[go: up one dir, main page]

DE102011009358A1 - A method for detecting improper ad redirection on the Internet - Google Patents

A method for detecting improper ad redirection on the Internet Download PDF

Info

Publication number
DE102011009358A1
DE102011009358A1 DE102011009358A DE102011009358A DE102011009358A1 DE 102011009358 A1 DE102011009358 A1 DE 102011009358A1 DE 102011009358 A DE102011009358 A DE 102011009358A DE 102011009358 A DE102011009358 A DE 102011009358A DE 102011009358 A1 DE102011009358 A1 DE 102011009358A1
Authority
DE
Germany
Prior art keywords
url
original
digital computer
program
hijacking
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102011009358A
Other languages
German (de)
Inventor
Peter Herold
Stefan Stadlberger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xamine GmbH
Original Assignee
Xamine GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xamine GmbH filed Critical Xamine GmbH
Priority to DE102011009358A priority Critical patent/DE102011009358A1/en
Priority to PCT/EP2012/000337 priority patent/WO2012100942A1/en
Publication of DE102011009358A1 publication Critical patent/DE102011009358A1/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Erkennen der Authentizität einer Originalanzeige (1) in einer Ergebnisliste einer Internet-Suchmaschine. Hierzu wird die URL (11; 11T) einer Originalanzeige (1) mit einem fälschungssicheren Parameter (111), vorzugsweise einer digitalen Signatur, versehen. Diese mit dem Parameter (111) versehene URL (11T) wird mit der URL (12; 12T) einer Anzeige (2) in einer durch ein Programm gesteuert einzeln oder in Intervallen durch Abfrage eines Suchbegriffs erzeugten Ergebnisliste verglichen. Sofern in der URL (12; 12T) der Parameter (111) fehlt, wird die Anzeige (2) einem Ad-Hijacker (AH) zugeordnet und deren URL (12; 12T) in einem Speicherplatz eines Hijacking-Protokolls (HP) gespeichert.The invention relates to a method for recognizing the authenticity of an original advertisement (1) in a result list of an Internet search engine. For this purpose, the URL (11; 11T) of an original advertisement (1) is provided with a forgery-proof parameter (111), preferably a digital signature. This URL (11T) provided with the parameter (111) is compared with the URL (12; 12T) of an advertisement (2) in a result list, controlled by a program, either individually or at intervals by querying a search term. If the parameter (111) is missing in the URL (12; 12T), the ad (2) is assigned to an ad hijacker (AH) and its URL (12; 12T) is stored in a memory location of a hijacking protocol (HP).

Description

Die Erfindung betrifft ein Verfahren zum Aufspüren missbräuchlicher Anzeigen-Umleitungen („Ad-Hijacking”) im Internet gemäß dem Oberbegriff des Patentanspruchs 1 und einen zur Ausführung dieses Verfahrens eingerichteten Digitalrechner.The invention relates to a method for detecting ad-hijacking on the Internet according to the preamble of patent claim 1 and to a digital computer configured to carry out this method.

Wenn ein Internet-Nutzer als potenzieller Kunde für ein bestimmtes Produkt einen Markennamen oder eine ihm geläufige Bezeichnung für ein Produkt in das Suchfenster einer Suchmaschine eingibt und die Suche aktiviert, erscheinen, sofern für seinen Suchbegriff im Werbeprogramm der Suchmaschine Anzeigen(„AdWord”) geschalten wurden, diese Anzeigen. Die Werbeanzeigen der verschiedenen werbetreibenden Unternehmer werden an den Top-Positionen der Ergebnisliste, meistens ganz oben und/oder am rechten Bildrand ausgeliefert. Um möglichst viel Reichweite zu generieren, vergeben viele werbetreibende Unternehmen „Unterlizenzen” an sogenannte „Affiliates”. Ein Affiliate ist ein Vertriebsvermittler, der zwischen dem das Produkt suchenden Endkunden und dem werbetreibenden Unternehmen des gesuchten Produkts agiert. Der Affiliate sichert sich ebenso wie der werbetreibende Unternehmer durch seine gegenüber dem Suchmaschinen-Betreiber bezahlte Anzeige die gewünschte Top-Position in der Ergebnisliste bei einem Aufruf eines bestimmten Suchbegriffs („Keyword”). Dabei gilt der Grundsatz, dass die Position des Meistzahlenden die beste ist. Der legal agierende Affiliate erhält bei Zustandekommen eines über seine Anzeigenseite zustande gekommenen Kaufvertrages vom Anbieter des gesuchten Produkts eine oft nicht unerhebliche Provision.When an Internet user, as a potential customer for a specific product, enters a search term or familiar name for a product in the search window of a search engine and activates the search, the search engine will display ads for its search term ("AdWord") were, these ads. The advertisements of the various advertising entrepreneurs are delivered to the top positions of the result list, usually at the top and / or the right edge of the screen. In order to generate as much coverage as possible, many advertising companies assign "sub-licenses" to so-called "affiliates". An affiliate is a sales agent who acts between the end user looking for the product and the advertising company of the product being sought. The affiliate, as well as the advertising entrepreneur, secures the desired top position in the result list when calling up a certain search term ("keyword") by means of his advertisement paid to the search engine operator. The principle is that the position of the highest paying is the best. The legally acting affiliate receives at the conclusion of a purchase contract concluded on his advertising page from the provider of the product sought a not inconsiderable commission.

Viele Unternehmen, die Affiliate-Programme anbieten, unterschätzen die Gefahr des „Ad-Hijackings”. Unter „Ad-Hijacking” versteht der Fachmann das illegale Entführen („Hijacking”) und Umleiten von AdWords-Anzeigen auf eine URL eines illegal agierenden Affiliate. Beim Ad-Hijacking kopiert ein illegal agierender Affiliate – der Ad-Hijacker – die Anzeige des werbetreibenden Unternehmers oder eines legal agierenden Affiliate und überbietet dessen gebotenen Klickpreis, um dadurch die Originalanzeige auszutauschen. Hierfür genügt es, wenn er dem Suchmaschinen-Betreiber auch nur einen Cent mehr bietet, als der Betreiber der Original-Anzeige. Da alle diese Vorgänge automatisch von Rechnern abgewickelt werden, besteht hier für den Suchmaschinen-Betreiber bislang auch kaum eine Möglichkeit einer Kontrolle.Many companies that offer affiliate programs underestimate the risk of ad hijacking. By "ad hijacking", a professional understands hijacking and redirects AdWords ads to a URL of an illegally acting affiliate. In ad-hijacking, an illegally acting affiliate - the ad hijacker - copies the advertisement of the advertising entrepreneur or a legally acting affiliate and outperforms the offered click price, thereby exchanging the original advertisement. For this it is sufficient if he offers the search engine operator even one cent more than the operator of the original ad. Since all these processes are handled automatically by computers, so far there is hardly any possibility of control for the search engine operator.

Klickt nun ein Internetnutzer auf die entführte Anzeige, wird er über eine Microseite auf die originale Landingpage des Markeninhabers bzw. Produktanbieters (nachfolgend „des Original-Unternehmens”) weitergeleitet. Dieser Vorgang dauert nur Sekundenbruchteile, so dass der Nutzer letztlich davon nichts mitbekommt. Auf der Microseite setzt der illegal agierende Affiliate beim Nutzer ein oder auch mehrere Cookies. Für die Abverkäufe die zukünftig über diesen Nutzer entstehen, kassiert der illegal agierende Affiliate eine Provision. Um unentdeckt zu bleiben, schaltet der illegal agierende Affiliate die Anzeigen oft nur zu den Zeiten, bei denen er davon ausgeht, dass keiner den Diebstahl bemerkt, z. B. nachts. Oft werden die Anzeigen auch nur auf bestimmte Regionen bezogen geschaltet, die außerhalb des Firmensitzes des bestohlenen Original-Unternehmens liegen. Die vorstehende Problematik ist beispielsweise in dem Internet-Artikel http://www.stateofsearch.com/brand-bidding-ad-hijacking-part-1/ von Evert Veldhuijsen beschrieben.If an internet user now clicks on the abducted ad, he will be redirected via a microsite to the original landing page of the trademark owner or product provider (hereinafter referred to as "the original company"). This process takes only fractions of a second, so that the user ultimately does not notice. On the microsite, the illegally acting affiliate places one or more cookies on the user. For the sales that arise in the future about this user, the illegally acting affiliate collects a commission. To stay undetected, the illegally acting affiliate often only serves the ads at times when he assumes that no one notices the theft, eg. At night. Often, ads will only appear in certain regions that are outside the headquarters of the stolen original company. The above problem is, for example, in the Internet article http://www.stateofsearch.com/brand-bidding-ad-hijacking-part-1/ described by Evert Veldhuijsen.

