用于云网络中的分布式安全服务的方法和装置制造方法

用于云网络中的分布式安全服务的方法和装置制造方法
【专利摘要】本发明提供了一种用于提供分布式安全服务的方法和装置，其中，该分布式安全服务在多个安全装置中运行轻实例，并在所选择的安全装置中运行安全服务的核心实例。所接收或所传输的客户端内容段被指向轻实例，如果客户端内容段先前已被分析并具有有效安全策略，则该轻实例应用与客户端内容段对应的安全策略，否则，该轻实例将客户端内容段发送到核心实例以进行分析。然后，核心实例可提供关于客户端内容段的完整安全分析，确定与客户端内容段对应的安全策略，并将所确定的安全策略推送给轻实例中的一个或多个。有利地，分布式安全服务传递可提供高安全、高网络效率和高成本效益的安全服务传递。
【专利说明】用于云网络中的分布式安全服务的方法和装置

【技术领域】
[0001]本发明一般涉及用于在云网络中提供安全服务的方法和装置。

【背景技术】
[0002]本节介绍可有助于促进本发明的更好理解的方面。因此，本节的陈述应从这个角度来阅读，而不应当被理解为关于什么是现有技术或者什么不是现有技术的承认。
[0003]在某些已知的安全方案中，防病毒和反恶意软件应用被存储在用户的计算装置上或者被存储在网络边缘，以保护计算装置免受恶意软件感染和其它攻击。
[0004]在某些其它的已知安全方案中，防病毒和反恶意软件服务的多个实例被放置在云中，来自用户的计算装置的业务经由云而被路由到防病毒和反恶意软件实例，以保护计算装置免受恶意软件感染和其它攻击。


【发明内容】

[0005]各种实施例提供了一种用于提供分布式安全服务的方法和装置，其中，该分布式安全服务在多个安全装置中运行轻量级安全实例(即，轻实例)，并在所选择的安全装置中运行安全服务的完整安全实例(即，核心实例)。所接收或所传输的客户端内容段被指向轻实例，如果客户端内容段先前已被分析并具有有效安全策略，则该轻实例应用与客户端内容段对应的安全策略，否则，该轻实例将客户端内容段发送到核心实例以进行分析。然后，核心实例可提供关于客户端内容段的完整安全分析，确定与客户端内容段对应的安全策略，并将所确定的安全策略推送给轻实例中的一个或多个。有利地，分布式安全服务传递可提供闻安全、闻网络效率和闻成本效益的安全服务。
[0006]在一个实施例中，提供了一种用于提供分布式安全服务传递的装置。该装置包括数据存储器和能够通信地与数据存储器连接的处理器。处理器被配置为:在数据存储器中存储与多个客户端内容段对应的多个安全策略；接收第一客户端内容段；基于第一客户端内容段的内容，确定第一客户端内容段标识符；基于第一客户端内容段标识符，从多个安全策略中选择第一安全策略；将第一安全策略应用于第一客户端内容段；接收第二客户端内容段；基于第二客户端内容段的内容，确定第二客户端内容段标识符；基于第二客户端内容段标识符，确定多个安全策略不包含用于第二客户端内容段的有效安全策略；以及响应于确定多个安全策略不包含有效安全策略，向核心实例发送安全分析请求。
[0007]在某些实施例中，第一安全策略包括允许、拒绝或隔离第一客户端内容段中的至少一个。
[0008]在某些实施例中，确定第一客户端内容段标识符包括将处理器编程为在第一客户端内容段上应用哈希计算。
[0009]在某些实施例中,应用第一安全策略包括将处理器编程为基于第一安全策略而向客户端发送消息。
[0010]在某些实施例中，应用第一安全策略包括将处理器编程为:基于第一安全策略而向客户端发送消息，接收客户端响应，以及基于客户端响应而允许或拒绝客户端内容段。其中，第一安全策略包括潜在安全风险的警告。
[0011]在某些实施例中，处理器进一步被编程为将第一客户端内容段划分成多个划分后的第一客户端内容段。其中，第一客户端内容段标识符与多个划分后的第一客户端内容段中的一个对应。
[0012]在某些实施例中，第一客户端内容段的划分基于动态内容。
[0013]在某些实施例中，处理器进一步被编程为:从核心实例接收核心实例响应，基于核心实例响应而确定第二安全策略，以及将第二安全策略应用于第二客户端内容段。
[0014]在某些实施例中，处理器进一步被编程为:在多个安全策略上应用期满策略，并进一步基于期满策略，确定多个安全策略不包含有效安全策略。
[0015]在某些实施例中，期满策略是基于第二客户端内容段的源。
[0016]在某些实施例中，处理器进一步被编程为:从核心实例接收更新消息，并基于更新消息而更新多个安全实例。
[0017]在某些实施例中，处理器进一步被编程为:基于一个或多个保留度量，更新多个安全策略。一个或多个保留度量包括以下的至少一个:多个安全策略在数据存储器中的已占用存储空间；与多个安全策略对应的客户端内容段的地理分类；与多个安全策略对应的客户端内容段的源；以及与多个安全策略对应的客户端内容段将在未来被接收的概率的确定。
