CN102859934A - 网络可接入计算机服务的接入管理和安全保护系统和方法 - Google Patents
网络可接入计算机服务的接入管理和安全保护系统和方法 Download PDFInfo
- Publication number
- CN102859934A CN102859934A CN2010800204418A CN201080020441A CN102859934A CN 102859934 A CN102859934 A CN 102859934A CN 2010800204418 A CN2010800204418 A CN 2010800204418A CN 201080020441 A CN201080020441 A CN 201080020441A CN 102859934 A CN102859934 A CN 102859934A
- Authority
- CN
- China
- Prior art keywords
- network
- service
- access
- computer service
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
一种对计算机服务提供接入管理和安全保护的方法,包括:提供计算机服务,其中所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上;提供包括多个业务处理节点的第二网络;提供将网络业务从所述第一网络到所述第二网络的重定向装置。接着,将目标为经由所述第一网络接入所述计算机服务的网络业务经由所述重定向网络业务的装置重定向到所述第二网络的业务处理节点。接着通过所述业务处理节点检查和处理所述重定向的网络业务。以及然后仅将已经被所述业务处理节点检查、处理和允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务。
Description
相关待审申请的交叉引用
本申请要求2009年3月31提交的美国临时申请序列号No.61/165250、名称为“CLOUD ROUTING NETWORK FOR BETTER INTERNETPERFORMANCE,RELIABILITY AND SECURITY”的权益,通过引用其全部内容合并于此。
技术领域
本发明涉及因特网安全,并且更具体地涉及网络可接入计算机服务的接入管理和安全保护系统和方法。
背景技术
因为早期将计算机链接在一起形成了计算机网络,所以计算机网络已经变得越来越重要并且已经成为我们社会的基本的基础设施根基之一。典型的网络包括因特网、各种局域网(LAN)、无线网络、移动网络、虚拟专用网等等。许多联网的计算机被编程以提供某种能够被其它联网的实体使用的服务。通常提供网络可接入服务的联网的计算机被称为“服务器”并且消费这样的服务的程序被称为“客户端”。有时,术语“客户端”也用于指代运行这种客户端程序的计算机或设备。
存在许多类型的网络可接入计算机服务。web应用是这样的服务的最广为人知的例子。web应用(也称为“web站点”)是运行在响应超文本传输协议(HTTP)请求的web服务器上的网络可接入计算机服务。根据web应用如何被编程,服务可以是服务的HTML文档、处理电子商务交易或执行搜索查询等等。
客户端是发布HTTP请求到这样的web服务器的典型的web浏览器。Web服务器处理这些HTTP请求并将结果返回到客户端web浏览器。客户端web浏览器可以依次显示结果给终端用户。
联网的计算机服务的另一个例子是web服务。Web服务是运行在web服务服务器上的网络可接入计算机服务并且通常可经由基于HTTP的协议、简单对象接入协议(SOAP)或表述性状态转移(REST)协议接入。但是与通常涉及为(经由诸如web浏览器的客户端侧图形用户界面的)服务自然人的web应用不同,web服务通常涉及为服务其它计算机或设备。例如大多数航空线提供对于其它商业的web服务,诸如执行航空费用查询、预订、查询航班状态等等的旅行web站点。
联网的计算机服务的其它例子包括电子邮件服务器、文件传输协议(FTP)服务器、即时消息服务器和流媒体服务器等等。
任何人使用相关的网络协议可接入联网的计算机服务。例如,任何人可以使用超文本传输(HTTP)协议来接入web应用、使用SOAP或REST协议接入web服务、使用简单邮件传输(SMTP)协议或邮局协议(POP)接入电子邮件服务、使用FTP接入FTP服务等等。该“开放的可接入性”是一把双刃剑。它产生了极大的灵活性并推进了变革。但是它也引入了接入管理和安全保护的挑战。
接入管理是许多网络服务操作的基本要求。大多数网络服务需要决定和控制谁能接入服务的机制。接入管理不仅有关防止不期望的接入,而且有关接入规则和策略。例如web应用可以设立如下规则或策略:
a.协议控制,即特定服务必须仅由特定协议接入。例如,对于web应用通常要求超文本传输安全(HTTPS)协议来提交用户验证数据。如果客户端经由HTTP协议提交这样的数据,则应用可以显示警告或拒绝这样的提交;
b.客户端控制,即仅特定客户端被允许接入某些服务。在一个例子中,一些web站点的功能可以仅对美国内的客户端是可接入的。在另一个例子中,如果客户端已经登录,则仅可以接入一些服务。在另一个例子中,一些服务仅提供给使用特定类型浏览器或移动设备的客户端。
c.地域目标:web站点可能想针对不同地域的客户端提供不同内容到不同地域,诸如对美国访问者提供英文页面并对中国访问者提供中文页面。
d.A/B测试:A/B测试是web开发人员或市场人员通常使用的技术,来通过表明针对用户的不同方式的结果比较来找出最佳方式。Web市场人员可能想向特定用户组展示“页面A”并向不同的用户组展示“页面B”以决定哪个页面具有更好的吸引力。
e.速率控制:某些web应用会希望限制来自每一具体客户端的接入“速率”。否则一些客户端会通过频繁发出请求而“滥用”服务。
f.接入登录和审核:大多数应用为了诸如监视或审核的目的要求客户端接入请求的登录。
g.请求预处理:一些应用会得益于请求预处理,诸如检查请求的有效性、将请求数据变换成规范形式或解密加密的请求。
而且,针对联网的计算机服务的广泛多样性,在网络上传播的信息通常采取经由几个中间节点到达任何目的节点的迂回路径。黑客利用因特网上的各种方面和/或漏洞用于恶意目的。这就是对于使用因特网的所有人而言网络安全产生和为什么其已经变为快速增长的关注点的原因。一些常见的因特网安全问题包括以下:
a.拒绝服务攻击:该攻击通过应接不暇的大量请求来摧毁服务器并使服务器变慢到缓慢运行或最终崩溃;
b.电子邮件炸弹:电子邮件炸弹通常是个人攻击。某人向接收者发送成百上千的相同的电子邮件直到该接收者的电子邮件系统无法再接收任何消息为止;
c.病毒:最广为人知的威胁可能是计算机病毒。病毒是能够将自身复制到其它计算机的小程序,并且通过这样的方式它可以从一个系统向下一个系统快速扩散。病毒的范围包括从无害的消息到诸如删除所有数据的会制造严重损坏的那些;
d.垃圾:通常无害但是总是恼人。垃圾是邮寄宣传品的电子等价物;
e.重定向炸弹:黑客能够使用因特网控制消息协议(ICMP)通过将消息发送到不同的路由器来改变(重定向)消息传播的路径。这是拒绝服务攻击建立的方式之一;
f.蠕虫:蠕虫或多或少是一种病毒,除了它能通过使用在计算机上发现的电子邮件地址将其自身作为邮件分发之外。换言之,它能发现你朋友的电子邮件地址(你计算机上的)并且接着向他们发送感染了病毒的邮件;
g.间谍软件:间谍软件是一种在用户无知觉的情况下下载到计算机上的软件。间谍软件正常地具有在计算机上的权限,因为用户或者在下载前同意了一许可授权(即web站点下载许可)或者同意了一软件安装许可授权。间谍软件可以通过其它方式获得权限,这取决于安全性设置等等。一旦安装并激活,间谍软件收集有关用户和计算机活动的信息用于各种目的并会通过弹出广告攻击用户;
h.网络钓鱼:网络钓鱼是通过装扮成电子通信中的可信实体试图获得诸如用户名、口令和信用卡细节的敏感信息的欺诈犯罪过程。声称来自流行的社交web站点(YouYube、Facebook、Myspace以及Windows LiveMessenger)的通信消息、拍卖站点(eBay)、网上银行(Wells Fargo、Bank of America)、网上支付处理器(PayPal)或IT管理者(Yahoo、ISP、公司)是通常用来诱惑没有防备心的用户。网络钓鱼通常通过电子邮件或即时消息来执行,并且其常常引导用户在看起来感觉与合法站点几乎相同的伪造站点输入敏感信息;
i.特洛伊木马:特洛伊木马假扮成另一常用程序试图偷盗信息的程序。特洛伊木马的例子是行为像登录程序以检索用户输入的用户名和口令信息的程序。用户正常登录,因为特洛伊木马登录屏幕看起来与真正的登录屏幕相同,但是随后特洛伊木马经由因特网向特洛伊木马编程者的计算机发送用户名和口令细节,用户名和口令可用于随后闯入用户的计算机。
除了上面提到的通常攻击之外,其它的web应用的特定的常见攻击包括以下:
A.信息收集攻击
.目录扫描攻击—输入发现站点的文件结构以备将来攻击
.链路缓慢攻击—穿越应用链路试图发现应用结构
.路径切断攻击—通过移动统一资源定位符(URL)的文件名部分来检查目录列表
.公共网关接口(CGI)扫描攻击—扫描并穿越URL和web链路以试图找到web服务器上的可执行脚本或程序
.文件系统扫描攻击—扫描本地文件系统以匹配其结构并检测脆弱文件
.口令侵入攻击—暴力口令猜测
B.注入攻击
