale Nutzung eines in der Netzinfrastruktur 100 eingebetteten Partition-Switches des Kommunikationsnetzwerks erfolgen, wobei der Switch Netzkapazität eines Providers an Großkunden oder andere Provider bereitstellt, nach dem Prinzip des primären Bedienens der bereitgestellten Premiumklasse als qualitatives Leistungsmerkmal des Providers.
  • Zu diesem Zweck kann beispielsweise eine Manipulation der Zugriffsberechtigung am Switch erfolgen, so dass andere interne und externe Nutzer ohne diese Zugriffsberechtigung Zugang zum System bzw. zu den von dem Switch bereitgestellten Netzkapazitäten erhalten. Es erfolgt somit eine illegale Nutzung der Netzkapazitäten ohne jeglichen Vertrag mit dem Netzbetreiber oder es erfolgt eine illegale Nutzung über vertragliche Vereinbarungen hinaus.
  • Einen ersten Hinweis auf einen möglichen Betrug kann eine Erkennung eines Sicherheitsvorfalls auf Basis der Filterregeln 410 bieten, in diesem Fall einer Sicherheitsverletzung in Form einer Verletzung der Zugriffsberechtigung. Ferner ist in den Filterregeln 420 zu möglichen Missbrauchszenarien der Normalzustand der Nutzung des Switches im Falle der vertraglich geregelten Leistungsmerkmale hinterlegt. Abweichungen von diesem Normalzustand, der sogenannten Baseline, werden durch Überwachen des über den Switch laufenden Datenverkehrs erkannt und die Komponente 400 zur Betrugserkennung erkennt ein mögliches Missbrauchsverhalten der Art ”Nutzer x mit Leistungsmerkmal y hat ein anderes Verhalten im Netz, als er nach Merkmalen des Vertrages zur Nutzung des IP-Dienstes bzw. IP-Produktes haben dürfte”, wobei die Vertragsmerkmale in der Datenbank 500 hinterlegt sind. Es erfolgt daraufhin das nutzerindividuelle Speichern aller relevanten Datensätze in einem entsprechenden Datencontainer der Datenbank 600 mit dem Ziel der weiteren Prüfung eines möglichen Missbrauchsverhaltens. Insbesondere erfolgt auch eine Analyse des Nutzdateninhalts überwachter Datenpakete.
  • Zusätzlich erfolgt die Alarmierung aus dem System heraus via E-Mail oder SMS-Dienst. Parallel dazu wird aus den Datensätzen ein Bericht für den möglichen erkannten Betrugsfall für den Nutzer x aufbereitet und an weiter ermittelnde Einheiten weitergereicht.

Claims (15)

