DE202010016871U1 - Device for detecting unwanted access - Google Patents
Device for detecting unwanted access Download PDFInfo
- Publication number
- DE202010016871U1 DE202010016871U1 DE202010016871U DE202010016871U DE202010016871U1 DE 202010016871 U1 DE202010016871 U1 DE 202010016871U1 DE 202010016871 U DE202010016871 U DE 202010016871U DE 202010016871 U DE202010016871 U DE 202010016871U DE 202010016871 U1 DE202010016871 U1 DE 202010016871U1
- Authority
- DE
- Germany
- Prior art keywords
- access
- accesses
- address
- information
- origin
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
Vorrichtung (120) zum Erkennen eines unerwünschten Zugriffs auf Informationen, wobei die Vorrichtung umfasst:
eine Überwachungseinrichtung (125) zur Überwachung des Zugriffs auf Informationen;
eine Bereitstellungseinrichtung (126) zum Bereitstellen der Informationen, wobei die Bereitstellungseinrichtung eingerichtet ist, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung (100) zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist; und
eine Sicherheitseinrichtung (130) zum Erkennen von unerwünschten Zugriffen, wobei die Sicherheitseinrichtung eingerichtet ist, das Erkennen von unerwünschten Zugriffen zu einem bestimmten Zeitpunkt zu beginnen, der nach dem Bearbeiten der Abfrage von Informationen und nach einem Bereitstellen der Informationen an den Zugriffsursprung (100) durch die Bereitstellungseinrichtung (126) liegt,
wobei die Sicherheitseinrichtung (130) umfasst:
eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs (100);
eine Ermittlungseinrichtung...Apparatus (120) for detecting unwanted access to information, the apparatus comprising:
a monitor (125) for monitoring access to information;
provisioning means (126) for providing the information, wherein the provisioning means is arranged to process an inquiry of information by access from an access origin (100) and to provide the access originated information, the provisioning means being arranged in an area protected by the monitoring means is; and
a security device (130) for detecting unwanted accesses, wherein the security device is arranged to start detecting unwanted accesses at a particular point in time after processing the retrieval of information and after providing the information to the access origin (100) the provisioning device (126) lies,
wherein the security device (130) comprises:
a determining means for determining the access origin (100);
a detention facility ...
Description
Die Erfindung betrifft eine Vorrichtung zum Erkennen eines unerwünschten Zugriffs auf Netzwerkeinrichtungen.The invention relates to a device for detecting unwanted access to network devices.
Der Datentransfer über Computernetzwerke stellt ein wichtiges Mittel für die Kommunikation zwischen Nutzern dieser Computernetzwerke oder auch zum Führen und Abwickeln von Geschäften dar. Die Vernetzung wird leitungsgebunden oder mittels Funkverbindungen realisiert. Mittels eines Computernetzwerkes sind einzelne oder Gruppen von Computern miteinander verbunden. Das derzeit größte Computernetzwerk stellt das Internet dar. Die Kommunikation über das Internet erfolgt über ein gemeinsames Protokoll, einzelne Benutzer (Englisch: User) sind z. B. über die sogenannte Internetprotokolladresse bzw. IP-Adresse ihres Computers oder Computernetzwerkes oder auch über eine MAC Adresse oder eine Ethernet ID identifizierbar.The data transfer via computer networks is an important means of communication between users of these computer networks or also for managing and doing business. The networking is wired or realized by radio links. By means of a computer network, individual or groups of computers are interconnected. Currently the largest computer network is the Internet dar. Communication via the Internet via a common protocol, individual users (English: User) are z. B. identifiable via the so-called Internet Protocol address or IP address of your computer or computer network or via a MAC address or an Ethernet ID.
Mittels einer Benutzeroberfläche (Englisch: User Interface) auf dem Computer können die Benutzer beispielsweise Anfragen eingeben.For example, users can enter inquiries using a user interface on the computer.
Der Abruf von Daten im Internet wird mittels Zugriffen bzw. Anfragen oder Abfragen auf sogenannte Netzseiten (Englisch: Websites) vorgenommen, welche auf einem sogenannten Applikationsserver, insbesondere einem sogenannten Netzserver (Englisch: Webserver) abgelegt sind. Ein Applikationsserver kann statische Information, d. h. Information die bereits in Dateien vorliegt, und/oder dynamisch generierte, d. h. erst in Hinblick auf eine Anfrage hin erstellte Information, darstellen. Beispielsweise wird über eine Suchmaschine Information dynamisch generiert, indem Seiten des Netzes oder Information aus dem Netz auf den Rechner der Suchmaschine heruntergeladen werden und die durchsuchten Seiten für eine weitere Verarbeitung indiziert werden. Zum Ursprung der Anfrage werden Verweise auf diese Seiten gesendet. Eine Netzseite, die diese Verweise enthält, wird erst bei Abruf der Verweise generiert.The retrieval of data on the Internet is made by means of accesses or queries or queries on so-called web pages (English: Websites), which are stored on a so-called application server, in particular a so-called network server (English: Web server). An application server can provide static information, i. H. Information already present in files and / or dynamically generated, d. H. only with regard to a request made information represent. For example, information is generated dynamically via a search engine by downloading pages of the network or information from the network onto the computer of the search engine and indexing the pages being searched for further processing. References to these pages are sent at the origin of the request. A netpage that contains these references is only generated when the referrals are retrieved.
Die Darstellung von statischen oder dynamisch erstellten Websites erfolgt mittels sogenannter „Webbrowser”, welche als „Kunde” (Englisch: client) zu den Webservern angesehen werden. Die englischen Begriffe sind im deutschen Fachjargon aufgenommen und werden daher im Folgenden verwendet.The presentation of static or dynamically created websites takes place by means of so-called "web browsers", which are regarded as "clients" to the web servers. The English terms are included in the German jargon and are therefore used below.
Oftmals erfolgen die Zugriffe zum Abfragen von Daten automatisiert, um ein Handeln durch den Internetbenutzer zu umgehen, sodass dieser beispielsweise keine Seiten mit Werbung betrachten muss oder auch um Daten eines Webservers systematisch abzufragen und gegebenenfalls weiter zu verarbeiten. Durch diese systematischen Abfragen können Datenbestände einer Datenbank abgefragt werden und zumindest zum Teil kopiert werden. Je nachdem welche Daten abgefragt werden, besteht das Problem, dass Daten in Verbindung zu anderen Informationen gesetzt werden und so letztlich sensible Informationen nicht autorisierten Stellen zugänglich sind.Often, the requests to retrieve data are automated to circumvent an action by the Internet user, so that, for example, he does not have to look at pages with advertising or to systematically query and, if necessary, further process data from a web server. Through these systematic queries, databases of a database can be queried and at least partially copied. Depending on what data is queried, there is the problem that data is placed in connection with other information and so ultimately sensitive information is unauthorized access points.
Es ist daher Aufgabe der Erfindung, eine Möglichkeit zu schaffen unerwünschte, insbesondere automatisierte Zugriffe, insbesondere auf einen Server, effektiv und kostengünstig zu erkennen und zu sperren.It is therefore an object of the invention to provide a way to effectively and inexpensively detect and block unwanted, especially automated access, in particular to a server.
Diese Aufgabe wird durch Vorrichtungen gemäß den unabhängigen Ansprüchen gelöst. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.This object is solved by devices according to the independent claims. Advantageous developments are the subject of the dependent claims.
Die erfindungsgemäße Vorrichtung weist eine Überwachungseinrichtung, eine Bereitstellungseinrichtung sowie eine Sicherheitseinrichtung zum Erkennen von Zugriffen auf. Die Überwachungseinrichtung überwacht Zugriffe auf Informationen, die durch die Bereitstellungseinrichtung bereitgestellt werden. Dabei ist die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet. Die Bereitstellungseinrichtung ist eingerichtet, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen. Die Sicherheitseinrichtung beginnt das Erkennen von unerwünschten Zugriffen zu einem bestimmten Zeitpunkt, der nach dem Bearbeiten der Abfrage von Informationen und nach einem Bereitstellen der Informationen an den Zugriffsursprung durch die Bereitstellungseinrichtung liegt. Die Sicherheitseinrichtung weist weiterhin eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs auf, eine Ermittlungseinrichtung zum Ermitteln der Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums, eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einem Schwellwert sowie eine Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als die Schwelle ist. Ferner weist die Vorrichtung eine Sperreinrichtung zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs beim Vorliegen einer Sperrnachricht auf.The device according to the invention has a monitoring device, a provision device and a safety device for detecting accesses. The monitoring device monitors accesses to information provided by the providing device. In this case, the provision device is arranged in a protected area by the monitoring device. The providing device is set up to process a query of information by access from an access origin and to provide the access origin with the requested information. The security device begins detecting unwanted access at a particular time that is after processing the retrieval of information and after providing the information to the access origin by the providing device. The security device furthermore has a determination device for determining the access origin, a determination device for determining the number of accesses from the determined access origin within a predetermined period of time, a comparison device for comparing the determined number of accesses with a threshold value, and an output device for outputting a blocking message, if the detected number of accesses is greater than the threshold. Furthermore, the device has a blocking device for processing the blocking message and blocking further access access accesses in the event of a blocking message.