Neben hohen finanziellen Kosten und Internet-Trafficverlusten, kann Ad-Hijacking auch zu irreparablen Imageverlusten führen, sollte der Nutzer über unseriöse oder anrüchige Seiten geführt werden.In addition to high financial costs and Internet traffic losses, ad hijacking can also lead to irreparable image losses should the user be led over dubious or disreputable sites.

Die geschätzten Ausmaße der finanziellen Verluste sind der unter der Internet-Adresse http://www.sem-scout.de/adhijacking_studie.php veröffentlichten Studie entnehmbar.The estimated levels of financial losses are those at the Internet address http://www.sem-scout.de/adhijacking_studie.php published study.

Dabei zählt das betrügerische Kapern von AdWords-Anzeigen längst nicht mehr zu einer Randerscheinung im Suchmaschinenmarketing sondern wird von findigen Affiliates im großen Stil betrieben.The fraudulent hijacking of AdWords ads is no longer a marginal phenomenon in search engine marketing but is operated by resourceful affiliates in a big way.

Der Erfindung liegt die Aufgabe zugrunde, ein rechnergestütztes Verfahren anzugeben, mittels dem Ad-Hijacking-Attacken einfach und zuverlässig aufgespürt werden können.The invention has for its object to provide a computer-aided method by means of the ad-hijacking attacks can be detected easily and reliably.

Diese Aufgabe wird durch die Merkmale des Patentanspruchs 1 gelöst. Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen angegeben.This object is solved by the features of patent claim 1. Advantageous embodiments of the invention are specified in the dependent claims.

Das erfindungsgemäße Verfahren mit der abgekürzten Bezeichnung ”ADIFF” = ”Ad Detection and Identifikation of Friend and Foe” ermöglicht eine automatisierte Erkennung und Identifizierung von illegal kopierten und mit einer zu einem illegal agierenden Affiliate führenden URL versehenen Anzeige. Dadurch ist eine rasche Erkennung von „Freund und Feind” unter den Werbeanzeigen auf einer Suchmaschine im Internet möglich.The method according to the invention with the abbreviated designation "ADIFF" = "Ad Detection and Identification of Friend and Foe" enables automated recognition and identification of illegally copied and provided with a URL leading to an illegal affiliate URL. This allows a quick recognition of "friend and foe" among the advertisements on a search engine on the Internet.

ADIFF bietet digitale Signaturen für bezahlte Suchmaschinenwerbung zur eindeutigen Identifikation der Authentizität des Herausgebers (Werbetreibender). Damit lassen sich Betrugsfälle („Ad-Hijacking”) durch illegal agierende Affiliates („Ad-Hijacker”) sicher erkennen und dokumentieren.ADIFF provides digital signatures for paid search advertising to uniquely identify the publisher's authenticity (advertiser). Thus, fraud cases ("ad hijacking") by illegally acting affiliates ("ad hijackers") can be reliably identified and documented.

Mittels der Hinzufügung einer digital verschlüsselten Signatur oder eines Hash-Codes der Tracking-URL der Originalanzeige wird die URL der Originalanzeige eindeutig erkennbar und kann durch einen automatisierten, mittels eines Programms gesteuerten Vergleich von der Tracking-URL einer kopierten Seite unterschieden werden. Das Programm ermöglicht gleichzeitig die Dokumentation des Missbrauchs, indem die Umleitungs-Informationen (im Fachjargon „Redirect Chain”) einer identifizierten illegal kopierten und umgeleiteten Anzeige erfasst und gespeichert und dem Betreiber der legalen Anzeigenseite für eine unverzügliche Rechtsverfolgung zur Verfügung gestellt werden. By adding a digitally encrypted signature or hash code to the tracking URL of the original display, the URL of the original display becomes clearly recognizable and can be distinguished from the tracking URL of a copied page by an automated, program-controlled comparison. The program also allows documentation of the abuse by collecting and storing the redirect information (redirect chain) of an identified illegally copied and redirected ad and making it available to the operator of the legal ad site for immediate prosecution.

Als Verschlüsselungsverfahren wird bevorzugt eines der üblichen Verfahren, insbesondere eine AES-, eine DSA-, eine 3DES oder eine RSA-Verschlüsselung oder ein mittels des MD5-Verfahrens oder des SHA1, des SHA32 oder des RIPE-MD-160-Verfahrens erzeugter Hash-Code der Originalanzeige gewählt. Dabei kann jedoch jedes dem Stand der Technik entsprechende Verschlüsselungs- oder Hash-Code-Verfahren oder auch ein selbst geschaffenes Signatur-Verfahren zur Anwendung kommen.The encryption method used is preferably one of the customary methods, in particular an AES, a DSA, a 3DES or an RSA encryption or a hash generated by means of the MD5 method or the SHA1, the SHA32 or the RIPE MD-160 method. Code of the original display selected. In this case, however, any prior art encryption or hash code method or even a self-created signature method may be used.

Nachfolgend wird die Erfindung anhand eines Ausführungsbeispiels unter Bezugnahme auf die Zeichnungen näher erläutert. Es zeigt:The invention will be explained in more detail with reference to an embodiment with reference to the drawings. It shows:

1 eine schematische Darstellung eines normalen Bestell-Verlaufs anhand einer teilweisen Bildschirmansicht einer Suchmaschine; 1 a schematic representation of a normal order history based on a partial screen view of a search engine;

2 eine schematische Darstellung eines Bestell-Verlaufs mit einer illegalen Anzeigen-Umleitung anhand einer teilweisen Bildschirmansicht einer Suchmaschine; 2 a schematic representation of an order history with an illegal ad redirection based on a partial screen view of a search engine;

3 eine schematische Darstellung einer um eine Signatur ergänzten Tracking-URL gemäß des erfindungsgemäßen ADIFF-Verfahrens; 3 a schematic representation of a supplemented by a signature tracking URL according to the ADIFF method according to the invention;

4 eine schematische Darstellung einer illegalen Anzeigen-Umleitung anhand einer teilweisen Bildschirmansicht einer Suchmaschine mit einer Analyse des Umleitungs-Pfades (Redirecting-Chain); 4 a schematic representation of an illegal ad redirection based on a partial screen view of a search engine with an analysis of the redirecting path;

5 eine schematische Darstellung des erfindungsgemäßen Abgleichs bei einer Originalanzeige anhand einer Bildschirmansicht des Prüfprogramms ADIFF; 5 a schematic representation of the adjustment according to the invention in an original display based on a screen view of the test program ADIFF;

6 eine schematische Darstellung des erfindungsgemäßen Abgleichs bei einer illegal kopierten Anzeige anhand einer Bildschirmansicht des Prüfprogramms ADIFF; und 6 a schematic representation of the adjustment according to the invention in an illegally copied display based on a screen view of the test program ADIFF; and

7 ein Flussdiagramm zur Verdeutlichung der wesentlichen Schritte des erfindungsgemäßen Verfahrens ADIFF. 7 a flowchart to illustrate the essential steps of the method ADIFF according to the invention.