.全局可变量注入攻击—使用参数注入任意值到诸如PHP脚本的服务器侧脚本中的未初始化的全局变量;
.远程文件注入攻击—使超文本预处理器(PHP)脚本相信使用远程文件代替本地文件系统的很可能的可信文件
.结构化查询语言(SQL)注入攻击—试图获得数据库服务器以执行任意SQL
.电子邮件注入攻击—试图获得程序以发送任意电子邮件
.命令注入攻击—试图执行壳命令
.代码注入攻击—试图执行任意PHP代码
.交叉站点脚本攻击—试图强制程序输出第三方Java脚本
.Cookie篡改攻击—试图操纵应用的cookie值
.参数操纵攻击—试图操纵至应用验证和过滤的输入
.全局可写文件攻击—基于文件的输入可以注入到其它应用中
上面的攻击仅仅是常见安全攻击的一些例子。不仅对web应用,而且对web服务、电子邮件应用或任何其它基于因特网的应用来说的,这些安全问题可能是严重的威胁。
近几年来,作为有效和更灵活的计算方式,已经出现了云计算。根据维基百科,云计算是指“对于可变服务使用基于因特网(即,云)的计算机技术。它是一种动态可缩放的计算方式,并常常在其中提供虚拟资源作为因特网上的服务。用户不需要知晓、专长于、或控制支持它们的‘云’中的技术基础设施。”术语“云”是基于在计算机网络图中如何对它的描述的比喻,并且是它掩盖的复杂的基础设施的抽象表示。在本文中,我们使用术语“云计算”来指代基于网络的计算基础设施的利用,基于网络的计算基础设施包括许多互联的计算节点以提供某种类型的服务,其中每个节点可以使用像虚拟化和web服务的技术。云自身的内部工作对用户而言被隐蔽。
使云计算能够进行的技术之一是虚拟化。维基百科对“虚拟化”的解释为:虚拟化是广义的术语,指计算机资源的抽象。它包括“平台虚拟化”和“资源虚拟化”。“平台虚拟化”将操作系统与底层平台资源分开,而“资源虚拟化”将具体的系统资源虚拟化,例如存储体、命名空间和网络资源等。由于虚拟化,人们可以自动进行启动、停止和管理计算环境中的“虚拟机器”(VM)节点的任务。每个“虚拟机器”表现得就像从外部角度来看的常规计算机一样。尽管“虚拟机器”自身仅是在“真正”计算机上运行的软件程序,人们可以向其安装软件,从其删除文件和在其上运行程序。
基于虚拟化,许多供应商正提供“作为服务的计算基础设施”。不同的供应商正向客户提供使用“随处支付并买你所想”的模式的云计算基础设施,包括Amazom.com的弹性计算云(EC2)、RackSpace云、GoGrid、Softlayer、Savvis、Fujitsu、Joyent和FlexScale。这些云基础设施为客户提供在几分钟之内动态启动新虚拟机器节点或关闭现有虚拟机器节点的各种方式。云计算商业模式和虚拟机器节点的弹性属性为如何能够解决问题提供了新视角。
联网计算机服务的接入管理和安全保护的现有方法最初是使用特定应用或定制代码的“数据中心中”方法。这些方法要求在网络服务运行的服务器前增加特定硬件或软件,典型地是在部署服务器机器的数据中心内部增加。
图1示出用于向联网的计算机服务提供接入控制和安全保护的现有方法。提供特定服务的基于因特网的应用运行在数据中心140中的服务器180和服务器190上。客户端/用户100和客户端/用户110经由因特网130接入应用。类似地,垃圾、病毒和黑客能够产生不期望的业务120以同样地方式接入应用。为了控制来自这样的不期望的业务的接入,防火墙150、安全应用160和接入控制机制170部署在服务器的前端。通过仔细地部署和配置安全应用160和接入控制机制170,能够滤去不期望的业务120。
为了缩放性和可获得性的原因,许多网络应用布置到多于一个的数据中心。多个数据中心典型地位于不同的地理位置。图2示出了保护布置在两个数据中心的这样的因特网的安全:数据中心220和数据中心230。匿名访问者200包括均经由因特网210接入应用的合法用户以及来自僵尸(bot)、病毒和攻击者的不期望的业务。典型地,一些负载平衡/失效备援机制215用于定向到不同数据中心的业务。常见的负载平衡/失效备援机制包括轮叫、加权以及主动/被动方式以决定哪个数据中心应接收业务。无论如何对业务进行负载平衡,每个数据中心需要部署防火墙、安全应用以及接入控制机制以满足接入管理和安全要求。例如,防火墙222和防火墙232能够被配置来仅允许HTTP业务通过并且因此阻挡非HTTP业务。然后,应用224和应用234能够被配置用于阻挡不期望的web业务并防止不期望的接入,并且最终仅合法的业务到达HTTP服务器进行处理。
