用于云網(wǎng)絡(luò)中的分布式安全服務(wù)的方法和裝置制造方法
【專利摘要】本發(fā)明提供了一種用于提供分布式安全服務(wù)的方法和裝置��,其中�����,該分布式安全服務(wù)在多個安全裝置中運行輕實例�,并在所選擇的安全裝置中運行安全服務(wù)的核心實例。所接收或所傳輸?shù)目蛻舳藘?nèi)容段被指向輕實例�����,如果客戶端內(nèi)容段先前已被分析并具有有效安全策略�,則該輕實例應(yīng)用與客戶端內(nèi)容段對應(yīng)的安全策略����,否則,該輕實例將客戶端內(nèi)容段發(fā)送到核心實例以進(jìn)行分析��。然后�,核心實例可提供關(guān)于客戶端內(nèi)容段的完整安全分析,確定與客戶端內(nèi)容段對應(yīng)的安全策略�,并將所確定的安全策略推送給輕實例中的一個或多個。有利地����,分布式安全服務(wù)傳遞可提供高安全、高網(wǎng)絡(luò)效率和高成本效益的安全服務(wù)傳遞���。
【專利說明】用于云網(wǎng)絡(luò)中的分布式安全服務(wù)的方法和裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明一般涉及用于在云網(wǎng)絡(luò)中提供安全服務(wù)的方法和裝置�。
【背景技術(shù)】
[0002]本節(jié)介紹可有助于促進(jìn)本發(fā)明的更好理解的方面。因此���,本節(jié)的陳述應(yīng)從這個角度來閱讀��,而不應(yīng)當(dāng)被理解為關(guān)于什么是現(xiàn)有技術(shù)或者什么不是現(xiàn)有技術(shù)的承認(rèn)���。
[0003]在某些已知的安全方案中,防病毒和反惡意軟件應(yīng)用被存儲在用戶的計算裝置上或者被存儲在網(wǎng)絡(luò)邊緣����,以保護(hù)計算裝置免受惡意軟件感染和其它攻擊。
[0004]在某些其它的已知安全方案中�����,防病毒和反惡意軟件服務(wù)的多個實例被放置在云中�,來自用戶的計算裝置的業(yè)務(wù)經(jīng)由云而被路由到防病毒和反惡意軟件實例,以保護(hù)計算裝置免受惡意軟件感染和其它攻擊��。
【發(fā)明內(nèi)容】
[0005]各種實施例提供了一種用于提供分布式安全服務(wù)的方法和裝置����,其中���,該分布式安全服務(wù)在多個安全裝置中運行輕量級安全實例(即,輕實例)�,并在所選擇的安全裝置中運行安全服務(wù)的完整安全實例(即,核心實例)���。所接收或所傳輸?shù)目蛻舳藘?nèi)容段被指向輕實例�,如果客戶端內(nèi)容段先前已被分析并具有有效安全策略����,則該輕實例應(yīng)用與客戶端內(nèi)容段對應(yīng)的安全策略,否則���,該輕實例將客戶端內(nèi)容段發(fā)送到核心實例以進(jìn)行分析。然后��,核心實例可提供關(guān)于客戶端內(nèi)容段的完整安全分析��,確定與客戶端內(nèi)容段對應(yīng)的安全策略�����,并將所確定的安全策略推送給輕實例中的一個或多個�。有利地���,分布式安全服務(wù)傳遞可提供聞安全、聞網(wǎng)絡(luò)效率和聞成本效益的安全服務(wù)�����。
[0006]在一個實施例中���,提供了一種用于提供分布式安全服務(wù)傳遞的裝置��。該裝置包括數(shù)據(jù)存儲器和能夠通信地與數(shù)據(jù)存儲器連接的處理器�����。處理器被配置為:在數(shù)據(jù)存儲器中存儲與多個客戶端內(nèi)容段對應(yīng)的多個安全策略����;接收第一客戶端內(nèi)容段�����;基于第一客戶端內(nèi)容段的內(nèi)容�����,確定第一客戶端內(nèi)容段標(biāo)識符;基于第一客戶端內(nèi)容段標(biāo)識符�,從多個安全策略中選擇第一安全策略;將第一安全策略應(yīng)用于第一客戶端內(nèi)容段��;接收第二客戶端內(nèi)容段�����;基于第二客戶端內(nèi)容段的內(nèi)容�,確定第二客戶端內(nèi)容段標(biāo)識符;基于第二客戶端內(nèi)容段標(biāo)識符���,確定多個安全策略不包含用于第二客戶端內(nèi)容段的有效安全策略�����;以及響應(yīng)于確定多個安全策略不包含有效安全策略��,向核心實例發(fā)送安全分析請求。
[0007]在某些實施例中�,第一安全策略包括允許、拒絕或隔離第一客戶端內(nèi)容段中的至少一個�。
[0008]在某些實施例中,確定第一客戶端內(nèi)容段標(biāo)識符包括將處理器編程為在第一客戶端內(nèi)容段上應(yīng)用哈希計算�����。
[0009]在某些實施例中,應(yīng)用第一安全策略包括將處理器編程為基于第一安全策略而向客戶端發(fā)送消息。
[0010]在某些實施例中�����,應(yīng)用第一安全策略包括將處理器編程為:基于第一安全策略而向客戶端發(fā)送消息�,接收客戶端響應(yīng),以及基于客戶端響應(yīng)而允許或拒絕客戶端內(nèi)容段��。其中����,第一安全策略包括潛在安全風(fēng)險的警告。
[0011]在某些實施例中���,處理器進(jìn)一步被編程為將第一客戶端內(nèi)容段劃分成多個劃分后的第一客戶端內(nèi)容段����。其中�,第一客戶端內(nèi)容段標(biāo)識符與多個劃分后的第一客戶端內(nèi)容段中的一個對應(yīng)。
[0012]在某些實施例中��,第一客戶端內(nèi)容段的劃分基于動態(tài)內(nèi)容。
[0013]在某些實施例中���,處理器進(jìn)一步被編程為:從核心實例接收核心實例響應(yīng)�,基于核心實例響應(yīng)而確定第二安全策略��,以及將第二安全策略應(yīng)用于第二客戶端內(nèi)容段�。
[0014]在某些實施例中,處理器進(jìn)一步被編程為:在多個安全策略上應(yīng)用期滿策略��,并進(jìn)一步基于期滿策略����,確定多個安全策略不包含有效安全策略。
[0015]在某些實施例中���,期滿策略是基于第二客戶端內(nèi)容段的源��。
[0016]在某些實施例中����,處理器進(jìn)一步被編程為:從核心實例接收更新消息��,并基于更新消息而更新多個安全實例�。
[0017]在某些實施例中,處理器進(jìn)一步被編程為:基于一個或多個保留度量����,更新多個安全策略。一個或多個保留度量包括以下的至少一個:多個安全策略在數(shù)據(jù)存儲器中的已占用存儲空間���;與多個安全策略對應(yīng)的客戶端內(nèi)容段的地理分類�����;與多個安全策略對應(yīng)的客戶端內(nèi)容段的源�;以及與多個安全策略對應(yīng)的客戶端內(nèi)容段將在未來被接收的概率的確定�����。
