DE202010016871U1 - Device for detecting unwanted access - Google Patents

Device for detecting unwanted access Download PDF

Info

Publication number
DE202010016871U1
DE202010016871U1 DE202010016871U DE202010016871U DE202010016871U1 DE 202010016871 U1 DE202010016871 U1 DE 202010016871U1 DE 202010016871 U DE202010016871 U DE 202010016871U DE 202010016871 U DE202010016871 U DE 202010016871U DE 202010016871 U1 DE202010016871 U1 DE 202010016871U1
Authority
DE
Germany
Prior art keywords
access
accesses
address
information
origin
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202010016871U
Other languages
German (de)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SEARCHTEQ GmbH
Original Assignee
SEARCHTEQ GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SEARCHTEQ GmbH filed Critical SEARCHTEQ GmbH
Priority to DE202010016871U priority Critical patent/DE202010016871U1/en
Publication of DE202010016871U1 publication Critical patent/DE202010016871U1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

Vorrichtung (120) zum Erkennen eines unerwünschten Zugriffs auf Informationen, wobei die Vorrichtung umfasst:
eine Überwachungseinrichtung (125) zur Überwachung des Zugriffs auf Informationen;
eine Bereitstellungseinrichtung (126) zum Bereitstellen der Informationen, wobei die Bereitstellungseinrichtung eingerichtet ist, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung (100) zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist; und
eine Sicherheitseinrichtung (130) zum Erkennen von unerwünschten Zugriffen, wobei die Sicherheitseinrichtung eingerichtet ist, das Erkennen von unerwünschten Zugriffen zu einem bestimmten Zeitpunkt zu beginnen, der nach dem Bearbeiten der Abfrage von Informationen und nach einem Bereitstellen der Informationen an den Zugriffsursprung (100) durch die Bereitstellungseinrichtung (126) liegt,
wobei die Sicherheitseinrichtung (130) umfasst:
eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs (100);
eine Ermittlungseinrichtung...
Apparatus (120) for detecting unwanted access to information, the apparatus comprising:
a monitor (125) for monitoring access to information;
provisioning means (126) for providing the information, wherein the provisioning means is arranged to process an inquiry of information by access from an access origin (100) and to provide the access originated information, the provisioning means being arranged in an area protected by the monitoring means is; and
a security device (130) for detecting unwanted accesses, wherein the security device is arranged to start detecting unwanted accesses at a particular point in time after processing the retrieval of information and after providing the information to the access origin (100) the provisioning device (126) lies,
wherein the security device (130) comprises:
a determining means for determining the access origin (100);
a detention facility ...

Figure 00000001
Figure 00000001

Description

Die Erfindung betrifft eine Vorrichtung zum Erkennen eines unerwünschten Zugriffs auf Netzwerkeinrichtungen.The invention relates to a device for detecting unwanted access to network devices.

Der Datentransfer über Computernetzwerke stellt ein wichtiges Mittel für die Kommunikation zwischen Nutzern dieser Computernetzwerke oder auch zum Führen und Abwickeln von Geschäften dar. Die Vernetzung wird leitungsgebunden oder mittels Funkverbindungen realisiert. Mittels eines Computernetzwerkes sind einzelne oder Gruppen von Computern miteinander verbunden. Das derzeit größte Computernetzwerk stellt das Internet dar. Die Kommunikation über das Internet erfolgt über ein gemeinsames Protokoll, einzelne Benutzer (Englisch: User) sind z. B. über die sogenannte Internetprotokolladresse bzw. IP-Adresse ihres Computers oder Computernetzwerkes oder auch über eine MAC Adresse oder eine Ethernet ID identifizierbar.The data transfer via computer networks is an important means of communication between users of these computer networks or also for managing and doing business. The networking is wired or realized by radio links. By means of a computer network, individual or groups of computers are interconnected. Currently the largest computer network is the Internet dar. Communication via the Internet via a common protocol, individual users (English: User) are z. B. identifiable via the so-called Internet Protocol address or IP address of your computer or computer network or via a MAC address or an Ethernet ID.

Mittels einer Benutzeroberfläche (Englisch: User Interface) auf dem Computer können die Benutzer beispielsweise Anfragen eingeben.For example, users can enter inquiries using a user interface on the computer.

Der Abruf von Daten im Internet wird mittels Zugriffen bzw. Anfragen oder Abfragen auf sogenannte Netzseiten (Englisch: Websites) vorgenommen, welche auf einem sogenannten Applikationsserver, insbesondere einem sogenannten Netzserver (Englisch: Webserver) abgelegt sind. Ein Applikationsserver kann statische Information, d. h. Information die bereits in Dateien vorliegt, und/oder dynamisch generierte, d. h. erst in Hinblick auf eine Anfrage hin erstellte Information, darstellen. Beispielsweise wird über eine Suchmaschine Information dynamisch generiert, indem Seiten des Netzes oder Information aus dem Netz auf den Rechner der Suchmaschine heruntergeladen werden und die durchsuchten Seiten für eine weitere Verarbeitung indiziert werden. Zum Ursprung der Anfrage werden Verweise auf diese Seiten gesendet. Eine Netzseite, die diese Verweise enthält, wird erst bei Abruf der Verweise generiert.The retrieval of data on the Internet is made by means of accesses or queries or queries on so-called web pages (English: Websites), which are stored on a so-called application server, in particular a so-called network server (English: Web server). An application server can provide static information, i. H. Information already present in files and / or dynamically generated, d. H. only with regard to a request made information represent. For example, information is generated dynamically via a search engine by downloading pages of the network or information from the network onto the computer of the search engine and indexing the pages being searched for further processing. References to these pages are sent at the origin of the request. A netpage that contains these references is only generated when the referrals are retrieved.

Die Darstellung von statischen oder dynamisch erstellten Websites erfolgt mittels sogenannter „Webbrowser”, welche als „Kunde” (Englisch: client) zu den Webservern angesehen werden. Die englischen Begriffe sind im deutschen Fachjargon aufgenommen und werden daher im Folgenden verwendet.The presentation of static or dynamically created websites takes place by means of so-called "web browsers", which are regarded as "clients" to the web servers. The English terms are included in the German jargon and are therefore used below.

Oftmals erfolgen die Zugriffe zum Abfragen von Daten automatisiert, um ein Handeln durch den Internetbenutzer zu umgehen, sodass dieser beispielsweise keine Seiten mit Werbung betrachten muss oder auch um Daten eines Webservers systematisch abzufragen und gegebenenfalls weiter zu verarbeiten. Durch diese systematischen Abfragen können Datenbestände einer Datenbank abgefragt werden und zumindest zum Teil kopiert werden. Je nachdem welche Daten abgefragt werden, besteht das Problem, dass Daten in Verbindung zu anderen Informationen gesetzt werden und so letztlich sensible Informationen nicht autorisierten Stellen zugänglich sind.Often, the requests to retrieve data are automated to circumvent an action by the Internet user, so that, for example, he does not have to look at pages with advertising or to systematically query and, if necessary, further process data from a web server. Through these systematic queries, databases of a database can be queried and at least partially copied. Depending on what data is queried, there is the problem that data is placed in connection with other information and so ultimately sensitive information is unauthorized access points.

Es ist daher Aufgabe der Erfindung, eine Möglichkeit zu schaffen unerwünschte, insbesondere automatisierte Zugriffe, insbesondere auf einen Server, effektiv und kostengünstig zu erkennen und zu sperren.It is therefore an object of the invention to provide a way to effectively and inexpensively detect and block unwanted, especially automated access, in particular to a server.

Diese Aufgabe wird durch Vorrichtungen gemäß den unabhängigen Ansprüchen gelöst. Vorteilhafte Weiterbildungen sind Gegenstand der abhängigen Ansprüche.This object is solved by devices according to the independent claims. Advantageous developments are the subject of the dependent claims.

Die erfindungsgemäße Vorrichtung weist eine Überwachungseinrichtung, eine Bereitstellungseinrichtung sowie eine Sicherheitseinrichtung zum Erkennen von Zugriffen auf. Die Überwachungseinrichtung überwacht Zugriffe auf Informationen, die durch die Bereitstellungseinrichtung bereitgestellt werden. Dabei ist die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet. Die Bereitstellungseinrichtung ist eingerichtet, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen. Die Sicherheitseinrichtung beginnt das Erkennen von unerwünschten Zugriffen zu einem bestimmten Zeitpunkt, der nach dem Bearbeiten der Abfrage von Informationen und nach einem Bereitstellen der Informationen an den Zugriffsursprung durch die Bereitstellungseinrichtung liegt. Die Sicherheitseinrichtung weist weiterhin eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs auf, eine Ermittlungseinrichtung zum Ermitteln der Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums, eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einem Schwellwert sowie eine Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als die Schwelle ist. Ferner weist die Vorrichtung eine Sperreinrichtung zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs beim Vorliegen einer Sperrnachricht auf.The device according to the invention has a monitoring device, a provision device and a safety device for detecting accesses. The monitoring device monitors accesses to information provided by the providing device. In this case, the provision device is arranged in a protected area by the monitoring device. The providing device is set up to process a query of information by access from an access origin and to provide the access origin with the requested information. The security device begins detecting unwanted access at a particular time that is after processing the retrieval of information and after providing the information to the access origin by the providing device. The security device furthermore has a determination device for determining the access origin, a determination device for determining the number of accesses from the determined access origin within a predetermined period of time, a comparison device for comparing the determined number of accesses with a threshold value, and an output device for outputting a blocking message, if the detected number of accesses is greater than the threshold. Furthermore, the device has a blocking device for processing the blocking message and blocking further access access accesses in the event of a blocking message.

Die Sperreinrichtung kann mit der Überwachungseinrichtung gekoppelt sein, um die Überwachungseinrichtung zum Sperren von weiteren Zugriffen des Zugriffsursprungs zu konfigurieren. Dies ist besonders vorteilhaft, da Sperreinrichtung und Überwachungseinrichtung unabhängig voneinander konfiguriert werden können und die Sperreinrichtung ein dynamisches Sperren von Zugriffen ermöglicht. The blocking device may be coupled to the monitoring device to configure the monitoring device to block further access origin accesses. This is particularly advantageous since the locking device and the monitoring device can be configured independently of each other and the locking device enables dynamic blocking of accesses.

Gemäß einer vorteilhaften Weiterbildung weist die Vorrichtung ferner eine Bewertungseinrichtung zum Bewerten der Auslastung der Sicherheitseinrichtung auf. Die Sicherheitseinrichtung ist dazu eingerichtet, den bestimmten Zeitpunkt für das Beginnen des Erkennens von unerwünschten Zugriffen in Abhängigkeit des Bewertens der Auslastung zu wählen.According to an advantageous development, the device further comprises an evaluation device for evaluating the utilization of the safety device. The security device is set up to select the specific point in time for starting the detection of undesired accesses depending on the evaluation of the utilization.

Die Sperrnachricht kann insbesondere durch ein Flag und/oder einen Eintrag in ein Protokollfile und/oder eine Textnachricht und/oder eine Nachricht an eine Einheit oder Softwarekomponente gebildet werden. Sie kann darüber hinaus ein Befehl oder eine Anweisung an eine andere Einrichtung oder ein anderes Softwaremodul sein, durch den oder die ein weiterer Zugriff vom Zugriffsursprung zwingend oder optional unterbunden wird. Dadurch können weitere Zugriffe in Abhängigkeit von festgelegten Kriterien unterbunden werden. Insbesondere kann so ein Schutz der Daten, die mittels des Zugriffs abgefragt werden sollten, gewährleistet werden.The blocking message can in particular be formed by a flag and / or an entry in a protocol file and / or a text message and / or a message to a unit or software component. It may moreover be a command or an instruction to another device or another software module by which further access from the access origin is forcibly or optionally suppressed. As a result, further accesses can be prevented depending on specified criteria. In particular, such a protection of the data that should be queried by means of access can be guaranteed.

Dieses Vorgehen hat den weiteren Vorteil, dass Anfragen, die mit einer bestimmten Häufigkeit erfolgen, erkannt werden können. Solche Zugriffe oder Anfragen deuten auf automatisierte Zugriffe hin.This procedure has the further advantage that inquiries that occur with a certain frequency can be detected. Such access or requests indicate automated access.

Gemäß einer vorteilhaften Weiterbildung ermittelt eine Ermittlungseinrichtung eine zweite Anzahl von Zugriffen innerhalb eines zweiten Zeitraumes. Dieser zweite Zeitraum ist vom ersten Zeitraum verschieden.According to an advantageous development, a determination device determines a second number of accesses within a second time period. This second period is different from the first period.

Die Verschiedenheit vom ersten und zweiten Zeitraum kann insbesondere in einem unterschiedlichen Startzeitpunkt des Zeitraumes, Endzeitpunkt des Zeitraumes und/oder Länge des Zeitraumes liegen.The difference between the first and second time periods may be in particular at a different start time of the time period, end time of the time period and / or length of the time period.

Eine Vergleichseinrichtung vergleicht die zweite Anzahl von Zugriffen mit einer zweiten Zugriffszahlschwelle. Eine Ausgabeeinrichtung gibt eine Sperrmitteilung aus, wenn die zweite festgestellte Anzahl von Zugriffen größer als die zweite Zugriffszahlschwelle ist.A comparator compares the second number of accesses with a second access number threshold. An output device issues a blocking message if the second detected number of accesses is greater than the second access number threshold.

Erste und/oder zweite Zugriffszahlschwelle können insbesondere in Abhängigkeit vorn Zeitraum festgelegt werden. Zusätzlich oder alternativ kam die Zugriffszahlschwelle in Abhängigkeit von einer Menge und/oder Typ von abgefragten Daten festgelegt werden. Beispielsweise können hinsichtlich des Typs die Daten in unterschiedliche Gruppen unterteilt werden, wobei für eine Gruppe mehr Abfragen zulässig sind als für eine andere. In Bezug auf die Menge kann beispielsweise ein Limit in Hinblick auf die erhaltenen Datensätze gesetzt werden.First and / or second access number thresholds can be established in particular as a function of the time period. Additionally or alternatively, the access count threshold was determined depending on a quantity and / or type of queried data. For example, in terms of type, the data may be divided into different groups, with more queries allowed for one group than for another. With regard to the quantity, for example, a limit can be set with regard to the data records obtained.

Dieses Vorgehen hat den Vorteil, dass automatische Anfragen mit unterschiedlichen Häufigkeiten erkannt werden können. So ist es beispielsweise für den Fall, dass der erste Zeitraum kürzer als der zweite Zeitraum gewählt wird und die Zugriffe innerhalb des zweiten Zeitraums so verteilt sind, dass die erste Zugriffszahlschwelle nicht überschritten wird aber dennoch über den längeren zweiten Zeitraum eine Vielzahl von Zugriffen erfolgt, so ist es möglich auch diesen Zugriff zu erkennen. Somit können Zugriffe mit unterschiedlichen zeitlichen Granularitäten erkannt werden. Insbesondere können Zugriffe mit einer sehr hohen Zugriffsfrequenz in einem kurzen Zeitraum, welche oft auch als Datensauger mit hoher Zugriffsfrequenz bezeichnet werden, oder Zugriffe, die sich über einen langen Zeitraum erstrecken und so eine hohe Zugriffszahl erreichen, die oft als Datensauger über einen langen Zeitraum bezeichnet werden, erkannt werden. Diese Zugriffe können dann beispielsweise gesperrt werden.This approach has the advantage that automatic requests with different frequencies can be detected. For example, if the first period is shorter than the second period, and the accesses within the second period are distributed such that the first access count threshold is not exceeded, yet a large number of accesses occur over the longer second period, it is also possible to recognize this access. Thus, accesses with different temporal granularities can be detected. In particular, accesses having a very high access frequency in a short period of time, which are often referred to as data accessors with high access frequency, or accesses that extend over a long period of time and thus reach a high number of access, often referred to as data suckers over a long period will be recognized. These accesses can then be blocked, for example.

Gemäß einer weiteren Weiterbildung wird der Zugriffsursprung anhand zumindest eines Teils einer Adresse erkannt bzw. festgestellt. Bei der Adresse kann es sich insbesondere um eine Netzwerkadresse, beispielsweise eine IP-Adresse, und/oder eine MAC-Adresse handeln. Zur Identifikation der Herkunft dient oft bereits ein Teil einer Netzwerkadresse, da damit auch ein bestimmtes Unter-Netzwerk, im Falle einer IP-Adresse beispielsweise des Internets, gekennzeichnet wird.According to a further refinement, the access origin is recognized or established on the basis of at least part of an address. The address may in particular be a network address, for example an IP address, and / or a MAC address. Part of a network address is often already used to identify the origin, since it also identifies a specific subnetwork, in the case of an IP address, for example, the Internet.

Gemäß einer Weiterbildung der Sicherheitseinrichtung wird weiterhin durch eine Ermittlungseinrichtung die Anzahl von Zugriffen in einem Kontrollzeitraum ermittelt und diese Anzahl durch eine Vergleichseinrichtung mit einer Kontrollschwelle verglichen. Liegt die weiter festgestellte Anzahl über dieser Kontrollschwelle, so wird zumindest ein Teil der festgestellten Adresse des Zugriffsursprungs durch eine Speichereinrichtung gespeichert und durch eine Vergleichseinrichtung mit zumindest einem Eintrag in einer Liste verglichen. Der zumindest eine Eintrag in der Liste wird durch zumindest einen Teil einer Adresse gebildet.According to a development of the safety device, the number of accesses in a control period is furthermore determined by a determination device and this number is compared by a comparison device with a control threshold. If the further determined number lies above this control threshold, then at least a part of the determined address of the access origin is determined by a memory device stored and compared by a comparison device with at least one entry in a list. The at least one entry in the list is formed by at least part of an address.

Beispielsweise wird im Falle einer IP-Adresse xxx.yy.zzz.* der Teil xxx.yy.zzz mit entsprechenden IP-Adresseinträgen in der Liste verglichen.For example, in the case of an IP address xxx.yy.zzz. *, The part xxx.yy.zzz is compared with corresponding IP address entries in the list.

Mittels einer Ausgabeeinrichtung wird zumindest ein Teil der festgestellten Adresse ausgegeben, wenn die festgestellte Adresse nicht in der Liste enthalten ist. Die Ausgabe kann insbesondere mittels einer Sperrnachricht erfolgen. Weiterhin kann eine Ausgabe auch in eine Protokolldatei wie in ein sogenanntes Logfile erfolgen. Alternativ oder zusätzlich kann eine Ausgabe als elektronische Nachricht, insbesondere E-Mail, an einen bestimmten Empfänger erfolgen. Dieses Vorgehen hat insbesondere den Vorteil, dass schnell erfasst werden kann, ob von dem Zugriffsursprung her bereits in der Vergangenheit häufig Zugriffe erfolgten. Damit können dann beispielsweise Aktionen wie etwa das Sperren von weiteren Zugriffen schnell und zielgerichtet erfolgen.By means of an output device, at least part of the determined address is output if the determined address is not included in the list. The output can be made in particular by means of a blocking message. Furthermore, an output can also be made in a log file as in a so-called log file. Alternatively or additionally, an output can be made as an electronic message, in particular e-mail, to a specific recipient. This procedure has the particular advantage that it can be detected quickly whether frequent accesses have already taken place from the access origin in the past. Thus, for example, actions such as the blocking of further accesses can be made quickly and purposefully.

