CN102106167B - 安全消息处理 - Google Patents

安全消息处理 Download PDF

Info

Publication number
CN102106167B
CN102106167B CN200980129292.6A CN200980129292A CN102106167B CN 102106167 B CN102106167 B CN 102106167B CN 200980129292 A CN200980129292 A CN 200980129292A CN 102106167 B CN102106167 B CN 102106167B
Authority
CN
China
Prior art keywords
processing node
node
data
authority
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN200980129292.6A
Other languages
English (en)
Other versions
CN102106167A (zh
Inventor
杰伊·乔杜里
乔斯·拉斐尔
凯拉什·凯拉什
斯夫普拉萨德·乌杜帕
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zscaler Inc
Original Assignee
Zscaler Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zscaler Inc filed Critical Zscaler Inc
Publication of CN102106167A publication Critical patent/CN102106167A/zh
Application granted granted Critical
Publication of CN102106167B publication Critical patent/CN102106167B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

用于在分布式安全系统中处理安全消息的系统、方法和装置。请求、回复和/或更新具有变化的时间约束。处理节点管理器和职权节点管理器确定最佳的传输时间和/或忽略这样的数据,以最大化信息价值。

Description

安全消息处理
技术领域
本说明书涉及安全服务开通(provisioning)。
背景技术
计算机网络的普及和访问需要保护重要信息的安全措施。例如,企业能够通过使用分层的安全系统来实现这样的安全措施。这样的分层的安全系统能够在所述企业的网络边缘实现,所述网络边缘例如防火墙、网关安全代理等。此外,分层的安全系统还可以包括遍布企业实现的安全处理和代理,例如企业内每个计算机设备上的病毒扫描软件、在企业网关上的内容过滤软件、内容监视软件等。
许多分层的安全系统也不能容易地维护威胁数据的中央数据存储,所述威胁数据根据安全类型(例如病毒、恶意软件、垃圾邮件等等)对诸如文件、URL、电子邮件的内容项目进行分类。这样的分层的安全系统也不实现分布式基层架构来通信和共享内容智能。这导致对好和坏的内容都重复地进行处理。例如,与在企业位置中检测到的病毒发作有关的信息无法容易地传播到中央办公室或者该企业的其他分支;被发现包括恶意软件(“malware”)或令人反感内容的统一资源定位符(URL)无法轻易传播到企业的中央办公室或其它分支,等等。
如果提供的安全系统超过网络边缘,则在职权节点处的中央数据存储的实现和到处理节点与来自处理节点的威胁数据的分发能够提高系统性能。一种方法是向中央化的数据存储和从中央化的数据存储分发安全消息,或者向分布式的职权数据存储或从分布式的职权数据存储分发安全消息,例如对威胁数据、防护表数据、更新通知的请求等等。然而,根据在处理节点或者职权节点处的特定环境,等待请求和/或发送对这样的请求的响应不能实现性能提高。此外,在一些情况下,等待请求和/或发送对这样的请求的响应实际上可以使整个系统性能降级。
发明内容
本说明书中描述的主题用于分布式安全消息处理。当从内容检查中得出的与安全相关的消息、用户群体的改变、对欺骗行为的检测等等在分布式系统中被实时通信时,存在大量的副本的、陈旧的以及不适时的信息交换。每个消息具有时变优势,并且系统试图通过在最佳可能的处理时间可实现的情况下根据最佳可能的处理时间处理该消息将该优势最大化。
通常,本说明书中描述的主题的一个方面可被实现为方法,所述方法包括在处理节点中的以下动作:识别内容项目;生成对该内容项目的安全请求,该安全请求包括一个或多个时间约束;确定用于该安全请求的第一安全操作是否能够在一个或多个时间约束内执行;以及,如果处理节点确定第一安全操作能够在一个或多个时间约束内执行,则向职权节点传送安全请求。该方面的其他实施方式包括相应的系统、装置和计算机程序产品。
本说明书中描述的主题的另一方面可实现为方法,所述方法包括在职权节点中的以下动作:从处理节点接收对第一安全操作的请求,所述安全请求定义一个或多个时间约束;确定第一安全操作是否能够在一个或多个时间约束内执行;以及,仅在职权节点管理器确定第一安全操作能够在一个或多个时间约束内执行时,启动第一安全操作的性能。该方面的其他实施方式包括相应的系统、装置和计算机程序产品。
本说明书中描述的主题还包括其他方面。此外,以下可选优势中的一个或多个可以通过本说明书中描述的主题的实施方式来实现。在跨广阔的地理区域分布的处理节点中,提高了对与安全有关的数据的缓存命中率。通过确保在启动查找操作时安全数据在缓存中是可用的,来减少处理延迟。还通过确定第一安全操作(例如,在处理节点处接收内容项目的威胁类型数据)是否能够在时间约束内完成,或者确定启动第二安全操作(例如在处理节点处对内容项目进行扫描)来确定威胁类型数据是否在时间成本上更有效,来减少处理延迟。这些可选优势可以分别实现,并且不需要在任何特定的实施方式中实现。
本说明书中所描述主题的一个或多个实施例的细节在附图以及以下描述中给出。所述主题的其它特征、方面和优势将从所述描述、附图和权利要求变得显而易见的。
附图说明
图1是分布式安全系统的框图。
图2是图1的系统的框图,其中更为详细地图示了图1的组件。
图3是多层威胁检测体系的框图。
图4是用于提供分布式安全服务开通的示例性过程的流程图。
图5是用于处理分布式安全系统中的威胁的示例性过程的流程图。
图6是用于处理分布式安全系统中的威胁的示例性过程的流程图。
图7是用于处理分布式安全系统中的威胁的示例性过程的流程图。
图8是用于处理分布式安全系统中的威胁的示例性过程的流程图。
图9是描述在时间上的安全数据信息值的时序图。
图10是图1的系统的另一框图,其中更详细图示了图1的组件。
图11是用于处理安全消息的示例性过程的流程图。
图12是用于在处理节点处处理安全消息的另一示例性过程的流程图。
图13是用于在职权节点处处理安全消息的另一示例性过程的流程图。
图14是用于在职权节点处处理安全消息的另一示例性过程的流程图。
相同的附图标记和指示在各图中表示相同的元素。
具体实施方式
图1是分布式安全系统100的框图。例如,系统100可以被实现为诸如互联网的广域网(WAN)中的覆盖网络。系统100包括内容处理节点110,其检测并排除安全威胁的分发,例如恶意软件、间谍软件以及从外部系统发送或由外部系统所请求的其它不希望的内容。示例性外部系统可以包括企业200、计算机设备220和移动设备230,或者其它网络和计算系统。
§1.0示例性高级系统体系
在示例性实施方式中,每个处理节点110可以包括决策系统,例如对内容项目进行操作的数据检查引擎,所述内容项目例如网页、文件、电子邮件消息,或者从外部系统之一发送或者由其请求的其它一些数据或数据通信。在一些实施方式中,通过处理节点110对去往互联网或者从互联网接收的所有数据进行处理。在其它实施方式中,通过处理节点110对每个外部系统所指定的特定数据进行处理,所述特定数据例如仅电子邮件、仅可执行文件等。
每个处理节点110能够为一个或多个部分C=[c1,c2,...,cm]的内容项目生成决策矢量D=[d1,d2,...,dn]。每个决策矢量能够识别威胁类型,例如未感染(clean)、间谍软件、恶意软件、不希望的内容、无害、未知等。例如,决策矢量D的每个元素的输出可以基于一个或多个数据检查引擎的输出。在一些实施方式中,所述威胁类型可以被减少为类别的子集,例如破坏性、非破坏性、中立、未知。基于子集类型,处理节点110可以允许内容项目的分发,排除内容项目的分发,在清理处理之后允许内容项目的分发,或者对内容项目执行威胁检测。
在一些实施方式中,处理节点110所采取的动作可以针对内容项目的威胁类型以及从其发送所述内容项目或由其请求所述内容项目的外部系统的安全策略确定。如果对于内容项目的任意部分C=[c1,c2,...,cm]而言,内容项目在任意处理节点110处是破坏性的,则任意一个数据检查引擎生成导致“破坏”类型的输出。
每个处理节点110可以由多个计算机和通信设备来实现,所述计算机和通信设备例如服务器计算机、网关、交换机等。在一些实施方式中,处理节点110可以为访问层150服务。例如,访问层150可以提供对安全系统100的外部系统访问。在一些实施方式中,每个处理节点110可以包括互联网网关和多个服务器计算机,并且处理节点110可以通过地理区域分布,例如遍布国家进行分布。根据系统100的提供者与外部系统的所有者之间的服务协定,系统100能够由此向遍布所述地理区域的任意位置的外部系统提供安全保护。
系统100能够根据外部系统的大小和数据要求而以各种方式对数据通信进行监视。例如,企业200可以具有用于通过互联网进行通信的多个路由器,并且所述路由器可以被配置为通过(业务通信时间)最接近的处理节点110建立通信。移动设备230可以被配置为通过任意可用的无线访问设备对最接近的处理节点110进行通信,所述无线访问设备诸如访问点或蜂窝网关。诸如消费者的个人计算机之类的单个计算机设备220可以具有其被配置为访问最接近的处理节点110的浏览器和电子邮件程序,所述最接近的处理节点110进而作为计算机设备220的代理。替选地,互联网提供商可以使得其所有消费者业务通过处理节点110进行处理。
在一些实施方式中,处理节点110可以与一个或多个职权节点120进行通信。职权节点120可以存储用于每个外部系统的策略数据,并且可以将所述策略数据分发给每个处理节点110。例如,所述策略数据可以定义所保护系统的安全策略,例如企业200的安全策略。示例性的策略数据可以为用户、网站和/或不被允许的内容、受限域等定义访问特权。职权节点120可以将所述策略数据分发到访问节点110。
在一些实施方式中,职权节点120还可以根据威胁类型对包括该类型的内容项目的威胁数据进行分发,例如已知病毒的列表、已知恶意软件站点的列表、垃圾电子邮件域等。威胁数据在处理节点110和职权节点120之间的分发可以通过以下更为详细地描述的推和拉分发方案来实现。
在一些实施方式中,每个职权节点120可以由多个计算机和通信设备来实现,所述计算机和通信设备例如服务器计算机、网关、交换机等。在一些实施方式中,职权节点110可以为应用层160服务。例如,应用层160可以管理和提供策略数据、威胁数据,以及用于处理节点的数据检查引擎和词典。
还可以在应用层中提供其它应用层功能,诸如用户接口前端130。所述用户接口前端130提供外部系统的用户能够通过其提供和定义安全策略的用户接口,所述安全策略例如是否对电子邮件业务进行监视、是否要排除某些网站等。
