DE102015016832B4 - Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem - Google Patents

Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem Download PDF

Info

Publication number
DE102015016832B4
DE102015016832B4 DE102015016832.0A DE102015016832A DE102015016832B4 DE 102015016832 B4 DE102015016832 B4 DE 102015016832B4 DE 102015016832 A DE102015016832 A DE 102015016832A DE 102015016832 B4 DE102015016832 B4 DE 102015016832B4
Authority
DE
Germany
Prior art keywords
value
client
security
current
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102015016832.0A
Other languages
English (en)
Other versions
DE102015016832A1 (de
Inventor
Karsten Desler
Jens-Philipp Jung
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Link11 GmbH
Original Assignee
Link11 GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Link11 GmbH filed Critical Link11 GmbH
Priority to DE102015016832.0A priority Critical patent/DE102015016832B4/de
Publication of DE102015016832A1 publication Critical patent/DE102015016832A1/de
Application granted granted Critical
Publication of DE102015016832B4 publication Critical patent/DE102015016832B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk (14) auf ein mit dem Netzwerk (14) verbundenes Computersystem (12) mit den folgenden Schritten:
a) Umleiten einer Anfrage (42) von einem Client (34, 36, 38) an einen Server (16, 22) des Computersystems (12) über das Netzwerk (14) an eine mit dem Netzwerk (14) verbundene Filtervorrichtung (10),
b) Ermitteln eines aktuellen Gefährdungswerts für das Computersystem (12),
c) Auswahl einer Sicherheitsabfrage (50, 52, 54) aus mehreren bereitgestellten Sicherheitsabfragen (50, 52, 54) mit jeweils unterschiedlichem Ressourcen- und Arbeitsaufwand für den Client (34, 36, 38) und einen Nutzer unter Berücksichtigung des ermittelten Gefährdungswerts des Computersystems (12),
d) Übermitteln der ausgewählten Sicherheitsabfrage (50, 52, 54) von der Filtervorrichtung (10) an den anfragenden Client (34, 36, 38), und
e) Weiterleitung der Anfrage (42) an den Server (16, 22) beim Empfang einer gültigen Antwort (60) auf die Sicherheitsabfrage (50, 52, 54) von dem Client (34, 36, 38), wobei ein aktueller Verdachtswerts für einen Nutzer oder Client (34, 36, 38) ermittelt wird und der Verdachtswert bei der Auswahl der Sicherheitsabfrage (50, 52, 54) berücksichtigt wird und bei dem jeder bereitgestellten Sicherheitsabfrage (50, 52, 54) ein Grenzwert für den aktuellen Verdachtswert zugeordnet wird und die Auswahl nur unter Sicherheitsabfragen (50, 52, 54) erfolgt, deren Grenzwert kleiner als der aktuelle Verdachtswert ist, wobei der Grenzwert einer Sicherheitsabfrage (50, 52, 54) für den aktuellen Verdachtswert auf Grundlage des aktuellen Gefährdungswerts dynamisch verändert wird.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein Verfahren und eine Filtervorrichtung zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk auf ein mit dem Netzwerk verbundenes Computersystem.
  • Hintergrund
  • Computersysteme zur Bereitstellung von Diensten, Inhalten oder Daten in einem öffentlich zugänglichen Netzwerk, wie beispielsweise dem Internet, sind im zunehmenden Maße Angriffen ausgesetzt. Dabei wird häufig versucht, durch eine Überlastung des Computersystems eine Nutzung von Diensten oder Inhalten zu blockieren. Nutzer können dann nicht mehr auf angebotene Dienste oder Daten zugreifen. Solche auch als DoS-Angriff (Denial of Service) bezeichnete Dienstverweigerungs- oder Dienstblockadeangriffe können beispielsweise eine Benutzung eines Online-Shops oder eines Medien-Anbieters über das Netzwerk für Stunden oder auch Tage verhindern und somit einen erheblichen wirtschaftlichen Schaden anrichten.
  • Insbesondere verteilte DoS-Attacken (distributed DoS, DDoS), bei denen eine Vielzahl von Rechnern gleichzeitig und im Verbund ein Computersystem angreift, stellen eine große Gefahr dar. Dazu installiert sich beispielweise eine Schadsoftware, etwa in Form eines Computervirus, selbstständig bei einzelnen Rechnern ohne dass der eigentliche Benutzer dieses bemerkt. Ferngesteuert oder zu einem vorgegebenen Zeitpunkt löst die Schadsoftware auf allen betroffenen Rechnern, welche dann auch als Bots oder Zombies bezeichnet werden, gleichzeitig Anfragen an das angegriffene Computersystem aus. Jede Anfrage beansprucht Ressourcen des Computersystems, wodurch schnell eine Überlastung auftritt. Typische DDoS-Angriffe zielen dabei regelmäßig auf eine Überlastung eines Netzzugangs oder der Ressourcen einer Firewall, eines Webservers oder eines Datenbankservers des Computersystems. Neben solchen Volumen-DDoS-Angriffen finden zunehmend auch Applikations-DDos-Angriffe mit Anfragen in einem Anwendungsprotokoll des Netzwerks, etwa dem HTTP-Protokoll für Webseiten, statt. Bei diesen Angriffen wird versucht, eine Überlastung nicht allein durch ein hohes Volumen an Anfragen, sondern durch Anfragen mit einer besonders hohen Beanspruchung von Ressourcen des Computersystems zu verursachen.
  • Zur Abwehr von DDoS-Angriffen werden unter anderem Sicherheitsabfragen von dem Computersystem an datenanfordernde Rechner bzw. Clients verwendet, welche von einer Schadsoftware gar nicht oder nur mit erheblichem Aufwand korrekt beantwortet werden können. Zu solchen Sicherheitsabfragen gehören beispielsweise Captchas (Completely Automated Public Turing test to tell Computers and Humans Apart), bei den etwa Ziffern oder Buchstaben in einem Bild erkannt und an das Computersystem zurückgeschickt werden müssen. Mit einem solchen Turing-Test kann entschieden werden, ob eine Anfrage von einer Maschine, in diesem Fall einem Bot mit einer Schadsoftware, oder einem Menschen stammt.
  • In der US 2007/0266426 A1 wird ein solches Verfahren zur Abwehr von DoS-Attacken beschrieben. Jedem anfragenden Client wird ein Verdachtswert zugeordnet. Bei einem niedrigen Verdachtswert werden keine oder nur wenige Anfragen an einen Webserver zugelassen. Ein neuer Client muss für einen ausreichenden Verdachtswert zunächst ein Captcha lösen. Der Verdachtswert eines Clients wird bei jeder Anfrage unter Berücksichtigung des Anfrageverhaltens, wie beispielsweise der Anzahl vorheriger Anfragen pro Zeiteinheit, angepasst und mit einer Antwort des Webservers in einem Cookie auf dem Client gespeichert. Bei der nächsten Anfrage des Clients wird auch der im Cookie gespeicherte Verdachtswert an den Webserver übermittelt und zur Prüfung des Clients verwendet.
  • US 2015/0089566 A1 offenbart eine Sicherheitslösung für ein Computernetzwerk, bei der verschiedene Sicherheitsabfragen einem Risiko-Status des Systems zugeordnet werden.
  • Ein Nachteil derartiger Verfahren zum Schutz vor DoS-Angriffen mit Sicherheitsabfragen ist der Arbeits- und Zeitaufwand für Nutzer von angebotenen Diensten oder Inhalten. Jeder neue Nutzer muss ein Captcha lösen. Das Lösen eines Captcha wird aber von vielen Nutzern als lästig empfunden. Auch müssen zur korrekten Beantwortung eventuell Einstellungen am Browser oder dem Clientrechner vorgenommen werden, wie etwa ein Zulassen von Cookies. Löscht ein Nutzer Cookies von seinem Rechner, werden seine Anfragen zunächst nicht mehr beantwortet und er muss erneut ein Captcha lösen. Diese Umstände können dazu führen, dass ein Nutzer einen Dienst gar nicht erst oder nicht mehr in Anspruch nimmt.
  • Zugrunde liegende Aufgabe
  • Es ist eine Aufgabe der Erfindung, ein Verfahren sowie eine Vorrichtung bereitzustellen, womit die vorgenannten Probleme gelöst werden und insbesondere ein sicherer Schutz vor Angriffen über ein Netzwerk auf ein Computersystem bei möglichst geringer Beeinträchtigung der Nutzung des Computersystems durch Nutzer erzielt wird.
  • Erfindungsgemäße Lösung
  • Die Aufgabe wird erfindungsgemäß durch ein Verfahren nach dem unabhängigen Anspruch 1 gelöst. Weiterhin wird die Aufgabe mit einer Filtervorrichtung nach dem unabhängigen Anspruch 9 gelöst.
  • Bei einem erfindungsgemäßen Verfahren zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk auf ein mit dem Netzwerk verbundenes Computersystem erfolgt ein Umleiten einer Anfrage von einem Client an einen Server des Computersystems über das Netzwerk an eine mit dem Netzwerk verbundene Filtervorrichtung. Beispielsweise ist das öffentlich zugängliche Netzwerk das Internet und der Angriff ein Dienstverweigerungsangriff (DoS-Angriff) oder ein verteilter Dienstverweigerungsangriff (DDoS-Angriff) und somit ein Überlastungsangriff durch eine sehr große Anzahl von Anfragen an das Computersystem. Die Anfrage ist zum Beispiel eine Anfrage in einem Protokoll einer Anwendungsschicht des Netzwerks. Insbesondere kann die Anfrage eine HTTP-Anfrage eines Browsers als Client an einen Webserver des Computersystems sein. Mit einer HTTP-Anfrage kann der Browser eine Webseite des Webservers anfordern oder über einen Link oder ein Formular einer bereits geladenen Webseite weitere Inhalte, Informationen oder andere Daten, z.B. von einem Datenbankserver des Computersystems, anfragen.
  • Die Umleitung von Anfragen an die Filtervorrichtung erfolgt bei einer Ausführungsform permanent. Alternativ kann auch nur bei einem Angriff eine Umleitung erfolgen. Bei einem auf dem Internet Protokoll (IP) basierendem Netzwerk ist eine Umleitung von Anfragen zum Beispiel durch eine Änderung der IP-Adresse für einen Domain-Namen des Servers in einem Register des Domain Name Systems (DNS) oder durch eine Bekanntgabe der Umleitung mittels Boarder Gateway Protokoll bei Routern des Netzwerks möglich. Anfragen an den Server und Antworten des Servers an einen anfragenden Client werden vorzugsweise von einem Proxyserver der Filtereinrichtung weitergeleitet.
