JP2005193590A - 印刷装置 - Google Patents
印刷装置 Download PDFInfo
- Publication number
- JP2005193590A JP2005193590A JP2004004115A JP2004004115A JP2005193590A JP 2005193590 A JP2005193590 A JP 2005193590A JP 2004004115 A JP2004004115 A JP 2004004115A JP 2004004115 A JP2004004115 A JP 2004004115A JP 2005193590 A JP2005193590 A JP 2005193590A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- attack
- address
- printing apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】 ネットワーク経由のアタックに対して安全性が高く、且つ管理者の負担を軽減させることが可能な印刷装置を提供する。
【解決手段】 IPアドレスで構成されるアドレス帳を参照することによって、特定のIPアドレスを持つ装置との通信を許可/禁止することが可能な印刷装置において、印刷装置自身がネットワーク攻撃を検知することが可能な手段と、印刷装置が攻撃されていると検知された場合、攻撃元のIPアドレスからの通信を遮断する手段と、攻撃元のIPアドレスをアドレス帳に追加する手段と、攻撃元のIPアドレスを他のデバイスに通知する手段と、通知を受信した場合、受信したデータに含まれるIPアドレスとの通信を遮断する手段を備える。
【選択図】 図1
【解決手段】 IPアドレスで構成されるアドレス帳を参照することによって、特定のIPアドレスを持つ装置との通信を許可/禁止することが可能な印刷装置において、印刷装置自身がネットワーク攻撃を検知することが可能な手段と、印刷装置が攻撃されていると検知された場合、攻撃元のIPアドレスからの通信を遮断する手段と、攻撃元のIPアドレスをアドレス帳に追加する手段と、攻撃元のIPアドレスを他のデバイスに通知する手段と、通知を受信した場合、受信したデータに含まれるIPアドレスとの通信を遮断する手段を備える。
【選択図】 図1
Description
本発明はネットワークに接続した印刷装置のセキュリティ機構に関わり、特に他の端末からの攻撃を防御し、攻撃者の情報をネットワーク上に通知する印刷装置のセキュリティ機構に関する。
現在まで、攻撃者を防ぐために用意されている手段としては、暗号またはファイアウォールが標準的かつ普通である。前者は、通信の途中でのデータの改暫や盗聴を防ぐ事ができる事に特徴がある。また、後者は、ネットワークの一定の範囲をその外部から保護する事に特徴がある。ここでは特に後者の場合について考察する。まずファイアウォールとは、保護されたネットワーク(ローカルネットワーク)と、インターネットまたは他のネットワーク群との間に設置され、その間のアクセスを制限するための、コンポーネントあるいはコンポーネント群のことである。それを設置すると、すべての内外からのデータは、ファイアウォールを通過するため、セキュリティの方針によって決められたデータのみ、通過させるという制御が可能となる(例えば、特許文献1参照)。
また、ファイアウォール内の個々の端末で、起動しているプロセスの個数、ネットワークインターフェイスのトラフィック、特定ファイルのアクセス状況等の内部状態を監視することにより、侵入検出を行い、異常と判断した場合に、自計算機のリソースアクセスの制御および、ファイアウォールを含む他計算機への侵入の通知を行うものである。
特開2000−125062号公報
前述のファイアウォールを使用したネットワークセキュリティシステムにおいては、ネットワーク管理者はファイアウォールを使用することにより、監視する範囲を限定することができる反面、クラッカーがファイアウォールをすり抜けてローカルネットワーク内に侵入した場合に、ローカルネットワーク内の端末に攻撃を仕掛けられる可能性がある。この場合には、ローカルネットワーク内の端末には攻撃の防御機能や検知機能が入っていないために、容易に侵入される場合が存在する。
また、ローカルネットワーク内に存在する各端末がネットワークアクセスを監視することにより、侵入検出を行い、異常と判断した場合に、自計算機のリソースアクセスの制御及び、ファイアウォールを含む他計算機への侵入の通知を行うシステムも提案されているが、各端末内での通知情報の管理のし易さなどに問題がある場合があった。
本発明はこのような事情を考慮してなされたものであり、その目的とするところは、ネットワーク経由での攻撃を受けた場合にその攻撃を検知し、攻撃元との通信を遮断することが可能な印刷装置を提供することにより印刷装置の管理者への負担の軽減を図る。また、印刷装置が攻撃を検知した際に、攻撃者の情報を他の印刷装置や端末に通知することにより、攻撃による事態の悪化を未然に防止して、管理者の負担の軽減を図ることにある。
この発明は下記の構成を備えることにより上記課題を解決できるものである。
(1)ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、前記パケット監視手段を使用することによって受信したパケットが前記印刷装置へのネットワーク攻撃であるか否かを判断するための攻撃検知手段と、ネットワーク経由での通信の許可/禁止の対象となる特定の端末のネットワーク識別子をアドレスブックとして保持するアドレスブック管理手段とを備え、前記印刷装置は前記攻撃検知手段によって、前記印刷装置自身がネットワーク経由での攻撃を受けていると検知した場合、前記パケット監視手段は攻撃パケットの送信元端末のネットワーク識別子を認識し、前記アドレスブック管理手段は前記ネットワーク識別子を通信禁止端末として前記アドレスブックに対して書き込み、また前記攻撃パケットの送信元端末からの通信を遮断することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(2)前記(1)に於いて、前記端末のネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(3)前記(1)に於いて、前記アドレスブック及びアドレスブック管理手段は、通信の許可及び禁止をそれぞれ複数個ずつ独立して保持することが可能であることを特徴とするネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(4)ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、前記パケット監視手段を使用することによって受信したパケットが前記印刷装置へのネットワーク攻撃であるか否かを判断するための攻撃検知手段と、前記印刷装置が接続されるネットワーク上に存在する他のデバイスのネットワーク識別子をリストとして保持する印刷装置アドレス保持手段と、前記印刷装置が接続されるネットワーク上の特定の装置に対してネットワーク経由で情報を通知する情報通知手段とを備え、前記印刷装置は前記攻撃検知手段によって、前記印刷装置自身がネットワーク経由での攻撃を受けていると検知した場合、前記パケット監視手段は攻撃パケットの送信元端末のネットワーク識別子を認識し、前記印刷装置アドレス保持手段に保持されているネットワーク識別子の宛て先に対して、前記情報通知手段は攻撃パケットの送信元端末のネットワーク識別子の情報を通知することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(5)前記(4)に於いて、前記他のデバイスのネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(6)ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、ネットワーク経由で取得したパケットが、ネットワークの攻撃者(クラッカー)の通知情報であるか否かを認識し、クラッカーのネットワーク識別子を認識するための情報認識手段と、ネットワーク経由での通信の許可/禁止の対象となる特定の端末のネットワーク識別子をアドレスブックとして保持するアドレスブック管理手段とを備え、前記NIC部が受信したパケットが、他のデバイスから送られてきたクラッカーの通知情報であった場合、前記アドレスブック管理手段は前記クラッカーのネットワーク識別子を通信禁止端末として前記アドレスブックに対して書き込み、また前記クラッカーのネットワーク識別子からの通信を遮断することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(7)前記(6)に於いて、前記ネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