许多硬件供应商提供用于安全保护的硬件设备。例如,应用交付控制器(ADC)设备、防止侵入设备(IPS)以及web应用防火墙设备都是典型的客户今天用于增强安全的硬件应用。一些web加速设备也提供安全保护特证。提供这样的产品的公司列出如下:Arbor Networks、CiscoSystems、F5 Networks、BlueCoat、Brocade Communications、CitrixSystems、RadWare、Barracuda、JetNexus、Kemp Technologies、A10Networks、CAI Networks、Coyote Point Systems、Crescendo Networks、StrangeLoop Networks、Stamped Technologies、和Zeus Technology等等。
通常经由定制编码来获得接入管理,通过一些硬件设备还提供一些接入管理能力。例如,客户实施特定代码以通过检查来自HTTP请求的“cookie”字段来验证客户端请求的有效性是很常见的。如果没有从这样的HTTP请求找到特定cookie,则考虑该请求为“非法”并拒绝。另一个例子是A/B测试。客户实施某定制特定代码以根据特定A/B测试逻辑针对不同客户端提供不同的页面。
但是,当前的“数据中心中”的方式,诸如部署专业硬件和定制代码,在实际中都不能很好工作。一些问题列出如下:
A.硬件解决方案要求大量的前期资本成本。定制代码要求大量的前期开发和持续维护。
B.现有方式提供固定量的处理容量和网络带宽。无论在前面提供多少容量,总是存在容量限制。当业务量增大超出该容量限制时,系统性能将恶化或甚至完全失败。
C.硬件解决方案要求专业技能来管理和配置它们,诸如Cisco培训的专业人员。每当出现问题,就需要大量“试验和错误”来找出如何调整这些硬件设备或改变定制代码来应对问题。这就是我们看到大规模web站点在发生攻击时宕机几天甚至几周的原因。
D.软件和硬件方式两方面的解决方案通常都基于本地数据可见性并且仅能够基于本地知识来做决断。但是最好从全局视角管理大量问题并且应用全局优化的能力是非常重要的。
E.软件或硬件方式均不能提供全面的解决方案。最后,许多客户不得不花费大量时间来通过组合硬件和定制代码研究和构建解决方案,显著增加了初始选定成本和持续维护成本。
作为上述问题的结果,不奇怪的是大量web站点不能承受这样解决方案的成本和复杂性并且因此遗留了安全被攻击的弱点。即使具有资源和时间实施接入管理和安全保护的这些大规模web应用,通常看见的是每当由于这些方式的不灵活和限制使得出现问题时它们长时间宕机。
因此,存在提供更易实施、更易管理以及更易响应问题的接入管理和安全保护的新方式的需求。
发明内容
总的来说,在一个方面,本发明提供一种对计算机服务提供接入管理和安全保护的方法,包括以下步骤:首先提供计算机服务,其中所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上;接着提供包括多个业务处理节点的第二网络;接着提供将网络业务从所述第一网络到所述第二网络的重定向装置;然后将目标为经由所述第一网络接入所述计算机服务的网络业务经由所述重定向网络业务的装置重定向到所述第二网络的业务处理节点;接着通过所述业务处理节点检查和处理所述重定向的网络业务;以及最后仅将已经被所述业务处理节点检查、处理和允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务。
实现本发明的该方面可以包括下述的一个或多个特征:所述第二网络包括强加在所述第一网络之上的重叠网络。所述重定向网络业务的所述处理包括应用网络业务管理,网络业务管理包括客户端控制(throttling)、地理控制或速率控制的至少之一。所述重定向网络业务的检查包括针对恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在来检查。所述方法还包括在确认恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在后,防止所述重定向网络业务接入所述计算机服务。所述第二网络还包括接入管理装置和安全保护装置。所述业务处理节点被配置为经由所述接入管理装置和安全保护装置对所述计算机服务分别提供接入管理和安全保护。所述方法还包括经由所述接入管理装置实时地向所述重定向网络业务应用接入规则以及经由所述安全保护装置实时地向所述重定向网络业务应用安全规则。所述接入规则和所述安全规则是应用到多个计算机服务的接入规则和安全规则的集合。所述方法还包括提供用于监视网络业务参数的装置以及接着监视网络业务,网络业务参数包括网络业务量、带宽消耗信息、链路拥塞级别、链路延迟、请求URL、或原始IP的至少之一。所述第二网络还包括数据处理系统,数据处理系统包括存储通过所述监视装置和所述接入规则和安全规则集合产生的网络业务数据的一个或多个数据库。所述方法还包括在所述多个计算机服务中共享由所述监视装置和所述接入规则和安全规则集合产生的所述网络业务数据。