[发明专利]安全消息处理

说明书

技术领域

本说明书涉及安全服务开通(provisioning)。

背景技术

计算机网络的普及和访问需要保护重要信息的安全措施。例如，企业能够通过使用分层的安全系统来实现这样的安全措施。这样的分层的安全系统能够在所述企业的网络边缘实现，所述网络边缘例如防火墙、网关安全代理等。此外，分层的安全系统还可以包括遍布企业实现的安全处理和代理，例如企业内每个计算机设备上的病毒扫描软件、在企业网关上的内容过滤软件、内容监视软件等。

许多分层的安全系统也不能容易地维护威胁数据的中央数据存储，所述威胁数据根据安全类型(例如病毒、恶意软件、垃圾邮件等等)对诸如文件、URL、电子邮件的内容项目进行分类。这样的分层的安全系统也不实现分布式基层架构来通信和共享内容智能。这导致对好和坏的内容都重复地进行处理。例如，与在企业位置中检测到的病毒发作有关的信息无法容易地传播到中央办公室或者该企业的其他分支；被发现包括恶意软件(“malware”)或令人反感内容的统一资源定位符(URL)无法轻易传播到企业的中央办公室或其它分支，等等。

如果提供的安全系统超过网络边缘，则在职权节点处的中央数据存储的实现和到处理节点与来自处理节点的威胁数据的分发能够提高系统性能。一种方法是向中央化的数据存储和从中央化的数据存储分发安全消息，或者向分布式的职权数据存储或从分布式的职权数据存储分发安全消息，例如对威胁数据、防护表数据、更新通知的请求等等。然而，根据在处理节点或者职权节点处的特定环境，等待请求和/或发送对这样的请求的响应不能实现性能提高。此外，在一些情况下，等待请求和/或发送对这样的请求的响应实际上可以使整个系统性能降级。

发明内容

本说明书中描述的主题用于分布式安全消息处理。当从内容检查中得出的与安全相关的消息、用户群体的改变、对欺骗行为的检测等等在分布式系统中被实时通信时，存在大量的副本的、陈旧的以及不适时的信息交换。每个消息具有时变优势，并且系统试图通过在最佳可能的处理时间可实现的情况下根据最佳可能的处理时间处理该消息将该优势最大化。

通常，本说明书中描述的主题的一个方面可被实现为方法，所述方法包括在处理节点中的以下动作：识别内容项目；生成对该内容项目的安全请求，该安全请求包括一个或多个时间约束；确定用于该安全请求的第一安全操作是否能够在一个或多个时间约束内执行；以及，如果处理节点确定第一安全操作能够在一个或多个时间约束内执行，则向职权节点传送安全请求。该方面的其他实施方式包括相应的系统、装置和计算机程序产品。

本说明书中描述的主题的另一方面可实现为方法，所述方法包括在职权节点中的以下动作：从处理节点接收对第一安全操作的请求，所述安全请求定义一个或多个时间约束；确定第一安全操作是否能够在一个或多个时间约束内执行；以及，仅在职权节点管理器确定第一安全操作能够在一个或多个时间约束内执行时，启动第一安全操作的性能。该方面的其他实施方式包括相应的系统、装置和计算机程序产品。

本说明书中描述的主题还包括其他方面。此外，以下可选优势中的一个或多个可以通过本说明书中描述的主题的实施方式来实现。在跨广阔的地理区域分布的处理节点中，提高了对与安全有关的数据的缓存命中率。通过确保在启动查找操作时安全数据在缓存中是可用的，来减少处理延迟。还通过确定第一安全操作(例如，在处理节点处接收内容项目的威胁类型数据)是否能够在时间约束内完成，或者确定启动第二安全操作(例如在处理节点处对内容项目进行扫描)来确定威胁类型数据是否在时间成本上更有效，来减少处理延迟。这些可选优势可以分别实现，并且不需要在任何特定的实施方式中实现。

本说明书中所描述主题的一个或多个实施例的细节在附图以及以下描述中给出。所述主题的其它特征、方面和优势将从所述描述、附图和权利要求变得显而易见的。

附图说明

图1是分布式安全系统的框图。

图2是图1的系统的框图，其中更为详细地图示了图1的组件。

图3是多层威胁检测体系的框图。

图4是用于提供分布式安全服务开通的示例性过程的流程图。

图5是用于处理分布式安全系统中的威胁的示例性过程的流程图。

图6是用于处理分布式安全系统中的威胁的示例性过程的流程图。

图7是用于处理分布式安全系统中的威胁的示例性过程的流程图。

图8是用于处理分布式安全系统中的威胁的示例性过程的流程图。

图9是描述在时间上的安全数据信息值的时序图。