Gemäß einer Weiterbildung wird der Kontrollzeitraum länger als der erste und zweite Zeitraum gewählt. Dies ermöglicht die Identifikation automatischer Zugriffe auch für relativ geringe Häufigkeiten, die sich jedoch über einen langen Zeitraum erstrecken und so eine hohe Anzahl von Zugriffen realisieren.According to a further development, the control period is chosen to be longer than the first and second periods. This allows the identification of automatic access even for relatively low frequencies, but extend over a long period of time and so realize a high number of accesses.

Dieses Vorgehen hat den Vorteil, dass beispielsweise ein langer Kontrollzeitraum in der Größenordnung von einem Tag oder Tagen im Vergleich zu kurzen ersten und zweiten Zeiträumen im Bereich von Sekunden oder Stunden gewählt wird. Im Fall von häufigen Zugriffen in dem Kontrollzeitraum kann dann ein Vergleich mit Adressen erfolgen, von denen in zurückliegenden Zeiträumen aus häufig Zugriffe erfolgten. Damit kann für den Fall, dass die Adresse oder ein Teil davon in der Liste enthalten ist, auf frühere Entscheidungen bezüglich des zur festgestellten Adresse gehörigen Zugriffsursprungs zurückgegriffen werden. Dies ermöglicht eine schnelle Entscheidung und vermeidet unnötige Doppelarbeit.This approach has the advantage that, for example, a long control period of the order of one day or days compared to short first and second periods in the range of seconds or hours is chosen. In the case of frequent accesses in the control period, then a comparison can be made with addresses that were accessed frequently in previous periods. Thus, in the event that the address or part thereof is included in the list, previous decisions regarding the access origin associated with the determined address can be resorted to. This allows a quick decision and avoids unnecessary duplication.

Gemäß einer Weiterbildung erfolgt ein Sperren weiterer Zugriffe mittels der Sperreinrichtung, wenn eine Ausgabe des zumindest einen Teils der festgestellten Adresse erfolgt. Dies hat den Vorteil, dass Zugriffe von Zugriffsursprüngen, die noch nicht in der Liste enthalten sind, unterbunden werden können.According to a development, further accesses are blocked by means of the blocking device if an output of the at least one part of the determined address takes place. This has the advantage that access from access origins that are not yet included in the list can be prevented.

Gemäß einer Weiterbildung wird zumindest ein Teil einer festgestellten Adresse in die Liste aufgenommen wenn die vorbestimmte Kontrollschwelle im Kontrollzeitraum überschritten wird. Dies erlaubt eine effektive Überwachung von Zugriffsursprüngen mit hoher Zugriffsfrequenz.According to a development, at least part of a determined address is included in the list when the predetermined control threshold is exceeded in the control period. This allows effective monitoring of access origins with high access frequency.

Gemäß einer Weiterbildung wird der zumindest ein Teil der Adresse mittels einer Vergleichseinrichtung mit einer Ausnahmenliste verglichen. Ein Sperren von weiteren Zugriffen von dem zur Adresse gehörigen Zugriffsursprung erfolgt mittels einer Sperrnachricht, wenn nicht der zumindest eine Teil der Adresse in der Ausnahmeliste enthalten ist. Dieses Vorgehen hat insbesondere den Vorteil, dass Zugriffe bestimmter Herkunft, insbesondere interne Zugriffe oder von Überwachungswerkzeugen erlaubt werden können. Insbesondere kann das Vergleichen mit der Ausnahmeliste auch zumindest einer Überprüfung oder mehreren Überprüfungen der Zugriffszahlen vorgeschaltet sein.According to one development, the at least one part of the address is compared by means of a comparison device with an exception list. A blocking of further accesses from the access origin belonging to the address takes place by means of a blocking message, if the at least part of the address is not contained in the exception list. This approach has the particular advantage that accesses of specific origin, in particular internal access or monitoring tools can be allowed. In particular, the comparison with the exception list can also be preceded by at least one check or several checks of the access numbers.

Gemäß einer anderen Weiterbildung wird durch eine Analyseeinrichtung der Zugriff in Bezug auf eine Kennung untersucht und durch eine Ausgabeeinrichtung eine Sperrmitteilung ausgegeben, wenn der Zugriff zumindest eine festgelegte Kennung aufweist. Bei der Kennung kann es sich insbesondere um eine Zeichenfolge (Englisch: String) oder ein Format handeln, durch das der Zugriff charakterisiert ist. Beispielsweise kann die Kennung durch eine Zeichenfolge gebildet werden, die in der Anfrage enthalten ist. Insbesondere kann es sich hierbei um die Zeichenfolge „http/1.0” handeln.According to another development, the access with regard to an identifier is examined by an analysis device and a blocking message is issued by an output device if the access has at least one specified identifier. In particular, the identifier can be a string or a format that characterizes the access. For example, the identifier may be formed by a string included in the request. In particular, this may be the string "http / 1.0".

Dieses Vorgehen hat den Vorteil, dass automatisierte Anfragen die, da sie in einer bestimmten Programmiersprache vorgenommen sind, auch durch gewisse Formen oder Formatierungen oder Zeichenfolgen erkennbar sind und als automatische Anfragen wahrgenommen werden können.This approach has the advantage that automated requests, which are made in a particular programming language, can also be recognized by certain forms or formatting or strings, and can be perceived as automatic requests.

Vorzugsweise wird durch eine Speichereinrichtung zumindest ein Kriterium das zur Ausgabe einer Sperrmitteilung führt, gespeichert. Dieses Kriterium kann durch die Anzahl von Zugriffen und/oder Format und/oder Zeitraum und/oder Kontrollzeitraum und/oder einer Aktionsbeschreibung „Sperren” oder „Ausgabe” gebildet werden.Preferably, at least one criterion which leads to the output of a blocking message is stored by a memory device. This criterion can be formed by the number of accesses and / or format and / or time period and / or control period and / or an action description "lock" or "issue".

Dies hat den Vorteil, dass auf diese gespeicherten Daten im Bedarfsfall rückgegriffen werden kann.This has the advantage that this stored data can be accessed if necessary.

Insbesondere erfolgt das Sperren von Zugriffen durch die Sperreinrichtung für eine festgelegte Auszeit. Diese kann insbesondere in Abhängigkeit von zumindest einem Kriterium, das zum Sperren oder zur Ausgabe der Sperrnachricht führt, festgelegt werden. Dies hat den Vorteil, dass beispielsweise an die Häufigkeit angepasste Auszeiten verhängt werden. In particular, the blocking of accesses by the locking device for a fixed timeout. This can in particular be determined as a function of at least one criterion which leads to the blocking or to the output of the blocking message. This has the advantage that, for example, be adapted to the frequency-adjusted time-outs.

Gemäß einer weiteren Weiterbildung erstellt eine Nachrichteneinrichtung eine Nachricht, die zumindest eines der abgespeicherten Kriterien, die zur Sperrung oder zur Ausgabe der Sperrmitteilung führen, enthält. Diese Nachricht kann insbesondere mittels einer Anzeigeeinrichtung angezeigt oder mittels einer Sendeeinrichtung als E-Mail an eine vorgegebene Adresse gesandt werden.According to a further development, a message device creates a message that contains at least one of the stored criteria that lead to blocking or output of the blocking message. This message can be displayed in particular by means of a display device or sent by means of a transmitting device as an e-mail to a predetermined address.

Vorzugsweise enthält die Nachricht die Adresse des Zugriffsursprungs und/oder die Kriterien des Sperrens oder der Ausgabe und/oder einen Zeitpunkt der Sperrung oder der Ausgabe und/oder einen Entsperrzeitpunkt und/oder eine Auszeit. Damit kann die Nachricht zum weiteren Bearbeiten des Zugriffes von dieser Adresse aus verwendet werden.The message preferably contains the address of the access origin and / or the criteria of blocking or of the output and / or a time of blocking or of the output and / or an unlocking time and / or a timeout. This allows the message to be used to further edit access from this address.

Insbesondere kann durch eine Rücksetzungseinrichtung ein manuelles Zurücksetzen der Sperre oder eine automatische Zurücksetzung der Sperre nach Ablauf der Auszeit oder zu einem Entsperrzeitpunkt erfolgen.In particular, by a reset means, a manual reset of the lock or an automatic reset of the lock after the expiry of the time-out or at a Entsperrzeitpunkt done.

Der Zugriff kann insbesondere mittels eines Webbrowsers erfolgen, wobei das Internet das Zugriffsnetzwerk bildet. Dies ermöglicht den Zugriff von Daten im Internet.The access can in particular be done by means of a web browser, wherein the Internet forms the access network. This allows access to data on the Internet.

Gemäß einer weiteren vorteilhaften Ausführungsform, die mit allen bisherigen Ausführungsformen kombiniert werden kann, arbeiten die Ermittlungseinrichtungen und/oder die Sperreinrichtung auf zumindest zwei unterschiedlichen Netzwerkebenen bzw. Schichten. So kann z. B. ein Ermitteln der Anzahl der Zugriffe in der Netzzugangsschicht und ein anderes Ermitteln der Anzahl der Zugriffe in der Internet-, Transport- oder Anwendungsschicht durchgeführt werden. Alternativ können sie in zwei verschiedenen Schichten parallel ausgeführt werden. So gewinnt man z. B. während des ersten Zeitraums Informationen über Zugriffe von einem Zugriffsursprung in zwei verschiedenen Schichten, so dass man z. B. über die Anwendungsschicht die IP-Adresse und über die Internetschicht die MAC-Adresse des Zugriffsursprungs bestimmen kann. Dies ermöglicht das Gewinnen von zusätzlichen Informationen über den Zugriffsursprung und somit eine sicherere Erkennung des Zugriffs.According to a further advantageous embodiment, which can be combined with all previous embodiments, the detection devices and / or the blocking device operate on at least two different network levels or layers. So z. B. determining the number of accesses in the network access layer and another determination of the number of accesses in the Internet, transport or application layer are performed. Alternatively, they can be performed in parallel in two different layers. To win z. B. during the first period information about accesses from an access origin in two different layers, so that z. For example, the IP address can be determined via the application layer and the MAC address of the access origin via the Internet layer. This makes it possible to obtain additional information about the access origin and thus a more secure recognition of the access.

Gemäß einer weiteren vorteilhaften Ausgestaltung werden Zugriffe einem Muster zugeordnet, das die Art des Zugriffs kennzeichnet. Falls ein gleiches Muster bei einem gleichen Datenursprung vorliegt, wird eine Sperrnachricht ausgegeben.According to a further advantageous embodiment, accesses are assigned to a pattern which characterizes the type of access. If a same pattern exists for a same data origin, a lock message is issued.

Gemäß einer weiteren Ausführungsform umfasst eine Vorrichtung zum Erkennen eines unerwünschten Zugriffs auf Informationen eine Überwachungseinrichtung zur Überwachung des Zugriffs auf Informationen, eine Bereitstellungseinrichtung zum Bereitstellen der Informationen, eine Protokolleinrichtung zum Protokollieren des Zugriffs des Zugriffsursprungs und eine Sicherheitseinrichtung zum Erkennen von unerwünschten Zugriffen. Dabei ist die Bereitstellungseinrichtung eingerichtet, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist. Ferner ist die Protokolleinrichtung eingerichtet, einen Eintrag für jeden Zugriff zusammen mit einem Zeitstempel, der die Eingangszeit des Zugriffs bei der Bereitstellungseinrichtung angibt, in einen Protokollspeicher zu schreiben. Die Sicherheitseinrichtung ist eingerichtet, die Einträge im Protokollspeicher zum Erkennen der unerwünschten Zugriffe zu lesen.According to a further embodiment, an apparatus for detecting unwanted access to information comprises a monitoring device for monitoring access to information, a provision device for providing the information, a protocol device for logging the access of the access origin and a security device for detecting unwanted access. In this case, the provision device is set up to process a query of information by access from an access origin and to provide the access origin with the requested information, wherein the provision device is arranged in an area protected by the monitoring device. Furthermore, the protocol device is set up to write an entry for each access together with a time stamp indicating the arrival time of the access at the providing device to a log memory. The security device is set up to read the entries in the log memory in order to detect the unwanted accesses.

In dieser Ausgestaltung umfasst die Sicherheitseinrichtung eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs, eine Ermittlungseinrichtung zum Ermitteln der Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums, eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einem Schwellwert sowie eine Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als der Schwellwert ist. Ferner weist die Vorrichtung eine Sperreinrichtung zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs beim Vorliegen einer Sperrnachricht auf.In this embodiment, the security device comprises a determination device for determining the access origin, a determination device for determining the number of accesses from the determined access origin within a predetermined period of time, a comparison device for comparing the determined number of accesses with a threshold value, and an output device for outputting a blocking message, if the determined number of accesses is greater than the threshold value. Furthermore, the device has a blocking device for processing the blocking message and blocking further access access accesses in the event of a blocking message.

Die Erfindung wird im Folgenden anhand von ausgewählten Beispielen erläutert, die teilweise in den Figuren dargestellt sind.The invention is explained below with reference to selected examples, which are partially illustrated in the figures.

Es zeigen: Show it:

1 einen schematischen Zugriff von einem Zugriffsursprung auf eine Suchmaschine; 1 a schematic access from an access origin to a search engine;

2 einen schematischen Überblick über das weitere Vorgehen, wenn besondere Kriterien vorliegen; 2 a schematic overview of the further procedure, if special criteria are available;

3 ein Ausführungsbeispiel für das Vorgehen, wenn Sperr- oder Ausgabekriterien vorliegen; 3 an embodiment of the procedure when blocking or output criteria are present;

4 eine schematische Ausgestaltung einer Netz-Servervorrichtung; und 4 a schematic embodiment of a network server device; and

5a, 5b und 5c jeweils eine schematische Ausgestaltung einer Vorrichtung gemäß einer Ausführungsform der Erfindung. 5a . 5b and 5c each a schematic embodiment of a device according to an embodiment of the invention.

In 1 ist ein Zugriff von einem Zugriffsursprung 100 über ein Zugriffsnetzwerk 110 auf eine Vorrichtung 120, beispielsweise eine Netz-Servervorrichtung, dargestellt. Bei dem Zugriffsursprung 100 handelt es sich bevorzugt um einen vernetzten Computer, der über seine Internetprotokolladresse bzw. IP-Adresse ADR charakterisiert ist. Alternativ oder zusätzlich ist eine Charakterisierung über weitere Identifikationszeichen, wie etwa einer MAC Adresse oder einer Netzwerk ID, wie etwa einer Ethernet ID vorgesehen. Der Zugriffsursprung ist dabei nicht auf einen Ort oder einen lokalen Bereich beschränkt, sondern er kann auch virtuelle Adressen oder Adressbereiche umfassen, von denen aus entsprechende Abfragen an eine Netz-Servervorrichtung 120 geschickt werden.In 1 is an access from an access origin 100 via an access network 110 on a device 120 , for example, a network server device. At the access origin 100 it is preferably a networked computer, which is characterized by its Internet Protocol address or IP address ADR. Alternatively or additionally, characterization is provided via further identification characters, such as a MAC address or a network ID, such as an Ethernet ID. The access origin is not limited to a location or a local area, but may also include virtual addresses or address ranges, from which corresponding queries to a network server device 120 sent.

Der Zugriff erfolgt bevorzugt mittels eines so genannten Webbrowsers über das Internet als Zugriffsnetzwerk 110. Alternativ oder zusätzlich sind Zugriffe über andere Programme und/oder andere Zugriffsnetzwerke vorgesehen. Die Ausgestaltung richtet sich z. B. nach der Art der Information, die mittels des Zugriffs abgefragt werden soll und/oder der Vernetzung.Access is preferably by means of a so-called web browser via the Internet as an access network 110 , Alternatively or additionally, accesses via other programs and / or other access networks are provided. The embodiment is directed z. B. on the type of information to be queried by means of access and / or networking.

Ein Browser ermöglicht generell die Ansicht von Informationen. Diese Informationen werden aufgrund des Zugriffs von der Netz-Servervorrichtung 120 zur Verfügung gestellt. Ein Webbrowser stellt im Internet verfügbare Informationen dar. Die Information kann statisch oder dynamisch erstellt sein. Alternativ können andere Programme oder sogenannte „clients” verwendet werden, die je nachdem auf welcher Anwendungsschicht mit der Netz-Servervorrichtung 120 kommuniziert wird, entsprechende Anfragen an die Netz-Servervorrichtung absendet.A browser generally allows the viewing of information. This information is due to access from the network server device 120 made available. A web browser displays information available on the Internet. The information can be static or dynamic. Alternatively, other programs or so-called "clients" may be used, depending on which application layer with the network server device 120 is communicated, sends corresponding requests to the network server device.

Um nun bestimmte Arten von Zugriffen zu verhindern oder zumindest darüber informiert zu sein, wird, wie in 2 dargestellt, zumindest ein Kriterium 200 festgelegt, in Abhängigkeit von dem der Schritt Fortfahren 230 und/oder Sperren 220 und/oder Ausgabe 210 erfolgt. In Anschluss an das Sperren kann eine Ausgabe 240 erfolgen.In order to prevent or at least be informed about certain types of access, as in 2 represented, at least one criterion 200 depending on which the step continues 230 and / or locks 220 and / or issue 210 he follows. Following the lock may be an issue 240 respectively.

Insbesondere existieren mehrere Prüfschleifen bzw. „loops”, die zu der Ausgabe einer Sperrnachricht und/oder einer nachfolgenden Sperrung führen können.In particular, there are several loopbacks or "loops" that can lead to the output of a blocking message and / or a subsequent blocking.