  • Der Server des Computersystems stellt auf Anfrage beispielsweise einen Dienst bzw. Inhalte oder Daten eines Dienstes für Clients im Netzwerk zur Verfügung. Insbesondere können diese Inhalte oder Daten von dem Server kostenlos und ohne Authentifizierung des Clients oder Nutzers angeboten werden, wie etwa Webseiten mit öffentlichen Informationen, Angeboten eines Online-Shops oder kostenlose Medien. Für einen Zugriff auf diese Inhalte oder Dienste verwendet ein Nutzer üblicherweise einen mit dem Netzwerk verbundenen Rechner und eine geeignete Software, zum Beispiel einen Webbrowser, als Client. Im Folgenden wird sowohl der Rechner als auch die Software, als Client bezeichnet. Entsprechend wird sowohl eine Serversoftware als auch ein zur Ausführung der Serversoftware verwendeter Rechner als Server bezeichnet.
  • Weiterhin erfolgt ein Ermitteln eines aktuellen Gefährdungswerts für das Computersystem. Der Gefährdungswert wird beispielsweise durch die Filtervorrichtung auf Grundlage einer aktuellen Auslastung des Computersystems oder des Servers, einer Anzahl von eintreffenden Anfragen pro Zeiteinheit für das Computersystem, den Server oder einen Inhalt, etwa eine Webseite, oder einem Ressourcen- und Zeitaufwand für eintreffende Anfragen ermittelt. Hierfür können eine Untersuchung einer eingehenden Anfrage und ein Ermitteln einer Zeitdauer bis zum Eintreffen einer Antwort des Servers bei der Filtervorrichtung vorgesehen sein. Die Untersuchung einer Anfrage kann in einem verwendeten Protokoll einer Netzwerkebene (z.B. im TCP/IP Protokoll), einer Anwendungsebene (z.B. in den Protokollen HTTP, SMTP, IMAP, POP3 usw.) oder parallel auf mehreren Ebenen erfolgen.
  • Bei dem erfindungsgemäßen Verfahren erfolgt ferner eine Auswahl einer Sicherheitsabfrage aus mehreren bereitgestellten Sicherheitsabfragen mit jeweils unterschiedlichem Ressourcen- und Arbeitsaufwand für den Client und einen Nutzer unter Berücksichtigung des ermittelten Gefährdungswerts des Computersystems. Die Sicherheitsabfragen werden beispielsweise in einem Speicher der Filtervorrichtung gespeichert. Alternativ oder zusätzlich kann die Filtervorrichtung geeignete Sicherheitsabfragen erzeugen. Für eine Auswahl können ein Bezeichner und andere Parameter der Sicherheitsabfragen in Form einer Liste, Tabelle oder Datenbank gespeichert sein. Im Sinne der vorliegenden Erfindung sind geeignete Sicherheitsabfragen: eine Umleitungs-/Redirekt-Abfrage, Captcha-Abfrage, eine Abfrage nach einer Cookie-Verarbeitung oder eine Abfrage nach der Ausführbarkeit eines JavaScripts. Spezifischere Möglichkeiten gibt die folgende Liste wieder:
    1. 1. Auf eine Anfrage eines Clients hin, wird nicht die abgerufene Seite wird (beispielsweise „htttp://www.seite.de/“) unmittelbar angezeigt, sondern vielmehr an den Client eine Umleitungs- oder Redirect-Aufforderung weitergeleitet (beispielsweise „htttp://www.seite.de/?IAmABot=0“). Ein unbedenklicher Client, dessen Anfrage beispielsweise von einem Browser kommt, wird diese Redirect-Aufforderung leicht verarbeiten. Bei einem DoS oder einem DDoS-Angriff geschieht dies jedoch in der Regel nicht. Die im Rahmen eines solchen Angriffs verwendeten Rechner oder Rechnernetzwerke, nachfolgend allgemein als Bot oder Bots bezeichnet, können dies in der Regel nicht leisten, da sie tendenziell weniger leistungsfähig sind, als der Rechner und die Software eines nicht böswilligen Clients, nämlich in der Regel die ursprüngliche Anfrage noch einmal senden.
    2. 2. Eine Redirect-Antwort obiger Art kann mit einer Aufforderung an den Client kombiniert werden, ein Cookies zurückzusenden.
    3. 3. Die unter „2.“ beschriebene Anfrage kann in Bezug auf den Cookie noch weitere Vorgaben enthalten, etwa für Daten, die in dem Cookie enthalten sein sollen. Ein unschädlicher Client ist in der Regel in der Lage, einen Cookie oder auch einen Cookie mit speziellen Daten zu generieren.
    4. 4. Im Rahmen einer Redirect-Abfrage kann auch eine Anzahl von Cookies eingefordert werden, welche mit einem Ablaufdatum versehen sind. Einige davon sind mit einem Ablaufdatum versehen, das überschritten wurde. Nachdem dem http-Protokoll darf bei Überschreiten des Ablaufdatums ein Cookie nicht mehr versendet werden. Bei einem Bot-Rechner hingegen sind solche http-Regeln in der Regel nicht implementiert, diese Rechner kann man daher daran erkennen, dass auch Cookies mit überschrittenem Ablaufdatum zurückgesendet werden.
    5. 5. Bei SSI-Verbindungen kann eine Neuverhandlung der Verbindung eingefordert werden, was ein Bot in der Regel nicht oder nur verlangsamt leistet.
    6. 6. In den Quellcode einer dem Client angebotenen Seite, wird Java Script Code eingearbeitet. Ein unbedenklicher Client, der einen Browser verwendet, kann Java Script Code in aller Regel verarbeiten, ein Bot dagegen nicht.
    7. 7. Es wird ein leicht lesbares Captcha verwendet. In der Regel kann es nur von einem menschlichen Nutzer gelöst werden, denkbar ist allerdings, dass fortgeschrittene Bots über ausreichende Bilderkennungsverfahren verfügen.
    8. 8. Es wird ein schwer lesbares Captcha eingesetzt. Ein Beispiel ist „ReCaptcha“, wie es beispielsweise von Google angeboten wird.
    9. 9. Als Captcha-Abfrage wird eine anspruchsvolle, nur von einem Menschen zu beantwortende Frage verwendet, beispielsweise: „Auf welchem der Bilder ist Albert Einstein erkennbar?“.
  • Vorzugsweise werden bei einem niedrigen Gefährdungswert Sicherheitsabfragen mit einer hohen Transparenz für den Nutzer bzw. einem geringen Ressourcen- und Arbeitsaufwand für den Client und für einen hohen Gefährdungswert Sicherheitsabfragen mit weniger Transparenz und höherem Aufwand ausgewählt. Bei einem sehr hohen Gefährdungswert werden insbesondere Sicherheitsabfragen ausgewählt, welche ein direktes Eingreifen oder eine Aktion des Nutzers erfordern. Mit solchen Sicherheitsabfragen lassen sich angreifende Bots von menschlichen Nutzern besonders sicher unterscheiden. Sicherheitsanfragen mit großer Transparenz für einen Nutzer können beispielsweise durch den Client ohne weiteres Zutun des Nutzers beantwortet werden.
  • In einer Ausführungsform wird Sicherheitsabfragen zur Vereinfachung einer Auswahl jeweils ein Transparenzwert zugeordnet. Mit den Transparenzwerten lässt sich eine Rangfolge der Sicherheitsabfragen bezüglich der Transparenz für einen Nutzer aufstellen. Beispielsweise wird für eine HTTP-Anfrage bei einem niedrigen Gefährdungswert eine Cookie-Verarbeitung oder eine Ausführbarkeit eines Java-Skripts und bei einem hohem Gefährdungswert ein Captcha als Sicherheitsabfrage ausgewählt. Auf diese Weise muss ein Nutzer nur bei einem hohen Gefährdungswert, wie z.B. während eines Angriffs, ein lästiges Captcha lösen, während im normalen Betrieb eine für den Nutzer kaum bemerkbare Cookie-Installation erfolgt. Die obige Liste zählt Sicherheitsabfragen sehr verschiedener Transparenzwerte auf, wobei unter Punkt 1 der Liste eine Variante mit hohem Transparenzwert steht, welche sozusagen für den Nutzer fast unsichtbar ist, während der Listeneintrag eine für den Nutzer sehr sichtbare Abfrage darstellt, also eine mit niedrigem Transparenzwert.
  • Weiterhin erfolgt erfindungsgemäß ein Übermitteln der ausgewählten Sicherheitsabfrage von der Filtervorrichtung an den anfragenden Client und eine Weiterleitung der Anfrage an den Server beim Empfang einer gültigen Antwort auf die Sicherheitsabfrage von dem Client. Der Server schickt schließlich eine Antwort auf die Anfrage über die Filtereinrichtung an den Client. Wird die Sicherheitsabfrage nicht oder ungültig beantwortet, erfolgt keine Weiterleitung der Anfrage an das Computersystem.
  • Mit dem erfindungsgemäßen Verfahren wird eine sehr flexible Abwehr von Angriffen bei einer möglichst geringen Belastung der Nutzer durch Sicherheitsabfragen erreicht. Eine Nutzung eines Servers wird insbesondere durch die Auswahl einer geeigneten Sicherheitsabfrage nur geringfügig beeinträchtig, während gleichzeitig ein hoher Schutz gegen DoS-Angriffe erzielt wird.
  • Gemäß einer vorteilhaften Ausführungsform der Erfindung wird jeder bereitgestellten Sicherheitsabfrage ein Grenzwert für den aktuellen Gefährdungswert zugeordnet und erfolgt die Auswahl nur unter Sicherheitsabfragen, deren Grenzwert kleiner als der aktuelle Gefährdungswert ist. Beispielsweise ist der Grenzwert ein Gefährdungswert, ab dem ein Angriff angenommen wird. Somit erfolgt eine Aufteilung der Gefährdungswerte in einen Bereich bei normalem Betrieb und einem Bereich bei einem Angriff. Dabei kann derselbe Grenzwert für alle bereitgestellte Sicherheitsabfragen oder unterschiedliche Grenzwerte für mehrere oder alle Sicherheitsabfragen festgelegt werden. Eine Zuordnung von Grenzwerten erfolgt beispielsweise durch Speichern des jeweiligen Grenzwerts zusammen mit einem Bezeichner der entsprechenden Sicherheitsabfrage in Form einer Liste, Tabelle oder Datenbank. Eine Festlegung des oder der Grenzwerte kann zum Beispiel dynamisch mittels der Filtervorrichtung erfolgen. Hierdurch können aktuelle Entwicklungen schnell berücksichtigt werden.
  • In einer weiteren erfindungsgemäßen Ausführungsform erfolgt bei einem aktuellen Gefährdungswert kleiner als ein vorgegebener Grenzwert keine Auswahl einer Sicherheitsabfrage und wird eine Anfrage an den Server ohne ein vorheriges Übermitteln einer Sicherheitsabfrage an den Client weitergeleitet. Dieses ist beispielsweise dann der Fall, wenn der aktuelle Gefährdungswert unter dem Grenzwert aller bereitgestellten Sicherheitsanfrage liegt. Auf diese Weise werden bei einem geringen Gefährdungswert, etwa bei einer geringen Auslastung des Servers, Anfragen ohne eine für einen Nutzer eventuell lästige Sicherheitsanfrage umgehend an den Server weitergeleitet.
