专利名称::分布式安全服务开通的制作方法
技术领域:
:该公开涉及安全服务开通(securityprovisioning)。
背景技术:
:计算机网络的普及和访问需要保护重要信息的安全措施。例如,企业能够通过使用分层的安全系统来实现这样的安全措施。这样的分层的安全系统能够在所述企业的网络边缘实现,所述网络边缘例如防火墙、网关安全代理等。此外,分层的安全系统还可以包括遍布企业实现的安全处理和代理,例如企业内每个计算机设备上的病毒扫描软件、内容过滤软件、内容监视软件等。这样的分层的安全系统倾向于处理效率低并且会需要企业内的许多资源来维护该系统。例如,公司可以具有部署在其网络内的多层的安全系统。在公司计算机上所接收的文件可以由内容过滤系统、入侵检测系统进行处理,并且通过公司的防火墙传送到接收所述文件的每个计算机。此外,每个计算机可以包括可以在接收到文件时对其进行扫描的病毒扫描软件。因此,无论文件完整性如何,每个文件潜在地可能被多个过程检查多次,导致处理延迟。因此,虽然达到了保护企业的目标,但是这不过是以相对低效的方式所达到的。此外,这些分层的防卫中的许多独立地进行操作并且不向不同的安全次提供反馈。例如,公司所使用的病毒扫描软件可能无法与公司的防火墙进行通信。因此,所述防火墙可以继续传送被感染的文件,并且接收所述被感染文件的每个计算机将消耗执行安全操作的资源,并且那些计算机的每个用户同样将响应于安全威胁花费时间来执行手工补救动作。许多分层的安全系统未实现分布基础设施以通信和共享内容智能。这导致对好和坏的内容都进行重复处理。例如,与在企业位置中所检测到的病毒发作相关的信息无法轻易传播到企业的中央办公室或其它分支;被发现包括恶意软件(“malware”)或令人反感内容的统一资源定位符(URL)无法轻易传播到企业的中央办公室或其它分支。许多分层的安全系统还无法轻易维护威胁数据的中央数据存储,所述中央数据存储根据安全分类(例如,病毒、恶意软件、垃圾邮件等)对诸如文件、URL、电子邮件等的内容项目进行分类。带宽也是企业中所实现的分层的安全系统中的实际限制。通常在消耗了链路带宽之后,在企业周边以及企业网络边缘内部发生威胁检测。例如,企业能够通过在企业网关处检查内容来停止下载音乐内容或新闻供给;然而,这样的监视必然要以至少将其识别为特定内容类型所需的带宽量为代价。此外,许多计算设备可能不具有足够的资源来运行恶意软件或病毒检测软件,诸如蜂窝电话、支持互联网的装置等。因此这些设备可能易于受到攻击。最后,生成企业的统一的安全观点是一个困难的过程,原因在于这需要从不同位置和用户群体收集数据并且在提取并生成报告之前以共用的时间顺序对数据进行安排。由于跨位置的安全产品的不一致性,在将信息捕获到共用格式方面存在困难。此外,实时通信这些记录的成本是可观的。例如,具有10个小分支以及一个总部的企业可以具有每秒钟100次请求的平均交易率。每次交易产生512字节的日志记录。这导致使用50K字节/秒GOOlA每秒)的上行链路带宽。通过DSL链路提供服务的小型位置具有300Kb/秒-500Kkb每秒的上行链路带宽,因此日志记录的传输将明显影响系统的响应时间。带宽约束仅对于具有数千用户的较大型企业有所增长。
发明内容本说明书中所描述的主题针对分布式安全服务开通。例如,可以在企业的网络边缘之外提供所述企业的安全处理。在一种实施方式中,一种包括内容处理节点的分布式网络安全系统在恶意软件、间谍软件和其它不希望的内容到达目的地网络和计算系统之前检测并停止这样的内容的分发。所述系统可以包括许多分布式处理节点以及一个或多个职权节点,所述职权节点向处理节点提供安全策略数据、威胁数据和其它安全数据。例如,所述系统能够接近实时地跨处理节点共享防卫事件以加固网络中处理节点的防卫能力。每个处理节点可以包括数据检查引擎的集合,其中每个引擎专门检测特定类型的威胁。多个引擎并行对数据进行操作。通常,本说明书中所描述主题的一个方面可以实现为包括处理节点中的以下动作的方法向多个外部系统提供数据通信;存储从职权节点所接收的安全策略;监视由外部系统所请求或者从外部系统所发送的内容项目;对内容项目进行威胁检测以根据威胁类型对所述内容项目进行分类;以及在所述外部系统的网络边缘之外依据所述安全策略和内容项目的类型对多个外部系统实施(enforce)安全策略。该方面的其它实施方式包括相应的系统、装置和计算机程序产品。本说明书中所描述主题的另一个方面可以实现为包括职权节点中的以下动作的方法接收为多个外部系统中的每一个定义安全策略的安全策略数据、为多个内容项目定义威胁类型的威胁类型数据以及定义内容项目是否已经被威胁检测处理的检测处理过滤数据;向多个处理节点系统分发所述安全策略数据、威胁类型数据和检测处理过滤数据;从处理节点系统接收威胁更新数据,所述威胁更新数据用于更新威胁类型数据和检测处理过滤器;基于所述威胁更新数据对所述威胁类型数据和检测处理过滤数据进行更新;以及向所述多个处理节点分发经更新的威胁类型数据和经更新的检测处理过滤数据。该方面的其它实施方式包括相应的系统、装置和计算机程序产品。本说明书中所描述的主题还包括其它方面。此外,本说明书中所描述主题的实施方式能够实现以下优点中的一个或多个。通过职权节点促进了用于多个用户(例如,企业)的安全系统的管理、维护和更新。可以跨公司位置以及跨公司共享威胁检测结果而并不牺牲通信的隐私。对各计算机设备(例如,个人计算机)中所实现的安全处理的多个更新的需求得以最小化或被排除。具有多个位置的企业无需在所述多个位置中的每一个处维护安全保护中心。所述系统提供通信基础设施,其将与防卫事件相关的威胁数据自动传播到多个处理节点,降低了保护延迟、资源需求和成本。此外,可以在企业的网络边缘之外进行防卫日志数据的收集,使得对企业内可用带宽的影响降低或最小化。威胁检测与用户访问成比例并且使得可以在存储器缓存中快速获取相关的威胁检测数据。移动用户可以被提供有与来自台式机的访问相同水平的保护。本说明书中所描述主题的一个或多个实施例的细节在附图以及以下描述中给出。所述主题的其它特征、方面和优势将从所述描述、附图和权利要求变得显而易见的。图1是分布式安全系统的框图。图2是图1的系统的框图,其中更为详细地图示了图1的组件。图3是多层威胁检测体系的框图。图4是用于提供分布式安全服务开通的示例性过程的流程图。图5是用于处理分布式安全系统中的威胁的示例性过程的流程图。图6是用于处理分布式安全系统中的威胁的示例性过程的流程图。图7是用于处理分布式安全系统中的威胁的示例性过程的流程图。图8是用于处理分布式安全系统中的威胁的示例性过程的流程图。相同的附图标记和指示在各图中表示相同的元素。具体实施例方式图1是分布式安全系统100的框图。例如,系统100可以被实现为诸如互联网的广域网(WAN)中的覆盖网络。系统100包括内容处理节点110,其检测并排除安全威胁的分发,例如恶意软件、间谍软件以及从外部系统发送或由外部系统所请求的其它不希望的内容。示例性外部系统可以包括企业200、计算机设备220和移动设备230,或者其它网络和计算系统。§1.0示例性高级系统体系在示例性实施方式中,每个处理节点110可以包括决策系统,例如对内容项目进行操作的数据检查引擎,所述内容项目例如网页、文件、电子邮件消息,或者从外部系统之一发送或者由其请求的其它一些数据或数据通信。在一些实施方式中,通过处理节点110对去往互联网或者从互联网接收的所有数据进行处理。在其它实施方式中,通过处理节点110对每个外部系统所指定的特定数据进行处理,所述特定数据例如仅电子邮件、仅可执行文件等。每个处理节点110能够为一个或多个部分C=[cl,c2,...,cm]的内容项目生成决策矢量D=[dl,d2,...,dn]。每个决策矢量能够识别威胁类型,例如未感染(clean)、间谍软件、恶意软件、不希望的内容、无害、未知等。例如,决策矢量D的每个元素的输出可以基于一个或多个数据检查引擎的输出。在一些实施方式中,所述威胁类型可以被减少为类别的子集,例如破坏性、非破坏性、中立、未知。基于子集类型,处理节点110可以允许内容项目的分发,排除内容项目的分发,在清理处理之后允许内容项目的分发,或者对内容项目执行威胁检测。在一些实施方式中,处理节点110所采取的动作可以针对内容项目的威胁类型以及从其发送所述内容项目或由其请求所述内容项目的外部系统的安全策略确定。