Bei einer solchen Sperrmitteilung handelt es sich um Information aufgrund derer eine Sperrung vorgenommen wird, wenn die Information der für die Sperrung zuständigen Instanz zugänglich gemacht wird. Es kann sich also insbesondere um ein sogenanntes „Flag” handeln, das im Rahmen eines Programms gesetzt wird und z. B. bei einer Abarbeitung eben zu einer Sperrung führt. Alternativ oder zusätzlich kann es sich um einen Befehl handeln, der an eine Einheit oder Softwarekomponenten gesendet wird und/oder eine Textmitteilung, die z. B. an einen oder mehrere Computer oder Computernetzwerke oder auch weitere leitungsgebunden oder über Funkverbindung vernetzte Terminals gesendet wird, und/oder einen Eintrag in eine Protokoll- bzw. Log-Datei oder Konfigurationsdatei. Die Art der Sperrmitteilung kann also insbesondere von der Ausgestaltung des Netzwerkes und dem Informationsbedarf anderer Punkte im Netzwerk sowie der erforderlichen Schnelligkeit einer Reaktion auf einen Zugriff abhängen.Such an inhibit message is information that blocks it when the information is made available to the authority responsible for the revocation. It may therefore be in particular a so-called "flag", which is set in the context of a program and z. B. just leads to a blocking in a processing. Alternatively or additionally, it may be a command that is sent to a unit or software components and / or a text message that z. B. to one or more computers or computer networks or even more wired or wirelessly networked terminals is sent, and / or an entry in a log or log file or configuration file. The nature of the blocking message can thus depend in particular on the configuration of the network and the information requirements of other points in the network as well as the required speed of a response to an access.

Für eine Prüfschleife, die sich auf die Zugriffsanzahl bezieht, wird die Anzahl von Zugriffen festgestellt und für jeden Zugriff erfolgt ein Eintrag in einem Protokollfile bzw. „Log-Eintrag”. Überschreitet die Anzahl der Einträge einen für die Prüfschleife festgelegten Sperrparameter, so werden Zugriffe von diesem Zugriffsursprung für eine von der Prüfschleife abhängige Sperrzeit gesperrt. Erfolgt eine Sperrung, so erfolgt eine entsprechende Mitteilung an den Benutzer bzw. den Zugriffsursprung.For a loopback that relates to the number of accesses, the number of accesses is determined and for each access, an entry is made in a log file or "log entry". If the number of entries exceeds a blocking parameter specified for the loopback, accesses from this access origin are blocked for a blocking period dependent on the loopback. If a blockage occurs, a corresponding message is sent to the user or the access origin.

Dies ist für ein konkretes Beispiel in folgenden Tabellen für eine erste und eine zweite Prüfschleife dargestellt: Prüfschleife 1: Zugriffe in 20 s Logeinträge pro Zugriff Sperrparameter Sperrzeit 120 1 120 48 Stunden Prüfschleife 2: Zugriffe in 10 h Logeinträge pro Zugriff Sperrparameter Sperrzeit 3000 1 3000 48 Stunden This is shown for a concrete example in the following tables for a first and a second test loop: Test loop 1: Hits in 20 s Log entries per access lock parameter blocking time 120 1 120 48 hours Test loop 2: Hits in 10 hours Log entries per access lock parameter blocking time 3000 1 3000 48 hours

In 3 ist ein weiterer beispielhafter Ablauf zum Prüfen von und Vorgehen bei Anfragen schematisch dargestellt.In 3 For example, another exemplary flow for checking and handling requests is shown schematically.

Wie weiter unten detaillierter gezeigt wird, unterliegen Anfragen von einem Zugriffsursprung einer bestimmten Prüfung. Während diese Prüfung vor der eigentlichen Bearbeitung der Anfrage stattfinden kann, wird gemäß einer Ausführungsform der vorliegenden Erfindung die Anfrage beantwortet und unabhängig davon auch zum Prüfen an eine bestimmte Einrichtung weitergeleitet. Diese Einrichtung, beispielsweise eine Sicherheitseinrichtung, prüft jede eingehende Anfrage unabhängig von deren Bearbeitung.As will be shown in greater detail below, queries from an access origin are subject to a particular audit. While this check may take place prior to the actual processing of the request, according to one embodiment of the present invention, the request is answered and, independently, also forwarded to a particular device for testing. This device, for example a security device, checks each incoming request independently of its processing.

Im Falle einer Anfrage wird in einen ersten Prüfschritt 300 zunächst die Anzahl von Zugriffen Z1 in einem ersten Zeitraum ZR1 ermittelt. Liegt diese Anzahl über einer ersten Zugriffsschwelle ZTH1, so schließt sich nach Ermittlung der Adresse bzw. Herkunft des Zugriffs ein Vergleichsschritt 380 an, in dem überprüft wird, ob sich die Adresse oder ein Teil davon auf einer Ausnahmeliste WL befindet. Die erste Schwelle ZTH1 wird insbesondere in Abhängigkeit von dem ersten Zeitraum ZR1 festgelegt. Um den Zweck des Prüfschritts 300 zu erläutern, wird kurz der Gesamtzusammenhang dargestellt, der nachfolgend im Einzelnen erläutert wird. Dabei werden in dem gezeigten Beispiel die Zugriffe in der Anwendungsschicht auf der Ebene des HTTP-Protokolls ermittelt.In case of a request will be in a first test step 300 first determines the number of accesses Z1 in a first period ZR1. If this number lies above a first access threshold ZTH1, a comparison step closes once the address or origin of the access has been determined 380 in which it is checked whether the address or a part thereof is on an exception list WL. The first threshold ZTH1 is determined in particular as a function of the first time period ZR1. To the purpose of the test step 300 to explain briefly, the overall context is explained, which is explained in detail below. In this case, the accesses in the application layer are determined at the level of the HTTP protocol in the example shown.

Bei der Adresse. handelt es sich insbesondere um eine IP-(Internet Protokoll)Adresse oder um einen Teil dieser Adresse. Hat beispielsweise die IP-Adresse die Form xxx.yy.zzz*, so genügt es, zur Identifikation der Herkunft nur die ersten zwei oder drei Blöcke zu betrachten, über die zwar nicht der individuelle Rechner, jedoch die Domäne bekannt ist.At the address. this is in particular an IP (Internet Protocol) address or part of this address. If, for example, the IP address has the form xxx.yy.zzz *, then it is sufficient to consider only the first two or three blocks for identifying the origin, over which the individual computer, but the domain, is not known.

In der Ausnahmeliste WL befindet sich zumindest ein Teil von zumindest einer Adresse, denen erweiterte Zugriffsrechte gewährt werden, so dass eine Überschreitung bestimmter Schwellwerte von Zugriffsursprüngen, denen diese Adressen zugeordnet sind, nicht geahndet wird. Handelt es sich bei der ermittelten Adresse um eine Adresse oder Bestandteil der Adresse, die in dieser Ausnahmeliste ist, dann kann mit den Zugriffen fortgefahren werden. Gegebenenfalls wird eine Nachricht ausgegeben, die einerseits zu Dokumentationszwecken in so genannte „Logfiles”, in denen Ereignisse protokolliert werden, eingetragen wird, andererseits einer Benutzerinformation dienen kann.The exception list WL contains at least a part of at least one address, which is granted extended access rights, so that any exceeding of thresholds of access origins to which these addresses are assigned is not punished. If the determined address is an address or part of the address which is in this exception list, then the accesses can continue. If appropriate, a message is output that is entered on the one hand for documentation purposes in so-called "log files" in which events are logged, and on the other hand can serve as user information.

Der Prüfschritt 300 hat also den Vorteil, dass Anfragen mit einer bestimmten Häufigkeit erkannt werden können, so dass automatische Anfragen herausgefiltert werden können.The test step 300 has the advantage that queries can be detected with a certain frequency, so that automatic requests can be filtered out.

Automatische Anfragen weisen oft eine hohe Zugriffsfrequenz in einem beispielsweise kurzen Zeitraum auf.Automatic requests often have a high access frequency in, for example, a short period of time.

Wird im Prüfschritt 300 festgestellt, dass die ermittelte Anzahl von Zugriffen Z1 die erste Schwelle ZTH1 nicht überschreitet, so wird mit einem weiteren Prüfschritt 340 fortgefahren, falls nicht mit dem Vergleichsschritt 380.Will in the test step 300 has been determined that the determined number of accesses Z1 does not exceed the first threshold ZTH1, then another test step is performed 340 continued, if not with the comparison step 380 ,

Parallel dazu wird im weiteren Prüfschritt 310 verglichen, ob eine weitere ermittelte Anzahl von Zugriffen in einem weiteren Zeitraum ZR2 eine weitere Schwelle ZTH2 überschreitet. Der weitere Zeitraum ZR2 wird insbesondere länger als der erste Zeitraum ZR1 gewählt und auch die weitere Schwelle ZTH2 wird an diesen längeren Zeitraum angepasst. Der zweite Zeitraum startet insbesondere mit dem ersten Zeitraum.In parallel, in the further test step 310 compared whether a further determined number of accesses in a further period ZR2 exceeds a further threshold ZTH2. The further period ZR2 is selected in particular longer than the first time period ZR1, and the further threshold ZTH2 is also adapted to this longer time period. The second period starts in particular with the first period.

Alternativ kann dieser weitere Prüfschritt 310 im Anschluss an Prüfschritt 300 erfolgen. Somit kann beispielsweise, falls eine Überschreitung schon gemäß Prüfschritt 300 stattfindet, auf weitere Überprüfungen verzichtet werden. Alternatively, this further test step 310 following the test step 300 respectively. Thus, for example, if an excess already according to test step 300 takes place, to be waived further checks.

Weiterhin alternativ oder zusätzlich können Prüfschritt 300 und weiterer Prüfschritt 310 in unterschiedlichen Schichten erfolgen. Für den Fall, dass es sich bei dem Zugriffsnetzwerk 110 um das World Wide Web im Internet handelt, können die Prüfschritte 300 und 310 in den unterschiedlichen Schichten des TCP/IP-Referenzmodells erfolgen, z. B. in der Netzzugangsschicht, der Internetschicht, der Transportschicht oder der Anwendungsschicht. Dies hat den Vorteil, systematische Abfragen noch effektiver erkennen zu können.Furthermore, alternatively or additionally, test step 300 and further test step 310 done in different layers. In the event that it is the access network 110 can be the World Wide Web on the Internet, the testing steps 300 and 310 in the different layers of the TCP / IP reference model, e.g. In the network access layer, the Internet layer, the transport layer or the application layer. This has the advantage of being able to recognize systematic queries even more effectively.

Überschreitet die weitere Anzahl von Zugriffen Z2 die weitere Schwelle ZTH2, so folgt der Vergleichsschritt 380, falls nicht, mit dem Prüfschritt 340.If the further number of accesses Z2 exceeds the further threshold ZTH2, the comparison step follows 380 if not, with the test step 340 ,

Der Vorteil dieser weiteren Prüfung im Prüfschritt 310 liegt darin, dass so automatische Anfragen erkannt werden können, die mit unterschiedlichen Häufigkeiten erfolgen.The advantage of this further test in the test step 310 lies in the fact that so automatic inquiries can be recognized, which take place with different frequencies.

Zusätzlich können in zumindest einem weiteren Prüfschritt Zugriffszahlen in weiteren Zeiträumen in Bezug auf weitere Schwellen überprüft werden.In addition, in at least one further checking step, access numbers can be checked in further time periods with respect to further thresholds.

Weiterhin parallel dazu wird im Prüfschritt 330 das Format der Anfrage oder eines Teils davon festgestellt und mit zumindest einem vorgegebenen Format oder einem Teil davon verglichen.Furthermore, in parallel in the test step 330 the format of the request or a part thereof and compared with at least one predetermined format or part thereof.

Gemäß einer speziellen Ausführungsform der Erfindung können automatische Anfragen über ihre Form und/oder über das Protokoll, über das sie ausgeführt werden, und/oder die Protokollversion überprüft werden. Dabei kann ermittelt werden, ob eine sogenannte Skriptanfrage mit der Hypertext-Übertragungsprotokollversion 1.0 erfolgt und somit die Zeichenfolge http/1.0 aufweist.According to a specific embodiment of the invention, automatic inquiries about their form and / or about the protocol by which they are executed and / or the protocol version can be checked. It can be determined whether a so-called script request with the hypertext transfer protocol version 1.0 and thus has the string http / 1.0.

Unter einem Skript versteht man ein Programm, das in einer sogenannten Skriptsprache geschrieben ist. Dies ist eine Programmiersprache, die dahingehend vereinfacht ist, dass auf Elemente, wie etwa den Deklarationszwang von Variablen verzichtet wird, die erst bei größeren Software-Projekten von Vorteil sind. HTTP bezeichnet ein Hypertextübertragungsprotokoll zur Übertragung von Daten über ein Netzwerk. Es findet insbesondere Anwendung, um Daten, wie etwa Webseiten aus dem World Wide Web in einen Webbrowser zu laden. Die Versionsnummer 1.0 bezeichnet eine ältere Version, die von den gängigen Browsern meist nicht mehr verwendet wird und deshalb einen Hinweis auf skriptbasierte automatische Anfragen liefert.A script is a program written in a so-called scripting language. This is a programming language that is simplified in that it eliminates elements such as declaring constraints on variables that are beneficial only for larger software projects. HTTP refers to a hypertext transfer protocol for transferring data over a network. It finds particular application to load data such as web pages from the World Wide Web into a web browser. The version number 1.0 indicates an older version, which is usually no longer used by the popular browsers and therefore provides an indication of script-based automatic requests.

Die Prüfung bezieht sich also im Fall einer Http/1.0 Anfrage darauf, ob die Kennung „Http/1.0” im Anfragentext enthalten ist.In the case of a Http / 1.0 request, the check therefore refers to whether the identifier "Http / 1.0" is contained in the request text.

In diesem Zusammenhang sei erwähnt, dass eine Vielzahl von Informationen und Datenbanken über das Hypertext-Übertragungsprotokoll abgefragt werden können bzw. über das World Wide Web zugänglich gemacht worden sind. Damit ist die Abfrage über das Hypertext-Übertragungsprotokoll derzeit am weitesten verbreitet. Alternativ können solche Anfragen auch z. B. über Java-Serveletts oder Java Applikationen, z. B. über HTTP-Tunneling durchgeführt werden. Auch in einem solchen Fall kann der Zugriffsursprung ermittelt und, wenn nötig, protokolliert werden.In this context, it should be mentioned that a large number of information and databases can be queried via the hypertext transmission protocol or have been made accessible via the World Wide Web. Thus, the query on the hypertext transfer protocol is currently the most widespread. Alternatively, such requests can also z. B. via Java servlets or Java applications, eg. B. be performed via HTTP tunneling. Even in such a case, the access origin can be determined and, if necessary, logged.

Alternativ kann Prüfschritt 330 den anderen Prüfschritten vorgeschaltet sein. Damit können Anfragen, die diese Zeichenfolgen erhalten von vorneherein schnell und effektiv aussortiert werden.Alternatively, test step 330 be preceded by the other test steps. This allows requests that receive these strings to be sorted out from the outset quickly and effectively.

Liegt eine Übereinstimmung mit einem vorgegebenen Format oder einem Teil davon vor, so wird mit dem Vergleichsschritt 380 fortgefahren. Liegt keine Übereinstimmung vor, so schließt sich der Prüfschritt 340 an.If there is a match with a given format or part of it, then the comparison step 380 continued. If there is no match, the test step closes 340 at.

In 3 ist also eine parallele Bearbeitung der Prüfschritte 300, 310, 330 dargestellt.In 3 is therefore a parallel processing of the test steps 300 . 310 . 330 shown.

Alternativ kann eine zeitliche Staffelung der Prüfungsschritte 300, 310, 330 vorgenommen werden. Beispiele für eine zeitliche Staffelung wurden bereits genannt. Es sind jedoch auch andere zeitliche Abfolgen vorgesehen.Alternatively, a temporal staggering of the examination steps 300 . 310 . 330 be made. Examples of a time staggering have already been mentioned. However, other time sequences are also provided.

Zusätzlich können Zugriffszahlen in einem oder mehreren weiteren Zeiträumen ermittelt werden und mittels weiteren Schwellwertvergleichen ebenfalls als Kriterium herangezogen werden.In addition, access numbers can be determined in one or more further time periods and can also be used as a criterion by means of further threshold comparisons.

Im Prüfschritt 340 wird überprüft, ob eine weitere Anzahl von Zugriffen Z3 innerhalb eines Kontrollzeitraums ZR3 über einer Kontrollschwelle ZTH3 liegt. Ist dies nicht der Fall, so wird im Schritt 345 fortgefahren. Wird die Kontrollschwelle ZTH3 überschritten, so wird mit dem Vergleichsschritt 350 fortgefahren. In the test step 340 it is checked whether a further number of accesses Z3 within a control period ZR3 is above a control threshold ZTH3. If this is not the case, then in step 345 continued. If the control threshold ZTH3 is exceeded, then the comparison step 350 continued.

Der Kontrollzeitraum beginnt in dem in 3 dargestellten Beispiel nach den in Prüfschritten 300 und 310 genannten Zeiträumen. Alternativ zu einer zeitlichen Staffelung kann auch dieser Kontrollzeitraum gleichzeitig mit den anderen Zeiträumen beginnen.The control period begins in the 3 Example shown after the in test steps 300 and 310 mentioned periods. As an alternative to time staggering, this control period can also begin at the same time as the other periods.

Der Vorteil des Prüfschrittes 340 liegt darin, dass zum einen Anfragen mit weiteren unterschiedlichen zeitlichen Häufigkeiten erfasst werden und so als automatische Anfragen identifiziert werden können. Zum anderen wird in dem Vergleichsschritt 350 festgestellt, ob eine Herkunftsbezeichnung ADR, insbesondere eine IP-Adresse, bereits früher hochfrequent abgefragt hat. Dazu werden täglich die anfragenden IP-Adressbereiche auf die ersten zwei bzw. drei Blöcke geclustert, d. h. die Adressen werden in der Form xxx.yy.zzz abgespeichert und die Häufigkeit der Anfragen mit dem Wert der zwei Vortage verglichen. Dazu wird der Kontrollzeitraum ZR3 auf einen Tag gesetzt und die Internetadresse oder eben ein Teil dieser Internetadresse abgespeichert, wenn die zugehörige Kontrollschwelle ZTH3 durch die Anzahl von Zugriffen Z3 überschritten wird. Die abgespeicherten Internetadressen oder Teile davon werden in einer Liste abgespeichert. Ist nun der Vergleichsschritt 350 erfolgreich, d. h. zumindest ein Teil der Internetadresse ist in der Liste enthalten, so heißt dies, dass von diesem Zugriffsursprung her bereits in vergangenen Zeiträumen hochfrequent abgefragt wurde.The advantage of the test step 340 This is because, on the one hand, requests with further different temporal frequencies are recorded and thus can be identified as automatic requests. On the other hand, in the comparison step 350 determined whether a denomination of origin ADR, in particular an IP address, has already queried high-frequency. For this, the requesting IP address ranges are clustered daily to the first two or three blocks, ie the addresses are stored in the form xxx.yy.zzz and the frequency of the requests is compared with the value of the two previous days. For this purpose, the control period ZR3 is set to one day and the Internet address or just a part of this Internet address is stored if the associated control threshold ZTH3 is exceeded by the number of accesses Z3. The stored Internet addresses or parts thereof are stored in a list. Is now the comparison step 350 successful, ie at least part of the Internet address is included in the list, this means that high frequency has already been requested from this access origin in past periods.