  • Gemäß einer Ausführungsform nach der Erfindung wird für verschiedene angebotene Inhalte eines Dienstes, für verschiedene Dienste oder Server des Computersystems jeweils ein eigener aktueller Gefährdungswert ermittelt und den Sicherheitsabfragen jeweils ein Grenzwert für einen ermittelten aktuelle Gefährdungswert zugeordnet. Alternativ oder zusätzlich kann aus den Gefährdungswerten, welche für verschiedene Dienste oder Server des Computersystems ermittelt wurden, ein Gefährdungswert für das Computersystem als Ganzes ermittelt werden. Das Ermitteln von aktuellen spezifischen Gefährdungswerten erfolgt beispielsweise durch die Filtervorrichtung in der oben beschriebenen Weise, wobei die Ermittlung jeweils für einen bestimmten Server, Dienst oder Inhalt vorgenommen wird. Für eine Zuordnung von Grenzwerten ermittelter Gefährdungswerte zu Sicherheitsabfragen kann wiederum ein Speichern von Grenzwerten zusammen mit einem Bezeichner der entsprechenden Sicherheitsabfrage in Form einer Liste, Tabelle oder Datenbank erfolgen. Durch diese Maßnahme wird eine sehr flexible Verwendung von Sicherheitsanfragen bei Anfragen eines Nutzers ermöglicht. Beispielsweise wird eine Auswahl und Übermittlung von Sicherheitsabfrage nur für angegriffene Dienste oder Inhalte des Computersystems durchgeführt, während Anfragen zu anderen Diensten oder Inhalten ohne Sicherheitsabfrage zugelassen werden.
  • Bei einer weiteren bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens wird ein aktueller Verdachtswerts für einen Nutzer oder Client ermittelt und der Verdachtswert bei der Auswahl der Sicherheitsabfrage berücksichtigt. Beispielsweise wird der Verdachtswert auf Grundlage eines Zugriffsverhaltens oder Einstellungen des Clientsystems bei der Filtervorrichtung ermittelt. Hierfür können unter Verwendung einer Anfragehistorie des Nutzers oder Clients eine Häufigkeit von Anfragen für einen bestimmten Dienst oder Inhalt, eine Dauer vorheriger Sitzungen, eine Betrachtungszeit und Betrachtungsreihenfolge von Inhalten und dergleichen mehr berücksichtigt werden. Weiterhin wird z.B. die für die Anfrage verwendete Clientversion, das Betriebssystem des Clients, Ort, Land und eingestellte Sprache des Clients usw. berücksichtig. Ferner können bei der Filtervorrichtung oder im Netzwerk bereitgestellte Positivlisten (Whitelists) mit vertrauenswürdigen IP-Adressen, oder Negativlisten (Blacklists) mit IP-Adressen von Angreifern in die Ermittlung des Verdachtswerts eingehen.
  • Der Verdachtswert eines Nutzers oder Clients steigt in diesem Ausführungsbeispie! mit der Wahrscheinlichkeit, dass es sich um einen Angreifer handelt. Durch eine Berücksichtigung eines solchen Verdachtswerts erfolgt eine Auswahl einer Sicherheitsabfrage nun auch in Abhängigkeit vom jeweiligen Nutzer oder Client. Auf diese Weise kann insbesondere erreicht werden, dass vertrauenswürdige Nutzer auch bei einem hohen Gefährdungswert, etwa bei einem Angriff, nicht mit störenden Sicherheitsabfragen belästigt werden.
  • Vorzugsweise wird bei einer Ausführungsform des erfindungsgemäßen Verfahrens jeder bereitgestellten Sicherheitsabfrage ein Grenzwert für den aktuellen Verdachtswert zugeordnet und erfolgt die Auswahl nur unter Sicherheitsabfragen, deren Grenzwert kleiner als der aktuelle Verdachtswert ist. Als Grenzwert kann beispielsweise ein Verdachtswert dienen, welcher vertrauenswürdige Clients von nicht vertrauenswürdigen abgrenzt. Der Wertebereich der Verdachtswerte wird so in zwei Bereiche aufgeteilt. In einer anderen Ausführung wird der Wertebereich der Verdachtswerts durch zwei oder mehr Grenzwerte in mehr als zwei Bereiche aufgeteilt, und jedem Bereich eine oder mehrere Sicherheitsabfragen zugeordnet. Es ist häufig zweckmäßig, jeweils die Sicherheitsabfrage mit dem höchsten Transparenzwert auszuwählen. Zu diesem Zweck können den Sicherheitsabfragen in einfacher Weise Grenzwerte zugeordnet werden, die nach Transparenzwerten angeordnet sind. Hierdurch wird eine differenzierte Behandlung von Clients oder Nutzern mit verschiedenen Verdachtswerten erreicht.
  • Eine Zuordnung von Grenzwerten für Verdachtswerte erfolgt beispielsweise durch Speichern des jeweiligen Grenzwerts oder Bereichs zusammen mit einem Bezeichner der entsprechenden Sicherheitsabfrage in Form einer Liste, Tabelle oder Datenbank. Dabei wird gemäß einer Ausführungsform eine Zuordnung von unterschiedlichen Grenzwerten für verschieden Server, Dienste oder Inhalte durchgeführt. Ferner kann bei einer Auswahl einer Sicherheitsanfrage unter Berücksichtigung des Verdachtswerts und des Gefährdungswerts eine geeignete Gewichtig des Verdachtswerts oder des Gefährdungswerts erfolgen.
  • Beispielsweise erfolgt für einen Client mit einem sehr niedrigen Verdachtswert unabhängig von einem Gefährdungswert immer eine Sicherheitsabfrage mit hoher Transparenz, während für einen sehr verdächtigen Client stets eine Sicherheitsabfrage mit sehr geringer Transparenz bzw. einer Interaktion mit dem Nutzer ausgewählt wird, oder die Anfrage gar nicht weitergeleitet wird. Für Clients mit einem mittleren Verdachtswert kann je nach Gefahrenwert eine Sicherheitsabfrage mit einer geringen oder hohen Transparenz ausgewählt werden. Der Schutz vor Angriffen wird so noch nutzerfreundlicher gestaltet.
  • In einer weiteren erfindungsgemäßen Ausführungsform erfolgt bei einem aktuellen Verdachtswert kleiner als ein vorgegebener Grenzwert keine Auswahl einer Sicherheitsabfrage und wird eine Anfrage an den Server ohne ein vorheriges Übermitteln einer Sicherheitsabfrage an den Client weitergeleitet. Dieses tritt beispielsweise dann ein, wenn der aktuelle Verdachtswert unter allen Grenzwerten des Verdachtswerts für die bereitgestellten Sicherheitsanfragen liegt. Mit dieser Maßnahme werden Anfragen von sehr vertrauenswürdigen Nutzern oder Clients auch während eines Angriffs stets ohne eine für den Nutzer lästige Sicherheitsanfrage an den Server weitergeleitet.
  • Gemäß einer Ausführungsform des Verfahrens nach der Erfindung wird der Verdachtswert des Nutzers oder des Clients bei einer gültigen Antwort auf eine Sicherheitsabfrage niedriger eingestellt. Der Nutzer oder Client wird so als vertrauenswürdiger eingestuft und erhält einen entsprechenden Verdachtswert. Dabei kann der Verdachtswert bei einer richtigen Beantwortung einer Sicherheitsabfrage mit geringer Transparenz bzw. einem Eingreifen des Nutzers stärker geändert werden, als bei einer Sicherheitsabfrage mit großer Transparenz. Mit anderen Worten erhält zum Beispiel auch ein sehr verdächtiger Nutzer oder Client durch Lösen einer interaktiven Sicherheitsabfrage, wie etwa eines Captcha, einen sehr niedrigen Verdachtswert. Bei einer weiteren Anfrage wird z.B. je nach Einstellung der Grenzwerte für den Verdachtswert keine oder nur eine für den Nutzer kaum bemerkbare Sicherheitsanfrage erfolgen.
  • Entsprechend wird bei einer weiteren Ausführungsform der Erfindung der Verdachtswert des Nutzers oder des Clients bei keiner oder einer ungültigen Antwort auf eine Sicherheitsabfrage erhöht. Der Nutzer oder Client erhält einen weniger vertrauenswürdigen Verdachtswert. Die Erhöhung kann von der Transparenz der nicht oder falsch beantworteten Sicherheitsabfrage abhängen. Bei einer späteren Anfrage erfolgt je nach Einstellung der Grenzwerte für den Verdachtswert sofort eine Sicherheitsabfrage mit deutlich höherem Ressourcen- und Arbeitsaufwand für den Client oder Nutzer oder eine Anfrage unmittelbar abgewiesen.
  • In einer erfindungsgemäßen Ausführungsform wird ein Grenzwert einer Sicherheitsabfrage für den aktuellen Verdachtswert auf Grundlage des aktuellen Gefährdungswerts dynamisch verändert. Beispielsweise werden Grenzwerte für Verdachtswerte bei einem hohen aktuellen Gefährdungswert, wie etwa bei einem Angriff, gesenkt. Somit kommen bei einem Angriff auch bei kleineren Verdachtswerten Sicherheitsabfragen mit einer niedrigen Transparenz zum Einsatz um angreifende Clients sicher abzuwehren. Umgekehrt werden dann bei einem niedrigen aktuellen Gefährdungswert die Grenzwerte wieder erhöht, um Nutzer des Computersystems nicht mit Sicherheitsabfragen zu belästigen.
  • Ferner ist in einer Ausführungsform der Erfindung vorgesehen, dass bei einer ungültigen Beantwortung einer Sicherheitsabfrage eine weitere Sicherheitsabfrage mit einem gegenüber der ungültig beantworteten Sicherheitsabfrage größeren Ressourcen- und Arbeitsaufwand ausgewählt und an den Client übermittelt wird. Bei einer richtigen Beantwortung der weiteren Sicherheitsabfrage wird eine Anfrage des Clients an den Server weitergeleitet. Mit dieser Maßnahme wird insbesondere Nutzern, bei denen beispielsweise ein ungewöhnlich eingestellter Client zu einer falschen Beantwortung der ersten Sicherheitsabfrage führte, eine Nutzung des Computersystems ermöglicht. Es wird eine falsche Einordnung von Nutzern als Angreifer verhindert.
  • Eine erfindungsgemäße Filtervorrichtung zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk auf ein mit dem Netzwerk verbundenes Computersystem ist mit dem Netzwerk verbunden. Die Filtervorrichtung umfasst ein Weiterleitungsmodul zum Empfangen einer umgeleiteten Anfrage von einem Client an einen Server des Computersystems über das Netzwerk und zum Weiterleiten der Anfrage nach einer positiven Überprüfung an den Server. Weiterhin umfasst die Filtervorrichtung ein Ermittlungsmodul zum Ermitteln eines aktuellen Gefährdungswerts für das Computersystem. Ein Auswahlmodul der Filtervorrichtung ist Auswählen einer Sicherheitsabfrage aus mehreren Sicherheitsabfragen mit jeweils unterschiedlichem Ressourcen- und Arbeitsaufwand für den Client und den Nutzer unter Berücksichtigung des ermittelten Gefährdungswerts des Computersystems vorgesehen. Die Filtervorrichtung umfasst ferner ein Übermittlungsmodul zum Übermitteln der ausgewählten Sicherheitsabfrage von der Filtervorrichtung an den anfragenden Client und zum Empfangen einer Antwort auf die Sicherheitsabfrage von dem Client, und ein Prüfmodul zum Prüfen der Antwort auf die Sicherheitsabfrage und zur Freigabe einer Weiterleitung der Anfrage des Clients an den Server durch das Weiterleitungsmodul bei einer gültigen Antwort.
