JP2006228140A - 情報処理装置 - Google Patents
情報処理装置 Download PDFInfo
- Publication number
- JP2006228140A JP2006228140A JP2005044496A JP2005044496A JP2006228140A JP 2006228140 A JP2006228140 A JP 2006228140A JP 2005044496 A JP2005044496 A JP 2005044496A JP 2005044496 A JP2005044496 A JP 2005044496A JP 2006228140 A JP2006228140 A JP 2006228140A
- Authority
- JP
- Japan
- Prior art keywords
- communication information
- communication
- information
- processing apparatus
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】 ファイアウォールやロードバランサなど特別な装置によらず、ある程度のDoS攻撃を容易に防御することが可能な情報処理装置を提供する。
【解決手段】 インタフェース57に固有のIPアドレスに基づいて当該インタフェース57を介した外部のPC22等との通信によりデータの送受信を行うに際し、前記インタフェース57に対して設定するIPアドレスを決定して設定すると共に、通信により受信されたデータに基づいてアクセス数を検出し、このアクセス数に基づいて大量アクセスであるか否かを判定して、大量アクセスであると判定した場合にインタフェース57に設定されているIPアドレスとは異なるIPアドレスをインタフェース57に設定する。
【選択図】 図3
【解決手段】 インタフェース57に固有のIPアドレスに基づいて当該インタフェース57を介した外部のPC22等との通信によりデータの送受信を行うに際し、前記インタフェース57に対して設定するIPアドレスを決定して設定すると共に、通信により受信されたデータに基づいてアクセス数を検出し、このアクセス数に基づいて大量アクセスであるか否かを判定して、大量アクセスであると判定した場合にインタフェース57に設定されているIPアドレスとは異なるIPアドレスをインタフェース57に設定する。
【選択図】 図3
Description
本発明は、外部との通信が可能な情報処理装置、例えば、パーソナルコンピュータ(PC)やサーバ装置、およびネットワーク機能を搭載したスキャナ装置や複合機等の情報処理装置に関するものである。
近年、Webサーバなど、インターネットを経由してPCやサーバ装置に外部からアクセスすることが可能になっている。また、今後、スポットオフィスなどが広がっていくと、複合機やスキャナ装置等の様々な装置に、インターネットを経由して外部からアクセスできるようになると考えられる。
しかし、インターネットからのアクセスが可能な装置に関しては、様々なセキュリティの問題点がある。例えば、コンピュータウィルスや不正アクセスによる被害である。特に最近は、外部の攻撃者からの大量アクセスの受信によって正常な相手に対するサービスを妨害される、いわゆるDoS攻撃による被害も発生している。
従来、DoS攻撃への対応について、サーバへのアクセス要求パケットが正当かどうかを検査するアクセス要求検査手段と、正当なパケットのみをサーバに転送するアクセス要求転送手段を備えたサーバ計算機保護装置を設ける技術が提案されている(例えば、特許文献1参照。)。
また、従来、サーバへの要求とサーバからの応答によりサーバの負荷状態を求め、サーバの負荷状態からサーバへ転送する要求の割合を変化させる手段を備えたサーバ計算機保護装置を設ける技術が提案されている(例えば、特許文献2参照。)。
特開2003−173300公報
特開2004−164553公報
しかしながら、特許文献1記載の技術では、正当なパケットかどうかを検査して、正当なパケットのみを転送するといったファイアウォールのような手段が必要であり、特許文献2記載の技術では、サーバへの負荷を考慮しながらサーバへ転送する割合を変化させるといったロードバランサのような手段が必要であり、特別な手段を設ける必要がある、という問題点があった。
すなわち、規模の大きな情報システムにおけるサーバ装置の場合にはファイアウォールやロードバランサを導入することは問題ないかもしれないが、SOHOにおけるPCや複合機などに対しては、ファイアウォールやロードバランサなどを設置することが難しい、という問題点がある。
本発明は上記問題点を解決するためになされたものであり、ファイアウォールやロードバランサなど特別な装置によらず、ある程度のDoS攻撃を容易に防御することが可能な情報処理装置を提供することが目的である。
上記課題を解決するために、請求項1の発明は、通信インタフェースに固有の通信情報に基づいて当該通信インタフェースを介した外部装置との通信によりデータの送受信を行う通信手段と、前記通信インタフェースに対して設定する通信情報を決定する通信情報決定手段と、前記通信情報決定手段により決定された通信情報を設定する通信情報設定手段と、前記通信手段により受信されたデータに基づいてアクセス数を検出する検出手段と、前記検出手段により検出されたアクセス数に基づいて大量アクセスであるか否かを判定する判定手段と、前記判定手段により大量アクセスであると判定された場合に前記通信インタフェースに設定されている通信情報とは異なる通信情報を前記通信インタフェースに設定するように前記通信情報決定手段及び前記通信情報設定手段を制御する制御手段と、を備えることを特徴としている。