[0018]在第二實施例中����,提供了一種用于提供分布式安全服務(wù)傳遞的裝置。該裝置包括數(shù)據(jù)存儲器和能夠通信地與數(shù)據(jù)存儲器連接的處理器�����。處理器被配置為:接收分析客戶端內(nèi)容段的請求���;執(zhí)行客戶端內(nèi)容段的安全分析����;基于安全分析而確定核心實例策略;確定多個輕實例����;以及向多個輕實例傳輸更新消息,更新消息包括核心實例策略�����。
[0019]在某些實施例中�,核心實例策略包括以下的至少一個:應(yīng)用于客戶端內(nèi)容段的安全策略;以及客戶端內(nèi)容段的安全風(fēng)險��。
[0020]在某些實施例中�����,安全風(fēng)險是安全風(fēng)險等級���。
[0021]在某些實施例中�,確定多個輕實例是基于客戶端內(nèi)容段的內(nèi)容的分類����。
[0022]在某些實施例中�,確定多個輕實例是基于與多個輕實例對應(yīng)的多個地理位置�。
[0023]在某些實施例中���,更新消息還包括以下的至少一個:客戶端內(nèi)容段標(biāo)識符���;與核心實例策略對應(yīng)的期滿參數(shù);以及客戶端內(nèi)容段的內(nèi)容類型����。
[0024]在第三實施例中,提供了一種用于提供安全服務(wù)的系統(tǒng)���。該系統(tǒng)包括多個輕實例和能夠通信地與多個輕實例連接的核心實例���。多個輕實例被編程為:存儲與多個客戶端內(nèi)容段對應(yīng)的多個安全策略;接收第一客戶端內(nèi)容段��;基于第一客戶端內(nèi)容段的內(nèi)容��,確定第一客戶端內(nèi)容段標(biāo)識符�����;基于第一客戶端內(nèi)容段標(biāo)識符,從多個安全策略中選擇第一安全策略�����;將第一安全策略應(yīng)用于第一客戶端內(nèi)容段���;接收第二客戶端內(nèi)容段��;基于第二客戶端內(nèi)容段的內(nèi)容���,確定第二客戶端內(nèi)容段標(biāo)識符;基于第二客戶端內(nèi)容段標(biāo)識符���,確定多個安全策略不包含用于第二客戶端內(nèi)容段的有效安全策略�����;以及響應(yīng)于確定多個安全策略不包含有效安全策略�,向核心實例發(fā)送安全分析請求����。核心實例被編程為:接收安全分析請求���;執(zhí)行客戶端內(nèi)容段的安全分析;基于安全分析而確定核心實例策略�;確定多個輕實例;以及向多個輕實例傳輸更新消息�����,其中更新消息包括核心實例策略��。
[0025]在第四實施例中�,提供了一種用于提供安全服務(wù)的方法�����。該方法包括:在數(shù)據(jù)存儲器中存儲與多個客戶端內(nèi)容段對應(yīng)的多個安全策略�;接收第一客戶端內(nèi)容段;基于第一客戶端內(nèi)容段的內(nèi)容����,確定第一客戶端內(nèi)容段標(biāo)識符;基于第一客戶端內(nèi)容段標(biāo)識符��,從多個安全策略中選擇第一安全策略���;將第一安全策略應(yīng)用于第一客戶端內(nèi)容段����;接收第二客戶端內(nèi)容段;基于第二客戶端內(nèi)容段的內(nèi)容�����,確定第二客戶端內(nèi)容段標(biāo)識符�;基于第二客戶端內(nèi)容段標(biāo)識符,確定多個安全策略不包含用于第二客戶端內(nèi)容段的有效安全策略�����;以及響應(yīng)于確定多個安全策略不包含有效安全策略����,向核心實例發(fā)送安全分析請求。
[0026]在某些實施例中����,第一安全策略包括允許、拒絕或隔離第一客戶端內(nèi)容段中的至少一個���。
[0027]在某些實施例中��,確定第一客戶端內(nèi)容段標(biāo)識符的步驟包括在第一客戶端內(nèi)容段上應(yīng)用哈希計算�����。
【專利附圖】
【附圖說明】
[0028]各種實施例在附圖中示出�,其中:
[0029]圖1示出包括分布式安全服務(wù)傳遞體系結(jié)構(gòu)100的實施例的云網(wǎng)絡(luò);
[0030]圖2描述了說明用于在云網(wǎng)絡(luò)中提供分布式安全服務(wù)傳遞的方法200的實施例的流程圖��;
[0031]圖3描述了說明輕實例(例如�,圖1的一個輕實例140)如圖2的步驟230中所示地在客戶端內(nèi)容段上應(yīng)用輕量級安全實例的方法300的實施例的流程圖��;
[0032]圖4描述了說明核心實例(例如��,圖1的核心實例160)如圖2的步驟240中所示地分析客戶端內(nèi)容段的方法400的實施例的流程圖����;
[0033]圖5描述了說明輕實例(例如,圖1的一個輕實例140)更新與客戶端內(nèi)容段對應(yīng)的所存儲的安全策略的方法500的實施例的流程圖�;
[0034]圖6示意性地示出諸如圖1的一個輕實例140或圖1的核心實例160的各種裝置600的實施例。
[0035]為了便于理解��,相同的參考標(biāo)記已用于標(biāo)明具有基本相同或相似結(jié)構(gòu)或者具有基本相同或相似功能的單元���。
【具體實施方式】
[0036]說明書和附圖僅僅說明了本發(fā)明的原理��。因此��,應(yīng)當(dāng)認(rèn)識到�����,雖然在此并未明確描述或示出���,但本領(lǐng)域技術(shù)人員能夠設(shè)計體現(xiàn)本發(fā)明的原理并被包括在其范圍內(nèi)的各種裝置��。此外�,在此引用的所有例子主要意在僅用于教學(xué)目的����,以幫助讀者理解本發(fā)明的原理以及發(fā)明人對促進(jìn)本領(lǐng)域所貢獻(xiàn)的概念,并應(yīng)當(dāng)被解釋為不限于這些具體引用的例子和條件�����。另外����,在此所使用的術(shù)語“或”是指非排他性的,除非有相反的指示(例如,“否則”或者“或擇一地”)�。還有,在此所描述的各種實施例并不必需是相互排斥的����,因為一些實施例可以與一個或多個其它實施例結(jié)合以形成新的實施例。
[0037]各種實施例提供了用于提供分布式安全服務(wù)的方法和裝置����,其中該分布式安全服務(wù)在多個安全裝置中運行輕實例,并在所選擇的安全裝置中運行安全服務(wù)的核心實例����。所接收或所傳輸?shù)目蛻舳藘?nèi)容段被指向輕實例,如果客戶端內(nèi)容段先前已被分析并具有有效安全策略��,則輕實例應(yīng)用與客戶端內(nèi)容段對應(yīng)的安全策略��,否則�����,輕實例將客戶端內(nèi)容段發(fā)送到核心實例以進(jìn)行分析��。然后�����,核心實例可提供關(guān)于客戶端內(nèi)容段的完整安全分析���,確定與客戶端內(nèi)容段對應(yīng)的安全策略�,并將所確定的安全策略推送給輕實例中的一個或多個��。