[0018]在第二实施例中，提供了一种用于提供分布式安全服务传递的装置。该装置包括数据存储器和能够通信地与数据存储器连接的处理器。处理器被配置为:接收分析客户端内容段的请求；执行客户端内容段的安全分析；基于安全分析而确定核心实例策略；确定多个轻实例；以及向多个轻实例传输更新消息，更新消息包括核心实例策略。
[0019]在某些实施例中，核心实例策略包括以下的至少一个:应用于客户端内容段的安全策略；以及客户端内容段的安全风险。
[0020]在某些实施例中，安全风险是安全风险等级。
[0021]在某些实施例中，确定多个轻实例是基于客户端内容段的内容的分类。
[0022]在某些实施例中，确定多个轻实例是基于与多个轻实例对应的多个地理位置。
[0023]在某些实施例中，更新消息还包括以下的至少一个:客户端内容段标识符；与核心实例策略对应的期满参数；以及客户端内容段的内容类型。
[0024]在第三实施例中，提供了一种用于提供安全服务的系统。该系统包括多个轻实例和能够通信地与多个轻实例连接的核心实例。多个轻实例被编程为:存储与多个客户端内容段对应的多个安全策略；接收第一客户端内容段；基于第一客户端内容段的内容，确定第一客户端内容段标识符；基于第一客户端内容段标识符，从多个安全策略中选择第一安全策略；将第一安全策略应用于第一客户端内容段；接收第二客户端内容段；基于第二客户端内容段的内容，确定第二客户端内容段标识符；基于第二客户端内容段标识符，确定多个安全策略不包含用于第二客户端内容段的有效安全策略；以及响应于确定多个安全策略不包含有效安全策略，向核心实例发送安全分析请求。核心实例被编程为:接收安全分析请求；执行客户端内容段的安全分析；基于安全分析而确定核心实例策略；确定多个轻实例；以及向多个轻实例传输更新消息，其中更新消息包括核心实例策略。
[0025]在第四实施例中，提供了一种用于提供安全服务的方法。该方法包括:在数据存储器中存储与多个客户端内容段对应的多个安全策略；接收第一客户端内容段；基于第一客户端内容段的内容，确定第一客户端内容段标识符；基于第一客户端内容段标识符，从多个安全策略中选择第一安全策略；将第一安全策略应用于第一客户端内容段；接收第二客户端内容段；基于第二客户端内容段的内容，确定第二客户端内容段标识符；基于第二客户端内容段标识符，确定多个安全策略不包含用于第二客户端内容段的有效安全策略；以及响应于确定多个安全策略不包含有效安全策略，向核心实例发送安全分析请求。
[0026]在某些实施例中，第一安全策略包括允许、拒绝或隔离第一客户端内容段中的至少一个。
[0027]在某些实施例中，确定第一客户端内容段标识符的步骤包括在第一客户端内容段上应用哈希计算。

【专利附图】

【附图说明】
[0028]各种实施例在附图中示出，其中:
[0029]图1示出包括分布式安全服务传递体系结构100的实施例的云网络；
[0030]图2描述了说明用于在云网络中提供分布式安全服务传递的方法200的实施例的流程图；
[0031]图3描述了说明轻实例(例如，图1的一个轻实例140)如图2的步骤230中所示地在客户端内容段上应用轻量级安全实例的方法300的实施例的流程图；
[0032]图4描述了说明核心实例(例如，图1的核心实例160)如图2的步骤240中所示地分析客户端内容段的方法400的实施例的流程图；
[0033]图5描述了说明轻实例(例如，图1的一个轻实例140)更新与客户端内容段对应的所存储的安全策略的方法500的实施例的流程图；
[0034]图6示意性地示出诸如图1的一个轻实例140或图1的核心实例160的各种装置600的实施例。
[0035]为了便于理解，相同的参考标记已用于标明具有基本相同或相似结构或者具有基本相同或相似功能的单元。

【具体实施方式】
[0036]说明书和附图仅仅说明了本发明的原理。因此，应当认识到，虽然在此并未明确描述或示出，但本领域技术人员能够设计体现本发明的原理并被包括在其范围内的各种装置。此外，在此引用的所有例子主要意在仅用于教学目的，以帮助读者理解本发明的原理以及发明人对促进本领域所贡献的概念，并应当被解释为不限于这些具体引用的例子和条件。另外，在此所使用的术语“或”是指非排他性的，除非有相反的指示(例如，“否则”或者“或择一地”)。还有，在此所描述的各种实施例并不必需是相互排斥的，因为一些实施例可以与一个或多个其它实施例结合以形成新的实施例。
[0037]各种实施例提供了用于提供分布式安全服务的方法和装置，其中该分布式安全服务在多个安全装置中运行轻实例，并在所选择的安全装置中运行安全服务的核心实例。所接收或所传输的客户端内容段被指向轻实例，如果客户端内容段先前已被分析并具有有效安全策略，则轻实例应用与客户端内容段对应的安全策略，否则，轻实例将客户端内容段发送到核心实例以进行分析。然后，核心实例可提供关于客户端内容段的完整安全分析，确定与客户端内容段对应的安全策略，并将所确定的安全策略推送给轻实例中的一个或多个。
