CN114327305A

CN114327305A - 一种异常打印信息检测方法、装置、设备及存储介质

Info

Publication number: CN114327305A
Application number: CN202111587753.3A
Authority: CN
Inventors: 洪盛阳
Original assignee: Agricultural Bank of China
Current assignee: Agricultural Bank of China
Priority date: 2021-12-23
Filing date: 2021-12-23
Publication date: 2022-04-12

Abstract

本发明公开了一种异常打印信息检测方法、装置、设备及存储介质。该方法包括：获取内网路由器发送给打印机目标端口的打印语言信息；结合预先设置的打印机敏感词汇列表，检测所述打印语言信息的敏感词汇状态；当所述敏感词汇状态为存在敏感词汇时，将所述打印信息确定为异常信息。本发明在内网路由器与打印机之间设置防火墙，并针对打印机语言进行信息检测，可以准确识别异常打印信息，从而及时过滤和拦截攻击打印机的恶意信息，解决了目前市面上的防火墙仅能检测基于http协议的网络流量，无法对由打印机语言所构成的恶意流量进行检测，以及无法拦截内部网络用户向打印机设备发起恶意攻击的问题。

Description

一种异常打印信息检测方法、装置、设备及存储介质

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种异常打印信息检测方法、装置、设备及存储介质。

背景技术

网络打印机是指通过打印服务器(内置或者外置)将打印机作为独立的设备接入局域网或者Internet，从而使打印机摆脱一直以来作为电脑外设的附属地位，使之成为网络中的独立成员，成为一个可与其并驾齐驱的网络节点和信息管理与输出终端，其他网络成员可以直接访问使用该打印机。

一般情况下，网络打印机开放80端口对外开启web服务，提供作业查询、远程打印作业等功能。此外大多数网络打印机还开放9100端口，通过该端口和特殊的打印机语言来对打印机进行控制。

由于打印机语言的特殊性和网络服务的不稳定性，导致黑客有机会通过种种手段对打印机发起攻击，达到窃取商业机密、破坏打印机等目的。

2017年一名高中生黑客利用打印机漏洞绕过了身份认证，该黑客使用打印机进程守护 (LPD)和Internet打印协议(IPP)通过9100端口直接传送RAW协议的打印作业，从而控制了15万多台打印机。之后，又有全球各地打印机相继受到攻击，这些打印机纷纷在Twitter上晒出了被攻击之后打印的ASCII码图案。

此前也有研究人员发现，部分激光打印机上一个名为“远程固件更新”的功能可以让黑客在机器上安装恶意软件后完全控制打印机，将打印文件传回黑客电脑、使打印机停止工作甚至让打印机上对碳粉进行加热加压的定影仪不断加热至起火。

目前市面上的防火墙仅能检测基于http协议的网络流量，无法对由打印机语言所构成的恶意流量进行检测。且在重点系统和单位中，打印机属于高度敏感的设备，防火墙常设置在外部网络和内部网络之间，如果内部网络中有用户向打印机设备发起恶意攻击，则可以绕过设置在网关处的防火墙。