請求項1記載の発明によれば、通信手段により、通信インタフェースに固有の通信情報に基づいて当該通信インタフェースを介した外部装置との通信によりデータの送受信を行うに際し、通信情報決定手段により前記通信インタフェースに対して設定する通信情報が決定され、この決定された通信情報が通信情報設定手段により設定される。
ここで、請求項1に記載の発明によれば、検出手段により、前記通信手段により受信されたデータに基づいてアクセス数が検出され、この検出されたアクセス数に基づいて判定手段により大量アクセスであるか否かが判定されるようになっており、前記判定手段により大量アクセスであると判定された場合に前記通信インタフェースに設定されている通信情報とは異なる通信情報が前記通信インタフェースに設定されるように前記通信情報決定手段及び前記通信情報設定手段が制御される。
すなわち、大量アクセスを故意に送信するDos攻撃に対応すべく、大量アクセスであると判定された場合、通信インタフェースに対して、設定されている通信情報とは異なる通信情報を設定するようにしているので、ファイアウォールやロードバランサなど特別な装置によらなくても、ある程度のDoS攻撃を容易に防御することが可能である。
なお、請求項1記載の判定手段は、請求項2記載の発明にように、同一送信元からの単位時間あたりのアクセス数が予め設定した閾値を超過した場合に大量アクセスであると判定するようにしてもよい。
請求項2記載の発明によれば、単位時間あたりに同一送信元から送信されてくる一般的なアクセス数の上限値を予め閾値として設定しておくことで、同一送信元から大量アクセスを実行する一般的なDos攻撃に対応することができる。
また、請求項1記載の判定手段は、請求項3記載の発明のように、単位時間あたりのアクセス数が予め設定した閾値を超過した場合に大量アクセスであると判定してもよい。
請求項3記載の発明によれば、同一送信元から大量アクセスを実行する一般的なDos攻撃だけでなく、多数の送信元から大量アクセスを実行する所謂DDos(Distributed DoS)という分散型のDoS攻撃にも対応することができる。
請求項1記載の通信情報決定手段は、請求項4記載の発明のように、所定のアルゴリズムにより通信情報を生成して前記通信情報として決定してもよい。これにより、設定される通信情報が予測しにくくなり、大量アクセスの再受信をより一層防止することができる。
なお、所定のアルゴリズムとしては、IPv4やIPv6等、通信インタフェースが対応する通信規格に応じたものがあげられる。
さらに、請求項5の発明は、請求項1乃至請求項3の何れか1項記載の発明において、複数の通信情報を示すデータを予め格納するための通信情報格納手段をさらに備え、前記通信情報決定手段は、前記通信情報格納手段に格納されている前記複数の通信情報の何れかを選択して設定することを特徴としている。
請求項5記載の発明によれば、予め格納された複数の通信情報から何れかを選択するので、通信情報の決定が容易に実行できる。
また、請求項6の発明は、請求項5記載の発明において、前記通信情報を入力するための入力手段をさらに備え、前記通信情報格納手段は、前記入力手段により入力された通信情報を格納するようにしてもよい。
請求項6記載の発明によれば、格納する通信情報を入力することができるので、格納する通信情報の数を容易に増やすことができる。
なお、さらに格納する通信情報を消去可能に構成すれば、情報処理装置の設置環境等の変化にも容易に対応させることができる。
さらに、請求項7の発明は、請求項6記載の入力手段は、原稿が読み取り位置にセットされると原稿面に形成された画像に埋め込まれた通信情報を読み取る画像情報取得装置であることを特徴としている。
請求項7記載の発明によれば、画像情報取得装置により画像に埋め込まれた通信情報を読み取るようになっている。例えば、コピー機や複合機等の情報処理装置等では、新たに入力手段を付加することなく従来から備えられているスキャナ等に入力装置を兼用させることができる。
また、請求項8の発明は、請求項1乃至請求項7の何れか1項記載の発明において、判定手段により大量アクセスであると判定された場合に、送信元及び送信先の少なくとも一方に関する通信情報を記憶する記憶手段をさらに備えたことを特徴としている。
これにより、大量アクセスの送信元の通信情報及び大量アクセスを受信したときの自己の通信情報を把握することができ、これに基づいて以後の通信情報の決定等の処理を実行することで、同一送信元からのDos攻撃をより確実に防止することができる。
また、請求項9の発明は、請求項1乃至請求項8の何れか1項記載の発明において、前記通信情報設定手段により設定された通信情報を予め登録されたクライアントに通知する通信情報通知手段をさらに備えたことを特徴としている。
請求項9記載の発明によれば、通信情報を予め登録されたクライアントに通知するので、通信情報の設定を行った後も予め登録されたクライアントとの間での通信は可能となる。
さらに、請求項10の発明は、請求項1乃至請求項7の何れか1項記載の発明において、前記判定手段により大量アクセスであると判定された場合に、送信元及び送信先の少なくとも一方に関する通信情報を記憶する記憶手段と、前記通信情報設定手段により設定された通信情報及び前記記憶手段に記憶された通信情報を予め登録されたクライアントに通知する通信情報通知手段と、をさらに備えたことを特徴としている。