[0038]图1示出了包括分布式安全服务传递体系结构100的实施例的云网络。分布式安全服务传递体系结构100包括一个或多个客户端120-a至120-g(统称为客户端120)，其通过客户端通信路径经由轻实例140-a至140-c(统称为轻实例140)中的一个来发送或接收客户端内容段。客户端通信路径可包括客户端通信信道125-a至125-g(统称为客户端通信信道125)中的一个、客户端网络130-a至130-c (统称为客户端网络130)中的一个、客户端面向轻实例通信信道135-a至135-c(统称为客户端面向轻实例通信信道135)中的一个。如果对应的一个轻实例140不能够识别应用于客户端内容段的安全策略，则对应的一个轻实例140将客户端内容段通过核心实例通信路径发送到核心实例160，以执行客户端内容段的完整安全分析。核心实例通信路径可包括核心实例面向轻实例通信信道145-a至145-g(统称为核心实例面向轻实例通信信道145)中的一个、核心实例网络150、核心实例通信信道165。
[0039]在此所使用的术语“客户端内容段”应当被广义地理解为包括任何能够通过客户端通信信道125发送或接收的内容。例如，客户端内容段可以是分组、分组流、文件、文件块、数字文件、前述的任何部分等。
[0040]客户端120可以是任何类型或数量的能够通过一个或多个通信信道125发送或接收一个或多个客户端内容段的客户机。例如，客户端120可以是瘦客户端(例如，客户端120-a)、智能电话(例如，客户端120-b)、个人或膝上型电脑(例如，客户端120-c和120-d)、服务器(例如，客户端120-e)、网络装置(例如，客户端120-f)、平板电脑、电视机顶盒等。客户端120可依靠示例性系统内的其它资源以执行诸如处理或存储的一部分任务，或者能够独立地执行任务。
[0041]通信信道125、135、145和165支持通过一个或多个通信信道来通信，诸如无线通信(例如，LTE、GSMXDMA、蓝牙)、毫微微蜂窝通信(例如，WiFi)、分组网络通信(例如，IP)、宽带通信(例如，DOCSIS和DSL)、存储通信(例如，光纤通道、iSCSI)等。应当认识到，虽然被描述为单个连接，但是通信信道125、135、145和165可以是任何数量或组合的通信信道。
[0042]客户端网络130和核心实例网络150可以是适于在示例性系统100的其它装置(例如，客户端120、轻实例140或核心实例160)之间提供通信的装置或一组装置。例如，网络130和核心实例网络150可以是任何组合和任何数量的无线、有线或毫微微蜂窝网络，包括LTE、GSM、CDMA、局域网(LAN)、无线局域网(WLAN)、广域网(WAN)、城域网(MAN)等。
[0043]轻实例140可以是任何对客户端内容段应用安全服务的轻量级实例的装置。特别地，轻量级实例确定客户端内容段是否先前已被分析以及轻实例是否已存储与客户端内容段对应的有效安全策略。如果轻实例具有对应的有效安全策略，则轻实例应用所存储的安全策略，否则，轻实例向核心服务器160发送分析客户端内容段的请求。所存储的安全策略是基于作为客户端内容段的先前安全分析(例如，由核心实例160执行的分析)的结果而建立的安全策略。应当认识到，虽然在此示出了三个轻实例，但系统100可包括更少或更多的轻实例。
[0044]核心实例160可以是任何对客户端内容段应用完整安全服务实例的装置。特别地，完整安全服务实例分析客户端内容段，以确定客户端内容段是否潜在地包含安全风险，并基于该确定而向轻实例140中的一个或多个发送核心实例策略。应当认识到，虽然在此示出了一个核心实例，但系统100可包括更多的核心实例。
[0045]在某些实施例中，一个或多个客户端网络130或核心实例网络150可共享部分或整个网络。例如，网络130-a和网络150可以是相同的网络，即使为了说明的目的，它们被描述为两个分离的网络。在该实施例的另一个实施例中，客户端面向轻实例通信信道135中的一个和对应的核心实例面向轻实例通信信道145中的一个可以是相同的通信信道，即使为了说明的目的，它们被描述为分离的通信信道。例如，如果网络130-a和网络150包括一部分或整个共享网络，则客户端面向轻实例通信信道135-a和核心实例面向轻实例通信信道145-a可以是相同的通信信道，因此，轻实例140-a可只包括一个I/O接口以通过两个
'JS/*
通道通fe。
[0046]在某些实施例中，轻实例140中的一个或多个或者核心实例160是数据中心。在某些实施例中，数据中心包含资源，其根据需要包括运行轻量级安全实例或完整安全实例的一个或多个虚拟机。
[0047]在某些实施例中，轻实例140中的一个或多个或者核心实例160是在客户端网络130中的一个或者核心网络150中的装置。例如，轻实例140-a可以是网络130_a内的边缘
>J-U ρ?α装直。