Abfragen aus einem lokalen Netzwerk erfolgen oft über einen sogenannten Proxy-Server, der als Vermittler die Seitenanfragen entgegennimmt und dann unter seiner eigenen Adresse an die Netz-Servervorrichtung 120 weiterleitet. Damit weisen alle Anfragen aus diesem lokalen Netzwerk die gleiche Adresse auf, auch wenn sie von unterschiedlichen Rechnern oder Terminals in dem lokalen Netzwerk stammen.Queries from a local network often take place via a so-called proxy server, which receives the page requests as an intermediary and then at its own address to the network server device 120 forwards. Thus, all requests from this local network have the same address, even if they come from different computers or terminals in the local network.

Um unerwünschte Anfragen von erlaubten Anfragen zu unterscheiden, kann in einer weiteren, bevorzugten Ausführungsform der Erfindung neben der Adresse auch die Art der Abfrage bzw. des Zugriffs gespeichert werden. Unter Art der Abfrage wird bevorzugterweise z. B. eine spezifische Struktur oder ein spezifisches Muster der Abfrage verstanden. Gemäß dieser spezifischen Struktur oder diesem spezifischen Muster werden systematisch gleiche oder ähnliche Informationen abgefragt. Bei ständigen Wiederholungen derartiger Anfragen können z. B. systematisch Informationen gesamter Datenbanken abgefragt werden.In order to distinguish unwanted requests from permitted requests, in a further, preferred embodiment of the invention, in addition to the address, the type of request or access can also be stored. Under type of query is preferably z. B. understood a specific structure or a specific pattern of the query. According to this specific structure or pattern specific or similar information is systematically requested. With constant repetitions of such requests z. For example, systematically querying information from entire databases.

Als Beispiel seien Abfragen von Familiennamen auf Basis von bekannten Straßennamen und Hausnummern in einer Stadt genannt. Zweck dieser Abfragen ist eine vollständige Erfassung aller Bewohner in einem Teil der Stadt. Die verschiedenen Abfragen weisen dabei z. B. das spezifische Muster auf, dass systematisch die Hausnummern und die Straßennamen variiert werden.As an example, queries of surnames based on known street names and house numbers in a city are mentioned. The purpose of these queries is to record all residents in one part of the city. The various queries have z. For example, the specific pattern is that the house numbers and street names are systematically varied.

Auch Anfragen, die auf die Gewinnung eines vollständigen Datensatzes, also beispielsweise alle Daten, Personen oder gewerbliche Adressen in einer Stadt oder mehreren Städten, abzielen können einem Muster zugeordnet werden. Beispielsweise könnte sich das Muster aus mehreren Untermustern zusammensetzen, wie etwa Suche nach Parameter 1 Gärtnerei in Parameter 2 Stadt. Durch Variation der beiden Parameter, also etwa Parameter 1 bezüglich verschiedener Branchen und Parameter 2 hinsichtlich verschiedener Städte kann ein vollständiger Datensatz erhalten werden. Eine andere Möglichkeit, um einen vollständigen Datensatz hinsichtlich einer Stadt zu gewinnen wäre Parameter 2 fix zu lassen und etwa Parameter 1 dem Alphabet oder einer sonstigen Reihenfolge nach zu variieren. Existiert nun ein solches Muster und werden diese Informationen von der gleichen Adresse her abgefragt, so wird eine Sperrnachricht ausgegeben und weitere Zugriffe ggf. gesperrt.Also, requests that aim to obtain a complete record, such as, for example, all data, persons, or business addresses in a city or multiple cities, may be associated with a pattern. For example, the pattern could be composed of several sub-patterns, such as search for parameter 1 nursery in parameter 2 city. By varying the two parameters, such as parameter 1 with respect to different sectors and parameter 2 with respect to different cities, a complete data set can be obtained. Another way to get a complete record of a city would be to leave parameter 2 fixed and vary parameter 1 alphabetically or in some other order. If such a pattern exists and if this information is requested from the same address, a blocking message is output and further accesses may be blocked.

Liegt kein offensichtliches Muster bei gleicher Adresse vor, so erfolgt keine Ausgabe einer Sperrnachricht. Werden dagegen Zugriffe von einem oder mehreren Zugriffsursprüngen festgestellt, wobei die Zugriffsanzahl innerhalb eines Zeitraums über einem spezifischen Wert liegt und zumindest ein bestimmter Anteil der Zugriffe ein spezifisches Muster aufweist, so wird bevorzugterweise eine Sperrmitteilung für die Zugriffsursprünge ausgegeben, deren Zugriffe das spezifische Muster aufweisen.If there is no obvious pattern with the same address, no issue of a blocking message occurs. If, on the other hand, accesses by one or more access origins are detected, the number of accesses being above a specific value within a period of time and at least a certain proportion of the accesses having a specific pattern, it is preferable to output an accessorque barring message whose accesses have the specific pattern.

War der zumindest eine Teil der Internetadresse bisher nicht Bestandteil der Liste L, so erfolgt eine Aufnahme in diese Liste in einem Aufnahmeschritt 360.If the at least part of the Internet address was not previously part of the list L, inclusion in this list takes place in a recording step 360 ,

Zusätzlich kann eine Aufnahmenachricht in einem Ausgabeschritt 370 ausgegeben werden. Diese Aufnahmenachricht kann insbesondere durch einen Eintrag in einem Protokoll oder Logfile erfolgen. Auf Basis des Logfiles kann eine automatische oder manuelle Zuordnung der Internetadresse erfolgen sowie eine manuelle oder automatische Bewertung, an die sich gegebenenfalls eine Sperrung anschließt.In addition, a recording message in an output step 370 be issued. This recording message can be made in particular by an entry in a log or log file. Based on the Logfiles can be an automatic or manual assignment of the Internet address and a manual or automatic assessment, which may be followed by a blocking.

Eine Aufnahme in die Liste L kann auch manuell vorgenommen werden, wenn sich aus anderen Gründen Verdachtsmomente auf Missbrauch ergeben. Die Liste L kann in bestimmten Zeiträumen bereinigt werden, d. h. die zumindest enthaltenen Teile von Internetadressen werden gelöscht, wenn für eine bestimmte Zeit von dem zur Internetadresse gehörenden Zugriffsursprung aus nicht mehr mit hoher Frequenz zugegriffen wird.An inclusion in the list L can also be made manually, if there are other reasons suspicion of abuse. The list L can be cleaned up at certain times, i. H. the at least contained portions of Internet addresses are erased when the access originating from the Internet address is no longer accessed at a high frequency for a certain time.

In einem Vergleichsschritt 380 wird überprüft, ob die ermittelte IP-Adresse oder der Teil dieser Adresse in einer Ausnahmeliste WL enthalten ist. In dieser Ausnahmeliste WL sind Herkunftsbezeichnungen, also insbesondere IP-Adressen oder Teile hiervon enthalten, denen häufige Zugriffe erlaubt sind. Damit können Anfragen von internen Zugriffursprüngen erlaubt werden. Durch diese Adressen sind beispielsweise interne Proxy-Server gekennzeichnet.In a comparison step 380 it is checked whether the determined IP address or the part of this address is contained in an exception list WL. In this exception list WL are denominations of origin, so in particular IP addresses or parts thereof, which are allowed frequent access. This allows requests from internal access origins to be allowed. For example, these addresses identify internal proxy servers.

Dementsprechend liegt die Ausnahmeliste insbesondere in einem Format vor, bei dem eine laufende Nummer einer einzelnen Adresse, z. B. der Adresse 1.2.3.4 oder dem sogenannten „localhost” zugeordnet ist oder eine laufende Nummer einer Vielzahl von Adressen, beispielsweise wird die Folge 1.2.3 oder 1.2.3 <-> 5 als die Adressengruppe 1.2.3.0 bis 1.2.3.255 interpretiert. Als „localhost” wird ein Name für eine IP-Adresse bezeichnet, der über einen sogenannten dynamischen Namensserver oder DNS-Server aufgelöst, d. h. in eine Nummer überführt werden kann. Alternativ oder zusätzlich kann die Folge 1.2.0.0/16 als die Adressengruppe 1.2.0.0–1.2.255.255 interpretiert werden. Für eine sichere Identifikation darf die laufende Nummer nicht doppelt sein.Accordingly, the exception list is in particular in a format in which a serial number of a single address, eg. B. the address is assigned to 1.2.3.4 or the so-called "localhost" or a serial number of a plurality of addresses, for example, the sequence 1.2.3 or 1.2.3 <-> 5 is interpreted as the address group 1.2.3.0 to 1.2.3.255 , A "localhost" is a name for an IP address that is resolved via a so-called dynamic name server or DNS server, i. H. can be converted into a number. Alternatively or additionally, the sequence 1.2.0.0/16 can be interpreted as the address group 1.2.0.0-1.2.255.255. For a secure identification, the serial number may not be duplicated.

Ist die Adresse in der Ausnahmeliste wie WL enthalten, so kann in einem weiteren Schritt 390 eine Ausgabe in ein Logfile erfolgen. Damit wird ein Überblick über hochfrequente Zugriffe, auch von internen Adressen aus, ermöglicht. Im Anschluss daran wird in einem Schritt 395 fortgefahren.If the address is included in the exception list like WL, then in a further step 390 an output to a log file. This provides an overview of high-frequency access, even from internal addresses. Following this, in one step 395 continued.

Ist die Adresse nicht in der Ausnahmeliste enthalten, so erfolgt in einem Ausgabeschritt 396 die Ausgabe einer Sperrnachricht. In Reaktion darauf wird bevorzugterweise in einem weiteren Schritt 397 eine Sperrung vorgenommen, wie unten näher erläutert wird. Diese Sperrung wird in einem weiteren Schritt 398 nach Ablauf einer Sperrzeit oder zu einem bestimmten Entsperrzeitpunkt wieder aufgehoben. Das Aufheben kann alternativ oder zusätzlich auch manuell erfolgen.If the address is not included in the exception list, this is done in an output step 396 the output of a lock message. In response, it is preferable in a further step 397 made a lock, as explained below. This blocking will be in a further step 398 canceled after expiry of a lock time or at a certain unlock time. The cancellation can alternatively or additionally be done manually.

Die Sperrzeit oder Sperrdauer oder ein Entsperrzeitpunkt kann bereits in der Sperrnachricht festgelegt sein. Diese Sperrnachricht enthält bevorzugterweise weiterhin die IP-Adresse des gesperrten Zugriffsursprungs sowie den Grund der Sperrung, also beispielsweise Sperrung aufgrund des Prüfschritts 300, 310 oder 330. Zusätzlich kann die ermittelte Anzahl von Zugriffen angegeben werden. Weiterhin zusätzlich kann die Sperrnachricht einen Auszug aus einem Logfile mit einer Kennzeichnung der Applikation, im Rahmen derer eine Sperrung erfolgte, enthalten. Als Kennzeichnung kann insbesondere die sogenannte URL, ein einheitlicher Quellenanzeiger (Englisch: Uniform Resource Locator) verwendet werden. Damit wird eine Ressource sowie das verwendete Netzwerkprotokoll, also beispielsweise das HTTP-Protokoll, und der Ort der Ressource in einem Computernetzwerk angegeben. Die Schritte 396, 397, 398 werden in zugeordneten Ausgabeschritten jeweils in ein Logfile ausgegeben.The lock time or lock duration or an unlock time may already be specified in the lock message. This blocking message preferably also contains the IP address of the blocked access origin as well as the reason for the blocking, that is, for example, blocking on the basis of the checking step 300 . 310 or 330 , In addition, the determined number of accesses can be specified. In addition, the blocking message can additionally contain an extract from a log file with an identification of the application in the context of which a blocking took place. In particular, the so-called URL, a uniform resource locator (English: Uniform Resource Locator) can be used as identification. This specifies a resource and the network protocol used, such as the HTTP protocol, and the location of the resource on a computer network. The steps 396 . 397 . 398 are output in assigned output steps in each case in a log file.

In dem in 3 gezeigten Beispiel wurden bestimmte zeitliche Abläufe beschrieben. Wie bereits teilweise dargelegt, können die Schritte auch anders zeitlich gestaffelt ablaufen. Insbesondere kann eine Überprüfung, ob eine Adresse in einer Ausnahmeliste enthalten ist, auch allen anderen Schritte vorangestellt sein. Die gewählte zeitliche Reihenfolge kann insbesondere auch vom jeweiligen Rechenaufwand der einzelnen Schritte abhängen, so dass beispielsweise weniger rechenintensive Schritte zunächst durchgeführt werden, um ggf. mit ihnen schon eine Entscheidung bzgl. einer Sperrung herbeizuführen.In the in 3 In the example shown, certain time sequences were described. As already partially explained, the steps can also take place differently in time. In particular, a check as to whether an address is contained in an exception list can also be preceded by all other steps. The chosen temporal sequence may in particular also depend on the respective computational effort of the individual steps, so that, for example, less compute-intensive steps are first performed in order to possibly bring about a decision with regard to blocking.

Weiterhin können auch weitere Ausgabeschritte erfolgen oder Ausgabeschritte weggelassen werden. Dies richtet sich nach den Dokumentierungserfordernissen und Informationserfordernissen für die Benutzer des Verfahrens.Furthermore, further output steps can be carried out or output steps can be omitted. This depends on the documentation requirements and information requirements for the users of the method.

Wie bereits erwähnt können die einzelnen Schritte insbesondere die Schritte 300, 310 und 340 auch in zumindest zwei unterschiedlichen Schichten erfolgen.As already mentioned, the individual steps can in particular be the steps 300 . 310 and 340 also in at least two different layers.

Über einen sogenannten Proxyserver, der als Vermittler zwischen Netzwerken auftritt, ist es möglich, dass eine Vielzahl von Benutzern Anfragen an die Netz-Servervorrichtung 120 initiieren. Da der Proxyserver die Anfragen der Benutzer unter seiner eigenen IP-Adresse an die Netz-Servervorrichtung 120 weiterleitet, kann dies den Eindruck erwecken, dass ein einziger Zugriffsursprung eine Vielzahl von Zugriffen initiiert, obwohl die Vielzahl von Zugriffen unkoordiniert von einer Mehrzahl von Rechnern aus erfolgt. Um möglichst viel Information bezüglich derartiger Zugriffe zu erhalten, wird bevorzugterweise Information in zumindest zwei unterschiedlichen Schichten zu sammeln.Via a so-called proxy server, which acts as an intermediary between networks, it is possible for a large number of users to request the network server device 120 initiate. Because the proxy server the user requests under his own IP address to the network server device 120 This may give the impression that a single access origin will initiate a multitude of accesses, although the multitude of accesses will be uncoordinated from a plurality of computers. In order to obtain as much information as possible regarding such accesses, it is preferable to collect information in at least two different layers.

Je nachdem wo und in welcher Schicht und/oder welchen Schichten der Zugriff protokolliert wird, z. B. in einer sogenannten „Brücke” (English: Bridge), d. h. einem Zugang (Englisch: Gateway) von eine lokalen Netzwerk zu einem weiteren Netzwerk auf der Ebene der Schicht 2 bzw. „link layer”, oder einem Netzwerkknoten (English: Router), d. h. einer derartigen Verbindung auf der Ebene der Schicht 3, bzw. „internet layer”, kann auch die MAC Adresse des Zugriffsursprungs alternativ oder zusätzlich protokolliert werden.Depending on where and in which layer and / or which layers the access is logged, eg. In a so-called "bridge", d. H. an access (English: gateway) from a local network to another network at the level of the layer 2 or "link layer", or a network node (English: Router), d. H. Such a connection at the level of the layer 3, or "Internet layer", the MAC address of the access origin can alternatively or additionally be logged.

Es können also insbesondere eine oder mehrere Schichten gezielt für eine Protokollierung ausgewählt werden. Im Falle eines Angriffs, d. h. falls Zugriffe als systematisch oder automatisiert oder anderweitig unerwünscht erkannt wurden, können gezielt eine oder mehrere weitere Schichten dazu genommen werden. Diese Schichten können darüberliegend, beispielsweise eine Anwendungsschicht, oder darunterliegende Schichten sein, beispielsweise eine Netzzugangsschicht. Je nach Ausgestaltung des Kommunikationsprotokolls können so entsprechende Identifikationsmöglichkeiten ausgeschöpft werden.In particular, one or more layers can therefore be selected specifically for logging. In case of attack, d. H. if accesses have been identified as systematic or automated or otherwise undesirable, one or more further layers can be selectively added thereto. These layers may be overlying, for example an application layer, or underlying layers, for example a mesh access layer. Depending on the configuration of the communication protocol so appropriate identification options can be exploited.

In den oben beschriebenen Verfahrensschritten können die Zeiträume ZR1 und ZR2 sowie die Schwellwerte ZTH1 und ZTH2 statisch oder dynamisch bestimmt werden. So können, wie bereits oben beschrieben, für die Zeiträume ZR1 und ZR2 und eventuell weiterer Zeiträume z. B. feste Werte festgelegt werden, die sich allerdings voneinander unterscheiden können.In the method steps described above, the periods ZR1 and ZR2 and the threshold values ZTH1 and ZTH2 can be determined statically or dynamically. Thus, as already described above, for the periods ZR1 and ZR2 and possibly other periods z. For example, you can set fixed values that may differ from each other.

Alternativ können die Zeiträume ZR1 und ZR2 und eventuell weitere Zeiträume bevorzugterweise in Abhängigkeit des Zugriffsursprungs und/oder der Tageszeit und/oder der Ortszeit am Zugriffsursprung flexibel bestimmt werden. So ist es z. B. möglich, je nach Zugriffsursprung unterschiedliche Zeiträume ZR1 und ZR2 und eventuell weitere Zeiträume zu definieren.Alternatively, the time periods ZR1 and ZR2 and possibly further time periods can preferably be flexibly determined as a function of the access origin and / or the time of day and / or the local time at the access origin. So it is z. For example, it is possible to define different time periods ZR1 and ZR2 depending on the access origin and possibly further time periods.