  • Die Filtervorrichtung ist beispielsweise als Computersystem mit einem oder mehreren Rechnern, Speichern und den oben aufgeführten Modulen ausgebildet. Die Rechner, Speicher und Module können an einem Ort im Netzwerk oder verteilt über das Netzwerk vorgesehen sein. Analog zum erfindungsgemäßen Verfahren wird mit der Filtervorrichtung eine wirksame und flexible Abwehr von Angriffen auf das Computersystem bei einer möglichst kleinen Belastung von Nutzern des Computersystems durch Sicherheitsabfragen erzielt.
  • Gemäß einer Ausführungsform der Filtervorrichtung sind das Ermittlungsmodul zum Ermitteln eines aktuellen Verdachtswerts für einen Nutzer oder Client und das Auswahlmodul zur Berücksichtigung des ermittelten Verdachtswerts bei der Auswahl der Sicherheitsabfrage ausgebildet. Beispielsweise ermittelt das Ermittlungsmodul für vertrauenswürdige Nutzer oder Clients einen niedrigen Verdachtswert und für Angreifer ein sehr hoher Verdachtswert. Dazu kann Ermittlungsmodul zum Untersuchen eines Zugriffsverhaltens eines Nutzers oder Clients, zum Ermitteln von Einstellungen des Clientsystems oder zum Abrufen von Informationen im öffentlichen Netzwerk, wie etwa einer Liste mit bekannten Angreifern, ausgebildet sein. Wie bei der entsprechenden Ausführungsform des erfindungsgemäßen Verfahrens wird durch eine Berücksichtigung eines solchen Verdachtswerts bei einer Auswahl einer Sicherheitsabfrage eine Belästigung von vertrauenswürdigen Nutzern durch störende Sicherheitsabfragen vermieden.
  • Gemäß weiteren Ausführungsformen der Filtervorrichtung ist diese zum Ausführen eines der vorstehend beschriebenen Verfahren ausgebildet.
  • Ferner wird die Aufgabe gelöst durch ein Computerprogrammprodukt mit computerlesbaren Anweisungen, welche geladen in und ausgeführt von einem Computersystem zum Ausführen eines der vorstehend beschriebenen Verfahren geeignet sind. Beispielsweise umfasst das Computerprogrammprodukt ein computerlesbares Speichermedium mit darin gespeicherten Anweisungen, welche von dem Computersystem direkt auslesbar oder über ein Netzwerk oder eine Kommunikationsverbindung in das Computersystem ladbar sind und ein Ausführen eines der oben genannten Verfahren ermöglichen. Das Speichermedium ist zum Beispiel als magnetisches Speichermedium, etwa als Festplatte oder Magnetband, als optisches Speichermedium, etwa als CD-ROM oder DVD-ROM, oder als halbleiterbasiertes Speichermedium, etwa als FLASH-Speicher, EPROM, ROM, RAM oder dergleichen ausgebildet.
  • Weitere Ausführungsformen und Vorteile ergeben sich aus der Figurenbeschreibung und den Ansprüche. Angegebene Merkmale der oben beschriebenen Ausführungsformen eines erfindungsgemäßen Verfahrens können entsprechend auf eine jeweilige Ausführungsform der Filtervorrichtung übertragen werden und umgekehrt.
  • Figurenliste
  • Die vorstehenden, sowie weitere Merkmale und Vorteile der Erfindung werden in der nachfolgenden Beschreibung von Ausführungsbeispielen unter Bezugnahme auf die zugehörigen Zeichnungen näher erläutert. In den Abbildungen und in den zugehörigen Beschreibungen sind Merkmale der Erfindung in Kombination beschrieben. Diese Merkmale können allerdings auch in anderen Kombinationen von einem erfindungsgemäßen Gegenstand umfasst werden. Jedes offenbarte Merkmal ist also auch als in technisch sinnvollen Kombinationen mit anderen Merkmalen offenbart zu betrachten.
    • 1 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Filtervorrichtung zusammen mit einem Verfahren bei einer Abwehr eines gerade stattfindenden Angriffs auf ein Computersystem in einer schematischen Darstellung;
    • 2 zeigt das Ausführungsbeispiel der Filtervorrichtung und des Verfahrens nach 1 während eines Betriebs ohne hohe Belastung durch einen Angriff auf das Computersystem in einer schematischen Darstellung.
  • Zweckmäßige Ausführungsbeispiele
  • In den nachstehend beschriebenen Ausführungsbeispielen sind funktionell oder strukturell einander ähnlichen Elemente soweit wie möglich mit gleichen oder ähnlichen Bezugszeichen versehen.
  • 1 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Filtervorrichtung 10 zusammen mit einem entsprechenden Verfahren bei einer Abwehr eines gerade stattfindenden Angriffs über ein öffentlich zugängliches Netzwerk auf ein Computersystem 12 in einer schematischen Darstellung. Als öffentlich zugängliches Netzwerk ist in diesem Ausführungsbeispiel das Internet 14 vorgesehen. Aufbau und Funktionsweise des paketbasierten Internets 14 sind dem Fachmann bekannt. Das Internet 14 wird daher in 1 durch eine Wolke stilisiert dargestellt. Alternativ kann die Filtervorrichtung z.B. auch in einem öffentlich zugänglichen Mobilfunknetz oder Unternehmensnetzwerk eingesetzt werden, wobei solche Netze üblicherweise als autonome Systeme an das Internet angebunden sind.
  • Über das Internet 14 kann ein Anbieter mit dem Computersystem 12 Dienste und Daten, wie z.B. Medieninhalte und Informationen öffentlich zugänglich anbieten. Das Computersystem 12 enthält für diesen Zweck einen Webserver 16 mit abrufbaren Webseiten 18 und eine Datenbank 20. Mit den auf Anfrage bereitgestellten Webseiten 18 können über darin enthaltene Links oder Formulare beispielsweise in der Datenbank 20 gespeicherte Inhalte, wie Texte, Bilder oder Videos abgerufen, oder Dienste des Webservers 16 oder anderer im Computersystem 12 vorgesehener Server in Anspruch genommen werden. Als Server wird hier eine Serveranwendung zusammen mit einem Rechner, auf dem diese ausgeführt wird, bezeichnet. Dabei kann eine Serveranwendung auch auf mehreren Rechnern oder umgekehrt mehrere Serveranwendungen auf einem Rechner ausgeführt werden.
  • Als weiteren beispielhaften Server umfasst das Computersystem 12 einen Emailserver 22 zum Empfangen und Senden von Emails. Andere nicht dargestellte Server des Computersystems 12 können als Dienste beispielsweise Online-Zeitungen, Onlineshops, Fernsehprogramme, Radioprogramme, Tauschbörsen, Messaging, Telefonie, soziale Netzwerke, Suchdienste usw. anbieten, um nur einige mögliche Dienste zu nennen. Die Dienste und Inhalte des Computersystems 12 werden in diesem Ausführungsbeispiel zumindest teilweise kostenlos und ohne Authentifizierung eines Nutzers angeboten. Hierfür ist das Computersystem 12 über einen Internetzugang 24 eines Internetproviders mit dem Internet verbunden. Ein solcher Internetzugang 24 enthält üblicherweise einen Router 26 zum Vermitteln von Datenpaketen und eine Datenverbindung 28 zwischen Router 26 und Computersystem 12. Zum Verhindern von unberechtigten oder schädlichen Zugriffen über den Internetzugang 24 enthält das Computersystem ferner eine dem Fachmann bekannte Firewall 30. Der Webserver 16, der Emailserver 22, die Datenbank 20 und die Firewall 30 sind untereinander mit einem internen Netzwerk 32 verbunden, welches ebenfalls ein paketbasiertes Datennetz darstellen kann.
  • Nutzer können mit Hilfe eines Clients Dienste oder Inhalte von einem Server des Computersystems 12 anfordern. In 1 sind exemplarisch drei Clients 34, 36, 38 dargestellt. Als Client 34, 36, 38 wird hier ein Rechner zusammen mit einer auf dem Rechner ausgeführten Clientanwendung verstanden. Als Rechner kann beispielsweise ein PC, ein Notebook, ein Smartphone, ein Tablet-PC oder dergleichen mehr verwendet werden. Bekannte Clientanwendung sind z.B. Webbrowser zum Anfordern von Webseiten von einem Webserver oder Emailprogramme zum Senden und Empfangen von Emails über einen Emailserver. Die Clients 34, 36, 38 verfügen ebenfalls jeweils über einen Internetzugang 24 eines Internetproviders mit einer Datenverbindung zu einem Router.
  • Zum Anfordern eines Dienstes oder von Daten sendet ein Client 34, 36, 38 üblicherweise eine Anfrage über das Internet 14 an einen Server 16, 22 und erhält daraufhin eine Antwort vom Server 16, 22. Für bestimmte Client-Server-Anwendungen sind Protokolle einer Anwendungsschicht vorgesehen, wie z.B. HTTP (Hypertext Transfer Protokoll) für Webseiten und SMTP (Simple Mail Transfer Protokoll) für Emails. Die Anfragen und Antworten werden über das Internet 14 mit Protokollen einer Netzwerkschicht in Datenpaketen übertragen. Zu diesen Protokollen gehören beispielsweise das IP (Internet Protokoll) und das TCP (Transmission Control Protocol). Angreifende Clients können Protokolle einer Netzwerksschicht oder Anwendungsschicht für DoS-Angriffe verwenden, wobei diese Angriffe zunehmend über Protokolle der Anwendungsschicht als Volumen-DoS-Angriffe mit einer hohen Anzahl von Anfragen oder als Anwendungs-DoS-Angriffe durch Anfragen mit einer besonders hohen Beanspruchung von Ressourcen stattfinden.
  • Die Filtervorrichtung 10 ist zur Abwehr solcher DoS-Angriffe durch Sicherheitsabfragen ausgebildet. Dazu umfasst die Filtervorrichtung 10 ein Weiterleitungsmodul 40 zum Empfangen von an einen Server 16, 22 des Computersystems 12 gerichtete und an die Filtervorrichtung 10 umgeleitete Anfragen 42 von den Clients 34, 36, 38. Nach einer Überprüfung der Clients 34, 36, 38 leitet das Weiterleitungsmodul 40 gegebenenfalls die Anfrage 42 über das Internet an das Computersystem 12 weiter. Das Weiterleitungsmodul 40 ist ferner zum Übermitteln einer Antwort 44 des Servers 16, 22 an den entsprechenden Client 34, 36, 38 ausgebildet. Dazu kann das Weiterleitungsmodul 40 beispielsweise einen dem Fachmann bekannten Proxy-Server umfassen oder darstellen.