能够通过用户接口前端130提供的另一种应用能力是安全分析和日志报告。安全分析和日志报告功能在其上进行操作的潜在数据存储在为数据日志层170服务的日志节点140中。每个日志节点140可以存储与处理节点110为每个外部系统所处理的安全操作和网络业务相关的数据。
在一些实施方式中,日志节点140数据可以是匿名的,从而标识企业的数据被去除或模糊。例如,可以去除标识数据以便为所有企业和用户提供安全处理的整体系统概况而并不泄漏任何一个帐户的身份。在另一个示例中,可以使得标识数据模糊化,例如在每次访问时提供随机的帐号,从而可以按帐户取出所有企业和用户的安全处理的整体系统概况而不泄漏任意一个帐户的身份。在其它实施方式中,可以进一步对所述标识数据和/或日志节点140数据进行加密,例如以使得仅有所述企业(或者在单个用户帐户的情况下的用户)能够访问用于其帐户的日志节点140数据。还可以使用对日志节点140数据进行匿名、模糊或保护的其它处理。
在一些实施方式中,访问代理180可以包括在外部系统中。例如,访问代理180部署在企业200中。例如,访问代理180可以通过将客户端设备上的文件的哈希索引提供给处理节点110来便利安全处理,或者例如通过为密码分配标志并且仅将所述标志发送给处理节点从而使得企业的网络边缘之外进行的密码传输最小化而利用处理节点110便利认证功能。也可以由访问代理180便利其它功能和处理。
在一些实施方式中,处理节点110可以作为转发代理,其接收直接寻址到处理节点110的对外部服务器的用户请求。在其它实施方式中,处理节点110可以访问以透明模式穿过处理节点110的用户请求。例如企业200的受保护系统例如能够选择这些模式中的一个或两个。
例如,浏览器可以被人工配置或者通过访问代理180进行配置以便以转发代理模式访问处理节点110。在转发代理模式中,所有访问都被寻址到处理节点110。
在另一个示例中,可以对企业网关进行配置以使得通过在企业网关和处理节点之间建立通信隧道而通过处理节点110对用户请求进行路由。对于建立隧道而言,可以使用诸如一般路由封装(GRE)、层2隧道协议(L2TP)或IP安全协议之类的现有协议。
在另一个示例中,处理节点110可以部署在互联网服务提供商(ISP)节点处。所述ISP节点能够以透明代理模式将主题业务重新定向到处理节点110。诸如企业200的受保护系统能够使用多协议标签交换(MPLS)类型的服务,用于指示要被重新定向的主题业务。例如,在所述企业内,访问代理180可以被配置为执行MPLS标记。
在另一个透明代理模式示例中,诸如企业200的受保护系统可以将处理节点110识别为用于与外部服务器进行通信的下一跳路由器。
§2.0示例性详细系统体系和操作
图2是图1的系统的框图,其中更为详细地图示了图1的组件。虽然仅图示出一个代表性的组件处理节点110、职权节点120和日志节点140,但是组件节点110、120和140中的每一个可以在系统100中存在多个。
诸如互联网的广域网(WAN)101或者有线和/或无线网络的某个其它组合以数据通信连接处理节点110、职权节点120和日志节点140。外部系统200、220和230同样通过WAN101彼此进行通信或者与其它数据提供者和发布者进行通信。外部系统200、220和230中每一个的一些或全部数据通信可以通过处理节点110进行处理。
图2还更为详细地示出了企业200。例如,企业200可以包括保护内部网络的防火墙202,所述内部网络可以包括一个或多个企业服务器206、轻量级目录访问协议(LDAP)服务器212以及其它数据或数据存储214。另一个防火墙203可以保护企业子网,所述企业子网可以包括用户计算机206和208(例如,膝上型电脑和台式计算机)。企业200可以通过一个或多个网络设备与WAN101进行通信,所述网络设备诸如路由器、网关等。例如,LDAP服务器104可以存储企业200系统的注册用户的用户登录证明。这样的证明可以包括用户标识符、登录密码以及与每个用户标识符相关联的登录历史。其它数据214可以包括敏感信息,诸如银行记录、医疗记录、贸易秘密信息或者通过一种或多种安全措施保证保护的任何其它信息。
在一些实施方式中,客户端计算机208上可以包括客户端访问代理180a。例如,客户端访问代理180a可以通过将用户计算机208上的文件的哈希索引提供给处理节点110以进行恶意软件和/或病毒检测来便利安全处理。访问代理180a也可以便利其它安全操作。
在一些实施方式中,服务器访问代理180b例如可以通过为密码分配标志并且仅将所述标志发送给处理节点110从而使得企业的网络边缘之外的密码传输最小化而利用处理节点110来便利认证功能。服务器访问代理180b也可以便利其它功能和处理。
计算机设备220和移动设备230还可以存储保证安全措施的信息,诸如个人银行记录、医疗信息以及登录信息,例如针对企业200的服务器206的登录信息,或者针对其它一些安全数据提供者服务器的登录信息。
§2.1示例性处理节点体系
在一些实施方式中,处理节点110处于外部系统200、220和230的网络边缘之外。每个处理节点110存储从职权节点120所接收的安全策略113,并且对由外部系统200、220和230所请求或者从其发送的内容项目进行监视。在一些实施方式中,每个处理节点110还可以存储检测处理过滤器112和/或威胁数据114以便利是否应当为了威胁检测而处理内容项目的决定。
如果检测处理过滤器112和/或威胁数据114存储在处理节点110,则处理节点管理器118可以依据安全策略数据113以及检测处理过滤器112和/或威胁数据114来管理每个内容项目,从而在用于每个外部系统200、220和230的网络边缘之外实现与处理节点的数据通信中所述多个外部系统的安全策略。例如,根据来自监视的分类结果,内容项目可以被允许、排除或威胁检测。通常,已经被分类为“未感染”或没有造成威胁的内容项目被允许,而被分类为“破坏性”的那些内容项目则可以被排除。那些具有未知状态的内容项目,例如还没有被系统100所处理的内容项目,可以被进行威胁检测以根据威胁类型对该内容项目进行分类。
处理节点110可以包括数据检查引擎116。每个数据检查引擎116可以被配置为执行威胁检测处理以根据相应威胁的威胁类型对内容项目进行分类。例如,数据检查引擎可以包括能够将内容项目分类为感染或未感染的病毒扫描器引擎116A,能够将URL地址分类为允许或限制的网络URL过滤器116B,能够将内容项目识别为安全或泄露的数据泄露保护(DLP)引擎116C,以及能够将内容项目分类为通过或失败的动态内容类别(DCC)引擎116D。
数据检查引擎116A-116D的列举仅是说明性的;也可以使用许多其它数据检查引擎116,能够作为数据检查引擎的多个实例,例如实现不同数据泄露算法的不同类型的数据泄露引擎。可以对所要进行威胁检测的内容项目的类型预测任意的特定数据检查引擎116的调用。例如,来自企业200的URL请求可以使得处理节点管理器118仅调用URL过滤器引擎116B。
由于被处理节点110所处理的数据量可以相当大,所以检测处理过滤器112可以被用作信息查找过程的第一阶段。例如,检测处理过滤器112可以被用作寻找威胁数据114的前端。内容项目可以通过在从信息项目得出的信息密钥上进行运算的哈希函数而被映射到检测处理过滤器112的索引值。所述信息密钥被哈希以生成索引值(即,比特位置)。例如,防护表(guardtable)中比特位置的0值可以指示没有信息,而该比特位置的1可以指示存在信息。替选地,1可以被用来表示不存在,而0表示存在。
每个内容项目可以具有被哈希的信息密钥。例如,处理节点管理器118可以将URL请求的URL地址识别为信息密钥并且对所述URL地址进行哈希;或者可以将可执行文件的文件名和文件大小识别为信息密钥并且对所述可执行文件的文件名和文件大小进行哈希。对信息密钥进行哈希以生成索引并且对检测处理过滤器112中索引处的比特值进行检查通常需要比实际搜索威胁数据114更少的处理时间。使用检测处理过滤器112可以提高数据库查询和/或任何一般信息查询的失败查询(即,响应对不存在信息的请求)性能。由于数据结构通常被优化以对该结构中存在的信息进行访问,所以失败查询性能对于处理对非常少出现的项目的信息搜索所需的时间有较大影响,所述非常少出现的项目例如病毒扫描日志或缓存中存在的文件信息,其中许多或大部分在网络中传输的文件还没有被扫描或缓存。然而,使用检测处理过滤器112,最坏情况下的额外成本仅是1的量级,因此将其用于大多数失败查询节省了mlogm的量级,其中m是威胁数据114中存在的信息记录的数目。
检测处理过滤器112因此能够提高其中对信息请求的回答通常为否定的查询的性能。例如,这样的实例可以包括给定文件是否已经进行了病毒扫描,给定URL处的内容是否已经针对不恰当(例如,色情)内容进行了扫描,给定指纹是否与任意存储文档集合相匹配,以及校验和是否对应于任意存储文档集合。因此,如果检测处理过滤器112指示还没有对内容项目进行处理,则避免了对威胁数据114中的最差情况的空查找操作,并且可以立即实施威胁检测。检测处理过滤器112由此对捕捉肯定信息的威胁数据进行了补充。
在一些实施方式中,检测处理过滤器112可以是通过单个哈希函数实现的Bloom(布隆)过滤器。Bloom过滤器可以是稀疏表,即包括许多0和少数1的表,并且选择用来最小化或消除错误否定的哈希函数,错误否定例如是信息密钥被哈希到比特位置并且该比特位置在所请求信息实际在时指示其不存在的实例。
在一些实施方式中,处理节点110可以利用分层的威胁检测体系111。所述分层的威胁检测体系111可以利用提取每层之间的威胁数据的多层反馈方案。图3中示出并描述了一种示例性分层的威胁检测体系111。然而,也可以使用其它威胁检测体系,并且这样的体系可以不是分层的。
§2.2示例性职权节点体系
通常,职权节点120包括数据存储,其存储用于外部系统200、220和230中每一个的主安全策略数据123。职权节点管理器128可以被用来管理所述主安全策略数据123,例如从每个外部系统的用户接收定义不同安全策略的输入,并且能够将所述主安全策略数据123分发到每个处理节点110。处理节点110接着存储所述安全策略数据113的本地副本。
职权节点120还可以存储主检测处理过滤器122。检测处理过滤器122可以包括指示内容项目是否已经被任意处理节点110中的一个或多个数据检查引擎116所处理。职权节点管理器128可以被用来管理主检测处理过滤器122,例如在处理节点110已经对内容项目进行处理时从处理节点110接收更新并且对所述主检测处理过滤器122进行更新。在一些实施方式中,主检测处理过滤器122可以被分布到处理节点110,所述处理节点110接着存储检测处理过滤器122的本地副本。
在一些实施方式中,检测处理过滤器122可以是防护表。例如,处理节点110可以使用本地检测处理过滤器122中的信息以快速确定存在和/或不存在信息,例如是否已经针对恶意软件检查了特定URL;是否已经对特定可执行程序进行了病毒扫描,等等。
职权节点120还可以存储主威胁数据124。主威胁数据124可以通过威胁类型对内容项目进行分类,例如已知病毒的列表、已知恶意软件站点的列表、垃圾电子邮件域等。职权节点管理器128可以被用来管理主威胁数据124,例如在处理节点110已经对内容项目进行了处理时从所述处理节点110接收更新,并且对具有任意相关结果的主威胁数据124进行更新。在一些实施方式中,主威胁数据124可以被分发到处理节点110,所述处理节点110接着存储威胁数据114的本地副本。