[0038]圖1示出了包括分布式安全服務(wù)傳遞體系結(jié)構(gòu)100的實施例的云網(wǎng)絡(luò)�����。分布式安全服務(wù)傳遞體系結(jié)構(gòu)100包括一個或多個客戶端120-a至120-g(統(tǒng)稱為客戶端120)���,其通過客戶端通信路徑經(jīng)由輕實例140-a至140-c(統(tǒng)稱為輕實例140)中的一個來發(fā)送或接收客戶端內(nèi)容段�����?�?蛻舳送ㄐ怕窂娇砂蛻舳送ㄐ判诺?25-a至125-g(統(tǒng)稱為客戶端通信信道125)中的一個�、客戶端網(wǎng)絡(luò)130-a至130-c (統(tǒng)稱為客戶端網(wǎng)絡(luò)130)中的一個��、客戶端面向輕實例通信信道135-a至135-c(統(tǒng)稱為客戶端面向輕實例通信信道135)中的一個����。如果對應(yīng)的一個輕實例140不能夠識別應(yīng)用于客戶端內(nèi)容段的安全策略�,則對應(yīng)的一個輕實例140將客戶端內(nèi)容段通過核心實例通信路徑發(fā)送到核心實例160�,以執(zhí)行客戶端內(nèi)容段的完整安全分析。核心實例通信路徑可包括核心實例面向輕實例通信信道145-a至145-g(統(tǒng)稱為核心實例面向輕實例通信信道145)中的一個�、核心實例網(wǎng)絡(luò)150、核心實例通信信道165�����。
[0039]在此所使用的術(shù)語“客戶端內(nèi)容段”應(yīng)當(dāng)被廣義地理解為包括任何能夠通過客戶端通信信道125發(fā)送或接收的內(nèi)容����。例如,客戶端內(nèi)容段可以是分組�、分組流、文件�、文件塊、數(shù)字文件����、前述的任何部分等���。
[0040]客戶端120可以是任何類型或數(shù)量的能夠通過一個或多個通信信道125發(fā)送或接收一個或多個客戶端內(nèi)容段的客戶機��。例如�����,客戶端120可以是瘦客戶端(例如��,客戶端120-a)�����、智能電話(例如�����,客戶端120-b)����、個人或膝上型電腦(例如,客戶端120-c和120-d)����、服務(wù)器(例如,客戶端120-e)�����、網(wǎng)絡(luò)裝置(例如,客戶端120-f)����、平板電腦、電視機頂盒等�。客戶端120可依靠示例性系統(tǒng)內(nèi)的其它資源以執(zhí)行諸如處理或存儲的一部分任務(wù)����,或者能夠獨立地執(zhí)行任務(wù)。
[0041]通信信道125�、135、145和165支持通過一個或多個通信信道來通信��,諸如無線通信(例如�����,LTE�、GSMXDMA、藍(lán)牙)����、毫微微蜂窩通信(例如,WiFi)�����、分組網(wǎng)絡(luò)通信(例如�,IP)、寬帶通信(例如�����,DOCSIS和DSL)�����、存儲通信(例如���,光纖通道��、iSCSI)等�。應(yīng)當(dāng)認(rèn)識到����,雖然被描述為單個連接,但是通信信道125�����、135、145和165可以是任何數(shù)量或組合的通信信道���。
[0042]客戶端網(wǎng)絡(luò)130和核心實例網(wǎng)絡(luò)150可以是適于在示例性系統(tǒng)100的其它裝置(例如�,客戶端120�、輕實例140或核心實例160)之間提供通信的裝置或一組裝置。例如�,網(wǎng)絡(luò)130和核心實例網(wǎng)絡(luò)150可以是任何組合和任何數(shù)量的無線、有線或毫微微蜂窩網(wǎng)絡(luò)��,包括LTE����、GSM、CDMA��、局域網(wǎng)(LAN)�����、無線局域網(wǎng)(WLAN)����、廣域網(wǎng)(WAN)、城域網(wǎng)(MAN)等。
[0043]輕實例140可以是任何對客戶端內(nèi)容段應(yīng)用安全服務(wù)的輕量級實例的裝置�。特別地,輕量級實例確定客戶端內(nèi)容段是否先前已被分析以及輕實例是否已存儲與客戶端內(nèi)容段對應(yīng)的有效安全策略��。如果輕實例具有對應(yīng)的有效安全策略���,則輕實例應(yīng)用所存儲的安全策略,否則��,輕實例向核心服務(wù)器160發(fā)送分析客戶端內(nèi)容段的請求��。所存儲的安全策略是基于作為客戶端內(nèi)容段的先前安全分析(例如����,由核心實例160執(zhí)行的分析)的結(jié)果而建立的安全策略。應(yīng)當(dāng)認(rèn)識到��,雖然在此示出了三個輕實例����,但系統(tǒng)100可包括更少或更多的輕實例。
[0044]核心實例160可以是任何對客戶端內(nèi)容段應(yīng)用完整安全服務(wù)實例的裝置��。特別地��,完整安全服務(wù)實例分析客戶端內(nèi)容段�,以確定客戶端內(nèi)容段是否潛在地包含安全風(fēng)險���,并基于該確定而向輕實例140中的一個或多個發(fā)送核心實例策略。應(yīng)當(dāng)認(rèn)識到�,雖然在此示出了一個核心實例,但系統(tǒng)100可包括更多的核心實例��。
[0045]在某些實施例中�����,一個或多個客戶端網(wǎng)絡(luò)130或核心實例網(wǎng)絡(luò)150可共享部分或整個網(wǎng)絡(luò)����。例如,網(wǎng)絡(luò)130-a和網(wǎng)絡(luò)150可以是相同的網(wǎng)絡(luò)����,即使為了說明的目的,它們被描述為兩個分離的網(wǎng)絡(luò)����。在該實施例的另一個實施例中,客戶端面向輕實例通信信道135中的一個和對應(yīng)的核心實例面向輕實例通信信道145中的一個可以是相同的通信信道�,即使為了說明的目的,它們被描述為分離的通信信道。例如��,如果網(wǎng)絡(luò)130-a和網(wǎng)絡(luò)150包括一部分或整個共享網(wǎng)絡(luò)���,則客戶端面向輕實例通信信道135-a和核心實例面向輕實例通信信道145-a可以是相同的通信信道����,因此����,輕實例140-a可只包括一個I/O接口以通過兩個
'JS/*
通道通fe�����。
[0046]在某些實施例中�,輕實例140中的一個或多個或者核心實例160是數(shù)據(jù)中心。在某些實施例中�,數(shù)據(jù)中心包含資源,其根據(jù)需要包括運行輕量級安全實例或完整安全實例的一個或多個虛擬機��。
[0047]在某些實施例中����,輕實例140中的一個或多個或者核心實例160是在客戶端網(wǎng)絡(luò)130中的一個或者核心網(wǎng)絡(luò)150中的裝置。例如,輕實例140-a可以是網(wǎng)絡(luò)130_a內(nèi)的邊緣
>J-U ρ?α裝直�。