請求項10記載の発明によれば、通信情報に加えてさらに送信元及び送信先の少なくとも一方に関する通信情報が予め登録されたクライアントに通知されるので、攻撃に関する情報を共有することができる。
また、請求項1乃至請求項10の何れか1項記載の通信情報としては、請求項11記載のようにIPアドレスを適用してもよいし、請求項12の発明のようにIPアドレスおよびポート番号を適用することもできる。
以上説明した如く本発明は、通信インタフェースに固有の通信情報に基づいて当該通信インタフェースを介した外部装置との通信によりデータの送受信を行うに際し、前記通信インタフェースに対して設定する通信情報を決定し、この決定した通信情報を設定すると共に、通信により受信したデータに基づいてアクセス数を検出し、このアクセス数に基づいて大量アクセスであるか否かを判定して、大量アクセスであると判定した場合に前記通信インタフェースに設定されている通信情報とは異なる通信情報を前記通信インタフェースに設定するように制御するので、ファイアウォールやロードバランサなど特別な装置によらず、ある程度のDoS攻撃を容易に防御することが可能である、という優れた効果を有する。
以下、図面を参照して、本発明の実施の形態について詳細に説明する。なお、ここでは、本発明を情報処理装置としてのデジタル複合機に適用した場合について説明する。
まず、図1には、本実施の形態に係る情報処理装置を含んで構成された情報処理システムの概略図が示されている。同図に示されるように、本情報処理システムは、情報処理装置としてのデジタル複合機10を備えて構成されている。当該デジタル複合機10は、ネットワーク20に接続されており、同じくネットワーク20に接続されたパーソナルコンピュータ(以下、「PC」という)22等によりアクセス可能に構成されている。
デジタル複合機10は、原稿の記録面に記録された原稿画像を示す情報を取得するスキャナ11と、画像情報に基づいて画像形成処理を実行する画像形成部13(図1では図示省略、図2参照)と、操作メニューやメッセージ等を表示可能な表示領域を備え、当該表示領域の表面に透過型のタッチパネルが一体的に設けられた操作表示パネル14と、を含んで構成されている。
デジタル複合機10では、ネットワーク20を介して、或いは操作表示パネル14を介して入力された指示に応じて、適宜スキャナ11による原稿画像を示す情報の取得、画像情報に基づく画像形成処理等が実行される。
図2には、デジタル複合機10の電気系の構成が概略的に示されている。同図に示されるように、デジタル複合機10は、スキャナ制御部52と、通信管理部54と、通信制御部56と、を含んで構成されており、それぞれシステムバスBUSに接続されている。
スキャナ制御部52では、上記スキャナ11の動作を制御されると共にスキャナ11により取得された原稿画像を示す情報に基づき画像データが生成される。
通信制御部56では、ネットワーク20に接続されたPC22等の外部装置とのインタフェース57を介した通信及び通信情報の設定等、通信に関する制御が実行される。また、通信管理部54では、通信制御部56による通信に関する制御において設定される通信情報等の保持や管理などが実行される。
すなわち、本実施の形態に係るデジタル複合機10では、スキャナ11による原稿画像のスキャンや通信制御部56によるPC22等の外部装置との通信により画像情報が取得可能に構成されている。
また、同図に示されるように、デジタル複合機10は、画像処理部58と、画像形成制御部60と、を含んで構成されており、それぞれシステムバスBUSに接続されている。
画像処理部58では、スキャナ11や通信制御部56を介した外部のPC22等との間の通信等により入出力される画像データに対する画像処理、画像データの埋め込み対象となる通信情報に対する処理等が施される。さらに、画像形成部60では、画像形成部13により出力画像を記録紙の記録面上に形成して外部に出力する画像形成処理の実行が制御される。
さらに、同図に示されるように、デジタル複合機10は、システムバスBUS全体を制御するCPU40、ROM42、RAM44、ハードディスク48及びシステム時計11を含んで構成されている。
ROM42は、デジタル複合機10における各種制御プログラムが格納されており、CPU40により適宜読み出されて実行されるようになっている。なお、ROM42に格納されている制御プログラムは、スキャン制御部52により取得された画像データを処理したり、画像データに基づく画像を画像形成制御部60を介して画像形成部13により外部へ出力したりするためのものである。
また、RAM44は、SRAM(Static Random Access Memory)等によって構成されており、CPU40のワークエリアとして用いられ、プログラム制御変数や各種処理のためのデータ等が格納される。さらに、ハードディスク48は、制御プログラムによる各種処理のためのデータ等を格納したり、画像データを格納したりするためのものである。
システム時計11は、時計用チップにより構成されており、時刻(年月日、時分秒)情報をCPU40に提供する。また、当該システム時計11は、バックアップ用電池を備えており、システム電源断時や停電時等であっても時刻情報が消滅することなく、常に時刻を保持可能となっている。
また、同図に示されるように、デジタル複合機10は、上記操作表示パネル14を制御する操作表示制御部50と、情報制御部62と、を含んで構成されており、この操作表示制御部50及び情報制御部62もそれぞれシステムバスBUSに接続されている。