如果对于内容项目的任意部分C=[Cl,C2,...,cm]而言,内容项目在任意处理节点110处是破坏性的,则任意一个数据检查引擎生成导致“破坏”类型的输出。每个处理节点110可以由多个计算机和通信设备来实现,所述计算机和通信设备例如服务器计算机、网关、交换机等。在一些实施方式中,处理节点110可以为访问层150服务。例如,访问层150可以提供对安全系统100的外部系统访问。在一些实施方式中,每个处理节点110可以包括互联网网关和多个服务器计算机,并且处理节点110可以通过地理区域分布,例如遍布国家进行分布。根据系统100的提供者与外部系统的所有者之间的服务协定,系统100能够由此向遍布所述地理区域的任意位置的外部系统提供安全保护。系统100能够根据外部系统的大小和数据要求而以各种方式对数据通信进行监视。例如,企业200可以具有用于通过互联网进行通信的多个路由器,并且所述路由器可以被配置为通过(业务通信时间)最接近的处理节点110建立通信。移动设备230可以被配置为通过任意可用的无线访问设备对最接近的处理节点110进行通信,所述无线访问设备诸如访问点或蜂窝网关。诸如消费者的个人计算机之类的单个计算机设备220可以具有其被配置为访问最接近的处理节点110的浏览器和电子邮件程序,所述最接近的处理节点110进而作为计算机设备220的代理。替选地,互联网提供商可以使得其所有消费者业务通过处理节点110进行处理。在一些实施方式中,处理节点110可以与一个或多个职权节点120进行通信。职权节点120可以存储用于每个外部系统的策略数据,并且可以将所述策略数据分发给每个处理节点110。例如,所述策略数据可以定义所保护系统的安全策略,例如企业200的安全策略。示例性的策略数据可以为用户、网站和/或不被允许的内容、受限域等定义访问特权。职权节点120可以将所述策略数据分发到访问节点110。在一些实施方式中,职权节点120还可以根据威胁类型对包括该类型的内容项目的威胁数据进行分发,例如已知病毒的列表、已知恶意软件站点的列表、垃圾电子邮件域等。威胁数据在处理节点Iio和职权节点120之间的分发可以通过以下更为详细地描述的推和拉分发方案来实现。在一些实施方式中,每个职权节点120可以由多个计算机和通信设备来实现,所述计算机和通信设备例如服务器计算机、网关、交换机等。在一些实施方式中,职权节点110可以为应用层160服务。例如,应用层160可以管理和提供策略数据、威胁数据,以及用于处理节点的数据检查引擎和词典。还可以在应用层中提供其它应用层功能,诸如用户接口前端130。所述用户接口前端130提供外部系统的用户能够通过其提供和定义安全策略的用户接口,所述安全策略例如是否对电子邮件业务进行监视、是否要排除某些网站等。能够通过用户接口前端130提供的另一种应用能力是安全分析和日志报告。安全分析和日志报告功能在其上进行操作的潜在数据存储在为数据日志层170服务的日志节点140中。每个日志节点140可以存储与处理节点110为每个外部系统所处理的安全操作和网络业务相关的数据。在一些实施方式中,日志节点140数据可以是匿名的,从而标识企业的数据被去除或模糊。例如,可以去除标识数据以便为所有企业和用户提供安全处理的整体系统概况而并不泄漏任何一个帐户的身份。在另一个示例中,可以使得标识数据模糊化,例如在每次访问时提供随机的帐号,从而可以按帐户取出所有企业和用户的安全处理的整体系统概况而不泄漏任意一个帐户的身份。在其它实施方式中,可以进一步对所述标识数据和/或日志节点140数据进行加密,例如以使得仅有所述企业(或者在单个用户帐户的情况下的用户)能够访问用于其帐户的日志节点140数据。还可以使用对日志节点140数据进行匿名、模糊或保护的其它处理。在一些实施方式中,访问代理180可以包括在外部系统中。例如,访问代理180部署在企业200中。例如,访问代理180可以通过将客户端设备上的文件的哈希索引提供给处理节点110来便利安全处理,或者例如通过为密码分配标志并且仅将所述标志发送给处理节点从而使得企业的网络边缘之外进行的密码传输最小化而利用处理节点110便利认证功能。也可以由访问代理180便利其它功能和处理。在一些实施方式中,处理节点110可以作为转发代理,其接收直接寻址到处理节点110的对外部服务器的用户请求。在其它实施方式中,处理节点110可以访问以透明模式穿过处理节点Iio的用户请求。例如企业200的受保护系统例如能够选择这些模式中的一个或两个。例如,浏览器可以被人工配置或者通过访问代理180进行配置以便以转发代理模式访问处理节点110。在转发代理模式中,所有访问都被寻址到处理节点110.在另一个示例中,可以对企业网关进行配置以使得通过在企业网关和处理节点之间建立通信隧道而通过处理节点110对用户请求进行路由。对于建立隧道而言,可以使用诸如一般路由封装(GRE)、层2隧道协议(L2TP)或IP安全协议之类的现有协议。在另一个示例中,处理节点110可以部署在互联网服务提供商(ISP)节点处。所述ISP节点能够以透明代理模式将主题业务重新定向到处理节点110。诸如企业200的受保护系统能够使用多协议标签交换(MPLS)类型的服务,用于指示要被重新定向的主题业务。例如,在所述企业内,访问代理180可以被配置为执行MPLS标记。在另一个透明代理模式示例中,诸如企业200的受保护系统可以将处理节点110识别为用于与外部服务器进行通信的下一跳路由器。§2.0示例性详细系统体系和操作图2是图1的系统的框图,其中更为详细地图示了图1的组件。虽然仅图示出一个代表性的组件处理节点110、职权节点120和日志节点140,但是组件节点110、120和140中的每一个可以在系统100中存在多个。诸如互联网的广域网(WAN)101或者有线和/或无线网络的某个其它组合以数据通信连接处理节点110、职权节点120和日志节点140。外部系统200、220和230同样通过WAN101彼此进行通信或者与其它数据提供者和发布者进行通信。外部系统200、220和230中每一个的一些或全部数据通信可以通过处理节点110进行处理。图2还更为详细地示出了企业200。例如,企业200可以包括保护内部网络的防火墙202,所述内部网络可以包括一个或多个企业服务器206、轻量级目录访问协议(LDAP)服务器212以及其它数据或数据存储214。另一个防火墙203可以保护企业子网,所述企业子网可以包括用户计算机206和208(例如,膝上型电脑和台式计算机)。企业200可以通过一个或多个网络设备与WAN101进行通信,所述网络设备诸如路由器、网关等。例如,LDAP服务器104可以存储企业200系统的注册用户的用户登录证明。这样的证明可以包括用户标识符、登录密码以及与每个用户标识符相关联的登录历史。其它数据214可以包括敏感信息,诸如银行记录、医疗记录、贸易秘密信息或者通过一种或多种安全措施保证保护的任何其它信息。在一些实施方式中,客户端计算机208上可以包括客户端访问代理180a。例如,客户端访问代理180a可以通过将用户计算机208上的文件的哈希索引提供给处理节点110以进行恶意软件和/或病毒检测来便利安全处理。访问代理180a也可以便利其它安全操作。在一些实施方式中,服务器访问代理180b例如可以通过为密码分配标志并且仅将所述标志发送给处理节点110从而使得企业的网络边缘之外的密码传输最小化而利用处理节点Iio来便利认证功能。服务器访问代理180b也可以便利其它功能和处理。计算机设备220和移动设备230还可以存储保证安全措施的信息,诸如个人银行记录、医疗信息以及登录信息,例如针对企业200的服务器206的登录信息,或者针对其它一些安全数据提供者服务器的登录信息。§2.1示例件处理节点体系在一些实施方式中,处理节点110处于外部系统200、220和230的网络边缘之外。每个处理节点Iio存储从职权节点120所接收的安全策略113,并且对由外部系统200、220和230所请求或者从其发送的内容项目进行监视。在一些实施方式中,每个处理节点110还可以存储检测处理过滤器112和/或威胁数据114以便利是否应当为了威胁检测而处理内容项目的决定。如果检测处理过滤器112和/或威胁数据114存储在处理节点110,则处理节点管理器118可以依据安全策略数据113以及检测处理过滤器112和/或威胁数据114来管理每个内容项目,从而在用于每个外部系统200、220和230的网络边缘之外实现与处理节点的数据通信中所述多个外部系统的安全策略。