发明内容

本发明提供一种异常打印信息检测方法、装置、设备及存储介质，以实现准确识别异常打印信息，从而及时过滤和拦截攻击打印机的恶意信息。

第一方面，本发明实施例提供了一种异常打印信息检测方法，包括：

获取内网路由器发送给打印机目标端口的打印语言信息；

结合预先设置的打印机敏感词汇列表，检测所述打印语言信息的敏感词汇状态；

当所述敏感词汇状态为存在敏感词汇时，将所述打印语言信息确定为异常信息。

可选的，所述打印语言信息由打印机语言构成，所述打印机语言包括PCL、 PS语言和/或GDI打印语言。

可选的，所述打印机敏感词汇列表包括信息获取词汇子列表、文件攻击词汇子列表、远程控制词汇子列表、程序破坏词汇子列表和/或物理攻击词汇子列表。

可选的，在将所述打印信息确定为异常信息之后，还包括：

拦截所述异常信息，并进行报警提示。

第二方面，本发明实施例还提供了一种异常打印信息检测装置，该装置包括：

信息获取模块，用于获取内网路由器发送给打印机目标端口的打印语言信息；

语言检测模块，用于结合预先设置的打印机敏感词汇列表，检测所述打印语言信息的敏感词汇状态；

异常确定模块，用于当所述敏感词汇状态为存在敏感词汇时，将所述打印语言信息确定为异常信息。

可选的，所述装置还包括报警拦截模块，用于：

拦截所述异常信息，并进行报警提示。

第三方面，本发明实施例还提供了一种防火墙设备，该设备设置于内网路由器与打印机之间，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如本发明任意实施例所述的异常打印信息检测方法。

第四方面，本发明实施例还提供了一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行如本发明任意实施例所述的异常打印信息检测方法。

本发明通过获取内网路由器发送给打印机目标端口的打印语言信息，结合预先设置的打印机敏感词汇列表，检测打印语言信息的敏感词汇状态，当敏感词汇状态为存在敏感词汇时，将打印语言信息确定为异常信息。本发明在内网路由器与打印机之间设置防火墙，并针对打印机语言进行信息检测，可以准确识别异常打印信息，从而及时过滤和拦截攻击打印机的恶意信息，解决了目前市面上的防火墙仅能检测基于http协议的网络流量，无法对由打印机语言所构成的恶意流量进行检测，以及无法拦截内部网络用户向打印机设备发起恶意攻击的问题。

附图说明

图1是本发明实施例一提供的一种异常打印信息检测方法的流程图；

图2是本发明实施例二提供的一种异常打印信息检测装置的结构框图；

图3是本发明实施例三提供的一种防火墙设备的结构框图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构，此外，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

实施例一

图1为本发明实施例一提供的一种异常打印信息检测方法的流程图，本实施例可适用于对发送至打印机的信息进行检测的情况，该方法可以由异常打印信息检测装置来执行，该装置可以通过软件和/或硬件实现。

如图1所示，该方法具体包括如下步骤：

步骤110、获取内网路由器发送给打印机目标端口的打印语言信息。

在本实施例中，打印语言信息可以由打印机语言构成。在打印机语言的控制下，其他计算机传送至打印机的打印数据可以被转化成可供打印的文字和图像，最终被打印机识别并输出。打印机语言可以包括PCL、PS语言、GDI打印语言等任意由于指示打印机工作的机器语言。页面描述语言(Procedure Design Language，PDL)是常见的打印语言，也可称为伪码或结构化语言，其功能强大，能输出复杂的页面和图像，PCL(Printing ControlLanguage)和PS(PostScript) 是两种标准化的页面描述语言。GDI(Graphical DeviceInterface，图形设备接口)打印语言的文本格式解释能力比较弱，因此GDI打印语言一般在较为低档的图形激光打印环境中使用。

实际应用时，可以将本实施例提供的异常打印信息检测方法集成在硬件打印机防火墙内，将打印机防火墙架设在打印机前，也就是设置于内网路由器与打印机之间。可以将打印机用于接收其他设备传送的信息的接口确定为目标端口，例如，网络打印机一般开放80端口和9100端口，因此可以将80端口和9100端口确定为目标端口。将打印机防火墙架设在打印机前，可以对所有进入该防火墙的打印语言信息进行检测，可以有效防止所有攻击打印机的异常信息，该方法优点是防御能力强、可以针对性的保护重点打印机。

步骤120、结合预先设置的打印机敏感词汇列表，检测打印语言信息的敏感词汇状态。

在本实施例中，可以预先对打印机进行渗透测试，将打印机语言的攻击方式进行分类，并提取相应的攻击词汇，将这些攻击词汇形成打印机敏感词汇列表。根据不同的攻击方式分析相应的敏感词时，要保证打印机的正常业务不会被触发，否则当防火墙过滤恶意报文时，也会将正常的报文进行过滤，从而影响到正常的业务。