操作表示制御部50では、操作表示パネル14による操作メニュー画面やメッセージ等の表示制御及びタッチパネルにより検出された接触位置と操作メニューの表示内容に基づき指示内容の特定等が実行されるようになっている。なお、操作メニュー画面としては、例えばスキャンの設定を行う項目やスキャンの実行を指示するスキャン指示ボタンを含むスキャンメニュー画面等があげられ、CPU40では、操作表示制御部50による指示内容の特定結果に応じた制御プログラムに基づく処理が実行される。
情報制御部62では、CPU40の指示に応じて、スキャナ制御部52や通信制御部56等と画像処理部58、画像形成制御部60との間の制御データの授受を行ったり、画像データの入出力などの制御が行われる。
ところで、本実施の形態では、PC22等の外部装置から一斉に大量のアクセスを受信した場合デジタル複合機10に過剰な負担がかかりサービスを提供することができなくなってしまう所謂Dos攻撃に備え、通信制御部56の通信状態に基づいて、同一送信元からのアクセスの受信の数を検出するようにしており、単位時間あたりに検出したアクセスの受信の数が所定の閾値を超えた場合に大量アクセスを受信したものと判断し、通信情報を新たに設定するようにしている。
以下に本実施の形態の作用を説明する。
図3は、本実施の形態に係るデジタル複合機10のCPU40において所定期間毎に実行される通信情報設定処理プログラムにおける処理の流れを示すフローチャートであり、同図を参照して本実施の形態に係る通信情報設定処理について説明する。
ステップ200では、通信管理部54により検出されているアクセス量を取得し、次のステップ202では、予め設定されているアクセス量の閾値と取得したアクセス量とを比較することにより大量アクセスか否かを判定する。
ここで、通信管理部54では、通信制御部56の通信状態に基づいて、単位時間あたりの同一送信元からのアクセスの受信の数をアクセス量として検出する。なお、受信したデータには、送信元の通信情報(IPアドレス等の送信元に固有の情報を含む情報)が含まれており、この情報に基づいて送信元を特定することが可能である。
また、上記予め設定されているアクセス量の閾値としては、実機を用いた実験や、実機の仕様に応じてコンピュータ等によるシミュレーションを行った結果得られた、サービス不能になる可能性があるとみなすことができる受信の数以下の値を適宜設定し得る。
取得したアクセス量が上記閾値を超えている場合にはステップ202で肯定判定となってステップ204に移行し、通信を停止して、その後にステップ206に移行して、通信情報の決定を実行する。
なお、通信の停止には、ネットワークインタフェースレベルの停止から各種通信用のデーモンプロセスの停止やアプリケーションの停止等が含まれるが、本実施の形態では、各種通信用のプロセスを各々の停止コマンドで停止する。
ここで、図4には、通信情報を管理するための通信情報管理テーブルの一例が通信管理部54に格納された状態が模式的に示されている。同図に示されるように、通信情報管理テーブルには、ID、装置番号、通信情報、有効期限、使用開始日及び使用終了日がそれぞれ記憶されている。IDは、通信情報を識別するための識別子であり、装置番号はデジタル複合機10に固有の識別番号を示している。また、通信情報は装置番号に対応する装置(ここではデジタル複合機10)で使用可能なIPアドレスのプレフィックスを示し、有効期限、使用開始日及び使用終了日は、それぞれ通信情報として記憶されたIPアドレスの有効期限、使用開始日及び使用終了日をそれぞれ示している。すなわち、通信情報管理テーブルの使用開始日と使用終了日とを適宜更新することでIPアドレスの使用状況を管理可能に構成されている。なお、同図に示されるように、装置で使用可能なIPアドレスには有効期限が設定されている。
また、上記IPアドレスのプレフィックスは、IPv6のユニキャストアドレスのプレフィックスである。
図5(A)には、IPv6のユニキャストアドレスの構成が模式的に示されている。同図に示されるように、ユニキャストアドレスは128[bits]のアドレスとして構成されており、先頭のn[bits]がサイトに割り当てられる値を示しており、次のm[bits]がサブネットIDを示し、残りはインタフェースIDを示している。このうち、インターネットプレフィックスは、インターフェースIDを除く部分を示す。
なお、図5(B)には、同一サイト内のみで有効なサイトローカルアドレスの構成が、図5(C)には、同一リンク上でのみ有効なリンクローカルアドレスの構成が、それぞれ示されている。
通信情報の決定は、通信管理部54に保持されている通信情報管理テーブルを用いて、デジタル複合機10で使用可能なIPアドレスから何れか1つのアドレスを選択することにより実行される。例えば、同図に示すID=1の通信情報を現在使用中であれば、使用開始日が未使用で有効期限内の通信情報として、ID=2の通信情報を選択して決定する。
次のステップ208では、通信情報の決定が正常に完了したか否かを判定し、通信情報管理テーブルから何れかの通信情報が選択された場合には当該判定が肯定判定となってステップ210に移行して、決定した通信情報を新たな通信情報として設定した後にステップ212で通信情報の設定が正常に完了したか否かを判定する。
上記通信情報の設定は、システムで通常用意されている手段を用いて行うことができ、本実施の形態ではUNIX(登録商標)系のifconfigコマンド等を用いて実行する。
通信情報の設定が正常終了した場合はステップ212で肯定判定となってステップ214に移行して、設定した通信情報を用いて通信を再開し、その後にステップ216に移行する。なお、通信の再開の方法は停止の方法と同様、各種通信用のプロセスの各々の開始コマンドで再開する。