在一些实施方式中,职权节点120还可以对每个处理节点110的健康进行监视,例如每个处理节点110中的资源可用性、链路故障的检测等。基于所观察的每个处理节点110的健康,职权节点120可以重新定向处理节点110之间的业务和/或平衡处理节点110之间的业务。也可以由职权节点110来便利其它补救动作和处理。
§2.3示例性处理节点和职权节点通信
处理节点110和职权节点120可以根据一个或多个推和拉处理进行配置以根据安全策略数据113和/或123、检测处理过滤器112和/或122以及威胁数据114和/或124对内容项目进行管理。
§2.3.1威胁数据推
在威胁数据推实施方式中,每个处理节点110存储策略数据113和威胁数据114。处理节点管理器118确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行分类。如果内容项目被确定为通过威胁数据114进行了分类,则处理节点管理器118能够根据内容项目的安全分类以及外部系统的安全策略管理内容项目。
然而,如果内容项目被确定为没有通过威胁数据114进行分类,则处理节点管理器118能够使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成威胁数据更新,其包括来自威胁检测处理的指示内容项目的威胁类型的数据,并且将威胁数据更新传送到职权节点120。
响应于接收所述威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新来更新职权节点数据存储中所存储的主威胁数据124。在一些实施方式中,职权节点管理器128能够自动将所更新的威胁数据传送到其它处理节点110。因此,在遇到新威胁时作为新威胁的威胁数据被自动分发到每个处理节点110。在从职权节点120接收到新的威胁数据时,每个处理节点管理器118能够在本地存储的威胁数据114中存储所更新的威胁数据。
§2.3.2威胁数据拉和推
在威胁数据的拉和推实施方式中,每个处理节点110存储策略数据113和威胁数据114。处理节点管理器118确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。如果内容项目被确定通过威胁数据114进行了分类,则处理节点管理器118能够根据内容项目的安全分类以及外部系统的安全策略对内容项目进行管理。
然而,如果内容项目被确定没有通过威胁数据进行分类,则处理节点管理器118能够向职权节点120请求内容项目的响应威胁数据。由于处理内容项目会消耗宝贵的资源和时间,所以在一些实施方式中,处理节点110能够在交付这样的处理资源之前首先利用职权节点120检查威胁数据114。
职权节点管理器128能够从处理节点110接收响应威胁数据请求,并且可以确定所述响应威胁数据是否存储在职权节点数据存储中。如果响应威胁数据被存储在主威胁数据124中,则职权节点管理器128向处理节点110提供包括所述响应威胁数据的回复,从而处理节点管理器118能够依据安全策略数据112和内容项目的类型对内容项目进行管理。
相反,如果职权节点管理器128确定响应威胁数据没有存储在主威胁数据124中,则职权节点管理器128能够向处理节点110提供不包括响应威胁数据的回复。作为响应,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。职权节点管理器128然后能够更新主威胁数据124。此后,可以利用响应威胁数据容易对来自其它处理节点110的与对内容项目的响应威胁数据相关的任意未来请求进行服务。
§2.3.3检测处理过滤器和威胁数据推
在检测处理过滤器和威胁数据推实施方式中,每个处理节点110存储检测处理过滤器112、策略数据113和威胁数据114。处理节点管理器118访问检测处理过滤器112以确定内容项目是否已经被处理。
如果处理节点管理器118确定内容项目已经被处理,则其能够确定内容项目是否通过威胁数据114进行了分类。由于检测处理过滤器112具有错误肯定的可能性,所以可以实施威胁数据114中的查找以确保没有出现错误肯定。然而,检测处理过滤器112的初始检查能够排除许多对威胁数据114的空查询,这继而节省了系统资源并提高了效率。
如果内容项目通过威胁数据114进行了分类,则处理节点管理器118可以依据安全策略数据113和内容项目的分类对内容项目进行管理。
相反,如果处理节点管理器118确定内容项目没有通过威胁数据114进行分类,或者如果处理节点管理器118最初通过检测处理过滤器112确定内容项目没有通过威胁数据114进行分类,则处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。
职权节点管理器128继而能够根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124和主检测处理过滤器122进行更新。在一些实施方式中,职权节点管理器128能够自动将所更新的威胁数据和检测处理过滤器传送到其它处理节点110。因此,在遇到新威胁时作为新威胁的威胁数据和检测处理过滤器被自动分发到每个处理节点110,并且每个处理节点110能够更新其检测处理过滤器112和威胁数据114的本地副本。
§2.3.4检测处理过滤器以及威胁数据拉和推
在检测处理过滤器以及威胁数据拉和推实施方式中,每个处理节点110存储检测处理过滤器112、策略数据113和威胁数据114。处理节点管理器118访问检测处理过滤器112以确定内容项目是否已经被处理。
如果处理节点管理器118确定内容项目已经被处理,则其能够确定内容项目是否通过威胁数据114进行了分类。由于检测处理过滤器112具有错误肯定的可能性,所以能够实现威胁数据114中的查找以确保没有出现错误肯定。然而,检测处理过滤器112的初始检查能够排除许多对威胁数据114的空查询,这继而节省了系统资源并提高了效率。
如果处理节点管理器118确定内容项目还没有被处理,其能够向职权节点120请求内容项目的响应威胁数据。由于处理内容项目会消耗宝贵的资源和时间,所以在一些实施方式中,处理节点110能够在交付这样的处理资源之前首先利用职权节点120对威胁数据114进行检查。
职权节点管理器128可以从处理节点110接收响应威胁数据请求,并且能够确定所述响应威胁数据是否存储在职权节点数据存储中。如果响应威胁数据存储在主威胁数据124中,则职权节点管理器128向处理节点110提供包括所述响应威胁数据的回复,从而处理节点管理器118能够依据安全策略数据112和内容项目的类型对内容项目进行管理,并且进一步对本地检测处理过滤器112进行更新。
相反,如果职权节点管理器128确定响应威胁数据没有存储在主威胁数据124中,则职权节点管理器128能够向处理节点110提供不包括响应威胁数据的回复。作为响应,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。职权节点管理器128接着可以对主威胁数据124进行更新。此后,可以利用响应威胁数据容易地对来自其它处理节点110的与对内容项目的响应威胁数据相关的任意未来请求进行服务。
以上所提供的各种推和拉数据交换处理是示例性处理,其威胁数据和/或检测处理过滤器能够在图1和2的系统100中进行更新。然而,也可以使用其它更新处理。
可以通过指令来实现所述数据检查引擎116、处理节点管理器118、职权节点管理器128、用户接口管理器132、日志节点管理器148和职权代理180,所述指令在执行时使得一个或多个处理设备执行以上所描述的处理和功能。例如,这样的指令可以包括诸如脚本指令的解释指令,例如JavaScript或ECMAScript指令,或者可执行代码或存储在计算机可读介质中的其它指令。也可以使用其它处理体系,例如专门设计的硬件和软件的组合。
§3.0分层的威胁检测
图3是多层威胁检测体系的框图。在一些实施方式中,每个处理节点110可以根据多层威胁检测体系对请求和响应300进行分析,所述多层威胁检测体系包括一个或多个数据检查层302、304、306和308,包括一个或多个并行操作的检测处理。示例性层可以包括用户层302、网络层304、对象层306和内容层308。也可以使用其它层和体系。
用户层302可以包括被配置为执行用户层处理的一个或多个用户层检查引擎302A、302B和302C。示例性用户层处理包括登录认证、会话时间输出、标识验证等。
网络层304可以包括被配置为执行网络层处理的一个或多个用户层检查引擎304A、304B和304C。示例性网络层处理包括网际协议地址检查、允许或不允许与网际协议地址相关联的内容项目,等等。
对象层306可以包括被配置为执行对象层处理的一个或多个对象层检查引擎306A、306B和306C。示例性对象层处理包括识别与内容项目相关联的超文本传输协议报头以及基于所识别的超文本传输协议报头允许或不允许内容项目,元数据过滤,等等。
内容层308可以包括被配置为执行内容层处理的一个或多个内容层检查引擎308A、308B和308C。示例性内容层处理包括对内容项目进行病毒扫描以及基于所述病毒扫描允许或不允许内容项目;基于文件类型拒绝文件等。
在一些实施方式中,每个层302、304、306和308能够向上层提供威胁类型反馈。在一个实施方式中,每个层具有决策系统集合,其将发现反馈回上层以便提取威胁发现。例如,在病毒扫描之后,内容层308可以向对象层306提供结果。对象层306接着针对内容的对象标识(例如具有内容校验和的URL)对发现进行索引,并且记录所述发现以便未来使用。此后,对象层306处的校验能够将内容识别为被感染,并且无需开始内容层308中的隔离处理。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。
作为另一个示例,内容层308可以将来自特定地址的内容检测为色情内容。对象层306可以将特定页面记录为色情页面并且将该信息提供给网络参数层304。在来自目的地(例如,网际协议地址或域名)的足够数量的页面被识别为色情的之后,网络参数层304可以接着使用网际协议地址或域名将特定目的地索引为色情的。此后,网络参数层304处的校验可以将页面或内容识别为令人反感的,并且可以排除层306和308处的隔离处理。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。
在最高层,用户对安全策略的继续违反会导致锁死或限制从用户帐户对资源的访问。例如,如果网络层304反馈回识别与用户帐户相关联的频繁违反安全的检测(例如,试图访问具有恶意软件的站点、试图访问色情站点,以及请求感染文件)的数据,则用户帐户自身可以被锁定(lockdown)或剥夺访问特权(例如,用户可以仅被允许企业内部网内的访问,并且可以排除企业防火墙之外的所有请求)。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。
在一些实施方式中,内容层308处理可以在处理节点110的数据检查引擎116中实施,并且用户层302、网络层304和对象层306的处理可以在处理节点管理器118中实施。也可以使用其它层分布。
以上所描述的示例性实施方式在外部系统的网络边缘之外执行外部系统的安全功能,节省了外部系统中的网络资源。所有事务都被日志节点管理器148作为日志数据142记入一个或多个日志节点140中。因此,可以在外部系统的网络边缘之外收集和/或存储安全日志数据,在外部系统内产生非常少的与安全日志相关的业务。然而,所述安全日志数据可以由用户接口前端130容易地进行访问。例如,用户接口管理器132可以被用来生成日志报告,执行安全方案、监视网络业务等。
§4.0用于提供分布式安全服务开通的示例性过程