例如,根据来自监视的分类结果,内容项目可以被允许、排除或威胁检测。通常,已经被分类为“未感染”或没有造成威胁的内容项目被允许,而被分类为“破坏性”的那些内容项目则可以被排除。那些具有未知状态的内容项目,例如还没有被系统100所处理的内容项目,可以被进行威胁检测以根据威胁类型对该内容项目进行分类。处理节点110可以包括数据检查引擎116。每个数据检查引擎116可以被配置为执行威胁检测处理以根据相应威胁的威胁类型对内容项目进行分类。例如,数据检查引擎可以包括能够将内容项目分类为感染或未感染的病毒扫描器引擎116A,能够将URL地址分类为允许或限制的网络URL过滤器116B,能够将内容项目识别为安全或泄露的数据泄露保护(DLP)引擎116C,以及能够将内容项目分类为通过或失败的动态内容类别(DCC)引擎116D。数据检查引擎116A-116D的列举仅是说明性的;也可以使用许多其它数据检查引擎116,能够作为数据检查引擎的多个实例,例如实现不同数据泄露算法的不同类型的数据泄露引擎。可以对所要进行威胁检测的内容项目的类型预测任意的特定数据检查引擎116的调用。例如,来自企200的URL请求可以使得处理节点管理器118仅调用URL过滤器引擎116B。由于被处理节点110所处理的数据量可以相当大,所以检测处理过滤器112可以被用作信息查找过程的第一阶段。例如,检测处理过滤器112可以被用作寻找威胁数据114的前端。内容项目可以通过在从信息项目得出的信息密钥上进行运算的哈希函数而被映射到检测处理过滤器112的索引值。所述信息密钥被哈希以生成索引值(即,比特位置)。例如,防护表(guardtable)中比特位置的0值可以指示没有信息,而该比特位置的1可以指示存在信息。替选地,1可以被用来表示不存在,而O表示存在。每个内容项目可以具有被哈希的信息密钥。例如,处理节点管理器118可以将URL请求的URL地址识别为信息密钥并且对所述URL地址进行哈希;或者可以将可执行文件的文件名和文件大小识别为信息密钥并且对所述可执行文件的文件名和文件大小进行哈希。对信息密钥进行哈希以生成索引并且对检测处理过滤器112中索引处的比特值进行检查通常需要比实际搜索威胁数据114更少的处理时间。使用检测处理过滤器112可以提高数据库查询和/或任何一般信息查询的失败查询(即,响应对不存在信息的请求)性能。由于数据结构通常被优化以对该结构中存在的信息进行访问,所以失败查询性能对于处理对非常少出现的项目的信息搜索所需的时间有较大影响,所述非常少出现的项目例如病毒扫描日志或缓存中存在的文件信息,其中许多或大部分在网络中传输的文件还没有被扫描或缓存。然而,使用检测处理过滤器112,最坏情况下的额外成本仅是1的量级,因此将其用于大多数失败查询节省了mlogm的量级,其中m是威胁数据114中存在的信息记录的数目。检测处理过滤器112因此能够提高其中对信息请求的回答通常为否定的查询的性能。例如,这样的实例可以包括给定文件是否已经进行了病毒扫描,给定URL处的内容是否已经针对不恰当(例如,色情)内容进行了扫描,给定指纹是否与任意存储文档集合相匹配,以及校验和是否对应于任意存储文档集合。因此,如果检测处理过滤器112指示还没有对内容项目进行处理,则避免了对威胁数据114中的最差情况的空查找操作,并且可以立即实施威胁检测。检测处理过滤器112由此对捕捉肯定信息的威胁数据进行了补充。在一些实施方式中,检测处理过滤器112可以是通过单个哈希函数实现的Bloom(布隆)过滤器。Bloom过滤器可以是稀疏表,即包括许多0和少数1的表,并且选择用来最小化或消除错误否定的哈希函数,错误否定例如是信息密钥被哈希到比特位置并且该比特位置在所请求信息实际在时指示其不存在的实例。在一些实施方式中,处理节点110可以利用分层的威胁检测体系111。所述分层的威胁检测体系111可以利用提取每层之间的威胁数据的多层反馈方案。图3中示出并描述了一种示例性分层的威胁检测体系111。然而,也可以使用其它威胁检测体系,并且这样的体系可以不是分层的。§2.2示例性职权节点体系通常,职权节点120包括数据存储,其存储用于外部系统200、220和230中每一个的主安全策略数据123。职权节点管理器128可以被用来管理所述主安全策略数据123,例如从每个外部系统的用户接收定义不同安全策略的输入,并且能够将所述主安全策略数据123分发到每个处理节点110。处理节点110接着存储所述安全策略数据113的本地副本。职权节点120还可以存储主检测处理过滤器122。检测处理过滤器122可以包括指示内容项目是否已经被任意处理节点110中的一个或多个数据检查引擎116所处理。职权节点管理器128可以被用来管理主检测处理过滤器122,例如在处理节点110已经对内容项目进行处理时从处理节点110接收更新并且对所述主检测处理过滤器122进行更新。在一些实施方式中,主检测处理过滤器122可以被分布到处理节点110,所述处理节点110接着存储检测处理过滤器122的本地副本。在一些实施方式中,检测处理过滤器122可以是防护表。例如,处理节点110可以使用本地检测处理过滤器122中的信息以快速确定存在和/或不存在信息,例如是否已经针对恶意软件检查了特定URL是否已经对特定可执行程序进行了病毒扫描,等等。职权节点120还可以存储主威胁数据124。主威胁数据124可以通过威胁类型对内容项目进行分类,例如已知病毒的列表、已知恶意软件站点的列表、垃圾电子邮件域等。职权节点管理器128可以被用来管理主威胁数据124,例如在处理节点110已经对内容项目进行了处理时从所述处理节点110接收更新,并且对具有任意相关结果的主威胁数据124进行更新。在一些实施方式中,主威胁数据124可以被分发到处理节点110,所述处理节点110接着存储威胁数据114的本地副本。在一些实施方式中,职权节点120还可以对每个处理节点110的健康进行监视,例如每个处理节点110中的资源可用性、链路故障的检测等。基于所观察的每个处理节点110的健康,职权节点120可以重新定向处理节点110之间的业务和/或平衡处理节点110之间的业务。也可以由职权节点110来便利其它补救动作和处理。§2.3示例件处理节点和职权节点通信处理节点110和职权节点120可以根据一个或多个推和拉处理进行配置以根据安全策略数据113和/或123、检测处理过滤器112和/或122以及威胁数据114和/或124对内容项目进行管理。§2.3.1威胁数据推在威胁数据推实施方式中,每个处理节点110存储策略数据113和威胁数据114。处理节点管理器118确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行分类。如果内容项目被确定为通过威胁数据114进行了分类,则处理节点管理器118能够根据内容项目的安全分类以及外部系统的安全策略管理内容项目。然而,如果内容项目被确定为没有通过威胁数据114进行分类,则处理节点管理器118能够使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成威胁数据更新,其包括来自威胁检测处理的指示内容项目的威胁类型的数据,并且将威胁数据更新传送到职权节点120.响应于接收所述威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新来更新职权节点数据存储中所存储的主威胁数据124。在一些实施方式中,职权节点管理器128能够自动将所更新的威胁数据传送到其它处理节点110。因此,在遇到新威胁时作为新威胁的威胁数据被自动分发到每个处理节点110。在从职权节点120接收到新的威胁数据时,每个处理节点管理器118能够在本地存储的威胁数据114中存储所更新的威胁数据。§2.3.2威胁数据拉和推在威胁数据的拉和推实施方式中,每个处理节点110存储策略数据113和威胁数据114。处理节点管理器118确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。如果内容项目被确定通过威胁数据114进行了分类,则处理节点管理器118能够根据内容项目的安全分类以及外部系统的安全策略对内容项目进行管理。然而,如果内容项目被确定没有通过威胁数据进行分类,则处理节点管理器118能够向职权节点120请求内容项目的响应威胁数据。