本发明专利技术提供了一种用于提供分布式安全服务的方法和装置,其中,该分布式安全服务在多个安全装置中运行轻实例,并在所选择的安全装置中运行安全服务的核心实例。所接收或所传输的客户端内容段被指向轻实例,如果客户端内容段先前已被分析并具有有效安全策略,则该轻实例应用与客户端内容段对应的安全策略,否则,该轻实例将客户端内容段发送到核心实例以进行分析。然后,核心实例可提供关于客户端内容段的完整安全分析,确定与客户端内容段对应的安全策略,并将所确定的安全策略推送给轻实例中的一个或多个。有利地,分布式安全服务传递可提供高安全、高网络效率和高成本效益的安全服务传递。
【技术实现步骤摘要】
【国外来华专利技术】用于云网络中的分布式安全服务的方法和装置
本专利技术一般涉及用于在云网络中提供安全服务的方法和装置。
技术介绍
本节介绍可有助于促进本专利技术的更好理解的方面。因此,本节的陈述应从这个角度来阅读,而不应当被理解为关于什么是现有技术或者什么不是现有技术的承认。在某些已知的安全方案中,防病毒和反恶意软件应用被存储在用户的计算装置上或者被存储在网络边缘,以保护计算装置免受恶意软件感染和其它攻击。在某些其它的已知安全方案中,防病毒和反恶意软件服务的多个实例被放置在云中,来自用户的计算装置的业务经由云而被路由到防病毒和反恶意软件实例,以保护计算装置免受恶意软件感染和其它攻击。
技术实现思路
各种实施例提供了一种用于提供分布式安全服务的方法和装置,其中,该分布式安全服务在多个安全装置中运行轻量级安全实例(即,轻实例),并在所选择的安全装置中运行安全服务的完整安全实例(即,核心实例)。所接收或所传输的客户端内容段被指向轻实例,如果客户端内容段先前已被分析并具有有效安全策略,则该轻实例应用与客户端内容段对应的安全策略,否则,该轻实例将客户端内容段发送到核心实例以进行分析。然后,核心实例可提供关于客户端内容段的完整安全分析,确定与客户端内容段对应的安全策略,并将所确定的安全策略推送给轻实例中的一个或多个。有利地,分布式安全服务传递可提供高安全、高网络效率和高成本效益的安全服务。在一个实施例中,提供了一种用于提供分布式安全服务传递的装置。该装置包括数据存储器和能够通信地与数据存储器连接的处理器。处理器被配置为:在数据存储器中存储与多个客户端内容段对应的多个安全策略;接收第一客户端内容段;基于第一客户端内容段的内容,确定第一客户端内容段标识符;基于第一客户端内容段标识符,从多个安全策略中选择第一安全策略;将第一安全策略应用于第一客户端内容段;接收第二客户端内容段;基于第二客户端内容段的内容,确定第二客户端内容段标识符;基于第二客户端内容段标识符,确定多个安全策略不包含用于第二客户端内容段的有效安全策略;以及响应于确定多个安全策略不包含有效安全策略,向核心实例发送安全分析请求。在某些实施例中,第一安全策略包括允许、拒绝或隔离第一客户端内容段中的至少一个。在某些实施例中,确定第一客户端内容段标识符包括将处理器编程为在第一客户端内容段上应用哈希计算。在某些实施例中,应用第一安全策略包括将处理器编程为基于第一安全策略而向客户端发送消息。在某些实施例中,应用第一安全策略包括将处理器编程为:基于第一安全策略而向客户端发送消息,接收客户端响应,以及基于客户端响应而允许或拒绝客户端内容段。其中,第一安全策略包括潜在安全风险的警告。在某些实施例中,处理器进一步被编程为将第一客户端内容段划分成多个划分后的第一客户端内容段。其中,第一客户端内容段标识符与多个划分后的第一客户端内容段中的一个对应。在某些实施例中,第一客户端内容段的划分基于动态内容。在某些实施例中,处理器进一步被编程为:从核心实例接收核心实例响应,基于核心实例响应而确定第二安全策略,以及将第二安全策略应用于第二客户端内容段。在某些实施例中,处理器进一步被编程为:在多个安全策略上应用期满策略,并进一步基于期满策略,确定多个安全策略不包含有效安全策略。