(8)前記(6)に於いて、前記アドレスブック及びアドレスブック管理手段は、通信の許可及び禁止をそれぞれ複数個ずつ独立して保持することが可能であることを特徴とするネットワークセキュリティ機構を備えることを特徴とした印刷装置。
本発明によれば印刷装置自身がネットワーク攻撃を検知することが可能であるため、攻撃を検知した場合には攻撃元から送信されるIPパケットの受信を禁止して、同時に通信禁止アドレス帳に攻撃元のIPアドレスを追記するため、印刷装置の管理者の負担を軽減させ、且つ安全な印刷装置を提供することが可能になる。また、検知した攻撃元IPアドレスを他の装置に通知する機能を備えることにより、それぞれの装置の管理者の負担を軽減させることが可能になる。また、攻撃元IPアドレス情報の通知を受信した印刷装置は、攻撃元から送信されるIPパケットの受信を禁止して、同時に通信禁止アドレス帳に攻撃元のIPアドレスを追記するため、印刷装置の管理者の負担を軽減させ、且つ安全な印刷装置を提供することが可能になる。
このように、本発明によれば印刷装置単体としてのセキュリティ機能の確保と、ネットワーク全体としてのセキュリティの確保を両立することが可能になる。
以下本発明を実施するための最良の形態を、実施例により詳しく説明する。
本発明の第一の実施例について説明する。
図1は本実施例のシステム構成を示すブロック図である。印刷装置101はネットワークインターフェイスを供えたMFP(Multi Function Peripheral)であり、ネットワーク経由で印刷ジョブを受信したり、使用者が端末装置上で動作するアプリケーションソフトを使用することによって印刷装置101の情報の参照や設定が可能である。また印刷装置102及び103も、ネットワーク印刷装置としての基本的な能力は印刷装置101同様であり、MFPであるものとする。印刷装置101及び102、103の構成に関しては、図2を用いて後述する。LAN104は一般的にいわれるところのLAN(Local Area Network)であり、イーサネット(R)(Ethernet(R))であるものとする。印刷装置101及び102、103や後述のファイアウォール106や端末107は全てネットワークインターフェイスカード(NIC)によってLAN104に接続される。LAN104に接続される各端末や各印刷装置はイーサネット(R)ケーブルやハブ(HUB)などを介して接続される。なお、ここでのLANの種別はイーサネット(R)であるが、これは限定されるものではなく、一般的にLANを形成するものであればよい。例えばトークンリング(Token Ring)などであってもよい。インターネット105は一般的にいわれるところのインターネット(Internet)そのものであり、TCP/IPによるパケット通信をベースとするネットワークプロトコルによって、世界中のコンピュータを相互接続したネットワークの総称。
ローカルなLANを相互接続した形態をとっており、インターネットに参加する世界のユーザ同士が相互に通信できるようにしているため、インターネットはネットワークのネットワークと呼ばれる。ファイアウォール106は外部(インターネット105)からの不正なパケットをLAN104内に送るのを防ぐために設けられている。一般的なファイアウォールとは、組織内部のローカルなネットワークとその外部に広がるInternetとの間に、外部からの不正なアクセスを防ぐ目的で設置されるルータやホストコンピュータ、またはその機能的役割のことである。その名前の由来は火の手を防いで延焼を食い止める「防火壁(firewall)」に因んでいる。機能的には、組織内外からの通信要求を全て捕捉し、恣意的に通過させたり禁止したりすることによって、必要なサービスだけをユーザに提供しつつ、セキュリティを確保する。ただし、ファイアウォールの構築方法には特に決まった形式があるわけではなく、その組織のセキュリティに対するポリシー(方針)によって大きく異なる。一般的には、セキュリティを強化するとユーザに提供できるサービスが限定されたり制限を受けたりする。逆に、インターネットのサービスを比較的自由に使えるようにすると、その分安全性は低下する。必要なサービスだけを恣意的に通過させる方法として、アプリケーションゲートウェイ(Proxy)、サーキットレベルゲートウェイ、パケットフィルタの3種類があるが、実際のシステムではこれらを柔軟に組み合わせて安全性の高いファイアウォールシステムを構築している。本実施例でのファイアウォール106の役割は、どのような種類のIPパケットをLAN104への進入を禁止するかを規定するデータが書き込まれるファイル(フィルタ設定ファイル)を有しており、このフィルタ設定ファイルで、LAN104への進入が禁止された種類のIPパケットがインターネット105側から送信されてきたときに、そのIPパケットを廃棄してLAN104への進入を阻止する。そして、フィルタ設定ファイルで、LAN104への進入が禁止されていないIPパケットが送信されてきたときには、それをLAN104に転送する。端末装置107はパーソナルコンピュータであり、印刷装置101に印刷データを送出したり、各プロトコルを使用してLAN104に接続される各装置と通信を行うことが可能である。
次に、印刷装置101の構成について説明する。上述のような印刷装置101の主なる構成は、例えば図2に示すように、デバイス全体の動作制御を司るCPU201と、CPU201での動作制御のための各種プログラムやデータ等が格納されるROM202と、CPU201の主メモリや作業用エリア等を含むRAM203と、デバイス機能(プリンタ機能やコピー機能等)のエンジン204と、エンジン204の駆動を制御するエンジンコントローラ205と、ユーザから各種操作指示を受け付けたり種々の情報を表示するパネル206と、パネル206での入出力をコントロールしたりパネル206を管理するパネルコントローラ207と、各種プログラムやデータを記憶するためのハードディスクドライブ208とを備える。ハードディスクドライブ208に保持されるデータやプログラムに関しての詳細な説明は後述とする。また印刷装置104は、ハードディスクドライブ208とのアクセスを制御するディスクコントローラ209と、不揮発性RAM210と、LAN104を介して他の端末や印刷装置と双方向にデータをやりとりするためのネットワークインターフェイスカード211とを備えている。前述のハードディスクドライブ208はCPU201によって実行されるプログラムや各プログラムによって使用されるデータが格納されている。本実施例において、ハードディスクドライブ208に格納されている主なプログラムやデータには以下のものが挙げられる。パケット解析ソフトウェア212はネットワークインターフェイスカード211が受信したIPパケットを解析し、必要に応じて他のモジュールにデータを渡したり、データを廃棄するものである。受信したIPパケットの受信ポート番号やアプリケーション層プロトコルを解析し、そのパケットが渡されるべきモジュールやアプリケーションに渡す。またパケット解析ソフトウェア212は、受信IPパケットのフィルタリング機能も備えている。これは、特定の送信元IPアドレスからのパケット受信の許可や禁止を行うものである。例として、172.22.0.1というIPアドレスからのパケット受信が禁止に設定されていた場合、送信元IPアドレスが172.22.0.1であるIPパケットを受信した場合には、それがどのような種類(プロトコル)のパケットであった場合でも、パケット解析ソフトウェア212はそのパケットの破棄処理を実行し、データは他のモジュールやアプリケーションに渡されることはない。また、172.22.0.2というIPアドレスからのパケット受信が許可に設定されていた場合、送信元IPアドレスが172.22.0.2であるIPパケットを受信した場合には、その受信データは適切なモジュールやアプリケーションに渡されるが、他の送信元IPアドレスからのIPパケットは全て破棄される。ここで、通信禁止IPアドレスと通信許可IPアドレスは印刷装置101の利用者や管理者が印刷装置101の操作パネルなどを使用することによって設定することが可能であり、通信禁止IPアドレスと通信許可IPアドレスは一つではなくそれぞれに対して複数の登録が可能である。