由于处理内容项目会消耗宝贵的资源和时间,所以在一些实施方式中,处理节点110能够在交付这样的处理资源之前首先利用职权节点120检查威胁数据114。职权节点管理器128能够从处理节点110接收响应威胁数据请求,并且可以确定所述响应威胁数据是否存储在职权节点数据存储中。如果响应威胁数据被存储在主威胁数据124中,则职权节点管理器128向处理节点110提供包括所述响应威胁数据的回复,从而处理节点管理器118能够依据安全策略数据112和内容项目的类型对内容项目进行管理。相反,如果职权节点管理器128确定响应威胁数据没有存储在主威胁数据124中,则职权节点管理器128能够向处理节点110提供不包括响应威胁数据的回复。作为响应,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。职权节点管理器128然后能够更新主威胁数据124。此后,可以利用响应威胁数据容易对来自其它处理节点110的与对内容项目的响应威胁数据相关的任意未来请求进行服务。§2.3.3检测处理过滤器和威胁数据推在检测处理过滤器和威胁数据推实施方式中,每个处理节点110存储检测处理过滤器112、策略数据113和威胁数据114。处理节点管理器118访问检测处理过滤器112以确定内容项目是否已经被处理。如果处理节点管理器118确定内容项目已经被处理,则其能够确定内容项目是否通过威胁数据114进行了分类。由于检测处理过滤器112具有错误肯定的可能性,所以可以实施威胁数据114中的查找以确保没有出现错误肯定。然而,检测处理过滤器112的初始检查能够排除许多对威胁数据114的空查询,这继而节省了系统资源并提高了效率。如果内容项目通过威胁数据114进行了分类,则处理节点管理器118可以依据安全策略数据113和内容项目的分类对内容项目进行管理。相反,如果处理节点管理器118确定内容项目没有通过威胁数据114进行分类,或者如果处理节点管理器118最初通过检测处理过滤器112确定内容项目没有通过威胁数据114进行分类,则处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。职权节点管理器128继而能够根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124和主检测处理过滤器122进行更新。在一些实施方式中,职权节点管理器128能够自动将所更新的威胁数据和检测处理过滤器传送到其它处理节点110。因此,在遇到新威胁时作为新威胁的威胁数据和检测处理过滤器被自动分发到每个处理节点110,并且每个处理节点110能够更新其检测处理过滤器112和威胁数据114的本地副本。§2.3.4检测处理过滤器以及威胁数据拉和推在检测处理过滤器以及威胁数据拉和推实施方式中,每个处理节点110存储检测处理过滤器112、策略数据113和威胁数据114。处理节点管理器118访问检测处理过滤器112以确定内容项目是否已经被处理。如果处理节点管理器118确定内容项目已经被处理,则其能够确定内容项目是否通过威胁数据114进行了分类。由于检测处理过滤器112具有错误肯定的可能性,所以能够实现威胁数据114中的查找以确保没有出现错误肯定。然而,检测处理过滤器112的初始检查能够排除许多对威胁数据114的空查询,这继而节省了系统资源并提高了效率。如果处理节点管理器118确定内容项目还没有被处理,其能够向职权节点120请求内容项目的响应威胁数据。由于处理内容项目会消耗宝贵的资源和时间,所以在一些实施方式中,处理节点110能够在交付这样的处理资源之前首先利用职权节点120对威胁数据114进行检查。职权节点管理器128可以从处理节点110接收响应威胁数据请求,并且能够确定所述响应威胁数据是否存储在职权节点数据存储中。如果响应威胁数据存储在主威胁数据124中,则职权节点管理器128向处理节点110提供包括所述响应威胁数据的回复,从而处理节点管理器118能够依据安全策略数据112和内容项目的类型对内容项目进行管理,并且进一步对本地检测处理过滤器112进行更新。相反,如果职权节点管理器128确定响应威胁数据没有存储在主威胁数据124中,则职权节点管理器128能够向处理节点110提供不包括响应威胁数据的回复。作为响应,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。一旦内容项目被分类,处理节点管理器118就生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将所述威胁数据更新传送到职权节点120。职权节点管理器128接着可以对主威胁数据124进行更新。此后,可以利用响应威胁数据容易地对来自其它处理节点110的与对内容项目的响应威胁数据相关的任意未来请求进行服务。以上所提供的各种推和拉数据交换处理是示例性处理,其威胁数据和/或检测处理过滤器能够在图1和2的系统100中进行更新。然而,也可以使用其它更新处理。可以通过指令来实现所述数据检查引擎116、处理节点管理器118、职权节点管理器128、用户接口管理器132、日志节点管理器148和职权代理180,所述指令在执行时使得一个或多个处理设备执行以上所描述的处理和功能。例如,这样的指令可以包括诸如脚本指令的解释指令,例如JavaScript或ECMAScript指令,或者可执行代码或存储在计算机可读介质中的其它指令。也可以使用其它处理体系,例如专门设计的硬件和软件的组合。§3.0分层的威胁检测图3是多层威胁检测体系的框图。在一些实施方式中,每个处理节点110可以根据多层威胁检测体系对请求和响应300进行分析,所述多层威胁检测体系包括一个或多个数据检查层302、304、306和308,包括一个或多个并行操作的检测处理。示例性层可以包括用户层302、网络层304、对象层306和内容层308。也可以使用其它层和体系。用户层302可以包括被配置为执行用户层处理的一个或多个用户层检查引擎302A、302B和302C。示例性用户层处理包括登录认证、会话时间输出、标识验证等。网络层304可以包括被配置为执行网络层处理的一个或多个用户层检查引擎304A、304B和304C。示例性网络层处理包括网际协议地址检查、允许或不允许与网际协议地址相关联的内容项目,等等。对象层306可以包括被配置为执行对象层处理的一个或多个对象层检查引擎306A、306B和306C。示例性对象层处理包括识别与内容项目相关联的超文本传输协议报头以及基于所识别的超文本传输协议报头允许或不允许内容项目,元数据过滤,等等。内容层308可以包括被配置为执行内容层处理的一个或多个内容层检查引擎308A、308B和308C。示例性内容层处理包括对内容项目进行病毒扫描以及基于所述病毒扫描允许或不允许内容项目;基于文件类型拒绝文件等。在一些实施方式中,每个层302、304、306和308能够向上层提供威胁类型反馈。在一个实施方式中,每个层具有决策系统集合,其将发现反馈回上层以便提取威胁发现。例如,在病毒扫描之后,内容层308可以向对象层306提供结果。对象层306接着针对内容的对象标识(例如具有内容校验和的URL)对发现进行索引,并且记录所述发现以便未来使用。此后,对象层306处的校验能够将内容识别为被感染,并且无需开始内容层308中的隔离处理。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。作为另一个示例,内容层308可以将来自特定地址的内容检测为色情内容。对象层306可以将特定页面记录为色情页面并且将该信息提供给网络参数层304。在来自目的地(例如,网际协议地址或域名)的足够数量的页面被识别为色情的之后,网络参数层304可以接着使用网际协议地址或域名将特定目的地索引为色情的。此后,网络参数层304处的校验可以将页面或内容识别为令人反感的,并且可以排除层306和308处的隔离处理。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。在最高层,用户对安全策略的继续违反会导致锁死或限制从用户帐户对资源的访问。