在某些实施例中,期满策略是基于第二客户端内容段的源。在某些实施例中,处理器进一步被编程为:从核心实例接收更新消息,并基于更新消息而更新多个安全实例。在某些实施例中,处理器进一步被编程为:基于一个或多个保留度量,更新多个安全策略。一个或多个保留度量包括以下的至少一个:多个安全策略在数据存储器中的已占用存储空间;与多个安全策略对应的客户端内容段的地理分类;与多个安全策略对应的客户端内容段的源;以及与多个安全策略对应的客户端内容段将在未来被接收的概率的确定。在第二实施例中,提供了一种用于提供分布式安全服务传递的装置。该装置包括数据存储器和能够通信地与数据存储器连接的处理器。处理器被配置为:接收分析客户端内容段的请求;执行客户端内容段的安全分析;基于安全分析而确定核心实例策略;确定多个轻实例;以及向多个轻实例传输更新消息,更新消息包括核心实例策略。在某些实施例中,核心实例策略包括以下的至少一个:应用于客户端内容段的安全策略;以及客户端内容段的安全风险。在某些实施例中,安全风险是安全风险等级。在某些实施例中,确定多个轻实例是基于客户端内容段的内容的分类。在某些实施例中,确定多个轻实例是基于与多个轻实例对应的多个地理位置。在某些实施例中,更新消息还包括以下的至少一个:客户端内容段标识符;与核心实例策略对应的期满参数;以及客户端内容段的内容类型。在第三实施例中,提供了一种用于提供安全服务的系统。该系统包括多个轻实例和能够通信地与多个轻实例连接的核心实例。多个轻实例被编程为:存储与多个客户端内容段对应的多个安全策略;接收第一客户端内容段;基于第一客户端内容段的内容,确定第一客户端内容段标识符;基于第一客户端内容段标识符,从多个安全策略中选择第一安全策略;将第一安全策略应用于第一客户端内容段;接收第二客户端内容段;基于第二客户端内容段的内容,确定第二客户端内容段标识符;基于第二客户端内容段标识符,确定多个安全策略不包含用于第二客户端内容段的有效安全策略;以及响应于确定多个安全策略不包含有效安全策略,向核心实例发送安全分析请求。核心实例被编程为:接收安全分析请求;执行客户端内容段的安全分析;基于安全分析而确定核心实例策略;确定多个轻实例;以及向多个轻实例传输更新消息,其中更新消息包括核心实例策略。在第四实施例中,提供了一种用于提供安全服务的方法。该方法包括:在数据存储器中存储与多个客户端内容段对应的多个安全策略;接收第一客户端内容段;基于第一客户端内容段的内容,确定第一客户端内容段标识符;基于第一客户端内容段标识符,从多个安全策略中选择第一安全策略;将第一安全策略应用于第一客户端内容段;接收第二客户端内容段;基于第二客户端内容段的内容,确定第二客户端内容段标识符;基于第二客户端内容段标识符,确定多个安全策略不包含用于第二客户端内容段的有效安全策略;以及响应于确定多个安全策略不包含有效安全策略,向核心实例发送安全分析请求。在某些实施例中,第一安全策略包括允许、拒绝或隔离第一客户端内容段中的至少一个。在某些实施例中,确定第一客户端内容段标识符的步骤包括在第一客户端内容段上应用哈希计算。附图说明各种实施例在附图中示出,其中:图1示出包括分布式安全服务传递体系结构100的实施例的云网络;图2描述了说明用于在云网络中提供分布式安全服务传递的方法200的实施例的流程图;图3描述了说明轻实例(例如,图1的一个轻实例140)如图2的步骤230中所示地在客户端内容段上应用轻量级安全实例的方法300的实施例的流程图;图4描述了说明核心实例(例如,图1的核心实例160)如图2的步骤240中所示地分析客户端内容段的方法400的实施例的流程图;图5描述了说明轻实例(例如,图1的一个轻实例140)更新与客户端内容段对应的所存储的安全策略的方法500的实施例的流程图;图6示意性地示出诸如图1的一个轻实例140或图1的核心实例160的各种装置600的实施例。为了便于理解,相同的参考标记已本文档来自技高网...