ステップ216では、設定した通信情報を正常なクライアントに対して通知し、その後に本通信情報設定処理を終了する。これにより、以後は正常なクライアントのみがデジタル複合機10にアクセスできるようになる。
なお、正常なクライアントを予め通知リスト等に登録しておくか、又は不正なアクセスの送信元以外の通信相手に通知することで正常なクライアントに対する通信情報の通知を行う。
一方、ステップ202で否定判定となった場合は、大量アクセスを受信していないものと判断して通信情報の設定を行うことなく本通信情報設定処理を終了する。なお、大量アクセスを受信していない場合であっても、IPアドレスの有効期限が超過した場合には、未使用であって有効期限が超過していない他のIPアドレスへの設定が行われ、IPアドレスが有効期限を越えて使用されることはない。
また、ステップ208、ステップ212で否定判定となった場合はステップ218に移行して、異常時処理に移行する。なお、当該異常時処理では、通信情報を決定又は設定できないような異常の検出、報知、正常化等の所定の処理が実行される。
以上詳細に説明したように、本実施の形態によれば、インタフェース57に固有のIPアドレスに基づいて当該インタフェース57を介した外部のPC22等との通信によりデータの送受信を行うに際し、前記インタフェース57に対して設定するIPアドレスを決定して設定すると共に、通信により受信されたデータに基づいてアクセス数を検出し、このアクセス数に基づいて大量アクセスであるか否かを判定して、大量アクセスであると判定した場合にインタフェース57に設定されているIPアドレスとは異なるIPアドレスをインタフェース57に設定するように制御するので、ファイアウォールやロードバランサなど特別な装置によらず、ある程度のDoS攻撃を容易に防御することが可能である。
また、本実施の形態では、同一送信元からの単位時間あたりのアクセス数が予め設定した閾値を超過した場合に大量アクセスであると判定しているので、単位時間あたりに同一送信元から送信されてくる一般的なアクセス数の上限値を予め閾値として設定しておくことで、同一送信元から大量アクセスを実行する一般的なDos攻撃に対応することができる。
さらに、本実施の形態によれば、複数のIPアドレスを示すデータを予め通信管理部54に通信情報管理テーブルとして格納しておき、当該通信情報管理テーブルに格納されている前記複数の通信情報の何れかを選択して設定するので、通信情報の決定が容易に実行できる。
また、本実施の形態によれば、設定した通信情報を正常なクライアントに通知するようにしているので、通信情報の設定を行った後も正常なクライアントとの間での通信は可能となる。
なお、本実施の形態では、設定する通信情報の決定を通信情報管理テーブルから選択することで実行していたが、予め定められたアルゴリズムに基づいて、設定する通信情報を生成するようにしてもよい。例えば、通信情報がIPv6アドレスであれば、RFC3041で規定されている方式でアドレスを生成するようにしてもよい。
また、本実施の形態では、設定する通信情報を通信情報管理テーブルで管理していたが、通信情報管理テーブルで通信情報を管理し、通信により取得するように構成してもよい。例えば、図示しない管理サーバからネットワーク経由で使用可能な通信情報を入手するようにしてもよい。
さらに、通信情報が埋め込まれたシートをスキャナ11によりスキャンして、通信情報を入力するようにしてもよい。また、CD−ROMやDVD−ROMなど媒体経由で通信情報を入力し、取得するようにしてもよい。
また、本実施例において、通信情報としては、IPアドレス、特にIPv6アドレスを用いていたが、IPアドレスに加え、TCPのポート番号も通信情報として用いるようにしてもよい。
さらに、IPアドレスに加え、認証情報や暗号鍵の情報など、セキュリティ通信に必要な情報を通信情報として用いるようにしてもよい。
また、本実施の形態では、 また、本実施の形態では、同一送信元からの単位時間あたりのアクセスの受信の数が所定の閾値を超過したときに大量アクセスの受信と検出する形態について説明したが、本発明はこれに限定されるものではない。例えば、DDoS(Distributed DoS)という分散型のDoS攻撃も存在するので、単位時間あたりの送信元の数が所定の閾値を超過したときにも、大量アクセスの受信を検出したことにしてもよい。
また、通信情報管理テーブル(図4参照)に、DoS攻撃者のアドレスである送信元のアドレスを追加するようにしてもよい。
本実施の形態では、変更後の通信情報を正常なクライアントに通知していたが、DNSサーバに変更後の通信情報を通知するように構成してもよい。更に、攻撃者のアドレスもDNSサーバに通知するように構成してもよく、これによりDNSサーバ側でDNSの問い合わせ元が攻撃者からかどうかを判断できる。
さらに、DNSサーバで、攻撃者からDNSの問い合わせがあった場合のみ、Dos攻撃対策用のダミーアドレスを教えたり、登録されていないと回答するようにして、正常なクライアントとの通信が良好に保てるようにしてもよい。
また、攻撃者のアドレスがサブネットの外のアドレスであれば、新しいアドレスをサブネット内にのみブロードキャスト(IPv6ならばマルチキャスト)するようにしてもよい。
本実施の形態では、通信の停止を各種通信用のプロセスを各々の停止コマンドで停止することにより実行する形態について説明したが、本発明はこれに限定されるものではなく、ネットワークインタフェースレベルの停止や各種通信用のデーモンプロセスの停止やアプリケーションの停止等により実行可能である。