图4是用于提供分布式安全服务开通的示例性过程400的流程图。例如,过程400可以实现在图1和2中的系统100中实施,或者实现在具有分布式体系的其它安全系统中。图4中所示的阶段均为能够根据需要独立和并发地执行的过程。
阶段402从多个处理节点向多个外部系统提供数据通信。例如,处理节点110可以被用来建立与外部系统200、220和230的数据通信。
阶段404存储从职权节点所接收的安全策略。例如,处理节点110可以存储从职权节点120所接收的安全策略数据113。职权节点120可以响应于访问主安全策略数据123而提供安全策略数据113。
阶段406对由外部系统所请求或从其发送的内容项目进行监视。例如,处理节点110可以监视发送到外部系统200、220和230以及由外部系统200、220和230所请求的文件、URL请求和电子邮件通信。系统100可以根据外部系统的大小和数据要求以各种方式对数据通信进行监视。例如,企业200可以具有用于在互联网上通信的多个路由器,并且所述路由器可以被配置为通过(在业务通信时间方面)最近的处理节点110建立通信。移动设备230可以被配置为通过任意可用的无线访问设备与最近的处理节点110进行通信,所述无线访问设备诸如访问点或蜂窝网关。诸如消费者的个人计算机之类的单个计算机设备220可以使其浏览器和电子邮件程序被配置为访问最近的代理节点110,所述最近的代理节点110继而作为计算机设备220的代理。替选地,互联网提供商可以使其所有消费者业务通过处理节点110进行处理。
阶段408对内容项目进行威胁检测以根据威胁类型对内容项目进行分类。例如,处理节点110的数据检查引擎116可以执行诸如病毒扫描和URL恶意软件检测之类的威胁检测处理以根据病毒和恶意软件类型对内容项目进行分类。
阶段410依据安全策略和内容项目的类型对多个外部系统实施安全策略。例如,处理节点110可以根据内容项目上的威胁类型以及每个外部系统200、220和230的安全策略对内容项目进行管理。
阶段412基于内容项目的监视以及内容项目的威胁检测分发对威胁数据和/或处理过滤器数据的更新。例如,处理节点110和/或职权节点120可以基于内容项目的监视以及内容项目的威胁检测分发对威胁数据和/或处理过滤器数据的更新。所述更新可以通过以上所描述的推/拉方案中的任何一个进行分发,或者根据以下图5-8的任一流程图进行分发。
图5是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程500可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。
阶段502访问威胁数据。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的威胁数据114。
阶段504确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定外部系统所请求或传送的内容项目是否通过威胁数据114进行了分类。
如果内容项目被确定为通过威胁数据114进行了分类,则阶段510依据安全策略数据113和内容项目的类型对所述内容项目进行管理。例如,处理节点管理器118可以根据内容项目的安全类型以及外部系统的安全策略对内容项目进行管理。
然而,如果内容项目被确定为没有通过威胁数据114进行分类,则阶段506根据威胁类型对内容项目进行分类。例如,处理节点管理器118能够使得数据检查引擎116中的一个或多个执行威胁检测处理过程以根据威胁类型对内容项目进行分类。
阶段508接着生成包括来自威胁检测处理过程的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。
该过程接着执行如以上所描述的阶段510。
响应于阶段508的执行,阶段550根据从处理节点所接收的威胁数据更新对威胁数据进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124进行更新。
阶段552将所更新的威胁数据传送到其它处理节点。例如,职权节点管理器128可以自动将所更新的威胁数据传送到其它处理节点110。
图6是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程600可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。
阶段602访问威胁数据。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的威胁数据114。
阶段604确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。
如果阶段604确定内容项目通过威胁数据114进行了分类,则阶段614依据安全策略数据113和内容项目的类型对所述内容项目进行管理。例如,处理节点管理器118可以根据内容项目的安全类型以及外部系统的安全策略对内容项目进行管理。
如果阶段604确定内容项目没有通过威胁数据114进行分类,则节点606向职权节点请求响应威胁数据。例如,处理节点管理器118能够向职权节点120请求关于内容项目的响应威胁数据。
阶段608确定响应于请求而从职权节点接收的回复是否指示内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118能够确定从职权节点120所接收的回复是否包括响应威胁数据。如果处理节点管理器118确定从职权节点120所接收的回复包括响应威胁数据,则可以执行如以上所描述的阶段614。
相反,如果阶段608确定从职权节点所接收的回复不包括响应威胁数据,则阶段610根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。
阶段612接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。
该过程接着执行如以上所描述的阶段614。
响应于阶段606的执行,阶段650访问威胁数据。例如,可以由职权节点管理器128访问职权节点处的主威胁数据124。
阶段652确定内容项目是否通过所访问的威胁数据进行了分类。例如,职权节点管理器可以确定内容项目是否通过主威胁数据124进行了分类。
如果阶段652确定内容项目通过所访问的威胁数据进行了分类,则阶段654向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送包括响应威胁数据的回复,之后执行阶段608。
相反,如果阶段652确定内容项目没有通过所访问的威胁数据进行分类,则阶段656向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送不包括响应威胁数据的回复,之后执行阶段608。
阶段658接收响应于阶段612的执行而传送的威胁数据更新,并且根据所接收的威胁数据更新对威胁数据进行更新。例如,职权节点管理器128接着可以基于从处理节点管理器118所接收的威胁数据更新对主威胁数据124进行更新。
图7是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程700可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。
阶段702访问检测处理过滤器。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的检测处理过滤器112。
阶段704确定之前是否已经对内容项目进行了处理。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目之前是否已经由处理节点基于检测处理过滤器112的输出进行了处理。
如果阶段704确定之前已经对内容项目进行了处理,则阶段706访问威胁数据以确定内容项目的类型,并且阶段708确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以访问威胁数据114,并且确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。
如果内容项目被确定为通过威胁数据进行了分类,则阶段710依据安全策略数据和内容项目的类型对内容项目进行管理。例如,处理节点管理器118能够根据内容项目的安全类型以及外部系统的安全策略113对内容项目进行管理。
然而,如果内容项目被确定为没有通过威胁数据114进行分类,则阶段712根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。
阶段714接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。
该过程接着执行如以上所描述的阶段710。
响应于阶段714的执行,阶段750根据从处理节点所接收的威胁数据更新对威胁数据进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124进行更新。
而且,响应于阶段714的执行,阶段752根据从处理节点所接收的威胁数据更新对检测处理过滤器进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主检测处理过滤器122进行更新。
阶段754将所更新的威胁数据传送到其它处理节点。例如,职权节点管理器128可以自动将所更新的威胁数据和检测处理过滤器传送到其它处理节点110。
图8是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程800可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。
阶段802访问检测处理过滤器。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的检测处理过滤器112。
阶段804确定之前是否已经对内容项目进行了处理。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目之前是否已经由处理节点基于检测处理过滤器112的输出进行了处理。
如果阶段804确定之前已经对内容项目进行了处理,则阶段806访问威胁数据以确定内容项目的类型,并且阶段808确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以访问威胁数据114,并且确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。
如果内容项目被确定为通过威胁数据进行了分类,则阶段810依据安全策略数据和内容项目的类型对内容项目进行管理。例如,处理节点管理器118能够根据内容项目的安全类型以及外部系统的安全策略113对内容项目进行管理。
然而,如果阶段804最初确定内容项目之前没有被处理过,则阶段806向职权节点请求响应威胁数据。例如,处理节点管理器118可以向职权节点120请求关于内容项目的响应威胁数据。
该过程接着返回阶段808,其接着确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定从职权节点120所接收的回复是否包括响应威胁数据。如果处理节点管理器118确定从职权节点120所接收的回复包括响应威胁数据,则可以执行如以上所描述的阶段810。此外,也可以对存储在处理节点110的检测处理过滤器112进行更新以指示内容项目已经被处理,并且响应威胁数据可以存储在处理节点处所存储的威胁数据114中。