[0048]在某些实施例中，轻实例140是在地理上分布的。在该实施例的另一个实施例中，客户端内容段经由最接近发送/接收客户端的轻实例来路由。有利地，网络瓶颈和延迟可通过将客户端内容段经过最接近的轻实例来路由而避免。应当认识到，轻实例与客户端的接近度可通过任何适当的度量来确定，诸如:物理距离、网络度量(例如，时延、成本或QoS保证)、数据类型、服务提供者等。
[0049]图2描述了说明用于在云网络中提供分布式安全服务的方法200的实施例的流程图。
[0050]在方法200中，步骤220包括将客户端内容段从客户端(例如，图1的客户端120中的一个)传输到轻实例(例如，图1的轻实例140中的一个)。特别地，由客户端发送或接收的客户端内容段被指向通过轻实例以执行安全服务。
[0051]在方法200中，步骤230包括轻实例(例如，图1的轻实例140中的一个)对客户端内容段应用安全服务的轻量级实例。特别地，安全服务的轻量级实例确定客户端内容段的客户端内容段标识符。然后，基于客户端内容段标识符，轻实例确定轻实例是否具有针对客户端内容段而存储的有效安全策略。如果轻实例不具有有效安全策略，则方法进行到步骤240，否则，方法进行到步骤250。有利地，通过使用客户端内容段标识符以获取与客户端内容段对应的所存储的安全策略，轻实例可减少安装、维护(例如，更新)和软件成本，因为轻实例不要求在每个轻实例上购买、安装和维护安全软件。此外，系统仍然可以提供高安全性，因为所存储的安全策略是基于(例如，由核心实例160执行的)客户端内容段的全面分析。
[0052]在方法200中，步骤240包括由核心实例(例如，图1的核心实例160)执行安全服务。特别地，完整安全服务实例分析客户端内容段，以确定客户端内容段是否潜在地包含安全风险，并基于所确定的安全风险，更新轻实例140中的一个或多个。
[0053]在方法200中，步骤250包括应用来自步骤230的所存储的安全策略或者应用从步骤240获取的基于安全详情的安全策略。
[0054]在步骤250的第一实施例中，安全策略可在轻实例(例如，图1的轻实例140-a)处应用。在第二实施例中，安全策略可在客户端(例如，图1的客户端120-a)处应用。
[0055]在某些实施例中，步骤220包括将客户端内容段指向最近的轻实例，如以上图1所述的。
[0056]在某些实施例中，步骤220包括外向型(outward-looking)轻实例,其确定进入客户端网络的客户端内容段是否包含安全风险。
[0057]在某些实施例中，客户端内容段是网站或其一部分。例如，客户端(例如，图1的客户端120中的一个)可访问诸如www.alcatel-lucent, com的网站，网页的内容可以是客户端内容段。
[0058]在某些实施例中，客户端内容段可被划分成大于一个的客户端内容段。例如，网站www.alcatel-lucent, com可包括指向三个不同网站的三个iFrame。来自三个网站的每一个的内容可以是分离的，因此，轻实例可将三个网站的每一个作为分离的客户端内容段进行处理。在另一个例子中，客户端内容段可被分拆成多个内容组件，诸如图像、HTML文件、Java小程序等。在该例子中，轻实例可将这些内容组件的每一个作为分离的客户端内容段来处理。在该实施例的另一个实施例中，客户端内容段的划分可基于内容的动态性质。例如，诸如网页的填写表格部分或网页上的广告的动态内容可被分成分离的客户端内容段。应当认识到，通过从客户端内容段中分拆出动态内容，轻实例将具有用于非动态客户端内容段的所存储的安全策略有较高的可能性。
[0059]在步骤240的某些实施例中，安全服务是防病毒或反恶意软件(AVAM)服务。
[0060]在步骤240的某些实施例中，安全服务包括大于一个的软件程序。在另一个实施例中，安全服务包括来自大于一个的供应商的软件程序。有利地，与仅通过一个软件程序或一个供应商的软件程序来检查客户端内容段相比，通过使用多个不同的软件程序，可以提供更高级别的安全。
[0061]在步骤250的某些实施例中，安全策略是允许、拒绝或隔离客户端内容段的决定。在步骤250的某些实施例中，安全策略包括向客户端提供所采取的行动或者客户端内容段提供潜在安全风险的警告的信息。
[0062]在某些实施例中，步骤250包括允许客户端内容段的客户端接受。例如，向客户端提供进入的客户端内容段的潜在安全风险的信息的安全策略可允许客户端在接收了安全策略警告之后接受客户端内容段。在另一个实施例中，客户端可存储其对客户端内容段的接受或拒绝。在某些实施例中，所存储的接受或拒绝可用于在将来某个时间自动接受或拒绝客户端内容段。接受或拒绝可被存储在客户端(例如，图1的客户端120-a)、轻实例(例如，图1的轻实例140-a)或核心实例(例如，图1的核心实例160)处。