[0048]在某些實施例中,輕實例140是在地理上分布的�。在該實施例的另一個實施例中,客戶端內(nèi)容段經(jīng)由最接近發(fā)送/接收客戶端的輕實例來路由�。有利地,網(wǎng)絡(luò)瓶頸和延遲可通過將客戶端內(nèi)容段經(jīng)過最接近的輕實例來路由而避免���。應(yīng)當(dāng)認(rèn)識到����,輕實例與客戶端的接近度可通過任何適當(dāng)?shù)亩攘縼泶_定����,諸如:物理距離、網(wǎng)絡(luò)度量(例如�,時延、成本或QoS保證)����、數(shù)據(jù)類型、服務(wù)提供者等����。
[0049]圖2描述了說明用于在云網(wǎng)絡(luò)中提供分布式安全服務(wù)的方法200的實施例的流程圖���。
[0050]在方法200中,步驟220包括將客戶端內(nèi)容段從客戶端(例如����,圖1的客戶端120中的一個)傳輸?shù)捷p實例(例如,圖1的輕實例140中的一個)����。特別地,由客戶端發(fā)送或接收的客戶端內(nèi)容段被指向通過輕實例以執(zhí)行安全服務(wù)��。
[0051]在方法200中���,步驟230包括輕實例(例如,圖1的輕實例140中的一個)對客戶端內(nèi)容段應(yīng)用安全服務(wù)的輕量級實例�����。特別地�,安全服務(wù)的輕量級實例確定客戶端內(nèi)容段的客戶端內(nèi)容段標(biāo)識符。然后���,基于客戶端內(nèi)容段標(biāo)識符����,輕實例確定輕實例是否具有針對客戶端內(nèi)容段而存儲的有效安全策略。如果輕實例不具有有效安全策略��,則方法進(jìn)行到步驟240�,否則,方法進(jìn)行到步驟250�。有利地,通過使用客戶端內(nèi)容段標(biāo)識符以獲取與客戶端內(nèi)容段對應(yīng)的所存儲的安全策略����,輕實例可減少安裝、維護(hù)(例如��,更新)和軟件成本����,因為輕實例不要求在每個輕實例上購買、安裝和維護(hù)安全軟件�����。此外��,系統(tǒng)仍然可以提供高安全性���,因為所存儲的安全策略是基于(例如��,由核心實例160執(zhí)行的)客戶端內(nèi)容段的全面分析����。
[0052]在方法200中,步驟240包括由核心實例(例如�,圖1的核心實例160)執(zhí)行安全服務(wù)。特別地��,完整安全服務(wù)實例分析客戶端內(nèi)容段����,以確定客戶端內(nèi)容段是否潛在地包含安全風(fēng)險,并基于所確定的安全風(fēng)險��,更新輕實例140中的一個或多個��。
[0053]在方法200中�����,步驟250包括應(yīng)用來自步驟230的所存儲的安全策略或者應(yīng)用從步驟240獲取的基于安全詳情的安全策略�。
[0054]在步驟250的第一實施例中��,安全策略可在輕實例(例如,圖1的輕實例140-a)處應(yīng)用�。在第二實施例中,安全策略可在客戶端(例如�,圖1的客戶端120-a)處應(yīng)用。
[0055]在某些實施例中�,步驟220包括將客戶端內(nèi)容段指向最近的輕實例,如以上圖1所述的�。
[0056]在某些實施例中,步驟220包括外向型(outward-looking)輕實例,其確定進(jìn)入客戶端網(wǎng)絡(luò)的客戶端內(nèi)容段是否包含安全風(fēng)險�。
[0057]在某些實施例中,客戶端內(nèi)容段是網(wǎng)站或其一部分�。例如,客戶端(例如�,圖1的客戶端120中的一個)可訪問諸如www.alcatel-lucent, com的網(wǎng)站,網(wǎng)頁的內(nèi)容可以是客戶端內(nèi)容段�。
[0058]在某些實施例中,客戶端內(nèi)容段可被劃分成大于一個的客戶端內(nèi)容段����。例如,網(wǎng)站www.alcatel-lucent, com可包括指向三個不同網(wǎng)站的三個iFrame��。來自三個網(wǎng)站的每一個的內(nèi)容可以是分離的��,因此���,輕實例可將三個網(wǎng)站的每一個作為分離的客戶端內(nèi)容段進(jìn)行處理�。在另一個例子中,客戶端內(nèi)容段可被分拆成多個內(nèi)容組件�,諸如圖像、HTML文件�、Java小程序等。在該例子中�,輕實例可將這些內(nèi)容組件的每一個作為分離的客戶端內(nèi)容段來處理。在該實施例的另一個實施例中�����,客戶端內(nèi)容段的劃分可基于內(nèi)容的動態(tài)性質(zhì)���。例如�����,諸如網(wǎng)頁的填寫表格部分或網(wǎng)頁上的廣告的動態(tài)內(nèi)容可被分成分離的客戶端內(nèi)容段����。應(yīng)當(dāng)認(rèn)識到�,通過從客戶端內(nèi)容段中分拆出動態(tài)內(nèi)容���,輕實例將具有用于非動態(tài)客戶端內(nèi)容段的所存儲的安全策略有較高的可能性����。
[0059]在步驟240的某些實施例中,安全服務(wù)是防病毒或反惡意軟件(AVAM)服務(wù)�����。
[0060]在步驟240的某些實施例中����,安全服務(wù)包括大于一個的軟件程序。在另一個實施例中���,安全服務(wù)包括來自大于一個的供應(yīng)商的軟件程序�。有利地����,與僅通過一個軟件程序或一個供應(yīng)商的軟件程序來檢查客戶端內(nèi)容段相比,通過使用多個不同的軟件程序��,可以提供更高級別的安全����。
[0061]在步驟250的某些實施例中�����,安全策略是允許�����、拒絕或隔離客戶端內(nèi)容段的決定���。在步驟250的某些實施例中,安全策略包括向客戶端提供所采取的行動或者客戶端內(nèi)容段提供潛在安全風(fēng)險的警告的信息����。
[0062]在某些實施例中,步驟250包括允許客戶端內(nèi)容段的客戶端接受����。例如,向客戶端提供進(jìn)入的客戶端內(nèi)容段的潛在安全風(fēng)險的信息的安全策略可允許客戶端在接收了安全策略警告之后接受客戶端內(nèi)容段�。在另一個實施例中,客戶端可存儲其對客戶端內(nèi)容段的接受或拒絕���。在某些實施例中���,所存儲的接受或拒絕可用于在將來某個時間自動接受或拒絕客戶端內(nèi)容段。接受或拒絕可被存儲在客戶端(例如�,圖1的客戶端120-a)、輕實例(例如��,圖1的輕實例140-a)或核心實例(例如��,圖1的核心實例160)處��。