Die Sperreinrichtung kann mit der Überwachungseinrichtung gekoppelt sein, um die Überwachungseinrichtung zum Sperren von weiteren Zugriffen des Zugriffsursprungs zu konfigurieren. Dies ist besonders vorteilhaft, da Sperreinrichtung und Überwachungseinrichtung unabhängig voneinander konfiguriert werden können und die Sperreinrichtung ein dynamisches Sperren von Zugriffen ermöglicht. The blocking device may be coupled to the monitoring device to configure the monitoring device to block further access origin accesses. This is particularly advantageous since the locking device and the monitoring device can be configured independently of each other and the locking device enables dynamic blocking of accesses.
Gemäß einer vorteilhaften Weiterbildung weist die Vorrichtung ferner eine Bewertungseinrichtung zum Bewerten der Auslastung der Sicherheitseinrichtung auf. Die Sicherheitseinrichtung ist dazu eingerichtet, den bestimmten Zeitpunkt für das Beginnen des Erkennens von unerwünschten Zugriffen in Abhängigkeit des Bewertens der Auslastung zu wählen.According to an advantageous development, the device further comprises an evaluation device for evaluating the utilization of the safety device. The security device is set up to select the specific point in time for starting the detection of undesired accesses depending on the evaluation of the utilization.
Die Sperrnachricht kann insbesondere durch ein Flag und/oder einen Eintrag in ein Protokollfile und/oder eine Textnachricht und/oder eine Nachricht an eine Einheit oder Softwarekomponente gebildet werden. Sie kann darüber hinaus ein Befehl oder eine Anweisung an eine andere Einrichtung oder ein anderes Softwaremodul sein, durch den oder die ein weiterer Zugriff vom Zugriffsursprung zwingend oder optional unterbunden wird. Dadurch können weitere Zugriffe in Abhängigkeit von festgelegten Kriterien unterbunden werden. Insbesondere kann so ein Schutz der Daten, die mittels des Zugriffs abgefragt werden sollten, gewährleistet werden.The blocking message can in particular be formed by a flag and / or an entry in a protocol file and / or a text message and / or a message to a unit or software component. It may moreover be a command or an instruction to another device or another software module by which further access from the access origin is forcibly or optionally suppressed. As a result, further accesses can be prevented depending on specified criteria. In particular, such a protection of the data that should be queried by means of access can be guaranteed.
Dieses Vorgehen hat den weiteren Vorteil, dass Anfragen, die mit einer bestimmten Häufigkeit erfolgen, erkannt werden können. Solche Zugriffe oder Anfragen deuten auf automatisierte Zugriffe hin.This procedure has the further advantage that inquiries that occur with a certain frequency can be detected. Such access or requests indicate automated access.
Gemäß einer vorteilhaften Weiterbildung ermittelt eine Ermittlungseinrichtung eine zweite Anzahl von Zugriffen innerhalb eines zweiten Zeitraumes. Dieser zweite Zeitraum ist vom ersten Zeitraum verschieden.According to an advantageous development, a determination device determines a second number of accesses within a second time period. This second period is different from the first period.
Die Verschiedenheit vom ersten und zweiten Zeitraum kann insbesondere in einem unterschiedlichen Startzeitpunkt des Zeitraumes, Endzeitpunkt des Zeitraumes und/oder Länge des Zeitraumes liegen.The difference between the first and second time periods may be in particular at a different start time of the time period, end time of the time period and / or length of the time period.
Eine Vergleichseinrichtung vergleicht die zweite Anzahl von Zugriffen mit einer zweiten Zugriffszahlschwelle. Eine Ausgabeeinrichtung gibt eine Sperrmitteilung aus, wenn die zweite festgestellte Anzahl von Zugriffen größer als die zweite Zugriffszahlschwelle ist.A comparator compares the second number of accesses with a second access number threshold. An output device issues a blocking message if the second detected number of accesses is greater than the second access number threshold.
Erste und/oder zweite Zugriffszahlschwelle können insbesondere in Abhängigkeit vorn Zeitraum festgelegt werden. Zusätzlich oder alternativ kam die Zugriffszahlschwelle in Abhängigkeit von einer Menge und/oder Typ von abgefragten Daten festgelegt werden. Beispielsweise können hinsichtlich des Typs die Daten in unterschiedliche Gruppen unterteilt werden, wobei für eine Gruppe mehr Abfragen zulässig sind als für eine andere. In Bezug auf die Menge kann beispielsweise ein Limit in Hinblick auf die erhaltenen Datensätze gesetzt werden.First and / or second access number thresholds can be established in particular as a function of the time period. Additionally or alternatively, the access count threshold was determined depending on a quantity and / or type of queried data. For example, in terms of type, the data may be divided into different groups, with more queries allowed for one group than for another. With regard to the quantity, for example, a limit can be set with regard to the data records obtained.
Dieses Vorgehen hat den Vorteil, dass automatische Anfragen mit unterschiedlichen Häufigkeiten erkannt werden können. So ist es beispielsweise für den Fall, dass der erste Zeitraum kürzer als der zweite Zeitraum gewählt wird und die Zugriffe innerhalb des zweiten Zeitraums so verteilt sind, dass die erste Zugriffszahlschwelle nicht überschritten wird aber dennoch über den längeren zweiten Zeitraum eine Vielzahl von Zugriffen erfolgt, so ist es möglich auch diesen Zugriff zu erkennen. Somit können Zugriffe mit unterschiedlichen zeitlichen Granularitäten erkannt werden. Insbesondere können Zugriffe mit einer sehr hohen Zugriffsfrequenz in einem kurzen Zeitraum, welche oft auch als Datensauger mit hoher Zugriffsfrequenz bezeichnet werden, oder Zugriffe, die sich über einen langen Zeitraum erstrecken und so eine hohe Zugriffszahl erreichen, die oft als Datensauger über einen langen Zeitraum bezeichnet werden, erkannt werden. Diese Zugriffe können dann beispielsweise gesperrt werden.This approach has the advantage that automatic requests with different frequencies can be detected. For example, if the first period is shorter than the second period, and the accesses within the second period are distributed such that the first access count threshold is not exceeded, yet a large number of accesses occur over the longer second period, it is also possible to recognize this access. Thus, accesses with different temporal granularities can be detected. In particular, accesses having a very high access frequency in a short period of time, which are often referred to as data accessors with high access frequency, or accesses that extend over a long period of time and thus reach a high number of access, often referred to as data suckers over a long period will be recognized. These accesses can then be blocked, for example.
Gemäß einer weiteren Weiterbildung wird der Zugriffsursprung anhand zumindest eines Teils einer Adresse erkannt bzw. festgestellt. Bei der Adresse kann es sich insbesondere um eine Netzwerkadresse, beispielsweise eine IP-Adresse, und/oder eine MAC-Adresse handeln. Zur Identifikation der Herkunft dient oft bereits ein Teil einer Netzwerkadresse, da damit auch ein bestimmtes Unter-Netzwerk, im Falle einer IP-Adresse beispielsweise des Internets, gekennzeichnet wird.According to a further refinement, the access origin is recognized or established on the basis of at least part of an address. The address may in particular be a network address, for example an IP address, and / or a MAC address. Part of a network address is often already used to identify the origin, since it also identifies a specific subnetwork, in the case of an IP address, for example, the Internet.
Gemäß einer Weiterbildung der Sicherheitseinrichtung wird weiterhin durch eine Ermittlungseinrichtung die Anzahl von Zugriffen in einem Kontrollzeitraum ermittelt und diese Anzahl durch eine Vergleichseinrichtung mit einer Kontrollschwelle verglichen. Liegt die weiter festgestellte Anzahl über dieser Kontrollschwelle, so wird zumindest ein Teil der festgestellten Adresse des Zugriffsursprungs durch eine Speichereinrichtung gespeichert und durch eine Vergleichseinrichtung mit zumindest einem Eintrag in einer Liste verglichen. Der zumindest eine Eintrag in der Liste wird durch zumindest einen Teil einer Adresse gebildet.According to a development of the safety device, the number of accesses in a control period is furthermore determined by a determination device and this number is compared by a comparison device with a control threshold. If the further determined number lies above this control threshold, then at least a part of the determined address of the access origin is determined by a memory device stored and compared by a comparison device with at least one entry in a list. The at least one entry in the list is formed by at least part of an address.
Beispielsweise wird im Falle einer IP-Adresse xxx.yy.zzz.* der Teil xxx.yy.zzz mit entsprechenden IP-Adresseinträgen in der Liste verglichen.For example, in the case of an IP address xxx.yy.zzz. *, The part xxx.yy.zzz is compared with corresponding IP address entries in the list.