[0063]图3描述了说明轻实例(例如，图1的轻实例140中的一个)如图2的步骤230中所示地在客户端内容段上应用轻量级安全实例的方法300的实施例的流程图。该方法包括接收客户端内容段(步骤320)，诸如在图2中的步骤220期间捕获的客户端内容段。然后，执行该方法的装置确定所接收的客户端内容段是否具有所存储的安全策略(步骤330)，如果是，则应用该安全策略(步骤340)，否则，装置向核心实例(例如，图1的核心实例160)发送执行客户端内容段的安全分析的请求(步骤350)。然后，执行该方法的装置可选地从核心实例接收包括与客户端内容段对应的核心实例策略的请求响应(步骤360)，并基于核心实例策略而应用安全策略(步骤370)。
[0064]在方法300中，步骤320包括从客户端(例如，图1的客户端120中的一个)接收客户端内容段。
[0065]在方法300中，步骤330包括确定所接收的客户端内容段是否具有所存储的安全策略。特别地，确定可用于识别客户端内容段的内容的客户端内容段标识符。然后，客户端内容段标识符用于确定是否存在与客户端内容段标识符对应的所存储的安全策略。可选地，步骤330还可以包括确定所存储的安全策略是否有效。如果轻实例确定存在所存储且有效的安全策略，则该方法进行到步骤340，否则，该方法进行到步骤350。
[0066]在方法300，步骤340包括应用在步骤330中获取的安全策略。轻实例可直接对客户端内容段应用安全策略，或者通过基于安全策略而向客户端发送指示客户端控制安全策略以应用于客户端内容段的轻实例安全消息来间接地应用安全策略。
[0067]在方法300，步骤350包括向核心实例发送执行客户端内容段的安全分析的请求。特别地，对于没有所存储且有效的安全策略的客户端内容段，轻实例将客户端内容段发送到核心实例以进行评估。
[0068]方法300可选地包括步骤360。步骤360包括从核心实例接收对在步骤350中发送的请求的响应。核心实例响应包含与客户端内容段对应的核心实例策略。
[0069]方法300可选地包括步骤370。步骤370包括基于在步骤360中接收的核心实例响应来应用安全策略，如以上在步骤340中所述的。应当认识到，在某些实施例中，核心实例可直接向客户端发送安全策略。
[0070]在某些实施例中，步骤330包括将该方法引向执行步骤340和350两者。例如，如果核心实例不可用，则轻实例可使用期满的安全策略。在另一个例子中，如果在步骤360中接收的核心实例策略与期满的安全策略一致，则轻实例可使用安全策略的一部分，诸如自动接受客户端内容段。
[0071]在步骤330的某些实施例中，安全策略包括是否服务、拒绝、隔离、标记内容或者警告客户端的指示。
[0072]在步骤330的某些实施例中，内容可寻址存储器(CAM)或联合存储器技术可用于基于客户端内容段的内容来确定客户端内容段标识符。
[0073]在步骤330的某些实施例中，哈希计算被应用在客户端内容段上，以确定哈希值以用作客户端内容段标识符。在某些实施例中，客户端内容段标识符被用于从表或数据库中检索所存储的安全策略。应当认识到，表或数据库中的条目可以是指向实际安全策略的指针。在另一个实施例中，轻实例的表中的条目包括内容的哈希值、执行评估的核心实例的id、最后更新哈希值的时间、或者任何内容匹配哈希条目的最后时间。
[0074]在某些实施例中，步骤330包括基于以下的一个或多个来确定客户端内容段标识符:(i)内容；(ii)URL ; (iii)第2层(Layer 2)或第3层(Layer 3)地址的任何组合；(iv)传输层端口统一资源标识符(URI) ；(vi)分组内的传输有效载荷；(vii)应用层报头(例如，HTTP报头);(viii)应用有效载荷(HTTP GET请求/响应);或(ix)其它。例如，可对这些实体的任何组合计算哈希。
[0075]在步骤330的某些实施例中，所存储的安全策略在一段时间后变成无效。在某些实施例中，轻实例对每个客户端内容段条目应用可变级别的超时。
[0076]在步骤330的某些实施例中，轻实例使用概率分布函数，以确定用于客户端内容段的安全策略何时期满。期满概率可以是以下的一个或多个的函数:(i)与客户端内容段标识符相关联的存活期；(ii)客户端内容段的源；(iii)超时参数的长度；(iv)安全策略(例如，安全风险的安全等级或分类)；或(ν)其它。
[0077]在步骤350的某些实施例中，轻实例向核心实例发送客户端内容段的地址/指针。例如,地址可以是网页或文件的URL。
[0078]在步骤350的某些实施例中，去往核心实例的请求包括设置特殊标志，其迫使核心实例分析客户端内容段，即使核心实例已经具有用于该客户端内容段的所存储的核心实例策略。
[0079]在步骤360的某些实施例中，核心实例响应包括如在图4的步骤440和步骤460中描述的一个或多个参数。
[0080]图4描述了说明用于核心实例(例如，图1的核心实例160)如图2的步骤240中所示地分析客户端内容段的方法400的实施例的流程图。该方法包括接收分析客户端内容段的请求(步骤420)，诸如在图3中的步骤350期间所发送的请求。然后，执行该方法的装置分析客户端内容段，并确定核心实例策略(步骤440)。然后，执行该方法的装置可选地向轻实例发送核心实例响应(步骤460)。执行该方法的装置还基于核心实例策略来更新一个或多个轻实例(步骤480)。