所述数据处理系统还包括用于分析存储在所述数据库中的所述网络业务数据的装置,以及其中所述方法还包括通过所述分析装置分析所述存储的数据以确定用于做出决定所需的关键网络计量。所述方法还包括将来自所述计算机服务的响应定向到所述第二网络的所述业务处理节点以及通过所述业务处理节点在将所述响应返回到所述客户端之前检查和处理所述响应。所述重定向网络业务的装置可以是以下的装置之一:用于设置域名系统(DNS)名字服务器(NS)记录的装置、用于设置DNS规范名字(CNAME)记录的装置、用于设置“A”记录的装置、用于将DNS记录放置在DNS系统并向业务处理节点解析所述计算机服务的主机名的装置、用于设置客户端侧代理配置的装置或用于网络地址翻译的装置。所述第二网络包括虚拟机器节点。所述第二网络通过动态调整业务处理节点的数量来缩放其处理容量和网络容量。所述计算机服务可以是web应用、web服务或电子邮件服务。所述方法可以还包括提供接入控制网关。所述接入控制网关被配置为通过仅允许来自所述第二网络的所述业务处理节点的网络业务接入所述计算机服务来提供对所述计算机服务的接入控制和安全控制。所述接入控制网关可以是被配置为仅允许具有特定签名的网络业务通过的路由器。所述特定签名可以是包括IP地址或令牌。所述接入控制网关可以是在所述计算机服务和所述第二网络之间的专有通信信道。
总的来说,在另一个方面,本发明提供一种对计算机服务提供接入管理和安全保护的系统,包括第一网络、计算机服务和第二网络。第一网络在一个或多个服务器与多个客户端之间提供网络连接。所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上。所述第二网络包括多个业务处理节点。所述系统还包括将目标为经由所述第一网络接入所述计算机服务的网络业务重定向到所述第二网络的业务处理节点的装置。所述系统还包括通过所述业务处理节点检查和处理所述重定向的网络业务的检查装置和处理装置。所述系统还包括仅将已经被所述业务处理节点检查、处理和允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务的装置。
本发明的优点可以是以下的一个或多个。本发明提供防止不期望的接入的服务,过滤出目标在网络应用的不期望的业务并仅允许干净的业务到达网络应用。本发明不需要建立特定的硬件应用或在数据中心内写入定制代码,同时能增强这样的网络应用的安全性和灵活性。接入管理和安全保护服务内建在网络自身。具有这样的消息的业务处理节点被部署在网络的不同位置,一起形成用于接入管理和安全保护的网络服务。目标在网络应用的业务被截获和被该网络服务首先处理。所述网络服务根据与特定网络应用相关的规则和策略来检查业务、过滤出应如何许可接入,哪个业务是不期望的和哪个业务是合法的业务。而且,所述网络服务阻挡不期望的接入、丢弃不期望的业务并且仅将合法业务转发到目标网络应用。结果,不期望的业务通过网络被滤除,并且因此仅干净的业务达到网络应用。
本发明还从许多网络应用聚集数据和情报以做出更好的决断,独立于这些网络应用是否相关。集中的全局数据存储器用于存储和管理威胁签名模式、存储全局网络条件的监视结果、存储全部被保护的网络应用的监视结果、存储聚集的全集数据、提供全局可见性并将所有这些存储的数据进行相关以提供多个网络应用的接入管理和安全保护。存储在全局数据存储器中的数据在所有的网络应用中共享。每当检测到新威胁时,它的签名模式被添加到威胁签名模式数据库。由于使用共享的全局数据存储器,所以威胁签名模式仅需要更新一次并且能被应用到所有的网络服务。这与现有技术相比是明显不同的解决方案,在现有技术中每一网络应用必须更新其自己的威胁签名数据库以防止新攻击。
而且,所述网络服务使用部署在网络不同位置的探头来收集数据。这样的数据可以包括带宽消耗信息、链路拥塞级别、链路延迟、请求URL、原始IP等等。这样的数据存储在特定位置,形成全局数据库。而且,该服务基于全局数据库执行分析以确定做出决定所需的一些关键度量,诸如来自特定客户端的请求速率、特定客户端IP的地理位置、到特定URL的请求数量、来自特定客户端的请求数量等等。作为全局数据分析的结果,所述网络服务能够以比现有技术方案更好地识别不期望的接入、不期望的业务并且更好地检测问题。
本发明还提供接入管理和安全保护网络服务,响应于业务需求自动地增大或缩小其处理容量和带宽容量,因此能够掌控大规模分布式的拒绝服务攻击而无需预先建立昂贵的基础设施。
本发明还提供通过禁止公共网络直接接入到网络应用而不破坏从公共网络的合法客户端的接入的保护网络应用的系统和方法。这样的应用被称为“虚拟专有应用”。在一个实施例中,其上运行应用的服务器被部署在阻挡公共网络接入到目标网络应用的路由器之后。在服务器和路由网络之间建立专有通信隧道,并且到目标网络应用的全部业务通过路由网络被重定向,路由网络接着实施安全规则和策略。结果仅合法的业务能接入应用。