例如,如果网络层304反馈回识别与用户帐户相关联的频繁违反安全的检测(例如,试图访问具有恶意软件的站点、试图访问色情站点,以及请求感染文件)的数据,则用户帐户自身可以被锁定(lockdown)或剥夺访问特权(例如,用户可以仅被允许企业内部网内的访问,并且可以排除企业防火墙之外的所有请求)。如以上所描述的,该信息可以存储在威胁数据114中并且与其它处理节点110和/或职权节点120进行共享。在一些实施方式中,内容层308处理可以在处理节点110的数据检查引擎116中实施,并且用户层302、网络层304和对象层306的处理可以在处理节点管理器118中实施。也可以使用其它层分布。以上所描述的示例性实施方式在外部系统的网络边缘之外执行外部系统的安全功能,节省了外部系统中的网络资源。所有事务都被日志节点管理器148作为日志数据142记入一个或多个日志节点140中。因此,可以在外部系统的网络边缘之外收集和/或存储安全日志数据,在外部系统内产生非常少的与安全日志相关的业务。然而,所述安全日志数据可以由用户接口前端130容易地进行访问。例如,用户接口管理器132可以被用来生成日志报告,执行安全方案、监视网络业务等。§4.0用于提供分布式安全服务开通的示例性过程图4是用于提供分布式安全服务开通的示例性过程400的流程图。例如,过程400可以实现在图1和2中的系统100中,或者实现在具有分布式体系的其它安全系统中。图4中所示的阶段均为能够根据需要独立和并发地执行的过程。阶段402从多个处理节点向多个外部系统提供数据通信。例如,处理节点110可以被用来建立与外部系统200、220和230的数据通信。阶段404存储从职权节点所接收的安全策略。例如,处理节点110可以存储从职权节点120所接收的安全策略数据113。职权节点120可以响应于访问主安全策略数据123而提供安全策略数据113。阶段406对由外部系统所请求或从其发送的内容项目进行监视。例如,处理节点110可以监视发送到外部系统200、220和230以及由外部系统200、220和230所请求的文件、URL请求和电子邮件通信。系统100可以根据外部系统的大小和数据要求以各种方式对数据通信进行监视。例如,企业200可以具有用于在互联网上通信的多个路由器,并且所述路由器可以被配置为通过(在业务通信时间方面)最近的处理节点110建立通信。移动设备230可以被配置为通过任意可用的无线访问设备与最近的处理节点110进行通信,所述无线访问设备诸如访问点或蜂窝网关。诸如消费者的个人计算机之类的单个计算机设备220可以使其浏览器和电子邮件程序被配置为访问最近的代理节点110,所述最近的代理节点110继而作为计算机设备220的代理。替选地,互联网提供商可以使其所有消费者业务通过处理节点110进行处理。阶段408对内容项目进行威胁检测以根据威胁类型对内容项目进行分类。例如,处理节点Iio的数据检查引擎116可以执行诸如病毒扫描和URL恶意软件检测之类的威胁检测处理以根据病毒和恶意软件类型对内容项目进行分类。阶段410依据安全策略和内容项目的类型对多个外部系统实施安全策略。例如,处理节点110可以根据内容项目上的威胁类型以及每个外部系统200、220和230的安全策略对内容项目进行管理。阶段412基于内容项目的监视以及内容项目的威胁检测分发对威胁数据和/或处理过滤器数据的更新。例如,处理节点Iio和/或职权节点120可以基于内容项目的监视以及内容项目的威胁检测分发对威胁数据和/或处理过滤器数据的更新。所述更新可以通过以上所描述的推/拉方案中的任何一个进行分发,或者根据以下图5-8的任一流程图进行分发。图5是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程500可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。阶段502访问威胁数据。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的威胁数据114。阶段504确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定外部系统所请求或传送的内容项目是否通过威胁数据114进行了分类。如果内容项目被确定为通过威胁数据114进行了分类,则阶段510依据安全策略数据113和内容项目的类型对所述内容项目进行管理。例如,处理节点管理器118可以根据内容项目的安全类型以及外部系统的安全策略对内容项目进行管理。然而,如果内容项目被确定为没有通过威胁数据114进行分类,则阶段506根据威胁类型对内容项目进行分类。例如,处理节点管理器118能够使得数据检查引擎116中的一个或多个执行威胁检测处理过程以根据威胁类型对内容项目进行分类。阶段508接着生成包括来自威胁检测处理过程的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。该过程接着执行如以上所描述的阶段510。响应于阶段508的执行,阶段550根据从处理节点所接收的威胁数据更新对威胁数据进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124进行更新。阶段552将所更新的威胁数据传送到其它处理节点。例如,职权节点管理器128可以自动将所更新的威胁数据传送到其它处理节点110。图6是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程600可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。阶段602访问威胁数据。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的威胁数据114。阶段604确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。如果阶段604确定内容项目通过威胁数据114进行了分类,则阶段614依据安全策略数据113和内容项目的类型对所述内容项目进行管理。例如,处理节点管理器118可以根据内容项目的安全类型以及外部系统的安全策略对内容项目进行管理。如果阶段604确定内容项目没有通过威胁数据114进行分类,则节点606向职权节点请求响应威胁数据。例如,处理节点管理器118能够向职权节点120请求关于内容项目的响应威胁数据。阶段608确定响应于请求而从职权节点接收的回复是否指示内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118能够确定从职权节点120所接收的回复是否包括响应威胁数据。如果处理节点管理器118确定从职权节点120所接收的回复包括响应威胁数据,则可以执行如以上所描述的阶段614。相反,如果阶段608确定从职权节点所接收的回复不包括响应威胁数据,则阶段610根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。阶段612接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。该过程接着执行如以上所描述的阶段614。响应于阶段606的执行,阶段650访问威胁数据。例如,可以由职权节点管理器128访问职权节点处的主威胁数据124。阶段652确定内容项目是否通过所访问的威胁数据进行了分类。例如,职权节点管理器可以确定内容项目是否通过主威胁数据124进行了分类。如果阶段652确定内容项目通过所访问的威胁数据进行了分类,则阶段654向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送包括响应威胁数据的回复,之后执行阶段608。相反,如果阶段652确定内容项目没有通过所访问的威胁数据进行分类,则阶段656向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送不包括响应威胁数据的回复,之后执行阶段608。阶段658接收响应于阶段612的执行而传送的威胁数据更新,并且根据所接收的威胁数据更新对威胁数据进行更新。例如,职权节点管理器128接着可以基于从处理节点管理器118所接收的威胁数据更新对主威胁数据124进行更新。