つまり、通信禁止IPアドレスを172.22.0.1, 192.168.16.1, 172.31.2.1と設定し、且つ通信禁止IPアドレスを172.22.0.2, 192.168.4.1などと設定することが可能になる。さらに、利用者や管理者が登録する通信禁止IPアドレスと通信許可IPアドレスには、IPアドレスの値に幅を持たせて設定することが可能である。例えば、通信を禁止したいIPアドレスとして172.31.0.1−172.31.0.4と設定することにより、送信元IPアドレスが172.31.0.1から172.31.0.4の間であるIPパケットは破棄される。ハードディスクドライブ208は通信許可IPアドレスのリストを格納している通信許可アドレス帳214と、通信禁止IPアドレスのリストを格納している通信禁止アドレス帳215とを持つ。印刷装置101の利用者や管理者が設定した通信許可及び禁止IPアドレスの情報はそれぞれ通信許可アドレス帳214と通信禁止アドレス帳215に保存される。通信解析ソフトウェア212は印刷装置101の電源が投入された場合などに起動されるが、起動時に通信許可アドレス帳214と通信禁止アドレス帳215にアクセスを行い、それぞれのIPアドレスをリードする。また、通信許可アドレス帳214と通信禁止アドレス帳215は他のアプリケーションによってその内容が変更される場合もあるので、通信解析ソフトウェア212は電源投入時のみならず一定の間隔でこれら2つのアドレス帳を読み出し、そのデータ内容をフィルタリングに反映する。図3は通信許可アドレス帳及び通信禁止アドレス帳215の内容のイメージである。列301はインデックスであり、本実施例に於いては最大で32個のIPアドレス(IPアドレス群)の登録が可能であることを表している。列302と列303はフィルタリングする開始IPアドレスと終了IPアドレスである。IPアドレスを単一指定したい場合には、開始IPアドレスと終了IPアドレスには同一の値が入る。図2の攻撃検知ソフトウェアとは、受信したIPパケットの内容を解析して、それがクラッカーによって送出された印刷装置101への攻撃を行うためのパケットであるか否かを判断するためのソフトウェアである。攻撃検知ソフトウェア213には、ネットワーク上で使用される代表的な攻撃パターンを元に作成された攻撃検知アルゴリズムが実装されており、攻撃を検知する。ここで、ネットワーク上で使用される代表的な攻撃について説明する。クラッカーによる攻撃と、その検知方法に関しては、特開2001−057554号公報にて説明されているので、その記載を以下に引用する。
まず、クラッカーによる第1の種類の攻撃として、一般にポートスキャン(Port Scan)と言われる種類の攻撃がある。この攻撃は、ネットワークに直接的な損害を及ぼすものではないが、その前段階の攻撃として用いられることが多い。この攻撃では、クラッカーは、自身の管理下にあるホストから、攻撃対象のネットワークに対して、パケット内の宛先IPアドレスや宛先ポート番号を適宜変更しながらIPパケットを繰り返し送信する。そして、それらのIPパケットに対する応答を上記ホストを介して観測することで、攻撃対象のネットワークにおいて、ファイアウォール等による制限を受けずに外部との通信に利用されているIPアドレスやポート番号を探索する。なお、ここで、前記ポート番号は、TCPあるいはUDP上で動作するアプリケーションソフトウェアのサービス種類(例えばtelnet,ftp、smtp,tftp等)を表すもので、IPパケット内のTCPヘッダあるいはUDPヘッダに付与されるデータである。この種の攻撃では、上記のようなIPパケットの送信は、通常、専用的なツールソフトウェアを用いて行われ、攻撃対象のネットワークには、宛先IPアドレスやポート番号が互いに異なり、且つ送信元IPアドレスが同一であるようなIPパケットが比較的短時間内に多数、送信される。
そこで、本発明では、前記攻撃検知手段は、前記ネットワークにその外部から送信されてきた複数のIPパケットであって、少なくともその送信元IPアドレスが互いに同一で且つ宛先IPアドレス又は宛先ポート番号が互いに異なるものが所定時間内に所定数以上取得されたとき、第1の種類の前記攻撃がなされたことを検知する。これにより、ポートスキャンと言われる第1の種類の攻撃を確実に検知することができる。次に、クラッカーによる第2の種類の攻撃として、一般にSYN FLOODと称される種類の攻撃がある。この攻撃は、TCPの特性を利用してネットワーク内の特定のホストをダウンさせるものである。
すなわち、TCPでは二つのホスト間で通信を行う場合、まず、両ホスト間で論理的なコネクションの開設処理が行われる。このコネクション開設処理では、一方のホストから他方のホストに対してSYN用IPパケットを送信する。
ここで、該SYN用IPパケットは、それを詳しく言えば、上記一方のホストのIPアドレスと他方のホストのIPアドレスとをそれぞれ送信元IPアドレス、宛先IPアドレスとしたIPパケットで、そのパケット内のTCPヘッダのSYNビット及びACKビットのうちのSYNビットのみを「1」としたものである。そして、コネクション開設処理では、このSYN用IPパケットを受けた他方のホストは、前記一方のホストに対してSYN/ACK用IPパケットを送信する。ここで、該SYN/ACK用IPパケットは、詳しくは、上記他方のホストのIPアドレスと一方のホストのIPアドレスとをそれぞれ送信元IPアドレス、宛先IPアドレスとしたIPパケットで、そのパケット内のTCPヘッダのSYNビット及びACKビットを共に「1」としたものである。
さらに、コネクション開設処理では、このSYN/ACK用IPパケットを受けた前記一方のホストは、前記他方のホストに対してACK用IPパケットを送信し、このACK用IPパケットを前記他方のホストが受けることで、両ホスト間の論理的なコネクションの開設がなされる。なお、上記ACK用IPパケットは、詳しくは、前記SYN用IPパケットと同一の送信元IPアドレス及び宛先IPアドレスを有するIPパケットで、そのパケット内のTCPヘッダのSYNビット及びACKビットのうちのACKビットのみを「1」としたものである。
前記SYN FLOODは、このようなTCPの特性を利用する攻撃であり、この攻撃では、クラッカーは、攻撃対象のネットワークの特定のホストに対して、比較的短い時間内に多数のSYN用IPパケットを送信する。そして、それらの各SYN用IPパケットに対して上記特定ホストからSYN/ACK用IPパケットが送信されてきても、ACK用IPパケットをその特定ホストに送信しない。このような攻撃がなされたとき、上記特定ホストは、最初に送信されてきたSYN用IPパケットに対するSYN/ACK用IPパケットを送信した後、所定時間(一般に2分)は、その時間内にACK用パケットが送信されてこない限り、そのACK用パケットの受信待ち状態となる。
そして、この状態で新たなSYN用パケットが送信されてくる毎に、上記特定ホストは、新たなSYN用パケットに応じたコネクション開設処理を順番に完結すべくその新たなSYN用パケットの情報を通信処理用のバッファ領域に蓄積していく。
ところが、バッファ領域の大きさには限界があり、該バッファ領域が満杯になり、このようになると、前記特定ホストは、TCPの通信処理やTCP上のサービス処理を行うことができなくなり、これにより、特定ホストがダウンすることとなる。この種の攻撃(SYN FLOOD)では、前述のように、比較的短い時間内に、比較的多くのSYN用IPパケットが攻撃対象のネットワーク内の特定のホスト(特定のIPアドレスを有するホスト)に対して送信されてくる。また、これに応じて、当該特定のホストからネットワークの外部に向かって、比較的短い時間内に、多くのSYN/ACK用IPパケットが送信される。
さらに、それらのSYN用IPパケットあるいはSYN/ACK用IPパケットに対応して最終的に前記特定ホストに送信されてくるべきACK用パケットがその特定ホストに送信されてこない。そこで、本発明では、前記攻撃検知手段は、前記ネットワークにその外部から送信されてきたTCPに基づく複数のSYN用IPパケットであって、少なくともその宛先IPアドレスが互いに同一であるものが所定時間内に所定数以上取得され、且つ、その各SYN用IPパケットと同一の送信元IPアドレス及び宛先IPアドレスを有すると共に前記TCPに基づくACK用IPパケットが前記所定時間内に取得されなかったとき、第2の種類の前記攻撃がなされたことを検知する。