相反,如果阶段808确定回复不包括响应威胁数据,则阶段812根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。
阶段814接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。
此后,执行阶段810。
响应于阶段816的执行,阶段850访问威胁数据。例如,可以由职权节点管理器128访问职权节点处的主威胁数据124。
阶段852确定内容项目是否通过所访问的威胁数据进行了分类。例如,职权节点管理器可以确定内容项目是否通过主威胁数据124进行了分类。
如果阶段852确定通过所访问的威胁数据对内容项目进行了分类,则阶段854向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送包括响应威胁数据的回复,之后执行阶段808。
相反,如果阶段852确定没有通过所访问的威胁数据对内容项目进行分类,则阶段856向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送不包括响应威胁数据的回复,之后执行阶段808。
阶段858接收响应于阶段814的执行而传送的威胁数据更新,并且根据所接收的威胁数据更新对威胁数据进行更新。例如,职权节点管理器128接着可以基于从处理节点管理器118所接收的威胁数据更新对主威胁数据124进行更新。
图4-8的各种数据交换过程是示例性过程,其威胁数据和/或检测处理过滤器可以在图1和2的系统100中进行更新。然而,也可以使用其它更新过程。
§5.0安全消息处理
如上所述,图4-图8中的各种数据交换可用于在处理节点110和职权节点120之间分发安全消息,例如对威胁数据、防护表数据、更新通知的请求等等。然而,根据在处理节点110或者职权节点120处的特定情况,等待请求和/或发送对这样的请求的响应可以不能实现性能增强。此外,在一些情况下,等待请求和/或发送对这样的请求的响应实际上可能使整个系统性能降级。也就是说,发送安全消息和/或对安全消息响应的值可能随时间变化。
图9是描述在时间上的安全数据信息值的时序图900。示例性的安全数据可包括安全请求、对安全请求的回复、策略数据更新、威胁数据更新、过滤器数据等等。图9中所描述的值曲线仅仅是示例性的,并且也可以使用其他的值函数,例如二进制值函数、步进值函数等等。
从时刻T0到T1的安全数据的值是负数;在时间T1和T2之间增加到最大值;在T2和T3之间保持最大值;在T3和T4之间值降低;并且在超过T4的时间再次为负。例如,这些值是根据系统约束和参数确定的。例如,处理节点110可接收对文件下载的请求,并且可能不具有与请求的文件有关的信息。因此,处理节点110以对文件进行分类的威胁数据(例如,指示文件是否被感染的威胁数据等等)的请求的形式生成安全数据。因为在可以开始对文件进行处理之前,存在一滞后时间,例如,与请求的文件有关的分组接收估计在时间T1开始,所以处理节点110可确定在时间T1之前,没有价值发起请求,并且,可以首先处理响应于更立即的需求的对安全数据的其他请求。
此后,在时间T1和T4之间,处理节点110可基于相应的值,将请求针对其他未决请求排列优先顺序。在时刻T4,处理节点110可确定现在在一个或多个系统资源(例如,时间、带宽等等)方面扫描处理节点处的文件成本更有效而不是发出请求或继续等待对发出的请求的响应。因此时间T4表示下面的时间:超过该时间,信息变得没有价值和/或可能为负价值。时间T4表示截止时间,超过该时间,信息是负价值,例如因为其不得不占用存储器缓存中的时隙并已消耗带宽。
在一个实施方式中,安全请求是形式为<对象id,[t1,t2,t3,t4]>的元组,其中,时间[t1,t2,t3,t4]对应于图9中描述的时间。在一些实施方式中,对安全请求的回复可以是安全数据,诸如威胁数据、过滤器数据或策略数据。例如,在一些实施方式中,安全数据可以是形式为<对象id,安全类,内容类,存活时间>的安全摘要元组,其由数据检查引擎116产生并指定对象的安全类型(例如,文件)。
威胁数据的另一个例子可包括无效安全摘要。无效安全摘要是形式为<对象id,无效,存活时间>的元组,其为策略更新,例如,用户的删除、受信源的删除等等。可响应于安全请求发送威胁数据。与策略数据和过滤器数据相关的安全数据也可以以元组的形式。
如果安全数据的预期的存活时间小于t1,则发送安全数据的利益是负的。相反,如果安全数据不能在时间t4之前接收,则该利益再次为负的。在这两种情况下,可执行更低成本的替选安全操作(例如,扫描位于处理节点110本地的文件;如果职权节点确定该回复不能由进行请求的处理节点110在时间约束内接收,则忽略职权节点120处的请求;等等)。通常,如果安全数据超过其预期的存活时间,或者超过请求者的截止时间,则该安全数据是陈旧的。
序列[t1,t2,t3,t4]以及存活时间是可用于将对安全消息处理和安全操作的处理排列优先顺序的一个或多个时间约束的示例。可以使用更多或更少的时间约束。该时间约束是基于分布式系统的接近实时的属性生成的,例如,未决请求的数量、往返时间、节点健康等等。
§5.1处理中的示例性安全消息管理以及职权节点
图10是图1的系统的另一框图,其中,更详细地图示了图1的组件。图10的框图与图2的框图相似,但是还包括示例性处理节点请求存储1002、处理节点110中的处理节点回复/推存储1004、以及职权节点请求存储1022和职权节点1022中的职权节点回复/推存储1024。示例性的处理节点请求存储1002、处理节点回复/推存储1004、职权节点请求存储1022和职权节点回复/推存储1024可包括队列、堆栈、以及其他数据存储和处理方案。
在每个处理节点110中,处理节点管理器118管理处理节点请求存储1002和处理节点回复/推存储1004,用于以最小化系统成本的方式分发安全信息或排除安全信息的分发,诸如安全请求、更新、回复等等。同样,职权节点管理器128管理职权节点请求存储1022和职权节点回复/推存储1024,用于以最小化系统成本的方式分发安全信息或者排除安全信息的分发。在一个实施方式中,安全数据和请求可以通过附加到在处理节点110和职权节点120之间交换的规则调度的系统心跳分组来以规则的间隔发送。安全摘要和请求在这些分组上运输,相应的节点管理器118或者128确定这样的传输还具有相关联的有益价值。
在一些实施方式中,职权节点120可以根据时间约束将对安全数据的请求排列优先顺序。例如,职权节点管理器128可根据请求到达时间和截止时间将对安全数据的请求排列优先顺序(例如,基于到达时间和截止时间之间的差别处理请求,其中首先处理具有最小差别的那些请求,假定可以在截止时间之前履行该请求);或者根据特定处理节点的未解决(outstanding)消息的数量(例如,将更高的优先级分配给来自与其他处理节点相比经历巨大需求的处理节点的请求)。
§5.2示例性时间约束因素
在图10的系统中,时间约束是通过各种因素确定的。例如,当在处理节点110-1处接收了请求(例如,到服务器的HTTPGet)时,可以向职权节点120请求相应的安全数据,例如威胁数据、策略数据和/或过滤器数据。该请求指示处理节点110期待来自职权节点120的回复的截止时间。例如,该截止时间可以是根据估计的在处理节点和服务器之间的往返时间以及可选的一个或多个其他因素确定的,所述其他因素诸如:处理节点110本地确定这样的类型所需的时间(例如,通过响应于HTTPGet而命令检测恶意软件)。如果职权节点管理器128确定其可发送回复使得该回复由处理节点110-1在时间约束内接收,则职权节点管理器128将发送该响应。
当内容项目的安全方面是在一时间段内改变时,会发生另一示例性时间约束。例如,在网站上的改变站点的安全类型的信息的调度发布可以具有要被提供给处理节点的相关联的更新。因此,更新的存活时间可被设置为在时间上接近发生的但是要在调度更新的时间之前的时间,例如在调度更新之前的10秒。
另一示例性时间约束可以根据数据检查引擎116的队列大小。例如,对新的内容项目(例如,消息)的等待时间可由处理节点管理器118进行估计,所述对新的内容项目的等待时间测量内容项目在被进行威胁检测之前在处理节点110处要等多久。如果该内容的安全属性可以在该估计的时间之前从职权节点110处提供,则可以避免由数据检查引擎116处理该内容项目。因此,每个等待内容项目可以与截止时间约束相关联,并且,如果截止时间在职权节点120的节点往返时间内可完成,则可将对安全数据的请求发送到职权节点120和/或从职权节点120发送到处理节点110。例如,处理节点110可确定往返时间是120毫秒,并且给定队列长度,由数据检查引擎116检查的内容,在至少300毫秒是不能完成的。因此,通过从处理节点110发送对安全数据的请求,潜在地获得了180毫秒的成本节省。
然而,在接收到请求之后,职权节点可确定安全数据不会在300毫秒的截止时间期满之前到达处理节点110。因此,职权节点120可忽略该请求。相反地,在接收到请求之后,职权节点可确定安全数据将在300毫秒的截止时间期满之前到达处理节点110。因此,职权节点120可发送对该请求的回复。
另一示例性时间约束是基于处理节点110通信心跳消息。
另一示例性时间约束是基于策略数据更新。例如,策略无效消息具有实时约束。一种类型的无效消息可指定何时从企业中移除一用户,例如当一用户离开公司时。由用户持有的任何证明必须无效。
另一示例性时间约束基于在一个地理区域中检测到的攻击向量的特定模式的传播。例如,攻击向量可估计发作率,并且相应的安全消息可以具有时间约束截止时间T4,截止时间T4是与发作相关的消息不再是正价值的时间的估计。
另一示例性时间约束基于漫游用户在不同的处理节点110的登录。当用户移动到不同的位置,因此在不同的处理节点110时,例如,用户在工作日飞到另一个城市,登录证明必须在截止时间之前可获得,或者处理节点110将采取替选的安全操作(例如,通过直接与企业200进行通信来检验登录证明)。
另一示例性时间约束涉及对与系统中具有相同证明的多个用户的检测有关的指示欺诈访问的安全消息的发送。
其他的时间约束可根据系统的实施方式来确定。
总的来说,给定一组具有变化的时间约束的请求、回复和/或更新,处理节点管理器118和职权节点管理器128计算最佳的传输时间和/或确定是否忽略这样的数据,以便最大化信息价值。每个消息的有价值的信息是时变的量,更小的价值对应于过早到达,例如没有最佳利用本地缓存和带宽,在最大时间约束之后为衰减的或者负的价值。
§6.0用于处理安全消息的示例性过程
图11是用于处理安全消息的示例性过程1100的流程图。例如,过程1100可以实现在图1、图2和图11的系统100中,或者实现在具有分布式体系的其他安全系统中。图11中所示的阶段是均能够根据需要独立和/或并发地执行的过程。
阶段1102生成安全请求。例如,处理节点管理器118可响应于接收到内容项目而生成安全请求。
阶段1104确定第一安全操作是否能够在一个或多个时间约束内执行。例如,处理节点管理器118能够确定:响应于请求接收安全数据的安全操作是否能够在截止时间T4之前接收。
如果阶段1104确定第一安全操作能够在一个或多个时间约束内执行,则阶段1106向职权节点传送安全请求。例如,处理节点管理器118可以向职权节点传送安全请求。
阶段1108确定第一安全操作是否已在一个或多个时间约束内执行。例如,处理节点管理器118可确定对安全请求的回复是否已在截止时间T4之前接收。
