JP2007325275A - 画像処理装置の侵入検知システム及び方法 - Google Patents
画像処理装置の侵入検知システム及び方法 Download PDFInfo
- Publication number
- JP2007325275A JP2007325275A JP2007147161A JP2007147161A JP2007325275A JP 2007325275 A JP2007325275 A JP 2007325275A JP 2007147161 A JP2007147161 A JP 2007147161A JP 2007147161 A JP2007147161 A JP 2007147161A JP 2007325275 A JP2007325275 A JP 2007325275A
- Authority
- JP
- Japan
- Prior art keywords
- state transition
- processing apparatus
- image processing
- intrusion detection
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Facsimiles In General (AREA)
- Facsimile Transmission Control (AREA)
- Storage Device Security (AREA)
Abstract
【課題】 画像処理装置に侵入した不正なアクセスを、画像処理装置で検知する。
【解決手段】 データ記憶装置108に、文書処理装置104の処理機能を定義するステート遷移データを暗号化してステート遷移ファイルとして保存する。文書処理装置104にアクセスされた操作のログファイルを、ステート遷移ファイルと比較する。ステート遷移ファイルに比べて、ログファイルにステート遷移データの抜けがある場合には、ログファイルが異常であり、侵入を検知する。
【選択図】図5
【解決手段】 データ記憶装置108に、文書処理装置104の処理機能を定義するステート遷移データを暗号化してステート遷移ファイルとして保存する。文書処理装置104にアクセスされた操作のログファイルを、ステート遷移ファイルと比較する。ステート遷移ファイルに比べて、ログファイルにステート遷移データの抜けがある場合には、ログファイルが異常であり、侵入を検知する。
【選択図】図5
Description
本発明はネットワーク等を介したデータ通信に係り、より詳細には画像処理装置への不正な侵入や改ざんをより確実に検知して、情報の保護を図る画像処理装置の侵入検知システム及び方法に関する。
一般に文書処理装置等の画像処理装置では、情報の機密を保持し又不正な改ざん等から情報を保護するために、権限の無いユーザや不正侵入者が、装置やシステムにアクセスしたかどうかを検知できることが重要とされる。近年不正な侵入を検知するシステムとして、秘密キーを用い、或いはマシンの利用状況を検知して、ネットワークレベルで、不正な侵入を未然に検知するシステムがある。
しかしながら、ネットワークレベルで不正な侵入者を検知するにもかかわらず、侵入検知システムを回避して、画像処理装置内に侵入し、或いは悪意のあることが判らないような不正なプログラムを画像処理装置に仕掛ける恐れがある。この様な不正な使用があった場合は、ネットワークレベルでは明らかな異常や侵入がないにもかかわらず、画像処理装置が損なわれてしまうおそれがある。例えば、文書処理装置の場合に権限の無いユーザが、保護されたプリント操作のパスワード検索要件を回避すれば、不正なプリント操作が可能となり、又データ伝送を不正に傍受すれば、プリント情報を侵入者に送信し或は後で又見るために保存することも可能となる。更により巧妙な侵入の場合には、侵入した形跡も残さずに、文書処理装置内の処理機能のステート遷移の状況を保存するステート遷移ファイルを改ざんしたりするおそれもある。
そこで本発明は上記課題を解決するものであり、不正な侵入者が、ネットワークレベルでの侵入検知システムをすり抜けた場合であっても、画像処理装置側で、不正な侵入や情報の傍受或いは改ざん等を検知することが可能であり、不正なアクセスにより画像形成装置を損なうことなく、画像処理装置の良好な稼動を保持することが出来る画像処理装置の侵入検知システム及び方法を提供することを目的とする。
本発明は上記課題を解決するための手段として、画像処理装置の処理機能のステート遷移を定義する実行可能コード状態テーブルとして保存する記憶部と、前記画像処理装置に実行中のステート遷移をモニタするためのモニタ部と、前記モニタ部でモニタした前記ステート遷移を前記状態テーブルと比較する比較部と、前記比較部による比較結果に従い、前記画像処理装置で前記実行中のステート遷移が許容不可能なステート遷移であることを表す出力を生成する生成部とを設けるものである。
本発明によれば、画像処理装置にアクセスのあった操作のステート遷移データを、画像処理装置にて利用可能なすべての処理機能の正規のステート遷移データと比較して、両者が違っていれば、画像処理装置への不正な侵入があったと検証する。従ってネットワークレベルでの侵入検知をすり抜けた不正アクセスであっても、画像処理装置側で検知することができる。また、ステート遷移ファイルを暗号化し、不正侵入時にステート遷移ファイルが改ざんされるのを防止して、ステート遷移ファイルの改ざんによる画像処理装置のシステムダウンを解消して、画像処理装置の有効稼動を得る。
以下本発明の実施例を、図面を参照して説明する。図1は本発明の侵入検知システム100を示す概略構成図である。侵入検知システム100は、画像処理装置である少なくとも1台の文書処理装置104と、少なくとも1つのクライアント装置112を、分散処理環境を有する分散通信ネットワーク102で接続している。文書処理装置104と分散通信ネットワーク102は、通信リンク110を介して接続され、クライアント装置112と分散通信ネットワーク102は、通信リンク114を介して接続される。分散処理環境とは、分散通信ネットワーク102を介して、2台以上の電子装置間でデータを交換することができる環境のことである。