また、本実施の形態では、通信情報を設定する前に、通信を停止し、設定後に通信を再開する形態について説明したが、本発明はこれに限定されるものではなく、通信を停止することなくifconfigコマンドにより通信情報を変更するようにしてもよい。
なお、本実施の形態では、通信情報設定処理プログラムがCPU40によって所定期間毎に実行されるものとして説明したが、本発明はこれに限定されるものではなく、通信管理部54や通信制御部56等において通信情報設定処理を実行するものとしてもよい。この場合、システムバスBUS全体を制御するCPU40の制御負荷を軽減しつつ、通信情報の設定を適切に実行することができる。また、管理サーバで行ってもよい。
なお、本実施の形態におけるデジタル複合機10の構成(図1、図2及び図4参照)及び処理の流れ(図3参照)は一例であり、適宜変更可能であることは言うまでもない。
10 デジタル複合機
11 スキャナ(入力手段、画像情報取得装置)
20 ネットワーク
22 パーソナルコンピュータ(PC)
40 CPU(制御手段、通信情報決定手段、通信情報設定手段、判定手段、通信情報通知手段)
42 ROM
54 通信管理部(検出手段、通信情報格納手段、記憶手段)
56 通信制御部(通信手段)
57 インタフェース(通信インタフェース)
11 スキャナ(入力手段、画像情報取得装置)
20 ネットワーク
22 パーソナルコンピュータ(PC)
40 CPU(制御手段、通信情報決定手段、通信情報設定手段、判定手段、通信情報通知手段)
42 ROM
54 通信管理部(検出手段、通信情報格納手段、記憶手段)
56 通信制御部(通信手段)
57 インタフェース(通信インタフェース)
Claims (12)
- 通信インタフェースに固有の通信情報に基づいて当該通信インタフェースを介した外部装置との通信によりデータの送受信を行う通信手段と、
前記通信インタフェースに対して設定する通信情報を決定する通信情報決定手段と、
前記通信情報決定手段により決定された通信情報を設定する通信情報設定手段と、
前記通信手段により受信されたデータに基づいてアクセス数を検出する検出手段と、
前記検出手段により検出されたアクセス数に基づいて大量アクセスであるか否かを判定する判定手段と、
前記判定手段により大量アクセスであると判定された場合に前記通信インタフェースに設定されている通信情報とは異なる通信情報を前記通信インタフェースに設定するように前記通信情報決定手段及び前記通信情報設定手段を制御する制御手段と、
を備えることを特徴とする情報処理装置。 - 前記判定手段は、同一送信元からの単位時間あたりのアクセス数が予め設定した閾値を超過した場合に大量アクセスであると判定することを特徴とする請求項1記載の情報処理装置。
- 前記判定手段は、単位時間あたりのアクセス数が予め設定した閾値を超過した場合に大量アクセスであると判定することを特徴とする請求項1記載の情報処理装置。
- 前記通信情報決定手段は、所定のアルゴリズムにより通信情報を生成して前記通信情報として決定することを特徴とする請求項1乃至請求項3の何れか1項記載の情報処理装置。
- 複数の通信情報を示すデータを予め格納するための通信情報格納手段をさらに備え、
前記通信情報決定手段は、前記通信情報格納手段に格納されている前記複数の通信情報の何れかを選択して設定することを特徴とする請求項1乃至請求項3の何れか1項記載の情報処理装置。 - 前記通信情報を入力するための入力手段をさらに備え、
前記通信情報格納手段は、前記入力手段により入力された通信情報を格納することを特徴とする請求項5記載の情報処理装置。 - 前記入力手段は、原稿が読み取り位置にセットされると原稿面に形成された画像に埋め込まれた通信情報を読み取る画像情報取得装置であることを特徴とする請求項6記載の情報処理装置。
- 前記判定手段により大量アクセスであると判定された場合に、送信元及び送信先の少なくとも一方に関する通信情報を記憶する記憶手段をさらに備えたことを特徴とする請求項1乃至請求項7の何れか1項記載の情報処理装置。
- 前記通信情報設定手段により設定された通信情報を予め登録されたクライアントに通知する通信情報通知手段をさらに備えたことを特徴とする請求項1乃至請求項8の何れか1項記載の情報処理装置。
- 前記判定手段により大量アクセスであると判定された場合に、送信元及び送信先の少なくとも一方に関する通信情報を記憶する記憶手段と、
前記通信情報設定手段により設定された通信情報及び前記記憶手段に記憶された通信情報を予め登録されたクライアントに通知する通信情報通知手段と、
をさらに備えたことを特徴とする請求項1乃至請求項7の何れか1項記載の情報処理装置。 - 前記通信情報はIPアドレスであることを特徴とする請求項1乃至請求項10の何れか1項記載の情報処理装置。
- 前記通信情報はIPアドレスおよびポート番号であることを特徴とする請求項1乃至請求項10の何れか1項記載の情報処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005044496A JP2006228140A (ja) | 2005-02-21 | 2005-02-21 | 情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005044496A JP2006228140A (ja) | 2005-02-21 | 2005-02-21 | 情報処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006228140A true JP2006228140A (ja) | 2006-08-31 |