In gleicher Weise ist es möglich, die Schwellwerte ZTH1 und ZTH2 und eventuell weitere Schwellwerte in Abhängigkeit des Zugriffsursprungs variabel zu definieren. So kann z. B. für ein Gateway, einen Router oder Proxy-Server eines großen Internet Service Providers, über den eine große Anzahl von Internetnutzern Zugriff auf das Internet hat, deutlich höhere Schwellwerte ZTH1 und ZTH2 festgelegt werden als für einen Einzelrechner oder für ein Gateway, einen Router oder Proxy-Server eines kleinen lokalen Netzwerkes. Denn über ein Gateway, einen Router oder Proxy-Server eines großen Internet Service Providers wie z. B. 1 & 1, AOL, T-Home usw. werden erwartungsgemäß eine viel höhere Anzahl von berechtigten Zugriffen auf die Netz-Servervorrichtung 120 pro Zeiteinheit erfolgen, als von einem kleinen lokalen Netzwerk. So werden bevorzugterweise nach Ermittlung des Zugriffsursprungs und einer entsprechenden Zuordnung des Zugriffsursprungs zu einem Internet Service Provider und/oder einer Organisation und/oder einem lokalem Netzwerk hierfür spezifische Schwellwerte ZTH1 und ZTH2 und eventuell weitere spezifische Schwellwerte festgelegt. Diese spezifischen Schwellwerte können in einer Nachschlagetabelle oder auch Lookup Table genannt abgelegt sein. Diese spezifischen Schwellwerte können aber auch in einer Datenbank zusammen mit den Netzwerkadressen und/oder Hostname, Länderkennung des Zugriffsursprungs, Ortsangaben des Zugriffsursprungs, Angaben des Internet Service Providers, über den der Zugriff erfolgte, und/oder Angaben der Organisation oder Unternehmung, in der der Zugriffsursprung liegt, gespeichert sein. Alternativ können diese spezifischen Schwellwerte auch auf Zugriffswerten basieren, die für die jeweiligen Zugriffsursprünge über einen gewissen Zeitraum ermittelt wurden. So kann z. B. für den Proxy-Server mit der IP-Adresse 62.153.195.210, für den der Standort Rosenheim, der Internet Service Provider Deutsche Telekom AG und die Organisation XY ermittelt wird, über einen gewissen Zeitraum eine durchschnittliche Anzahl von n Zugriffen pro Stunde an Werktagen ermittelt worden sein. Beispielsweise kann der Schwellwert ZTH1 definiert werden als ZTH1 = x·n und der Schwellwert ZTH2 definiert werden als ZTH2 = y·n, wobei x und y reelle Zahlen sind.In the same way, it is possible to variably define the threshold values ZTH1 and ZTH2 and possibly further threshold values as a function of the access origin. So z. For example, for a gateway, a router or a proxy server of a large Internet service provider, over which a large number of Internet users have access to the Internet, much higher thresholds ZTH1 and ZTH2 be set than for a single computer or for a gateway, a router or proxy server of a small local network. Because of a gateway, a router or proxy server of a large Internet service provider such. For example, 1 & 1, AOL, T-Home, etc. are expected to have a much higher number of authorized accesses to the network server device 120 per unit time, than by a small local network. Thus, after determining the access origin and a corresponding assignment of the access origin to an Internet service provider and / or an organization and / or a local network, specific threshold values ZTH1 and ZTH2 and possibly further specific threshold values are preferably defined for this purpose. These specific thresholds may be stored in a lookup table. These specific threshold values can also be stored in a database together with the network addresses and / or host name, country code of the access origin, location details of the access origin, information of the Internet service provider via which the access was made, and / or information of the organization or enterprise in which the Access origin is stored. Alternatively, these specific thresholds may also be based on access values determined for the particular access origins over a period of time. So z. For example, for the proxy server with the IP address of 62.153.195.210, for which the Rosenheim site, the Internet Service Provider Deutsche Telekom AG and the organization XY is determined, an average number of n accesses per hour on weekdays over a certain period of time be determined. For example, the threshold ZTH1 may be defined as ZTH1 = x * n and the threshold ZTH2 be defined as ZTH2 = y * n, where x and y are real numbers.

Wurden für den Zugriffsursprung mit der IP-Adresse 62.153.195.210 durchschnittlich 10 Zugriffe pro Stunde an Werktagen ermittelt, so wird beispielsweise für einen ersten Zeitraum ZR1 von 1 Minute ein erster Schwellwert ZTH1 von 50 Zugriffen festgelegt. Für einen zweiten Zeitraum ZR2 von 1 Stunde wird ein zweiter Schwellwert von 200 Zugriffen festgelegt. Erfolgen von diesem Zugriffsursprung mit der IP-Adresse 62.153.195.210 z. B. nun mehr als 70 Zugriffe pro Minute, lässt dies auf ein untypisches Benutzerverhalten schließen. Durch Überschreiten des Schwellwerts ZTH1 kann eine Sperrmitteilung ausgegeben werden, die eine Sperrung der Zugriffe auf die Netz-Servervorrichtung 120 von dem Zugriffsursprung mit der IP-Adresse 62.153.195.210 zur Folge hat.If the access origin with the IP address 62.153.195.210 has an average of 10 accesses per hour on working days, for example, a first threshold ZTH1 of 50 accesses is set for a first time period ZR1 of 1 minute. For a second period ZR2 of 1 hour, a second threshold of 200 accesses is set. Achieving this access origin with the IP address 62.153.195.210 z. B. now more than 70 accesses per minute, this suggests an untypical user behavior. By exceeding the threshold value ZTH1, a blocking message can be output which inhibits the access to the network server device 120 from the access origin with the IP address 62.153.195.210.

Die Zeiträume und Schwellwerte können alternativ oder zusätzlich auch in Abhängigkeit von der Ortszeit des Zugriffsursprungs und/oder dem Werktag festgelegt werden. Hierzu kann auf vorher definierte Werte oder Nutzerprofile für die Zeiträume und Schwellwerte zurückgegriffen werden, die in Lookup Tables oder Datenbanken gespeichert sind. Alternativ können während des Betriebs der Netz-Servervorrichtung 120 Zugriffsprofile in Abhängigkeit des Zugriffsursprungs und/oder der Ortszeit des Zugriffsursprungs und/oder des Wochen- oder Kalendertages erstellt werden. Die Zeiträume und Schwellwerte werden dann dynamisch entsprechend dem Zugriffsursprung und/oder der Ortszeit des Zugriffsursprungs und/oder dem Wochen- oder Kalendertag festgelegt. Damit kann ganz gezielt dem unterschiedlichen Benutzerverhalten Rechnung getragen werden. Erfahrungsgemäß sind spät nachts (Ortszeit des Zugriffsursprungs) und an Wochenenden deutlich geringere Zugriffszahlen zu verzeichnen als nachmittags und abends an Werktagen. Hohe Zugriffszahlen innerhalb der Zeiträume ZR1 und ZR2 sind zu diesen Ortszeiten eher unwahrscheinlich. Daher können die Schwellwerte zu diesen Ortszeiten deutlich niedrigere Werte haben als die Schwellwerte nachmittags und abends an Werktagen. Hohe Zugriffszahlen innerhalb der Zeiträume ZR1 und ZR2 deuten eher auf automatisierte Abfragen hin. The time periods and threshold values may alternatively or additionally also be determined as a function of the local time of the access origin and / or the working day. For this, it is possible to fall back on previously defined values or user profiles for the periods and threshold values stored in lookup tables or databases. Alternatively, during operation of the network server device 120 Access profiles are created depending on the access origin and / or the local time of the access origin and / or the week or calendar day. The periods and thresholds are then set dynamically according to the access origin and / or the local time of the access origin and / or the week or calendar day. This can be specifically taken into account the different user behavior. Experience has shown that late at night (local time of the access origin) and at weekends significantly lower numbers of visitors than in the afternoon and evening on weekdays. High traffic levels within periods ZR1 and ZR2 are unlikely at these local times. Therefore, the thresholds at these local times can have significantly lower values than the thresholds in the afternoon and evening on weekdays. High traffic levels within the ZR1 and ZR2 periods are more likely to indicate automated queries.

Um nichtautorisierte Zugriffe aus einem Botnetz oder auch Botnet zu erkennen, werden bevorzugterweise weitere Zeiträume und weitere Schwellwerte bestimmt, die die maximale Anzahl von Zugriffen innerhalb eines Zeitraumes für eine Gruppe von Zugriffsursprüngen und/oder alle Zugriffsursprünge festlegt. Diese weiteren Zeiträume und weiteren Schwellwerte können wie oben beschrieben statisch oder dynamisch bestimmt werden.In order to detect unauthorized accesses from a botnet or botnet, further time periods and further thresholds are preferably determined, which determine the maximum number of accesses within a period for a group of access origins and / or all access origins. These additional time periods and further threshold values can be determined statically or dynamically as described above.

In 4 ist eine Vorrichtung 120, wie zum Beispiel eine Netz-Servervorrichtung dargestellt. Bevorzugterweise umfasst die Netz-Servervorrichtung 120 eine Bereitstellungseinrichtung 126, wie zum Beispiel einen Applikationsserver oder Webserver, eine oder mehrere Firewalls 125 und 128 und eine oder mehrere Datenbanken oder Datenspeicher 127. Alternativ kann die Netz-Servervorrichtung 120 auch nur aus einem Applikationsserver oder Webserver 126 bestehen. Außerdem umfasst die Netz-Servervorrichtung 120 eine Sicherheitseinrichtung 130 die entweder in einer der Firewalls 125 und 128 oder in dem Applikationsserver oder Webserver 126 eingerichtet ist. Applikationsserver oder Webserver 126, Firewalls 125 und 128 und die Datenbanken sind bevorzugterweise über eine oder mehrere drahtgebundene oder drahtlose Datenleitungen miteinander verbunden.In 4 is a device 120 , such as a network server device. Preferably, the network server device comprises 120 a provisioning device 126 , such as an application server or web server, one or more firewalls 125 and 128 and one or more databases or data stores 127 , Alternatively, the network server device 120 even from an application server or web server 126 consist. In addition, the network server device includes 120 a safety device 130 either in one of the firewalls 125 and 128 or in the application server or web server 126 is set up. Application server or web server 126 , Firewalls 125 and 128 and the databases are preferably interconnected via one or more wired or wireless data lines.

Eine Firewall dient dazu, Zugriffe auf Informationen zu überwachen. Insbesondere dient sie dazu, für den durch sie hindurchlaufenden Datenverkehr anhand vorbestimmter Vorgaben oder Regeln zu entscheiden, ob bestimmte Daten durchgelassen werden. Dadurch kann mittels einer Firewall ein Schutz vor unerlaubten Zugriffen erfolgen. Die Festlegung der Vorgaben oder Regeln wird auch als Konfiguration bezeichnet.A firewall is used to monitor access to information. In particular, it is used to decide for the passing through them data traffic on the basis of predetermined rules or rules whether certain data is allowed to pass. This can be done by means of a firewall protection against unauthorized access. Defining the specifications or rules is also called configuration.

In einer Ausführungsform ist die Sicherheitseinrichtung 130 sowohl in einer der Firewall 125 und 128 als auch in Applikationsserver oder Webserver 126 eingerichtet. Gemäß einer weiteren Ausführungsform wird die Sicherheitseinrichtung 130 als separate Softwarekomponente bereitgestellt.In one embodiment, the safety device is 130 both in one of the firewall 125 and 128 as well as in application server or web server 126 set up. According to a further embodiment, the safety device 130 provided as a separate software component.

Zum Zugriff gehörende eingehende Daten passieren zunächst die erste Firewall 125, bevor sie zu dem Applikationsserver 126 gelangen, bei dem die Abfrage behandelt wird. Mittels eines Applikationsservers kann dynamisch oder statisch generierte Information dargestellt werden. Bei dem Applikationsserver 126 handelt es sich insbesondere um einen Webserver, auf dem Websites hinterlegt sind. Auch ein Webserver kann statische oder dynamisch generierte Information in Form von statischen oder dynamischen Webseiten darstellen.For access belonging incoming data first pass the first firewall 125 before going to the application server 126 at which the query is handled. By means of an application server, dynamically or statically generated information can be displayed. At the application server 126 in particular, it is a web server on which websites are stored. A web server can also display static or dynamically generated information in the form of static or dynamic web pages.

Um Inhalte von dynamischen Webseiten zu generieren, wird beispielsweise der anzuzeigende Inhalt in einem Datenspeicher oder einer Datenbank 127 abgefragt und in die dynamisch generierte Webseite eingebunden. Hierfür wird auf einen Datenspeicher oder eine Datenbank 127 zugegriffen, die mit dem Applikationsserver in Kommunikationsverbindung steht. Alternativ ist der Datenspeicher 127 Bestandteil des Applikationsservers 126.For example, to generate content from dynamic web pages, the content to be displayed is stored in a data store or database 127 queried and integrated into the dynamically generated website. This is done on a data store or a database 127 which is in communication connection with the application server. Alternatively, the data store 127 Part of the application server 126 ,

Wird auf besonders sensible Daten zugegriffen, so passieren die Abfrage bzw. zur Abfrage gehörende Daten eine weitere Firewall 128, bevor auf weitere Datenspeicher zugegriffen wird.If particularly sensitive data is accessed, the query or data belonging to the query pass through another firewall 128 before accessing more data stores.

Die Datenspeicher oder Datenbanken dienen bevorzugterweise auch dazu, die oben beschrieben Werte oder Nutzerprofile für die Zeiträume und Schwellwerte sowie die Zugriffsprofile zu speichern.The data stores or databases are also preferably used to store the values or user profiles described above for the periods and threshold values as well as the access profiles.

Die Sicherheitseinrichtung 130 ist nun in erster Firewall 125, Applikationsserver 126 und zweiter Firewall 128 integriert.The safety device 130 is now in first firewall 125 , Application Server 126 and second firewall 128 integrated.

Alternativ kann die Sicherheitseinrichtung nur in einer dieser Einheiten oder einer Untergruppe dieser Einheiten vorliegen. Alternatively, the safety device may be present only in one of these units or a subset of these units.

Das Sperren des Zugriffs erfolgt über eine Sperreinrichtung 140 der Netz-Servervorrichtung 120, wenn eine Sperrnachricht vorliegt. Diese Sperreinrichtung kann Bestandteil der Sicherheitseinrichtung 130 sein oder getrennt davon realisiert werden. Eine getrennte Realisierung kann in einer Firewall erfolgen. In einer Ausführungsform ist die Sperreinrichtung 140 Bestandteil der Firewall 125. Alternativ ist die Sperreinrichtung 140 getrennt von der Firewall 125 implementiert, ist also mit dieser gekoppelt, um das Sperren von Zugriffen an der Firewall 125 zu ermöglichen.The blocking of the access via a locking device 140 the network server device 120 if there is a blocking message. This locking device can be part of the safety device 130 be realized or separated from it. A separate implementation can be done in a firewall. In one embodiment, the barrier device is 140 Part of the firewall 125 , Alternatively, the locking device 140 disconnected from the firewall 125 is implemented, so coupled with this, to block access to the firewall 125 to enable.

Zur Sperrung wird von einer Ausgabeeinrichtung eine Sperrnachricht ausgegeben, die an die Sperreinrichtung 140 übertragen wird. Entsprechend der Information in der Sperrnachricht wird dann die Sperrung der Zugriffe, die von dem ermittelten Zugriffsursprung stammen, gemäß den oben beschriebenen Verfahrensschritten von der Sperreinrichtung 140 durchgeführt.For blocking, an output device issues a blocking message to the blocking device 140 is transmitted. In accordance with the information in the blocking message, blocking of the accesses originating from the determined access origin is then performed by the blocking device in accordance with the method steps described above 140 carried out.

Je nachdem wie die Sperreinrichtung 140 bzw. die Firewall 125 konfiguriert ist und auf welche Schichten sie Zugriff hat, sperrt sie die Zugriffe in der Netzzugangsschicht, der Internetschicht, der Transportschicht und/oder in der Anwendungsschicht entsprechend der Information in der Sperrnachricht. Alternativ wird der Zugriff von dem ermittelten Zugriffsursprung auf den Applikationsserver oder Webserver 126 und/oder die statische oder dynamische Webseiten des Applikationsserver oder Webserver 126 und/oder von dem Applikationsserver oder Webserver 126 bereitgestellte Informationen in vorher festgelegten Schichten von der Sperreinrichtung 140 unterbunden. So kann, wie oben beschrieben, durch Sperrnachrichten in der Firewall 125 oder der Sperreinrichtung 140 der Zugriff von dem ermittelten Zugriffsursprung auf von dem Applikationsserver oder Webserver 126 bereitgestellte Informationen oder auf den Applikationsserver oder Webserver 126 direkt in der Netzzugangsschicht oder in der Internetschicht unterbunden werden.Depending on how the locking device 140 or the firewall 125 is configured and to which layers it has access, it blocks the accesses in the network access layer, the Internet layer, the transport layer and / or in the application layer according to the information in the blocking message. Alternatively, the access is from the determined access origin to the application server or web server 126 and / or the static or dynamic web pages of the application server or web server 126 and / or from the application server or web server 126 provided information in predetermined layers of the barrier device 140 prevented. Thus, as described above, by blocking messages in the firewall 125 or the locking device 140 the access from the determined access origin to from the application server or web server 126 provided information or on the application server or web server 126 be stopped directly in the network access layer or in the Internet layer.

Die Sperrung kann also insbesondere mittels einer Firewall, die dafür konfiguriert ist, oder mittels einer Sperreinrichtung erfolgen. Die Zugriffe können, wie bereits ausgeführt, auf unterschiedlichen Schichten, je nach Art des verwendeten Protokolls überprüft werden. Damit kann auf unterschiedliche Weise der Zugriffsursprung ermittelt werden. Diese Ermittlung kann auf Basis von Information aus einer Schicht oder aus den Informationen mehrerer Schichten, die beispielsweise miteinander kombiniert werden erfolgen. So kann beispielsweise eine Sicherheitseinrichtung 130 in Verbindung mit zumindest einer Firewall 125, 128 oder einer Sperreinrichtung 140 auf mehreren Schichten gleichzeitig eine Identifikation vornehmen und ggf. weiterhin unter Nutzung des Musters der Abfragemuster der Zugriffe bzw. Abfragen in einer oder mehreren Schichten effektiver unerwünschte Zugriffe erkennen.The blocking can therefore be carried out in particular by means of a firewall which is configured for this purpose or by means of a blocking device. The accesses can, as already stated, be checked on different layers, depending on the type of protocol used. This can be used to determine the access origin in different ways. This determination can be made on the basis of information from one layer or from the information of several layers, which for example are combined with one another. For example, a safety device 130 in conjunction with at least one firewall 125 . 128 or a locking device 140 Identify simultaneously on multiple layers and, if appropriate, continue to detect effective unwanted access by using the pattern of the query patterns of the accesses or queries in one or more layers.