一般に分散通信ネットワーク102は、例えば、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、パーソナルエリアネットワーク、仮想ネットワーク、イントラネット、インターネット、又はこれらの任意の組み合わせ等を含む。但しこれに限定されない。本実施例では、分散通信ネットワーク102は、例えば、トークンリング、802.11(x)、イーサネット(登録商標)、その他の有線又は無線データ通信機構などの、従来のデータ伝送機構によって例示されるような機構からなる。
文書処理装置104としては、多機能周辺装置(MFP)がある。但し、これに限定されない。文書処理装置の各種文書処理機能としては、例えば、複写機能、プリント機能、スキャン機能、電子メール機能、文書管理機能、ファクシミリ機能等がある。又文書処理装置104は、Firewireドライブ、USBドライブ、SD、MMC、XD、コンパクトフラッシュ(登録商標)、メモリスティック等の各種携帯型記憶媒体を使用可能とするように装備される。又文書処理装置104は、ユーザとの直接対話を可能とするコントロールパネル上のタッチスクリーンインターフェースや液晶ディスプレイなどのユーザインターフェースを装備する。
通信リンク110、114は、ブルートゥース(Bluetooth(登録商標))、ワイマックス(WiMax)、802.11a、802.11b、802.11g、802.11(x)、独自通信網、赤外線、光、公衆交換電話網、又は任意の無線データ伝送システムを含むがこれらに限らず、無線通信、或いは有線通信等での既知の任意の適切なデータ通信チャネルである。
文書処理装置104には、コントローラ106が動作可能に結合されている。コントローラ106は、任意のソフトウェア、ハードウェア又はこれらの組み合わせからなり、文書処理装置104に制御機能を提供する。コントローラ106は、文書処理装置104によってアクセスされた文書処理操作の履歴や内容を記録するステート遷移データを生成し保持させる等が可能である。更にコントローラ106は、後述する侵入検知時に、アクセスされたログファイルのステート遷移データと、正規のステート遷移ファイルのステート遷移データとを比較する比較部としての機能を有する。このためコントローラ106は、署名生成部にて、実行可能コード内の特定のデジタル署名を生成して、比較部に送る機能を有する。コントローラ106は文書処理装置104の内部に組み込んでも良いし、文書処理装置104の文書処理機構とは別に外部に設置しても良い。更にコントローラ106は、ログファイルのステート遷移データと、正規のステート遷移ファイルのステート遷移データとを比較した結果に基づいて、前記実行中のステート遷移が許容不可能なステート遷移であることを表す出力を生成する生成部として機能する。
記憶部であるデータ記憶装置108は、文書処理装置104上で実行可能な全ての文書処理機能のステート遷移を定義する実行可能コードを暗号化した状態テーブルであり、正規のステート遷移データのリスト又はテーブルである、ステート遷移ファイルを、実行可能ファイルに保存する。更にモニタ部であるデータ記憶装置108は、実行済み或いは実行中の操作のステート遷移をモニタするために、文書処理装置104にアクセスした操作のステート遷移データのリスト又はテーブルであるログファイルを、アクセスファイルに保存する。データ記憶装置108は、ハードディスクドライブ、その他の磁気記憶装置、光学記憶装置、フラッシュメモリ素子、又はこれらの任意の組み合わせを含む任意の大容量記憶装置等である。但しこれに限定されない。データ記憶装置108は、図1に示すような独立の構成要素ではなく、例えば、内部ハードディスクドライブ等のように、文書処理装置104内部に組み込まれる内部記憶装置であっても良い。
クライアント装置112は、例えばラップトップコンピュータ等からなるが、これに限定されない。クライアント装置112は、文書処理操作を生成し、その操作を文書処理装置104に送信する。
次に図2に、侵入検知システム100のコントローラ106および文書処理装置104のブロック図を示す。コントローラ106は、プロセッサ202、読み出し専用メモリ(ROM)204、ランダム・アクセス・メモリ(RAM)206、ストレージ・インターフェース208、ネットワーク・サブシステム210、ネットワーク・インターフェース214、ディスク216、無線インターフェース218を有している。プロセッサ202、読み出し専用メモリ204、ランダム・アクセス・メモリ206、ストレージ・インターフェース208、ネットワーク・インターフェース・サブシステム210はバス212で接続され、データ通信される。
プロセッサ202は、複数のプロセッサからなっても良く、後述する侵入検知のための各種機能の実施を制御する。
読み出し専用メモリ204は、BIOS機能、システム機能、システム構成データ、およびコントローラ106の操作に使用されるその他のルーチンまたはデータ等の静的データ又は固定のデータ又は指示のために使用される。
ランダム・アクセス・メモリ(RAM)206は、ダイナミック・ランダム・アクセス・メモリ(DRAM)、スタティック・ランダム・アクセス・メモリ(SRAM)、又はその他任意のアドレス書き込み可能なメモリ・システムから構成される。ランダム・アクセス・メモリ206は、プロセッサ202によって達成されるデータ取り扱いのための記憶領域及びアプリケーションに関するデータや指示のための記憶領域を提供する。
ストレージ・インターフェース208は、ディスクドライブ216等に、コントローラ106に関するデータを持久的に記憶し、大量または長期に記憶するための機能を提供する。ストレージ・インターフェース208は、ディスクドライブ216の他に例えば、光学ストレージ、テープドライブなどの任意の適切なアドレス可能な記憶装置や、シリアル・ストレージなどの大容量記憶装置等任意の記憶媒体を使用する。