[0063]圖3描述了說明輕實例(例如��,圖1的輕實例140中的一個)如圖2的步驟230中所示地在客戶端內(nèi)容段上應(yīng)用輕量級安全實例的方法300的實施例的流程圖��。該方法包括接收客戶端內(nèi)容段(步驟320)�����,諸如在圖2中的步驟220期間捕獲的客戶端內(nèi)容段����。然后,執(zhí)行該方法的裝置確定所接收的客戶端內(nèi)容段是否具有所存儲的安全策略(步驟330)��,如果是�����,則應(yīng)用該安全策略(步驟340),否則���,裝置向核心實例(例如�����,圖1的核心實例160)發(fā)送執(zhí)行客戶端內(nèi)容段的安全分析的請求(步驟350)��。然后��,執(zhí)行該方法的裝置可選地從核心實例接收包括與客戶端內(nèi)容段對應(yīng)的核心實例策略的請求響應(yīng)(步驟360)�����,并基于核心實例策略而應(yīng)用安全策略(步驟370)�����。
[0064]在方法300中�����,步驟320包括從客戶端(例如���,圖1的客戶端120中的一個)接收客戶端內(nèi)容段�。
[0065]在方法300中���,步驟330包括確定所接收的客戶端內(nèi)容段是否具有所存儲的安全策略。特別地����,確定可用于識別客戶端內(nèi)容段的內(nèi)容的客戶端內(nèi)容段標(biāo)識符。然后���,客戶端內(nèi)容段標(biāo)識符用于確定是否存在與客戶端內(nèi)容段標(biāo)識符對應(yīng)的所存儲的安全策略��?���?蛇x地���,步驟330還可以包括確定所存儲的安全策略是否有效���。如果輕實例確定存在所存儲且有效的安全策略,則該方法進(jìn)行到步驟340�����,否則,該方法進(jìn)行到步驟350��。
[0066]在方法300��,步驟340包括應(yīng)用在步驟330中獲取的安全策略����。輕實例可直接對客戶端內(nèi)容段應(yīng)用安全策略,或者通過基于安全策略而向客戶端發(fā)送指示客戶端控制安全策略以應(yīng)用于客戶端內(nèi)容段的輕實例安全消息來間接地應(yīng)用安全策略���。
[0067]在方法300����,步驟350包括向核心實例發(fā)送執(zhí)行客戶端內(nèi)容段的安全分析的請求����。特別地,對于沒有所存儲且有效的安全策略的客戶端內(nèi)容段��,輕實例將客戶端內(nèi)容段發(fā)送到核心實例以進(jìn)行評估���。
[0068]方法300可選地包括步驟360��。步驟360包括從核心實例接收對在步驟350中發(fā)送的請求的響應(yīng)�����。核心實例響應(yīng)包含與客戶端內(nèi)容段對應(yīng)的核心實例策略�。
[0069]方法300可選地包括步驟370。步驟370包括基于在步驟360中接收的核心實例響應(yīng)來應(yīng)用安全策略����,如以上在步驟340中所述的����。應(yīng)當(dāng)認(rèn)識到,在某些實施例中����,核心實例可直接向客戶端發(fā)送安全策略。
[0070]在某些實施例中����,步驟330包括將該方法引向執(zhí)行步驟340和350兩者。例如�,如果核心實例不可用,則輕實例可使用期滿的安全策略��。在另一個例子中,如果在步驟360中接收的核心實例策略與期滿的安全策略一致�,則輕實例可使用安全策略的一部分,諸如自動接受客戶端內(nèi)容段��。
[0071]在步驟330的某些實施例中��,安全策略包括是否服務(wù)���、拒絕�����、隔離�、標(biāo)記內(nèi)容或者警告客戶端的指示�����。
[0072]在步驟330的某些實施例中���,內(nèi)容可尋址存儲器(CAM)或聯(lián)合存儲器技術(shù)可用于基于客戶端內(nèi)容段的內(nèi)容來確定客戶端內(nèi)容段標(biāo)識符�����。
[0073]在步驟330的某些實施例中����,哈希計算被應(yīng)用在客戶端內(nèi)容段上,以確定哈希值以用作客戶端內(nèi)容段標(biāo)識符����。在某些實施例中,客戶端內(nèi)容段標(biāo)識符被用于從表或數(shù)據(jù)庫中檢索所存儲的安全策略��。應(yīng)當(dāng)認(rèn)識到��,表或數(shù)據(jù)庫中的條目可以是指向?qū)嶋H安全策略的指針����。在另一個實施例中���,輕實例的表中的條目包括內(nèi)容的哈希值����、執(zhí)行評估的核心實例的id��、最后更新哈希值的時間����、或者任何內(nèi)容匹配哈希條目的最后時間����。
[0074]在某些實施例中�����,步驟330包括基于以下的一個或多個來確定客戶端內(nèi)容段標(biāo)識符:(i)內(nèi)容�;(ii)URL ; (iii)第2層(Layer 2)或第3層(Layer 3)地址的任何組合;(iv)傳輸層端口統(tǒng)一資源標(biāo)識符(URI) ���;(vi)分組內(nèi)的傳輸有效載荷���;(vii)應(yīng)用層報頭(例如,HTTP報頭);(viii)應(yīng)用有效載荷(HTTP GET請求/響應(yīng));或(ix)其它�����。例如�,可對這些實體的任何組合計算哈希。
[0075]在步驟330的某些實施例中�,所存儲的安全策略在一段時間后變成無效。在某些實施例中�,輕實例對每個客戶端內(nèi)容段條目應(yīng)用可變級別的超時。
[0076]在步驟330的某些實施例中,輕實例使用概率分布函數(shù)��,以確定用于客戶端內(nèi)容段的安全策略何時期滿���。期滿概率可以是以下的一個或多個的函數(shù):(i)與客戶端內(nèi)容段標(biāo)識符相關(guān)聯(lián)的存活期���;(ii)客戶端內(nèi)容段的源;(iii)超時參數(shù)的長度��;(iv)安全策略(例如��,安全風(fēng)險的安全等級或分類)����;或(ν)其它。
[0077]在步驟350的某些實施例中���,輕實例向核心實例發(fā)送客戶端內(nèi)容段的地址/指針�����。例如,地址可以是網(wǎng)頁或文件的URL。
[0078]在步驟350的某些實施例中��,去往核心實例的請求包括設(shè)置特殊標(biāo)志,其迫使核心實例分析客戶端內(nèi)容段��,即使核心實例已經(jīng)具有用于該客戶端內(nèi)容段的所存儲的核心實例策略��。
[0079]在步驟360的某些實施例中�����,核心實例響應(yīng)包括如在圖4的步驟440和步驟460中描述的一個或多個參數(shù)���。
[0080]圖4描述了說明用于核心實例(例如����,圖1的核心實例160)如圖2的步驟240中所示地分析客戶端內(nèi)容段的方法400的實施例的流程圖�。該方法包括接收分析客戶端內(nèi)容段的請求(步驟420),諸如在圖3中的步驟350期間所發(fā)送的請求����。然后,執(zhí)行該方法的裝置分析客戶端內(nèi)容段�,并確定核心實例策略(步驟440)。然后��,執(zhí)行該方法的裝置可選地向輕實例發(fā)送核心實例響應(yīng)(步驟460)�����。執(zhí)行該方法的裝置還基于核心實例策略來更新一個或多個輕實例(步驟480)。