如果阶段1108确定第一安全操作已经在时间约束内执行,则在阶段1112实施相应的安全措施。例如,处理节点管理器118可以确定已经接收到安全数据,并且可以采取如由安全数据定义的相应的动作,诸如:如果威胁数据和策略数据定义不能由特定用户访问的内容项目,则不允许访问。
相反地,如果阶段1108确定第一安全操作没有在时间约束内执行,或者如果阶段1104确定第一安全操作不能在一个或多个时间约束内执行,则阶段1110执行第二安全操作。例如,处理节点管理器118通过使用数据检查引擎116来扫描内容项目。此后,过程1100进入阶段1112。
响应于阶段1106的执行,阶段1150接收安全请求。例如,职权节点管理器128可从处理节点110接收安全请求。
阶段1152确定第一安全操作是否能够在一个或多个时间约束内执行。例如,职权节点管理器128可确定恢复是否能够在时间T4之前由处理节点110接收。
如果阶段1152确定第一安全操作可以在一个或多个时间约束内执行,则阶段1154开始第一安全操作的执行。例如,职权节点管理器128可通过向处理节点110发送回复来开始第一安全操作的执行(在此之后,处理节点可确定第一安全操作是否在一个或多个时间约束内执行,例如回复是否在时间T4之前接收)。
相反地,如果阶段1152确定第一安全操作不能在一个或多个时间约束内执行,则不进行任何操作。例如,如果职权节点管理器128确定该回复不能在时间T4之前由处理节点110接收,则职权节点管理器128可忽略在阶段1150接收的请求。
图12是用于在处理节点处处理安全消息的另一示例性过程1200的流程图。例如,过程1200可以实现在图1、图2和图10的处理节点110中。过程1200图示了对由处理节点请求的内容项目并且在请求时其安全数据没有存储在处理节点中的安全数据处理。
阶段1202接收对内容项目的请求。例如,处理节点管理器118可接收对诸如来自服务器的文件或网页的内容项目的请求。
阶段1204将请求转发到内容项目服务器。例如,处理节点管理器118可将对内容项目的请求转发到托管该内容项目的服务器。
阶段1206确定在职权节点120中是否不存在内容项目数据。例如,处理节点管理器118可例如通过访问存储在处理节点110的检测处理过滤器数据112来确定该内容项目是否已经由系统分类。
如果阶段1206确定在职权节点120中并非不存在内容项目数据,则阶段1208向职权节点发送对安全数据的请求。该请求包括时间约束。例如,如果处理节点管理器118确定在职权节点120中并非不存在内容项目数据,则处理节点管理器118在存活时间T1发生之后利用截止时间约束T4向职权节点120发送对例如安全摘要的安全数据的请求。
相反地,如果阶段1206确定内容项目数据在职权节点120中不存在,则阶段1210在内容项目从内容项目服务器到达之后对内容项目进行分类。
然后,阶段1212确定内容项目数据是否在职权节点120中不存在。例如,处理节点管理器118可校验以确定职权节点120是否接收到与内容项目有关的更新,诸如如果内容项目在发作期间携带病毒,并已经由系统中的另一处理节点110检测到则可以发生。
如果阶段1212确定内容项目数据在职权节点120中不存在,则阶段1214向职权节点120发送例如安全摘要的安全数据,之后过程在阶段1216处结束。例如,处理节点管理器118可确定内容项目数据在职权节点120中不存在,并且因此发送由数据检查引擎116生成的安全摘要。
图13是用于在职权节点处处理安全消息的另一示例性过程1300的流程图。例如,过程1300可实现在图1、图2和图10的职权节点120中,并且过程1300图示了在职权节点处对安全数据请求的处理。
阶段1302接收对安全数据的请求。例如,职权节点管理器120可接收具有时间约束的对安全数据的请求,诸如响应于在处理节点110处图12中阶段1208的执行而发送的请求。
阶段1304确定响应于该请求的内容项目数据是否存储在职权节点中。例如,该职权节点管理器128可确定响应于请求的安全数据或检测处理过滤器数据是否存储在职权节点120中。
如果阶段1304确定没有响应于安全摘要的内容项目数据存储在职权节点中,则在节点1310忽略该请求。相反地,如果阶段1304确定响应于安全摘要的内容项目数据存储在职权节点中,则阶段1306确定安全数据是否能够在时间约束内被递送。例如,职权节点管理器128可确定安全摘要是否能够在截止时间T4之前接收。
如果阶段1306确定安全数据能够在时间约束内被递送,则阶段1308发送安全数据。例如,职权节点管理器128可确定响应安全数据可在截止时间T4之前被递送,并向处理节点110传送安全数据。
图14是用于在职权节点处处理安全消息的另一示例性过程的流程图。例如,过程1400可以实现在图1、图2和图10的职权节点120中,并且过程1400图示了在职权节点120处对接收的安全数据的处理。
阶段1402接收安全数据。例如,职权节点管理器128可接收数据检查安全摘要或者无效安全摘要。例如,职权节点管理器128可从处理节点110接收数据检查安全摘要或无效安全摘要。安全摘要可包括截止时间,例如截止时间T4
阶段1404确定安全数据是否是陈旧的。例如,职权节点管理器128可以确定安全摘要是否是在时间T4之后接收。
如果阶段1404确定安全数据是陈旧的,则过程在阶段1408结束。例如,如果职权节点管理器128确定安全摘要是陈旧的,则其可以忽略该安全摘要。
相反地,如果阶段1404确定安全数据不是陈旧的,则阶段1406可存储安全数据。例如,如果职权节点管理器128确定安全摘要不是陈旧的,则职权节点管理器128可将安全摘要存储在职权节点120中的数据存储中,例如根据需要存储对威胁数据、处理过滤器数据或者策略数据的更新。
本说明书中所描述的主题和功能操作的实施例可以以数字电路来实现,或者以计算机软件、固件或硬件来实现,包括本说明书中所公开的结构及其结构等同形式,或者以它们中一个或多个的组合来实现。本说明书中所描述的主题的实施例可以被实现为一个或多个计算机程序产品,即编码在有形程序载体上的计算机程序指令的一个或多个模块,以便由数据处理装置来执行,或者用于控制所述数据处理装置的操作。所述有形程序载体可以为传播信号或计算机可读介质。所述传播信号是人工生成的信号,例如机器生成的电、光、电磁信号,其被生成以对信息进行编码以便传输到适当的接收器装置供计算机执行。所述计算机可读介质可以是机器可读的存储设备、机器可读的存储基片、存储器设备、影响机器可读传播信号的物质成分,或者它们中一个或多个的组合。
计算机程序(也被称作程序、软件、软件应用、脚本或代码)可以以任意形式的编程语言进行编写,包括编译或解释语言,或者声明或过程语言,并且其可以以任意形式被部署,包括作为独立程序或者作为适于在计算环境中使用的模块、组件、子程序或其它单元。计算机程序不必对应于文件系统中的文件。程序可以存储在保存其它程序或数据的文件(例如,存储在标记语言文档中的一个或多个脚本)的一部分中,存储在专用于所讨论程序的单个文件中,或者存储在多个协同文件中(例如,存储一个或多个模块、子程序或代码部分的文件)。计算机程序可以被部署为在一个计算机上执行,或者在位于单个地点或跨多个地点分布并通过通信网络互联的多个计算机上执行。
此外,本专利文献中所描述的逻辑流程和结构块图也可以被用来实现相应的软件结构和算法及其等同形式,其中本专利文献描述了特定方法和/或支持步骤的相应动作以及支持所公开的结构化装置的相应功能。该说明书中所描述的过程和逻辑流程可以由一个或多个可编程处理器来执行,所述可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行功能。
适于执行计算机程序的处理器包括例如通用和专用微处理器,以及任意类型的数字计算机的任意一个或多个处理器。通常,处理器将从只读存储器或随机存取存储器或其二者接收指令和数据。计算机的实质性元件为用于执行指令的处理器和一个或多个用于存储指令和数据的存储器设备。通常,计算机还将包括一个或多个用于存储数据的大容量存储设备,或者操作地耦接到所述大容量存储设备以从其接收数据或向其传送数据或者这二者,所述大容量存储设备例如磁盘、磁光盘或光盘。然而,计算机无需具有这样的设备。
适于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,例如包括半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CDROM和DVDROM盘。处理器和存储器可以被补充以专用逻辑电路或者集成在所述专用逻辑电路中。
为了提供与用户的交互,本说明书中所描述主题的实施例可以在具有用于向用户显示信息的显示设备以及用户能够利用其向计算机提供输入的键盘和指示设备的计算机上实现,所述显示设备例如CRT(阴极射线管)或LCD(液晶显示)监视器,所述指示设备例如鼠标或轨迹球。也可以使用其它类型的设备来提供与用户的交互;例如,提供给用户的反馈可以为任意形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任意形式接收,包括声音、语音或触觉输入。
本说明书中所描述的主题的实施例可以在计算系统中实现,所述计算系统包括例如数据服务器的后端组件,或者其包括例如应用服务器的中间件组件,或者其包括例如客户端计算机的前端组件,所述客户端计算机具有用户能够通过其与本说明书中所描述主题的实施方式进行交互的图形用户界面或Web浏览器,或者所述计算系统包括这样的后端、中间件或前端组件的任意组合。所述系统的组件可以通过例如通信网络的任意形式或介质的数字数据通信进行互连。通信网络的示例包括局域网(“LAN”)和例如互联网的广域网(“WAN”)。
所述计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且典型地通过通信网络进行交互。客户端和服务器的关系源自在各自计算机上运行并且彼此具有客户端服务器关系的计算机程序。
虽然本说明书包含许多特定的实施方式细节,但是这些不应当被理解为对任意发明范围或所要求的范围的限制,而是要被理解为可能特定于特定发明的特定实施例的特征的描述。本说明书中在分立实施例的背景下描述的特定特征也可以在单个实施例中组合实施。相反,在单个实施例的背景下所描述的各种特征也可以在多个实施例中分立实施或者以任何适当子组合来实施。此外,虽然特征在以上可以被描述为以特定组合起作用并且甚至最初这样要求,但是来自所要求的组合的一个或多个特征在一些情况下可以脱离所述组合,并且所要求的组合可以针对子组合或子组合的变化形式。
类似地,虽然操作在图中以特定顺序进行描绘,但是这不应当被理解为要求这样的操作以所示的特定顺序或连续顺序执行,或者要执行所有所图示的操作才能实现所需的结果。在特定环境中,多任务或并行处理可能是有益的。此外,以上所描述实施例中各种系统组件的分离不应当被理解为在所有实施例中都要求这样的分离,并且其应当被理解为所描述的程序组件和系统一般能够在单个软件产品中整合在一起或者被封装到多个软件产品中。
已经对本说明书中所描述的主题的特定实施例进行了描述。其它实施例处于权利要求的范围之内。例如,权利要求中所引用的动作可以以不同顺序执行并且仍然实现所需结果。作为一个示例,附图中所描绘的过程不必要求所示的特定顺序或连续顺序才能实现所需的结果。在特定实施方式中,多任务和并行处理可能是有益的。
这里所书写的描述给出了本发明的最佳模式并且提供了示例来描述本发明并且使得本领域技术人员能够制造和使用本发明。这里所书写的描述并未将本发明限制为所给出的确切措辞形式。因此,虽然已经参考以上所给出的示例对本发明进行了详细描述,但是本领域技术人员可以对所述示例进行改变、修改和变化而并不脱离本发明的范围。