In 1 ist der normale Buchungsverlauf eines Kaufvorgangs im Internet abgebildet. Der Verbraucher geht mittels eines Internet-Browsers auf die Seite einer Internet-Suchmaschine, in diesem Falle auf die Seite von Google®, und gibt dort im Suchfenster einen Markenbegriff oder Suchbegriff ein.In 1 is the normal booking history of a purchase on the Internet shown. The consumer goes via an Internet browser on the side of an Internet search engine, in this case on the side of Google ® , and there in the search window a brand term or search term.

Die für den Verbraucher in der Regel kostenlose Internet-Suchmaschine hat als Kunden Werbetreibende aller Art. Dies sind entweder die die betreffenden Markenrechte besitzenden Original-Unternehmen, die die Kernbereiche ihrer Marken und die für ihre Markenprodukte verwendeten gängigen Suchbegriffe in der Regel selbst bewerben oder von den Original-Unternehmen für bestimmte Randbereiche des möglichen Suchbegriff-Spektrums vertraglich legitimierte Affiliates. Die Original-Unternehmen bedienen sich der Affiliates, um möglichst viel Reichweite zu generieren. Die Affiliates sind somit Vertriebsvermittler, die in eigener Verantwortung selbst Anzeigen bei der Suchmaschine schalten, dabei die Produkte oder Leistungen des Original-Untemehmens anbieten und potenzielle Kunden wiederum dem werbetreibenden Original-Unternehmen zuführen. Die Vertriebsmittler bedienen dabei eher abwegigere Suchbegriffe oder „Vertippert”, und leiten Anfragen unter diesen Begriffen ebenfalls an das Original-Unternehmen weiter, damit dieses auch von den Randsegmenten profitiert. Die Original-Unternehmen und die Affiliates schalten in einem Bieterverfahren Anzeigen für einzelne Suchbegriffe beim Suchmaschinen-Betreiber, wobei das höchste Gebot dabei immer die betreffende Anzeige an die prominenteste Stelle der generierten Ergebnisliste bringt.The Internet search engine, which is usually free for the consumer, has advertisers of all kinds as customers. These are either the original companies that own the trademark in question, which usually advertise their core areas and the common search terms used for their branded products, or by themselves the original companies for certain margins of the possible search term spectrum contractually legitimated affiliates. The original companies use the affiliates to generate as much coverage as possible. Affiliates are thus sales agents who are self-employed to place ads themselves on the search engine, offering the products or services of the original company, and then redirecting potential customers to the original advertising company. The sales agents operate rather outlandish keywords or "tapped", and forward inquiries under these terms also to the original company, so that it also benefits from the edge segments. The original companies and the affiliates use a bidding process to display ads for individual search terms at the search engine operator, whereby the highest bid always places the relevant advertisement in the most prominent position of the generated result list.

Ein Original-Unternehmen und ein Affiliate zahlen dem Betreiber der Internet-Suchmaschine einen bestimmten Geldbetrag dafür, dass er bei einem Aufruf eines bestimmten Suchbegriffs („Keyword”) mit seiner Originalanzeige den hervorgehobenen Platz – in der Regel ganz oben oder in einer separaten rechten Spalte – der aufgrund des Suchbegriffs ausgegebenen Ergebnisliste erhält.An original company and an affiliate pay the Internet search engine operator a certain amount of money to display the highlighted space when they call a specific keyword ("keyword"), usually at the top or in a separate right-hand column - receives the result list output based on the search term.

Ein Affiliate hat seinerseits einen direkten oder indirekten Vertriebsvertrag mit dem Werbetreibenden Original-Unternehmen. Direkte Verträge werden zwischen dem Affiliate und dem Original-Unternehmen direkt geschlossen, indirekte Verträge bedingen einen Vertragsschluss über eine dritte Parte, z. B. über ein Affiliate-Netzwerk. Ein Affiliate-Netzwerk tritt als Konzentrator (Multiplikator) auf und bündelt eine große Anzahl von Affiliates. Das Original-Untemehmen hat in diesem Fall nur das Affiliate-Netzwerk als Ansprechpartner. Das Original-Unternehmen ist Hersteller oder Vertreiber des gesuchten Produkts oder der gesuchten Dienstleistung (in 1 „Unternehmer” genannt). Wenn nachfolgend vereinfacht von „Produkt” gesprochen wird, sollen damit jeweils auch Dienstleistungen mit umfasst sein.An affiliate, in turn, has a direct or indirect distribution agreement with the advertiser's original company. Direct contracts are concluded between the affiliate and the original company directly, indirect contracts require a contract on a third party, eg. Via an affiliate network. An affiliate network acts as a concentrator (multiplier) and bundles a large number of affiliates. In this case, the original company only has the affiliate network as contact person. The original company is manufacturer or distributor of the sought after Product or service (in 1 Called "entrepreneur"). When the term "product" is used in a simplified manner, it should also include services.

Im Vertriebsvertrag wird dem Affiliate als autorisiertem Vertriebspartner gestattet, unter Verwendung oder unter Ausschluss der Marke(n) des Original-Unternehmens für dessen Produkte zu werben. Für alle über die Vermittlung des Affiliates beim Original-Unternehmen eingehenden Bestellungen eines Verbrauchers erhält der Affiliate vom Hersteller oder Vertreiber des Produkts eine Verkaufsprovision, die je nach Produkt einen nicht unerheblichen Anteil des Verkaufspreises ausmacht, der bis zu etwa 30% gehen kann. Zur Identifikation des Affiliates, und zur Dokumentation des Verkaufsanspruches wird dazu auf der Seite des Affiliates ein „Cookie” erstellt. Mit Hilfe dieses Cookies ist es dem Original-Unternehmen bei einem erfolgten Verkauf möglich, den jeweiligen Affiliate eindeutig zu identifizieren und den Provisionsanspruch zu gewährleisten.The Distribution Agreement authorizes the Affiliate, as an Authorized Distributor, to promote its products using or excluding the original brand (s). For all consumer orders received through the intermediary of the affiliate to the original company, the affiliate receives a sales commission from the manufacturer or distributor of the product, which, depending on the product, accounts for a not inconsiderable portion of the sale price, which can go up to approximately 30%. To identify the affiliate, and to document the sales claim, a "cookie" is created on the side of the affiliate. With the help of this cookie, it is possible for the original company to clearly identify the respective affiliate and to guarantee the commission claim.

In 2 ist nun der mittlerweile recht häufige Fall des Ad-Hijacking, des illegalen Kopierens von Internet-Anzeigen und des Umleitens von über diese Anzeigen eingehenden Verbraucher-Anfragen über eine Adresse des Ad-Hijackers (AH) an das Original-Unternehmen des gesuchten Produkts dargestellt. Der Ad-Hijacker (AH) fertigt zu diesem Zweck illegal eine 1:1-Kopie der Originalanzeige 1 eines Original-Unternehmens oder eines legal agierenden Affiliate aus 1 an, zahlt dem Betreiber der Internet-Suchmaschine für einen bestimmten Suchbegriff („Keyword”) nur 1 Cent mehr als der Inhaber der Original-Anzeige 1 und setzt dadurch diese kopierte Anzeige 2 an Stelle der Originalanzeige in die Ergebnisliste. Der Betreiber der Internet-Suchmaschine ist gemäß einem Urteil des Europäischen Gerichtshofs nicht verpflichtet, einen derartigen Missbrauch von sich aus festzustellen oder zu unterbinden, selbst wenn dabei Markennamen durch nicht autorisierte Personen oder Firmen benutzt werden.In 2 is now the now quite common case of ad hijacking, the illegal copying of Internet ads and the redirection of incoming via these ads consumer requests through an address of the ad hijacker (AH) to the original company of the product sought. The Ad Hijacker (AH) illegally makes a 1: 1 copy of the original ad for this purpose 1 an original company or a legally operating affiliate 1 The Internet search engine operator pays only 1 cent more than the owner of the original ad for a given search term ("keyword") 1 and thereby sets this copied display 2 instead of the original display in the result list. According to a ruling by the European Court of Justice, the operator of the Internet search engine is not obliged to identify or prevent such abuse on its own initiative, even if brand names are used by unauthorized persons or companies.