结合下面的附图和说明,给出本发明的一个或多个实施例的细节。本发明的其它特点、目的和优点将从优选实施例、附图的下面描述以及从权利要求书中是显而易见的。
附图说明
图1示出基于部署在一个数据中心中的应用的接入管理和安全保护的现有方式;
图2示出基于部署在多个数据中心中的应用的接入管理和安全保护的现有方式;
图3示出本发明的基于云路由的接入管理和安全服务;
图4示出图3的云路由系统的功能块;
图5图解“虚拟专有应用”的概念;
图6示出如何路由和处理业务;
图7示出云路由网络中的业务处理管线;
图8示出云路由网络中的各种组件;
图9示出业务管理单元(TMU);
图10示出业务处理单元(TPU)的各种子组件;
图11示出云路由工作流程;
图12A示出网络容量和带宽缩放的工作流程;
图12示出图3的云路由系统中接入管理和安全保护的工作流程;
图13是用于web应用的接入管理和安全保护的示意图;
图14示出图13的用于web应用的接入管理和安全保护的工作流程;
图15是用于web服务的接入管理和安全保护的示意图;
图16示出图15的用于web服务的接入管理和安全保护的工作流程;
图17是用于电子邮件服务的接入管理和安全保护的示意图;以及
图18示出图17的用于电子邮件服务的接入管理和安全保护的工作流程。
具体实施方式
本发明利用重叠虚拟网络提供联网的计算机服务(基于虚拟网络的安全服务)的接入管理和安全保护。安全服务自身是提供接入控制、故障检测、故障预防、恶意软件检测和除去、以及针对重叠网络所连接的诸如web应用和web服务的其它网络服务的拒绝服务(DOS)缓解的网络服务。
业务处理节点部署在物理网络上,通过该物理网络客户端将业务运送到正运行网络应用的数据中心。这些业务处理节点被称为“业务处理单元”(TPU)。TPU部署在不同的位置,每一个位置形成一个计算云。所有TPU一起形成被称为“云路由网络”的“虚拟网络”。业务管理机制截获所有客户端业务并将其通过TPU重定向。TPU在故障检测、故障预防、接入控制和拒绝服务攻击(DOS)中咨询全局数据库(store)。最后,仅“干净的业务”被路由到目标数据中心并因此保护网络应用。
每一个TPU具有特定量的带宽和处理容量。这些TPU彼此经由底层网络而连接,形成虚拟网络。通过合并所有TPU的带宽和处理容量,该虚拟网络具备特定量的带宽和处理容量。当业务增长到特定级别时,作为增加其处理能力以及带宽容量的方法,虚拟网络启动更多个TPU。当业务级别减少到特定阈值时,虚拟网络关闭某些TPU以降低其处理和带宽容量。
参照图3,虚拟网络包括部署在云340、云350和云360的位置的节点。每一个云包括运行用于业务管理、业务清理和相关数据处理的专业软件的节点。从功能的角度,虚拟网络包括截获和重定向网络业务的业务管理系统330、执行接入控制、故障检测、故障预防和缓解拒绝服务(DOS)的业务处理系统334、以及聚集来自不同源的数据并提供全局决定支持的数据处理系统332。
被保护的网络服务运行在数据中心380内的防火墙后的多个服务器(即服务器386和服务器388)上。客户端300经由网络370接入该网络服务。存在不同类型的客户端:用户310和316、蜘蛛程序318、黑客312和病毒314。取决于与被保护网络服务相关的特定条件,一些客户端请求是合法的,一些不是。一些客户端接入请求是不期望的。
没有在图3示出的安全服务,网络370将无差别地将所有客户端请求路由到数据中心380,将其提供的服务暴露给不期望的接入请求,浪费了流量,并被威胁和攻击。通过本发明的安全服务,当客户端310发出到被保护网络服务的请求时,该请求被业务管理系统(TMS)330截获。取代将请求直接路由到该应用正在运行的目标服务器386、388(“目标服务器”),业务管理系统330将该请求重定向到“最优”业务处理单元(TPU)342进行处理。更具体地,如图3所示,业务管理系统330咨询DPS 332并选择“最优”业务处理单元342以便向其路由该请求。通过特定应用来定义“最优”,诸如地理位置是最近的、就网络距离/延迟而言是最近的、是性能最佳的节点、就成本而言是最廉价的节点、或者根据特定算法计算的几个因素的组合。
接着业务处理单元执行请求的检查并确定其接入条件和状态。与基于单个应用收集的本地数据进行确定的现有技术的解决方案不同,本发明通过调节(leverage)全局数据可见性来做出更好的决定。