Claims (31)

1.一种网络安全系统,包括:
多个处理节点,所述多个处理节点经由网络通信地耦接到职权节点,所述多个处理节点和所述职权节点中的每个单独地连接到所述网络,其中所述多个处理节点和所述职权节点包括在所述网络安全系统中,所述网络安全系统是分布式安全系统,并且所述职权节点被配置成存储每个外部系统的策略数据并将策略数据分发到所述多个处理节点中的每一个,其中所述分布式安全系统位于企业外部并且管理所述企业的用户安全,每个处理节点包括处理节点管理器,所述处理节点管理器被配置为执行包括以下的操作:
识别与来自用户的请求相关联的内容项目,所述内容项目是文件、电子邮件或统一资源定位符中的任一个,其中所述用户的所有通信是通过基于在企业网关和所述多个处理节点中的一个节点之间建立了隧道的所述节点、基于来自互联网服务提供商节点的重定向的业务的透明代理、所述处理节点作为转发代理、或者由所述职权节点重新定向至所述多个处理节点中的所述处理节点,而被路由到因特网的;
生成对所述内容项目的安全请求,所述安全请求包括基于被用来对所述安全请求排列优先顺序的在时间上的安全数据信息值的一个或多个时间约束;
确定用于所述安全请求的第一安全操作是否能够在所述一个或多个时间约束内执行;以及
如果所述处理节点确定所述第一安全操作能够在所述一个或多个时间约束内执行,则向职权节点传送所述安全请求。
2.根据权利要求1所述的网络安全系统,其中,每个处理节点管理器进一步被配置为执行包括以下的操作:
如果所述处理节点管理器确定所述第一安全操作不能够在所述一个或多个时间约束内执行,则在所述处理节点对所述内容项目执行第二安全操作。
3.根据权利要求2所述的网络安全系统,其中,每个处理节点管理器进一步被配置为执行包括以下的操作:
确定在所述安全请求被传送之后所述第一安全操作是否没有在所述一个或多个时间约束内执行;以及
如果所述处理节点管理器确定所述第一安全操作没有在所述一个或多个时间约束内执行,则在所述处理节点对所述内容项目执行所述第二安全操作。
4.根据权利要求2所述的网络安全系统,其中:
所述一个或多个时间约束包括最大时间;以及
确定用于所述安全请求的所述第一安全操作是否能够在所述一个或多个时间约束内执行的操作包括:确定所述第一安全操作是否能够在所述最大时间的发生之前执行。
5.根据权利要求2所述的网络安全系统,其中:
所述一个或多个时间约束包括最小时间;以及
所述处理节点管理器进一步被配置为执行包括以下的操作:仅在所述最小时间的发生之后传送所述安全请求。
6.根据权利要求5所述的网络安全系统,其中:
所述一个或多个时间约束包括最大时间;以及
确定用于所述安全请求的所述第一安全操作是否能够在所述一个或多个时间约束内执行的操作包括:确定所述第一安全操作是否能够在所述最大时间的发生之前执行。
7.根据权利要求1所述的网络安全系统,其中,所述第一安全操作包括:在所述处理节点处接收对所述安全请求的回复,所述回复包括响应于所述安全请求的安全数据。
8.根据权利要求1所述的网络安全系统,其中,所述处理节点进一步包括:
多个数据检查引擎,每个数据检查引擎被配置为执行包括以下的操作:根据相应威胁的威胁类型对内容项目进行分类的威胁检测处理;
其中:
所述安全请求包括对响应威胁数据的请求;
所述第一安全操作包括:在所述处理节点处接收对响应威胁数据的所述安全请求的回复;以及
第二安全操作包括利用所述数据检测引擎对所述内容项目执行威胁检测处理,以便生成所述响应威胁数据。
9.根据权利要求1所述的网络安全系统,其中:
所述内容项目数据传输包括登录请求;
所述安全请求包括对登录证明的请求;
所述第一安全操作包括:接收对所述登录证明的所述请求的回复;以及
第二安全操作包括拒绝登录请求。
10.一种网络安全系统,包括:
职权节点,所述职权节点经由网络通信地耦接到处理节点,所述处理节点和所述职权节点中的每个单独地连接到所述网络,其中所述职权节点和所述处理节点包括在网络安全系统中,所述网络安全系统是分布式安全系统,其中所述分布式安全系统位于企业外部并且管理所述企业的用户安全,所述职权节点被配置成存储每个外部系统的策略数据并将策略数据分发到所述处理节点,所述职权节点包括职权节点管理器,所述职权节点管理器被配置为执行包括以下步骤的操作:
从所述处理节点接收对第一安全操作的请求,所述安全请求定义基于被用来对所述安全请求排列优先顺序的在时间上的安全数据信息值的一个或多个时间约束,其中所述用户的所有通信是通过基于在企业网关和所述多个处理节点中的一个节点之间建立了隧道的所述节点、基于来自互联网服务提供商节点的重定向的业务的透明代理、所述处理节点作为转发代理、或者由所述职权节点重新定向至所述多个处理节点中的所述处理节点,而被路由到因特网的;
确定所述第一安全操作是否能够在所述一个或多个时间约束内执行;以及
仅在所述职权节点管理器确定所述第一安全操作能够在所述一个或多个时间约束内执行时,才开始所述第一安全操作的执行。
11.根据权利要求10所述的网络安全系统,其中,开始所述第一安全操作的执行包括:生成响应于所述安全请求的回复,并将所述回复从所述职权节点传送到发出所述请求的处理节点。
12.根据权利要求11所述的网络安全系统,其中:
所述一个或多个时间约束包括最大时间;以及
确定所述第一安全操作是否能够在所述一个或多个时间约束内执行的操作包括:确定所述回复是否能够在所述处理节点处在所述最大时间的发生之前接收。
13.根据权利要求12所述的网络安全系统,其中,所述回复包括安全摘要。
14.根据权利要求10所述的网络安全系统,其中,发起所述第一安全操作的执行包括将安全数据存储在职权节点数据存储中。
15.根据权利要求14所述的网络安全系统,其中:
所述一个或多个时间约束包括最大时间;以及
确定用于第一安全实例的所述第一安全操作是否能够在所述一个或多个时间约束内执行的所述操作包括:确定是否能够在所述最大时间的发生之前存储所述安全数据。
16.根据权利要求14所述的网络安全系统,其中,所述安全数据包括威胁数据。
17.根据权利要求14所述的网络安全系统,其中,所述安全数据包括威胁数据更新。
18.根据权利要求14所述的网络安全系统,其中,所述安全数据包括处理过滤器更新。
19.根据权利要求10所述的网络安全系统,进一步包括:
接收对其他第一安全操作的请求,每个所述安全请求定义一个或多个时间约束;
至少部分地根据所述时间约束来对所述请求排列优先顺序;以及
根据所述请求的优先顺序,发起所请求的第一安全操作的执行。
20.一种用于处理安全请求的计算机实现的方法,包括:
在处理节点处生成安全请求,所述安全请求包括基于被用来对所述安全请求排列优先顺序的在时间上的安全数据信息值的一个或多个时间约束,其中用户的所有通信是通过基于在企业网关和所述多个处理节点中的一个节点之间建立了隧道的所述节点、基于来自互联网服务提供商节点的重定向的业务的透明代理、所述处理节点作为转发代理、或者由职权节点重新定向至所述多个处理节点中的所述处理节点,而被路由到因特网的;
确定用于所述安全请求的第一安全操作是否能够在所述一个或多个时间约束内执行;
如果确定所述第一安全操作能够在所述一个或多个时间约束内执行,则将所述安全请求从所述处理节点传送到职权节点,所述处理节点和所述职权节点中的每个单独地连接到网络,其中所述职权节点和所述处理节点包括在分布式安全系统中,其中所述分布式安全系统位于企业的外部并且管理所述企业的用户安全,并且所述职权节点被配置成存储每个外部系统的策略数据并将策略数据分发到所述处理节点;以及
如果确定所述第一安全操作不能在所述一个或多个时间约束内执行,则在所述处理节点处执行第二安全操作。
21.根据权利要求20所述的方法,进一步包括:
确定在传送所述安全请求之后所述第一安全操作是否没有在所述一个或多个时间约束内执行;以及
如果确定所述第一安全操作没有在所述一个或多个时间约束内执行,则在所述处理节点处执行所述第二安全操作。
22.根据权利要求20所述的方法,其中:
所述一个或多个时间约束包括最大时间;以及
确定用于所述安全请求的所述第一安全操作是否能够在所述一个或多个时间约束内执行包括确定所述第一安全操作是否能够在所述最大时间的发生之前执行。
23.根据权利要求20所述的方法,其中:
所述一个或多个时间约束包括最小时间;以及
进一步包括仅在所述最小时间的发生之后传送所述安全请求。
24.根据权利要求23所述的方法,其中:
所述一个或多个时间约束包括最大时间;以及
确定用于所述安全请求的所述第一安全操作是否能够在所述一个或多个时间约束内执行包括:确定所述第一安全操作是否能够在所述最大时间的发生之前执行。
25.根据权利要求20所述的方法,其中,所述第一安全操作包括:在所述处理节点接收对所述安全请求的回复,所述回复包括响应于所述安全请求的安全数据。
26.根据权利要求20所述的方法,其中:
所述安全请求包括对响应威胁数据的请求;
所述第一安全操作包括:在所述处理节点处接收对响应威胁数据的所述请求的回复;以及
所述第二安全操作包括在所述处理节点处开始威胁检测处理以生成所述响应威胁数据。
27.一种用于处理安全请求的计算机实现的方法,包括:
在职权节点接收对第一安全操作的请求,所述安全请求定义基于被用来对所述安全请求排列优先顺序的在时间上的安全数据信息值的一个或多个时间约束;
确定所述第一安全操作是否能够在所述一个或多个时间约束内在发出所述请求的处理节点处执行,所述处理节点和所述职权节点中的每个单独地连接到网络,其中所述职权节点和所述处理节点包括在分布式安全系统中,其中所述分布式安全系统位于企业的外部并且管理所述企业的用户安全,并且所述职权节点被配置成存储每个外部系统的策略数据并将策略数据分发到所述处理节点;以及
仅在确定所述第一安全操作能够在所述一个或多个时间约束内执行时,才开始所述第一安全操作的执行,
其中所述用户的所有通信是通过基于在企业网关和所述多个处理节点中的一个节点之间建立了隧道的所述节点、基于来自互联网服务提供商节点的重定向的业务的透明代理、所述处理节点作为转发代理、或者由职权节点重新定向至所述多个处理节点中的所述处理节点,而被路由到因特网的。
28.根据权利要求27所述的方法,其中,开始所述第一安全操作的执行包括:生成响应于所述安全请求的回复,并向发出所述请求的所述处理节点传送所述回复,以由所述处理节点接收。
29.根据权利要求27所述的方法,其中:
所述一个或多个时间约束包括最大时间;以及
确定所述第一安全操作是否能够在所述一个或多个时间约束内执行包括:确定回复是否能够在所述最大时间的发生之前在所述处理节点处接收。
30.根据权利要求27所述的方法,其中,开始所述第一安全操作的执行包括将安全数据存储在职权节点数据存储中。
31.根据权利要求27所述的方法,其中,摘要包括威胁数据。
CN200980129292.6A 2008-05-28 2009-05-22 安全消息处理 Active CN102106167B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/128,391 2008-05-28
US12/128,391 US8365259B2 (en) 2008-05-28 2008-05-28 Security message processing
PCT/US2009/044978 WO2009154947A2 (en) 2008-05-28 2009-05-22 Security message processing