  1. Verfahren zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk (100), mit den Schritten: – Speichern von Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern in einer Datenbank (500), – Überwachen des Datenverkehrs innerhalb des Kommunikationsnetzwerks (100) und Zuordnen von Datenpaketen des überwachten Datenverkehrs zu individuellen Nutzern und/oder Nutzergruppen in Abhängigkeit hinterlegter Nutzerdaten und in Abhängigkeit der Quell- und/oder Ziel-IP des jeweiligen Datenpakets mittels wenigstens einer Überwachungseinrichtung (200, 300), welche die Datenpakete des überwachten Datenverkehrs in Echtzeit überprüft, – Erzeugen von Datensätzen mit vorgegebenem Datenformat durch Filtern des überwachten Datenverkehrs in Abhängigkeit hinterlegter Filterregeln (410, 420) zur Erkennung eines möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, – Analysieren der erzeugten Datensätze in Abhängigkeit der gespeicherten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparameter zur Bestätigung eines erkannten möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, und – Speichern der erzeugten Datensätze und/oder der Analyseergebnisse in einem dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordneten Speicher (60160N).
  2. Verfahren nach Anspruch 1, wobei das Filtern des überwachten Datenverkehrs und/oder das Analysieren der erzeugten Datensätze ein Analysieren des in wenigstens einem Datenpaket des überwachten Datenverkehrs enthaltenen Nutzdateninhalts umfasst.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Filtern des überwachten Datenverkehrs folgende Schritte umfasst: – Ermitteln abgeleiteter Größen aus dem überwachten Datenverkehr, und – Vergleichen der ermittelten Größen mit hinterlegten Grenz- oder Schwellwerten und/oder mit hinterlegten Betrugsmustern und/oder mit hinterlegten, einen Normalzustand repräsentierenden Nutzungsmustern vorgegebener Netzwerkelemente.
  4. Verfahren nach Anspruch 3, wobei das Ermitteln abgeleiteter Größen ein statistisches Auswerten des überwachten Datenverkehrs umfasst.
  5. Verfahren nach einem der vorstehenden Ansprüche, wobei das Speichern der erzeugten Datensätze und/oder der Analyseergebnisse revisionssicher erfolgt.
  6. Verfahren nach einem der vorstehenden Ansprüche, wobei bei Erkennen eines möglichen Betrugsverhaltens ein Alarmsignal erzeugt und an eine vorgegebene Instanz übertragen wird, wobei das Alarmsignal insbesondere eine E-Mail und/oder eine Kurznachricht umfasst.
  7. Verfahren nach einem der vorstehenden Ansprüche, ferner umfassend den Schritt: – Visualisieren von erzeugten Datensätzen und/oder Analyseergebnissen, welche einem erkannten möglichen Betrugsverhalten zugeordnet sind.
  8. System (10) zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk (100), umfassend: – eine Nutzerdatenbank (500) mit hinterlegten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparametern, – wenigstens eine Überwachungseinrichtung (200, 300) zum Überwachen des Datenverkehrs innerhalb des Kommunikationsnetzwerks (100), welche dazu ausgebildet ist, Datenpakete des überwachten Datenverkehrs in Echtzeit zu überprüfen und individuellen Nutzern und/oder Nutzergruppen in Abhängigkeit hinterlegter Nutzerdaten und in Abhängigkeit der Quell- und/oder Ziel-IP des jeweiligen Datenpakets zuzuordnen, – eine Regeldatenbank (410, 420) mit darin gespeicherten Filterregeln zur Erkennung eines möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe – eine Filtereinrichtung (430) zum Erzeugen von Datensätzen mit vorgegebenem Datenformat durch Filtern des überwachten Datenverkehrs in Abhängigkeit der in der Regeldatenbank (410, 420) gespeicherten Filterregeln, – eine Analyseeinrichtung (440) zum Analysieren der erzeugten Datensätze in Abhängigkeit der in der Nutzerdatenbank (500) hinterlegten Nutzer- und/oder Nutzergruppen-individuellen Nutzungsparameter zur Bestätigung eines erkannten möglichen Betrugsverhaltens eines Nutzers und/oder einer Nutzergruppe, – wenigstens einen dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordneten Speicher (60160N) zum Speichern der erzeugten Datensätze und/oder der Analyseergebnisse.
  9. System nach Anspruch 8, wobei die Filtereinrichtung (430) und/oder die Analyseeinrichtung (440) dazu ausgebildet sind, den in den Datenpaketen des überwachten Datenverkehrs enthaltenen Nutzdateninhalt zu analysieren.
  10. System nach Anspruch 8 oder 9, wobei die Filtereinrichtung (430) zum Ermitteln abgeleiteter Größen aus dem überwachten Datenverkehr und zum Vergleichen der ermittelten Größen mit in der Regeldatenbank (410, 420) hinterlegten Grenz- oder Schwellwerten und/oder Betrugsmustern und/oder einen Normalzustand repräsentierenden Nutzungsmustern vorgegebener Netzwerkelemente ausgebildet ist.
  11. System nach Anspruch 10, wobei die Filtereinrichtung (430) zum statistischen Auswerten des überwachten Datenverkehrs ausgebildet ist.
  12. System nach einem der Ansprüche 8 bis 11, wobei der wenigstens eine dem jeweiligen Nutzer und/oder der jeweiligen Nutzergruppe zugeordnete Speicher (60160N) zum Speichern der erzeugten Datensätze und/oder der Analyseergebnisse als revisionssicherer Datencontainer ausgebildet ist.
  13. System nach einem der Ansprüche 8 bis 12, ferner umfassend eine grafische Benuterzschnittstelle, welche einen Zugriff auf alle Komponenten des Systems bereitstellt und zum Visualisieren von erzeugten Datensätzen und/oder Analyseergebnissen, welche einem erkannten möglichen Betrugsverhalten zugeordnet sind, ausgebildet ist.
  14. System nach einem der Ansprüche 8 bis 13, wobei die Filtereinrichtung (430) und/oder die Analyseeinrichtung (440) dazu ausgebildet sind, bei Erkennen eines möglichen Betrugsverhaltens eine Alarmfunktion auszuführen.
  15. System nach Anspruch 14, wobei durch Ausführen der Alarmfunktion eine Signalisierung über eine grafische Benuterzschnittstelle des Systems erfolgt und/oder ein Alarmsignal erzeugt und an eine vorgegebene Instanz übertragen wird, wobei das Alarmsignal insbesondere eine E-Mail und/oder eine Kurznachricht umfasst.
DE102011117299.1A 2011-11-01 2011-11-01 Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk Active DE102011117299B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102011117299.1A DE102011117299B4 (de) 2011-11-01 2011-11-01 Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011117299.1A DE102011117299B4 (de) 2011-11-01 2011-11-01 Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk

Publications (2)

Publication Number Publication Date
DE102011117299A1 DE102011117299A1 (de) 2013-05-02
DE102011117299B4 true DE102011117299B4 (de) 2014-09-04

Family

ID=48084291

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011117299.1A Active DE102011117299B4 (de) 2011-11-01 2011-11-01 Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk

Country Status (1)

Country Link
DE (1) DE102011117299B4 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111445259A (zh) * 2018-12-27 2020-07-24 中国移动通信集团辽宁有限公司 业务欺诈行为的确定方法、装置、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805686A (en) * 1995-12-22 1998-09-08 Mci Corporation Telephone fraud detection system
DE60305184T2 (de) * 2002-07-12 2007-05-10 Comptel Oyj Verfahren, mittel und computerprogrammprodukt zur regelung und/ oder einschränkung der benutzung einer telekommunikationsverbindung
US20070204033A1 (en) * 2006-02-24 2007-08-30 James Bookbinder Methods and systems to detect abuse of network services
US20110149955A1 (en) * 2009-12-18 2011-06-23 Richard Petillo Systems and methods for preventing fraud in an internet protocol telephony system
US20110251951A1 (en) * 2010-04-13 2011-10-13 Dan Kolkowitz Anti-fraud event correlation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5805686A (en) * 1995-12-22 1998-09-08 Mci Corporation Telephone fraud detection system
DE60305184T2 (de) * 2002-07-12 2007-05-10 Comptel Oyj Verfahren, mittel und computerprogrammprodukt zur regelung und/ oder einschränkung der benutzung einer telekommunikationsverbindung
US20070204033A1 (en) * 2006-02-24 2007-08-30 James Bookbinder Methods and systems to detect abuse of network services
US20110149955A1 (en) * 2009-12-18 2011-06-23 Richard Petillo Systems and methods for preventing fraud in an internet protocol telephony system
US20110251951A1 (en) * 2010-04-13 2011-10-13 Dan Kolkowitz Anti-fraud event correlation

Also Published As

Publication number Publication date
DE102011117299A1 (de) 2013-05-02

Similar Documents

Publication Publication Date Title
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
Barford et al. Characteristics of network traffic flow anomalies
EP2084854B1 (de) Mediensitzungsidentifikationsverfahren für ip-netze
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
DE60116877T2 (de) System und verfahren zum erfassen von ereignissen
JP5631881B2 (ja) 脅威管理システムおよび方法
US8661133B2 (en) Method for allowing and blocking a user PC which can use internet at the same time in a private network thereof a method for analyzing and detecting a judgement about whether NAT(network address translation) can be used or not using a traffic data, and the number of terminals sharing NAT
CN107995162A (zh) 网络安全感知系统、方法及可读存储介质
US8769091B2 (en) Method, device and medium for determining operations performed on a packet
Mualfah et al. Network forensics for detecting flooding attack on web server
CN107276858A (zh) 一种访问关系梳理方法及系统
US20060242282A1 (en) Method and system for visualizing network performace characteristics
EP2250764B1 (de) In-bound mechanismus der ende-zu-ende dienstqualität mit anwendungsbewusstsein überwacht
DE69929206T2 (de) System zur analyse der informationssicherheit
US20090219812A1 (en) In-bound mechanism that verifies end-to-end service configuration with application awareness
CN104486320B (zh) 基于蜜网技术的内网敏感信息泄露取证系统及方法
DE112020004572T5 (de) Identifizierung von teilereignissen in einem ereignissturm in einer operationsverwaltung
DE10163530A1 (de) Verfahren zum Überwachen der Dienstgüte in paketorientierten Netzen
CN107171818A (zh) 用于混合云的控制方法、系统和装置
WO2017162395A1 (de) Verfahren zur überwachung der sicherheit von kommunikationsverbindungen eines fahrzeugs
Bezas et al. Comparative analysis of open source security information & event management systems (SIEMs)
DE102011117299B4 (de) Verfahren und System zur Betrugserkennung in einem IP-basierten Kommunikationsnetzwerk
KR20100003099A (ko) 기업 네트워크 분석 시스템 및 그 방법
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000