[0081]在方法400中，步骤420包括接收分析客户端内容段的请求，如上所述的。
[0082]在方法400中，步骤440包括分析客户端内容段，如上所述，并确定核心实例策略。特别地，完整安全实例执行客户端内容段的分析，核心实例策略基于该分析的结果。例如，如果完整安全实例执行防病毒检查，并确定客户端内容段包含病毒，则核心实例策略可拒绝或隔离该客户端内容段。
[0083]方法400可选地包括步骤460。步骤460包括向轻实例发送核心实例响应。特别地，请求响应包括核心实例策略，其将被请求轻实例用于使得用于客户端内容段的安全策略建立在此基础上。
[0084]在方法400中，步骤480包括基于核心实例策略而更新一个或多个轻实例。特别地，包括在步骤440中确定的核心实例策略的更新消息被发送到一个或多个轻实例。
[0085]在步骤420的某些实施例中，分析客户端内容段的请求包括客户端内容段的地址。例如，地址可以是网页或诸如图像文件的文件的URL。有利地，通过发送地址而不是客户端内容段，系统可要求更少的网络资源。
[0086]在步骤420的某些实施例中，分析客户端内容段的请求包括客户端内容段标识符。例如，如果核心实例已经分析了客户端内容段，则客户端内容段可由客户端内容段标识符来识别。
[0087]在步骤420的某些实施例中，请求包括标志，其迫使核心实例执行客户端内容段的完整分析，即使核心实例具有所存储且有效的对应的核心实例策略。
[0088]在步骤440的某些实施例中，核心实例存储所确定的核心实例策略。在某些实施例中，核心实例还存储与核心实例策略对应的客户端内容段标识符。在某些实施例中，如果与所接收的请求对应的客户端内容段具有所存储的核心实例策略(即，先前已经被分析了)，则所确定的核心实例策略可从存储器中获取，而无需再次分析客户端内容段。在某些实施例中，核心实例策略包括期满参数。如果期满参数期满，则核心实例策略不再有效，核心实例将执行客户端内容段的完整安全分析。
[0089]在步骤440的某些实施例中，期满参数可基于以下的一个或多个:⑴内容的源的可信度(例如，nytimes.com内容可比piratebay.0rg被信任更长的期满时间)；(ii)从源服务的动态内容的比例(例如，youtube, com比whitehouse.gov具有更多的动态内容，因此youtube, com具有更小的期满时间)；(iii)核心实例上的负荷；和(iv)等等。
[0090]在步骤440的某些实施例中，核心实例策略包括以下的一个或多个:(i)应用于客户端内容段的安全策略；(ii)潜在安全风险的信息或警告；(iii)安全风险的分类(例如，病毒、广告软件或木马)；(iv)内容的状态(例如，良性或恶意)；(ν)安全风险等级；(vi)安全风险的描述(例如，特定类型或病毒)；或(vii)等等。
[0091]在步骤460或步骤480的某些实施例中，请求响应包括以下的一个或多个:(i)客户端内容段标识符；Qi)核心实例策略；(iii) 一个或多个核心实例策略的期满参数；(iv)表征客户端内容段的内容类型的分类；或(V)等等。
[0092]在步骤460或步骤480的某些实施例中，客户端内容段标识符是客户端内容段的哈希计算，如上所述。
[0093]在某些实施例中，步骤460和480同时执行。例如，在步骤480中发送的更新消息可通过轻实例发送使得用于客户端内容段的安全策略基于此的请求来使用。
[0094]在某些实施例中，步骤480包括更新轻实例的子集。在某些实施例中，确定将要更新的轻实例的子集是基于客户端内容段的内容类型的分类。例如，对于被分类为WAP内容的客户端内容段，核心实例可以仅更新服务无线网络的轻实例。在另一个例子中，对于被分类为在地理上特定的客户端内容段，核心实例可以仅更新服务这些地理区域的轻实例。
[0095]图5描述了说明轻实例(例如，图1的轻实例140中的一个)更新与客户端内容段对应的所存储的安全策略的方法500的实施例的流程图。该方法包括基于从核心实例(例如，图1的核心实例160)接收更新消息(步骤520)，诸如在图4中的步骤480期间发送的更新消息，或者基于确定保留度量(步骤540)，更新所存储的安全策略(步骤560)。
[0096]方法500可选地包括步骤520。步骤520包括从核心实例(例如，图1的核心实例160)接收更新消息(步骤520)，诸如在图4中的步骤480期间发送的。
[0097]方法500可选地包括步骤540。步骤540包括确定保留度量。特别地,确定用于所存储的安全策略中的一个或多个的期满参数，并应用期满参数以删除所存储的安全策略或者迫使分析请求(例如，图3的步骤350)被发送到核心实例，即使轻实例具有所存储的安全策略(即，已存储但不再有效)。
[0098]在方法500中，步骤560包括基于所接收的策略更新或者所确定的更新度量来更新所存储的安全策略(步骤560)。特别地，更新表、数据库或任何其它适当的存储机制以包括所更新的存储策略、客户端内容段标识符或者如在此所述的任何其它适当信息。