  • Ein Ermittlungsmodul 46 der Filtervorrichtung 10 ist zum Ermitteln von aktuellen Gefährdungswerten für das gesamte Computersystem 12, einen Dienst oder Server 16, 22, einem Inhalt 18 oder einer beliebigen Kombination von diesen ausgebildet. Ein Gefährdungswert ist ein Wert, welcher mit einer Gefährdung des Computersystems 12, eines Dienstes oder Servers 16, oder eines Inhalts 18 durch DoS-Angriffe anwächst. Im einfachsten Fall kann der Gefährdungswert gleich Null für keinen Angriff und gleich Eins für einen stattfindenden Angriff betragen. Weiterhin ermittelt das Ermittlungsmodul 46 einen aktuellen Verdachtswert für einen anfragenden Client 34, 36, 38. Der Verdachtswert stellt einen Wert dar, welcher mit einer Wahrscheinlichkeit, dass es sich bei dem Client 34, 36, 38 um einen angreifenden Client handelt, ansteigt. Für jeden ermittelten Gefährdungswert und für den Verdachtswert kann das Ermittlungsmodul 46 verschiedenen Sicherheitsabfragen jeweils einen Grenzwert zugeordnen oder einen zugeordneten Grenzwert ändern. Eine nähere Beschreibung der Funktionsweise des Ermittlungsmoduls erfolgt weiter unten.
  • Mit einem Auswahlmodul 48 der Filtervorrichtung 10 erfolgt bei einem Empfang einer umgeleiteten Anfrage 42 eine Auswahl einer Sicherheitsabfrage 50, 52, 54 aus mehreren bereitgestellten Sicherheitsabfragen. Eine Bereitstellung der Sicherheitsabfragen erfolgt entweder durch einen Speicher 56 der Filtervorrichtung 10 mit darin gespeicherten Sicherheitsabfragen und zugeordneten Grenzwerten, oder durch eine Erzeugung von Sicherheitsabfragen mittels der Filtervorrichtung 10. Die bereitgestellten Sicherheitsabfragen erfordern zur Beantwortung jeweils einen unterschiedlichen Ressourcen- und Arbeitsaufwand für einen Client und Nutzer. Zur einfacheren Auswahl ist jeder bereitgestellten Sicherheitsabfrage ein Transparenzwert zugeordnet und ebenfalls im Speicher 56 gespeichert. Eine Sicherheitsabfrage mit einem hohen Transparenzwert ist für einen Nutzer transparent. Der Nutzer wird eine solche Sicherheitsabfrage nicht wahrnehmen. Im Gegensatz dazu erfordert eine Sicherheitsabfrage mit einem niedrigen Transparenzwert zeitaufwendig viele Ressourcen eines Clients oder ein unmittelbares Eingreifen des Nutzers. Eine Auswahl einer Sicherheitsabfrage 50, 52, 54 für eine Anfrage 42 erfolgt unter Berücksichtigung der ermittelten aktuellen Gefährdungswerten, des ermittelten aktuellen Verdachtswerts des anfragenden Clients 34, 36, 38, der zugeordneten Grenzwerte und des zugeordneten Transparenzwerts, und wird weiter unten näher beschrieben.
  • Generell gilt, dass für einen vorgegebenen aktuellen Verdachtswert und einen vorgegebenen aktuellen Gefährdungswert eine Anzahl (z.B.: 0, 1, ..,5) von Sicherheitsanfragen zur Auswahl in Betracht kommt. Die Auswahl kann durch den Vergleich mit Grenzwerten der Sicherheitsanfragen vorgenommen werden, alternativ oder zusätzlich auch durch einen komplizierten Algorithmus, beispielsweise können der aktuelle Gefährdungswert und der aktuelle Verdachtswerte gewichtet berücksichtigt werden. Ferner wird in der Regel der Transparenzwert einer Sicherheitsabfrage berücksichtigt, wobei in der Regel diejenige Sicherheitsabfrage bevorzugt wird, welche den höchsten Transparenzwert aufweist.
  • Ferner umfasst die Filtervorrichtung 10 ein Übermittlungsmodul 58 zum Übermitteln einer ausgewählten Sicherheitsabfrage 50, 52, 54 an den jeweils anfragenden Client 34, 36, 38. Das Übermittlungsmodul 58 ist auch zum Empfangen einer Antwort 60 auf die Sicherheitsabfrage 50, 52, 54 von den Clients 34, 36, 38 ausgebildet. Ein Prüfmodul 62 der Filtervorrichtung 10 überprüft Antworten 60 auf Sicherheitsabfragen 50, 52, 54 und gibt bei einer korrekten Antwort 60 die entsprechende Anfrage 42 des Clients 34, 36, 38 an den Server 16, 22 durch das Weiterleitungsmodul 40 frei.
  • Die beschriebenen Module 40, 46, 48, 58, 62 und der Speicher 56 der Filtervorrichtung 10 sind an einem Ort entweder direkt oder über ein Netzwerk der Filtervorrichtung 10 miteinander verbunden. Die Filtervorrichtung 10 umfasst dann einen in 1 nicht dargestellten Internetzugang mit einer Verbindung zu einem Router. Alternativ können eines oder mehrere der Module über einen eigenen Internetzugang verfügen und im Internet verteilt vorgesehen sein.
  • Im Folgenden werden die Funktionsweise und das Zusammenwirken der oben beschriebenen Komponenten der Filtereinrichtung 10 zusammen mit einem entsprechenden Verfahren zur Abwehr eines DoS-Angriffs über das Internet 14 als ein mögliches öffentlich zugängliches Netzwerk auf das Computersystem 12 beschrieben.
  • Zunächst erfolgt eine permanente Umleitung von Anfragen an das Computersystem 12 zu der Filtervorrichtung 10. Dazu wird in einem Register des dem Fachmann bekannten Domain Name Systems (DNS) des Internets 14 anstelle der IP-Adresse des Computersystems 12 die IP-Adresse der Filtervorrichtung 10 einem Domain-Namen des Computersystems 12 zugeordnet. Alternativ kann eine Bekanntgabe der Umleitung bei Routern des Internets 14 durch das Boarder Gateway Protokoll (BGP) erfolgen. Bei einem anderen Ausführungsbeispiel erfolgt eine Umleitung von Anfragen zu der Filtervorrichtung 10 nur während eines Angriffs. Zusätzlich kann bei einer Umleitung die Firewall 30 so eingestellt werden, dass sie nur noch Datenpakete von und zu der Filtervorrichtung 10 passieren lässt. Auch kann eine geschützte Verbindung, z.B. ein VPN-Tunnel eine Virtuellen Privaten Netzwerks (VPN), zwischen der Filtervorrichtung 10 und dem Computersystem 12 zur Übermittlung von Datenpaketen verwendet werden.
  • Beim Empfang von Anfragen 42 von den Clients 34, 36, 38, welche beispielsweise HTTP-Anfragen zur Übermittlung der Webseite 18 des Webservers 16 darstellen, ermittelt das Ermittlungsmodul 46 den aktuellen Gefährdungswert des Webservers 16. Dazu wird z.B. eine aktuelle Belastung des Webservers 16 durch Feststellen der Beantwortungsdauer für einzelne bereits an den Webserver 16 weitergeleitete Anfragen oder durch Anfordern von Systemwerten von dem Webserver 16 ermittelt. Weiterhin kann die Anzahl von eintreffenden Anfragen an den Webserver 16 in einem vorgegebenen Zeitintervall ermittelt und durch eine Untersuchung der Anfragen ein jeweiliger Beantwortungsaufwand für den Webserver 16 festgestellt werden. Aus der Beantwortungsdauer, der Anzahl eintreffender Anfragen, dem jeweiligen Bearbeitungsaufwand und/oder weiteren Parametern leitet das Ermittlungsmodul den aktuellen Gefährdungswert des Webservers 16 her. Entsprechend kann ein Gefährdungswert für das gesamte Computersystem 12 oder die Webseite 18 ermittelt werden. Da der Webserver 16 gerade angegriffen wird, wird ein hoher aktueller Gefährdungswert AH ermittelt.
  • Weiterhin ermittelt das Ermittlungsmodul 46 für jeden der anfragenden Clients 34, 36, 38 einen aktuellen Verdachtswert. Dazu wird beispielsweise ein Zugriffsverhalten unter Verwendung einer Anfragehistorie des jeweiligen Clients mit einer Häufigkeit von Anfragen an den Webserver 16, eine Dauer vorheriger Sitzungen, Betrachtungszeit und Betrachtungsreihenfolge von Webseiten usw. berücksichtigt. Zusätzlich können Clienteinstellungen, beispielsweise die verwendete Clientversion, das Betriebssystem des Clients, Land, Ort und Ortszeit, die eingestellte Sprache und dergleichen mehr berücksichtigt werden. Exemplarisch wird für den Client 34 ein kleiner Verdachtswert VL, für den Client 36 ein mittlerer Verdachtswert VM , und für den Client 38 eine hoher Verdachtswert VH ermittelt. Der Client 34 ist somit vertrauenswürdig, während der Client 38 mit hoher Wahrscheinlichkeit am Angriff beteiligt ist. Für den Client 36 besteht eine mittlere Wahrscheinlichkeit der Beteiligung am Angriff.
  • Als Sicherheitsabfragen werden beispielshaft ein Cookie-Test als erste Abfrage 50, eine JavaSkript-Test als zweite Abfrage 52 und ein Captcha als dritte Abfrage 54 durch die Filtervorrichtung 10 bereitgestellt. Während eine Cookie-Verarbeitung bei einem Webbrowser sehr oft zugelassen ist und dem Nutzer kaum auffällt, kann eine JavaSkript-Ausführung schon öfter eine entsprechende Einstellung des Webbrowsers oder ein Einverständnis des Nutzers erfordern. Ein Captcha erfordert schließlich immer eine Aktion durch den Nutzer. Die erste Sicherheitsabfrage 50 hat somit einen hohen Transparenzwert, die zweite Sicherheitsabfrage 52 einen mittleren Transparenzwert und die dritte Sicherheitsabfrage 54 einen niedrigen Transparenzwert. Clients werden oft ohne das Wissen des Nutzers durch eine entsprechende Schadsoftware zu Angreifern. Die Schadsoftware emuliert das Verhalten des Webbrowsers und sendet Anfragen an Webserver. Dabei kann auch eine Verarbeitung von Sicherheitsabfragen durch die Schadsoftware vorgesehen sein. Eine Verarbeitung von Cookies und insbesondere eine Ausführung eines Java-Skripts sind aber nur mit erheblichem Zeit- und Ressourcenaufwand oder gar nicht realisierbar. Im noch größeren Maße gilt dieses für ein Captcha. Mit steigender Transparenz sinkt somit üblicherweise die Zuverlässigkeit der Erkennung eines angreifenden Clients.
  • Jeder der drei Sicherheitsabfragen 50, 52, 54 wird durch die Filtervorrichtung 10 oder einen Administrator jeweils ein Grenzwert GG1, GG2, GG3 für den Gefährdungswert des Webservers 16 und ein Grenzwert GV1, GV2, GV3 für den Verdachtswert zugeordnet. Die Grenzwerte stellen einen möglichen Verdachtswert oder Gefährdungswert da. Sicherheitsabfragen mit einem hohen Transparenzwert erhalten vorzugsweise einen niedrigen Grenzwert für den Verdachtswert und für den Gefährdungswert und umgekehrt. Eine Zuweisung der Grenzwerte erfolgt beispielsweise durch ein Speichern der Grenzwerte zusammen mit einem Bezeichner und dem Transparenzwert der jeweiligen Sicherheitsabfrage 50, 52, 54 in dem Speicher 56 in Form einer Liste oder Tabelle.