图7是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程700可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。阶段702访问检测处理过滤器。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的检测处理过滤器112。阶段704确定之前是否已经对内容项目进行了处理。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目之前是否已经由处理节点基于检测处理过滤器112的输出进行了处理。如果阶段704确定之前已经对内容项目进行了处理,则阶段706访问威胁数据以确定内容项目的类型,并且阶段708确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以访问威胁数据114,并且确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。如果内容项目被确定为通过威胁数据进行了分类,则阶段710依据安全策略数据和内容项目的类型对内容项目进行管理。例如,处理节点管理器118能够根据内容项目的安全类型以及外部系统的安全策略113对内容项目进行管理。然而,如果内容项目被确定为没有通过威胁数据114进行分类,则阶段712根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。阶段714接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。该过程接着执行如以上所描述的阶段710。响应于阶段714的执行,阶段750根据从处理节点所接收的威胁数据更新对威胁数据进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主威胁数据124进行更新。而且,响应于阶段714的执行,阶段752根据从处理节点所接收的威胁数据更新对检测处理过滤器进行更新。例如,响应于接收威胁数据更新,职权节点管理器128根据从处理节点110所接收的威胁数据更新对职权节点数据存储中所存储的主检测处理过滤器122进行更新。阶段754将所更新的威胁数据传送到其它处理节点。例如,职权节点管理器128可以自动将所更新的威胁数据和检测处理过滤器传送到其它处理节点110。图8是用于处理分布式安全系统中的威胁的示例性过程的流程图。例如,过程800可以实现在图1和2的系统100中,或者实现在具有分布式体系的其它安全系统中。阶段802访问检测处理过滤器。例如,处理节点管理器118可以访问存储在例如硬盘驱动、数据库的处理节点数据存储中或随机存取存储器中的检测处理过滤器112。阶段804确定之前是否已经对内容项目进行了处理。例如,处理节点管理器118可以确定由外部系统所请求或从其传送的内容项目之前是否已经由处理节点基于检测处理过滤器112的输出进行了处理。如果阶段804确定之前已经对内容项目进行了处理,则阶段806访问威胁数据以确定内容项目的类型,并且阶段808确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以访问威胁数据114,并且确定由外部系统所请求或从其传送的内容项目是否通过威胁数据114进行了分类。如果内容项目被确定为通过威胁数据进行了分类,则阶段810依据安全策略数据和内容项目的类型对内容项目进行管理。例如,处理节点管理器118能够根据内容项目的安全类型以及外部系统的安全策略113对内容项目进行管理。然而,如果阶段804最初确定内容项目之前没有被处理过,则阶段806向职权节点请求响应威胁数据。例如,处理节点管理器118可以向职权节点120请求关于内容项目的响应威胁数据。该过程接着返回阶段808,其接着确定内容项目是否通过威胁数据进行了分类。例如,处理节点管理器118可以确定从职权节点120所接收的回复是否包括响应威胁数据。如果处理节点管理器118确定从职权节点120所接收的回复包括响应威胁数据,则可以执行如以上所描述的阶段810。此外,也可以对存储在处理节点110的检测处理过滤器112进行更新以指示内容项目已经被处理,并且响应威胁数据可以存储在处理节点处所存储的威胁数据114中。相反,如果阶段808确定回复不包括响应威胁数据,则阶段812根据威胁类型对内容项目进行分类。例如,处理节点管理器118可以使得数据检查引擎116中的一个或多个执行威胁检测处理以根据威胁类型对内容项目进行分类。阶段814接着生成包括来自威胁检测处理的指示内容项目的威胁类型的数据的威胁数据更新,并且将威胁数据传送到职权节点。例如,处理节点管理器118可以生成威胁数据更新并且可以将所述威胁数据更新传送到职权节点120。此后,执行阶段810。响应于阶段816的执行,阶段850访问威胁数据。例如,可以由职权节点管理器128访问职权节点处的主威胁数据124。阶段852确定内容项目是否通过所访问的威胁数据进行了分类。例如,职权节点管理器可以确定内容项目是否通过主威胁数据124进行了分类。如果阶段852确定通过所访问的威胁数据对内容项目进行了分类,则阶段854向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送包括响应威胁数据的回复,之后执行阶段808。相反,如果阶段852确定没有通过所访问的威胁数据对内容项目进行分类,则阶段856向进行请求的处理节点传送包括响应威胁数据的回复。例如,职权节点管理器128可以传送不包括响应威胁数据的回复,之后执行阶段808。阶段858接收响应于阶段814的执行而传送的威胁数据更新,并且根据所接收的威胁数据更新对威胁数据进行更新。例如,职权节点管理器128接着可以基于从处理节点管理器118所接收的威胁数据更新对主威胁数据124进行更新。图4-8的各种数据交换过程是示例性过程,其威胁数据和/或检测处理过滤器可以在图1和2的系统100中进行更新。然而,也可以使用其它更新过程。本说明书中所描述的主题和功能操作的实施例可以以数字电路来实现,或者以计算机软件、固件或硬件来实现,包括本说明书中所公开的结构及其结构等同形式,或者以它们中一个或多个的组合来实现。本说明书中所描述的主题的实施例可以被实现为一个或多个计算机程序产品,即编码在有形程序载体上的计算机程序指令的一个或多个模块,以便由数据处理装置来执行,或者用于控制所述数据处理装置的操作。所述有形程序载体可以为传播信号或计算机可读介质。所述传播信号是人工生成的信号,例如机器生成的电、光、电磁信号,其被生成以对信息进行编码以便传输到适当的接收器装置供计算机执行。所述计算机可读介质可以是机器可读的存储设备、机器可读的存储基片、存储器设备、影响机器可读传播信号的物质成分,或者它们中一个或多个的组合。计算机程序(也被称作程序、软件、软件应用、脚本或代码)可以以任意形式的编程语言进行编写,包括编译或解释语言,或者声明或过程语言,并且其可以以任意形式被部署,包括作为独立程序或者作为适于在计算环境中使用的模块、组件、子程序或其它单元。计算机程序不必对应于文件系统中的文件。程序可以存储在保存其它程序或数据的文件(例如,存储在标记语言文档中的一个或多个脚本)的一部分中,存储在专用于所讨论程序的单个文件中,或者存储在多个协同文件中(例如,存储一个或多个模块、子程序或代码部分的文件)。计算机程序可以被部署为在一个计算机上执行,或者在位于单个地点或跨多个地点分布并通过通信网络互联的多个计算机上执行。此外,本专利文献中所描述的逻辑流程和结构块图也可以被用来实现相应的软件结构和算法及其等同形式,其中本专利文献描述了特定方法和/或支持步骤的相应动作以及支持所公开的结构化装置的相应功能。该说明书中所描述的过程和逻辑流程可以由一个或多个可编程处理器来执行,所述可编程处理器执行一个或多个计算机程序以通过对输入数据进行操作并生成输出来执行功能。适于执行计算机程序的处理器包括例如通用和专用微处理器,以及任意类型的数字计算机的任意一个或多个处理器。通常,处理器将从只读存储器或随机存取存储器或其二者接收指令和数据。计算机的实质性元件为用于执行指令的处理器和一个或多个用于存储指令和数据的存储器设备。通常,计算机还将包括一个或多个用于存储数据的大容量存储设备,或者操作地耦接到所述大容量存储设备以从其接收数据或向其传送数据或者这二者,所述大容量存储设备例如磁盘、磁光盘或光盘。