[0099]在步骤540的某些实施例中，可删除所存储的安全策略或它们的相关数据(例如，在表或数据库中的条目)。有利地，通过删除较旧的所存储的安全策略或它们的相关数据，可减少存储空间和轻量级实例处理时间。在某些实施例中，基于以下的一个或多个而删除安全策略或其相关的数据:(i)数据所占用的已占用存储空间；(ii)客户端内容段的分类、地理或源客户端内容段将在未来被接收的概率的确定；(iv)期满参数；或(ν)其它。
[0100]在某些实施例中，客户端内容段将在未来被接收的概率的确定是基于先前接收的客户端内容段的历史。
[0101]虽然主要以特定的顺序进行描述和说明，但是应当认识到，在方法200、300、400和500中所示的步骤可以以任何适当的顺序执行。此外，由一个步骤所确定的多个步骤也可以按顺序在一个或多个其它步骤中执行，或者超过一个的步骤的共同动作可仅执行一次。
[0102]应当认识到，各种上述方法的步骤可由编程计算机执行。在此，一些实施例还意图覆盖例如数据存储介质的程序存储装置，其是机器或计算机可读的，并对机器可执行或计算机可执行程序的指令进行编码，其中，所述指令执行上述的方法的一些或全部步骤。程序存储装置可以例如是数字存储器、诸如磁盘和磁带的磁存储介质、硬盘驱动器或光学可读数据存储介质。实施例还意图覆盖被编程以执行上述方法的所述步骤的计算机。
[0103]图6示意性地示出诸如图1的一个轻实例140或图1的核心实例160的各种装置600的实施例。装置600包括处理器610、数据存储器611和I/O接口 630。
[0104]处理器610控制装置600的操作。处理器610与数据存储器611合作。
[0105]数据存储器611可根据需要存储程序数据，诸如安全策略及其相关数据、核心实例策略等。数据存储器611还存储可由处理器610执行的程序620。
[0106]处理器可执行的程序620可包括I/O接口程序621、轻实例分析程序623、轻实例更新程序625或核心实例分析程序627。处理器610与处理器可执行的程序620合作。
[0107]I/O接口 630与处理器610和I/O接口程序621合作，以根据需要并如上所述地支持通过图1的通信信道125、145或165的通信。
[0108]轻实例分析程序623执行如上所述的图3的方法300的步骤。
[0109]轻实例更新程序625执行如上所述的图5的方法500的步骤。
[0110]核心实例分析程序627执行如上所述的图4的方法400的步骤。
[0111]在某些实施例中，处理器610可包括诸如处理器/CPU核的资源，I/O接口 630可包括任何适当的网络接口，或者数据存储器611可包括存储器或存储装置。此外，装置600可以是任何适当的物理硬件配置，诸如一个或多个服务器，由诸如处理器、存储器、网络接口或存储装置的组件构成的刀片服务器(blade)。在某些实施例中，装置600可包括彼此远离的云网络资源。
[0112]在某些实施例中，装置600可以是虚拟机。在某些实施例中，虚拟机可包括来自不同机器的部件或者在地理上是分散的。例如，数据存储器611和处理器610可在两个不同的物理机器中。
[0113]当处理器可执行的程序620在处理器610上实施时，程序代码段与处理器相结合以提供类似于特定逻辑电路运行的唯一装置。
[0114]虽然在此对其中例如程序和逻辑被存储在数据存储器内而存储器可通信地与处理器连接的的实施例进行了描述和说明，但是，应当认识到，这种信息可以以任何其它适当的方式存储(例如，使用任何适当数量的存储器、存储装置或数据库)；使用可通信地与任何适当的装置的排列连接的任何适当存储器、存储装置或数据库的排列；在存储器、存储装置或者内部或外部数据库的任何适当组合中存储信息；或者使用任何适当数量的可访问的外部存储器、存储装置或数据库。因此，在此所提及的术语数据存储器意味着包括存储器、存储装置和数据库的所有适当组合。
[0115]说明书和附图仅仅说明了本发明的原理。因此，应当认识到，虽然在此未明确地描述或示出，但本领域技术人员能够设计体现本发明的原理并被包括在其范围内的各种装置。此外，在此引用的所有例子主要意在仅用于教学目的，以帮助读者理解本发明的原理和发明人对促进本领域所贡献的概念，并应当被解释为不限于这些具体引用的例子和条件。另外，在此引用本发明的原理、方面和实施例及其具体例子的所有陈述都意图包括其等同物。