5a zeigt eine Anordnung der Komponenten der Vorrichtung 120 gemäß einer weiteren Ausführungsform. Die Vorrichtung 120, beispielsweise eine Netz-Servervorrichtung, umfasst eine Überwachungseinrichtung 510, eine Bereitstellungseinrichtung 520 mit dazugehöriger Datenbank bzw. Datenspeicher 525, eine Sicherheitseinrichtung 530 und eine Sperreinrichtung 540. Die einzelnen Komponenten der Vorrichtung 120 sind Netzwerkkomponenten bzw. netzwerkfähige Komponenten. Die einzelnen Komponenten sind dabei durch eine oder mehrere drahtgebundene oder drahtlose Datenleitungen oder Netzwerkverbindungen miteinander verbunden. 5a shows an arrangement of the components of the device 120 according to a further embodiment. The device 120 , For example, a network server device includes a monitoring device 510 , a provisioning device 520 with associated database or data storage 525 , a safety device 530 and a locking device 540 , The individual components of the device 120 are network components or network-compatible components. The individual components are connected to one another by one or more wired or wireless data lines or network connections.

Die Überwachungseinrichtung 510 schützt einen Bereich 515 (gestrichelt dargestellt) der Vorrichtung 120 vor Zugriffen. Innerhalb eines Netzwerkes, wie dem Netzwerk 110 in 1, bildet die Überwachungseinrichtung 510 somit einen geschützten Bereich 515, dem bestimmte Geräte angehören. Dazu zählen unter anderem die Bereitstellungseinrichtung 520 und die Datenbank 525 sowie die Sicherheitseinrichtung 530 und die Sperreinrichtung 540. Alle Einrichtungen oder Komponenten innerhalb des geschützten Bereichs können nur durch die Überwachungseinrichtung 510 hindurch adressiert werden bzw. darauf zugegriffen werden. Durch die Kontrolle der Überwachungseinrichtung 510 ist somit ein gewisser Schutz der ”hinter ihr liegenden” Komponenten möglich.The monitoring device 510 protects an area 515 (shown in dashed lines) of the device 120 before access. Within a network, like the network 110 in 1 , forms the monitoring device 510 thus a protected area 515 to which certain devices belong. These include, but are not limited to, the provisioning facility 520 and the database 525 as well as the safety device 530 and the locking device 540 , All devices or components within the protected area can only be monitored by the monitoring device 510 be addressed or accessed. By checking the monitoring device 510 Thus, a certain protection of the "behind it" components is possible.

Zusätzlich können noch weitere Komponenten zu der Vorrichtung 120 gehören, die jedoch aus Gründen der Übersichtlichkeit nicht dargestellt sind. Beispielsweise können noch weitere Bereitstellungseinrichtungen und/oder Datenbanken bzw. Datenspeicher durch die Überwachungseinrichtung 510 geschützt sein. Wie in 4 können auch noch weitere Überwachungseinrichtung und/oder Firewalls (nicht gezeigt) zu der Vorrichtung 120 gehören, um bestimmte Komponenten besser zu schützen.In addition, other components may be added to the device 120 belong, which are however not shown for reasons of clarity. For example, further provision facilities and / or databases or data storage by the monitoring device 510 be protected. As in 4 may also be further monitoring device and / or firewalls (not shown) to the device 120 belong to better protect certain components.

Wie bereits oben in Bezug auf 4 erwähnt, dient auch eine Überwachungseinrichtung dazu, Zugriffe auf Komponenten des geschützten Bereichs und darauf vorhandene Daten und/oder Informationen zu überwachen. Insbesondere entscheidet sie für den durch sie hindurch laufenden Datenverkehr anhand vorbestimmter Vorgaben oder Regeln, ob bestimmte Daten durchgelassen werden. Dadurch kann mittels einer Überwachungseinrichtung ein Schutz vor unerlaubten Zugriffen erfolgen. Die Festlegung der Vorgaben oder Regeln wird auch als Konfiguration bezeichnet. Die Überwachungseinrichtung 510 kann eine Firewall sein. Alternativ kann die Überwachungseinrichtung 510 eine Netzwerkkomponente, wie zum Beispiel ein Router, Gateway oder Bridge, sein, auf der ein Programm zur Überwachung des Netzwerkverkehrs ausgeführt wird. Dabei erlaubt es das Programm bestimmte Daten zu Sperren, also nicht weiterzuleiten. As already mentioned above 4 a monitoring device is also used to monitor accesses to components of the protected area and data and / or information thereon. In particular, it decides whether or not to allow certain data to pass through the traffic passing through it on the basis of predetermined specifications or rules. This can be done by means of a monitoring device protection against unauthorized access. Defining the specifications or rules is also called configuration. The monitoring device 510 can be a firewall. Alternatively, the monitoring device 510 a network component, such as a router, gateway, or bridge, running a network traffic monitoring program. The program allows certain data to be blocked, ie not forwarded.

Die Bereitstellungseinrichtung 520 hält Daten und/oder Informationen vor, die mittels Zugriff von einem Zugriffsursprung 100 abgefragt oder abgerufen werden können. Eine beispielhafte Form einer Bereitstellungseinrichtung ist ein adressierbarer Server, der geeignet ist, einen Zugriff zu erlauben und eine Abfrage von Daten und/oder Informationen zu bearbeiten. Dabei kann sich die Bereitstellungseinrichtung mindestens einer Datenbank oder eines Datenspeichers 525 bedienen, oder kann die Daten und/oder Informationen selbst vorhalten. Wie oben bereits beschrieben, kann es sich um dynamisch oder statisch generierte Information handeln. Nach einem erfolgreichen Bearbeiten einer Abfrage stellt die Bereitstellungseinrichtung die abgefragten Daten und/oder Informationen dem Zugriffsursprung bereit. Die abgefragten Daten und/oder Informationen werden z. B. an den Zugriffsursprung gesendet.The provisioning device 520 holds data and / or information obtained by accessing from an access origin 100 be queried or retrieved. An exemplary form of providing device is an addressable server that is capable of allowing access and processing a query of data and / or information. In this case, the provisioning device can be at least one database or a data store 525 operate, or may hold the data and / or information itself. As described above, it may be dynamically or statically generated information. After successfully processing a query, the provisioning facility provides the retrieved data and / or information to the access origin. The requested data and / or information z. B. sent to the access origin.

Gemäß einer Ausgestaltung wird die Bereitstellungseinrichtung durch einen Applikationsserver oder einen Netzserver (Englisch: web server) umgesetzt. Je nach Art der bereitzustellenden Daten und/oder Informationen ist eine entsprechende Implementierung, zum Beispiel durch Installation einer entsprechenden Server-Software, vorgesehen. Im Fall eines Netzservers können abgefragte Daten und/oder Informationen in Form von Webseiten dem Zugriffsursprung 100 bereitgestellt werden.According to one embodiment, the provisioning device is implemented by an application server or a network server (English: web server). Depending on the type of data and / or information to be provided, a corresponding implementation is provided, for example by installing an appropriate server software. In the case of a network server, queried data and / or information in the form of web pages can access the access origin 100 to be provided.

Um die Daten und/oder Informationen vor unerwünschten Zugriffen zu schützen, werden die bei der Bereitstellungseinrichtung 520 eingehenden Abfragen überprüft, wie dies bereits in Bezug auf 3 erläutert wurde. Diese Überprüfung wird von einer Sicherheitseinrichtung 530 durchgeführt.In order to protect the data and / or information from unwanted access, those at the provisioning facility 520 Inbound queries are checked as already in relation to 3 was explained. This check is made by a safety device 530 carried out.

Der Zeitpunkt, zu dem mit der Überprüfung begonnen wird, ist unabhängig von dem Zeitpunkt des Bearbeitens des Zugriffs durch die Bereitstellungseinrichtung 520. Er kann von der Sicherheitseinrichtung anhand bestimmter Kriterien gewählt werden. Ein mögliches Kriterium ist die Auslastung der Sicherheitseinrichtung bzw. der Komponente, auf der sie implementiert ist.The point in time at which the check starts is independent of the time at which the provisioning device handles access 520 , It can be selected by the safety device according to certain criteria. One possible criterion is the utilization of the safety device or the component on which it is implemented.

In dem Fall, dass die Sicherheitseinrichtung und die Bereitstellungseinrichtung auf derselben Komponente implementiert sind, ist eine Entkoppelung von Bearbeitung der Anfrage bzw. Abfrage von Informationen und die Überprüfung von unerwünschten Zugriffen vorteilhaft. Während zu Zeiten vieler Zugriffe die Anfragen bzw. Abfragen bearbeitet werden und Informationen bereitgestellt werden, wartet die Sicherheitseinrichtung, um einen reibungslosen Informationsabruf zu gewährleisten. Am Ende solcher ”Spitzenzeiten”, d. h. wenn die Zahl der Zugriffe unter einen bestimmten Schwellenwert sinkt, startet die Überprüfung.In the case that the security device and the provisioning device are implemented on the same component, it is advantageous to decouple processing of the request for information and the checking of undesired access. While inquiries or queries are processed and information is provided during periods of high traffic, the security device waits to ensure smooth information retrieval. At the end of such "peak periods", d. H. if the number of hits falls below a certain threshold, the check starts.

Die Bereitstellungseinrichtung 520 kann auch aus einer Vielzahl von Servereinheiten bestehen, auf die die Zugriffe von Zugriffsursprüngen 100 gleichmäßig verteilt werden. Wenn auch die Sicherheitseinrichtung 530 auf diesen Servereinheiten implementiert ist, kann der Zeitpunkt, zu dem mit der Überprüfung begonnen wird, auch in Abhängigkeit der Auslastung einer einzelnen Servereinheit stattfinden. Wenn eine bestimmte Servereinheit alle eingehenden Abfragen bearbeitet hat und somit in einen „Leerlauf” gerät, kann dort mit dem Überprüfen auf unerwünschte Zugriffe begonnen werden.The provisioning device 520 can also consist of a large number of server units to which the access of access origins 100 evenly distributed. Although the safety device 530 is implemented on these server units, the point in time at which the check starts can also take place depending on the utilization of a single server unit. If a particular server unit has handled all incoming queries and thus gets into an "idle" state, it can start checking for unwanted accesses there.

Die Sicherheitseinrichtung 530 kann weitere Komponenten (nicht gezeigt) aufweisen. Dazu gehören unter anderem eine Feststellungseinrichtung, eine Ermittlungseinrichtung, eine Vergleichseinrichtung und eine Ausgabeeinrichtung. Die Feststellungseinrichtung dient dabei, den Zugriffsursprung zu ermitteln, während die Ermittlungseinrichtung eine Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums ermittelt. Die Vergleichseinrichtung vergleicht anschließend die festgestellte Anzahl von Zugriffen mit einem Schwellwert, um eine unerwünschte Anzahl von Zugriffen zu detektieren. Ist die festgestellte Anzahl von Zugriffen größer als der Schwellwert, wird eine Sperrnachricht durch eine Ausgabeeinrichtung ausgegeben. Die Sicherheitseinrichtung 530 kann hierzu eine Verbindung mit der Sperreinrichtung 540 aufweisen, um die Sperrnachricht direkt an die Sperreinrichtung auszugeben. Alternativ oder zusätzlich kann die Sicherheitseinrichtung 530 die Sperrnachricht auch in einem Datenspeicher, wie zum Beispiel Datenbank 525, ablegen. In diesem Fall würde die Sperreinrichtung 540 die dort gespeicherten Sperrnachrichten abrufen und entsprechend verarbeiten.The safety device 530 may have other components (not shown). These include, among other things, a determination device, a determination device, a comparison device and an output device. The determination device serves to determine the access origin, while the determination device determines a number of accesses from the determined access origin within a predetermined time period. The comparator then compares the detected number of accesses with a threshold to detect an undesirable number of accesses. If the determined number of accesses is greater than the threshold value, a blocking message is output by an output device. The safety device 530 this can be connected to the locking device 540 to output the lock message directly to the lock device. Alternatively or additionally, the safety device 530 the lock message also in a data store, such as database 525 , lay down. In this case, the locking device would 540 retrieve the lock messages stored there and process accordingly.

Die Sicherheitseinrichtung 530 ist entweder als unabhängige Softwarekomponente auf der Bereitstellungseinrichtung 520 eingerichtet oder wird als separate Einrichtung bereitgestellt, also getrennt von der Bereitstellungseinrichtung 520 und der Überwachungseinrichtung 510. Im Fall der separaten Einrichtung empfängt die Sicherheitseinrichtung 530 ebenfalls die Abfragen bzw. Zugriffe, die an die Bereitstellungseinrichtung 520 gerichtet sind. Dabei kann die Sicherheitseinrichtung entweder die vollständige Abfrage des Zugriffsursprungs erhalten oder nur die für die Ermittlung unerwünschter Zugriffe notwendigen Daten, wie Adresse des Zugriffsursprungs, Zeitstempel der Abfrage, Kategorie oder Gruppe der abgefragten Informationen etc. Alternativ kann die Bereitstellungseinrichtung 520 solche Daten auch an die Sicherheitseinrichtung weiterleiten, sobald ein Zugriff stattfindet.The safety device 530 is either as an independent software component on the provisioning device 520 is established or provided as a separate device, that is separate from the provisioning device 520 and the monitoring device 510 , In the case of the separate device receives the safety device 530 likewise the queries or accesses to the provisioning device 520 are directed. In this case, the security device can either receive the complete query of the access origin or only necessary for the determination of unwanted access data, such as address of the access origin, timestamp of the query, category or group of queried information, etc. Alternatively, the provisioning device 520 forward such data to the security device as soon as access takes place.

Dies bietet den Vorteil, dass eine Anfrage durch die Bereitstellungseinrichtung 520 bearbeitet werden kann, während die Sicherheitseinrichtung 530 unabhängig davon die Anfragen gemäß dem oben in Bezug auf 3 beschriebenen Verfahren überprüfen kann. Aufgrund der Unabhängigkeit der Arbeitsweise der beiden Einrichtungen werden Anfragen von der Bereitstellungseinrichtung 520 bearbeitet, ohne dass ein Benutzer bemerkt, dass die Anfragen auch durch die Sicherheitseinrichtung 530 überprüft werden. Der Durchsatz der Bereitstellungseinrichtung 520 ist demnach nicht gestört und ein Benutzer erfährt auch keine längeren Bearbeitungszeiten von Anfragen.This offers the advantage of having a request by the providing facility 520 can be edited while the safety device 530 regardless of the requests according to the above regarding 3 check the procedure described. Due to the independence of the operation of the two facilities will be requests from the provision facility 520 edited, without a user noticing that the requests are also through the security device 530 be checked. The throughput of the provisioning device 520 is therefore not disturbed and a user also experiences no longer processing times of inquiries.

Des Weiteren enthält die Vorrichtung 120 die Sperreinrichtung 540. Die Sperreinrichtung 540 ist getrennt von der Überwachungseinrichtung 510 implementiert, ist aber mit dieser gekoppelt, um das Sperren von Zugriffen an der Überwachungseinrichtung 510 zu ermöglichen.Furthermore, the device contains 120 the locking device 540 , The locking device 540 is separate from the monitoring device 510 but is coupled to this to block access to the monitoring device 510 to enable.

Bei einer Kopplung mit der Überwachungseinrichtung 510 kann die Sperreinrichtung 540 die Überwachungseinrichtung 510 dahingehend konfigurieren, dass bestimmte Zugriffe durch die Überwachungseinrichtung 510 gesperrt werden. Beispielsweise kann die Sperreinrichtung 540 anhand der ihr aus Sperrnachrichten vorliegenden IP-Adressen die Überwachungseinrichtung 510 konfigurieren. In solch einem Fall werden IP-Adressen von eingehenden Anfragen herausgefiltert und gesperrt. Die Sperreinrichtung 540 kann des Weiteren Einfluss auf die Sperrdauer nehmen. Dabei wird die Überwachungseinrichtung 510 nach Ablauf einer Sperrzeit für eine bestimmte Adresse oder eine bestimmte Art von Zugriffen wieder umkonfiguriert.In a coupling with the monitoring device 510 can the locking device 540 the monitoring device 510 to configure that certain accesses by the monitoring device 510 be locked. For example, the locking device 540 the monitoring device based on the IP addresses available to it from lock messages 510 configure. In such a case, IP addresses of incoming requests are filtered out and blocked. The locking device 540 can also influence the blocking period. In this case, the monitoring device 510 reconfigured after expiration of a lock time for a particular address or type of access.

Dies hat den Vorteil, dass beide Systeme unabhängig voneinander konfiguriert werden können. Während die Überwachungseinrichtung 510 beispielsweise durch einen Netzwerkadministrator nur selten, wie z. B. einmal im Monat, konfiguriert wird, so kann die Sperreinrichtung 540 automatisch durch das Bearbeiten von Sperrnachrichten ein dynamisches Sperren von Zugriffen ermöglichen.This has the advantage that both systems can be configured independently. While the monitoring device 510 For example, by a network administrator only rarely, such. B. once a month, is configured, so the locking device 540 automatically enable dynamic blocking of access by editing lock messages.

In einer weiteren Ausgestaltung der Überwachungseinrichtung 510 kann diese auf die Sperreinrichtung 540 dahingehend zugreifen, dass sie bestimmte Informationen abfragt. Die Sperreinrichtung 540 wird dann der Überwachungseinrichtung entsprechende Listen oder Konfigurationsdateien bereitstellen, anhand derer die Überwachungseinrichtung 510 die Sperrungen durchführen kann.In a further embodiment of the monitoring device 510 This may be on the locking device 540 to access certain information. The locking device 540 Then the monitoring device will provide corresponding lists or configuration files on the basis of which the monitoring device 510 the locks can perform.

Alternativ nimmt die Sperreinrichtung 540 die Sperrung selbst vor. In dieser Ausgestaltung ist die Überwachungseinrichtung 510 so eingerichtet, dass eingehender Datenverkehr durch die Überwachungseinrichtung 510 und anschließend durch die Sperreinrichtung 540 bearbeitet wird.Alternatively, the locking device takes 540 the blocking itself before. In this embodiment, the monitoring device 510 set up so that incoming traffic through the monitoring device 510 and then through the locking device 540 is processed.

5b zeigt eine alternative Ausführungsform, in der die Bearbeitung von Zugriffen, wie Z. B. Abfragen von Informationen, ebenfalls unabhängig von dem Erkennen von unerwünschten Zugriffen durchgeführt wird. Wie 5a zeigt auch 5b eine Einrichtung 510 zum Überwachen und Sperren von Datenverkehr. Diese Überwachungseinrichtung kann beispielsweise eine Firewall sein. 5b shows an alternative embodiment in which the handling of accesses, such as retrieving information, is also performed independently of the detection of unwanted accesses. As 5a also shows 5b An institution 510 to monitor and block traffic. This monitoring device can be, for example, a firewall.

Mit der Überwachungseinrichtung verbunden ist eine Bereitstellungseinrichtung 520, die wiederum mit einem Datenspeicher oder einer Datenbank 525 gekoppelt ist.Connected to the monitoring device is a provision device 520 , in turn, with a data store or a database 525 is coupled.