然而,计算机无需具有这样的设备。适于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,例如包括半导体存储器设备,例如EPROM、EEPROM和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及CDROM和DVDROM盘。处理器和存储器可以被补充以专用逻辑电路或者集成在所述专用逻辑电路中。为了提供与用户的交互,本说明书中所描述主题的实施例可以在具有用于向用户显示信息的显示设备以及用户能够利用其向计算机提供输入的键盘和指示设备的计算机上实现,所述显示设备例如CRT(阴极射线管)或IXD(液晶显示)监视器,所述指示设备例如鼠标或轨迹球。也可以使用其它类型的设备来提供与用户的交互;例如,提供给用户的反馈可以为任意形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且来自用户的输入可以以任意形式接收,包括声音、语音或触觉输入。本说明书中所描述的主题的实施例可以在计算系统中实现,所述计算系统包括例如数据服务器的后端组件,或者其包括例如应用服务器的中间件组件,或者其包括例如客户端计算机的前端组件,所述客户端计算机具有用户能够通过其与本说明书中所描述主题的实施方式进行交互的图形用户界面或Web浏览器,或者所述计算系统包括这样的后端、中间件或前端组件的任意组合。所述系统的组件可以通过例如通信网络的任意形式或介质的数字数据通信进行互连。通信网络的示例包括局域网(“LAN”)和例如互联网的广域网(“WAN”)。所述计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且典型地通过通信网络进行交互。客户端和服务器的关系源自在各自计算机上运行并且彼此具有客户端服务器关系的计算机程序。虽然本说明书包含许多特定的实施方式细节,但是这些不应当被理解为对任意发明范围或所要求的范围的限制,而是要被理解为可能特定于特定发明的特定实施例的特征的描述。本说明书中在分立实施例的背景下描述的特定特征也可以在单个实施例中组合实施。相反,在单个实施例的背景下所描述的各种特征也可以在多个实施例中分立实施或者以任何适当子组合来实施。此外,虽然特征在以上可以被描述为以特定组合起作用并且甚至最初这样要求,但是来自所要求的组合的一个或多个特征在一些情况下可以脱离所述组合,并且所要求的组合可以针对子组合或子组合的变化形式。类似地,虽然操作在图中以特定顺序进行描绘,但是这不应当被理解为要求这样的操作以所示的特定顺序或连续顺序执行,或者要执行所有所图示的操作才能实现所需的结果。在特定环境中,多任务或并行处理可能是有益的。此外,以上所描述实施例中各种系统组件的分离不应当被理解为在所有实施例中都要求这样的分离,并且其应当被理解为所描述的程序组件和系统一般能够在单个软件产品中整合在一起或者被封装到多个软件产品中。已经对本说明书中所描述的主题的特定实施例进行了描述。其它实施例处于权利要求的范围之内。例如,权利要求中所引用的动作可以以不同顺序执行并且仍然实现所需结果。作为一个示例,附图中所描绘的过程不必要求所示的特定顺序或连续顺序才能实现所需的结果。在特定实施方式中,多任务和并行处理可能是有益的。这里所书写的描述给出了本发明的最佳模式并且提供了示例来描述本发明并且使得本领域技术人员能够制造和使用本发明。这里所书写的描述并未将本发明限制为所给出的确切措辞形式。因此,虽然已经参考以上所给出的示例对本发明进行了详细描述,但是本领域技术人员可以对所述示例进行改变、修改和变化而并不脱离本发明的范围。权利要求1.一种网络安全系统,包括在多个外部系统的网络边缘之外的多个处理节点,每个处理节点包括处理节点数据存储,存储定义用于所述外部系统中的每一个的安全策略的安全策略数据;多个数据检查引擎,每个数据检查引擎被配置为执行威胁检测处理以根据相应威胁的威胁类型对内容项目进行分类;和处理节点管理器,与所述数据检查引擎进行数据通信并且被配置为访问存储在所述处理节点数据存储中的所述安全策略数据并且依据所述安全策略数据对经分类的内容项目进行管理,使得用于与所述处理节点进行数据通信的多个外部系统的所述安全策略被实现在所述外部系统中的每一个的所述网络边缘之外;以及与所述处理节点进行数据通信的职权节点,所述职权节点包括存储用于所述多个外部系统中的每一个的安全策略数据的职权节点数据存储,并且包括被配置为向所述处理节点中的每一个提供所述安全策略数据的职权节点管理器。2.如权利要求1所述的安全系统,其中每个处理节点中的数据存储包括通过威胁类型对内容项目进行分类的威胁数据,并且每个处理节点中的处理节点管理器被配置为确定内容项目是否通过所述威胁数据进行了分类;如果所述内容项目被确定为没有通过所述威胁数据进行分类,则使得所述数据检查弓I擎执行所述威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点;如果所述内容项目被确定为通过所述威胁数据进行了分类,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理。3.如权利要求2所述的系统,其中所述职权节点管理器进一步被配置为根据从所述处理节点所接收的所述威胁数据更新对存储在所述职权节点数据存储中的威胁数据进行更新,并且将所更新的威胁数据传送到其它处理节点;并且每个处理节点管理器进一步被配置为将从所述职权节点所接收的经更新的威胁数据存储在其处理节点数据存储中。4.如权利要求3所述的系统,其中所述数据检查引擎中的一个包括病毒扫描引擎并且所述威胁类型包括被感染和未感染。5.如权利要求3所述的系统,其中所述数据检查引擎中的一个包括统一资源定位符过滤器并且所述威胁类型包括允许和受限制。6.如权利要求1所述的安全系统,其中每个处理节点中的所述处理节点数据存储包括通过威胁类型对内容项目进行分类的威胁数据,并且每个处理节点中的处理节点管理器被配置为确定内容项目是否通过所述威胁数据进行了分类;如果所述内容项目被确定为没有通过所述威胁数据进行分类,则向所述职权节点请求用于所述内容项目的响应威胁数据;确定响应于所述请求来自所述职权节点的回复是否包括对所述内容项目进行分类的响应威胁数据;如果不包括对所述内容项目进行分类的响应威胁数据,则使得所述数据检查引擎执行所述威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点;以及如果所述回复包括对所述内容项目进行分类的响应数据,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理。7.如权利要求6所述的系统,其中所述职权节点管理器进一步被配置为从所述处理节点接收响应威胁数据请求,并且确定所述响应威胁数据是否存储在所述职权节点数据存储中;如果响应威胁数据存储在所述职权节点数据存储中,则响应于所述威胁数据请求向所述处理节点提供包括所述响应威胁数据的回复;以及如果所述响应威胁数据未存储在所述职权节点数据存储中,则向所述处理节点提供不包括所述响应威胁数据的回复;并且根据从所述处理节点所接收的威胁数据更新对存储在所述职权节点数据存储中的威胁数据进行更新。8.如权利要求1所述的系统,其中每个处理节点中的数据存储包括通过威胁类型对内容项目进行分类的威胁数据;和指示内容项目是否已经被所述数据检查引擎中的一个或多个处理的检测处理过滤器;并且其中每个处理节点中的处理节点管理器被配置为访问所述检测处理过滤器以确定所述内容项目是否已经被处理;响应于确定所述内容项目已经被处理,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理;并且响应于确定所述内容项目没有被处理使得所述数据检查引擎执行所述威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点。9.如权利要求8所述的系统,其中所述职权节点管理器进一步被配置为根据从所述处理节点所接收的所述威胁数据更新对存储在所述职权节点数据存储中的威胁数据进行更新,并且将所更新的威胁数据传送到所述处理节点;并且根据所述威胁数据更新对存储在所述职权节点数据存储中的检测处理过滤器进行更新并且将所更新的检测处理过滤器传送到所述处理节点。