可选的，打印机敏感词汇列表可以包括信息获取词汇子列表、文件攻击词汇子列表、远程控制词汇子列表、程序破坏词汇子列表和/或物理攻击词汇子列表。

实际场景中，攻击者常常通过打印机语言来读取打印机中的敏感信息，从而达到获取系统用户、密码、操作记录、打印列表等目的。信息获取词汇子列表可以包括用于获取打印机敏感信息的攻击词汇。

示例性的，如：

实际应用中，可以在发送给打印机9100端口的报文中，将含有以上路径的报文进行标注，从而达到保护敏感信息的目的。

攻击者还可能使用含有“&f8X”等打印机指令对打印机内的文件进行删除等操作，而正常用户不会对打印机内部文件进行删除，所以可以通过判断“&f8X”这一关键词的做法，来对打印机内部文件进行保护。文件攻击词汇子列表可以包括用于破坏或删除打印文件的攻击词汇。

另一场景中，攻击者可以利用打印机语言向打印机传送本地的代码和程序，从而造成远程代码执行恶意控制打印机的风险。如在PJL打印机语言中，攻击者通过“@PJLFSDOWNLOAD FORMAT:BINARY SIZE＝”语句进行文件上传，由于正常用户不会向打印机设备中上传文件，所以可以通过识别标注“FSDOWNLOAD”关键词进行防护。远程控制词汇子列表可以包括用于恶意篡改打印机运行文件的攻击词汇。

攻击者也可以通过打印机语言以无限重启打印机的方式造成打印机失效，例如通过“@PJL DMCMD ASCIIHEX＝“040006020501010301040104””可以实现打印机重启，因此可以应对“040006020501010301040104”指令码进行识别标注，禁止用户从远程重启打印机。程序破坏词汇子列表可以包括用于恶意操控打印机运行的攻击词汇。

攻击者还可以通过向NVRAM中不断写循环代码的方式，例如使用“@PJL DEFAULTCOPIES＝”语句，使打印机受到物理伤害，导致打印机宕机甚至破坏物理内存。可以对“DEFAULT COPIES”这类关键词进行识别和标注，以防攻击者使用这一攻击。物理攻击词汇子列表可以包括用于破坏打印机物理装置的攻击词汇。

具体的，根据对打印机进行渗透测试，将用于攻击打印机的敏感词汇形成打印机敏感词汇列表，在获取到打印语言信息时，可以检测打印语言信息中是否存在打印机敏感词汇列表中的敏感词汇，若存在，则将打印语言信息的敏感词汇状态标注为存在敏感词汇，否则将打印语言信息的敏感词汇状态标注为不存在敏感词汇。

步骤130、当敏感词汇状态为存在敏感词汇时，将打印语言信息确定为异常信息。

具体的，如果打印语言信息的敏感词汇状态为存在敏感词汇，则该打印语言信息很有可能为一条攻击打印机的攻击信息，因此可以将该打印语言信息确定为异常信息。

可选的，在将打印信息确定为异常信息之后，还可以包括：拦截异常信息，并进行报警提示。

在检测到包含敏感词汇的异常信息时，可以将该信息进行拦截，并发送至相应设备进行进一步的分析判断。

本实施例的技术方案，通过获取内网路由器发送给打印机目标端口的打印语言信息，结合预先设置的打印机敏感词汇列表，检测打印语言信息的敏感词汇状态，当敏感词汇状态为存在敏感词汇时，将打印语言信息确定为异常信息。本发明在内网路由器与打印机之间设置防火墙，并针对打印机语言进行信息检测，可以准确识别异常打印信息，从而及时过滤和拦截攻击打印机的恶意信息，解决了目前市面上的防火墙仅能检测基于http协议的网络流量，无法对由打印机语言所构成的恶意流量进行检测，以及无法拦截内部网络用户向打印机设备发起恶意攻击的问题。

实施例二

本发明实施例所提供的异常打印信息检测装置可执行本发明任意实施例所提供的异常打印信息检测方法，具备执行方法相应的功能模块和有益效果。图 2是本发明实施例二提供的一种异常打印信息检测装置的结构框图，如图2所示，该装置包括：信息获取模块210、语言检测模块220和异常确定模块230。

信息获取模块210，用于获取内网路由器发送给打印机目标端口的打印语言信息；

语言检测模块220，用于结合预先设置的打印机敏感词汇列表，检测所述打印语言信息的敏感词汇状态；

异常确定模块230，用于当所述敏感词汇状态为存在敏感词汇时，将所述打印语言信息确定为异常信息。

选的，所述打印语言信息由打印机语言构成，所述打印机语言包括PCL、 PS语言和/或GDI打印语言。

可选的，所述装置还包括报警拦截模块，用于：

拦截所述异常信息，并进行报警提示。

实施例三

图3为本发明实施例三提供的一种防火墙设备的结构框图，如图3所示，该防火墙设备包括处理器310、存储器320、输入装置330和输出装置340；防火墙设备中处理器310的数量可以是一个或多个，图3中以一个处理器310为例；防火墙设备中的处理器310、存储器320、输入装置330和输出装置340可以通过总线或其他方式连接，图3中以通过总线连接为例。

存储器320作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的异常打印信息检测方法对应的程序指令/模块(例如，异常打印信息检测装置中的信息获取模块210、语言检测模块220和异常确定模块230)。处理器310通过运行存储在存储器320中的软件程序、指令以及模块，从而执行防火墙设备的各种功能应用以及数据处理，即实现上述的异常打印信息检测方法。

存储器320可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器320可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器320可进一步包括相对于处理器310 远程设置的存储器，这些远程存储器可以通过网络连接至防火墙设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置330可用于接收输入的数字或字符信息，以及产生与防火墙设备的用户设置以及功能控制有关的键信号输入。输出装置340可包括显示屏等显示设备。

实施例四

本发明实施例四还提供一种包含计算机可执行指令的存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种异常打印信息检测方法，该方法包括：

获取内网路由器发送给打印机目标端口的打印语言信息；

当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的异常打印信息检测方法中的相关操作。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器 (Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

值得注意的是，上述异常打印信息检测装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。

Claims

1.一种异常打印信息检测方法，其特征在于，包括：

获取内网路由器发送给打印机目标端口的打印语言信息；

2.根据权利要求1所述的异常打印信息检测方法，其特征在于，所述打印语言信息由打印机语言构成，所述打印机语言包括PCL、PS语言和/或GDI打印语言。

3.根据权利要求1所述的异常打印信息检测方法，其特征在于，所述打印机敏感词汇列表包括信息获取词汇子列表、文件攻击词汇子列表、远程控制词汇子列表、程序破坏词汇子列表和/或物理攻击词汇子列表。

4.根据权利要求1所述的异常打印信息检测方法，其特征在于，在将所述打印信息确定为异常信息之后，还包括：

拦截所述异常信息，并进行报警提示。

5.一种异常打印信息检测装置，其特征在于，包括：

6.根据权利要求5所述的异常打印信息检测装置，其特征在于，所述打印语言信息由打印机语言构成，所述打印机语言包括PCL、PS语言和/或GDI打印语言。

7.根据权利要求5所述的异常打印信息检测装置，其特征在于，所述打印机敏感词汇列表包括信息获取词汇子列表、文件攻击词汇子列表、远程控制词汇子列表、程序破坏词汇子列表和/或物理攻击词汇子列表。

8.根据权利要求5所述的异常打印信息检测装置，其特征在于，所述装置还包括报警拦截模块，用于：

拦截所述异常信息，并进行报警提示。

9.一种防火墙设备，其特征在于，所述设备设置于内网路由器与打印机之间，所述设备包括：

一个或多个处理器；

存储器，用于存储一个或多个程序；

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-4中任一所述的异常打印信息检测方法。

10.一种包含计算机可执行指令的存储介质，其特征在于，所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-4中任一所述的异常打印信息检测方法。