[0081]在方法400中����,步驟420包括接收分析客戶端內(nèi)容段的請求,如上所述的�。
[0082]在方法400中,步驟440包括分析客戶端內(nèi)容段����,如上所述,并確定核心實例策略��。特別地���,完整安全實例執(zhí)行客戶端內(nèi)容段的分析�,核心實例策略基于該分析的結(jié)果���。例如��,如果完整安全實例執(zhí)行防病毒檢查�����,并確定客戶端內(nèi)容段包含病毒��,則核心實例策略可拒絕或隔離該客戶端內(nèi)容段�����。
[0083]方法400可選地包括步驟460�����。步驟460包括向輕實例發(fā)送核心實例響應(yīng)��。特別地�����,請求響應(yīng)包括核心實例策略�����,其將被請求輕實例用于使得用于客戶端內(nèi)容段的安全策略建立在此基礎(chǔ)上�����。
[0084]在方法400中�,步驟480包括基于核心實例策略而更新一個或多個輕實例。特別地�,包括在步驟440中確定的核心實例策略的更新消息被發(fā)送到一個或多個輕實例。
[0085]在步驟420的某些實施例中�����,分析客戶端內(nèi)容段的請求包括客戶端內(nèi)容段的地址�����。例如��,地址可以是網(wǎng)頁或諸如圖像文件的文件的URL�。有利地,通過發(fā)送地址而不是客戶端內(nèi)容段��,系統(tǒng)可要求更少的網(wǎng)絡(luò)資源�。
[0086]在步驟420的某些實施例中,分析客戶端內(nèi)容段的請求包括客戶端內(nèi)容段標(biāo)識符���。例如����,如果核心實例已經(jīng)分析了客戶端內(nèi)容段��,則客戶端內(nèi)容段可由客戶端內(nèi)容段標(biāo)識符來識別。
[0087]在步驟420的某些實施例中�,請求包括標(biāo)志����,其迫使核心實例執(zhí)行客戶端內(nèi)容段的完整分析,即使核心實例具有所存儲且有效的對應(yīng)的核心實例策略����。
[0088]在步驟440的某些實施例中,核心實例存儲所確定的核心實例策略���。在某些實施例中���,核心實例還存儲與核心實例策略對應(yīng)的客戶端內(nèi)容段標(biāo)識符。在某些實施例中��,如果與所接收的請求對應(yīng)的客戶端內(nèi)容段具有所存儲的核心實例策略(即���,先前已經(jīng)被分析了)����,則所確定的核心實例策略可從存儲器中獲取�����,而無需再次分析客戶端內(nèi)容段。在某些實施例中�����,核心實例策略包括期滿參數(shù)�����。如果期滿參數(shù)期滿�,則核心實例策略不再有效,核心實例將執(zhí)行客戶端內(nèi)容段的完整安全分析�����。
[0089]在步驟440的某些實施例中�,期滿參數(shù)可基于以下的一個或多個:⑴內(nèi)容的源的可信度(例如,nytimes.com內(nèi)容可比piratebay.0rg被信任更長的期滿時間)��;(ii)從源服務(wù)的動態(tài)內(nèi)容的比例(例如�����,youtube, com比whitehouse.gov具有更多的動態(tài)內(nèi)容,因此youtube, com具有更小的期滿時間)����;(iii)核心實例上的負(fù)荷;和(iv)等等����。
[0090]在步驟440的某些實施例中�����,核心實例策略包括以下的一個或多個:(i)應(yīng)用于客戶端內(nèi)容段的安全策略����;(ii)潛在安全風(fēng)險的信息或警告;(iii)安全風(fēng)險的分類(例如��,病毒����、廣告軟件或木馬);(iv)內(nèi)容的狀態(tài)(例如��,良性或惡意)��;(ν)安全風(fēng)險等級�;(vi)安全風(fēng)險的描述(例如�����,特定類型或病毒)��;或(vii)等等����。
[0091]在步驟460或步驟480的某些實施例中���,請求響應(yīng)包括以下的一個或多個:(i)客戶端內(nèi)容段標(biāo)識符����;Qi)核心實例策略���;(iii) 一個或多個核心實例策略的期滿參數(shù)����;(iv)表征客戶端內(nèi)容段的內(nèi)容類型的分類����;或(V)等等。
[0092]在步驟460或步驟480的某些實施例中,客戶端內(nèi)容段標(biāo)識符是客戶端內(nèi)容段的哈希計算�����,如上所述�����。
[0093]在某些實施例中�,步驟460和480同時執(zhí)行。例如�����,在步驟480中發(fā)送的更新消息可通過輕實例發(fā)送使得用于客戶端內(nèi)容段的安全策略基于此的請求來使用����。
[0094]在某些實施例中����,步驟480包括更新輕實例的子集。在某些實施例中�,確定將要更新的輕實例的子集是基于客戶端內(nèi)容段的內(nèi)容類型的分類。例如��,對于被分類為WAP內(nèi)容的客戶端內(nèi)容段,核心實例可以僅更新服務(wù)無線網(wǎng)絡(luò)的輕實例��。在另一個例子中�,對于被分類為在地理上特定的客戶端內(nèi)容段,核心實例可以僅更新服務(wù)這些地理區(qū)域的輕實例����。
[0095]圖5描述了說明輕實例(例如,圖1的輕實例140中的一個)更新與客戶端內(nèi)容段對應(yīng)的所存儲的安全策略的方法500的實施例的流程圖�����。該方法包括基于從核心實例(例如���,圖1的核心實例160)接收更新消息(步驟520)����,諸如在圖4中的步驟480期間發(fā)送的更新消息��,或者基于確定保留度量(步驟540)���,更新所存儲的安全策略(步驟560)�。
[0096]方法500可選地包括步驟520����。步驟520包括從核心實例(例如�����,圖1的核心實例160)接收更新消息(步驟520)�,諸如在圖4中的步驟480期間發(fā)送的���。
[0097]方法500可選地包括步驟540���。步驟540包括確定保留度量。特別地,確定用于所存儲的安全策略中的一個或多個的期滿參數(shù)�����,并應(yīng)用期滿參數(shù)以刪除所存儲的安全策略或者迫使分析請求(例如���,圖3的步驟350)被發(fā)送到核心實例,即使輕實例具有所存儲的安全策略(即����,已存儲但不再有效)。
[0098]在方法500中����,步驟560包括基于所接收的策略更新或者所確定的更新度量來更新所存儲的安全策略(步驟560)��。特別地�����,更新表���、數(shù)據(jù)庫或任何其它適當(dāng)?shù)拇鎯C制以包括所更新的存儲策略、客戶端內(nèi)容段標(biāo)識符或者如在此所述的任何其它適當(dāng)信息�����。