Mittels einer Ausgabeeinrichtung wird zumindest ein Teil der festgestellten Adresse ausgegeben, wenn die festgestellte Adresse nicht in der Liste enthalten ist. Die Ausgabe kann insbesondere mittels einer Sperrnachricht erfolgen. Weiterhin kann eine Ausgabe auch in eine Protokolldatei wie in ein sogenanntes Logfile erfolgen. Alternativ oder zusätzlich kann eine Ausgabe als elektronische Nachricht, insbesondere E-Mail, an einen bestimmten Empfänger erfolgen. Dieses Vorgehen hat insbesondere den Vorteil, dass schnell erfasst werden kann, ob von dem Zugriffsursprung her bereits in der Vergangenheit häufig Zugriffe erfolgten. Damit können dann beispielsweise Aktionen wie etwa das Sperren von weiteren Zugriffen schnell und zielgerichtet erfolgen.By means of an output device, at least part of the determined address is output if the determined address is not included in the list. The output can be made in particular by means of a blocking message. Furthermore, an output can also be made in a log file as in a so-called log file. Alternatively or additionally, an output can be made as an electronic message, in particular e-mail, to a specific recipient. This procedure has the particular advantage that it can be detected quickly whether frequent accesses have already taken place from the access origin in the past. Thus, for example, actions such as the blocking of further accesses can be made quickly and purposefully.
Gemäß einer Weiterbildung wird der Kontrollzeitraum länger als der erste und zweite Zeitraum gewählt. Dies ermöglicht die Identifikation automatischer Zugriffe auch für relativ geringe Häufigkeiten, die sich jedoch über einen langen Zeitraum erstrecken und so eine hohe Anzahl von Zugriffen realisieren.According to a further development, the control period is chosen to be longer than the first and second periods. This allows the identification of automatic access even for relatively low frequencies, but extend over a long period of time and so realize a high number of accesses.
Dieses Vorgehen hat den Vorteil, dass beispielsweise ein langer Kontrollzeitraum in der Größenordnung von einem Tag oder Tagen im Vergleich zu kurzen ersten und zweiten Zeiträumen im Bereich von Sekunden oder Stunden gewählt wird. Im Fall von häufigen Zugriffen in dem Kontrollzeitraum kann dann ein Vergleich mit Adressen erfolgen, von denen in zurückliegenden Zeiträumen aus häufig Zugriffe erfolgten. Damit kann für den Fall, dass die Adresse oder ein Teil davon in der Liste enthalten ist, auf frühere Entscheidungen bezüglich des zur festgestellten Adresse gehörigen Zugriffsursprungs zurückgegriffen werden. Dies ermöglicht eine schnelle Entscheidung und vermeidet unnötige Doppelarbeit.This approach has the advantage that, for example, a long control period of the order of one day or days compared to short first and second periods in the range of seconds or hours is chosen. In the case of frequent accesses in the control period, then a comparison can be made with addresses that were accessed frequently in previous periods. Thus, in the event that the address or part thereof is included in the list, previous decisions regarding the access origin associated with the determined address can be resorted to. This allows a quick decision and avoids unnecessary duplication.
Gemäß einer Weiterbildung erfolgt ein Sperren weiterer Zugriffe mittels der Sperreinrichtung, wenn eine Ausgabe des zumindest einen Teils der festgestellten Adresse erfolgt. Dies hat den Vorteil, dass Zugriffe von Zugriffsursprüngen, die noch nicht in der Liste enthalten sind, unterbunden werden können.According to a development, further accesses are blocked by means of the blocking device if an output of the at least one part of the determined address takes place. This has the advantage that access from access origins that are not yet included in the list can be prevented.
Gemäß einer Weiterbildung wird zumindest ein Teil einer festgestellten Adresse in die Liste aufgenommen wenn die vorbestimmte Kontrollschwelle im Kontrollzeitraum überschritten wird. Dies erlaubt eine effektive Überwachung von Zugriffsursprüngen mit hoher Zugriffsfrequenz.According to a development, at least part of a determined address is included in the list when the predetermined control threshold is exceeded in the control period. This allows effective monitoring of access origins with high access frequency.
Gemäß einer Weiterbildung wird der zumindest ein Teil der Adresse mittels einer Vergleichseinrichtung mit einer Ausnahmenliste verglichen. Ein Sperren von weiteren Zugriffen von dem zur Adresse gehörigen Zugriffsursprung erfolgt mittels einer Sperrnachricht, wenn nicht der zumindest eine Teil der Adresse in der Ausnahmeliste enthalten ist. Dieses Vorgehen hat insbesondere den Vorteil, dass Zugriffe bestimmter Herkunft, insbesondere interne Zugriffe oder von Überwachungswerkzeugen erlaubt werden können. Insbesondere kann das Vergleichen mit der Ausnahmeliste auch zumindest einer Überprüfung oder mehreren Überprüfungen der Zugriffszahlen vorgeschaltet sein.According to one development, the at least one part of the address is compared by means of a comparison device with an exception list. A blocking of further accesses from the access origin belonging to the address takes place by means of a blocking message, if the at least part of the address is not contained in the exception list. This approach has the particular advantage that accesses of specific origin, in particular internal access or monitoring tools can be allowed. In particular, the comparison with the exception list can also be preceded by at least one check or several checks of the access numbers.
Gemäß einer anderen Weiterbildung wird durch eine Analyseeinrichtung der Zugriff in Bezug auf eine Kennung untersucht und durch eine Ausgabeeinrichtung eine Sperrmitteilung ausgegeben, wenn der Zugriff zumindest eine festgelegte Kennung aufweist. Bei der Kennung kann es sich insbesondere um eine Zeichenfolge (Englisch: String) oder ein Format handeln, durch das der Zugriff charakterisiert ist. Beispielsweise kann die Kennung durch eine Zeichenfolge gebildet werden, die in der Anfrage enthalten ist. Insbesondere kann es sich hierbei um die Zeichenfolge „http/1.0” handeln.According to another development, the access with regard to an identifier is examined by an analysis device and a blocking message is issued by an output device if the access has at least one specified identifier. In particular, the identifier can be a string or a format that characterizes the access. For example, the identifier may be formed by a string included in the request. In particular, this may be the string "http / 1.0".
Dieses Vorgehen hat den Vorteil, dass automatisierte Anfragen die, da sie in einer bestimmten Programmiersprache vorgenommen sind, auch durch gewisse Formen oder Formatierungen oder Zeichenfolgen erkennbar sind und als automatische Anfragen wahrgenommen werden können.This approach has the advantage that automated requests, which are made in a particular programming language, can also be recognized by certain forms or formatting or strings, and can be perceived as automatic requests.
Vorzugsweise wird durch eine Speichereinrichtung zumindest ein Kriterium das zur Ausgabe einer Sperrmitteilung führt, gespeichert. Dieses Kriterium kann durch die Anzahl von Zugriffen und/oder Format und/oder Zeitraum und/oder Kontrollzeitraum und/oder einer Aktionsbeschreibung „Sperren” oder „Ausgabe” gebildet werden.Preferably, at least one criterion which leads to the output of a blocking message is stored by a memory device. This criterion can be formed by the number of accesses and / or format and / or time period and / or control period and / or an action description "lock" or "issue".
Dies hat den Vorteil, dass auf diese gespeicherten Daten im Bedarfsfall rückgegriffen werden kann.This has the advantage that this stored data can be accessed if necessary.
Insbesondere erfolgt das Sperren von Zugriffen durch die Sperreinrichtung für eine festgelegte Auszeit. Diese kann insbesondere in Abhängigkeit von zumindest einem Kriterium, das zum Sperren oder zur Ausgabe der Sperrnachricht führt, festgelegt werden. Dies hat den Vorteil, dass beispielsweise an die Häufigkeit angepasste Auszeiten verhängt werden. In particular, the blocking of accesses by the locking device for a fixed timeout. This can in particular be determined as a function of at least one criterion which leads to the blocking or to the output of the blocking message. This has the advantage that, for example, be adapted to the frequency-adjusted time-outs.
Gemäß einer weiteren Weiterbildung erstellt eine Nachrichteneinrichtung eine Nachricht, die zumindest eines der abgespeicherten Kriterien, die zur Sperrung oder zur Ausgabe der Sperrmitteilung führen, enthält. Diese Nachricht kann insbesondere mittels einer Anzeigeeinrichtung angezeigt oder mittels einer Sendeeinrichtung als E-Mail an eine vorgegebene Adresse gesandt werden.According to a further development, a message device creates a message that contains at least one of the stored criteria that lead to blocking or output of the blocking message. This message can be displayed in particular by means of a display device or sent by means of a transmitting device as an e-mail to a predetermined address.