最后,通过应用于接入管理和安全保护有关的规则业务处理单元执行业务处理。例如,如图3所示,来自蜘蛛程序318的请求被TPU 364拒绝,因为TPU 364确定这样的请求是“不期望的”。在一些情况中,TPU直接将该请求路由到目标服务器,诸如图3中的TPU 362。在其它情况中,TPU将该请求路由到可以最终将该请求路由到目标服务器(诸如服务器386、388)的另一个业务处理单元(诸如TPU 342至TPU 352)。结果,仅“干净的业务”将到达目标服务器并且所有“不期望的业务”在网络层被处理,省去了在部署及配置硬件应用或自定义代码写入数据中心380以保护目标服务器中的成本和挑战。图12示出了在图3的云路由系统中的接入管理和安全保护的工作流程。
云路由网络
本发明调节云路由网络。通过背景技术,我们使用术语“云路由网络”来指代包括在底层物理网络的各种位置上布置的业务处理节点的虚拟网络。这些业务处理节点运行专业业务处理软件来执行诸如业务重定向、业务分离、负载平衡、业务检查、业务清理、业务优化、路由选择、路由优化等等的功能。这些节点的典型配置包括在各种云计算数据中心的虚拟机器。这些云计算数据中心提供物理基础设施以动态添加或移除节点,其还使得虚拟网络能缩放其处理容量和网络带宽容量。云路由网络包括将网络业务重定向到其业务处理单元(TPU)的业务管理组件330、检查和处理网络业务的业务处理机制334以及聚集来自不同源的数据、将它们存在在全局数据库中以及提供全局决定支持和配置及管理系统的装置的DPS 332。
图3示出了典型的云路由网络以及它如何将客户端请求路由到目标数据中心服务器。网络可接入计算机服务正运行在数据中心380内的服务器486和38。合法的客户端/用户310和314以及不期望的业务312,314,318全都经由网络370连接到数据中心380。包括节点云340、云350和云360的虚拟网络在网络370的顶层。大多数节点是运行专业业务处理软件的虚拟机器。每个云自身是定位在相同数据中心(或相同的地理位置)中的节点集合。一些节点执行业务管理。一些节点执行业务处理。一些节点执行监视和数据处理。一些节点执行管理功能以调节虚拟网络容量。
这些节点彼此经由底层网络370彼此连接。两个节点之间的连接可以包含底层网络中的许多物理链路和中继,但是这些链路和中继一起形成概念上的“虚拟链路”,概念上直接连接这两个节点。所有这些虚拟链路一起形成虚拟网络。每一个节点仅具有固定量的带宽和处理容量。该虚拟网络的容量是所有节点容量的和,并且因此云路由网络在任何给定时刻仅具有固定量的处理和网络容量。该固定量的容量对于业务需求来说可能不足或过度。通过调节单个节点的容量或通过添加或移去节点,虚拟网络能够调整其处理能力以及其带宽容量。
参照图4,云路由系统400的功能组件包括业务管理接口单元410、业务重定向单元420、业务路由单元430、节点管理单元440、监视单元450以及数据库460。业务管理接口单元410包括管理用户界面(UI)412以及管理API 414。云路由网络能够提供除接入管理和安全保护之外的多种服务,诸如策略实施、路由加速、性能优化等等,如图5所示。
业务处理
本发明使用网络服务处理业务,并因此仅交付“干净的”业务给目标服务器。图6示出典型的业务处理服务。当客户端600向运行在服务器630、670上的网络服务发出请求时,云路由网络在下列步骤中处理请求:
1、业务管理服务截获该请求并将该请求路由到TPU节点610、620、640或650;
2、TPU节点检查应用特定策略并执行管线处理,管线处理在图7中示出;
3、如果必须,使用全局数据库进行数据收集和关于决定支持的数据分析;
4、如果必须,将客户端请求路由到下一TPU节点,即从TPU 610到620;以及接着
5、将请求发送到“最优”服务器630进行处理。
更具体地,当客户端发送请求到服务器(例如,客户向web浏览器输入web URL以接入web站点)时,缺省因特网路由机制将该请求通过网络中继沿特定网络路径从客户端路由到目标服务器(“缺省路径”)。使用云路由网络,如果存在多个服务器节点,则云路由网络首先从多个服务器节点选择“最优”服务器节点作为目标服务器节点以服务该请求。该服务器节点选择处理考虑包括以下的因素:负载平衡、性能、成本以及地理接近性等等。其次,代替通过缺省路径,业务管理服务将该请求重定向到该重叠网络内的“最优”业务处理单元(TPU)。通过系统路由策略来定义“最优”,诸如地理位置是最近的、最具成本效率的、或者几个因素的组合。如果需要,该“最优”TPU还将该请求路由到云路由网络内的第二“最优”TPU。针对性能和可靠性原因,这两个TPU节点使用最佳可获得机制或最优传输机制来彼此通信。接着第二“最优”节点可以将该请求路由到第三“最优”节点等等。该处理可以在云路由网络中重复,直到该请求最终到达目标服务器为止。该组“最优”TPU节点一起形成业务延其行进的“虚拟”路径。该虚拟路径是这样选择的:优化特定路由测量(诸如性能、成本、碳足迹、或几个因素的组合)。