[0099]在步驟540的某些實施例中�����,可刪除所存儲的安全策略或它們的相關(guān)數(shù)據(jù)(例如�����,在表或數(shù)據(jù)庫中的條目)�����。有利地,通過刪除較舊的所存儲的安全策略或它們的相關(guān)數(shù)據(jù)�����,可減少存儲空間和輕量級實例處理時間���。在某些實施例中�,基于以下的一個或多個而刪除安全策略或其相關(guān)的數(shù)據(jù):(i)數(shù)據(jù)所占用的已占用存儲空間���;(ii)客戶端內(nèi)容段的分類����、地理或源客戶端內(nèi)容段將在未來被接收的概率的確定��;(iv)期滿參數(shù)�;或(ν)其它。
[0100]在某些實施例中�,客戶端內(nèi)容段將在未來被接收的概率的確定是基于先前接收的客戶端內(nèi)容段的歷史。
[0101]雖然主要以特定的順序進(jìn)行描述和說明�����,但是應(yīng)當(dāng)認(rèn)識到��,在方法200����、300、400和500中所示的步驟可以以任何適當(dāng)?shù)捻樞驁?zhí)行����。此外,由一個步驟所確定的多個步驟也可以按順序在一個或多個其它步驟中執(zhí)行���,或者超過一個的步驟的共同動作可僅執(zhí)行一次����。
[0102]應(yīng)當(dāng)認(rèn)識到�,各種上述方法的步驟可由編程計算機執(zhí)行。在此��,一些實施例還意圖覆蓋例如數(shù)據(jù)存儲介質(zhì)的程序存儲裝置�����,其是機器或計算機可讀的����,并對機器可執(zhí)行或計算機可執(zhí)行程序的指令進(jìn)行編碼�����,其中�����,所述指令執(zhí)行上述的方法的一些或全部步驟��。程序存儲裝置可以例如是數(shù)字存儲器�、諸如磁盤和磁帶的磁存儲介質(zhì)����、硬盤驅(qū)動器或光學(xué)可讀數(shù)據(jù)存儲介質(zhì)。實施例還意圖覆蓋被編程以執(zhí)行上述方法的所述步驟的計算機���。
[0103]圖6示意性地示出諸如圖1的一個輕實例140或圖1的核心實例160的各種裝置600的實施例��。裝置600包括處理器610����、數(shù)據(jù)存儲器611和I/O接口 630�。
[0104]處理器610控制裝置600的操作。處理器610與數(shù)據(jù)存儲器611合作���。
[0105]數(shù)據(jù)存儲器611可根據(jù)需要存儲程序數(shù)據(jù)�����,諸如安全策略及其相關(guān)數(shù)據(jù)�、核心實例策略等����。數(shù)據(jù)存儲器611還存儲可由處理器610執(zhí)行的程序620。
[0106]處理器可執(zhí)行的程序620可包括I/O接口程序621�����、輕實例分析程序623�、輕實例更新程序625或核心實例分析程序627。處理器610與處理器可執(zhí)行的程序620合作��。
[0107]I/O接口 630與處理器610和I/O接口程序621合作����,以根據(jù)需要并如上所述地支持通過圖1的通信信道125、145或165的通信�����。
[0108]輕實例分析程序623執(zhí)行如上所述的圖3的方法300的步驟。
[0109]輕實例更新程序625執(zhí)行如上所述的圖5的方法500的步驟�。
[0110]核心實例分析程序627執(zhí)行如上所述的圖4的方法400的步驟。
[0111]在某些實施例中����,處理器610可包括諸如處理器/CPU核的資源,I/O接口 630可包括任何適當(dāng)?shù)木W(wǎng)絡(luò)接口��,或者數(shù)據(jù)存儲器611可包括存儲器或存儲裝置����。此外,裝置600可以是任何適當(dāng)?shù)奈锢碛布渲?,諸如一個或多個服務(wù)器,由諸如處理器�、存儲器、網(wǎng)絡(luò)接口或存儲裝置的組件構(gòu)成的刀片服務(wù)器(blade)����。在某些實施例中,裝置600可包括彼此遠(yuǎn)離的云網(wǎng)絡(luò)資源�����。
[0112]在某些實施例中,裝置600可以是虛擬機�。在某些實施例中,虛擬機可包括來自不同機器的部件或者在地理上是分散的����。例如����,數(shù)據(jù)存儲器611和處理器610可在兩個不同的物理機器中。
[0113]當(dāng)處理器可執(zhí)行的程序620在處理器610上實施時����,程序代碼段與處理器相結(jié)合以提供類似于特定邏輯電路運行的唯一裝置。
[0114]雖然在此對其中例如程序和邏輯被存儲在數(shù)據(jù)存儲器內(nèi)而存儲器可通信地與處理器連接的的實施例進(jìn)行了描述和說明�����,但是���,應(yīng)當(dāng)認(rèn)識到�,這種信息可以以任何其它適當(dāng)?shù)姆绞酱鎯?例如�,使用任何適當(dāng)數(shù)量的存儲器、存儲裝置或數(shù)據(jù)庫)�;使用可通信地與任何適當(dāng)?shù)难b置的排列連接的任何適當(dāng)存儲器、存儲裝置或數(shù)據(jù)庫的排列;在存儲器���、存儲裝置或者內(nèi)部或外部數(shù)據(jù)庫的任何適當(dāng)組合中存儲信息�����;或者使用任何適當(dāng)數(shù)量的可訪問的外部存儲器���、存儲裝置或數(shù)據(jù)庫。因此�����,在此所提及的術(shù)語數(shù)據(jù)存儲器意味著包括存儲器��、存儲裝置和數(shù)據(jù)庫的所有適當(dāng)組合����。
[0115]說明書和附圖僅僅說明了本發(fā)明的原理。因此��,應(yīng)當(dāng)認(rèn)識到��,雖然在此未明確地描述或示出��,但本領(lǐng)域技術(shù)人員能夠設(shè)計體現(xiàn)本發(fā)明的原理并被包括在其范圍內(nèi)的各種裝置。此外��,在此引用的所有例子主要意在僅用于教學(xué)目的���,以幫助讀者理解本發(fā)明的原理和發(fā)明人對促進(jìn)本領(lǐng)域所貢獻(xiàn)的概念�����,并應(yīng)當(dāng)被解釋為不限于這些具體引用的例子和條件。另外���,在此引用本發(fā)明的原理�����、方面和實施例及其具體例子的所有陳述都意圖包括其等同物��。
[0116]在附圖中示出的各種單元的功能�,包括標(biāo)記為“處理器”的任何功能塊�����,可通過使用專用硬件以及能夠與適當(dāng)軟件相關(guān)聯(lián)地執(zhí)行軟件的硬件來提供�����。當(dāng)由處理器提供時,功能可由單個專用處理器��、單個共享處理器或者多個單獨的且其中一些可被共享的處理器來提供�。此外,術(shù)語“處理器”或“控制器”的明確使用不應(yīng)被解釋為排他地指能夠執(zhí)行軟件的硬件���,并可隱含地包括但不限于數(shù)字信號處理器(DSP)硬件�����、網(wǎng)絡(luò)處理器���、專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)����、用于存儲軟件的只讀存儲器(ROM)、隨機存取存儲器(RAM)和非易失性存儲器�。還可以包括其它傳統(tǒng)或定制的硬件。同樣�,在附圖中所示的任何開關(guān)只是概念性的。它們的功能可通過程序邏輯的操作�����、通過專用邏輯、通過程序控制與專用邏輯的交互或者甚至手動來執(zhí)行�,特定技術(shù)可由實施者根據(jù)對上下文更具體地理解來選擇。