Der Ad-Hijacker (AH) leitet nun mit einer anderen URL 12 einen Zugriff auf die gefälschte Anzeige 2 über eine eigene Microseite weiter auf die Landingpage des Original-Unternehmens. Dabei setzt der illegal agierende Ad-Hijacker (AH) beim Nutzer ein oder auch mehrere Cookies. Für die abgeschlossenen Kaufverträge, die nun über diesen Internet-Nutzer als Verbraucher entstehen, kassiert der illegal agierende Ad-Hijacker (AH) die Provision des Original-Unternehmens, das das Produkt an den Verbraucher liefert. Das die Originalanzeige schaltende Original-Unternehmen macht den Verkauf, muss aber eine Provision zahlen, die nicht fällig gewesen wäre, wenn seine Anzeige nicht entführt worden wäre. Nachdem unter Brandkeywords (Markenbegriffen) die Klickrate zwischen 50% und 70% liegt (im Vergleich zu 3%–10% bei generischen Begriffen), konzentrieren sich Ad-Hijacker (AH) überwiegend auf diese Begriffe.The ad hijacker (AH) now redirects with a different URL 12 an access to the fake ad 2 via a separate microsite on the landing page of the original company. The illegal ad hijacker (AH) sets one or more cookies on the user. For the completed sales contracts that are now created via this Internet user as a consumer, the illegally acting ad hijacker (AH) collects the commission of the original company, which delivers the product to the consumer. The original company switching the original ad makes the sale, but has to pay a commission that would not have been due if its ad had not been abducted. Since brand clauses (brand terms) have a CTR of between 50% and 70% (compared to 3% -10% for generic terms), ad hijackers (AH) focus mainly on these terms.

In 3 ist der Unterschied zwischen der vom Internet-Nutzer wahrgenommenen Display-URL 11 und der dahinter stehenden Tracking-URL 11T sowie die Nomenklatur einer beispielhaften Signatur 111 der Tracking-URL 11T mit deren signifikanten Start-Marker und End-Marker dargestellt. Die im Beispiel aus den zwölf Zeichen „5481142d7a82” bestehende Signatur 111 der Tracking-URL 11T wird eingeleitet vom Start-Marker „&adiff=ate” und abgeschlossen vom End-Marker „am”. An Stelle eines Start-Markers kann auch jedes beliebige eindeutige Trennzeichen verwendet werden.In 3 is the difference between the display URL perceived by the internet user 11 and the tracking URL behind it 11T as well as the nomenclature of an exemplary signature 111 the tracking URL 11T represented with their significant start markers and end markers. The signature consisting of the twelve characters "5481142d7a82" in the example 111 the tracking URL 11T is initiated by the start marker "& adiff = ate" and completed by the end marker "am". Instead of a start marker, any unique separator can be used.

In 4 ist dargestellt, wie im Falle des Ad-Hijacking durch eine Umleitungskette („Redirect Chain”) eine kopierte Anzeige 12 durch den Ad-Hijacker über einen anderen Pfad auf die Zielseite des Werbetreibenden Original-Unternehmens umgeleitet wird.In 4 is shown as in the case of ad hijacking by a redirect chain ("redirect chain") a copied display 12 redirected by the ad hijacker to the original company's landing page via a different path.

In 5 ist die Anwendung des erfindungsgemäßen ADIFF-Verfahrens als Bildschirmansicht für das Prüfen einer Originalanzeige 1 dargestellt. Im oberen Teil der 5 ist die Display-URL 11 der Originalanzeige 1 dargestellt. Die Display-URL 11 einer zu überwachenden Originalanzeige 1 wird in eine Liste L111 des das ADIFF-Verfahren anbietenden Dienstleisters oder des das ADIFF-Verfahren anwendenden Original-Unternehmens aufgenommen. Die Tracking-URL URL 11T dieser Display-URL 11 wird im nächsten Schritt mittels einer Signatur 111 (nach einem beliebigen Signaturverfahren) verschlüsselt und an die Tracking-URL 11T der Originalanzeige 1 angehängt. Das Ergebnis, die neue Gesamt-URL (URL 11T + Signatur 111) der Original-Anzeige 1 ist im mittleren Teil der 4 dargestellt.In 5 is the application of the ADIFF method according to the invention as a screen for checking an original display 1 shown. In the upper part of the 5 is the display URL 11 the original ad 1 shown. The display URL 11 an original display to be monitored 1 shall be included in a list L111 of the service provider offering the ADIFF procedure or the original enterprise applying the ADIFF procedure. The tracking URL URL 11T this display URL 11 will in the next step by means of a signature 111 (according to any signature method) encrypted and sent to the tracking URL 11T the original ad 1 attached. The result, the new overall URL (URL 11T + Signature 111 ) of the original ad 1 is in the middle part of the 4 shown.

Für eine Prüfung der Authentizität einer in einer Internet-Suchmaschine angezeigten (AdWord-)Anzeige 2 wird nun deren Tracking-URL 12T mit dem Ergebnis (URL 11T + Signatur 111) verglichen. Dabei wird in dem in 5 im unteren Teil dargestellten Fall eine Identität zwischen der URL 12T und dem Ergebnis (URL 11T + Signatur 111) festgestellt. Hierdurch ist eindeutig feststellbar, dass es sich bei der überprüften Anzeige 2 um die Originalanzeige 1 handelt.For checking the authenticity of an (AdWord) ad displayed on an Internet search engine 2 will now be their tracking URL 12T with the result (URL 11T + Signature 111 ) compared. It is in the in 5 in the lower part case an identity between the URL 12T and the result (URL 11T + Signature 111 ) detected. As a result, it can be clearly established that the reviewed display 2 around the original ad 1 is.

In 6 ist analog zur 5 der andere Fall dargestellt, bei dem mittels des erfindungsgemäßen ADIFF-Verfahrens eine entführte Anzeige 2 identifiziert wird. Die Tracking-URL 11T der im oberen Teil der 6 dargestellten Display-URL 11 der Originalanzeige 1 wird – wie schon im Zusammenhang mit 5 erläutert – mit der an die Tracking-URL 11T angehängten Signatur 111 versehen. Das Ergebnis ist im mittleren Teil der 6 dargestellt. Bei der Überprüfung einer Anzeige 2 wird nun bei der Validierung von deren Tracking-URL 12T eine Abweichung festgestellt. Damit steht eindeutig fest, dass es sich bei der überprüften Anzeige 2 nicht um das Original 1 handelt, sondern dass die Anzeige 1 hier von einem Ad-Hijacker (AH) kopiert und entführt wurde.In 6 is analogous to 5 the other case shown, in which by means of the ADIFF method according to the invention a hijacked display 2 is identified. The tracking URL 11T in the upper part of the 6 displayed URL 11 the original ad 1 will - as already related to 5 explained - with the to the tracking URL 11T attached signature 111 Mistake. The result is in the middle part of the 6 shown. In the Checking an ad 2 will now be validated by their tracking URL 12T found a deviation. This clearly states that it is the reviewed ad 2 not the original 1 but that is the ad 1 copied and abducted here by an ad hijacker (AH).

In diesem Falle wird der Missbrauch des Ad-Hijacking mittels des ADIFF-Verfahrens komplett dokumentiert. Hierzu wird die Tracking-URL 12T der entführten Anzeige 2 in einem Hijacking-Protokoll (HP) gespeichert. Ebenfalls gespeichert wird der Umleitungspfad („Redirect Chain”). Zusätzlich werden die eingegebenen Suchwörter und die angezeigte Ergebnisliste in einem Datenspeicherbereich D1 gespeichert, letztere bevorzugt als Kopie der aufgerufenen Seiten oder als „Screenshot”. Die URL 12 wird in einem weiteren Verfahrensschritt aufgerufen und die angezeigten Bildschirmseiten werden in einem Datenspeicherbereich D2 gespeichert. Alle gespeicherten Daten und Dokumente werden mit einem eindeutigen Datums- und Uhrzeitstempel versehen und dem Inhaber der Originalanzeige als Bericht übersendet oder in einem abrufbaren Bereich für diesen zur Abholung bereitgestellt.In this case, the abuse of ad hijacking is fully documented by the ADIFF procedure. This will be the tracking URL 12T the kidnapped ad 2 stored in a hijacking protocol (HP). Also saved is the redirect path. In addition, the inputted search words and the displayed result list are stored in a data storage area D1, the latter preferably as a copy of the accessed pages or as a "screenshot". The URL 12 is called in a further method step and the displayed screen pages are stored in a data storage area D2. All stored data and documents will be stamped with a unique date and time stamp and sent to the owner of the original advertisement as a report or made available for collection in a retrievable area.

Die mittels des erfindungsgemäßen ADIFF-Verfahrens automatisch aufgespürten, im Hijacking-Protokoll (HP) gespeicherten und dem Betreiber der Originalanzeige optional automatisch als Bericht übersandten Missbrauchsfälle können nun umgehend durch dessen Rechtsabteilung verfolgt werden.The automatically tracked by means of the ADIFF method according to the invention, stored in the hijacking protocol (HP) and the operator of the original display optionally automatically sent as report abuse cases can now be tracked immediately by its legal department.

Der Ablauf des erfindungsgemäßen, auf einem nicht dargestellten Digitalrechner automatisch ablaufenden ADIFF-Verfahrens ist im Fluss-Diagramm gemäß 7 in seinen wesentlichen Verfahrensschritten dargestellt. Nach dem Start des ADIFF-Programms auf einem Digitalrechner liest dieser zunächst in einem ersten Verfahrensschritt S1 die Display-URL 11 einer zu prüfenden Originalanzeige 1 aus der Liste L111.The sequence of the ADIFF method according to the invention, which automatically runs on a digital computer (not shown), is shown in the flow diagram 7 represented in its essential process steps. After starting the ADIFF program on a digital computer, the latter first reads the display URL in a first method step S1 11 an original display to be checked 1 from list L111.

In einem zweiten Verfahrensschritt S2 wird nun eine digitale Signatur 111 der Tracking-URL 11T der zu prüfenden Originalanzeige 1 erzeugt. Die digitale Signatur 111 wird im dritten Verfahrensschritt S3 an die Tracking-URL 11T angehängt, wodurch eine für die Original-Anzeige 1 originäre, fälschungssichere Gesamt-URL 11T + 111 entsteht. Als Verfahren zur Erzeugung der eindeutigen fälschungssicheren Signatur 111 im zweiten Verfahrensschritt S2 eignet sich ein beliebiges am Markt bewährtes Signaturverfahren, wie beispielsweise eine AES-, eine DSA, eine 3DES oder eine RSA-Verschlüsselung oder ein mittels des MD5-Verfahrens oder des SHA1, des SHA32 oder des RIPE-MD-160-Verfahrens erzeugter Hash-Code oder ein selbst entwickeltes Signaturverfahren. Die Signatur 111 wird für jeden Kunden (Original-Unternehmen) einmal erzeugt, in einem Speicher abgelegt und wird bei jeder Erzeugung der fälschungssicheren Gesamt-URL 11T + 111 für die Original-Anzeigen 1 dieses Kunden verwendet.In a second method step S2 now becomes a digital signature 111 the tracking URL 11T the original display to be checked 1 generated. The digital signature 111 is in the third step S3 to the tracking URL 11T attached, creating one for the original ad 1 original, counterfeit-proof overall URL 11T + 111 arises. As a method for generating the unique forgery-proof signature 111 In the second method step S2, any commercially available signature method is suitable, for example an AES, a DSA, a 3DES or an RSA encryption or a method defined by the MD5 method or the SHA1, the SHA32 or the RIPE-MD-160. Method generated hash code or a self-developed signature method. The signature 111 is generated once for each customer (original company), stored in a memory and is generated every time the counterfeit-proof overall URL is created 11T + 111 for the original ads 1 used by this customer.

In einem vierten Verfahrensschritt S4 wird nun mittels des ADIFF-Programms aus einer im Digitalrechner abgespeicherten Liste von Suchbegriffen, die einen Kunden üblicherweise auf die Originalanzeige führen, ein Suchbegriff ausgewählt und in ein Suchfenster einer Internet-Suchmaschine, wie beispielsweise Google® eingegeben. Von der ausgegebenen Ergebnisliste werden nun im fünften Verfahrensschritt S5 nacheinander die kostenpflichtigen Anzeigen 2 überprüft, indem deren Display-URL 12 und deren Tracking-URL 12T in einem sechsten Verfahrensschritt S6 zunächst vom Digitalrechner mittels des ADIFF-Programms gelesen werden.In a fourth method step S4, a search term is then selected by means of the ADIFF program from a list of search terms stored in the digital computer, which usually lead a customer to the original display, and entered into a search window of an Internet search engine, such as Google® . From the output result list now in the fifth step S5 the paid advertisements 2 checked by their display URL 12 and their tracking URL 12T in a sixth method step S6 are first read by the digital computer using the ADIFF program.

In einem siebten Verfahrensschritt S7 prüft nun das ADIFF-Programm, ob die Display-URL 12 der zu prüfenden Anzeige 2 als Untermenge in der Gesamt-URL 11T + 111 der Originalanzeige 1 enthalten ist. Ist dies nicht der Fall, so geht der Pfad optional über eine in einem rechten Teil der 7 angeordnete Zeitschleife nach Durchlaufen eines bestimmten Zeitintervalls I in den Verfahrensschritten S15 und S16 zurück vor den vierten Verfahrensschritt S4 zur Auswahl und Eingabe desselben oder eines anderen Suchbegriffs. Die geprüfte Anzeige 2 hat in diesem Fall offensichtlich überhaupt nichts mit der Originalanzeige 1 zu tun. In diesem Fall kann das ADIFF-Programm die nächste der in der Ergebnisliste angezeigten Anzeigen 2 derselben Prüfung unterziehen.In a seventh method step S7, the ADIFF program now checks whether the display URL 12 the advertisement to be tested 2 as a subset in the overall URL 11T + 111 the original ad 1 is included. If this is not the case, then the path optionally goes through a in a right part of the 7 arranged time loop after passing through a certain time interval I in the method steps S15 and S16 back before the fourth method step S4 for selecting and entering the same or another search term. The verified advertisement 2 In this case obviously has nothing at all with the original advertisement 1 to do. In this case, the ADIFF program may be the next one of the displays displayed in the result list 2 to undergo the same test.

Das Zeitintervall I bzw. mehrere mögliche Zeitintervalle I1–In können dabei durch Variieren einer im ADIFF-Programm variablen Zeitspanne Δt im Verfahrensschritt S16 beliebig vergrößert oder verkleinert werden. Hierbei kann bevorzugt ein Zufallszahlengenerator zum Einsatz kommen, um zu verhindern, dass sich ein Ad-Hijacker auf bestimmte Überprüfungs-Intervalle einstellen kann. Ebenso kann bevorzugt die Startzeit und die Beendigung des ADIFF-Verfahrens als Parameter im Programm hinterlegt oder aufgrund einer Auswertung der ermittelten Zeitpunkte für festgestelltes Ad-Hijacking nach statistischen Methoden gewählt und auch einem veränderten Ad-Hijacking-Verhalten entsprechend verändert werden.The time interval I or several possible time intervals I 1 -I n can be arbitrarily increased or reduced by varying a variable in the ADIFF program period .DELTA.t in step S16. In this case, a random number generator may preferably be used in order to prevent an ad hijacker being able to adjust to certain checking intervals. Likewise, the start time and the termination of the ADIFF method may preferably be stored as parameters in the program or selected on the basis of an evaluation of the determined times for established ad hijacking according to statistical methods and also modified according to a changed ad hijacking behavior.

Wird im siebten Verfahrensschritt S7 festgestellt, dass die Display-URL 12 als Untermenge in der Gesamt-URL 11T + 111 der Originalanzeige 1 enthalten ist, steht damit fest, dass es sich entweder um die Originalanzeige 1 selbst oder um eine entführte Kopie derselben handelt.In the seventh method step S7, it is determined that the display URL 12 as a subset in the overall URL 11T + 111 the original ad 1 is included, it is clear that it is either the original display 1 yourself or a hijacked copy of the same.

Im folgenden achten Verfahrensschritt S8 wird nun geprüft, ob auch die Tracking-URL 12T eine Signatur enthält. Dies kann beispielsweise durch eine Prüfung daraufhin erfolgen, ob in der Tracking-URL 12T als Teil-Zeichenkette die Start-Marke und die End-Marke der Signatur 111 enthalten sind. Ist dies nicht der Fall, steht damit bereits fest, dass es sich bei der Anzeige 2 um eine entführte Anzeige, also einen Fall von Ad-Hijacking handelt. Der entsprechende Pfad im Ablaufdiagramm umgeht daher ausgehend von der zweiten Raute links die folgende Abfrage-Raute und geht zur Protokollierung des Ad-Hijacking-Vorfalls weiter zum Verfahrensschritt S10. Anstelle der Start- und End-Marke kann auch ein anderes eindeutiges Trennzeichen als signifikant für das Vorhandensein einer in der Tracking-URL 12T vorhandenen Signatur 112 bei der Prüfung im Verfahrensschritt S8 verwendet werden.In the following eighth step S8 is now checked, whether the tracking URL 12T contains a signature. This can be done, for example An examination will be made as to whether or not the tracking URL 12T as partial string the start mark and the end mark of the signature 111 are included. If this is not the case, it is already clear that the display 2 is a kidnapped ad, so it's a case of ad hijacking. The corresponding path in the flowchart therefore bypasses the following query diamond on the left, starting from the second diamond, and proceeds to step S10 to log the ad hijacking incident. Instead of the start and end mark can also be another unique delimiter as significant for the presence of one in the tracking URL 12T existing signature 112 be used in the test in step S8.

Sofern im achten Verfahrensschritt S8 das Vorhandensein einer Signatur festgestellt wird, wird im folgenden neunten Verfahrensschritt S9 geprüft, ob die zwischen Start-Marke und End-Marke enthaltene Signatur 112 der geprüften Anzeige 2 der Signatur 111 der Originalanzeige 1 entspricht. Ist dies der Fall, handelt es sich um die Originalanzeige 1. In diesem Fall verzweigt das Programm wieder optional über die Zeitschleife (S15/S16) oder direkt zurück zur Suchwort-Abfrage vor dem vierten Verfahrensschritt S4 oder alternativ zur Prüfung der nächsten angezeigten kostenpflichtigen Anzeige in der bereits erzeugten Ergebnisliste.If the presence of a signature is determined in the eighth method step S8, it is checked in the following ninth method step S9 whether the signature contained between the start marker and the end marker 112 the checked advertisement 2 the signature 111 the original ad 1 equivalent. If so, it is the original display 1 , In this case, the program branches again optionally via the time loop (S15 / S16) or directly back to the search word query before the fourth method step S4 or alternatively to check the next displayed paid display in the result list already generated.

Wird im neunten Verfahrensschritt S9 festgestellt, dass die Signatur 112 der URL 12T der geprüften Anzeige 2 nicht der Signatur 111 der Originalanzeige 1 entspricht, steht fest, dass es sich bei der Anzeige 2 um eine entführte Anzeige handelt. In diesem Fall wird deren URL 12 bzw. 12T im Verfahrensschritt S10 in einem Hijacking-Protokoll (HP) in einem Speicherbereich des Digitalrechners gespeichert. Es wird weiterhin im Verfahrensschritt S11 die Ergebnisliste – beispielsweise als Screenshot – in einem Datenspeicher D1 des Digitalrechners gespeichert.Is found in the ninth step S9 that the signature 112 the URL 12T the checked advertisement 2 not the signature 111 the original ad 1 corresponds, it is clear that the display 2 is a hijacked ad. In this case, their URL 12 respectively. 12T stored in a memory area of the digital computer in method step S10 in a hijacking protocol (HP). Furthermore, in the method step S11, the result list is stored-for example as a screenshot-in a data memory D1 of the digital computer.

In einem nächsten Verfahrensschritt S12 wird die URL 12T der entführten Anzeige 2 aufgerufen und die dabei angezeigten Seiten werden im Verfahrensschritt S13 in einem Datenspeicher D2 des Digitalrechners gespeichert.In a next method step S12, the URL 12T the kidnapped ad 2 called and the pages displayed here are stored in step S13 in a data memory D2 of the digital computer.

Die verwendeten Suchbegiffe, die gespeicherte Ergebnisliste, die URL 12 und die hinter dieser stehenden Seiten werden mit einem eindeutigen Datums- und Uhrzeitstempel des Zeitpunkts der Überprüfung versehen und das gesamte Daten-Paket wird automatisch im Verfahrensschritt S14 unmittelbar oder in bestimmten Intervallen dem Inhaber der Originalanzeige zur Verfolgung des Rechtsmissbrauchs als Bericht zugesendet oder für dessen Abruf in einem Speicherbereich zur Verfügung gestellt.The search terms used, the saved result list, the URL 12 and the pages behind it are provided with a unique date and time stamp of the time of the check, and the entire data packet is automatically sent to the holder of the original legal abuse notice in step S14, or at certain intervals, as a report or for retrieval thereof provided in a storage area.

Der Prüfprozess gemäß dem in 7 nur in den wesentlichen Verfahrensschritten schematisch dargestellten erfindungsgemäßen ADIFF-Verfahren hat unten in der 7 eine Ende-Markierung. Unmittelbar darüber ist mit einem gestrichelten Pfad, der in den Ablauf vor dem vierten Verfahrensschritt zurückführt, angedeutet, dass es sich um einen kontinuierlichen Prüfprozess handelt. Nach Feststellung und Protokollierung eines Hijacking-Vorfalls wird das Programm also nicht beendet, sondern selbstverständlich weitergeführt, um weitere Hijacking-Vorfälle für dieselbe oder andere Original-Anzeigen zu identifizieren und zu erfassen. Für das Original-Unternehmen entsteht somit eine weitestgehend lückenlose Aufzeichnung der Hijacking-Vorfälle, so dass sich die gesamte entstandene Schadenshöhe aus der Summe aller Einzelfälle zuverlässig ermitteln oder zumindest statistisch hochrechnen lässt.The inspection process according to the in 7 only in the essential steps schematically illustrated ADIFF process according to the invention has in the 7 an end mark. Immediately above it is indicated by a dashed path, which leads back into the sequence before the fourth step, that it is a continuous test process. After detecting and logging a hijacking incident, the program is not terminated, but of course continued to identify and capture further hijacking incidents for the same or other original ads. For the original company, a largely complete record of the hijacking incidents is thus created so that the total amount of damage incurred can be reliably determined from the sum of all individual cases or at least statistically extrapolated.

Sämtliche Verfahrensschritte des ADIFF-Verfahrens werden durch ein Programm gesteuert automatisch auf einem Digitalrechner ausgeführt. Wenn vorstehend vereinfacht von einem Digitalrechner und dessen Speicherbereichen gesprochen wird, versteht sich für den Fachmann, dass die einzelnen Schritte ebenso auch auf verschiedenen miteinander vernetzten Rechnern ausführbar sind und dass die Speicherbereiche ebenso auch von externen, außerhalb des Digitalrechners oder der Digitalrechner angeordneten Speichermedien gebildet werden können. Die verwendeten Speicherbereiche zur Protokollierung eines Ad-Hijackings könnten beispielsweise auch unmittelbar auf einem Rechner des Betreibers der Originalanzeige liegen. Das ADIFF-Verfahren kann sowohl von diesem selbst als auch von einem spezialisierten Dienstleistungsunternehmen, wie der Xamine GmbH in München, angewendet werden.All process steps of the ADIFF process are automatically executed by a program on a digital computer. If the above is simply spoken by a digital computer and its memory areas, it is understood by those skilled in the art that the individual steps are also executable on different networked computers and that the memory areas are also formed by external, outside the digital computer or the digital computer arranged storage media can. The memory areas used for logging an ad hijacking could, for example, also lie directly on a computer of the operator of the original display. The ADIFF procedure can be used by itself or by a specialized service provider such as Xamine GmbH in Munich.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

11
Original-AnzeigeOriginal display
1111
(Display-)URL (von 1)(Display) URL (from 1 )
11T11T
(Tracking-)URL (von 1)(Tracking) URL (from 1 )
111111
Signatur (von 11T)Signature (from 11T )
22
(zu prüfende) Anzeige(to be tested) display
1212
URL (von 2)URL (from 2 )
12T12T
(Tracking-)URL (von 2)(Tracking) URL (from 2 )
112112
Signatur (von 12T)Signature (from 12T )
S1–S16S1-S16
Verfahrensschrittesteps
HPHP
Speicherplatz für Hijacking-ProtokollStorage space for hijacking protocol
D1D1
erster Dokumentationsspeicherfirst documentation memory
D2D2
zweiter Dokumentationsspeichersecond documentation memory
I1–In I 1 -I n
Abfrageintervallepolling intervals
Δt.delta.t
(variable) Zeitspanne für Abfrageintervalle(variable) time interval for polling intervals
AHAH
Ad-Hijacker (Initiator von 2 und 12)Ad hijacker (initiator of 2 and 12 )

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • http://www.stateofsearch.com/brand-bidding-ad-hijacking-part-1/ [0004] http://www.stateofsearch.com/brand-bidding-ad-hijacking-part-1/ [0004]
  • http://www.sem-scout.de/adhijacking_studie.php [0006] http://www.sem-scout.de/adhijacking_studie.php [0006]

Claims (11)

Verfahren zum automatischen Erkennen der Authentizität einer Originalanzeige (1) in einer Ergebnisliste einer Internet-Suchmaschine unter Verwendung wenigstens eines Digitalrechners, dadurch gekennzeichnet, dass die URL (11; 11T) der Originalanzeige (1) in einer Liste (L111) gespeichert wird, dass die URL (11; 11T) der Originalanzeige (1) mit einem fälschungssicheren Parameter (111) versehen wird, dass der Digitalrechner mittels eines Programms gesteuert einmalig oder wiederholt unter Verwendung wenigstens eines Zeit-Intervalls (I; I1, I2, I3, In) durch eine automatisierte Abfrage wenigstens eines Suchbegriffs (Markenname oder Adword) auf der Suchseite einer Internet-Suchmaschine eine Ergebnisliste erzeugt, dass der Digitalrechner mittels des Programms gesteuert die URL (12; 12T) wenigstens einer in der Ergebnisliste stehenden und auf ihre Authentizität zu prüfenden Anzeige (2) liest, dass das Programm durch einen Vergleich der URL (12; 12T) der zu prüfenden Anzeige (2) mit der um den fälschungssicheren Parameter (111) ergänzten URL (11T) der Originalanzeige (1) feststellt, ob die URL (11) der Originalanzeige (1) in der URL (12) der zu prüfenden Anzeige enthalten ist (BEDINGUNG 1) und ob die URL (12T) der zu prüfenden Anzeige weiterhin den fälschungssicheren Parameter (111) enthält (BEDINGUNG 2), wobei bei Erfüllung der BEDINGUNG 1 UND Fehlen der BEDINGUNG 2 die URL (12; 12T) der Anzeige (2) einem Ad-Hijacker (AH) zugeordnet und in einem Speicherplatz eines Hijacking-Protokolls (HP) gespeichert wird.Method for automatically detecting the authenticity of an original display ( 1 ) in a result list of an Internet search engine using at least one digital computer, characterized in that the URL ( 11 ; 11T ) of the original display ( 1 ) is stored in a list (L111) that the URL ( 11 ; 11T ) of the original display ( 1 ) with a forgery-proof parameter ( 111 ) that the digital computer is controlled by a program once or repeatedly using at least one time interval (I; I 1 , I 2 , I 3 , I n ) by an automated query of at least one search term (brand name or adword) on the Search page of an Internet search engine generates a result list that the digital computer controlled by the program URL ( 12 ; 12T ) at least one display in the result list and to check its authenticity ( 2 ) reads that the program by comparing the URL ( 12 ; 12T ) of the advertisement to be checked ( 2 ) with the counterfeit-proof parameter ( 111 ) supplemented URL ( 11T ) of the original display ( 1 ) determines if the URL ( 11 ) of the original display ( 1 ) in the URL ( 12 ) of the advertisement under review (CONDITION 1 ) and if the URL ( 12T ) of the advertisement to be checked, the counterfeit-proof parameter ( 111 ) (CONDITION 2 ), whereby upon fulfillment of the CONDITION 1 AND ABSENCE OF CONDITION 2 the URL ( 12 ; 12T ) of the ad ( 2 ) is assigned to an ad hijacker (AH) and stored in a storage space of a hijacking protocol (HP). Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass eine Tracking-URL (11T) der Originalanzeige (1) mit dem fälschungssicheren Parameter (111) versehen wird.Method according to claim 1, characterized in that a tracking URL ( 11T ) of the original display ( 1 ) with the forgery-proof parameter ( 111 ). Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der fälschungssichere Parameter (111) von einer verschlüsselten Signatur (111) der Tracking-URL (11T) der Originalanzeige (1) gebildet wird.Method according to claim 2, characterized in that the forgery-proof parameter ( 111 ) of an encrypted signature ( 111 ) the tracking URL ( 11T ) of the original display ( 1 ) is formed. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Signatur (111) nach einem Verschlüsselungsverfahren, wie dem AES-, DSA- oder RSA-Verfahren oder anderen, dem Stand der Technik entsprechenden Verfahren erzeugt wird.Method according to claim 3, characterized in that the signature ( 111 ) according to an encryption method, such as the AES, DSA or RSA method or other methods according to the prior art. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass die Signatur (111) nach einem Hash-Code-Verfahren, wie dem MD5- oder dem SHA32-Verfahren oder anderen, dem Stand der Technik entsprechenden Hash-Code-Verfahren erzeugt wird.Method according to claim 3, characterized in that the signature ( 111 ) according to a hash code method such as the MD5 or SHA32 method or other prior art hash code methods. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die angezeigte Ergebnisliste in einem ersten Dokumentationsspeicher (D1) des Digitalrechners gespeichert wird.Method according to at least one of the preceding claims, characterized in that the displayed result list is stored in a first documentation memory (D1) of the digital computer. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei Feststellung eines Ad-Hijacking-Vorfalls die Tracking-URL (12T) der zu prüfenden Anzeige (2) vom Programm aufgerufen wird und die angezeigten Seiten in einem weiteren Dokumentationsspeicher (D2) des Digitalrechners gespeichert werden.Method according to at least one of the preceding claims, characterized in that, upon detection of an ad hijacking incident, the tracking URL ( 12T ) of the advertisement to be checked ( 2 ) is called by the program and the displayed pages are stored in another documentation memory (D2) of the digital computer. Verfahren nach wenigstens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Hijacking-Protokolls (HP) und/oder die Dokumentationsspeicher (D1; D2) mit einem Datums- und Uhrzeit-Code versehen werden.Method according to at least one of the preceding claims, characterized in that the hijacking protocol (HP) and / or the documentation memory (D1, D2) are provided with a date and time code. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das wenigstens eine Intervall (I) für die automatisierte Abfrage des wenigstens eines Suchbegriffs von einem Operator des Digitalrechners eingebbar und durch Modifikation eines Wertes (Δt) veränderbar ist und/oder als eines von mehreren Intervallen (I1, I2, I3, In) vom Digitalrechner nach Vorgaben eines Programms ausgewählt wird.Method according to one of the preceding claims, characterized in that the at least one interval (I) for the automated retrieval of the at least one search term can be input by an operator of the digital computer and modifiable by modifying a value (Δt) and / or as one of a plurality of intervals (I 1 , I 2 , I 3 , I n ) is selected by the digital computer according to the specifications of a program. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass das wenigstens eine Intervall (I) mittels eines Zufallsgenerators unter den Intervallen (I1, I2, I3, In) ausgewählt oder durch eine mittels des Programms gesteuerten Modifikation eines Wertes (Δt) mittels eines Zufallsgenerators verändert wird.Method according to claim 9, characterized in that the at least one interval (I) is selected by means of a random generator among the intervals (I 1 , I 2 , I 3 , I n ) or by means of a program controlled modification of a value (Δt) by means of a random number generator is changed. Digitalrechner, der mittels eines Programms zur Ausführung eines Verfahrens gemäß wenigstens eines der vorhergehenden Ansprüche eingerichtet ist.Digital computer, which is set up by means of a program for executing a method according to at least one of the preceding claims.
DE102011009358A 2011-01-25 2011-01-25 A method for detecting improper ad redirection on the Internet Withdrawn DE102011009358A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102011009358A DE102011009358A1 (en) 2011-01-25 2011-01-25 A method for detecting improper ad redirection on the Internet
PCT/EP2012/000337 WO2012100942A1 (en) 2011-01-25 2012-01-25 Method for detecting improper advertisement diversions on the internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102011009358A DE102011009358A1 (en) 2011-01-25 2011-01-25 A method for detecting improper ad redirection on the Internet