【技术保护点】
一种用于提供安全服务的装置,所述装置包括:数据存储器;以及能够通信地与所述数据存储器连接的处理器,所述处理器被配置为:在所述数据存储器中存储与多个客户端内容段对应的多个安全策略;接收第一客户端内容段;基于所述第一客户端内容段的内容,确定第一客户端内容段标识符;基于所述第一客户端内容段标识符,从所述多个安全策略中选择第一安全策略;将所述第一安全策略应用于所述第一客户端内容段;接收第二客户端内容段;基于所述第二客户端内容段的内容,确定第二客户端内容段标识符;基于所述第二客户端内容段标识符,确定所述多个安全策略不包含用于所述第二客户端内容段的有效安全策略;以及响应于确定所述多个安全策略不包含所述有效安全策略,向核心实例发送安全分析请求。
【技术特征摘要】
【国外来华专利技术】2012.03.13 US 13/418,4631.一种用于提供安全服务的装置,所述装置包括:数据存储器;以及能够通信地与所述数据存储器连接的处理器,所述处理器被配置为:在所述数据存储器中存储与多个客户端内容段对应的多个安全策略;接收第一客户端内容段;基于所述第一客户端内容段的内容,确定第一客户端内容段标识符;基于所述第一客户端内容段标识符,从所述多个安全策略中选择第一安全策略;将所述第一安全策略应用于所述第一客户端内容段;接收第二客户端内容段;基于所述第二客户端内容段的内容,确定第二客户端内容段标识符;基于所述第二客户端内容段标识符,确定所述多个安全策略不包含用于所述第二客户端内容段的有效安全策略;以及响应于确定所述多个安全策略不包含所述有效安全策略,向核心实例发送安全分析请求;其中,所述第一安全策略基于与所述第一客户端内容段的内容相关联的第一安全风险,所述有效安全策略与第二安全风险相关联,所述第二安全风险与所述第二客户端内容段的内容相关联。2.根据权利要求1所述的装置,其中,所述确定第一客户端内容段标识符包括:将所述处理器配置为:在所述第一客户端内容段上应用哈希计算。3.根据权利要求1所述的装置,其中,所述应用第一安全策略包括:将所述处理器配置为:基于所述第一安全策略,向客户端发送消息。4.根据权利要求1所述的装置,其中,所述应用第一安全策略包括:将所述处理器配置为:基于所述第一安全策略,向客户端发送消息;接收客户端响应;以及基于所述客户端响应,允许或拒绝所述客户端内容段;其中,所述第一安全策略包括潜在安全风险的警告。5.根据权利要求1所述的装置,其中,所述处理器进一步被配置为:将所述第一客户端内容段划分成多个划分后的第一客户端内容段;其中,所述第一客户端内容段标识符与所述多个划分后的第一客户端内容段中的一个对应。6.根据权利要求1所述的装置,其中,所述处理器进一步被配置为:从所述核心实例接收核心实例响应;基于所述核心实例响应,确定第二安全策略;以及将所述第二安全策略应用于所述第二客户端内容段。7.根据权利要求1所述的装置,其中,所述处理器进一步被配...
【专利技术属性】
技术研发人员:K·P·普塔斯瓦米纳加,T·南达哥帕尔,
申请(专利权)人:阿尔卡特朗讯公司,
类型:发明
国别省市:法国;FR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。