Vorzugsweise enthält die Nachricht die Adresse des Zugriffsursprungs und/oder die Kriterien des Sperrens oder der Ausgabe und/oder einen Zeitpunkt der Sperrung oder der Ausgabe und/oder einen Entsperrzeitpunkt und/oder eine Auszeit. Damit kann die Nachricht zum weiteren Bearbeiten des Zugriffes von dieser Adresse aus verwendet werden.The message preferably contains the address of the access origin and / or the criteria of blocking or of the output and / or a time of blocking or of the output and / or an unlocking time and / or a timeout. This allows the message to be used to further edit access from this address.
Insbesondere kann durch eine Rücksetzungseinrichtung ein manuelles Zurücksetzen der Sperre oder eine automatische Zurücksetzung der Sperre nach Ablauf der Auszeit oder zu einem Entsperrzeitpunkt erfolgen.In particular, by a reset means, a manual reset of the lock or an automatic reset of the lock after the expiry of the time-out or at a Entsperrzeitpunkt done.
Der Zugriff kann insbesondere mittels eines Webbrowsers erfolgen, wobei das Internet das Zugriffsnetzwerk bildet. Dies ermöglicht den Zugriff von Daten im Internet.The access can in particular be done by means of a web browser, wherein the Internet forms the access network. This allows access to data on the Internet.
Gemäß einer weiteren vorteilhaften Ausführungsform, die mit allen bisherigen Ausführungsformen kombiniert werden kann, arbeiten die Ermittlungseinrichtungen und/oder die Sperreinrichtung auf zumindest zwei unterschiedlichen Netzwerkebenen bzw. Schichten. So kann z. B. ein Ermitteln der Anzahl der Zugriffe in der Netzzugangsschicht und ein anderes Ermitteln der Anzahl der Zugriffe in der Internet-, Transport- oder Anwendungsschicht durchgeführt werden. Alternativ können sie in zwei verschiedenen Schichten parallel ausgeführt werden. So gewinnt man z. B. während des ersten Zeitraums Informationen über Zugriffe von einem Zugriffsursprung in zwei verschiedenen Schichten, so dass man z. B. über die Anwendungsschicht die IP-Adresse und über die Internetschicht die MAC-Adresse des Zugriffsursprungs bestimmen kann. Dies ermöglicht das Gewinnen von zusätzlichen Informationen über den Zugriffsursprung und somit eine sicherere Erkennung des Zugriffs.According to a further advantageous embodiment, which can be combined with all previous embodiments, the detection devices and / or the blocking device operate on at least two different network levels or layers. So z. B. determining the number of accesses in the network access layer and another determination of the number of accesses in the Internet, transport or application layer are performed. Alternatively, they can be performed in parallel in two different layers. To win z. B. during the first period information about accesses from an access origin in two different layers, so that z. For example, the IP address can be determined via the application layer and the MAC address of the access origin via the Internet layer. This makes it possible to obtain additional information about the access origin and thus a more secure recognition of the access.
Gemäß einer weiteren vorteilhaften Ausgestaltung werden Zugriffe einem Muster zugeordnet, das die Art des Zugriffs kennzeichnet. Falls ein gleiches Muster bei einem gleichen Datenursprung vorliegt, wird eine Sperrnachricht ausgegeben.According to a further advantageous embodiment, accesses are assigned to a pattern which characterizes the type of access. If a same pattern exists for a same data origin, a lock message is issued.
Gemäß einer weiteren Ausführungsform umfasst eine Vorrichtung zum Erkennen eines unerwünschten Zugriffs auf Informationen eine Überwachungseinrichtung zur Überwachung des Zugriffs auf Informationen, eine Bereitstellungseinrichtung zum Bereitstellen der Informationen, eine Protokolleinrichtung zum Protokollieren des Zugriffs des Zugriffsursprungs und eine Sicherheitseinrichtung zum Erkennen von unerwünschten Zugriffen. Dabei ist die Bereitstellungseinrichtung eingerichtet, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist. Ferner ist die Protokolleinrichtung eingerichtet, einen Eintrag für jeden Zugriff zusammen mit einem Zeitstempel, der die Eingangszeit des Zugriffs bei der Bereitstellungseinrichtung angibt, in einen Protokollspeicher zu schreiben. Die Sicherheitseinrichtung ist eingerichtet, die Einträge im Protokollspeicher zum Erkennen der unerwünschten Zugriffe zu lesen.According to a further embodiment, an apparatus for detecting unwanted access to information comprises a monitoring device for monitoring access to information, a provision device for providing the information, a protocol device for logging the access of the access origin and a security device for detecting unwanted access. In this case, the provision device is set up to process a query of information by access from an access origin and to provide the access origin with the requested information, wherein the provision device is arranged in an area protected by the monitoring device. Furthermore, the protocol device is set up to write an entry for each access together with a time stamp indicating the arrival time of the access at the providing device to a log memory. The security device is set up to read the entries in the log memory in order to detect the unwanted accesses.
In dieser Ausgestaltung umfasst die Sicherheitseinrichtung eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs, eine Ermittlungseinrichtung zum Ermitteln der Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums, eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einem Schwellwert sowie eine Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als der Schwellwert ist. Ferner weist die Vorrichtung eine Sperreinrichtung zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs beim Vorliegen einer Sperrnachricht auf.In this embodiment, the security device comprises a determination device for determining the access origin, a determination device for determining the number of accesses from the determined access origin within a predetermined period of time, a comparison device for comparing the determined number of accesses with a threshold value, and an output device for outputting a blocking message, if the determined number of accesses is greater than the threshold value. Furthermore, the device has a blocking device for processing the blocking message and blocking further access access accesses in the event of a blocking message.
Die Erfindung wird im Folgenden anhand von ausgewählten Beispielen erläutert, die teilweise in den Figuren dargestellt sind.The invention is explained below with reference to selected examples, which are partially illustrated in the figures.
Es zeigen: Show it:
In
Der Zugriff erfolgt bevorzugt mittels eines so genannten Webbrowsers über das Internet als Zugriffsnetzwerk
Ein Browser ermöglicht generell die Ansicht von Informationen. Diese Informationen werden aufgrund des Zugriffs von der Netz-Servervorrichtung
Um nun bestimmte Arten von Zugriffen zu verhindern oder zumindest darüber informiert zu sein, wird, wie in
Insbesondere existieren mehrere Prüfschleifen bzw. „loops”, die zu der Ausgabe einer Sperrnachricht und/oder einer nachfolgenden Sperrung führen können.In particular, there are several loopbacks or "loops" that can lead to the output of a blocking message and / or a subsequent blocking.
Bei einer solchen Sperrmitteilung handelt es sich um Information aufgrund derer eine Sperrung vorgenommen wird, wenn die Information der für die Sperrung zuständigen Instanz zugänglich gemacht wird. Es kann sich also insbesondere um ein sogenanntes „Flag” handeln, das im Rahmen eines Programms gesetzt wird und z. B. bei einer Abarbeitung eben zu einer Sperrung führt. Alternativ oder zusätzlich kann es sich um einen Befehl handeln, der an eine Einheit oder Softwarekomponenten gesendet wird und/oder eine Textmitteilung, die z. B. an einen oder mehrere Computer oder Computernetzwerke oder auch weitere leitungsgebunden oder über Funkverbindung vernetzte Terminals gesendet wird, und/oder einen Eintrag in eine Protokoll- bzw. Log-Datei oder Konfigurationsdatei. Die Art der Sperrmitteilung kann also insbesondere von der Ausgestaltung des Netzwerkes und dem Informationsbedarf anderer Punkte im Netzwerk sowie der erforderlichen Schnelligkeit einer Reaktion auf einen Zugriff abhängen.Such an inhibit message is information that blocks it when the information is made available to the authority responsible for the revocation. It may therefore be in particular a so-called "flag", which is set in the context of a program and z. B. just leads to a blocking in a processing. Alternatively or additionally, it may be a command that is sent to a unit or software components and / or a text message that z. B. to one or more computers or computer networks or even more wired or wirelessly networked terminals is sent, and / or an entry in a log or log file or configuration file. The nature of the blocking message can thus depend in particular on the configuration of the network and the information requirements of other points in the network as well as the required speed of a response to an access.
Für eine Prüfschleife, die sich auf die Zugriffsanzahl bezieht, wird die Anzahl von Zugriffen festgestellt und für jeden Zugriff erfolgt ein Eintrag in einem Protokollfile bzw. „Log-Eintrag”. Überschreitet die Anzahl der Einträge einen für die Prüfschleife festgelegten Sperrparameter, so werden Zugriffe von diesem Zugriffsursprung für eine von der Prüfschleife abhängige Sperrzeit gesperrt. Erfolgt eine Sperrung, so erfolgt eine entsprechende Mitteilung an den Benutzer bzw. den Zugriffsursprung.For a loopback that relates to the number of accesses, the number of accesses is determined and for each access, an entry is made in a log file or "log entry". If the number of entries exceeds a blocking parameter specified for the loopback, accesses from this access origin are blocked for a blocking period dependent on the loopback. If a blockage occurs, a corresponding message is sent to the user or the access origin.
Dies ist für ein konkretes Beispiel in folgenden Tabellen für eine erste und eine zweite Prüfschleife dargestellt: Prüfschleife 1:
In
Wie weiter unten detaillierter gezeigt wird, unterliegen Anfragen von einem Zugriffsursprung einer bestimmten Prüfung. Während diese Prüfung vor der eigentlichen Bearbeitung der Anfrage stattfinden kann, wird gemäß einer Ausführungsform der vorliegenden Erfindung die Anfrage beantwortet und unabhängig davon auch zum Prüfen an eine bestimmte Einrichtung weitergeleitet. Diese Einrichtung, beispielsweise eine Sicherheitseinrichtung, prüft jede eingehende Anfrage unabhängig von deren Bearbeitung.As will be shown in greater detail below, queries from an access origin are subject to a particular audit. While this check may take place prior to the actual processing of the request, according to one embodiment of the present invention, the request is answered and, independently, also forwarded to a particular device for testing. This device, for example a security device, checks each incoming request independently of its processing.
Im Falle einer Anfrage wird in einen ersten Prüfschritt
Bei der Adresse. handelt es sich insbesondere um eine IP-(Internet Protokoll)Adresse oder um einen Teil dieser Adresse. Hat beispielsweise die IP-Adresse die Form xxx.yy.zzz*, so genügt es, zur Identifikation der Herkunft nur die ersten zwei oder drei Blöcke zu betrachten, über die zwar nicht der individuelle Rechner, jedoch die Domäne bekannt ist.At the address. this is in particular an IP (Internet Protocol) address or part of this address. If, for example, the IP address has the form xxx.yy.zzz *, then it is sufficient to consider only the first two or three blocks for identifying the origin, over which the individual computer, but the domain, is not known.
In der Ausnahmeliste WL befindet sich zumindest ein Teil von zumindest einer Adresse, denen erweiterte Zugriffsrechte gewährt werden, so dass eine Überschreitung bestimmter Schwellwerte von Zugriffsursprüngen, denen diese Adressen zugeordnet sind, nicht geahndet wird. Handelt es sich bei der ermittelten Adresse um eine Adresse oder Bestandteil der Adresse, die in dieser Ausnahmeliste ist, dann kann mit den Zugriffen fortgefahren werden. Gegebenenfalls wird eine Nachricht ausgegeben, die einerseits zu Dokumentationszwecken in so genannte „Logfiles”, in denen Ereignisse protokolliert werden, eingetragen wird, andererseits einer Benutzerinformation dienen kann.The exception list WL contains at least a part of at least one address, which is granted extended access rights, so that any exceeding of thresholds of access origins to which these addresses are assigned is not punished. If the determined address is an address or part of the address which is in this exception list, then the accesses can continue. If appropriate, a message is output that is entered on the one hand for documentation purposes in so-called "log files" in which events are logged, and on the other hand can serve as user information.
Der Prüfschritt
Automatische Anfragen weisen oft eine hohe Zugriffsfrequenz in einem beispielsweise kurzen Zeitraum auf.Automatic requests often have a high access frequency in, for example, a short period of time.
Wird im Prüfschritt
Parallel dazu wird im weiteren Prüfschritt
Alternativ kann dieser weitere Prüfschritt
Weiterhin alternativ oder zusätzlich können Prüfschritt
Überschreitet die weitere Anzahl von Zugriffen Z2 die weitere Schwelle ZTH2, so folgt der Vergleichsschritt
Der Vorteil dieser weiteren Prüfung im Prüfschritt
Zusätzlich können in zumindest einem weiteren Prüfschritt Zugriffszahlen in weiteren Zeiträumen in Bezug auf weitere Schwellen überprüft werden.In addition, in at least one further checking step, access numbers can be checked in further time periods with respect to further thresholds.
Weiterhin parallel dazu wird im Prüfschritt
Gemäß einer speziellen Ausführungsform der Erfindung können automatische Anfragen über ihre Form und/oder über das Protokoll, über das sie ausgeführt werden, und/oder die Protokollversion überprüft werden. Dabei kann ermittelt werden, ob eine sogenannte Skriptanfrage mit der Hypertext-Übertragungsprotokollversion 1.0 erfolgt und somit die Zeichenfolge http/1.0 aufweist.According to a specific embodiment of the invention, automatic inquiries about their form and / or about the protocol by which they are executed and / or the protocol version can be checked. It can be determined whether a so-called script request with the hypertext transfer protocol version 1.0 and thus has the string http / 1.0.
Unter einem Skript versteht man ein Programm, das in einer sogenannten Skriptsprache geschrieben ist. Dies ist eine Programmiersprache, die dahingehend vereinfacht ist, dass auf Elemente, wie etwa den Deklarationszwang von Variablen verzichtet wird, die erst bei größeren Software-Projekten von Vorteil sind. HTTP bezeichnet ein Hypertextübertragungsprotokoll zur Übertragung von Daten über ein Netzwerk. Es findet insbesondere Anwendung, um Daten, wie etwa Webseiten aus dem World Wide Web in einen Webbrowser zu laden. Die Versionsnummer 1.0 bezeichnet eine ältere Version, die von den gängigen Browsern meist nicht mehr verwendet wird und deshalb einen Hinweis auf skriptbasierte automatische Anfragen liefert.A script is a program written in a so-called scripting language. This is a programming language that is simplified in that it eliminates elements such as declaring constraints on variables that are beneficial only for larger software projects. HTTP refers to a hypertext transfer protocol for transferring data over a network. It finds particular application to load data such as web pages from the World Wide Web into a web browser. The version number 1.0 indicates an older version, which is usually no longer used by the popular browsers and therefore provides an indication of script-based automatic requests.
Die Prüfung bezieht sich also im Fall einer Http/1.0 Anfrage darauf, ob die Kennung „Http/1.0” im Anfragentext enthalten ist.In the case of a Http / 1.0 request, the check therefore refers to whether the identifier "Http / 1.0" is contained in the request text.
In diesem Zusammenhang sei erwähnt, dass eine Vielzahl von Informationen und Datenbanken über das Hypertext-Übertragungsprotokoll abgefragt werden können bzw. über das World Wide Web zugänglich gemacht worden sind. Damit ist die Abfrage über das Hypertext-Übertragungsprotokoll derzeit am weitesten verbreitet. Alternativ können solche Anfragen auch z. B. über Java-Serveletts oder Java Applikationen, z. B. über HTTP-Tunneling durchgeführt werden. Auch in einem solchen Fall kann der Zugriffsursprung ermittelt und, wenn nötig, protokolliert werden.In this context, it should be mentioned that a large number of information and databases can be queried via the hypertext transmission protocol or have been made accessible via the World Wide Web. Thus, the query on the hypertext transfer protocol is currently the most widespread. Alternatively, such requests can also z. B. via Java servlets or Java applications, eg. B. be performed via HTTP tunneling. Even in such a case, the access origin can be determined and, if necessary, logged.
Alternativ kann Prüfschritt
Liegt eine Übereinstimmung mit einem vorgegebenen Format oder einem Teil davon vor, so wird mit dem Vergleichsschritt
In
Alternativ kann eine zeitliche Staffelung der Prüfungsschritte
Zusätzlich können Zugriffszahlen in einem oder mehreren weiteren Zeiträumen ermittelt werden und mittels weiteren Schwellwertvergleichen ebenfalls als Kriterium herangezogen werden.In addition, access numbers can be determined in one or more further time periods and can also be used as a criterion by means of further threshold comparisons.
Im Prüfschritt
Der Kontrollzeitraum beginnt in dem in
Der Vorteil des Prüfschrittes
Abfragen aus einem lokalen Netzwerk erfolgen oft über einen sogenannten Proxy-Server, der als Vermittler die Seitenanfragen entgegennimmt und dann unter seiner eigenen Adresse an die Netz-Servervorrichtung
Um unerwünschte Anfragen von erlaubten Anfragen zu unterscheiden, kann in einer weiteren, bevorzugten Ausführungsform der Erfindung neben der Adresse auch die Art der Abfrage bzw. des Zugriffs gespeichert werden. Unter Art der Abfrage wird bevorzugterweise z. B. eine spezifische Struktur oder ein spezifisches Muster der Abfrage verstanden. Gemäß dieser spezifischen Struktur oder diesem spezifischen Muster werden systematisch gleiche oder ähnliche Informationen abgefragt. Bei ständigen Wiederholungen derartiger Anfragen können z. B. systematisch Informationen gesamter Datenbanken abgefragt werden.In order to distinguish unwanted requests from permitted requests, in a further, preferred embodiment of the invention, in addition to the address, the type of request or access can also be stored. Under type of query is preferably z. B. understood a specific structure or a specific pattern of the query. According to this specific structure or pattern specific or similar information is systematically requested. With constant repetitions of such requests z. For example, systematically querying information from entire databases.