  • Bei einer Auswahl einer Sicherheitsabfrage 50, 52, 54 für einen anfragenden Client 34, 36, 38 ruft das Auswahlmodul 48 die gespeicherten Grenzwerte ab und vergleicht diese mit dem aktuellen Gefährdungswert des Webservers 16 und dem aktuellen Verdachtswert des Clients 34, 36, 38. In dem hier beispielhaften dargestellten Angriff ist der jeweilige Grenzwert GG1, GG2, GG3 aller drei Sicherheitsabfragen 50, 52, 54 kleiner als der aktuelle Gefährdungswert AH. Somit stehen zunächst alle drei Sicherheitsabfragen 50, 52, 54 für jeden Client 34, 36, 38 zur Auswahl. Die Grenzwerte für den Verdachtswert unterteilen den Wertebereich des Verdachtswerts in Bereiche für jeweils eine Sicherheitsabfrage 50, 52, 54. Bei einem Verdachtswert in einem niedrigen Wertebereich zwischen GV1 und GV2 wählt das Auswahlmodul 48 die erste Sicherheitsabfrage 50 mit einer hohen Transparenz aus. Liegt der Verdachtswert zwischen GV2 und GV3 erfolgt eine Auswahl der zweiten Sicherheitsabfrage 52 mit mittlerer Transparenz. Bei einem Verdachtswert größer als GV3 wird die dritte Sicherheitsabfrage 54 ausgewählt.
  • Auf diese Weise wird für den vertrauenswürdigen Client 34 mit dem niedrigen Verdachtswert VL innerhalb dem Bereich zwischen GV1 und GV2 die erste Sicherheitsabfrage 50 durch das Auswahlmodul 48 ausgewählt und mittels des Übermittlungsmoduls 58 an den Client 34 gesendet. Der Webbrowser als Client 34 löst die erste Sicherheitsabfrage 50 ohne Zutun des Nutzers und sendet die Antwort 60 an die Filtervorrichtung 10. Das Prüfmodul 62 stellt eine korrekte Antwort 60 fest und gibt die Weiterleitung der Anfrage 42 an den Webserver 16 frei. Die Antwort 44 des Webservers 16 wird schließlich über die Filtereinrichtung 10 an den Client 34 übermittelt. Durch die korrekte Beantwortung der Sicherheitsabfrage 50 stellt das Ermittlungsmodul 46 den Verdachtswert VL des vertrauenswürdigen Clients 34 noch niedriger ein und speichert diesen für spätere Anfragen in dem Speicher 56.
  • Für den unsicheren zweiten Client 36 mit dem mittleren Verdachtswert VM im Bereich zwischen GV2 und GV3 wählt das Auswahlmodul 48 die zweite Sicherheitsabfrage 52 aus. Der Client 36 empfängt die von dem Übermittlungsmodul 58 übermittelte zweite Sicherheitsabfrage 52 und kann diese nicht richtig beantworten, da der Client 36 beispielhaft von einer Schadsoftware für den Angriff kontrolliert wird. Die Antwort 60 auf die zweite Sicherheitsabfrage 52 wird von dem Prüfmodul 62 als falsch erkannt. Daraufhin erfolgt keine Weiterleitung der Anfrage 42 an den Webserver 16. Entsprechend wird für den dritten Client 38 mit dem hohen Verdachtswert VH größer als GV3 die dritte Sicherheitsabfrage 54 ausgewählt und übermittelt. Die Schadsoftware des angreifenden dritten Clients 38 kann das Captcha nicht beantworten und schickt keine Antwort an die Filtereinrichtung 10 zurück. Nach einer vorgegebenen Wartezeit wird dann die Anfrage 42 des Clients 38 an den Webserver 16 fallengelassen. Sowohl der Verdachtswert VM des unsicheren Clients 36 als auch der Verdachtswert VH des angreifenden Clients 38 werden wegen der falschen oder nicht erfolgten Beantwortung der Sicherheitsabfragen 52, 54 mittels des Ermittlungsmoduls erhöht und in dem Speicher 56 für spätere Anfragen gespeichert.
  • Mit den Grenzwerten für die Sicherheitsabfragen 50, 52, 54 erfolgt eine effektive Steuerung der Auswahl einer Sicherheitsabfrage 50, 52, 54 für einen anfragenden Client 34, 36, 38. Dabei wird eine Belastung vertrauenswürdiger Nutzer eines Clients 34 vermieden und eine sichere Abwehr gegen angreifende Clients 36, 38 realisiert.
  • In 2 wird das Ausführungsbeispiel der Filtervorrichtung 10 und des Verfahrens nach 1 während eines Betriebs ohne hohe Belastung durch einen Angriff auf das Computersystem 10 in einer schematischen Darstellung gezeigt. Dieses ist beispielsweise nach einer Abwehr des oben beschriebenen Angriffs der Fall. Bei Anfragen 42 von den Clients 34, 36, 38 an den Webserver 16 stellt das Ermittlungsmodul einen niedrigen aktuellen Gefährdungswert AL fest. Daraufhin erhöht die Filtervorrichtung 10 die gespeicherten Grenzwerte GV1, GV2, GV3 der Sicherheitsabfragen 50, 52, 54 für den aktuellen Verdachtswert. Das Auswahlmodul 48 ruft wiederum die gespeicherten Grenzwerte GG1, GG2, GG3 für den Gefährdungswert aus dem Speicher ab und stellt bei einem Vergleich fest, dass nun nur noch der Grenzwert GG1 der ersten Sicherheitsabfrage 50 und der Grenzwert GG2 der zweiten Sicherheitsabfrage 52 kleiner als der aktuelle Gefährdungswert AL sind. Somit stehen nur die erste und die zweite Sicherheitsabfrage 50, 52 für jeden Client 34, 36, 38 zur Auswahl zu Verfügung. In anderen zweckmäßigen, besonders nutzerfreundlichen Ausführungsformen, kann auch vorgesehen werden, dass trotz eines hohen Gefährdungswertes noch alle Sicherheitsabfragen 50, 52, 54 zur Verfügung stehen, also auch solche mit hohem Transparentwert.
  • Der sehr niedrige gespeicherte Verdachtswert des vertrauenswürdigen ersten Clients 34 wird nun bei der oben beschriebenen Ermittlung eines aktuellen Verdachtswerts VL berücksichtigt. Der ermittelte aktuelle Verdachtswert VL liegt unterhalb des Bereichs zwischen GV1 und GV2 für die erste Sicherheitsabfrage 50. Daher wird für diesen Client 34 keine Sicherheitsabfrage 50, 52, 54 ausgewählt. Stattdessen gibt die Filtervorrichtung 10 die Anfrage 42 frei und es erfolgt eine Weiterleitung der Anfrage 42 an den Webserver 16 ohne eine vorherige Sicherheitsanfrage. Die Antwort 44 des Webservers 16 wird wiederum über die Filtereinrichtung 10 an den Client 34 übermittelt.
  • Entsprechend werden die gespeicherten hohen Verdachtswerte bei einer erneuten Ermittlung des aktuellen Verdachtswerts für den zweiten Client 36 und den dritten Client 38 berücksichtigt. Für den zweiten Client 36 ergibt sich beispielsweise ein hoher Verdachtswert VH, welcher durch die dynamische Anpassung der Grenzwerte für den Verdachtswert in den Bereich zwischen GV2 und GV3 fällt. Auch der sehr hohe Verdachtswert VHH des dritten Clients 38 fällt beispielhaft noch in diesen Bereich. Somit wird sowohl dem zweiten als auch dem dritten Client 36, 38 die zweite Sicherheitsabfrage 52 übermittelt. Der zweite Client 36 kann inzwischen von der Schadsoftware bereinigt worden sein und sendet eine gültige Antwort 60 an die Filtervorrichtung 10. Die Anfrage 42 wird daraufhin an den Webserver 16 weitergeleitet. Der immer noch angreifende dritte Client 38 übermittelt eine ungültige Antwort 44 an die Filtervorrichtung 10. Die Anfrage 42 des dritten Clients 38 wird daher nicht an den Webserver 16 weitergeleitet.
  • In einem alternativen Ausführungsbeispiel kann der Verdachtswert VHH des dritten Client 38 größer als GV3 sein und somit über dem Bereich für die zweite Sicherheitsanfrage 52 liegen. Somit steht keine Sicherheitsabfrage zur Auswahl, da die dritte Sicherheitsabfrage 54 bereits durch den niedrigen aktuellen Gefährdungswert AL ausgeschlossen wurde. Die Anfrage 42 wird ohne eine Übermittlung einer Sicherheitsabfrage 50, 52, 54 verworfen. Bei einem weiteren Ausführungsbeispiel erfolgt bei einer ungültigen Beantwortung einer Sicherheitsabfrage 52, 54 eine weitere Sicherheitsabfrage mit einem gegenüber der ersten Sicherheitsabfrage kleineren Transparenzwert bzw. mit größeren Ressourcen- und Arbeitsaufwand für den Client oder den Nutzer. Somit würde in dem obigen Beispiel sowohl für den zweite als auch für den dritte Client 36 die dritte Sicherheitsabfrage 54 ausgewählt und übermittelt werden.
  • In anderen Ausführungsbeispielen können bei einer Auswahl einer Sicherheitsabfrage zunächst der Verdachtswert eines Clients und dann der Gefährdungswert des Webservers berücksichtigt werden. Auch kann aus dem aktuellen Gefährdungswert und dem aktuellen Verdachtswert jeweils ein Gesamtwert ermittelt und mit Grenzwerten für diesen Gesamtwert verglichen werden. Dabei kann eine Gewichtung eines Verdachtswerts oder des Gefährdungswerts durchgeführt werden. Ferner können die oben dargestellten Ausführungsbeispiele selbstverständlich auch bei anderen Servern, wie etwa dem Emailserver 22, bei einzelnen Inhalten von Diensten oder für das gesamte Computersystem 12 angewendet werden. Eine Anwendung in anderen öffentlich zugänglichen Netzwerken ist ebenfalls möglich.
  • Mit den beschriebenen Verfahren und Filtervorrichtungen wird eine sehr flexible Verwendung verschiedener Sicherheitsabfragen bei einer Abwehr von Überlastungsangriffen über ein öffentlich zugängliches Netzwerk auf ein Computersystem erreicht. Dabei wird eine negative Beeinträchtigung der Nutzungserfahrung von Nutzern vermieden und eine sichere Abwehr von Angriffe realisiert.
  • Bezugszeichenliste
    • 10
    Filtervorrichtung
    12
    Computersystem
    14
    Internet
    16
    Webserver
    18
    Webseite
    20
    Datenbank
    22
    Emailserver
    24
    Internetzugang
    26
    Router
    28
    Datenverbindung
    30
    Firewall
    32
    internes Netzwerk
    34
    erster Client
    36
    zweiter Client
    38
    dritter Client
    40
    Weiterleitungsmodul
    42
    Anfrage
    44
    Antwort
    46
    Ermittlungsmodul
    48
    Auswahlmodul
    50
    erste Sicherheitsabfrage
    52
    zweite Sicherheitsabfrage
    54
    dritte Sicherheitsabfrage
    56
    Speicher
    58
    Übermittlungsmodul
    60
    Antwort auf Sicherheitsabfrage
    62
    Prüfmodul