[0116]在附图中示出的各种单元的功能，包括标记为“处理器”的任何功能块，可通过使用专用硬件以及能够与适当软件相关联地执行软件的硬件来提供。当由处理器提供时，功能可由单个专用处理器、单个共享处理器或者多个单独的且其中一些可被共享的处理器来提供。此外，术语“处理器”或“控制器”的明确使用不应被解释为排他地指能够执行软件的硬件，并可隐含地包括但不限于数字信号处理器(DSP)硬件、网络处理器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、用于存储软件的只读存储器(ROM)、随机存取存储器(RAM)和非易失性存储器。还可以包括其它传统或定制的硬件。同样，在附图中所示的任何开关只是概念性的。它们的功能可通过程序逻辑的操作、通过专用逻辑、通过程序控制与专用逻辑的交互或者甚至手动来执行，特定技术可由实施者根据对上下文更具体地理解来选择。
[0117]应当认识到，在此的任何框图表示体现本发明原理的说明性电路的概念性视图。同样，应当认识到，任何流程图表、流程图、状态转换图、伪代码等都表示可以在计算机可读介质中实质地表示并由计算机或处理器执行的各种过程，不管是否明确示出了这样的计算机或处理器。
【权利要求】
1.一种用于提供安全服务的装置，所述装置包括: 数据存储器；以及 能够通信地与所述数据存储器连接的处理器，所述处理器被配置为: 在所述数据存储器中存储与多个客户端内容段对应的多个安全策略； 接收第一客户端内容段； 基于所述第一客户端内容段的内容，确定第一客户端内容段标识符； 基于所述第一客户端内容段标识符，从所述多个安全策略中选择第一安全策略； 将所述第一安全策略应用于所述第一客户端内容段； 接收第二客户端内容段； 基于所述第二客户端内容段的内容，确定第二客户端内容段标识符； 基于所述第二客户端内容段标识符，确定所述多个安全策略不包含用于所述第二客户端内容段的有效安全策略；以及 响应于确定所述多个安全策略不包含所述有效安全策略，向核心实例发送安全分析请求。
2.根据权利要求1所述的装置，其中，所述确定第一客户端内容段标识符包括:将所述处理器配置为: 在所述第一客户端内容段上应用哈希计算。
3.根据权利要求1所述的装置，其中，所述应用第一安全策略包括:将所述处理器配置为: 基于所述第一安全策略，向客户端发送消息。
4.根据权利要求1所述的装置，其中，所述应用第一安全策略包括:将所述处理器配置为: 基于所述第一安全策略，向客户端发送消息； 接收客户端响应；以及 基于所述客户端响应，允许或拒绝所述客户端内容段； 其中，所述第一安全策略包括潜在安全风险的警告。
5.根据权利要求1所述的装置，其中，所述处理器进一步被配置为: 将所述第一客户端内容段划分成多个划分后的第一客户端内容段； 其中，所述第一客户端内容段标识符与所述多个划分后的第一客户端内容段中的一个对应。
6.根据权利要求1所述的装置，其中，所述处理器进一步被配置为: 从所述核心实例接收核心实例响应； 基于所述核心实例响应，确定第二安全策略；以及 将所述第二安全策略应用于所述第二客户端内容段。
7.根据权利要求1所述的装置，其中，所述处理器进一步被配置为: 基于一个或多个保留度量，更新所述多个安全策略，其中所述一个或多个保留度量包括以下的至少一个: 所述多个安全策略在所述数据存储器中的已占用存储空间； 与所述多个安全策略对应的所述客户端内容段的地理分类； 与所述多个安全策略对应的所述客户端内容段的源；以及 与所述多个安全策略对应的所述客户端内容段将在未来被接收的概率的确定。
8.一种用于提供安全服务的装置，所述装置包括: 数据存储器；以及 能够通信地与所述数据存储器连接的处理器，所述处理器被配置为: 接收分析客户端内容段的请求； 执行所述客户端内容段的安全分析； 基于所述安全分析，确定核心实例策略； 确定多个轻实例；以及 向所述多个轻实例传输更新消息，所述更新消息包括所述核心实例策略。
9.根据权利要求8所述的装置，其中，所述确定多个轻实例是基于所述客户端内容段的内容的分类。
10.一种用于提供安全服务的方法，所述方法包括: 在能够通信地与数据存储器连接的处理器处，将与多个客户端内容段对应的多个安全策略存储到所述数据存储器中； 由所述处理器与所述数据存储器合作地接收第一客户端内容段； 由所述处理器与所述数据存储器合作地基于所述第一客户端内容段的内容，确定第一客户端内容段标识符； 由所述处理器与所述数据存储器合作地基于所述第一客户端内容段标识符，从所述多个安全策略中选择第一安全策略； 由所述处理器与所述数据存储器合作地将所述第一安全策略应用于所述第一客户端内容段； 由所述处理器与所述数据存储器合作地接收第二客户端内容段； 由所述处理器与所述数据存储器合作地基于所述第二客户端内容段的内容，确定第二客户端内容段标识符； 由所述处理器与所述数据存储器合作地基于所述第二客户端内容段标识符，确定所述多个安全策略不包含用于所述第二客户端内容段的有效安全策略；以及 由所述处理器与所述数据存储器合作地响应于确定所述多个安全策略不包含所述有效安全策略，向核心实例发送安全分析请求。
【文档编号】H04L29/06GK104170347SQ201380013820
【公开日】2014年11月26日 申请日期:2013年2月11日 优先权日:2012年3月13日
【发明者】K·P·普塔斯瓦米纳加, T·南达哥帕尔 申请人:阿尔卡特朗讯公司