Als Beispiel seien Abfragen von Familiennamen auf Basis von bekannten Straßennamen und Hausnummern in einer Stadt genannt. Zweck dieser Abfragen ist eine vollständige Erfassung aller Bewohner in einem Teil der Stadt. Die verschiedenen Abfragen weisen dabei z. B. das spezifische Muster auf, dass systematisch die Hausnummern und die Straßennamen variiert werden.As an example, queries of surnames based on known street names and house numbers in a city are mentioned. The purpose of these queries is to record all residents in one part of the city. The various queries have z. For example, the specific pattern is that the house numbers and street names are systematically varied.
Auch Anfragen, die auf die Gewinnung eines vollständigen Datensatzes, also beispielsweise alle Daten, Personen oder gewerbliche Adressen in einer Stadt oder mehreren Städten, abzielen können einem Muster zugeordnet werden. Beispielsweise könnte sich das Muster aus mehreren Untermustern zusammensetzen, wie etwa Suche nach Parameter 1 Gärtnerei in Parameter 2 Stadt. Durch Variation der beiden Parameter, also etwa Parameter 1 bezüglich verschiedener Branchen und Parameter 2 hinsichtlich verschiedener Städte kann ein vollständiger Datensatz erhalten werden. Eine andere Möglichkeit, um einen vollständigen Datensatz hinsichtlich einer Stadt zu gewinnen wäre Parameter 2 fix zu lassen und etwa Parameter 1 dem Alphabet oder einer sonstigen Reihenfolge nach zu variieren. Existiert nun ein solches Muster und werden diese Informationen von der gleichen Adresse her abgefragt, so wird eine Sperrnachricht ausgegeben und weitere Zugriffe ggf. gesperrt.Also, requests that aim to obtain a complete record, such as, for example, all data, persons, or business addresses in a city or multiple cities, may be associated with a pattern. For example, the pattern could be composed of several sub-patterns, such as search for parameter 1 nursery in parameter 2 city. By varying the two parameters, such as parameter 1 with respect to different sectors and parameter 2 with respect to different cities, a complete data set can be obtained. Another way to get a complete record of a city would be to leave parameter 2 fixed and vary parameter 1 alphabetically or in some other order. If such a pattern exists and if this information is requested from the same address, a blocking message is output and further accesses may be blocked.
Liegt kein offensichtliches Muster bei gleicher Adresse vor, so erfolgt keine Ausgabe einer Sperrnachricht. Werden dagegen Zugriffe von einem oder mehreren Zugriffsursprüngen festgestellt, wobei die Zugriffsanzahl innerhalb eines Zeitraums über einem spezifischen Wert liegt und zumindest ein bestimmter Anteil der Zugriffe ein spezifisches Muster aufweist, so wird bevorzugterweise eine Sperrmitteilung für die Zugriffsursprünge ausgegeben, deren Zugriffe das spezifische Muster aufweisen.If there is no obvious pattern with the same address, no issue of a blocking message occurs. If, on the other hand, accesses by one or more access origins are detected, the number of accesses being above a specific value within a period of time and at least a certain proportion of the accesses having a specific pattern, it is preferable to output an accessorque barring message whose accesses have the specific pattern.
War der zumindest eine Teil der Internetadresse bisher nicht Bestandteil der Liste L, so erfolgt eine Aufnahme in diese Liste in einem Aufnahmeschritt
Zusätzlich kann eine Aufnahmenachricht in einem Ausgabeschritt
Eine Aufnahme in die Liste L kann auch manuell vorgenommen werden, wenn sich aus anderen Gründen Verdachtsmomente auf Missbrauch ergeben. Die Liste L kann in bestimmten Zeiträumen bereinigt werden, d. h. die zumindest enthaltenen Teile von Internetadressen werden gelöscht, wenn für eine bestimmte Zeit von dem zur Internetadresse gehörenden Zugriffsursprung aus nicht mehr mit hoher Frequenz zugegriffen wird.An inclusion in the list L can also be made manually, if there are other reasons suspicion of abuse. The list L can be cleaned up at certain times, i. H. the at least contained portions of Internet addresses are erased when the access originating from the Internet address is no longer accessed at a high frequency for a certain time.
In einem Vergleichsschritt
Dementsprechend liegt die Ausnahmeliste insbesondere in einem Format vor, bei dem eine laufende Nummer einer einzelnen Adresse, z. B. der Adresse 1.2.3.4 oder dem sogenannten „localhost” zugeordnet ist oder eine laufende Nummer einer Vielzahl von Adressen, beispielsweise wird die Folge 1.2.3 oder 1.2.3 <-> 5 als die Adressengruppe 1.2.3.0 bis 1.2.3.255 interpretiert. Als „localhost” wird ein Name für eine IP-Adresse bezeichnet, der über einen sogenannten dynamischen Namensserver oder DNS-Server aufgelöst, d. h. in eine Nummer überführt werden kann. Alternativ oder zusätzlich kann die Folge 1.2.0.0/16 als die Adressengruppe 1.2.0.0–1.2.255.255 interpretiert werden. Für eine sichere Identifikation darf die laufende Nummer nicht doppelt sein.Accordingly, the exception list is in particular in a format in which a serial number of a single address, eg. B. the address is assigned to 1.2.3.4 or the so-called "localhost" or a serial number of a plurality of addresses, for example, the sequence 1.2.3 or 1.2.3 <-> 5 is interpreted as the address group 1.2.3.0 to 1.2.3.255 , A "localhost" is a name for an IP address that is resolved via a so-called dynamic name server or DNS server, i. H. can be converted into a number. Alternatively or additionally, the sequence 1.2.0.0/16 can be interpreted as the address group 1.2.0.0-1.2.255.255. For a secure identification, the serial number may not be duplicated.
Ist die Adresse in der Ausnahmeliste wie WL enthalten, so kann in einem weiteren Schritt
Ist die Adresse nicht in der Ausnahmeliste enthalten, so erfolgt in einem Ausgabeschritt
Die Sperrzeit oder Sperrdauer oder ein Entsperrzeitpunkt kann bereits in der Sperrnachricht festgelegt sein. Diese Sperrnachricht enthält bevorzugterweise weiterhin die IP-Adresse des gesperrten Zugriffsursprungs sowie den Grund der Sperrung, also beispielsweise Sperrung aufgrund des Prüfschritts
In dem in
Weiterhin können auch weitere Ausgabeschritte erfolgen oder Ausgabeschritte weggelassen werden. Dies richtet sich nach den Dokumentierungserfordernissen und Informationserfordernissen für die Benutzer des Verfahrens.Furthermore, further output steps can be carried out or output steps can be omitted. This depends on the documentation requirements and information requirements for the users of the method.
Wie bereits erwähnt können die einzelnen Schritte insbesondere die Schritte
Über einen sogenannten Proxyserver, der als Vermittler zwischen Netzwerken auftritt, ist es möglich, dass eine Vielzahl von Benutzern Anfragen an die Netz-Servervorrichtung
Je nachdem wo und in welcher Schicht und/oder welchen Schichten der Zugriff protokolliert wird, z. B. in einer sogenannten „Brücke” (English: Bridge), d. h. einem Zugang (Englisch: Gateway) von eine lokalen Netzwerk zu einem weiteren Netzwerk auf der Ebene der Schicht 2 bzw. „link layer”, oder einem Netzwerkknoten (English: Router), d. h. einer derartigen Verbindung auf der Ebene der Schicht 3, bzw. „internet layer”, kann auch die MAC Adresse des Zugriffsursprungs alternativ oder zusätzlich protokolliert werden.Depending on where and in which layer and / or which layers the access is logged, eg. In a so-called "bridge", d. H. an access (English: gateway) from a local network to another network at the level of the layer 2 or "link layer", or a network node (English: Router), d. H. Such a connection at the level of the layer 3, or "Internet layer", the MAC address of the access origin can alternatively or additionally be logged.
Es können also insbesondere eine oder mehrere Schichten gezielt für eine Protokollierung ausgewählt werden. Im Falle eines Angriffs, d. h. falls Zugriffe als systematisch oder automatisiert oder anderweitig unerwünscht erkannt wurden, können gezielt eine oder mehrere weitere Schichten dazu genommen werden. Diese Schichten können darüberliegend, beispielsweise eine Anwendungsschicht, oder darunterliegende Schichten sein, beispielsweise eine Netzzugangsschicht. Je nach Ausgestaltung des Kommunikationsprotokolls können so entsprechende Identifikationsmöglichkeiten ausgeschöpft werden.In particular, one or more layers can therefore be selected specifically for logging. In case of attack, d. H. if accesses have been identified as systematic or automated or otherwise undesirable, one or more further layers can be selectively added thereto. These layers may be overlying, for example an application layer, or underlying layers, for example a mesh access layer. Depending on the configuration of the communication protocol so appropriate identification options can be exploited.