[0117]應(yīng)當(dāng)認(rèn)識到���,在此的任何框圖表示體現(xiàn)本發(fā)明原理的說明性電路的概念性視圖�����。同樣���,應(yīng)當(dāng)認(rèn)識到�����,任何流程圖表��、流程圖��、狀態(tài)轉(zhuǎn)換圖�����、偽代碼等都表示可以在計算機可讀介質(zhì)中實質(zhì)地表示并由計算機或處理器執(zhí)行的各種過程,不管是否明確示出了這樣的計算機或處理器��。
【權(quán)利要求】
1.一種用于提供安全服務(wù)的裝置�����,所述裝置包括: 數(shù)據(jù)存儲器�;以及 能夠通信地與所述數(shù)據(jù)存儲器連接的處理器,所述處理器被配置為: 在所述數(shù)據(jù)存儲器中存儲與多個客戶端內(nèi)容段對應(yīng)的多個安全策略�����; 接收第一客戶端內(nèi)容段����; 基于所述第一客戶端內(nèi)容段的內(nèi)容,確定第一客戶端內(nèi)容段標(biāo)識符�����; 基于所述第一客戶端內(nèi)容段標(biāo)識符���,從所述多個安全策略中選擇第一安全策略��; 將所述第一安全策略應(yīng)用于所述第一客戶端內(nèi)容段���; 接收第二客戶端內(nèi)容段����; 基于所述第二客戶端內(nèi)容段的內(nèi)容����,確定第二客戶端內(nèi)容段標(biāo)識符; 基于所述第二客戶端內(nèi)容段標(biāo)識符�����,確定所述多個安全策略不包含用于所述第二客戶端內(nèi)容段的有效安全策略�;以及 響應(yīng)于確定所述多個安全策略不包含所述有效安全策略,向核心實例發(fā)送安全分析請求���。
2.根據(jù)權(quán)利要求1所述的裝置,其中���,所述確定第一客戶端內(nèi)容段標(biāo)識符包括:將所述處理器配置為: 在所述第一客戶端內(nèi)容段上應(yīng)用哈希計算��。
3.根據(jù)權(quán)利要求1所述的裝置����,其中,所述應(yīng)用第一安全策略包括:將所述處理器配置為: 基于所述第一安全策略�,向客戶端發(fā)送消息。
4.根據(jù)權(quán)利要求1所述的裝置�,其中,所述應(yīng)用第一安全策略包括:將所述處理器配置為: 基于所述第一安全策略�����,向客戶端發(fā)送消息��; 接收客戶端響應(yīng)�;以及 基于所述客戶端響應(yīng),允許或拒絕所述客戶端內(nèi)容段��; 其中���,所述第一安全策略包括潛在安全風(fēng)險的警告�。
5.根據(jù)權(quán)利要求1所述的裝置�,其中,所述處理器進(jìn)一步被配置為: 將所述第一客戶端內(nèi)容段劃分成多個劃分后的第一客戶端內(nèi)容段��; 其中���,所述第一客戶端內(nèi)容段標(biāo)識符與所述多個劃分后的第一客戶端內(nèi)容段中的一個對應(yīng)�����。
6.根據(jù)權(quán)利要求1所述的裝置��,其中���,所述處理器進(jìn)一步被配置為: 從所述核心實例接收核心實例響應(yīng)�; 基于所述核心實例響應(yīng)�,確定第二安全策略;以及 將所述第二安全策略應(yīng)用于所述第二客戶端內(nèi)容段��。
7.根據(jù)權(quán)利要求1所述的裝置����,其中,所述處理器進(jìn)一步被配置為: 基于一個或多個保留度量�����,更新所述多個安全策略�,其中所述一個或多個保留度量包括以下的至少一個: 所述多個安全策略在所述數(shù)據(jù)存儲器中的已占用存儲空間����; 與所述多個安全策略對應(yīng)的所述客戶端內(nèi)容段的地理分類�����; 與所述多個安全策略對應(yīng)的所述客戶端內(nèi)容段的源�;以及 與所述多個安全策略對應(yīng)的所述客戶端內(nèi)容段將在未來被接收的概率的確定�。
8.一種用于提供安全服務(wù)的裝置,所述裝置包括: 數(shù)據(jù)存儲器�����;以及 能夠通信地與所述數(shù)據(jù)存儲器連接的處理器�����,所述處理器被配置為: 接收分析客戶端內(nèi)容段的請求����; 執(zhí)行所述客戶端內(nèi)容段的安全分析; 基于所述安全分析����,確定核心實例策略; 確定多個輕實例�;以及 向所述多個輕實例傳輸更新消息,所述更新消息包括所述核心實例策略。
9.根據(jù)權(quán)利要求8所述的裝置�����,其中�,所述確定多個輕實例是基于所述客戶端內(nèi)容段的內(nèi)容的分類。
10.一種用于提供安全服務(wù)的方法�����,所述方法包括: 在能夠通信地與數(shù)據(jù)存儲器連接的處理器處�,將與多個客戶端內(nèi)容段對應(yīng)的多個安全策略存儲到所述數(shù)據(jù)存儲器中; 由所述處理器與所述數(shù)據(jù)存儲器合作地接收第一客戶端內(nèi)容段�����; 由所述處理器與所述數(shù)據(jù)存儲器合作地基于所述第一客戶端內(nèi)容段的內(nèi)容���,確定第一客戶端內(nèi)容段標(biāo)識符����; 由所述處理器與所述數(shù)據(jù)存儲器合作地基于所述第一客戶端內(nèi)容段標(biāo)識符��,從所述多個安全策略中選擇第一安全策略��; 由所述處理器與所述數(shù)據(jù)存儲器合作地將所述第一安全策略應(yīng)用于所述第一客戶端內(nèi)容段; 由所述處理器與所述數(shù)據(jù)存儲器合作地接收第二客戶端內(nèi)容段����; 由所述處理器與所述數(shù)據(jù)存儲器合作地基于所述第二客戶端內(nèi)容段的內(nèi)容��,確定第二客戶端內(nèi)容段標(biāo)識符�; 由所述處理器與所述數(shù)據(jù)存儲器合作地基于所述第二客戶端內(nèi)容段標(biāo)識符,確定所述多個安全策略不包含用于所述第二客戶端內(nèi)容段的有效安全策略�����;以及 由所述處理器與所述數(shù)據(jù)存儲器合作地響應(yīng)于確定所述多個安全策略不包含所述有效安全策略�,向核心實例發(fā)送安全分析請求。
【文檔編號】H04L29/06GK104170347SQ201380013820
【公開日】2014年11月26日 申請日期:2013年2月11日 優(yōu)先權(quán)日:2012年3月13日
【發(fā)明者】K·P·普塔斯瓦米納加, T·南達(dá)哥帕爾 申請人:阿爾卡特朗訊公司