Family
ID=36989445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005044496A Pending JP2006228140A (ja) | 2005-02-21 | 2005-02-21 | 情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006228140A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008310677A (ja) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | 情報処理装置と情報処理方法とプログラム |
| JP2009027508A (ja) * | 2007-07-20 | 2009-02-05 | Nec Commun Syst Ltd | 制御装置、制御システム、制御方法及び制御プログラム |
| WO2009110327A1 (ja) * | 2008-03-04 | 2009-09-11 | 日本電気株式会社 | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム |
| JP2010141473A (ja) * | 2008-12-10 | 2010-06-24 | Ricoh Co Ltd | 通信装置、通信方法およびプログラム |
| JP2015154326A (ja) * | 2014-02-17 | 2015-08-24 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
| JP6563615B1 (ja) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09207414A (ja) * | 1996-02-05 | 1997-08-12 | Canon Inc | 情報処理装置及び方法 |
| JP2001256138A (ja) * | 2000-03-13 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | 不正アクセス対応型サーバ切替方法および装置 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002197070A (ja) * | 2000-12-27 | 2002-07-12 | Pioneer Electronic Corp | コンテンツ提供システム、コンテンツ提供方法、コンテンツ提供サーバ及びコンテンツ提供プログラムが記録されたコンピュータ読み取り可能な記録媒体 |
| JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| JP2003186763A (ja) * | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | コンピュータシステムへの不正侵入の検知と防止方法 |
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2005005809A (ja) * | 2003-06-09 | 2005-01-06 | Nec Commun Syst Ltd | ネットワーク制御装置及びネットワーク制御方法 |
-
2005
- 2005-02-21 JP JP2005044496A patent/JP2006228140A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09207414A (ja) * | 1996-02-05 | 1997-08-12 | Canon Inc | 情報処理装置及び方法 |
| JP2001256138A (ja) * | 2000-03-13 | 2001-09-21 | Nippon Telegraph & Telephone East Corp | 不正アクセス対応型サーバ切替方法および装置 |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| JP2002197070A (ja) * | 2000-12-27 | 2002-07-12 | Pioneer Electronic Corp | コンテンツ提供システム、コンテンツ提供方法、コンテンツ提供サーバ及びコンテンツ提供プログラムが記録されたコンピュータ読み取り可能な記録媒体 |
| JP2002252654A (ja) * | 2001-02-23 | 2002-09-06 | Mitsubishi Electric Corp | 侵入検出装置およびシステムならびにルータ |
| JP2003186763A (ja) * | 2001-12-21 | 2003-07-04 | Toyo Commun Equip Co Ltd | コンピュータシステムへの不正侵入の検知と防止方法 |
| JP2004086880A (ja) * | 2002-06-28 | 2004-03-18 | Oki Electric Ind Co Ltd | 警戒システム、広域ネットワーク防護システム、不正アクセス追跡方法、不正アクセス検知システム、セキュリティ管理方法及び攻撃防護方法 |