In den oben beschriebenen Verfahrensschritten können die Zeiträume ZR1 und ZR2 sowie die Schwellwerte ZTH1 und ZTH2 statisch oder dynamisch bestimmt werden. So können, wie bereits oben beschrieben, für die Zeiträume ZR1 und ZR2 und eventuell weiterer Zeiträume z. B. feste Werte festgelegt werden, die sich allerdings voneinander unterscheiden können.In the method steps described above, the periods ZR1 and ZR2 and the threshold values ZTH1 and ZTH2 can be determined statically or dynamically. Thus, as already described above, for the periods ZR1 and ZR2 and possibly other periods z. For example, you can set fixed values that may differ from each other.
Alternativ können die Zeiträume ZR1 und ZR2 und eventuell weitere Zeiträume bevorzugterweise in Abhängigkeit des Zugriffsursprungs und/oder der Tageszeit und/oder der Ortszeit am Zugriffsursprung flexibel bestimmt werden. So ist es z. B. möglich, je nach Zugriffsursprung unterschiedliche Zeiträume ZR1 und ZR2 und eventuell weitere Zeiträume zu definieren.Alternatively, the time periods ZR1 and ZR2 and possibly further time periods can preferably be flexibly determined as a function of the access origin and / or the time of day and / or the local time at the access origin. So it is z. For example, it is possible to define different time periods ZR1 and ZR2 depending on the access origin and possibly further time periods.
In gleicher Weise ist es möglich, die Schwellwerte ZTH1 und ZTH2 und eventuell weitere Schwellwerte in Abhängigkeit des Zugriffsursprungs variabel zu definieren. So kann z. B. für ein Gateway, einen Router oder Proxy-Server eines großen Internet Service Providers, über den eine große Anzahl von Internetnutzern Zugriff auf das Internet hat, deutlich höhere Schwellwerte ZTH1 und ZTH2 festgelegt werden als für einen Einzelrechner oder für ein Gateway, einen Router oder Proxy-Server eines kleinen lokalen Netzwerkes. Denn über ein Gateway, einen Router oder Proxy-Server eines großen Internet Service Providers wie z. B. 1 & 1, AOL, T-Home usw. werden erwartungsgemäß eine viel höhere Anzahl von berechtigten Zugriffen auf die Netz-Servervorrichtung
Wurden für den Zugriffsursprung mit der IP-Adresse 62.153.195.210 durchschnittlich 10 Zugriffe pro Stunde an Werktagen ermittelt, so wird beispielsweise für einen ersten Zeitraum ZR1 von 1 Minute ein erster Schwellwert ZTH1 von 50 Zugriffen festgelegt. Für einen zweiten Zeitraum ZR2 von 1 Stunde wird ein zweiter Schwellwert von 200 Zugriffen festgelegt. Erfolgen von diesem Zugriffsursprung mit der IP-Adresse 62.153.195.210 z. B. nun mehr als 70 Zugriffe pro Minute, lässt dies auf ein untypisches Benutzerverhalten schließen. Durch Überschreiten des Schwellwerts ZTH1 kann eine Sperrmitteilung ausgegeben werden, die eine Sperrung der Zugriffe auf die Netz-Servervorrichtung
Die Zeiträume und Schwellwerte können alternativ oder zusätzlich auch in Abhängigkeit von der Ortszeit des Zugriffsursprungs und/oder dem Werktag festgelegt werden. Hierzu kann auf vorher definierte Werte oder Nutzerprofile für die Zeiträume und Schwellwerte zurückgegriffen werden, die in Lookup Tables oder Datenbanken gespeichert sind. Alternativ können während des Betriebs der Netz-Servervorrichtung
Um nichtautorisierte Zugriffe aus einem Botnetz oder auch Botnet zu erkennen, werden bevorzugterweise weitere Zeiträume und weitere Schwellwerte bestimmt, die die maximale Anzahl von Zugriffen innerhalb eines Zeitraumes für eine Gruppe von Zugriffsursprüngen und/oder alle Zugriffsursprünge festlegt. Diese weiteren Zeiträume und weiteren Schwellwerte können wie oben beschrieben statisch oder dynamisch bestimmt werden.In order to detect unauthorized accesses from a botnet or botnet, further time periods and further thresholds are preferably determined, which determine the maximum number of accesses within a period for a group of access origins and / or all access origins. These additional time periods and further threshold values can be determined statically or dynamically as described above.
In
Eine Firewall dient dazu, Zugriffe auf Informationen zu überwachen. Insbesondere dient sie dazu, für den durch sie hindurchlaufenden Datenverkehr anhand vorbestimmter Vorgaben oder Regeln zu entscheiden, ob bestimmte Daten durchgelassen werden. Dadurch kann mittels einer Firewall ein Schutz vor unerlaubten Zugriffen erfolgen. Die Festlegung der Vorgaben oder Regeln wird auch als Konfiguration bezeichnet.A firewall is used to monitor access to information. In particular, it is used to decide for the passing through them data traffic on the basis of predetermined rules or rules whether certain data is allowed to pass. This can be done by means of a firewall protection against unauthorized access. Defining the specifications or rules is also called configuration.
In einer Ausführungsform ist die Sicherheitseinrichtung
Zum Zugriff gehörende eingehende Daten passieren zunächst die erste Firewall
Um Inhalte von dynamischen Webseiten zu generieren, wird beispielsweise der anzuzeigende Inhalt in einem Datenspeicher oder einer Datenbank
Wird auf besonders sensible Daten zugegriffen, so passieren die Abfrage bzw. zur Abfrage gehörende Daten eine weitere Firewall
Die Datenspeicher oder Datenbanken dienen bevorzugterweise auch dazu, die oben beschrieben Werte oder Nutzerprofile für die Zeiträume und Schwellwerte sowie die Zugriffsprofile zu speichern.The data stores or databases are also preferably used to store the values or user profiles described above for the periods and threshold values as well as the access profiles.
Die Sicherheitseinrichtung
Alternativ kann die Sicherheitseinrichtung nur in einer dieser Einheiten oder einer Untergruppe dieser Einheiten vorliegen. Alternatively, the safety device may be present only in one of these units or a subset of these units.
Das Sperren des Zugriffs erfolgt über eine Sperreinrichtung
Zur Sperrung wird von einer Ausgabeeinrichtung eine Sperrnachricht ausgegeben, die an die Sperreinrichtung
Je nachdem wie die Sperreinrichtung
Die Sperrung kann also insbesondere mittels einer Firewall, die dafür konfiguriert ist, oder mittels einer Sperreinrichtung erfolgen. Die Zugriffe können, wie bereits ausgeführt, auf unterschiedlichen Schichten, je nach Art des verwendeten Protokolls überprüft werden. Damit kann auf unterschiedliche Weise der Zugriffsursprung ermittelt werden. Diese Ermittlung kann auf Basis von Information aus einer Schicht oder aus den Informationen mehrerer Schichten, die beispielsweise miteinander kombiniert werden erfolgen. So kann beispielsweise eine Sicherheitseinrichtung
Die Überwachungseinrichtung
Zusätzlich können noch weitere Komponenten zu der Vorrichtung
Wie bereits oben in Bezug auf
Die Bereitstellungseinrichtung
Gemäß einer Ausgestaltung wird die Bereitstellungseinrichtung durch einen Applikationsserver oder einen Netzserver (Englisch: web server) umgesetzt. Je nach Art der bereitzustellenden Daten und/oder Informationen ist eine entsprechende Implementierung, zum Beispiel durch Installation einer entsprechenden Server-Software, vorgesehen. Im Fall eines Netzservers können abgefragte Daten und/oder Informationen in Form von Webseiten dem Zugriffsursprung
Um die Daten und/oder Informationen vor unerwünschten Zugriffen zu schützen, werden die bei der Bereitstellungseinrichtung
Der Zeitpunkt, zu dem mit der Überprüfung begonnen wird, ist unabhängig von dem Zeitpunkt des Bearbeitens des Zugriffs durch die Bereitstellungseinrichtung
In dem Fall, dass die Sicherheitseinrichtung und die Bereitstellungseinrichtung auf derselben Komponente implementiert sind, ist eine Entkoppelung von Bearbeitung der Anfrage bzw. Abfrage von Informationen und die Überprüfung von unerwünschten Zugriffen vorteilhaft. Während zu Zeiten vieler Zugriffe die Anfragen bzw. Abfragen bearbeitet werden und Informationen bereitgestellt werden, wartet die Sicherheitseinrichtung, um einen reibungslosen Informationsabruf zu gewährleisten. Am Ende solcher ”Spitzenzeiten”, d. h. wenn die Zahl der Zugriffe unter einen bestimmten Schwellenwert sinkt, startet die Überprüfung.In the case that the security device and the provisioning device are implemented on the same component, it is advantageous to decouple processing of the request for information and the checking of undesired access. While inquiries or queries are processed and information is provided during periods of high traffic, the security device waits to ensure smooth information retrieval. At the end of such "peak periods", d. H. if the number of hits falls below a certain threshold, the check starts.