Claims (12)

  1. Verfahren zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk (14) auf ein mit dem Netzwerk (14) verbundenes Computersystem (12) mit den folgenden Schritten: a) Umleiten einer Anfrage (42) von einem Client (34, 36, 38) an einen Server (16, 22) des Computersystems (12) über das Netzwerk (14) an eine mit dem Netzwerk (14) verbundene Filtervorrichtung (10), b) Ermitteln eines aktuellen Gefährdungswerts für das Computersystem (12), c) Auswahl einer Sicherheitsabfrage (50, 52, 54) aus mehreren bereitgestellten Sicherheitsabfragen (50, 52, 54) mit jeweils unterschiedlichem Ressourcen- und Arbeitsaufwand für den Client (34, 36, 38) und einen Nutzer unter Berücksichtigung des ermittelten Gefährdungswerts des Computersystems (12), d) Übermitteln der ausgewählten Sicherheitsabfrage (50, 52, 54) von der Filtervorrichtung (10) an den anfragenden Client (34, 36, 38), und e) Weiterleitung der Anfrage (42) an den Server (16, 22) beim Empfang einer gültigen Antwort (60) auf die Sicherheitsabfrage (50, 52, 54) von dem Client (34, 36, 38), wobei ein aktueller Verdachtswerts für einen Nutzer oder Client (34, 36, 38) ermittelt wird und der Verdachtswert bei der Auswahl der Sicherheitsabfrage (50, 52, 54) berücksichtigt wird und bei dem jeder bereitgestellten Sicherheitsabfrage (50, 52, 54) ein Grenzwert für den aktuellen Verdachtswert zugeordnet wird und die Auswahl nur unter Sicherheitsabfragen (50, 52, 54) erfolgt, deren Grenzwert kleiner als der aktuelle Verdachtswert ist, wobei der Grenzwert einer Sicherheitsabfrage (50, 52, 54) für den aktuellen Verdachtswert auf Grundlage des aktuellen Gefährdungswerts dynamisch verändert wird.
  2. Verfahren nach Anspruch 1, bei dem jeder bereitgestellten Sicherheitsabfrage (50, 52, 54) ein Grenzwert für den aktuellen Gefährdungswert zugeordnet wird und die Auswahl nur unter Sicherheitsabfragen (50, 52, 54) erfolgt, deren Grenzwert kleiner als der aktuelle Gefährdungswert ist.
  3. Verfahren nach Anspruch 1 oder 2, bei dem bei einem aktuellen Gefährdungswert kleiner als ein vorgegebener Grenzwert keine Auswahl einer Sicherheitsabfrage (50, 52, 54) erfolgt und eine Anfrage (42) an den Server ohne ein vorheriges Übermitteln einer Sicherheitsabfrage (50, 52, 54) an den Client (34, 36, 38) weitergeleitet wird.
  4. Verfahren nach Anspruch 2 oder 3, bei dem für verschiedene angebotene Inhalte (18) eines Dienstes, für verschiedene Dienste oder Server (16, 22) des Computersystems (12) jeweils ein eigener aktueller Gefährdungswert ermittelt und den Sicherheitsabfragen (50, 52, 54) jeweils ein Grenzwert für einen ermittelten aktuelle Gefährdungswert zugeordnet wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem bei einem aktuellen Verdachtswert kleiner als ein vorgegebener Grenzwert keine Auswahl einer Sicherheitsabfrage (50, 52, 54) erfolgt und eine Anfrage (42) an den Server (16, 22) ohne ein vorheriges Übermitteln einer Sicherheitsabfrage (50, 52, 54) an den Client (34, 36, 38) weitergeleitet wird.
  6. Verfahren nach Anspruch 5, bei dem der Verdachtswert des Nutzers oder Clients (34, 36, 38) bei einer gültigen Antwort auf eine Sicherheitsabfrage (50, 52, 54) niedriger eingestellt wird.
  7. Verfahren nach einem der Ansprüche 5 oder 6, bei dem der Verdachtswert des Nutzers oder Clients (34, 36, 38) bei keiner oder einer ungültigen Antwort auf eine Sicherheitsabfrage (50, 52, 54) erhöht wird.
  8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem bei einer ungültiger Beantwortung einer Sicherheitsabfrage (50, 52, 54) eine weitere Sicherheitsabfrage (50, 52, 54) mit einem gegenüber der ungültig beantworteten Sicherheitsabfrage (50, 52, 54) größeren Ressourcen- und Arbeitsaufwand ausgewählt und an den Client (34, 36, 38) übermittelt wird.
  9. Filtervorrichtung (10) zur Abwehr eines Angriffs über ein öffentlich zugängliches Netzwerk (14) auf ein mit dem Netzwerk (14) verbundenes Computersystem (12), wobei die Filtervorrichtung (10) mit dem Netzwerk (14) verbunden ist und weiterhin umfasst: a) ein Weiterleitungsmodul (40) zum Empfangen einer umgeleiteten Anfrage (42) von einem Client (34, 36, 38) an einen Server (16, 22) des Computersystems (12) über das Netzwerk (40) und zum Weiterleiten der Anfrage (42) nach einer positiven Überprüfung an den Server (16, 22), b) ein Ermittlungsmodul (46) zum Ermitteln eines aktuellen Gefährdungswerts für das Computersystem (12), c) ein Auswahlmodul (48) zum Auswählen einer Sicherheitsabfrage (50, 52, 54) aus mehreren Sicherheitsabfragen (50, 52, 54) mit jeweils unterschiedlichem Ressourcen- und Arbeitsaufwand für den Client (34, 36, 38) und den Nutzer unter Berücksichtigung des ermittelten Gefährdungswerts des Computersystems (12), d) ein Übermittlungsmodul (58) zum Übermitteln der ausgewählten Sicherheitsabfrage (50, 52, 54) von der Filtervorrichtung (10) an den anfragenden Client (34, 36, 38) und zum Empfangen einer Antwort (60) auf die Sicherheitsabfrage (50, 52, 54) von dem Client (34, 36, 38), e) ein Prüfmodul (62) zum Prüfen der Antwort (60) auf die Sicherheitsabfrage (50, 52, 54) und zur Freigabe einer Weiterleitung der Anfrage (42) des Clients (34, 36, 38) an den Server (16, 22) durch das Weiterleitungsmodul (40) bei einer gültigen Antwort (60), wobei ein aktueller Verdachtswerts für einen Nutzer oder Client (34, 36, 38) ermittelt wird und der Verdachtswert bei der Auswahl der Sicherheitsabfrage (50, 52, 54) berücksichtigt wird und bei dem jeder bereitgestellten Sicherheitsabfrage (50, 52, 54) ein Grenzwert für den aktuellen Verdachtswert zugeordnet wird und die Auswahl nur unter Sicherheitsabfragen (50, 52, 54) erfolgt, deren Grenzwert kleiner als der aktuelle Verdachtswert ist, wobei der Grenzwert einer Sicherheitsabfrage (50, 52, 54) für den aktuellen Verdachtswert auf Grundlage des aktuellen Gefährdungswerts dynamisch verändert wird.
  10. Filtervorrichtung nach Anspruch 9, bei der das Ermittlungsmodul (46) zum Ermitteln eines aktuellen Verdachtswerts für einen Nutzer oder Client (34, 36, 38) und das Auswahlmodul (48) zur Berücksichtigung des ermittelten Verdachtswerts bei der Auswahl der Sicherheitsabfrage (50, 52, 54) ausgebildet sind.
  11. Filtervorrichtung nach Anspruch 9 oder 10, welche zum Ausführen eines der Verfahren nach Anspruch 1 bis 8 ausgebildet ist.
  12. Computerprogrammprodukt mit computerlesbaren Anweisungen, welche geladen in und ausgeführt von einem Computersystem zum Ausführen eines Verfahrens nach einem der Ansprüche 1 bis 8 geeignet sind.
DE102015016832.0A 2015-12-28 2015-12-28 Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem Active DE102015016832B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102015016832.0A DE102015016832B4 (de) 2015-12-28 2015-12-28 Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102015016832.0A DE102015016832B4 (de) 2015-12-28 2015-12-28 Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem

Publications (2)

Publication Number Publication Date
DE102015016832A1 DE102015016832A1 (de) 2017-06-29
DE102015016832B4 true DE102015016832B4 (de) 2019-05-09

Family

ID=59010473

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102015016832.0A Active DE102015016832B4 (de) 2015-12-28 2015-12-28 Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem

Country Status (1)

Country Link
DE (1) DE102015016832B4 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070266426A1 (en) 2006-05-12 2007-11-15 International Business Machines Corporation Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
US20150089566A1 (en) 2013-09-24 2015-03-26 Radware, Ltd. Escalation security method for use in software defined networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070266426A1 (en) 2006-05-12 2007-11-15 International Business Machines Corporation Method and system for protecting against denial of service attacks using trust, quality of service, personalization, and hide port messages
US20150089566A1 (en) 2013-09-24 2015-03-26 Radware, Ltd. Escalation security method for use in software defined networks

Also Published As

Publication number Publication date
DE102015016832A1 (de) 2017-06-29

Similar Documents

Publication Publication Date Title
US10826872B2 (en) Security policy for browser extensions
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
CN107819727B (zh) 一种基于ip地址安全信誉度的网络安全防护方法及系统
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE60220004T2 (de) System und Verfahren zur Verhinderung unverlangter elektronischer Post
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE112013001964B4 (de) Management der Sicherheit des Nachrichtenaustauschs
DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
DE202014011424U1 (de) Filtern von Netzwerkdatenübertragungen
US20160366176A1 (en) High-level reputation scoring architecture
DE60201716T2 (de) Verfahren und Vorrichtung zum Schutz von E-Commerce-Site gegen Distributed-Denial-of-Service Angriffen
Priyadharshini et al. Prevention of DDOS attacks using new cracking algorithm
Varre et al. A secured botnet prevention mechanism for HTTP flooding based DDoS attack
Arzhakov et al. Analysis of current internet wide scan effectiveness
Dalek et al. Information controls during military operations: The case of Yemen during the 2015 political and armed conflict
DE102015016832B4 (de) Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem
DE112004000125T5 (de) Gesichertes Client-Server-Datenübertragungssystem
EP3796164A1 (de) Verfahren zur überlastabwehr in einer container-virtualisierten rechenvorrichtung
Al-Duwairi et al. A novel scheme for mitigating botnet-based DDoS attacks
WO2003017613A1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE102012208290A1 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102014109906A1 (de) Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
WO2017046414A1 (de) Pre-crime-verfahren und -system zur vorhersehbaren abwehr von häckerangriffen
LU500837B1 (de) Verfahren und zugehörige Computersysteme zur Sicherung der Integrität von Daten

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000