Publications (2)

Publication Number Publication Date
CN102106167A CN102106167A (zh) 2011-06-22
CN102106167B true CN102106167B (zh) 2016-04-27

Family

ID=41381534

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200980129292.6A Active CN102106167B (zh) 2008-05-28 2009-05-22 安全消息处理

Country Status (4)

Country Link
US (1) US8365259B2 (zh)
EP (1) EP2283670B1 (zh)
CN (1) CN102106167B (zh)
WO (1) WO2009154947A2 (zh)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609015B2 (en) 2008-05-28 2017-03-28 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US9152789B2 (en) 2008-05-28 2015-10-06 Zscaler, Inc. Systems and methods for dynamic cloud-based malware behavior analysis
US8458769B2 (en) * 2009-12-12 2013-06-04 Akamai Technologies, Inc. Cloud based firewall system and service
US9229998B2 (en) * 2010-05-13 2016-01-05 Appsfreedom, Inc. Method and system for exchanging information between back-end and front-end systems
US8533319B2 (en) 2010-06-02 2013-09-10 Lockheed Martin Corporation Methods and systems for prioritizing network assets
US8869277B2 (en) * 2010-09-30 2014-10-21 Microsoft Corporation Realtime multiple engine selection and combining
US9119017B2 (en) * 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
US20130318152A1 (en) * 2011-05-04 2013-11-28 Appsfreedom, Inc. Method and system for exchanging information between back-end and front-end systems
US9021574B1 (en) * 2013-03-12 2015-04-28 TrustPipe LLC Configuration management for network activity detectors
CN103345449B (zh) * 2013-06-19 2016-12-28 暨南大学 一种面向重复数据删除技术的指纹预取方法及系统
US9338092B1 (en) * 2014-06-20 2016-05-10 Amazon Technologies, Inc. Overlay networks for application groups
US10581737B1 (en) 2014-06-20 2020-03-03 Amazon Technologies, Inc. Acceleration of data routing in an application group
US10237286B2 (en) 2016-01-29 2019-03-19 Zscaler, Inc. Content delivery network protection from malware and data leakage
US11271960B2 (en) 2017-12-06 2022-03-08 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of anomalies
US10931696B2 (en) * 2018-07-13 2021-02-23 Ribbon Communications Operating Company, Inc. Communications methods and apparatus for dynamic detection and/or mitigation of threats and/or anomalies
US11829467B2 (en) 2019-12-18 2023-11-28 Zscaler, Inc. Dynamic rules engine in a cloud-based sandbox
US11711689B2 (en) 2021-05-26 2023-07-25 Google Llc Secure localized connectionless handoffs of data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6240533B1 (en) * 1999-02-25 2001-05-29 Lodgenet Entertainment Corporation Method and apparatus for providing uninterrupted communication over a network link
CN101132270A (zh) * 2007-08-02 2008-02-27 北京航空航天大学 多节点协调的时间一致性管理方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7055173B1 (en) * 1997-12-19 2006-05-30 Avaya Technology Corp. Firewall pooling in a network flowswitch
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6112221A (en) * 1998-07-09 2000-08-29 Lucent Technologies, Inc. System and method for scheduling web servers with a quality-of-service guarantee for each user
US6526448B1 (en) * 1998-12-22 2003-02-25 At&T Corp. Pseudo proxy server providing instant overflow capacity to computer networks
US6442608B1 (en) 1999-01-14 2002-08-27 Cisco Technology, Inc. Distributed database system with authoritative node
US7165252B1 (en) * 1999-06-21 2007-01-16 Jia Xu Method of scheduling executions of processes with various types of timing properties and constraints
US6957334B1 (en) * 1999-06-23 2005-10-18 Mastercard International Incorporated Method and system for secure guaranteed transactions over a computer network
US6775285B1 (en) * 2000-02-09 2004-08-10 Samsung Electronics Co., Ltd. System and method for secure provisioning of a mobile station from a provisioning server using IWF-based IP address translation
US20020108059A1 (en) * 2000-03-03 2002-08-08 Canion Rodney S. Network security accelerator
US7120934B2 (en) * 2000-03-30 2006-10-10 Ishikawa Mark M System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US7725587B1 (en) * 2000-08-24 2010-05-25 Aol Llc Deep packet scan hacker identification
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
GB2371125A (en) * 2001-01-13 2002-07-17 Secr Defence Computer protection system
US7171681B1 (en) * 2001-01-31 2007-01-30 Secure Computing Corporation System and method for providing expandable proxy firewall services
US7243373B2 (en) * 2001-07-25 2007-07-10 Mcafee, Inc. On-access malware scanning
GB0200797D0 (en) 2002-01-15 2002-03-06 Superscape Uk Ltd Efficient image transmission
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7197660B1 (en) * 2002-06-26 2007-03-27 Juniper Networks, Inc. High availability network security systems
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7797752B1 (en) * 2003-12-17 2010-09-14 Vimal Vaidya Method and apparatus to secure a computing environment
US7478429B2 (en) * 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
CA2594020C (en) * 2004-12-22 2014-12-09 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US20060155671A1 (en) * 2005-01-13 2006-07-13 International Business Machines Corporation Virtual protection service
KR100877470B1 (ko) * 2005-11-22 2009-01-07 인터내셔널 비지네스 머신즈 코포레이션 소프트웨어 제품 사용 제어 방법과 시스템 및 컴퓨터 판독 가능한 저장 매체
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
JP4251207B2 (ja) * 2006-04-28 2009-04-08 ソニー株式会社 サーバ装置、再接続制御方法、機器装置、再接続方法、プログラム、および記録媒体
US8171554B2 (en) * 2008-02-04 2012-05-01 Yuval Elovici System that provides early detection, alert, and response to electronic threats

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6240533B1 (en) * 1999-02-25 2001-05-29 Lodgenet Entertainment Corporation Method and apparatus for providing uninterrupted communication over a network link
CN101132270A (zh) * 2007-08-02 2008-02-27 北京航空航天大学 多节点协调的时间一致性管理方法

Also Published As

Publication number Publication date
EP2283670A4 (en) 2014-11-05
EP2283670B1 (en) 2019-02-20
WO2009154947A3 (en) 2010-02-25
US20090300730A1 (en) 2009-12-03
CN102106167A (zh) 2011-06-22
WO2009154947A2 (en) 2009-12-23
EP2283670A2 (en) 2011-02-16
US8365259B2 (en) 2013-01-29

Similar Documents

Publication Publication Date Title
CN102106167B (zh) 安全消息处理
CN102106114B (zh) 分布式安全服务开通方法及其系统
US10474448B2 (en) Method and system for providing software updates to local machines
US8413238B1 (en) Monitoring darknet access to identify malicious activity
JP6224173B2 (ja) マルウェアに対処するための方法及び装置
US8276205B2 (en) Systems and methods for updating content detection devices and systems
US8286220B2 (en) Browser access control
US7836174B2 (en) Systems and methods for grid-based data scanning
US10348754B2 (en) Data security incident correlation and dissemination system and method
US20110055923A1 (en) Hierarchical statistical model of internet reputation
CN104106094A (zh) 在网络环境下使用本地策略应用进行云电子邮件消息扫描
WO2008157087A2 (en) Proxy-based malware scan
Costan et al. A fault tolerance approach for distributed systems using monitoring based replication
EP4115581A1 (en) Minimizing data flow between computing infrastructures for email security
CN114826790B (zh) 一种区块链监测方法、装置、设备及存储介质
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN112565203A (zh) 一种集中管理平台
KR100639977B1 (ko) 액티브 네트워크 환경에서 취약성 분석 시스템 및 취약성분석 방법
Melville et al. D5-Report on the dependability properties of P2P architectures

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant