CN105721461A

CN105721461A - 利用专用计算机安全服务的系统和方法

Info

Publication number: CN105721461A
Application number: CN201610067702.0A
Authority: CN
Inventors: A·A·埃福里莫夫; A·S·拉普什金
Original assignee: Kaspersky Lab AO
Current assignee: Kaspersky Lab AO
Priority date: 2015-08-04
Filing date: 2016-01-29
Publication date: 2016-06-29
Anticipated expiration: 2036-01-29
Also published as: EP3128459A1; JP2017033531A; US20170041342A1; CN105721461B; EP3128459B1; JP6553524B2; US9667657B2

Abstract

公开了利用专用计算机安全服务的系统和方法。示例性的方法包括在电子数据库中存储指示何时将第一云服务或第二云服务用于安全服务中的一个的规则，接收来自客户端计算机的访问安全服务的请求，确定与所接收请求有关的参数，将参数应用于多个规则以确定指示是否传输请求至第一云服务或第二云服务的指令；和基于指令传输请求至第一云服务或第二云服务以使用至少一个安全服务。

Description

利用专用计算机安全服务的系统和方法

技术领域

本公开一般涉及计算机安全的领域，并且更具体地，涉及利用专用计算机安全服务的系统和方法。

背景技术

目前，所谓的“云”技术正变得越来越流行。云技术提供了对计算机运算资源或数据的远程访问，而不需要公司为计算机基础设施(即，云技术服务的客户端)花费大量费用。通常情况下，客户端只需要有一个固定的因特网连接，以获得云服务的访问。一般来说，有几种类型的云服务—私有云服务、公共云服务及其混合。私有云服务是为特定公司或群体的人设计的，主要是用资源构成专用网络，而公共云服务向所有连接的客户提供对其资源的访问。混合云服务将这两种方式组合，使得能够更灵活地构建公司的计算机基础设施。

不出意料，生产防病毒软件的公司也对云技术感兴趣。特别是，由于恶意程序数量以及它们散播技术的增长，对除了不断释放的防病毒数据库之外，已经出现了的保护用户的新方式的需要，这反过来，也未能确保归因于不充分的测试时间以及归因于生产防病毒解决方案的公司在云服务器上隐藏决策(即恶意软件检测)逻辑的可能性而导致的可能的失误。

计算机安全领域的云技术一个实例是是KasperskySecurityNetwork(KSN)。一般来说，其操作的算法如下：用户发送请求到云服务以检查未知文件或链接，并收到“安全”判决或“危险”判决形式的答复。在实践中，该技术比这个实例复杂得多，并且它的各种实现方式已在例如美国专利第7,640,589和8,732,836号中描述，其也均被指定受让给本申请的受让人。

云技术也有缺点，归因于当该技术被用于企业网络中时可能涉及可能禁止第三方使用/访问的数据(例如，未知文件的数据，诸如数字签名，大小，标题以及类似的数据)这一事实。因此，网络管理员可能防止传输这样的数据和/或拒绝使用这样的技术，因为它可能违背组织中存在的保密策略，也被称为DLP(“数据防泄密”)策略。

就这样一个问题，有一些建议的解决方案来使数据匿名或用于更灵活的云服务设置。例如，在一个建议的解决方案中，数据可以匿名传输以使得服务可以为特定用户而设置。此外，为了利用反病毒云技术，重要的是保持恶意程序和攻击的检测水平(即，提供的反病毒服务的质量)和符合涉及检查发送数据的保密性(即隐私)的水平之间的平衡。

分析现有解决方案表明这些技术往往是不起作用的，并且在某些情况下是无法使用的。

发明内容

本发明公开的系统和方法涉及到防病毒技术，并且具体地，涉及到利用专用计算机安全服务的系统和方法。有利地，所公开的系统和方法可以防止传输使用提供计算机安全服务的公司的安全云服务的客户端公司的机密数据。本发明公开的系统和方法的另一个技术成果是减少使用提供计算机安全服务的公司的安全云服务的客户端公司的数据量。根据本文公开的示例方面中的一个，提供了重新定向用户计算机对公共或私有云服务的请求的系统和方法，其中用户的计算机位于使用公共和私有云服务两者的公司的网络内。

根据一个方面，提供了利用计算机安全服务的方法。根据示例性的方面，该方法包括在电子数据库中存储指示何时将第一云服务或第二云服务用于至少一个安全服务的多个规则；接收来自客户端计算机的访问至少一个安全服务的请求；通过硬件处理器确定与所接收请求有关的至少一个参数；通过硬件处理器将至少一个参数应用于多个规则以确定指示是否传输所述请求至所述第一云服务或所述第二云服务的指令；和基于指令传输所述请求至所述第一云服务或所述第二云服务中的一个以使用所述至少一个安全服务。

根据另外一个方面，所述方法还包括通过所述第一云服务和所述第二云服务中的一个执行针对所述请求的至少一个安全服务；和基于执行至少一个安全服务的结果通过所述第一云服务和所述第二云服务中的一个传输操作指令至客户端。

根据另外一个方面，所述第一云服务是私有云服务，所述第二云服务是公共云服务。

根据另外一个方面，来自所述客户端计算机的访问所述至少一个安全服务的请求不包括是否传输所述请求到所述第一云服务或所述第二云服务的指示。

根据另外一个方面，所述请求最初传输至第一云服务并且基于所述硬件处理器确定的指令重新定向至所述第二云服务。

根据另外一个方面，存储多个规则包括存储与第一云服务的软件最新升级的预定时间段、第一云服务提供的至少一个安全服务的类型、请求所发送的数据的类型、发送至第一或第二云服务中的至少一个的请求的量的通信量配额中的至少一个有关的规则。

根据另外一个方面，确定与所接收的请求有关的至少一个参数包括确定所述请求正在访问的所述至少一个安全服务的类型、包括在请求中的文件的类型、包括在所述请求中的链接的类型和包括在所述请求中的哈希和(hashsum)中的至少一个。

根据示例性的方面，提供利用计算机安全服务的系统。根据示例性的方面，系统包括电子数据库，配置为存储指示何时将第一云服务或第二云服务用于安全服务中至少一个的多个规则；和硬件处理器，配置为接收来自客户端计算机的访问至少一个安全服务的请求，确定与所接收请求相关的至少一个参数，应用至少一个参数来确定指示是否将所述请求传输至所述第一云服务或所述第二云服务的指令，和基于所述指令传输所述请求至所述第一云服务或所述第二云服务中的一个以使用至少一个安全服务。

上述对示例方面的简化综述提供对本公开的基本理解。这一综述不是所有预期方面的广泛概述，并且旨在既不确定所有方面的关键或重要要素也不划定本公开的任何或所有方面的范围。其唯一的目的在于作为下文对本公开更详细的说明的序言以简化的形式呈现一个或多个方面。为了实现前述，本公开的一个或多个方面包括权利要求中描述和示例性指出的特征。

附图简述

所附附图，其并入并组成本说明书的一部分，说明本公开一个或多个示例方面，并连同详细说明一起，说明其原理和实行。

图1说明计算机与提供计算机安全服务的公司(防病毒软件公司)的公共云服务交互的实例。

图2说明根据示例性方面使用专用计算机安全服务的示例性系统的框图。

图3说明根据可替换的示例性方面使用专用计算机安全服务的示例性系统的框图。

图4说明根据示例性方面可通过云服务提供的连接的安全服务的类型。

图5说明根据示例性方面使用专用计算机安全服务的方法的流程图。

图6说明根据示例性方面可实行所公开的系统和方法的通用计算机系统。

具体实施方式

本文在此以用于专用计算机安全服务的系统、方法和计算机程序产品为背景进行描述示例方面。本领域技术人员应认识到下文描述仅是说明性的而不预期以任何方式限定。受益于本公开内容的本领域的技术人员将容易受到来自其他方面自身的启示。现在将详细参照如附图中所示的示例性方法的实施方式。相同的参考指示符将在附图和以下描述各处可能的程度用于表示相同或相似的项目。

提供计算机安全服务的公司可以被认为是提供对其云安全服务的访问的的防病毒公司(例如AOKasperskyLab和KasperskySecurityNetworkservice)。此外，客户端公司可以是使用由提供计算机安全服务的公司提供的云安全服务的公司。如上所述，公共云服务可以被认为是由向客户端公司提供计算机安全服务的公司(例如，KasperskySecurityNetwork)提供的云安全服务。

图1说明具有提供计算机安全服务的公司(即防病毒公司)的公共云服务的计算机(位于客户端公司的网络中)的示例性交互的框图。如图所示，防病毒软件经由因特网110向防病毒公司的公共云服务120发送来自用户的计算机100的用于分析未知对象的请求，其可以是例如文件或链接。该请求由云服务的内部工作逻辑来分析，并基于分析，对对象发出判决，所述判决被发送回计算机100，此时防病毒软件使用所接收到的判决用于对对象的进一步行动。通常情况下，判决将是对象是否是有害的指示，但判决也可以是操作限制程序访问计算机资源的逻辑的应用控制的规则。这样的服务的实例是KasperskySecurityNetwork(KSN)。此外，如上所述，对KSN操作执行已描述于例如美国专利第7,640,589和8,732,836号中，其每一个的内容通过引用全文并入本文。

如上所述，仅使用公共云服务的一个缺点在于公共云可以使用构成可能的商业秘密的数据或引用其，这就需要这种服务的不同的操作变化。

因此，图2说明利用专用计算机安全服务的示例性系统的框图。更具体地，图2说明具有提供计算机安全服务的公司(例如防病毒公司)的私有云服务的网络中计算机的操作。在所公开的系统和方法的背景下，相比图1，提供配置为功能类似于防病毒公司的公共云服务120的私有云服务105。因此，提供计算机安全服务的公司提供公共云服务120形式和私有云服务105形式两者的云服务。在这种情况下，来自计算机100的所有请求优选地传输至私有云服务105，其包含公共云服务120所有的内部工作逻辑(或至少是对于操作来说最重要部分)。优选地，因为根据示例性的方面，有对私有云服务105操作逻辑和数据(例如防病毒数据库)持续更新的需要，因此，优选地，经由因特网110至公共云服务120的链接仍然保留。然而，由于更新延迟的问题(与更新的测试和分发有关)，在某些情况下，私有云服务105可能没有关于威胁的最新信息(通常是防病毒数据库最后更新)，并且还存在让未知的恶意程序通过或者将合法应用的可执行文件检测为是有害的(例如假阳性检测)风险。因此，根据示范性方面，私有和公共云服务两者都可以如下文将更详细阐述的被用来提供安全服务。有利的是，使用私有云服务105提供了更方便的安装和可能更便宜的使用费用。

图3说明根据可替换的示例性方面利用专用计算机安全服务的示例性系统的框图。如图所示，图3说明利用提供计算机安全服务的公司(例如防病毒公司)的私有和公共云服务的网络中计算机的示例性操作。与图2中的实例相反，图3的示例性系统提供了决策模块125，其配置为即确定何时发送来自计算机100的请求至私有云服务105或者公共云服务120。

根据示例性的方面，决策模块125可以包括电子数据库，其配置为存储指示应传输哪个请求至私有云服务105而应传输哪个请求至公共云服务120的既定策略。正如将在下文详细描述的，决策模块125可以确定所接收的请求的一个或多个参数并比较和/或应用这些参数于既定策略，以确定适当的服务来提供所请求的安全服务，即私有云服务105或公共云服务120。

根据示例性的方面，选择特定的云服务(即私有或公共云服务)的标准涉及到的参数(即云服务的选择策略)可以包括但不限于私有云服务105的最后更新日期。例如，私有云服务105所使用的防病毒数据库越过时，未知的恶意程序将越有可能被错过或未知的干净文件越有可能被归类为恶意(假阳性)。

根据另外一个方面，确定是否传输请求至私有云服务105或公共云服务120的标准可以基于私有云服务105中所连接的服务的类型。虽然所连接的服务的类型将在4图更密切的讨论，但作为实例，参数可以表明，如果检测具有某种类型的对象(例如URL)在私有云服务105中不支持，则请求应重新定向至公共云服务120。

根据另外一个方面，确定是否传输请求至私有云服务105或公共云服务120的标准可以是请求所发送的数据类型。例如，对某种格式(例如具有PDF格式)的文件信息的传输可以通过使用私有云服务105和公共云服务120两者的客户端公司的保密策略来禁止，以便检查类似的文件的请求将被重新定向到私有云服务105。有利地，所公开的系统和方法将防止客户端公司的机密数据的传输。

根据还有另一个方面，确定是否传输请求至私有云服务105或公共云服务120的标准可以是流量配额。在这个实例中，如果发送至公共云服务120的数据大小上存在限制，那么到达这个限制时，所有请求将被重新定向到私有云服务105。在其他变化的方面的背景下，存在从发送数据的大小方面分析来自计算机100的每一个请求的可能性，当超过时请求被重新定向至私有云服务105。有利地，所公开的系统和方法可以减少通过因特网发送数据的大小，因为在私有云服务105的情况下，数据传输仅在客户端公司完成。

根据另外一个方面，决策模块125也可以计算机100一侧单独的客户端形式或客户端公司的因特网网关处防病毒公司的代理服务器形式来实行。

图4说明可由根据示例性方面的的云服务提供的连接的安全服务的类型的实例。连接的安全服务可以由公共云服务120和/或私有云服务105提供。

如图所示，所连接的安全服务可包括文件信誉服务405。文件信誉服务405配置为确定未知文件是否有害或无害。在示例性方面的一个中，这一服务通过比较已知有害文件的哈希和和未知文件的哈希和来进行。此外，如果文件类别已被确定为合法的，那么可以确定文件类别(例如该文件可能属于浏览器的类别)。

连接的安全服务可以进一步包括链接信誉服务410，其被配置为确定未知链接(例如URL地址)是否有害。在示例性方面的一个中，这一服务通过比较已知有害链接的哈希和和未知链接的哈希和来进行。在另一个示例性方面，将整个链路或其标准化值(例如站点地址或IP地址)进行比较。此外，如果链接类别已被确定为合法的，那么可以确定链接类别，(例如链接可能属于网上商店类别)。

所连接的安全服务可以进一步包括行为检测服务415，其配置为基于从已执行文件起始的进程的行为确定已执行文件的危害性。所述进程调用系统API函数，其调用日志可以与已知有害进程的调用日志进行比较。这一服务的一个示例性实施描述于美国专利第8,566,943号中，其内容通过引用并入本文。

所连接的安全服务还可以包括证书信誉服务420，其配置为网站和文件被黑客所使用而言处理网站和文件的证书。实施方式包括发送证书及其元数据以便由提供计算机安全服务的公司进行分析，例如，在美国专利第8,732,472号中描述的，其内容通过引用并入本文。

连接的安全服务还可以包括假阳性控制服务425，其配置为在假阳性的情况下测试和撤销防病毒签名，例如美国专利第8,732,836中描述的，其内容通过引用并入本文。

连接的安全服务还可以包括数据传输服务430，其配置为使用诸如例如p2p(即点对点)技术传输文件。

连接的安全服务还可以包括内容过滤服务435，其配置为检查电子邮件信息的垃圾邮件。在一个方面中，这一服务配置为从电子邮件(或其组成部分)创建哈希和(或一组哈希和)以便与其他电子邮件类似哈希和集群进行比较，而大的相同电子邮件群集称为垃圾邮件发送。这一服务的一个示例性实施方式描述于美国专利第8,738,721号中，其内容通过引用并入本文。

连接的安全服务还可以包括配置为检查家长控制模块的工作的家长控制服务440和配置为检测可能的网络钓鱼网页和链接(例如在浏览器中)的钓鱼服务445。

应当理解的是根据示例性的方面，公共云服务120和/或私有云服务105不必包括所有的连接的安全服务。而且，采用各种数据(即各种类型的数据)—各种对象(例如所述文件或链接或类似对象)的文件、链接、哈希和以及还有来自所述对象的各种元数据(例如对象的大小、创建时间、类型以及类似数据)来操作建议的服务。根据一个示例性的方面，计算机100所在的网络的管理员可以对发送这种数据加以各种限制，这意味着某些服务将不在公共云服务120工作而将使用私有云服务105，反之亦然。

图5说明流程图根据示例性方面的利用专用计算机安全服务的方法。如图所示，在步骤510中，请求从用户的计算机100朝向云服务传输，以使用连接的安全服务中的一个或多个。根据一个方面，应当理解的是没有来自计算机100(更准确地说来自安装在计算机100上的防病毒应用)的关于所述计算机在特定时间访问哪个服务，即公共云服务120或私有云服务105，的信息。下一步，在步骤520中，请求由决策模块125接收/拦截。在一个变化的方面，决策模块125可以客户端公司的因特网网关处防病毒公司的代理服务器形式来实行。根据还有另一个示例性方面，决策模块125可以提供在计算机100上，并且在这种情况下，将有逻辑存在以确定应该访问哪个服务。如步骤530，决策模块125确定请求的参数，包括例如请求正在访问哪个安全服务，哪种数据(更准确地说，其类型，诸如文件、链接、哈希和或类似类型)正在传输和/或被请求，并针对既定策略检查/应用这些一个或多个参数，以便选择上文在图3的背景下进一步详细描述的云服务。如果策略允许重新定向请求至公共云服务120，那么基于决策模块125产生的适当的指令，在步骤550中以该方向将请求重新定向。否则，基于决策模块125产生的适当的指令，在步骤540中将请求重新定向至私有云服务105。

下面提供将请求重新定向至不同服务的三个实例。在第一个实例中，来自用户计算机100的请求包含被传输的类型数据(例如，所分析的文件格式是PDF)，而既定策略通过云服务选择策略禁止这类文件发送到公司外部。因此，决策模块125确定该请求将因适当的/被请求的安全服务被转发至私有云服务105。

在另一个实例中，决策模块125确定来自用户计算机100的请求超过云服务选择策略定义的数据传输的既定配额的大小。因此，决策模块125确定请求将因适当的/被请求的安全服务被转发到私有云服务105。

在另一个实例中，决策模块125确定来自用户计算机100的请求包含一个允许传输的类型数据(例如因特网链接的信息)，但私有云服务105的数据库更新发生比预定时间长，例如，超过12小时前。在这种情况下，决策模块125确定该请求将因适当的/被请求的安全服务被转发到公共云服务120。

图6说明根据示例性方面所公开的系统和方法可以在其上实现的通用计算机系统的实例(可以是个人计算机或服务器)。如图所示，计算机系统包括中央处理单元21、系统存储器22和连接各系统组件的系统总线23，包括与中央处理单元21相关联的存储器。系统总线23类似于本领域已知的总线结构实现，反过来包含总线存储器或总线存储器控制器，外围总线和本地总线，其能够与任何其他总线架构交互。系统存储器包括永久性存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出系统(BIOS)26包括保障个人计算机20的元件之间信息传递的基本进程，诸如那些在使用ROM24加载操作系统时的那些。

反过来，个人计算机20包括用于读写数据的硬盘27、用于在可移动磁盘29上读写的磁盘驱动器2、用于在可移动光盘31上读写的光驱30，诸如CD-ROM、DVD-ROM和其他光信息介质。硬盘27、磁盘驱动器28和光盘驱动器30分别穿过硬盘接口32、磁盘接口33和光学驱动器接口34连接至系统总线23。驱动器和相应的计算机信息媒体是功率独立的模块，用于存储个人计算机20的计算机指令、数据结构、程序模块和其他数据。

本公开提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实行，但应当理解的是使用能够以计算机可读形式存储数据的其他类型的计算机信息介质56(固态驱动器、闪存卡、数字磁盘、随机存取内存(RAM)等)是可能的，其通过控制器55连接到系统总线23。

计算机20具有文件系统36，其中保留所记录的操作系统35以及还有另外的程序应用37、其他程序模块38和程序数据39。用户能够通过使用输入设备(键盘40，鼠标42)将命令和信息输入个人计算机20。可使用其他输入设备(未显示)：麦克风、操纵杆、游戏控制器、扫描仪等。这些输入设备通常通过串行端口46插入计算机系统20，其反过来连接至系统总线，但它们可以以其他方式连接，例如，借助并行端口、游戏端口或通用串行总线(USB)。显示器47或其他类型的显示设备也穿过接口诸如视频适配器48连接至系统总线23。除了显示器47之外，个人计算机可以装配有其他外围输出设备(未显示)，如扬声器、打印机等。

使用与一台或多台远程计算机49的网络连接，个人计算机20能够在网络环境中操作。一台远程计算机49(或多台计算机)也是具有描述个人计算机20性质的上述元件中的大部分或全部的个人计算机或服务器，如图6所示。其他设备也可以存在于计算机网络中，诸如路由器、网络站、对等设备或其他网络节点。

网络连接可以形成局域计算机网络(LAN)50和广域计算机网络(WAN)。这些网络用于企业计算机网络和内部公司网络中，并且它们一般都可以访问因特网。在LAN或WAN网络中，个人计算机20通过网络适配器或网络接口51连接至局域网50。在使用网络时，个人计算机20可以使用调制解调器54或其他模块，以便提供与广域计算机网络如因特网的通信。调制解调器54，其是内部或外部设备，由串行端口23连接至系统总线46。应该指出的是，网络连接仅仅是示例性的，而不需要描述网络的精确配置，即，在现实中有其他方式经由技术通信模块建立一台计算机与另一台的连接。

在不同的方面，本文所描述的系统和方法可以硬件、软件、固件或其任何组合实行。如果以软件实行，方法可以作为一个或多个指令或代码存储在非暂时性的计算机可读介质上。计算机可读介质包括数据存储器。通过举例的方式而非限制性的，这样的计算机可读介质包括RAM、ROM、EEPROM、CD-ROM、闪存或其他类型的电、磁或光存储介质，或可用于携带或存放所需的指令或数据结构形式的程序代码并可以被通用计算机处理器访问的其他介质。

在各个方面中，本公开中所描述的系统和方法可以就模块而言加以解决。“模块”是指真实的设备，组件或使用硬件实行的组件布置，例如诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)，或作为硬件和软件的组合，诸如通过微处理器系统和指令集实现模块功能，其中(同时执行)变换微处理器系统为专用设备。模块也可以被实行为两者的组合，具有硬件单独实现的功能，以及由硬件和软件的组合实现的其他功能。在某些实施方案中，至少一部分，并且在某些情况下，所有的模块可以在通用计算机处理器上执行(诸如上文图6中更详细的描述的计算机)。因此，每个模块可以各种合适的配置实现并且不应该被限制在本文示例的任何特定的实行。

为了清楚起见，这里所描述的实施方式的常规特征并未全部示出和描述。应当理解的是在本公开的任何实际实行的开发中，为了达到开发者的特定目标必须做出大量特定实行特定决策，并且这些特定目标将根据不同的实行和不同的开发者而改变。而且，应当理解的是这类开发努力可能是复杂和耗时的，但不论如何，对于受益于本申请的领域的一般技术人员而言都将是常规的工程任务。

此外，要理解的是本文所使用的措辞或术语仅为了说明而非限制，这样本说明书的术语或措辞将由本领域技术人员根据本文所给出的教导和指导并结合相关领域的技术人员的知识来解释。而且，除非如此明确地如此表明，否则说明书或权利要求书中的任何术语都并非意图表示不常见的或特殊的意思。

这里所公开的各个方面囊括了本申请中用于说明而涉及的已知构成要素的现在和将来的已知等同物。此外，虽然已经示出和描述了这些方面及应用，但对于受益于本申请的领域的技术人员而言显而易见的是在不脱离本申请中所公开的发明构思的情况下比上面提及的多得多的修改都是可能的。

Claims

1.一种利用计算机安全服务的方法，所述方法包括：

在电子数据库中存储指示何时将第一云服务或第二云服务用于所述安全服务中至少一个的多个规则；

接收来自客户端计算机的访问所述至少一个安全服务的请求；

通过硬件处理器确定与所接收请求有关的至少一个参数；

通过所述硬件处理器将所述至少一个参数应用于所述多个规则，以确定指示是否传输所述请求至所述第一云服务或所述第二云服务的指令；和

基于所述指令传输所述请求至所述第一云服务或所述第二云服务中的一个，以使用所述至少一个安全服务。

2.如权利要求1所述的方法，还包括：

通过所述第一云服务和所述第二云服务中的一个执行针对所述请求的所述至少一个安全服务；和

基于执行所述至少一个安全服务的结果通过所述第一云服务和所述第二云服务中的一个传输操作指令至所述客户端。

3.如权利要求1所述的方法，其中所述第一云服务是私有云服务而所述第二云服务是公共云服务。

4.如权利要求1所述的方法，其中所述客户端计算机访问所述至少一个安全服务的所述请求不包括是否传输所述请求至所述第一云服务或所述第二云服务的指示。

5.如权利要求1所述的方法，其中所述请求最初传输至第一云服务并且基于所述硬件处理器确定的指令重新定向至所述第二云服务。

6.如权利要求1所述的方法，其中存储所述多个规则包括：存储与所述第一云服务的软件最新升级的预定时间段、所述第一云服务提供的所述至少一个安全服务的类型、所述请求所发送的数据的类型、发送至所述第一或第二云服务中的至少一个的请求的量的通信量配额中的至少一个有关的规则。

7.如权利要求6所述的方法，其中确定与所接收的请求有关的所述至少一个参数包括：确定所述请求正在访问的所述至少一个安全服务的类型、包括在所述请求中的文件的类型、包括在所述请求中的链接的类型和包括在所述请求中的哈希和中的至少一个。

8.一种利用计算机安全服务的系统，所述系统包括：

电子数据库，配置为存储指示何时将第一云服务或第二云服务用于所述安全服务中至少一个的多个规则；和

硬件处理器，配置为：

接收来自客户端计算机的访问所述至少一个安全服务的请求，

确定与所接收请求相关的至少一个参数，

将所述至少一个参数应用于所述多个规则来确定指示是否将所述请求传输至所述第一云服务或所述第二云服务的指令，和

基于所述指令传输所述请求至所述第一云服务或所述第二云服务中的一个以使用所述至少一个安全服务。

9.如权利要求8所述的系统，其中所述第一云服务或所述第二云服务中的所述一个配置为执行针对所述请求的所述至少一个安全服务，并且基于所执行的至少一个安全服务的结果传输操作指令至所述客户端计算机。

10.如权利要求8所述的系统，其中所述第一云服务是私有云服务而所述第二云服务是公共云服务。

11.如权利要求8所述的系统，其中来自所述客户端计算机的访问所述至少一个安全服务的所述请求不包括是否传输所述请求至所述第一云服务或所述第二云服务的指示。

12.如权利要求8所述的系统，其中所述请求最初传输至第一云服务并且基于所述硬件处理器确定的指令重新定向至所述第二云服务。

13.如权利要求8所述的系统，其中所述电子数据库配置为存储所述多个规则，所述多个规则与存储与所述第一云服务的软件最新升级的预定时间段、所述第一云服务提供的所述至少一个安全服务的类型、所述请求所发送的数据的类型、发送至所述第一或第二云服务中的至少一个的请求的量的通信量配额中的至少一个有关。

14.如权利要求13所述的系统，其中所述硬件处理器还配置为通过确定所述请求正在访问的所述至少一个安全服务的类型、包括在所述请求中的文件的类型、包括在所述请求中的链接的类型和包括在所述请求中的哈希和中的至少一个确定所述至少一个参数。