あるいは、前記攻撃検知手段は、前記ネットワークからその外部に送信されたTCPに基づく複数のSYN/ACK用IPパケットであって、少なくともその送信元IPアドレスがそれぞれ互いに同一であるものが所定時間内に所定数以上取得され、且つ、前記TCPに基づくACK用IPパケットであって、前記各SYN/ACK用IPパケットの送信元IPアドレス及び宛先IPアドレスとそれぞれ同一の宛先IPアドレス及び送信元IPアドレスを有するものが前記所定時間内に取得されなかったとき、第2の種類の前記攻撃がなされたことを検知する。
これにより、SYN FLOODといわれる第2の種類の攻撃を確実に検知することができる。次に、クラッカーによる第3の種類の攻撃として、一般にTeardropと称される種類の攻撃がある。この攻撃は、IPパケットの分轄(所謂IPフラグメント)に係る処理の特性を利用してネットワーク内の特定のホストをダウンさせるものである。すなわち、IPパケットは、インターネット上をルータを介して転送される過程で、各ルータのデータ処理容量の関係上、分轄されることがある。
また、各ルータにおいてIPパケットが転送される際にエラーが生じることもあり、このような場合には、ルータは、IPパケットの再送信を行う。このため、IPパケットの宛先IPアドレスのホストでは、分轄された一部の同じIPパケットが、複数受信されるということもある。
このようなことから、IPに基づく通信では、最終的にIPパケットを受け取るホスト(宛先IPアドレスのホスト)は、受け取ったIPパケットが分轄されたものであるとき、残りの全ての分轄部分のIPパケットを受信するまで、各分割部分のIPパケットを蓄積保持し、全ての分轄部分のIPパケットを受信してから、それらを整理して元のIPパケットのデータを復元する処理を行う。
前記Teardropは、このようなIPパケットの分轄に係る処理の特性を利用する攻撃であり、この攻撃では、クラッカーは、比較的短い時間内に、多数の同じ分轄部分のIPパケットを攻撃対象のネットワークの特定のホストに送信した上で、残りの分轄部分のIPパケットをその特定ホストに送信する。このような攻撃がなされたとき、上記特定ホストは、最終的に残りの分轄部分のIPパケットを受信したときに、そのIPパケットと、先に送信されてきた多量の分割部分のIPパケットとから元のIPパケットのデータを復元しようとする処理を行うため、その処理に長時間を要するものとなる。このため、該特定ホストは、事実上、ダウンしてしまうこととなる。この種の攻撃(Teardrop)では、前述の如く、比較的短い時間内に、多数の同じ分轄部分のIPパケットがネットワーク内の特定のホストに送信されてくる。
そこで、本発明では、前記攻撃検知手段は、前記ネットワークにその外部から送信されてきた複数の分割されたIPパケットであって、同一の分割部分が所定時間内に所定数個以上取得されたとき、第3の種類の前記攻撃がなされていることを検知する。これにより、Teardropといわれる第3の種類の攻撃を確実に検知することができる。次に、クラッカーによる第4の種類の攻撃として、一般にLandと称される種類の攻撃がある。この攻撃は、送信元IPアドレス及び宛先IPアドレスが同一であるような、正規にはあり得ないIPパケットを、攻撃対象のネットワークの特定のホストに送信する攻撃である。
このようなIPパケットを送信された特定ホストは、そのIPパケットの処理に手間取ることが多く、ダウンしてしまうことがしばしばある。この種の攻撃では、上記の如く、送信元IPアドレス及び宛先IPアドレスが同一であるIPパケットが、ネットワーク内の特定のホストに送信され、しかも、一般には、そのようなIPパケットが比較的短い時間内に、複数、上記特定ホストに送信される。
そこで、本発明では、前記攻撃検知手段は、前記ネットワークにその外部から送信されてきた複数のIPパケットであって、その送信元IPアドレスが宛先IPアドレスと同一のアドレスとなっているものが所定時間内に所定数個以上取得されたとき、第4の種類の前記攻撃がなされていることを検知する。これにより、Landとわれる第4の種類の攻撃を確実に検知することができる。
次に、クラッカーによる第5の種類の攻撃として、ネットワーク内の特定のホストのユーザのパスワードを獲得する攻撃がある。この攻撃では、クラッカーは、攻撃対象のネットワーク内の特定のホストのユーザ名を使って、telnet等により上記特定ホストにログインし、さらに所定の辞書ファイルなどから選択した多数のパスワードを使って、その特定ホストの操作を試みる。
そして、このとき、その特定ホストの操作ができるか否かにより、パスワードが判明することとなる。この種の攻撃では、同一のユーザ名データを含み、しかも互いに異なるパスワードを有する多数のIPパケットが、攻撃対象のネットワークの特定ホストに送信される。
そこで、本発明では、前記攻撃検知手段は、前記ネットワーク内の特定のホストを操作すべく該ネットワークにその外部から送信されてきた複数のIPパケットであって、前記特定のホストに係るユーザ名データが互いに同一で、且つパスワードが互いに異なるものが所定時間内に所定数以上取得したとき、第5の種類の前記攻撃がなされていることを検知する。これにより、上記のようにパスワードを獲得する攻撃を確実に検知することができる。
次に、クラッカーによる第6の種類の攻撃として、ネットワーク内の特定のホストに、ネットワーク管理者など、ごく限られた者が、専用のパスワードを入力した状態でしか実行させることができないような処理(所謂、ルートコマンド)を行わせる攻撃がある。この攻撃は、攻撃対象のホストが搭載しているOS(Operation System)のセキュリティホールといわれるバグを利用するものである。すなわち、例えばUNIX(R)マシン(ホスト)は、バッファオーバフローといわれるセキュリティホールを有しており、このセキュリティホールは、例えばプリンタの論理名を表す「lpr」というコマンドを含む比較的大きなデータ(128文字以上のデータ)が一度に送られてきたとき、バッファがオーバフローし、そのオーバフローしたデータ内に、ルートコマンドがあると、ネットワーク管理者などのパスワードが入力されていなくても、そのルートコマンドを実行してしまうというものである。前記第6の種類の攻撃は、このようなバッファオーバフローといわれるセキュリティホールを攻撃するもので、前述の「lpr」というコマンドを含む所定サイズ以上のデータ列というような、所定のパターンのデータを含むデータ列を有するIPパケットがネットワークの特定のホストに送信される。そこで、本発明では、前記攻撃検知手段は、バッファオーバフローと言われるセキュリティホールを攻撃する所定のパターンのデータを有するデータ列を有するIPパケットを取得したとき、第6の種類の前記攻撃がなされていることを検知する。これにより、上記のような第6の種類の攻撃を検知することができる。
攻撃検知ソフトウェア213に実装される攻撃検知アルゴリズムも、上記のような検知アルゴリズムを有しており、攻撃を検知することが可能となっている。図2のハードディスクドライブ208には、他にSNMP通信ソフトウェアが格納されている。これは、印刷装置101上でアプリケーション層プロトコルであるSNMP(Simple Network Management Protocol)が動作するのに必要がソフトウェアであり、デバイスのデータベースであるMIB217とのアクセスや、通信パケット解析ソフトウェア212からデータを受け取ったり、またデータを送ったりといった処理を行う。MIB217とは、SNMPで使用される機器情報データベースであるMIB(Machine Information Base)である。ハードディスクドライブ208には他には、印刷の制御を行うための印刷制御ソフトウェア218や印刷装置101のオペレーティングシステムであるOS部219などが存在する。また、ネットワークインターフェイスカード211が取得した全てのパケットの内容を一時的に保管しておくためのパケットデータファイル220も備わる。本実施例で使用されるOSとは、一般的なMFPやコントローラが使用すると予想されるVxWorksやLinuxを想定している。また本実施例に於いては説明は省略するが、印刷装置が動作するための他のソフトウェアもついても、ハードディスクドライブ208に保持されているものとする。例えば、各印刷サービスの制御モジュールやデータ伸張を司るソフトウェアなどである。
次に図4に示されるフローチャートを用いて、本発明の第一の実施例の全体の流れについて説明する。