ネットワーク・インターフェース・サブシステム210は、コントローラ106が他の装置と通信できるように、ネットワークからの入出力を適切に経路指定する。ネットワーク・インターフェース・サブシステム210は、例えば、イーサネット(登録商標)、トークンリング等の固定ネットワークまたは、有線ネットワークとのデータ通信のためのネットワーク・インターフェース・カード(NIC)等のネットワーク・インターフェース214と接続される。ネットワーク・インターフェース・サブシステム210は、例えばワイファイ(WiFi)、その他、ワイマックス(WiMax)、無線モデム、携帯ネットワーク等の無線通信システムを経由する無線通信のための無線インターフェース218と接続される。ネットワーク・インターフェース・サブシステム210は、任意のフィジカルまたはノンフィジカルなデータ転送レイヤまたはプロトコル・レイヤを利用する。例えばネットワーク・インターフェース214は、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、またはそれらの組み合わせからなるフィジカルネットワーク220と相互に接続して、データを交換する。
バス212は、文書プロセッデジタル署名インターフェース222とデータ通信可能である。文書プロセッデジタル署名インターフェース222は、1つ又は複数の文書処理操作を実行するハードウェアである文書処理装置104との接続を提供する。文書処理装置104の文書処理操作には、コピーハードウェア224によって行われるコピー操作、スキャンハードウェア226によって行われるスキャン操作、プリントハードウェア228によって行われるプリント操作、及びファクシミリハードウェア230によって行われるファクシミリ通信操作等がある。コントローラ106の制御により各文書処理操作が実施される。
次に図3に示すコントローラ機能300を用いて、侵入検知システム100のコントローラ106による文書処理機能を説明する。図3は、図2に示すコントローラ106の機能を、ソフトウェア及びオペレーティングシステムに関連して示す説明図である。コントローラ機能300は文書処理エンジン302、プリント機能部304、ファックス機能部306、スキャン機能部308、ジョブキュー312、ネットワークサービス機能部314、画像処理プロセッサ316及びジョブ解析部318を有する。
文書処理エンジン302は、プリント操作、コピー操作、ファクシミリ操作、及びスキャニング操作が可能である。これ等操作は多機能周辺装置(MFP)により実施されることが多いがこれ等の操作機能を全て備えていなくても良く、一部の操作機能を実施するものであっても良い。
文書処理エンジン302は、ユーザインターフェース310に接続される。ユーザインターフェース310を使用してユーザ又は管理者は、文書処理エンジン302により制御される機能にアクセスすることができる。アクセスは、ローカルなインターフェースを介するか、リモートのシンクライアントまたはシッククライアントを介して、コントローラ106に対してなされる。
文書処理エンジン302は、プリント機能部304、ファックス機能部306、スキャン機能部308とデータ通信する。これらの装置は、文書情報のコピーやプリントに用いられ、プリント、ファクシミリ送受信、文書スキャンの実際の操作を容易にする。
ジョブキュー312は、プリンタ機能部304、ファックス通信機能部306及び画像走査機能部308とデータ通信する。画像走査機能部308とジョブキュー312とはビットマップ、ページ記述言語、ベクトル形式などの様々な画像形式が可能に接続される。
ジョブキュー312は、また、ネットワークサービス機能部314とデータ通信可能である。例えばジョブキュー312とネットワークサービス機能部314の間では、ジョブ制御、ステート遷移データ、又は電子文書データが通信される。
又コントローラ機能300に対しては、任意のシンクライアントまたはシッククライアントであるクライアントネットワークサービス320を介して、ネットワークベースでアクセスするための、インターフェースが提供される。クライアントネットワークサービス320は、ウェブサービスアクセスは、ハイパーテキスト転送プロトコル、ファイル転送プロトコル、ユニフォームデータダイアグラムプロトコル、及びその他、任意の交換機構を介して行われる。また、ネットワークサービス機能部314は、FTP、電子メール、及びTELNETなどを介した通信のために、クライアントネットワークサービス320とのデータのやり取りを提供する。従って、コントローラ機能300は、様々なネットワークアクセス機構を介した電子文書及びユーザ情報の入出力を容易にする。
又ジョブキュー312は、画像プロセッサ316とデータ通信可能にセットされる。画像プロセッサ316は、電子文書を、プリント機能部304或いは、ファックス機能部306などの操作機能と通信する形式に変換するためのラスタ画像処理部、ページ記述言語インタープリタ等の機構である。
更にジョブキュー312は、ジョブ解析部318とデータ通信する。ジョブ解析部318は、クライアント装置サービス322などの外部装置からプリントジョブ言語ファイルを受け取る。クライアント装置サービス322は、プリント機能部304、ファックス機能部306、その他コントローラ機能300によって処理可能な電子文書等を入力する。ジョブ解析部318は、受信した電子文書ファイルを解析して、それを、コントローラ機能300の該当する構成要素にて処理するために、ジョブキュー312に通信する。
上記侵入検知システム100にて、データ記憶装置108に保存される全ての正規のステート遷移データは、拡張マークアップ言語ファイルで保存される。又、正規のステート遷移データは、不正な改ざんを防止するために暗号化される。更にステート遷移ファイルは、修正する権限を有するユーザだけにアクセスを限定するように設定される。又ステート遷移ファイルは、権限を有しない人による改ざんを防止するために、システム管理者によって指示され、認証のために要求される、特定のデジタル署名を、必要に応じて有する。更にデータ記憶装置108は、不正な侵入をモニタし検知するために、文書処理装置104にアクセスされたプロセスに関するログファイルを、データ記憶装置108内に有している。
ログファイルへのステート遷移データの書き込みは、文書処理装置104へのアクセスによるステート遷移データを受け取った後に、ステート遷移データに固有識別子を割り当てることにより行われる。ステート遷移データに固有識別子を割り当てた後、ステート遷移データにデジタル署名が必要であると指示されているかどうかが判定される。ステート遷移データにデジタル署名の必要が無い場合、アクセスされたステート遷移データは、アクセスされた操作に関するログファイルに記憶される。
ステート遷移データにデジタル署名が必要であると指示されている場合、アクセスされたステート遷移データに対して所定のデジタル署名が為された後に、デジタル署名とステート遷移データとが、ログファイルに記録される。このプロセスは、アクセスされた操作の全てのステート遷移データに実行されるまで繰り返される。
即ち、文書処理装置104にアクセスされる各種操作は、文書処理装置104で定義される実行形式のコードである、ステート遷移データを有すべきものであり、アクセスした操作の完了は、文書処理装置104で定義される実行形式のコードの実行の完了と一致し、その結果ログファイルが生成され、データ記憶装置108に記録される。即ち、文書処理装置104にアクセスされる一連の全ての操作はモニタされて、アクセスされた操作のステート遷移データは、データ記憶装置108のログファイルに保存される。
従って、権限の無い者による文書処理装置104への侵入の解析と検出は、文書処理装置104へのアクセスによる操作の実行中に生成されるログファイルを使用して行われる。ログファイルを解析して、アクセスの異常、即ち侵入の形跡を検知するために、コントローラ106、その他ハードウェア、ソフトウェア、或はこれらの組み合わせは、データ記憶装置108と連動して、ステート遷移ファイルとログファイルを検索する。これ等は、文書処理装置104のコントローラ106を使用して行われるが、侵入検知のための検索或いは解析は、コントローラ106に限定されず、例えばデータ記憶装置108に接続される他の任意の管理装置等で実施することも可能である。
更にステート遷移ファイルは、権限の無い不正なアクセスによる改ざんを防ぐために暗号化されている。従って、コントローラ106は、ステート遷移ファイルに記憶された正規のステート遷移リスト又はテーブルにアクセスするためには先ずステート遷移ファイルを解読する必要がある。解析を行うため、コントローラ106は操作に関する暗号化された正規のステート遷移ファイルを解読した後、ステート遷移データをステート遷移ファイルから読み出すことが出来る。この様にして、ステート遷移ファイル内の正規のステート遷移データを一行ずつ検索する。最初の正規のステート遷移データを検索したら、コントローラ106は、正規のステート遷移データがデジタル署名を要求するものかどうかを判定する。デジタル署名が必要で無い場合、コントローラ106は、ステート遷移ファイルから次の正規のステート遷移データを検索し、続いてそのステート遷移データがデジタル署名を要求するかどうかを順次判定する。
ステート遷移データがデジタル署名を要求するものである場合、コントローラ106は、正規のステート遷移データのデジタル署名を生成して、アクセスされたステート遷移データに付与されたデジタル署名を、データ記憶装置108に記憶された正規のステート遷移データのデジタル署名と比較する。デジタル署名が一致しなければ、システム管理者にエラー通知を出力し、ログファイルに記録する。デジタル署名が一致したら、コントローラ106は、現在検証中の操作に関するログファイルに、まだ他にステート遷移データが残っているかどうかを判定する。まだ他のステート遷移データが残っていれば、次のステート遷移データを検索して、上記プロセスを繰り返す。ステート遷移データが残っていなければ、コントローラ106は、ログファイルから、アクセスされた操作のタイプ(コピー操作タイプ、プリント操作タイプ、ファックス操作タイプ等)を決定して、実行可能ファイルから、アクセスされた操作のタイプに対応するステート遷移ファイルの正規のステート遷移データをすべて読み出す。読み出された正規のステート遷移データに対して、ログファイルのステート遷移データが、例えば1つ或は複数のステップが抜けている等して、改ざんが判明した場合には、管理者に通知が送られ、ログファイルに記録される。この後、コントローラ106は、次の操作を検索して、同様に解析を続ける。
リアルタイムでアクセスの解析と不正な侵入を検知する際に、侵入検知システム100は、コントローラ106、その他のソフトウェア、ハードウェア、ソフトウェア/ハードウェア組み合わせを使用して、ログファイルを継続的にモニタする。モニタは、文書処理装置104により実行される新規のアクセスの操作を実行した後に行われる。本実施例では侵入検知システム100にて、コントローラ106をリアルタイムでモニタを行う構成要素として使用しているが、文書処理装置104とデータ通信可能であり、リアルタイムで侵入検知を等しく実行できる管理装置等を使用しても良い。
リアルタイムでの検証時、コントローラ106は、管理者等により設定された所定の時間が経過すると、アクセスファイルに記録されたログファイルを収集する。最後に検証されたアクセスの固有識別子が、ログファイルに含まれている。最後に検証された固有識別子を使用して、コントローラ106は、アクセスファイルを検索して、文書処理装置104にアクセスされ、実行される次の操作を探す。次の操作とは、固有識別子により時間順に実行される、次の操作のことである。コントローラ106は、アクセスファイルから次の操作のログファイルのステート遷移データを検索し、ステート遷移ファイルの正規のステート遷移データとの比較を行う。ログファイルとステート遷移ファイルのステート遷移データのデジタル署名が一致しないという判定であれば、それに基づいて前記実行中のステート遷移が許容不可能なステート遷移であることを表す出力であり、ログファイルが不正な侵入であるとの出力通知が生成されて、例えば管理者に送られる。他方デジタル署名が有効な場合は、ログファイルとステート遷移ファイルとを比較して、両者のステート遷移データが一致していないかどうか判定する。1つ又は複数のステート遷移データが一致しないときは、その旨の通知が生成され、例えば、管理者に送られるか、或はログファイルに記録される。両者のステート遷移データが一致するとコントローラ106が判定したときは、次の操作である、現在アクセス中の操作が、最後に検証された操作のログファイルとしてアクセスファイルに保存される。次いで、侵入検知システム100は元に戻って新しい操作を待機する。
次に図4のフローチャート400を参照して、コントローラ106による、文書処理装置104にアクセスされる操作に関するステート遷移データの生成について説明する。文書処理装置104に任意の文書処理操作のアクセスが開始されると、コントローラ106は、前のステートから別のステートに遷移した旨を表すステート遷移データを受け取る(ステップ402)。次に、受け取ったステート遷移データに固有識別子を割り当てる(ステップ404)。ステート遷移データのデジタル署名判定を問い合わせる(ステップ406)。記憶装置に暗号化された形で記憶されたステート記憶ファイルの問い合わせは、先ず解読しなければならない。ステップ408でステート遷移データにデジタル署名するかを判定する。
ステップ408でステート遷移データにデジタル署名しないと判定したら、ステート遷移データをログファイルに保存する(ステップ410)。ステート遷移ファイルがデジタル署名される時は、ステップ412に進み、ステート遷移ファイルから取り出した指示に従って、ステート遷移データにデジタル署名する。次にデジタル署名されたステート遷移データをログファイルに保存する(ステップ414)。即ち、文書処理装置104に文書処理操作がアクセスされると、モニタのために、図4に示すフローに従い、アクセスを記録するステート遷移データが、デジタル署名されているかどうかに関係なく、全てログファイルに保存される。図4に従いログファイルを更新出来、その結果、アクセスファイル内には、順次多数のモニタデータが生成される。
次に図5のフローチャート500を参照して、侵入検知方法について述べる。侵入検知をスタートして、先ずステップ502で、文書処理装置104へのアクセスのログファイルを検索する。ログファイルは、デジタル署名されたデータを含むものもある。次にステップ504で、データ記憶装置108から、ステート遷移ファイルを検索する。ステート遷移ファイルは、特定のデジタル署名されたデータを含む他に、権限の無いユーザによる改ざんからステート遷移ファイルを保護するために暗号化形式でデータ記憶装置108に保存される。適切な暗号化方法は、例えば、解読キーを有している。次に、ステップ506でステート遷移ファイルが解読され、コントローラ106による侵入検知のために準備される。
ステップ508で、アクセスファイル内の、最初の操作に対応するログファイルから第1のステート遷移データを読み出す。次にステップ510で、ステート遷移ファイルがデジタル署名を要求しているかどうか、即ち、検証中のステート遷移データにデジタル署名すべきかどうかを判定する。ステート遷移データにデジタル署名が必要であると判定された場合、ステップ512に進み、ログファイル内のデジタル署名と実行可能ファイル内のステート遷移ファイルのデジタル署名と比較する。ステップ514で、ログファイルのデジタル署名が有効かどうかを判定する。ステップ514でデジタル署名が有効で無いと判定された場合、ステップ528に進み、管理者にデジタル署名が有効で無い旨の通知が送られ、管理者に異常を通知する。この異常の通知は、例えば、MFPのコントロールパネル上のタッチスクリーンインターフェースや液晶ディスプレイに警告表示し或は、音声等で警告する。
ステップ514でデジタル署名が有効と判定された場合、ステップ516に進み、ログファイル内に別のステート遷移があるかどうか判定する。別のステート遷移データがログファイルに残っている時には、ステップ518に進み、ログファイルから次のステート遷移データを読み出す。ログファイル内の次のステート遷移データを読み出した後、ステップ510に戻り、次のステート遷移データにデジタル署名が必要かどうかを判定し、前述と同様に操作する。
一方ステップ516で、他のログファイルが残っていないと判定した場合は、ステップ520に進み、検証中の操作のタイプが決定される。即ち、文書処理装置104にて実行可能な文書処理機能のタイプ(コピー操作タイプ、プリント操作タイプ或は、ファクシミリ操作タイプ)に対して、文書処理機能のステート遷移を定義する実行可能コードが決定される。処理機能のタイプによって、必然的にステート遷移ファイル内にあるべき正規のステート遷移データが指定される。従ってコントローラ106は、次にステップ522で、アクセスされた処理機能に対応するステート遷移ファイルを実行可能ファイルから読み出す。次にステップ524で、アクセスのログファイルを検証して、ログファイルからステート遷移データが抜けていないかどうかを判断する。即ち、コントローラ106は、実行可能ファイルに記憶されていて、現在検証中の操作のタイプにあるはずのステート遷移ファイルを、検証中解析の操作に対応するログファイルと比較する。
1つ或は複数のステート遷移データが抜けている場合には、検証中のログファイルが異常であり、侵入の可能性を知らせる通知を管理者に送る(ステップ528)。検証中のログファイルにステート遷移データの抜けが無い場合は、侵入が無かったものと判断し、ステップ526に進み、別の操作のログファイルが在るか判定する。別の操作がある場合、ステップ508に戻り、次の操作の第1のステート遷移データをログファイルから読み出し、前述と同様に侵入検知される。ログファイル内に別の操作がもう残っていない場合、侵入検知操作を終了する。本実施例ではコントローラ106により侵入を解析し検知しているが、コントローラ106に限定されず、例えば管理装置、パーソナルコンピュータ等の処理装置によって実行することも可能である。
これにより、コントローラ106は、ネットワークレベルでの侵入検知をすり抜けて、文書処理装置104に侵入したアクセスのログファイルを、実行可能ファイルのステート遷移ファイルと比較して、ステート遷移データが抜けている場合には、検証中のログファイルが異常であり、侵入の可能性があったと検知できる。しかもステート遷移ファイル中のステート遷移データは、暗号化されているので、文書処理装置104に対して不正侵入があったとしてもステート遷移ファイルが改ざんされるのを防御できる。
次に図6のフローチャート600を参照して、侵入検知をリアルタイムで行う方法について述べる。このフローチャートでは、コントローラ106や文書処理装置104等の侵入検知のための構成要素は、文書処理装置104が新しい操作を実行するのを待機する(ステップ602)。コントローラ106は、管理者等に指定された所定の時間を待機したら、ステップ604に進みログファイルを読み出す。但しこのリアルタイムでの侵入検知は、これに限らず、例えば、コントローラ106が、任意の文書処理操作の完了を検知し或いは、ログファイルに新たなステート遷移データが記録されたことを検知した場合に、ステップ604で、ログファイルを読み出すようにしても良い。
ログファイルを読み出した後、ステップ606に進み、最後に侵入の有無が検証された(最も最近検証された)操作の固有識別子をアクセスファイルから読み出す。固有識別子は、次に、最後に検証された操作に続く、アクセスファイル内の次の操作を決定する(ステップ608)。次の操作とは、文書処理装置104に文書処理操作を実行され、ログファイルに記録された操作の次に続く操作或いは、時間的に最も近い次の操作を指す。次に、ログファイルに記録されるデジタル署名を、ステート遷移ファイルに保存された特定のデジタル署名と比較する(ステップ610)。
前述のステップ514と同様にして、デジタル署名が有効かどうかを判定し(ステップ612)、デジタル署名が有効で無い場合、ステップ620に進み、管理者にデジタル署名が有効で無い旨が通知され、異常の検知が通知される。ステップ612でデジタル署名が有効な場合、ステップ614に進み、現在の操作タイプ対応する正規のステート遷移データをステート遷移ファイルから読み出す。ステート遷移ファイルの内容により示されるように、次にステップ616で、本来あるべきステート遷移データが、1つ又は複数、ログファイルから抜けていないかどうかを判断する。1つ或は複数のステート遷移データが抜けている場合、ステップ620に進み、ログファイルが異常であり、侵入の可能性があることを管理者に報告する。即ち、ステップ616で、ステート遷移データが抜けていると判断されると、ステップ620にて、リアルタイムでアクセス中、即ちログファイルへ変更中の操作が、許可不可能とされる。ステップ616で、ログファイルからステート遷移データが抜けていない場合は、ステップ618に進み、現在の操作が、検証済みの最後の操作としてログファイルに保存され、ログファイルが変更される。
この後フローはステップ602に戻り、コントローラ106は、文書処理装置104への新しい操作のアクセスを待つ。
これによりコントローラ106は、例えば現在の操作のログファイルについて、リアルタイムに、不正な侵入であるか否かを検証できる。従って管理者等は、文書処理装置104への不正な侵入検知後直ちに現在アクセス中の操作を不許可とする等の対策を講じることが可能となる。
この実施例によれば、不正な侵入や改ざんを検知する際の判断の基準とするために、文書処理装置104の全ての処理機能のステート遷移を定義する、暗号化した正規のステート遷移データのステート遷移ファイルをデータ記憶装置108に保存しておく。文書処理装置104にアクセスした操作のログファイルを、ステート遷移ファイルと比較して、ログファイルからステート遷移データが抜けている場合には、ログファイルが異常であり、侵入の可能性を検知することが出来る。従って、ネットワークレベルでの侵入検知をすり抜けて、文書処理装置104に不正な侵入があったとしても、文書処理装置104にて、不正な侵入を検知できる。更にステート遷移ファイルのステート遷移データを暗号化しているので、不正侵入があったとしても、正規のステート遷移データが改ざんされるのを防御でき、改ざんによる文書処理装置104のシステムダウンを防止して、文書処理装置104の良好な稼動を得ることが出来る。
尚本発明の侵入検知システムの構成は限定されず、クライアント装置は、ウェブ対応の任意の端末装置であり、例えば、コンピュータワークステーション、パーソナルコンピュータ、携帯情報端末、携帯電話、スマートフォン等であっても良いし、又クライアントの数も限定されない。
更に画像処理装置にて侵入検知を行うには、テート遷移を定義する実行可能コードを暗号化してなくても良いが、暗号化することにより、もしも画像処理装置に侵入があった場合でも、実行可能コードが改ざんされる恐れが低減される。
又本実施例では、侵入検知のための機能が侵入検知システムのコントローラ内に予め記録されている場合で説明をしたが、これに限らず、同様の機能のコンピュータプログラムをネットワーク等の伝達手段から侵入検知システム内にダウンロードしても良いし、同様の機能を記録媒体に記憶させたものを、画像処理装置にインストールしても良い。記録媒体としては、CD−ROM等の光学記録媒体或はフロッピー(登録商標)ディスク等の磁気記録媒体等、プログラムを記憶でき、且つクライアントが読み取り可能な記録媒体であれば、その形態はいずれの形態であっても良い。またこのように予めインストールやダウンロードにより得る機能は、クライアント内部のOS(オペレーティング・システム)等と協動してその機能を実現させるものであっても良い。
100…侵入検知システム
102…分散通信ネットワーク
104…文書処理装置
106…コントローラ
108…データ記憶装置
110、114…通信リンク
102…分散通信ネットワーク
104…文書処理装置
106…コントローラ
108…データ記憶装置
110、114…通信リンク
Claims (12)
- 画像処理装置の処理機能のステート遷移を定義する実行可能コードを状態テーブルとして保存する記憶部と、
前記画像処理装置に実行中のステート遷移をモニタするためのモニタ部と、
前記モニタ部でモニタした前記ステート遷移を前記状態テーブルと比較する比較部と、
前記比較部による比較結果に従い、前記画像処理装置で前記実行中のステート遷移が許容不可能なステート遷移であることを表す出力を生成する生成部とを具備することを特徴とする画像処理装置の侵入検知システム。 - 前記状態テーブルは、デジタル署名されることを特徴とする請求項1記載の画像処理装置の侵入検知システム。
- 前記実行可能コードを暗号化して保存することを特徴とする請求項1又は請求項2記載の画像処理装置の侵入検知システム。
- 前記比較部の比較結果が、前記モニタ部でモニタした前記ステート遷移のログファイルに記録されることを特徴とする請求項1乃至請求項3のいずれかに記載の画像処理装置の侵入検知システム。
- 前記モニタ部でモニタした前記ステート遷移のログファイルへの変更中に許容不可能なステート遷移が生じることを特徴とする請求項1乃至請求項4のいずれかに記載の画像処理装置の侵入検知システム。
- 署名が必要な前記実行可能コードのデジタル署名を生成して、前記比較部に送る署名生成部を更に有することを特徴とする請求項1記載の画像処理装置の侵入検知システム。
- 画像処理装置の処理機能のステート遷移を定義する実行可能コードを状態テーブルとして保存するステップと、
前記画像処理装置に実行中のステート遷移をモニタするステップと、
前記モニタした前記ステート遷移を前記状態テーブルと比較するステップと、
前記比較するステップの比較結果に従い、前記画像処理装置で前記実行中のステート遷移が許容不可能なステート遷移であることを表す出力を生成するステップとを具備することを特徴とする画像処理装置の侵入検知方法。 - 前記状態テーブルは、デジタル署名されることを特徴とする請求項7記載の画像処理装置の侵入検知方法。
- 前記実行可能コードを暗号化して保存することを特徴とする請求項7又は請求項8記載の画像処理装置の侵入検知方法。
- 前記比較結果が、前記モニタした前記ステート遷移のログファイルに記録されることを特徴とする請求項7乃至請求項9のいずれかに記載の画像処理装置の侵入検知方法。
- 前記モニタした前記ステート遷移のログファイルへの変更中に許容不可能なステート遷移が生じることを特徴とする請求項7乃至請求項10のいずれかに記載の画像処理装置の侵入検知方法。
- 前記モニタした前記ステート遷移を前記状態テーブルと比較するステップで使用するために、署名を必要とする前記実行可能コードのデジタル署名を生成するステップを更に有することを特徴とする請求項7記載の画像処理装置の侵入検知方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/446,910 US20070283166A1 (en) | 2006-06-05 | 2006-06-05 | System and method for state transition intrusion detection |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007325275A true JP2007325275A (ja) | 2007-12-13 |
JP2007325275A5 JP2007325275A5 (ja) | 2010-05-06 |
Family
ID=38791794
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007147161A Withdrawn JP2007325275A (ja) | 2006-06-05 | 2007-06-01 | 画像処理装置の侵入検知システム及び方法 |
Country Status (2)
Country | Link |
---|---|
US (1) | US20070283166A1 (ja) |
JP (1) | JP2007325275A (ja) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101226145B1 (ko) * | 2007-01-10 | 2013-01-25 | 싱크로니카 피엘씨 | 프레즌스 업데이트 제공 방법 및 프레즌스 업데이트를 제공하는 네트워크 장치 |
US8230228B2 (en) * | 2008-10-31 | 2012-07-24 | International Business Machines Corporation | Support of tamper detection for a log of records |
US20100191983A1 (en) * | 2009-01-27 | 2010-07-29 | Sameer Yami | System and method for secure logging of document processing device messages |
US10356106B2 (en) | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
EP2946332B1 (en) | 2013-01-16 | 2018-06-13 | Palo Alto Networks (Israel Analytics) Ltd | Automated forensics of computer systems using behavioral intelligence |
US9268938B1 (en) | 2015-05-22 | 2016-02-23 | Power Fingerprinting Inc. | Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection |
US10075461B2 (en) | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
US10859609B2 (en) | 2016-07-06 | 2020-12-08 | Power Fingerprinting Inc. | Methods and apparatuses for characteristic management with side-channel signature analysis |
US10686829B2 (en) | 2016-09-05 | 2020-06-16 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying changes in use of user credentials |
US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
US11012492B1 (en) | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5557742A (en) * | 1994-03-07 | 1996-09-17 | Haystack Labs, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US7281268B2 (en) * | 1999-11-14 | 2007-10-09 | Mcafee, Inc. | System, method and computer program product for detection of unwanted processes |
US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US20030236992A1 (en) * | 2002-06-19 | 2003-12-25 | Sameer Yami | Method and system for providing secure logging for intrusion detection |
US7146643B2 (en) * | 2002-10-29 | 2006-12-05 | Lockheed Martin Corporation | Intrusion detection accelerator |
US7370357B2 (en) * | 2002-11-18 | 2008-05-06 | Research Foundation Of The State University Of New York | Specification-based anomaly detection |
JP3999188B2 (ja) * | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
-
2006
- 2006-06-05 US US11/446,910 patent/US20070283166A1/en not_active Abandoned
-
2007
- 2007-06-01 JP JP2007147161A patent/JP2007325275A/ja not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
US20070283166A1 (en) | 2007-12-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2007325275A (ja) | 画像処理装置の侵入検知システム及び方法 | |
US20070283170A1 (en) | System and method for secure inter-process data communication | |
JP2007241513A (ja) | 機器監視装置 | |
US20090271839A1 (en) | Document Security System | |
JP4555322B2 (ja) | 画像通信システムおよび画像通信装置 | |
US20110067088A1 (en) | Image processing device, information processing method, and recording medium | |
JP2007140958A (ja) | 文書管理システム | |
JP2007334881A (ja) | 未処理の画像処理操作の監視システム及び方法 | |
JP4599882B2 (ja) | 不正閲覧監視システム | |
JP2008108232A (ja) | 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム | |
JP3880562B2 (ja) | 画像処理装置 | |
JP2009301344A (ja) | 画像出力認証システム | |
JP5135239B2 (ja) | 画像形成システムおよびサーバ装置 | |
JP2008093903A (ja) | 画像情報処理システム及び画像情報処理方法 | |
JP4171505B2 (ja) | 画像処理装置 | |
JP2011198256A (ja) | コンテント保護装置 | |
JP5575090B2 (ja) | 画像形成装置 | |
JP2006211157A (ja) | サービス提供装置、サービス提供システム、サービス提供方法 | |
JP4183564B2 (ja) | 情報処理システム、情報処理装置及びコンピュータプログラム | |
US11765302B2 (en) | Image forming apparatus equipped with an anti-malware function of a permission-list type, image forming method using the same, and non-transitory computer-readable recording medium on which image forming program for the same is recorded | |
JP7492886B2 (ja) | 通信制御システムおよび情報処理装置 | |
US20050086516A1 (en) | Data processing apparatus | |
JP4699962B2 (ja) | 画像処理システムおよび画像処理装置 | |
US20220070329A1 (en) | Information processing apparatus, non-transitory computer readable medium, and information processing system | |
JP2004328631A (ja) | 画像処理装置及び画像処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100318 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100318 |
|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20100708 |