Die hinter der Überwachungseinrichtung liegenden Einrichtungen 520 und 525 befinden sich ebenfalls in einem geschützten Bereich 515. Dieser geschützte Bereich wird durch den Schutz der Überwachungseinrichtung 510 erzeugt.The devices behind the monitoring device 520 and 525 are also located in a protected area 515 , This protected area is protected by the monitoring device 510 generated.

Die Bereitstellungseinrichtung 520 kann entweder durch eine einzelne Komponente oder eine Vielzahl von Komponenten implementiert werden. Beispielsweise kann die Bereitstellungseinrichtung 520 aus mindestens einer Servereinheiten bestehen. Alle Servereinheiten bilden zusammen eine so genannte ”Serverfarm”, die nach außen hin eine einzelne Bereitstellungseinrichtung 520 bildet. Die Lastverteilung der einzelnen Servereinheiten wird dann entsprechend der freien Kapazitäten einzelner Servereinheiten vorgenommen. The provisioning device 520 can be implemented by either a single component or a variety of components. For example, the provisioning device 520 consist of at least one server unit. All server units together form a so-called "server farm" which outwardly provides a single provisioning facility 520 forms. The load distribution of the individual server units is then made according to the free capacities of individual server units.

Jede dieser Servereinheiten enthält eine Komponente 521, die das Bereitstellen von Daten und/oder Informationen gewährleistet. Beispielsweise kann es sich dabei um einen Applikationsserver und/oder Webserver handeln. Ferner umfasst die Bereitstellungseinrichtung 520 eine Programmlogik 522, die Daten in Bezug auf Zugriffe, Anfragen bzw. Abfragen und das Bereitstellen von Daten erfasst. Eine Aufgabe der Programmlogik 522 ist das Protokollieren von Zugriffen bzw. eingehenden Anfragen. Dabei werden bestimmte Informationen zugehörig zu den Zugriffen in einem entsprechenden Speicher 523 abgespeichert. Dieser Speicher 523 kann eine Protokolldatei oder Log-Datei beinhalten. Die Programmlogik 522 ist eingerichtet, Informationen bzgl. der Zugriffe zu speichern. Zu diesen Informationen gehören unter anderem eine Adresse des Zugriffsursprungs sowie der Zeitpunkt, zu dem der Zugriff bei der Bereitstellungseinrichtung 520 eingetroffen ist. Die Programmlogik 522 versieht somit jeden Eintrag in der Protokolldatei mit einem Zeitstempel, der den Eingang kennzeichnet.Each of these server units contains a component 521 that ensures the provision of data and / or information. For example, it may be an application server and / or web server. Furthermore, the provision device comprises 520 a program logic 522 that collects data related to access, requests or queries and the provision of data. A task of the program logic 522 is the logging of accesses or incoming requests. In this case, certain information is associated with the accesses in a corresponding memory 523 stored. This store 523 can contain a log file or log file. The program logic 522 is set up to store information regarding access. This information includes, among other things, an address of the access origin as well as the time at which the access was made to the provider 520 has arrived. The program logic 522 thus provides each entry in the log file with a timestamp identifying the input.

Wie aus den Erläuterungen zu 3 ersichtlich, werden noch weitere Informationen bezüglich der Zugriffe durch die Programmlogik in dem Speicher 523 gespeichert.As explained in the notes 3 As can be seen, even more information regarding the accesses by the program logic in the memory 523 saved.

In der Ausgestaltung gemäß 5b greift nun die Sicherheitseinrichtung 530 auf den Speicher 523 und die darin gespeicherte Protokoll- bzw. Log-Datei zu. Die Sicherheitseinrichtung 530 wertet die in der Protokolldatei gespeicherten Daten aus. Diese Auswertung entspricht der oben in Bezug auf 3 beschriebenen Überprüfung auf unerwünschte Zugriffe.In the embodiment according to 5b now accesses the safety device 530 on the memory 523 and the stored log or log file. The safety device 530 evaluates the data stored in the log file. This evaluation is the same as above 3 described review for unwanted access.

Die Sicherheitseinrichtung 530 kann weitere Komponenten (nicht gezeigt) aufweisen. Dazu gehören unter anderem eine Feststellungseinrichtung, eine Ermittlungseinrichtung, eine Vergleichseinrichtung und eine Ausgabeeinrichtung. Die Feststellungseinrichtung dient dabei, den Zugriffsursprung zu ermitteln, während die Ermittlungseinrichtung eine Anzahl von Zugriffen von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums ermittelt. Die Feststellungseinrichtung und Ermittlungseinrichtung sind dabei so eingerichtet, dass sie ihre Ermittlungen auf Basis von Einträgen aus der gespeicherte Protokoll- bzw. Log-Datei durchführen. Die Sicherheitseinrichtung 530 ist deshalb in der Lage, die Einträge des Speichers 523 zu lesen und der Feststellungseinrichtung und Ermittlungseinrichtung bereitzustellen.The safety device 530 may have other components (not shown). These include, among other things, a determination device, a determination device, a comparison device and an output device. The determination device serves to determine the access origin, while the determination device determines a number of accesses from the determined access origin within a predetermined time period. The determination device and determination device are set up so that they carry out their investigations on the basis of entries from the stored log or log file. The safety device 530 is therefore able to store the entries 523 to read and provide the determining means and determining means.

Wie oben zu 5a erläutert vergleicht die Vergleichseinrichtung anschließend die festgestellte Anzahl von Zugriffen mit einem Schwellenwert, um eine unerwünschte Anzahl von Zugriffen zu detektieren. Ist die festgestellte Anzahl von Zugriffen größer als der Schwellenwert, wird eine Sperrnachricht durch die Ausgabeeinrichtung ausgegeben. Die Sicherheitseinrichtung 530 kann hierzu eine Verbindung mit der Sperreinrichtung 540 aufweisen, um die Sperrnachricht direkt an die Sperreinrichtung auszugeben. Alternativ oder zusätzlich kann die Sicherheitseinrichtung 530 die Sperrnachricht auch in einem Datenspeicher, wie zum Beispiel Datenbank 525, ablegen. In diesen Fall würde die Sperreinrichtung 540 die dort gespeicherten Sperrnachrichten abrufen und entsprechend verarbeiten.As above 5a The comparator then compares the detected number of accesses with a threshold to detect an undesirable number of accesses. If the determined number of accesses is greater than the threshold value, a blocking message is output by the output device. The safety device 530 this can be connected to the locking device 540 to output the lock message directly to the lock device. Alternatively or additionally, the safety device 530 the lock message also in a data store, such as database 525 , lay down. In this case, the locking device would 540 retrieve the lock messages stored there and process accordingly.

Die Speicherung der Protokolldaten in einer Protokolldatei findet somit unabhängig von dem Prozess der eigentlichen Datenauswertung statt. Da beim Eintreffen einer Anfrage bzw. Abfrage bei der Bereitstellungseinrichtung deren Eintreffen protokolliert wird, werden Daten bereitgestellt, die unabhängig von der Bearbeitung der Anfrage bzw. Abfrage ausgewertet werden können. Die Auswertung der Protokolldaten kann also zu einem späteren Zeitpunkt beginnen. Somit sind eine parallele Bearbeitung eingehender Anfragen bzw. Abfragen und das Auswerten der Zugriffe möglich.The storage of the log data in a log file thus takes place independently of the process of the actual data evaluation. Since the arrival of a request or query at the provisioning device whose arrival is logged, data is provided, which can be evaluated independently of the processing of the request or query. The evaluation of the log data can therefore start at a later date. Thus, a parallel processing of incoming requests or queries and the evaluation of accesses are possible.

Die Sicherheitseinrichtung 530 bearbeitet die Einträge in der Protokolldatei in der Reihenfolge ihres Eingangs, also in aufsteigender Reihenfolge des Zeitstempels. Alternativ kann die Sicherheitseinrichtung 530 die Auswertung in einer anderen Reihenfolge durchführen. Zum Beispiel könnte die Sicherheitseinrichtung 530 zunächst eine bestimmte Anzahl von Einträgen nach der Adresse des Zugriffsursprungs sortieren.The safety device 530 Edits the entries in the log file in the order of their arrival, that is, in ascending order of the timestamp. Alternatively, the safety device 530 perform the evaluation in a different order. For example, the security device could 530 first sort a certain number of entries by the address of the access origin.

Ferner ist die Sicherheitseinrichtung eingerichtet zum Abspeichern von Zwischeninformationen, die während der Auswertung bzw. dem Erkennen von unerwünschten Zugriffen generiert werden. Dies kann z. B. die Häufigkeit einer bestimmten Adresse sein, die innerhalb eines bestimmten Zeitraums vorkommt. Ein anderes Beispiel solcher Auswertungsdaten sind Indizes, die über die in der Protokolldatei gespeicherten Daten angelegt werden können.Furthermore, the security device is set up for storing intermediate information which is generated during the evaluation or recognition of undesired accesses. This can be z. Example, the frequency of a particular address that occurs within a certain period. Another example of such evaluation data is indexes that can be created over the data stored in the log file.

Alternativ kann auch die Programmlogik 522 anstatt der Sicherheitseinrichtung 530 anfängliche Auswertungen und Umsortierungen der Einträge in der Protokolldatei vornehmen. Beispielsweise könnte die Programmlogik 522 einen Zähler zu jeder Adresse eines Zugriffsursprungs für vorher festgelegte Zeiträume speichern. Es kann z. B. ein Zähler für gleiche Adressen eingerichtet werden, der jede Stunde wieder auf null gesetzt wird, während ein zweiter Zähler alle 24 Stunden auf null gesetzt wird. Die Sicherheitseinrichtung 530 greift dann direkt auf diese Daten zu und kann somit schneller auswerten, ob unerwünschte Zugriffe vorliegen. Alternatively, the program logic 522 instead of the safety device 530 perform initial evaluations and resorting of the entries in the log file. For example, the program logic could 522 store a counter to each address of an access origin for predetermined periods of time. It can, for. For example, a counter may be set up for equal addresses, which is reset to zero each hour, while a second counter is set to zero every 24 hours. The safety device 530 then accesses this data directly and can therefore evaluate faster whether there are any unwanted accesses.

Wie oben beschrieben kann die Bereitstellungseinrichtung 520 aus mehreren Servereinheiten bestehen. In diesem Fall umfasst jede Servereinheit eine Programmlogik 522. Da die einzelnen Servereinheiten der Bereitstellungseinrichtung 520 unterschiedlich ausgelastet sind, kann immer die Programmlogik 522 der Servereinheit, die am wenigsten ausgelastet ist, das Schreiben und/oder anfängliche Bearbeiten der Protokoll- bzw. Log-Datei vornehmen. Wenn es sich bei den Bereitstellungskomponenten 521 um Webserver handelt, wird für gewöhnlich bei einer Vielzahl von eingehenden Zugriffen jeder einzelne Zugriff auf die Servereinheit umgelenkt, die am wenigsten ausgelastet ist. Dadurch kann eine schnellstmögliche Bearbeitung aller Anfragen bzw. Abfragen durchgeführt werden.As described above, the providing device 520 consist of several server units. In this case, each server unit includes program logic 522 , Because the individual server units of the provisioning device 520 are used differently, can always the program logic 522 the least-busy server unit will write and / or initially edit the log or log file. When it comes to the provisioning components 521 In the case of a large number of incoming accesses, each individual access to the server unit that is least busy is usually diverted to accessing the server unit. This allows the fastest possible processing of all queries or queries.

Die Sperreinrichtung 540 ist ebenso, wie oben in Bezug auf 5a beschrieben, ausgebildet. Sie verwendet Sperrnachrichten, um unerwünschte Zugriffe zu sperren bzw. die Überwachungseinrichtung 510 entsprechend zu konfigurieren, sodass unerwünschte Zugriffe gesperrt werden.The locking device 540 is the same as above 5a described, trained. It uses lock messages to block unwanted access or the monitoring device 510 configure accordingly so that unwanted access is blocked.

5c stellt eine weitere Ausgestaltung der Ausführungsform aus 5b dar. Wie 5b enthält diese auch eine Überwachungseinrichtung 510, eine Bereitstellungseinrichtung 520 mit einer Datenbank 525 sowie eine Sicherheitseinrichtung 530 und eine Sperreinrichtung 540. 5c illustrates a further embodiment of the embodiment 5b how 5b this also includes a monitoring device 510 , a provisioning device 520 with a database 525 as well as a safety device 530 and a locking device 540 ,

Die Bereitstellungseinrichtung 520 weist ferner eine Datenbereitstellungskomponente 521, wie z. B. einen Applikationsserver oder Webserver, auf. Des Weiteren enthält sie eine Programmlogik 522, die die gleichen Aufgaben erfüllt, wie oben in Bezug auf 5b beschrieben wurde. Jeder eingehende Zugriff auf die Bereitstellungseinrichtung 520 wird durch die Programmlogik 522 protokolliert und in einem entsprechenden Datenspeicher 550 abgelegt.The provisioning device 520 also has a data delivery component 521 , such as An application server or web server. Furthermore, it contains a program logic 522 that performs the same tasks as described above 5b has been described. Any in-depth access to the deployment facility 520 is through the program logic 522 logged and in a corresponding data store 550 stored.

Insbesondere wenn die Bereitstellungseinrichtung 520 aus einer Vielzahl von Servereinheiten besteht, ist die Ausgestaltung vorteilhaft. Jeder Zugriff, der durch die Bereitstellungseinrichtung auf die einzelnen Servereinheiten umgelenkt wird, wird durch die entsprechende Programmlogik 522 der jeweiligen Servereinheit protokolliert und in dem gemeinsamen Datenspeicher 550 abgelegt. Somit entsteht in dem Datenspeicher 550 ein Protokoll über alle eingehenden Zugriffe, während die Arbeitslast der Protokollierung auf die einzelnen Servereinheiten verteilt wird. Wie oben unter 5b beschrieben, können z. B. die Adresse des Zugriffsursprungs sowie der Zeitpunkt des Eingangs des Zugriffs abgespeichert werden.In particular, when the provisioning device 520 consists of a variety of server units, the design is advantageous. Each access that is redirected to the individual server units by the provisioning device is determined by the appropriate program logic 522 the respective server unit logged and in the common data memory 550 stored. Thus arises in the data memory 550 a log of all inbound traffic while the logging workload is distributed to each server unit. As above under 5b described, z. B. the address of the access origin and the time of receipt of access are stored.

Diese Ausgestaltung der Erfindung umfasst ferner eine Auswertungseinrichtung 560, die an den Datenspeicher 550 gekoppelt ist. Die Auswertungseinrichtung 560 ist so eingerichtet, dass sie zu bestimmten Zeitpunkten die in dem Datenspeicher 550 abgelegten Daten auswertet. Beispielsweise kann sie zu jeder vollen Stunde die Einträge mit einem Zeitstempel, der innerhalb der letzten 60 Minuten liegt, auswerten. Zusätzlich oder alternativ ist eine oder mehrere Auswertungen über einen anderen Zeitraum, wie z. B. 24 Stunden oder eine Woche, möglich.This embodiment of the invention further comprises an evaluation device 560 attached to the data store 550 is coupled. The evaluation device 560 is set up so that at certain times in the data store 550 evaluated stored data. For example, every hour on the hour, it can evaluate the entries with a timestamp that is within the last 60 minutes. Additionally or alternatively, one or more evaluations over a different period, such. 24 hours or a week.

Eine weitere Auswertungsmöglichkeit, die durch die Auswertungseinrichtung 560 durchgeführt wird, ist das Erkennen von Mustern. Dabei kann es sich um zeitliche Muster handeln, unter denen Anfragen von bestimmten Zugriffsursprüngen durchgeführt werden. Alternativ oder zusätzlich können auch inhaltliche Muster der Zugriffe aufgedeckt werden. Wie oben in Bezug auf 3 beschrieben, können z. B. bestimmte Kennungen oder andere Charakteristika der Zugriffe ermittelt und ausgewertet werden.Another evaluation option by the evaluation device 560 is performed, is the recognition of patterns. These may be temporal patterns under which requests from particular access origins are made. Alternatively or additionally, content patterns of the accesses can also be revealed. As above regarding 3 described, z. B. certain identifiers or other characteristics of accesses are determined and evaluated.

Die Auswertungseinrichtung 560 speichert die Ergebnisse dieser Auswertungen ebenfalls in den Datenspeicher 550. Dies ermöglicht der Sicherheitseinrichtung 530 ein einfaches Zugreifen auf einen zentralen Auswertungsdatenspeicher. Die Sicherheitseinrichtung 530 kann somit schnell und effektiv ermitteln, ob unerwünschte Zugriffe auf die Bereitstellungsreinrichtung 520 vorliegen oder nicht. Wie oben bereits erläutert, wird bei dem Vorliegen eines unerwünschten Zugriffs eine Sperrnachricht ausgegeben, die durch die Sperreinrichtung 540 weiterverarbeitet werden kann.The evaluation device 560 also stores the results of these evaluations in the data store 550 , This allows the safety device 530 easy access to a central evaluation data memory. The safety device 530 can thus quickly and effectively determine if unwanted access to the delivery device 520 present or not. As explained above, in the presence of an unwanted access, a disabling message is issued by the disabling device 540 can be further processed.