まずStep401において、印刷装置101の利用者や管理者が印刷装置101の電源の投入を行う。次にStep402において、印刷装置101のシステムが起動する。これは、CPU201がハードディスクドライブ208内に保持されているOS部219及び印刷装置101がMFPとしての動作を実行できるための各種ソフトウェアなどをハードディクスドライブ208から読み出し、実行することで利用者や管理者が印刷装置101をMFPとして使用できる状態になるための処理である。
次にStep403において、受信IPパケットのフィルタリング処理を行う。ここでのフィルタリングとは、特定のIPパケットを破棄するということであり、その理由は信頼できる送信元からのIPパケットのみを受信/解析することによってネットワーク経由での攻撃から防御することが可能になるからである。受信可能なIPパケットの判断は、IPパケットの送信元IPアドレスから識別する。CPU201は通信パケット解析ソフトウェア212を読み出し、実行する。前述の通り、通信パケット解析ソフトウェア212は受信IPパケットのフィルタリング機能を備えている。通信パケット解析ソフトウェア212は、通信許可アドレス帳214及び通信禁止アドレス帳215を読み込み、それらのアドレス帳に記載されているIPアドレス情報に従って、送信元IPアドレスのフィルタリング処理を実行する。ここで、通信許可アドレス帳214や通信禁止アドレス帳215のフォーマットは図3で示されるものとする。仮に、通信禁止アドレス帳215の内容が図3で示される情報であった場合、まず通信パケット解析ソフトウェア212は、図3に示されるIndex.1のIPアドレス172.22.0.1から172.22.0.4までに含まれるIPアドレスの受信及び解析を禁止する。このIPアドレスが送信元となるIPパケットは、その内容がいかなるものであった場合でも、印刷装置101内でIPパケットの要求が実行されることはない。
また、図3の残りのIndex.2から32に関しても同様に、受信及び解析は禁止される。次にStep404にて、攻撃検知ソフトウェア213が起動される。攻撃検知ソフトウェア213はネットワークインターフェイスカード211が受信した全てのIPパケットを取得可能になっており、ネットワーク経由での攻撃を検知する機能が備わっている。攻撃の検知は以下のような手法で行われる。まず、攻撃検知ソフトウェア213は、単位時間あたりにネットワークインターフェイスカード211が取得した全てのIPパケットを読み出し、送信元IPアドレス及び送信先IPアドレス別に振り分けて、ハードディスクドライブ208の空き領域に格納される。つまり、攻撃検知ソフトウェア213は、送信元IPアドレスと送信先IPアドレス別にグループ化し、それぞれのグループ単位で検知処理を行う。攻撃の検知処理は、攻撃検知ソフトウェア213が前述のグループ化されたIPパケットグループをメモリ(RAM203)に読み出し、前述の攻撃検知アルゴリズムによって攻撃パケットであるか否かを識別する。
ここで、あるIPパケット群が攻撃パケットであると検知された場合には、攻撃元IPアドレスを認識する処理であるStep407に移行する。また逆に、その単位時間あたりに取得したIPパケット全てが攻撃パケットではないと判定された場合には、メモリ(RAM203)及びハードディスクドライブ208上から、今回検知したIPパケットグループのデータを破棄して、ハードディスクドライブ208に格納されている次のIPパケットグループを攻撃識別するためにメモリ(RAM203)に読み出す(Step405)。攻撃検知のシーケンスについて、図5を用いて詳細な説明を行う。前述のように、攻撃検知アルゴリズムとして攻撃検知ソフトウェア213が有しているものは、
1)ポートスキャン検知
2)SYN FLOOD検知
3)Teardrop検知
4)LAND検知
5)パスワード不正入手検知
6)セキュリティホール攻撃検知
これらが挙げられている。本実施例では、攻撃検知ソフトウェア213は単位時間に取得されたIPパケットグループに対して、これらの攻撃検知を行うので、任意のIPパケットグループに対する検知は、6回行われることになる。
1)ポートスキャン検知
2)SYN FLOOD検知
3)Teardrop検知
4)LAND検知
5)パスワード不正入手検知
6)セキュリティホール攻撃検知
これらが挙げられている。本実施例では、攻撃検知ソフトウェア213は単位時間に取得されたIPパケットグループに対して、これらの攻撃検知を行うので、任意のIPパケットグループに対する検知は、6回行われることになる。
つまり、第一の攻撃検知を行い(Step501)、攻撃と判定されなければ第2の攻撃検知を行う(Step502)。そのように第6の攻撃検知までを行い(Step506)、全ての攻撃を検知できなかった場合には、メモリ(RAM203)及びハードディスクドライブ208に保持されているIPパケットグループを破棄する(Step406)。
ここで、第1から第6の攻撃検知処理(Step501からStep506)において、攻撃パケットであると識別された場合には、攻撃元IPアドレスを認識する処理であるStep407に移行する。Step407では、攻撃パケットと判断されたIPパケットの送信元IPアドレスを認識し、メモリ内に格納する処理である。攻撃検知ソフトウェア213はIPパケットを解読し、所定の位置から送信元IPアドレスを認識して、メモリ(RAM203)にデータとして格納する。
次に、攻撃検知ソフトウェア213は、攻撃者からのIPパケットの受信を遮断するために、攻撃元IPアドレスを通信禁止アドレス帳215に追加する。例えば、追加以前の通信禁止アドレス帳215の内容が図3に示される内容であったと仮定する。
図3では、Indexが1から4までの範囲でデータが記載されている。これは通信を禁止するIPアドレス個数またはIPアドレスの範囲の個数が4つ登録されていることを示す。この状態に於いて、攻撃検知ソフトウェアが攻撃元IPアドレス172.31.0.20を通信禁止アドレス帳215に書き加えた場合、その内容は図6で示されるものになる。
図6では、Index.1から4までは図3と同内容である。これはすでに有効になっている通信禁止IPアドレス(IPアドレス範囲)はそのまま有効であり続けることを意味する。攻撃検知ソフトウェア213は通信禁止アドレス帳215に対して、Index.5として新規に攻撃元IPアドレスを追加する(Step408)。攻撃検知ソフトウェア213が攻撃を検知した際に行う処理は以上である。
次にStep409において、通信パケット解析ソフトウェア212が通信禁止アドレス帳215をリロードすることによって、クラッカーが送信元となるIPパケットのフィルタリング処理を行う。前述の通り、通信パケット解析ソフトウェア212はIPパケットのフィルタリングを行う部分であるが、通信の許可/禁止が定義されているアドレス帳を定期的にリロードする機能が備わっている。リロードを行い、前回ロードしたデータと比較して差異があった場合、フィルタリングの設定を変更する。今回、攻撃検知ソフトウェア213によって通信禁止アドレス帳215は変更されているため、通信パケット解析ソフトウェア212は変更箇所である攻撃元IPアドレス172.31.0.20との通信を遮断する。つまり、今後クラッカーが送信元となるIPパケットを印刷装置101が受信した場合には、そのIPパケットはアプリケーションによって解釈されることなく破棄される。印刷装置101内での攻撃IPパケットのフィルタリング処理が終了したら、クラッカーの情報を他の印刷装置に通知する処理に移行する(Step410)。
本実施例に於いては、クラッカーの情報はSNMPで使用されるTRAPメッセージを用いて行われる。TRAPメッセージとは、SNMPで規定されるメッセージであり、デバイスの状態が変わったときに、SNMPのエージェント側からマネージャ側に対して、管理情報の変更ということで自発的に送られるものである。本実施例では、通知するクラッカーの情報とは攻撃IPパケットの送信元IPアドレスである。Step410においてSNMP通信ソフトウェア216は、LAN104内に存在する他の印刷装置102及び103と、端末107に対してTRAPを発行する。ここで、TRAPの送信先となる印刷装置102、103及び端末107のIPアドレスは、印刷装置101の管理者によって事前に登録されており、その情報はMIB217として保持されているものとする。SNMP通信ソフトウェア216はIPパケットの送信先を上記の印刷装置または端末として、SNMPのTRAPパケットを送信する。トランスポート層のプロトコルはUDPであり、SNMPのgeneric−TRAPフィールドに入る値は、ベンダが独自に定義した事象が発生したことを示すenterpriseSpecific(6)である。またspecific−TRAPフィールドには、攻撃元IPアドレスであることを示す特定のコードと、攻撃元IPアドレスが記載される。印刷装置101が攻撃の検知と他のデバイスへの通知を行う手順は以上である。
次に、Step410において印刷装置101が送信したTRAP情報を送信先のデバイスが受信してフィルタリングを行う処理について図7のフローチャートを用いて説明する。
まず、図4のStep410に於いて、印刷装置101よりTRAPパケットが送信される。TRAPパケットの送信先は、印刷装置102、同103、端末107である。一例としてここでは印刷装置102内の動作について説明するが、基本的な動作は印刷装置103も端末107も同様であるものとする。印刷装置102の基本構成は印刷装置101と同様であり、MFPであるものとする。その構成は図2として説明されたものと同様である。まずStep701において、印刷装置102のネットワークインターフェイスカード211がTRAPパケットを受信した場合、受信TRAPは通信パケット解析ソフトウェア212に送られる。通信パケット解析ソフトウェア212は受信TRAPパケットの送信元IPアドレスを認識して、通信が許可されたIPアドレスであるか否かを判別する。本実施例では、印刷装置101と同102は同一のLAN上で動作する印刷装置であり、その管理者も同一であることから互いの通信は許可されているものとする。印刷装置101が送信元となるIPパケットの受信が許可されているので、TRAPパケットのアプリケーションデータはSNMP通信ソフトウェア216に渡される。次にStep702において、受信したTRAPメッセージの内容の解析(デコード)を行う。SNMP通信ソフトウェア216は、受信したSNMPパケットのPDU−Typeフィールド(Protocol Data Units−Type フィールド)の値が4であることから、それがTRAPであることを認識する。
またTRAP−PDUのEnterpriseフィールドとGeneric Trapフィールド、そしてSpecific Trapフィールドの値を参照することによって、受信したTRAPがどのようなTRAPであるかを認識することが可能になる。これはSNMPのTRAP−PDUの定義として規定されているものであり、まずGeneric Trapフィールドに通知されるイベントの詳細な種別が記載される。ここでは、クラッカー情報の通知という独自の通知内容であるため、その値はenterpriseSpecific(6)である。そしてそのTRAPの内容は、Specific TrapフィールドとEnterpriseフィールドに記載される。このような手順によって、SNMP通信ソフトウェア216はクラッカーのIPアドレスを認識することが可能になる。次に印刷装置102は通知されたIPアドレスを自身の通信禁止アドレス帳215に書き込む処理を行う。SNMP通信ソフトウェア216は通信禁止アドレス帳215にアクセスして、まず通知されたクラッカーのIPアドレスが通信禁止アドレス帳215にすでに登録されているか否かを調査する(Step703)。この処理において、クラッカーのIPアドレスが通信禁止アドレス帳215に登録済みであることが認識された場合、クラッカーから受信されるIPパケットのフィルタリングはすでに実行されているということであるため、SNMP通信ソフトウェア216はその処理を中止する。Step703の処理において、クラッカーのIPアドレスは自己の通信禁止アドレス帳215に記載されていないと認識された場合、SNMP通信ソフトウェア216は通信禁止アドレス帳215にクラッカーのIPアドレスを追記する(Step704)。
次にStep705において、通信パケット解析ソフトウェア212が通信禁止アドレス帳215をリロードすることによって、クラッカーが送信元となるIPパケットのフィルタリング処理を行う。前述の通り、通信パケット解析ソフトウェア212はIPパケットのフィルタリングを行う部分であるが、通信の許可/禁止が定義されているアドレス帳を定期的にリロードする機能が備わっている。リロードを行い、前回ロードしたデータと比較して差異があった場合、フィルタリングの設定を変更する。今回、SNMP通信ソフトウェア216によって通信禁止アドレス帳215は変更されているため、通信パケット解析ソフトウェア212は変更箇所であるクラッカーのIPアドレスとの通信を遮断する。つまり、今後クラッカーが送信元となるIPパケットを印刷装置102が受信した場合には、そのIPパケットはアプリケーションによって解釈されることなく破棄される。
TRAPを受信した装置は以上の処理を行うが、印刷装置101から送信されたTRAPを受信した他のデバイス、即ち印刷装置103及び端末107に関しても、図7に示されるStep701からStep705の処理が行われるものとする。
以上、本発明の実施例について説明したが、本発明は上記実施例に限定されるものではない。たとえば、本発明では印刷装置101から他の装置へ、クラッカーの情報を通知する際にSNMPのTRAPを使用したが、これは他のプロトコルを使用することも可能である。また、本発明においては、IPアドレスをSNMPパケットのデータとして送信したが、これはFTP(File Transfer Protocol)などを使用して、通信禁止アドレス帳そのものを他の印刷装置などに対して送付してもよい。
このほか、本発明の要旨を逸脱しない範囲で種々の変形実施が可能である。
101〜103 印刷装置
104 LAN
105 インターネット
106 ファイアウォール
107 端末
201 CPU
202 ROM
203 RAM
204 エンジン
205 エンジンコントローラ
206 パネル
207 パネルコントローラ
208 ハードディスクドライブ
209 ディスクコントローラ
210 NVRAM
211 ネットワークインターフェイスカード
212 通信パケット解析ソフトウェア
213 攻撃検知ソフトウェア
214 通信許可アドレス帳
215 通信禁止アドレス帳
216 SNMP通信ソフトウェア
217 MIB
218 印刷制御ソフトウェア
219 OS部
220 パケットデータファイル
301 通信禁止アドレス帳のIndex
302 通信禁止アドレス帳の開始IPアドレス
303 通信禁止アドレス帳の終了IPアドレス
401 電源投入処理
402 システムソフト起動処理
403 フィルタリング処理
404 攻撃検知ソフトウェア起動処理
405 攻撃検知処理
406 IPパケットデータ廃棄処理
407 攻撃元IPアドレス検知処理
408 通信禁止アドレス帳追記処理
409 フィルタリング処理
410 TRAP送信処理
501 第一の攻撃の検知処理
502 第二の攻撃の検知処理
503 第三の攻撃の検知処理
504 第四の攻撃の検知処理
505 第五の攻撃の検知処理
506 第六の攻撃の検知処理
701 TRAP受信処理
702 解析処理
703 通信禁止アドレス帳確認処理
704 通信禁止アドレス帳追記処理
705 フィルタリング処理
104 LAN
105 インターネット
106 ファイアウォール
107 端末
201 CPU
202 ROM
203 RAM
204 エンジン
205 エンジンコントローラ
206 パネル
207 パネルコントローラ
208 ハードディスクドライブ
209 ディスクコントローラ
210 NVRAM
211 ネットワークインターフェイスカード
212 通信パケット解析ソフトウェア
213 攻撃検知ソフトウェア
214 通信許可アドレス帳
215 通信禁止アドレス帳
216 SNMP通信ソフトウェア
217 MIB
218 印刷制御ソフトウェア
219 OS部
220 パケットデータファイル
301 通信禁止アドレス帳のIndex
302 通信禁止アドレス帳の開始IPアドレス
303 通信禁止アドレス帳の終了IPアドレス
401 電源投入処理
402 システムソフト起動処理
403 フィルタリング処理
404 攻撃検知ソフトウェア起動処理
405 攻撃検知処理
406 IPパケットデータ廃棄処理
407 攻撃元IPアドレス検知処理
408 通信禁止アドレス帳追記処理
409 フィルタリング処理
410 TRAP送信処理
501 第一の攻撃の検知処理
502 第二の攻撃の検知処理
503 第三の攻撃の検知処理
504 第四の攻撃の検知処理
505 第五の攻撃の検知処理
506 第六の攻撃の検知処理
701 TRAP受信処理
702 解析処理
703 通信禁止アドレス帳確認処理
704 通信禁止アドレス帳追記処理
705 フィルタリング処理
Claims (8)
- ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、
ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、
前記パケット監視手段を使用することによって受信したパケットが前記印刷装置へのネットワーク攻撃であるか否かを判断するための攻撃検知手段と、
ネットワーク経由での通信の許可/禁止の対象となる特定の端末のネットワーク識別子をアドレスブックとして保持するアドレスブック管理手段とを備え、
前記印刷装置は前記攻撃検知手段によって、前記印刷装置自身がネットワーク経由での攻撃を受けていると検知した場合、前記パケット監視手段は攻撃パケットの送信元端末のネットワーク識別子を認識し、前記アドレスブック管理手段は前記ネットワーク識別子を通信禁止端末として前記アドレスブックに対して書き込み、また前記攻撃パケットの送信元端末からの通信を遮断することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。 - 請求項1に於いて、前記端末のネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
- 請求項1に於いて、前記アドレスブック及びアドレスブック管理手段は、通信の許可及び禁止をそれぞれ複数個ずつ独立して保持することが可能であることを特徴とするネットワークセキュリティ機構を備えることを特徴とした印刷装置。
- ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、
ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、
前記パケット監視手段を使用することによって受信したパケットが前記印刷装置へのネットワーク攻撃であるか否かを判断するための攻撃検知手段と、
前記印刷装置が接続されるネットワーク上に存在する他のデバイスのネットワーク識別子をリストとして保持する印刷装置アドレス保持手段と、
前記印刷装置が接続されるネットワーク上の特定の装置に対してネットワーク経由で情報を通知する情報通知手段とを備え、
前記印刷装置は前記攻撃検知手段によって、前記印刷装置自身がネットワーク経由での攻撃を受けていると検知した場合、前記パケット監視手段は攻撃パケットの送信元端末のネットワーク識別子を認識し、前記印刷装置アドレス保持手段に保持されているネットワーク識別子の宛て先に対して、前記情報通知手段は攻撃パケットの送信元端末のネットワーク識別子の情報を通知することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。 - 請求項4に於いて、前記他のデバイスのネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
- ネットワークに接続するためのネットワークインターフェイス部(NIC部)を備え、特定の端末からのネットワーク経由での通信の許可/禁止を行うことが可能な印刷装置であって、前記印刷装置は、
ネットワーク経由で取得したパケットを監視するためのパケット監視手段と、
ネットワーク経由で取得したパケットが、ネットワークの攻撃者(クラッカー)の通知情報であるか否かを認識し、クラッカーのネットワーク識別子を認識するための情報認識手段と、
ネットワーク経由での通信の許可/禁止の対象となる特定の端末のネットワーク識別子をアドレスブックとして保持するアドレスブック管理手段とを備え、
前記NIC部が受信したパケットが、他のデバイスから送られてきたクラッカーの通知情報であった場合、前記アドレスブック管理手段は前記クラッカーのネットワーク識別子を通信禁止端末として前記アドレスブックに対して書き込み、また前記クラッカーのネットワーク識別子からの通信を遮断することを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。 - 請求項6に於いて、前記ネットワーク識別子とはIPアドレスであることを特徴としたネットワークセキュリティ機構を備えることを特徴とした印刷装置。
- 請求項6に於いて、前記アドレスブック及びアドレスブック管理手段は、通信の許可及び禁止をそれぞれ複数個ずつ独立して保持することが可能であることを特徴とするネットワークセキュリティ機構を備えることを特徴とした印刷装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004004115A JP2005193590A (ja) | 2004-01-09 | 2004-01-09 | 印刷装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004004115A JP2005193590A (ja) | 2004-01-09 | 2004-01-09 | 印刷装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005193590A true JP2005193590A (ja) | 2005-07-21 |
Family
ID=34818823
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004004115A Withdrawn JP2005193590A (ja) | 2004-01-09 | 2004-01-09 | 印刷装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005193590A (ja) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251866A (ja) * | 2006-03-20 | 2007-09-27 | Kyocera Mita Corp | 電子機器装置 |
| JP2008181436A (ja) * | 2007-01-26 | 2008-08-07 | Fuji Xerox Co Ltd | 情報処理装置 |
| JP2010004552A (ja) * | 2004-02-02 | 2010-01-07 | Cyber Solutions Inc | 不正情報検知システム及び不正攻撃元探索システム |
| JP2010167740A (ja) * | 2009-01-26 | 2010-08-05 | Seiko Epson Corp | 情報処理装置及びその制御方法、並びにコンピュータープログラム |
| JP2010218462A (ja) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | 情報処理装置、情報処理方法およびプログラム |
| WO2016080446A1 (ja) * | 2014-11-19 | 2016-05-26 | 日本電信電話株式会社 | 制御装置、境界ルータ、制御方法、および、制御プログラム |
| JP2016177451A (ja) * | 2015-03-19 | 2016-10-06 | 日本電気株式会社 | 通信端末、通信方法、プログラム |
| JP2017156993A (ja) * | 2016-03-02 | 2017-09-07 | ソフトバンク株式会社 | 認証サーバ及び認証サーバプログラム |
| JP6272575B1 (ja) * | 2017-01-11 | 2018-01-31 | 甲賀電子株式会社 | データ通信方法 |
| WO2018131176A1 (ja) * | 2017-01-11 | 2018-07-19 | 甲賀電子株式会社 | データ通信方法 |
| JP2020154832A (ja) * | 2019-03-20 | 2020-09-24 | キヤノン株式会社 | 情報処理装置およびその制御方法、並びにプログラム |
| US11146550B2 (en) | 2018-01-23 | 2021-10-12 | Koga Electronics Co., Ltd. | Communication line mutual authentication system in IP network |
| US11930035B2 (en) | 2020-09-08 | 2024-03-12 | Sharp Kabushiki Kaisha | Communication control system, information processing apparatus, and communication control method |
-
2004
- 2004-01-09 JP JP2004004115A patent/JP2005193590A/ja not_active Withdrawn
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010004552A (ja) * | 2004-02-02 | 2010-01-07 | Cyber Solutions Inc | 不正情報検知システム及び不正攻撃元探索システム |
| JP2007251866A (ja) * | 2006-03-20 | 2007-09-27 | Kyocera Mita Corp | 電子機器装置 |
| JP2008181436A (ja) * | 2007-01-26 | 2008-08-07 | Fuji Xerox Co Ltd | 情報処理装置 |
| JP2010167740A (ja) * | 2009-01-26 | 2010-08-05 | Seiko Epson Corp | 情報処理装置及びその制御方法、並びにコンピュータープログラム |
| JP2010218462A (ja) * | 2009-03-18 | 2010-09-30 | Ricoh Co Ltd | 情報処理装置、情報処理方法およびプログラム |
| US10652211B2 (en) | 2014-11-19 | 2020-05-12 | Nippon Telegraph And Telephone Corporation | Control device, border router, control method, and control program |
| JPWO2016080446A1 (ja) * | 2014-11-19 | 2017-04-27 | 日本電信電話株式会社 | 制御装置、境界ルータ、制御方法、および、制御プログラム |
| WO2016080446A1 (ja) * | 2014-11-19 | 2016-05-26 | 日本電信電話株式会社 | 制御装置、境界ルータ、制御方法、および、制御プログラム |
| JP2016177451A (ja) * | 2015-03-19 | 2016-10-06 | 日本電気株式会社 | 通信端末、通信方法、プログラム |
| JP2017156993A (ja) * | 2016-03-02 | 2017-09-07 | ソフトバンク株式会社 | 認証サーバ及び認証サーバプログラム |
| JP6272575B1 (ja) * | 2017-01-11 | 2018-01-31 | 甲賀電子株式会社 | データ通信方法 |
| WO2018131176A1 (ja) * | 2017-01-11 | 2018-07-19 | 甲賀電子株式会社 | データ通信方法 |
| CN110178339A (zh) * | 2017-01-11 | 2019-08-27 | 甲贺电子株式会社 | 数据通信方法 |
| US10855681B2 (en) | 2017-01-11 | 2020-12-01 | Koga Electronics Co., Ltd. | Data communication method |
| US11146550B2 (en) | 2018-01-23 | 2021-10-12 | Koga Electronics Co., Ltd. | Communication line mutual authentication system in IP network |
| JP2020154832A (ja) * | 2019-03-20 | 2020-09-24 | キヤノン株式会社 | 情報処理装置およびその制御方法、並びにプログラム |
| JP7311989B2 (ja) | 2019-03-20 | 2023-07-20 | キヤノン株式会社 | 情報処理装置およびその制御方法、並びにプログラム |
| US11930035B2 (en) | 2020-09-08 | 2024-03-12 | Sharp Kabushiki Kaisha | Communication control system, information processing apparatus, and communication control method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4072150B2 (ja) | ホストベースのネットワーク侵入検出システム | |
| US7617533B1 (en) | Self-quarantining network | |
| EP1817685B1 (en) | Intrusion detection in a data center environment | |
| US7007302B1 (en) | Efficient management and blocking of malicious code and hacking attempts in a network environment | |
| US9800548B2 (en) | Device, system and method for defending a computer network | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US8127290B2 (en) | Method and system for direct insertion of a virtual machine driver | |
| US7039950B2 (en) | System and method for network quality of service protection on security breach detection | |
| US7725932B2 (en) | Restricting communication service | |
| US20030084322A1 (en) | System and method of an OS-integrated intrusion detection and anti-virus system | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| GB2427108A (en) | Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network | |
| JP2005197823A (ja) | ファイアウォールとルータ間での不正アクセス制御装置 | |
| AU2003222180A1 (en) | System and method for detecting an infective element in a network environment | |
| EP1540921B1 (en) | Method and apparatus for inspecting inter-layer address binding protocols | |
| US20130298220A1 (en) | System and method for managing filtering information of attack traffic | |
| JP2006243878A (ja) | 不正アクセス検知システム | |
| JP2005193590A (ja) | 印刷装置 | |
| JP3835421B2 (ja) | 制御プログラムおよび制御装置 | |
| JP2001057554A (ja) | クラッカー監視システム | |
| US20070220256A1 (en) | Electronic mechanical device | |
| JP4694578B2 (ja) | コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム | |
| KR20040065674A (ko) | 통합형 호스트 기반의 보안 시스템 및 방법 | |
| JP4160004B2 (ja) | アクセス制御システム | |
| Cisco | Security Command Reference Cisco IOS Release 11.3 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070403 |