10.如权利要求8所述的系统,其中所述检测处理过滤器包括布隆过滤器,所述布隆过滤器包括哈希索引以及指示被分解到哈希索引的内容项目是否已经被检测引擎进行处理的多个二进制数据。11.如权利要求1所述的系统,其中每个处理节点中的数据存储包括指示内容项目是否已经被所述数据检查引擎中的一个或多个所处理的检测处理过滤器,并且其中每个处理节点中的处理节点管理器被配置为访问所述检测处理过滤器以确定所述内容项目是否已经被处理;响应于确定所述内容项目还没有被处理,则向所述职权节点请求用于所述内容项目的响应威胁数据;确定响应于所述请求而来自所述职权节点的回复是否包括对所述内容项目进行分类的响应威胁数据;如果所述回复不包括对所述内容项目进行分类的响应数据,则使得所述数据检查引擎执行所述威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点;并且如果所述回复包括对所述内容项目进行分类的响应数据,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理。12.如权利要求11所述的系统,其中所述职权节点管理器进一步被配置为从所述处理节点接收威胁数据请求,并且确定响应威胁数据是否存储在所述职权节点数据存储中;如果响应威胁数据存储在所述职权节点数据存储中,则响应于所述威胁数据请求向所述处理节点提供包括响应威胁数据的回复;并且如果响应威胁数据未存储在所述职权节点数据存储中,则向所述处理节点提供不包括所述响应威胁数据的回复;并且根据从所述处理节点所接收的所述威胁数据更新对存储在所述职权节点数据存储中的威胁数据进行更新。13.如权利要求1所述的系统,进一步包括与所述多个处理节点进行数据通信的日志节点,所述日志节点包括日志数据存储以及被配置为存储所述多个外部系统中的每一个的安全事务数据的记录器。14.如权利要求13所述的系统,其中所述安全事务数据包括指示来自所述外部系统的内容项目请求的内容项目日志和所请求的内容项目的相应威胁类型。15.如权利要求1所述的系统,其中所述内容项目包括电子邮件消息、网页和文件中的一个或多个。16.如权利要求1所述的系统,其中每个处理节点中的数据检查引擎包括被配置为执行认证处理的用户层检查引擎。17.如权利要求1所述的系统,其中每个处理节点中的数据检查引擎包括被配置为执行网络层处理的网络层引擎。18.如权利要求17所述的系统,其中所述网络层处理包括识别与内容项目相关联的网际协议地址以及基于所识别的网际协议地址允许或不允许所述内容项目。19.如权利要求1所述的系统,其中每个处理节点中的数据检查引擎包括被配置为执行对象层处理的对象层引擎。20.如权利要求19所述的系统,其中所述对象层处理包括识别与内容项目相关联的超文本传输协议报头以及基于所识别的超文本传输协议报头允许或不允许所述内容项目。21.如权利要求1所述的系统,其中每个处理节点中的数据检查引擎包括被配置为执行内容层处理的内容层引擎。22.如权利要求21所述的系统,其中所述内容层处理包括对内容项目进行病毒扫描并且基于所述病毒扫描允许或不允许所述内容项目。23.一种计算机实现的安全服务开通方法,包括提供从多个处理节点到多个外部系统的数据通信,所述处理节点处于所述多个外部系统的网络边缘之外,并且在每个处理节点中存储从职权节点所接收的安全策略;对由所述外部系统请求或从所述外部系统发送的内容项目进行监视;对内容项目进行威胁检测以根据威胁类型对所述内容项目进行分类;以及依据所述安全策略和所述内容项目的类型在所述外部系统的所述网络边缘之外实施用于所述多个外部系统的所述安全策略。24.如权利要求23所述的方法,进一步包括在每个处理节点中存储通过威胁类型对内容项目进行分类的威胁数据;并且其中对内容项目进行威胁检测包括在所述处理节点中确定内容项目是否通过所述威胁数据进行了分类;如果所述内容项目被确定为没有通过所述威胁数据进行分类,则对所述内容项目进行威胁检测处理以根据威胁类型对所述内容项目进行分类;生成指示来自所述威胁检测处理的所述内容项目的威胁类型的威胁更新;并且将所述威胁更新传送到所述职权节点。25.如权利要求23所述的方法,进一步包括在每个处理节点中存储通过威胁类型对内容项目进行分类的威胁数据;并且其中对内容项目进行威胁检测包括在所述处理节点中确定内容项目是否通过所述威胁数据进行了分类;如果所述内容项目被确定为没有通过所述威胁数据进行分类,则向职权节点请求用于所述内容项目的响应威胁数据;确定响应于所述请求而来自所述职权节点的回复是否包括对所述内容项目进行分类的所述响应威胁数据;如果所述回复不包括对所述内容项目进行分类的所述响应威胁数据,则进行威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点;并且如果所述回复包括对所述内容项目进行分类的响应威胁数据,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理。26.如权利要求23所述的方法,进一步包括在每个处理节点中存储指示内容项目是否已经被处理的检测处理过滤器;并且其中对内容项目进行威胁检测包括访问所述检测处理过滤器以确定所述内容项目是否已经被处理;响应于确定所述内容项目还没有被处理,则向所述职权节点请求用于所述内容项目的响应威胁数据;确定响应于所述请求而来自所述职权节点的回复是否包括对所述内容项目进行分类的响应威胁数据;如果所述回复不包括对所述内容项目进行分类的响应数据,则进行威胁检测处理以根据威胁类型对所述内容项目进行分类;生成包括来自所述威胁检测处理的指示所述内容项目的威胁类型的数据的威胁数据更新;并且将所述威胁数据更新传送到所述职权节点;并且如果所述回复包括对所述内容项目进行分类的响应威胁数据,则依据所述安全策略数据和所述内容项目的类型对所述内容项目进行管理。27.如权利要求23所述的方法,其中对内容项目进行威胁检测包括在用户层检测威胁;在网络层检测威胁;在对象层检测威胁;和在内容层检测威胁。28.一种存储在计算机可读介质并且包括指令的软件,所述指令可由处理节点系统执行并且响应于这样的执行而使得所述处理节点系统执行包括以下的操作接收并存储定义用于多个外部系统中的每一个的安全策略的安全策略数据、定义多个内容项目的威胁类型的威胁类型数据、以及定义是否已经对内容项目进行了威胁检测处理的检测处理过滤数据;识别由外部系统请求或从外部系统发送的内容项目;对所述内容项目进行检测处理过滤以确定是否已经对所述内容项目进行威胁检测处理;如果所述检测处理过滤确定还没有对所述内容项目进行威胁检测处理,则执行威胁检测例外处理以根据相应威胁的威胁类型对所述内容项目进行分类;生成用于更新所述威胁类型数据和所述检测处理过滤器的威胁更新数据;以及将所述威胁更新数据传送到职权节点以便分发到其它处理节点系统。29.一种存储在计算机可读介质并且包括指令的软件,所述指令可由职权节点系统执行并且响应于这样的执行而使得所述职权节点系统执行包括以下的操作接收并存储定义用于多个外部系统中的每一个的安全策略的安全策略数据、定义多个内容项目的威胁类型的威胁类型数据、以及定义是否已经对内容项目进行了威胁检测处理的检测处理过滤数据;将所述安全策略数据、所述威胁类型数据和所述检测处理过滤数据分发到多个处理节点系统;从处理节点系统接收威胁更新数据,所述威胁更新数据用于更新所述威胁类型数据和所述检测处理过滤器;基于所述威胁更新数据对所述威胁类型数据和所述检测处理过滤数据进行更新;以及将所更新的威胁类型数据和所更新的检测处理过滤数据分发到所述多个处理节点。全文摘要用于在网络边缘之外提供安全处理的分布式安全的系统、方法和装置。所述系统可以包括许多分布式处理节点以及一个或多个职权节点,所述职权节点向处理节点提供安全策略数据、威胁数据和其它安全数据。所述处理节点在恶意软件、间谍软件和其它不希望的内容到达目的地网络和计算系统之前检测并停止这样的内容的分发。文档编号H04L9/00GK102106114SQ200980129035公开日2011年6月22日申请日期2009年5月22日优先权日2008年5月28日发明者凯拉什·凯拉什,斯里坎斯·德瓦拉扬,杰伊·乔杜里,纳林德·保罗,阿卡迪·V·谢科奇欣申请人:兹斯卡勒公司