Die Bereitstellungseinrichtung
Die Sicherheitseinrichtung
Die Sicherheitseinrichtung
Dies bietet den Vorteil, dass eine Anfrage durch die Bereitstellungseinrichtung
Des Weiteren enthält die Vorrichtung
Bei einer Kopplung mit der Überwachungseinrichtung
Dies hat den Vorteil, dass beide Systeme unabhängig voneinander konfiguriert werden können. Während die Überwachungseinrichtung
In einer weiteren Ausgestaltung der Überwachungseinrichtung
Alternativ nimmt die Sperreinrichtung
Mit der Überwachungseinrichtung verbunden ist eine Bereitstellungseinrichtung
Die hinter der Überwachungseinrichtung liegenden Einrichtungen
Die Bereitstellungseinrichtung
Jede dieser Servereinheiten enthält eine Komponente
Wie aus den Erläuterungen zu
In der Ausgestaltung gemäß
Die Sicherheitseinrichtung
Wie oben zu
Die Speicherung der Protokolldaten in einer Protokolldatei findet somit unabhängig von dem Prozess der eigentlichen Datenauswertung statt. Da beim Eintreffen einer Anfrage bzw. Abfrage bei der Bereitstellungseinrichtung deren Eintreffen protokolliert wird, werden Daten bereitgestellt, die unabhängig von der Bearbeitung der Anfrage bzw. Abfrage ausgewertet werden können. Die Auswertung der Protokolldaten kann also zu einem späteren Zeitpunkt beginnen. Somit sind eine parallele Bearbeitung eingehender Anfragen bzw. Abfragen und das Auswerten der Zugriffe möglich.The storage of the log data in a log file thus takes place independently of the process of the actual data evaluation. Since the arrival of a request or query at the provisioning device whose arrival is logged, data is provided, which can be evaluated independently of the processing of the request or query. The evaluation of the log data can therefore start at a later date. Thus, a parallel processing of incoming requests or queries and the evaluation of accesses are possible.
Die Sicherheitseinrichtung
Ferner ist die Sicherheitseinrichtung eingerichtet zum Abspeichern von Zwischeninformationen, die während der Auswertung bzw. dem Erkennen von unerwünschten Zugriffen generiert werden. Dies kann z. B. die Häufigkeit einer bestimmten Adresse sein, die innerhalb eines bestimmten Zeitraums vorkommt. Ein anderes Beispiel solcher Auswertungsdaten sind Indizes, die über die in der Protokolldatei gespeicherten Daten angelegt werden können.Furthermore, the security device is set up for storing intermediate information which is generated during the evaluation or recognition of undesired accesses. This can be z. Example, the frequency of a particular address that occurs within a certain period. Another example of such evaluation data is indexes that can be created over the data stored in the log file.
Alternativ kann auch die Programmlogik
Wie oben beschrieben kann die Bereitstellungseinrichtung
Die Sperreinrichtung
Die Bereitstellungseinrichtung
Insbesondere wenn die Bereitstellungseinrichtung
Diese Ausgestaltung der Erfindung umfasst ferner eine Auswertungseinrichtung
Eine weitere Auswertungsmöglichkeit, die durch die Auswertungseinrichtung
Die Auswertungseinrichtung
Die Arbeitsweise der Sperreinrichtung
Zusammenfassend werden Vorrichtungen beschrieben, um automatisierte Zugriffe auf Information von einem Zugriffsursprung aus anhand ihrer Häufigkeit und/oder unter Einbezug weiterer Charakteristika, wie etwa ob gewisse Zeichenfolgen, die in der Anfrage enthalten sind, zu erkennen und gegebenenfalls weitere Zugriffe von diesem Zugriffsursprung aus zu sperren.In summary, devices are described for detecting automated accesses to information from an access origin based on their frequency and / or other characteristics, such as whether certain strings included in the request, and optionally blocking further accesses from that access origin ,
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 100100
- Zugriffsursprungaccess origin
- 110110
- ZugriffsnetzwerkAccess Network
- 120120
- Netz-ServervorrichtungNetwork server device
- 125125
- Firewallfirewall
- 126126
- Applikationsserverapplication server
- 127127
- Datenspeicherdata storage
- 128128
- Firewallfirewall
- 129129
- Datenspeicherdata storage
- 130130
- Sicherheitseinrichtungsafety device
- 140140
- Sperreinrichtunglocking device
- 200200
- Kriteriumcriteria
- 210210
- Ausgabeoutput
- 220220
- SperrenLock
- 230230
- FortfahrenContinue
- 240240
- Ausgabeoutput
- 300300
- PrüfschrittTest step
- 310310
- PrüfschrittTest step
- 330330
- PrüfschrittTest step
- 340340
- PrüfschrittTest step
- 345345
- FortfahrenContinue
- 350350
- Vergleichsschrittcomparison step
- 360360
- Aufnahmeschrittrecording step
- 370370
- Ausgabeschrittoutput step
- 380380
- Vergleichsschrittcomparison step
- 390390
- Ausgabeoutput
- 391391
- Ausgabeoutput
- 392392
- Ausgabeoutput
- 393393
- Ausgabeoutput
- 395395
- FortfahrenContinue
- 396396
- Ausgabe SperrnachrichtIssue lock message
- 397397
- SperrenLock
- 398398
- Aufheben SperrungLift up blocking
Claims (17)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE202010016871U DE202010016871U1 (en) | 2010-12-21 | 2010-12-21 | Device for detecting unwanted access |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE202010016871U DE202010016871U1 (en) | 2010-12-21 | 2010-12-21 | Device for detecting unwanted access |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202010016871U1 true DE202010016871U1 (en) | 2011-03-03 |
Family
ID=43706055
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202010016871U Expired - Lifetime DE202010016871U1 (en) | 2010-12-21 | 2010-12-21 | Device for detecting unwanted access |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE202010016871U1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220417266A1 (en) * | 2021-06-24 | 2022-12-29 | Citrix Systems, Inc. | Systems and methods for autonomous program detection |
-
2010
- 2010-12-21 DE DE202010016871U patent/DE202010016871U1/en not_active Expired - Lifetime
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220417266A1 (en) * | 2021-06-24 | 2022-12-29 | Citrix Systems, Inc. | Systems and methods for autonomous program detection |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE102005010923B4 (en) | System, computer-usable medium and method for monitoring network activity | |
DE69929268T2 (en) | Method and system for monitoring and controlling network access | |
DE60016613T2 (en) | DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE | |
DE69728182T2 (en) | METHOD AND DEVICE FOR REMOVING NETWORK ACCESS ENTRY AND NETWORK ACCESS REPORT | |
DE60126798T2 (en) | METHOD FOR BROWSING AND ANALYZING INFORMATION IN DATA NETWORKS | |
DE60308700T2 (en) | DYNAMIC REMOTE CONFIGURATION OF A WEBSERVER FOR PROVIDING CAPACITY ON REQUEST | |
DE69934871T2 (en) | Method and system for optimally selecting a web firewall in a TCP / IP network | |
DE60316543T2 (en) | ADAPTIVE BEHAVIOR-RELATED IMPACT DETECTION | |
DE60114999T2 (en) | MONITORING AND INTERACTION WITH NETWORK SERVICES | |
DE69909839T2 (en) | Optimized localization of network resources | |
DE112010002445T9 (en) | Identification of bots | |
DE202021103602U1 (en) | Benchmark function for output nodes | |
DE102013208923B4 (en) | System for detecting the presence of a malicious domain name service provider by passive monitoring | |
DE202018006616U1 (en) | Accelerate the cyber analytics workflow | |
DE112010003099B4 (en) | DETECTION OF LOW-LEAVED NETWORK UNITS | |
EP1178409A1 (en) | Cookiemanager to control the exchange of cookies in an Internet client-server computersystem | |
DE60114763T2 (en) | Method and apparatus for filtering access, and computer product | |
DE202016009026U1 (en) | Rules-based network threat detection | |
DE202008017947U1 (en) | Network server device for detecting unwanted access | |
DE102013201973A1 (en) | Distributed application anticipating server responses | |
DE202010016871U1 (en) | Device for detecting unwanted access | |
EP3824612A1 (en) | Penetration test method, computer program and device for data processing | |
EP3669501B1 (en) | Method for providing data packets from a can bus, control device and system having a can bus | |
EP1109370A2 (en) | Device and method for individual filtering of information sent over a network | |
DE102016107647B4 (en) | Method and storage medium for securing / monitoring a network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R207 | Utility model specification |
Effective date: 20110407 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021240000 Ipc: G06F0021550000 |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: G06F0021240000 Ipc: G06F0021550000 Effective date: 20130506 |
|
R150 | Utility model maintained after payment of first maintenance fee after three years | ||
R150 | Utility model maintained after payment of first maintenance fee after three years |
Effective date: 20140121 |
|
R082 | Change of representative |
Representative=s name: WACHENHAUSEN, MARC, DIPL.-ING., DE |
|
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R158 | Lapse of ip right after 8 years |