Publications (1)

Publication Number Publication Date
DE102011009358A1 true DE102011009358A1 (en) 2012-07-26

Family

ID=45571492

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102011009358A Withdrawn DE102011009358A1 (en) 2011-01-25 2011-01-25 A method for detecting improper ad redirection on the Internet

Country Status (2)

Country Link
DE (1) DE102011009358A1 (en)
WO (1) WO2012100942A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3262820A4 (en) * 2015-02-27 2018-07-11 Level 3 Communications, LLC Network address resolution
WO2020206662A1 (en) * 2019-04-11 2020-10-15 深圳市欢太科技有限公司 Browser anti-hijacking method and device, electronic equipment and storage medium

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245518B (en) * 2015-09-30 2018-07-24 小米科技有限责任公司 The detection method and device that network address is kidnapped

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0940960A1 (en) * 1998-03-02 1999-09-08 Hewlett-Packard Company Authentication between servers
US6516337B1 (en) * 1999-10-14 2003-02-04 Arcessa, Inc. Sending to a central indexing site meta data or signatures from objects on a computer network
US8667117B2 (en) * 2007-05-31 2014-03-04 Microsoft Corporation Search ranger system and double-funnel model for search spam analyses and browser protection

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
http://www.sem-scout.de/adhijacking_studie.php
http://www.stateofsearch.com/brand-bidding-ad-hijacking-part-1/
Security Measure To Prevent URL Parameter Forgery- An Example with ASP.Net MVC. [recherchiert am 23.05.2012], November 2010. Im Internet: *
Security Measure To Prevent URL Parameter Forgery- An Example with ASP.Net MVC. [recherchiert am 23.05.2012], November 2010. Im Internet: <URL:http://archive.msdn.microsoft.com/URLRequestSecurity>
WIKIPEDIA: Elektronische Signatur. 25.11.2010 [recherchiert am 28.12.2011]. Im Internet: *
WIKIPEDIA: Elektronische Signatur. 25.11.2010 [recherchiert am 28.12.2011]. Im Internet: <http://de.wikipedia.org/w/index.php?title=Elektronische_Signatur&oldid=81928597>

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3262820A4 (en) * 2015-02-27 2018-07-11 Level 3 Communications, LLC Network address resolution
US10382385B2 (en) 2015-02-27 2019-08-13 Level 3 Communications, Llc Network address resolution
US10715481B2 (en) 2015-02-27 2020-07-14 Level 3 Communications, Llc Network address resolution
US11277374B2 (en) 2015-02-27 2022-03-15 Level 3 Communications, Llc Network address resolution
US11627108B2 (en) 2015-02-27 2023-04-11 Level 3 Communications, Llc Network address resolution
US11929978B2 (en) 2015-02-27 2024-03-12 Level 3 Communications, Llc Network address resolution
US12323481B2 (en) 2015-02-27 2025-06-03 Sandpiper Cdn, Llc Network address resolution
WO2020206662A1 (en) * 2019-04-11 2020-10-15 深圳市欢太科技有限公司 Browser anti-hijacking method and device, electronic equipment and storage medium

Also Published As

Publication number Publication date
WO2012100942A1 (en) 2012-08-02

Similar Documents

Publication Publication Date Title
Majuca et al. The evolution of cyberinsurance
EP2476087B1 (en) Payment system, acquisition system for a plurality of payment processes
WO2005036504A1 (en) Product authentication method
Jerman-Blažič Towards a standard approach for quantifying an ICT security investment
US20150046254A1 (en) System and method for display relevance watch
Mondal et al. DETERMINANTS OF INTELLECTUAL CAPITAL DISCLOSURE PRACTICES OF INDIAN COMPANIES.
CN105335876A (en) Effect tracking method and apparatus of advertisement put on media
WO2015030497A1 (en) Method and apparatus for generating trade actions to manage financial risk, and recording medium storing program for executing method
DE102011009358A1 (en) A method for detecting improper ad redirection on the Internet
Okeke et al. The Application of role-based framework in preventing internal identity theft related crimes: A qualitative case study of UK retail companies
CN110347657B (en) Data generation method, device, electronic equipment and storage medium
Kimani Fraud risk assessment plan for Barclays Bank of Kenya
WO2019096491A1 (en) Method and device for enabling the authentication of products, particularly industrially produced appliances, and computer program product
Hopkins Controlling corporate deviance
Just et al. Public service broadcasting put to test: Ex post control of online services
AU2017100171A4 (en) Business Advisory Tool
CN112734505B (en) User behavior analysis method and device and electronic equipment
WO2012139572A1 (en) Method for handling product information
CN102170469A (en) Telephone effect monitoring method based on uniqueness of WEB visitors
Clausen Moral hazard with counterfeit signals
EP2345986A1 (en) Method for recording financial transactions
Varuhas Evidence, Facts and the Changing Nature of Judicial Review
Rahmani et al. Legal Analysis of Procurement Corruption in Iran Economy.
EP1852837B1 (en) Method for authenticating a product
Nwaogu et al. Analysis of the implementation of the construction products regulation

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R082 Change of representative

Representative=s name: GERHARD WIESE, DE

Representative=s name: WIESE, GERHARD, DIPL.-ING. (FH), DE

R082 Change of representative

Representative=s name: GERHARD WIESE, DE

Representative=s name: WIESE, GERHARD, DIPL.-ING. (FH), DE

R016 Response to examination communication
R082 Change of representative

Representative=s name: WIESE, GERHARD, DIPL.-ING. (FH), DE

Representative=s name: GERHARD WIESE, DE

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: G06F0021220000

Ipc: G06F0021100000

Effective date: 20130502

R002 Refusal decision in examination/registration proceedings
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140801