| JP2005005809A (ja) * | 2003-06-09 | 2005-01-06 | Nec Commun Syst Ltd | ネットワーク制御装置及びネットワーク制御方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008310677A (ja) * | 2007-06-15 | 2008-12-25 | Ricoh Co Ltd | 情報処理装置と情報処理方法とプログラム |
| JP2009027508A (ja) * | 2007-07-20 | 2009-02-05 | Nec Commun Syst Ltd | 制御装置、制御システム、制御方法及び制御プログラム |
| WO2009110327A1 (ja) * | 2008-03-04 | 2009-09-11 | 日本電気株式会社 | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム |
| JP5267893B2 (ja) * | 2008-03-04 | 2013-08-21 | 日本電気株式会社 | ネットワーク監視システム、ネットワーク監視方法、及びネットワーク監視プログラム |
| JP2010141473A (ja) * | 2008-12-10 | 2010-06-24 | Ricoh Co Ltd | 通信装置、通信方法およびプログラム |
| JP2015154326A (ja) * | 2014-02-17 | 2015-08-24 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
| JP6563615B1 (ja) * | 2018-03-16 | 2019-08-21 | サスメド株式会社 | 不正検知システムおよび不正検知装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8171085B1 (en) | Methods and apparatuses for authenticating electronic messages | |
| JP5321641B2 (ja) | 情報処理システム、情報処理装置および中継サーバ | |
| JP2006262019A (ja) | ネットワーク検疫プログラム、該プログラムを記録した記録媒体、ネットワーク検疫方法、およびネットワーク検疫装置 | |
| JP2006228140A (ja) | 情報処理装置 | |
| JP2009065623A (ja) | 通信装置 | |
| JP2010026662A (ja) | 情報漏洩防止システム | |
| JP2015018338A (ja) | 管理装置、制御方法及びプログラム | |
| US20210112093A1 (en) | Measuring address resolution protocol spoofing success | |
| JP2007274148A (ja) | 管理装置、および管理システム | |
| JP2007257525A (ja) | デバイス管理装置 | |
| JP4505861B2 (ja) | 情報処理装置と情報処理システムおよびプログラム | |
| JP6476530B2 (ja) | 情報処理装置、方法およびプログラム | |
| US11438299B2 (en) | Reducing battery impact of network device ARP spoofing | |
| JP2005328373A (ja) | ネットワークセキュリティシステム | |
| JP6978358B2 (ja) | 中継装置切り替えシステム | |
| JP2009176137A (ja) | ウィルス被害範囲予測システム | |
| CN102822840A (zh) | 使用管理系统和使用管理方法 | |
| JP2009267629A (ja) | 通信装置、プログラム、および画像形成装置 | |
| JP2007258986A (ja) | 通信装置、通信方法および通信プログラム | |
| JP4485861B2 (ja) | 情報処理装置、配信装置、情報の配信方法、配信プログラム及び記録媒体 | |
| JP2006079359A (ja) | 通信装置、通信装置の制御方法、プログラム及び記録媒体 | |
| JP2007116668A (ja) | 認証装置および方法並びにプログラム | |
| JP2008066783A (ja) | 画像処理システムおよび画像処理装置 | |
| JP4666986B2 (ja) | 通信方法、通信許可サーバ | |
| US7669207B2 (en) | Method for detecting, reporting and responding to network node-level events and a system thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080122 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091113 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091117 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100706 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110412 |