Die Arbeitsweise der Sperreinrichtung 540 entspricht derjenigen, der oben mit Bezug auf 5a und 5b beschriebenen Sperreinrichtung 540.The operation of the locking device 540 corresponds to the one above with respect to 5a and 5b described locking device 540 ,

Zusammenfassend werden Vorrichtungen beschrieben, um automatisierte Zugriffe auf Information von einem Zugriffsursprung aus anhand ihrer Häufigkeit und/oder unter Einbezug weiterer Charakteristika, wie etwa ob gewisse Zeichenfolgen, die in der Anfrage enthalten sind, zu erkennen und gegebenenfalls weitere Zugriffe von diesem Zugriffsursprung aus zu sperren.In summary, devices are described for detecting automated accesses to information from an access origin based on their frequency and / or other characteristics, such as whether certain strings included in the request, and optionally blocking further accesses from that access origin ,

BezugszeichenlisteLIST OF REFERENCE NUMBERS

100100
Zugriffsursprungaccess origin
110110
ZugriffsnetzwerkAccess Network
120120
Netz-ServervorrichtungNetwork server device
125125
Firewallfirewall
126126
Applikationsserverapplication server
127127
Datenspeicherdata storage
128128
Firewallfirewall
129129
Datenspeicherdata storage
130130
Sicherheitseinrichtungsafety device
140140
Sperreinrichtunglocking device
200200
Kriteriumcriteria
210210
Ausgabeoutput
220220
SperrenLock
230230
FortfahrenContinue
240240
Ausgabeoutput
300300
PrüfschrittTest step
310310
PrüfschrittTest step
330330
PrüfschrittTest step
340340
PrüfschrittTest step
345345
FortfahrenContinue
350350
Vergleichsschrittcomparison step
360360
Aufnahmeschrittrecording step
370370
Ausgabeschrittoutput step
380380
Vergleichsschrittcomparison step
390390
Ausgabeoutput
391391
Ausgabeoutput
392392
Ausgabeoutput
393393
Ausgabeoutput
395395
FortfahrenContinue
396396
Ausgabe SperrnachrichtIssue lock message
397397
SperrenLock
398398
Aufheben SperrungLift up blocking

Claims (17)

Vorrichtung (120) zum Erkennen eines unerwünschten Zugriffs auf Informationen, wobei die Vorrichtung umfasst: eine Überwachungseinrichtung (125) zur Überwachung des Zugriffs auf Informationen; eine Bereitstellungseinrichtung (126) zum Bereitstellen der Informationen, wobei die Bereitstellungseinrichtung eingerichtet ist, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung (100) zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist; und eine Sicherheitseinrichtung (130) zum Erkennen von unerwünschten Zugriffen, wobei die Sicherheitseinrichtung eingerichtet ist, das Erkennen von unerwünschten Zugriffen zu einem bestimmten Zeitpunkt zu beginnen, der nach dem Bearbeiten der Abfrage von Informationen und nach einem Bereitstellen der Informationen an den Zugriffsursprung (100) durch die Bereitstellungseinrichtung (126) liegt, wobei die Sicherheitseinrichtung (130) umfasst: eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs (100); eine Ermittlungseinrichtung zum Ermitteln der Anzahl der Zugriffe von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums; eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einer Schwelle; und einer Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als die Schwelle ist, wobei die Vorrichtung umfasst: eine Sperreinrichtung (140) zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs (100) beim Vorliegen einer Sperrnachricht.Contraption ( 120 ) for detecting unwanted access to information, the device comprising: a monitoring device ( 125 ) for monitoring access to information; a provisioning device ( 126 ) for providing the information, wherein the providing device is set up, a query of information by an access from an access origin ( 100 ) and to provide the requested information to the access origin, the provisioning means being located in an area protected by the monitoring device; and a safety device ( 130 ) for detecting unwanted accesses, wherein the security device is set up to start detecting unwanted accesses at a specific point in time after processing the request for information and after providing the information to the access origin ( 100 ) by the provisioning device ( 126 ), the safety device ( 130 ) comprises: a determination device for determining the access origin ( 100 ); determining means for determining the number of accesses from the determined access origin within a predetermined period of time; a comparing means for comparing the detected number of accesses with a threshold; and output means for outputting a disabling message if the detected number of accesses is greater than the threshold, the device comprising: a locking device ( 140 ) to edit the lock message and to block further access origin accesses ( 100 ) in the presence of a blocking message. Vorrichtung nach Anspruch 1, wobei die Sperreinrichtung (140) mit der Überwachungseinrichtung (125) gekoppelt ist und eingerichtet ist, mittels der Kopplung die Überwachungseinrichtung zum Sperren von weiteren Zugriffen des Zugriffsursprungs (100) zu konfigurieren.Apparatus according to claim 1, wherein the locking device ( 140 ) with the monitoring device ( 125 ) and is set up, by means of the coupling, the monitoring device for blocking further access from the access origin ( 100 ). Vorrichtung nach Anspruch 1 oder 2, wobei die Vorrichtung ferner eine Bewertungseinrichtung zum Bewerten der Auslastung der Sicherheitseinrichtung umfasst, und wobei die Sicherheitseinrichtung eingerichtet ist, den bestimmten Zeitpunkt für das Beginnen des Erkennens von unerwünschten Zugriffen in Abhängigkeit des Bewertens der Auslastung zu wählen.Apparatus according to claim 1 or 2, wherein the apparatus further comprises an evaluation device for assessing the utilization of the safety device, and wherein the safety device is adapted to select the specific time for starting the recognition of unwanted accesses depending on the evaluation of the utilization. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Sicherheitseinrichtung (130) ferner umfasst: eine Ermittlungseinrichtung zum Ermitteln zumindest einer zweiten Anzahl der Zugriffe vom Zugriffsursprung (100) innerhalb zumindest eines zweiten Zeitraums, welcher vom ersten Zeitraum verschieden ist; eine Vergleichseinrichtung zum Vergleichen der festgestellten zweiten Anzahl von Zugriffen im zweiten Zeitraum mit zumindest einer zweiten Zugriffszahlschwelle; eine Ausgabeeinrichtung zum Ausgeben einer Sperrmitteilung wenn die zweite festgestellte Anzahl von Zugriffen größer als die zweite Zugriffszahlschwelle ist.Device according to one of claims 1 to 3, wherein the safety device ( 130 ) further comprises: a determination device for determining at least a second number of accesses from the access origin ( 100 ) within at least a second period, which is different from the first period; a comparing means for comparing the detected second number of accesses in the second period with at least a second access number threshold; an output device for outputting a blocking message when the second detected number of accesses is greater than the second accessing number threshold. Vorrichtung nach einem der Ansprüche 1 bis 4, wobei die Feststellungseinrichtung eingerichtet ist, den Zugriffsursprung anhand zumindest eines Teils einer Adresse, insbesondere einer Netzwerkadresse und/oder einer MAC Adresse, festzustellen.Device according to one of claims 1 to 4, wherein the determining means is adapted to determine the access origin based on at least part of an address, in particular a network address and / or a MAC address. Vorrichtung nach einem der Ansprüche 1 bis 5, wobei die Sicherheitseinrichtung (130) ferner umfasst: eine Ermittlungseinrichtung zum Ermitteln zumindest einer weiteren Anzahl von Zugriffen vom Zugriffsursprung (100) innerhalb zumindest eines Kontrollzeitraums, welcher vom ersten Zeitraum verschieden ist; eine Vergleichseinrichtung zum Vergleichen der festgestellten weiteren Anzahl von Zugriffen im Kontrollzeitraum mit zumindest einer vorgegebenen Kontrollschwelle; eine Speichereinrichtung zum Abspeichern zumindest eines Teils der festgestellten Adresse, wenn die Anzahl der Zugriffe über einer Kontrollschwelle liegt; eine Vergleichseinrichtung zum Vergleichen dieses zumindest einen Teils der Adresse mit einer Liste mit zumindest einem Teil von zumindest einer Adresse; eine Ausgabeeinrichtung zum Ausgeben des zumindest einen Teils der festgestellten Adresse, wenn die festgestellte Adresse nicht in der Liste enthalten ist.Device according to one of claims 1 to 5, wherein the safety device ( 130 ) further comprises: a determination device for determining at least one further number of accesses from the access origin ( 100 ) within at least one control period, which is different from the first period; a comparison device for comparing the determined further number of accesses in the control period with at least one predetermined control threshold; a memory means for storing at least a part of the determined address if the number of accesses is above a control threshold; comparing means for comparing this at least part of the address with a list of at least a part of at least one address; output means for outputting the at least a part of the determined address if the detected address is not included in the list. Vorrichtung nach Anspruch 6, wobei die Sperreinrichtung eingerichtet ist, weitere Zugriffe zu sperren, wenn eine Ausgabe des zumindest einen Teils der festgestellten Adresse erfolgt.Apparatus according to claim 6, wherein the inhibiting means is arranged to inhibit further accesses when an output of the at least part of the determined address takes place. Vorrichtung nach Anspruch 6 oder 7, die ferner eine Listeneinrichtung umfasst, wobei die Listeneinrichtung eingerichtet ist, die Liste durch zumindest einen Eintrag aus einer Adresse oder eines Teiles der Adresse zu bilden und einen Eintrag in die Liste vorzunehmen, wenn die Zugriffe vom zur Adresse gehörigen Zugriffsursprung (100) aus die Kontrollschwelle in dem Kontrollzeitraum überschreiten.Apparatus according to claim 6 or 7, further comprising a list device, the list device being arranged to form the list by at least one entry from an address or a part of the address and to make an entry in the list when the accesses are from the address belonging to the address Access origin ( 100 ) exceed the control threshold during the control period. Vorrichtung nach einem der Ansprüche 6 bis 8, bei dem der Kontrollzeitraum länger ist als der erste Zeitraum und/oder der zweite Zeitraum.Device according to one of claims 6 to 8, wherein the control period is longer than the first period and / or the second period. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die Sicherheitseinrichtung (130) ferner aufweist: eine Analyseeinrichtung zum Analysieren des Zugriffs bezüglich einer Kennung, insbesondere einer Zeichenfolge, eine Ausgabeeinrichtung zum Ausgeben einer Sperrmitteilung, wenn der Zugriff zumindest eine festgelegte Kennung aufweist.Device according to one of the preceding claims, wherein the safety device ( 130 ) further comprising: analyzing means for analyzing access to an identifier, in particular a character string, output means for outputting a disabling message if the access has at least one specified identifier. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die Vorrichtung ferner aufweist: eine Speichereinrichtung zum Speichern einer Aktionsbeschreibung, „Sperren” oder „Ausgabe” und/oder zumindest eines Kriteriums, das zur Ausgabe einer Sperrmitteilung führt, wobei das zumindest eine Kriterium, durch die Anzahl von Zugriffen und/oder Format und/oder Zeitraum und/oder Kontrollzeitraum gebildet wird. Device according to one of the preceding claims, wherein the device further comprises: memory means for storing an action description, "lock" or "output" and / or at least one criterion, which leads to the output of a blocking message, wherein the at least one criterion, by the number of access and / or format and / or period and / or control period. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die Sperreinrichtung (140) ferner eingerichtet ist, Zugriffe für eine festgelegte Auszeit zu sperren und die Auszeit in Abhängigkeit von zumindest einem Kriterium, das zum Sperren oder zur Ausgabe der Sperrnachricht führt, festzulegen.Device according to one of the preceding claims, wherein the blocking device ( 140 ) is further configured to block accesses for a fixed time-out and to set the time-out in dependence on at least one criterion that leads to the blocking or the output of the blocking message. Vorrichtung nach einem der Ansprüche 11 oder 12, wobei die Vorrichtung ferner aufweist: eine Nachrichteneinrichtung zum Erstellen einer Nachricht mit zumindest einem der gespeicherten Kriterien.Apparatus according to any of claims 11 or 12, wherein the apparatus further comprises: a message device for creating a message with at least one of the stored criteria. Vorrichtung nach Anspruch 13, wobei die Vorrichtung ferner aufweist: eine Anzeigeeinrichtung zum Anzeigen der erstellten Nachricht, und/oder eine Sendeeinrichtung zum Senden der erstellten Nachricht, insbesondere einer E-Mail, an eine vorgegebene Adresse.The apparatus of claim 13, wherein the apparatus further comprises: a display device for displaying the created message, and / or a transmitting device for sending the created message, in particular an e-mail, to a predetermined address. Vorrichtung nach einem der Ansprüche 13 oder 14, bei dem die Nachricht die Adresse des Zugriffsursprungs (100) und/oder die Kriterien des Sperrens oder der Ausgabe und/oder den Zeitpunkt der Sperrung oder der Ausgabe und/oder einen Entsperrzeitpunkt und/oder eine Auszeit enthält.Device according to one of Claims 13 or 14, in which the message contains the address of the access origin ( 100 ) and / or the criteria for blocking or issuing and / or the time of blocking or issuing and / or an unlocking time and / or a timeout. Vorrichtung nach einem der vorhergehenden Ansprüche, wobei die Vorrichtung ferner aufweist: eine Rücksetzungseinrichtung zum manuellen Rücksetzer der Sperre und/oder automatischen Rücksetzen der Sperre nach Ablauf der Auszeit und/oder zum Entsperrzeitpunkt.Apparatus according to any one of the preceding claims, wherein the apparatus further comprises: a reset means for manual reset of the lock and / or automatic reset of the lock after the expiry of the time-out and / or the unlock time. Vorrichtung (120) zum Erkennen eines unerwünschten Zugriffs auf Informationen, wobei die Vorrichtung umfasst: eine Überwachungseinrichtung (125) zur Überwachung des Zugriffs auf Informationen; eine Bereitstellungseinrichtung (126) zum Bereitstellen der Informationen, wobei die die Bereitstellungseinrichtung eingerichtet ist, eine Abfrage von Informationen durch einen Zugriff von einem Zugriffsursprung (100) zu bearbeiten und dem Zugriffsursprung die abgefragten Informationen bereitzustellen, wobei die Bereitstellungseinrichtung in einem durch die Überwachungseinrichtung geschützten Bereich angeordnet ist; eine Protokolleinrichtung (522) zum Protokollieren des Zugriffs des Zugriffsursprungs, wobei die Protokolleinrichtung eingerichtet ist, einen Eintrag für jeden Zugriff zusammen mit weiteren Informationen bezüglich des Zugriffs in einem ersten Speicher abzuspeichern; und eine Sicherheitseinrichtung (130) zum Erkennen von unerwünschten Zugriffen, wobei die Sicherheitseinrichtung eingerichtet ist, Einträge in dem ersten Speicher zu lesen und unerwünschte Zugriffe zu detektieren, wobei die Sicherheitseinrichtung (130) umfasst: eine Feststellungseinrichtung zum Ermitteln des Zugriffsursprungs (100) basierend auf den gelesenen Einträgen; eine Ermittlungseinrichtung zum Ermitteln der Anzahl der Zugriffe von dem ermittelten Zugriffsursprung innerhalb eines vorgegebenen Zeitraums basierend auf den gelesenen Einträgen; eine Vergleichseinrichtung zum Vergleichen der festgestellten Anzahl von Zugriffen mit einer Schwelle; und einer Ausgabeeinrichtung zum Ausgeben einer Sperrnachricht, wenn die festgestellte Anzahl von Zugriffen größer als die Schwelle ist, wobei die Vorrichtung umfasst: eine Sperreinrichtung (140) zum Bearbeiten der Sperrnachricht und zum Sperren von weiteren Zugriffen des Zugriffsursprungs (100) beim Vorliegen einer Sperrnachricht.Contraption ( 120 ) for detecting unwanted access to information, the device comprising: a monitoring device ( 125 ) for monitoring access to information; a provisioning device ( 126 ) for providing the information, wherein the provisioning device is set up, a query of information by an access from an access origin ( 100 ) and to provide the requested information to the access origin, the provisioning means being located in an area protected by the monitoring device; a protocol device ( 522 ) for logging access of the access origin, wherein the logging means is arranged to store an entry for each access along with further information regarding the access in a first memory; and a safety device ( 130 ) for detecting unwanted accesses, wherein the security device is set up to read entries in the first memory and to detect unwanted accesses, wherein the security device ( 130 ) comprises: a determination device for determining the access origin ( 100 ) based on the read entries; determining means for determining the number of accesses from the determined access origin within a predetermined period based on the read entries; a comparing means for comparing the detected number of accesses with a threshold; and an output device for outputting a disabling message if the determined number of accesses is greater than the threshold, the device comprising: a disabling device ( 140 ) to edit the lock message and to block further access origin accesses ( 100 ) in the presence of a blocking message.
DE202010016871U 2010-12-21 2010-12-21 Device for detecting unwanted access Expired - Lifetime DE202010016871U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE202010016871U DE202010016871U1 (en) 2010-12-21 2010-12-21 Device for detecting unwanted access

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE202010016871U DE202010016871U1 (en) 2010-12-21 2010-12-21 Device for detecting unwanted access

Publications (1)

Publication Number Publication Date
DE202010016871U1 true DE202010016871U1 (en) 2011-03-03

Family

ID=43706055

Family Applications (1)

Application Number Title Priority Date Filing Date
DE202010016871U Expired - Lifetime DE202010016871U1 (en) 2010-12-21 2010-12-21 Device for detecting unwanted access

Country Status (1)

Country Link
DE (1) DE202010016871U1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220417266A1 (en) * 2021-06-24 2022-12-29 Citrix Systems, Inc. Systems and methods for autonomous program detection

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220417266A1 (en) * 2021-06-24 2022-12-29 Citrix Systems, Inc. Systems and methods for autonomous program detection

Similar Documents

Publication Publication Date Title
DE102005010923B4 (en) System, computer-usable medium and method for monitoring network activity
DE69929268T2 (en) Method and system for monitoring and controlling network access
DE60016613T2 (en) DETECTION SYSTEM AGAINST INTERRUPTION AND ABUSE
DE69728182T2 (en) METHOD AND DEVICE FOR REMOVING NETWORK ACCESS ENTRY AND NETWORK ACCESS REPORT
DE60126798T2 (en) METHOD FOR BROWSING AND ANALYZING INFORMATION IN DATA NETWORKS
DE60308700T2 (en) DYNAMIC REMOTE CONFIGURATION OF A WEBSERVER FOR PROVIDING CAPACITY ON REQUEST
DE69934871T2 (en) Method and system for optimally selecting a web firewall in a TCP / IP network
DE60316543T2 (en) ADAPTIVE BEHAVIOR-RELATED IMPACT DETECTION
DE60114999T2 (en) MONITORING AND INTERACTION WITH NETWORK SERVICES
DE69909839T2 (en) Optimized localization of network resources
DE112010002445T9 (en) Identification of bots
DE202021103602U1 (en) Benchmark function for output nodes
DE102013208923B4 (en) System for detecting the presence of a malicious domain name service provider by passive monitoring
DE202018006616U1 (en) Accelerate the cyber analytics workflow
DE112010003099B4 (en) DETECTION OF LOW-LEAVED NETWORK UNITS
EP1178409A1 (en) Cookiemanager to control the exchange of cookies in an Internet client-server computersystem
DE60114763T2 (en) Method and apparatus for filtering access, and computer product
DE202016009026U1 (en) Rules-based network threat detection
DE202008017947U1 (en) Network server device for detecting unwanted access
DE102013201973A1 (en) Distributed application anticipating server responses
DE202010016871U1 (en) Device for detecting unwanted access
EP3824612A1 (en) Penetration test method, computer program and device for data processing
EP3669501B1 (en) Method for providing data packets from a can bus, control device and system having a can bus
EP1109370A2 (en) Device and method for individual filtering of information sent over a network
DE102016107647B4 (en) Method and storage medium for securing / monitoring a network

Legal Events

Date Code Title Description
R207 Utility model specification

Effective date: 20110407

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021240000

Ipc: G06F0021550000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021240000

Ipc: G06F0021550000

Effective date: 20130506

R150 Utility model maintained after payment of first maintenance fee after three years
R150 Utility model maintained after payment of first maintenance fee after three years

Effective date: 20140121

R082 Change of representative

Representative=s name: WACHENHAUSEN, MARC, DIPL.-ING., DE

R151 Utility model maintained after payment of second maintenance fee after six years
R158 Lapse of ip right after 8 years