当服务器响应时,该响应通过云路由网络内的相似的管线处理直到其到达客户端。在该处理中,针对诸如间谍软件、恶意软件、色情内容等等的可能的“不期望的内容”,可检查响应。如果策略要求这样做,则这样的“不期望的内容”从响应去除。
处理缩放和网络缩放
本发明还使用虚拟网络执行处理缩放和带宽缩放以响应业务需求改变。云路由网络经由其监视服务监视业务需求、负载条件、网络性能和各种其它因素。当满足特定条件时,其动态地启动合适位置的新节点并将负载扩展到这些新节点以响应增加的需求,或者响应于减少的业务需求关闭一些现存的节点。该最后结果是云路由网络动态调整其处理和网络容量以将交付最优结果,同时去除不必要的容量浪费和碳足迹。
图12A描述云路由网络如何按需缩放其容量(680)。基于来自监视器节点的持续收集的度量数据和记录,单元的组织管理器(fabricmanager)检查当前容量并采取措施(681)。当其根据特定度量检测到容量“不足”时,它开始新节点(682)。更新路由表以包括新节点(683)并且接着它将业务扩展到该新节点(684)。当检测容量太大时,在一些节点的业务已经结束时,组织管理器选择地将这些节点关闭(685)。通过从路由器表中移除这些节点来更新该表(686)。任何时候,当诸如节点故障或路径条件改变的事件发生时,更行路由器表以反映该变化(687)。更新的路由器表用于随后的业务路由。
而且,云路由网络能够快速地从“故障”中恢复。当诸如节点失败和链路失败之类的故障发生时,该系统检查问题并通过新节点或选择替代的路由来从其恢复。结果,尽管个体组件可能不可靠,但是整个系统高度可靠的。
业务重定向
本发明包括被称为“业务重定向”的机制,其截获客户端请求并将其重定向到业务处理节点。业务处理节点检查业务、通过应用与接入管理和安全保护有关的规则和策略处理该业务。结果,如果确定这样的业务是“不期望的业务”,则业务处理节点可以丢弃或拒绝业务,或者否则将该业务路由到目标服务器。
以下列表包括业务截获和重定向机制的几个例子。但是,该列表并不意欲排他。本发明意欲包括各种业务重定向手段。
A、代理服务器设置:大多数客户端支持被称为“代理服务器设置”的特征,其允许客户端指定中继业务到目标服务器的代理服务器。当配置代理服务器时,所有客户端请求被发送到代理服务器,代理服务器接着可将该业务在目标服务器和客户端之间中继。
B、DNS重定向:当客户端试图经由其主机名接入网络服务时,主机名需要被解析成IP地址。该主机名到IP地址的解析通过使用域名服务器(DNS)系统来实现。通过实现将客户端主机名解析请求解析成合适的业务处理节点的IP地址而不是目标服务器节点的IP地址的定制的DNS系统,DNS重定向能够提供从业务截获到重定向的透明方式。
C、HTTP重定向:存在内置到HTTP协议的“重定向”指令,其允许服务器告诉客户端向不同的服务器发送请求。
D、网络地址映射:可以配置专业设备以将目标在特定目的地的业务“重定向”到不同目的地。该特征由不同的应用(诸如网关设备)和软件产品支持。人们可以配置这样的设备来执行业务重定向功能。
监视
参见图7,云路由网络包含向云路由网络提供必须的数据作为操作基础的监视服务720。各种实施例实现用于监视的各种技术。下面列出几种监视技术的例子。
A、因特网控制消息协议(ICMP)Ping:经由网络发送以检测路由和节点状态的小IP分组;
B、跟踪程序(traceroute):通常用于检查网络路由条件的技术;
C、主机代理:运行在收集有关主机的数据的主计算机上的嵌入代理;
D、web性能监视:监视器节点,用作正常用户代理,周期性地向web服务器发送HTTP请求并处理来自web服务器的HTTP请求。监视器节点沿着诸如DNS解析时间、请求时间、响应时间、页加载时间、请求数量、Java脚本文件数量或页足迹等等的途径来记录度量。
E、安全监视:监视器节点周期性地扫描目标系统的安全弱点,诸如周期性地进行网络端口扫描和网络服务扫描,以确定哪些端口是公开可接入的以及哪些网络服务正在运行,并且还确定是否存在弱点。
F、内容安全监视:监视器节点周期性地缓慢行进于站点,并扫描其内容以检测感染内容,诸如恶意软件、间谍软件、不期望的成人内容或病毒等等。
上述例子用于说明的目的。本发明是不可知的(agnostic)并且包括广泛不同的监视方式。本发明的实施例使用上述用于监视不同目标系统的全部技术:使用ICMP、跟踪程序以及主机代理来监视云路由网络自身、使用web性能监视、网络安全监视以及内容安全监视来监视诸如web应用的目标网络服务的可获得性、性能和安全。
参见图7,数据处理系统(DPS)710聚集来自这样的监视服务的数据并将所有其它计算机服务全局可见性提供给这样的数据以及来自许多网络应用的情报(intelligence),而独立于这些网络应用是否相关,以做出更好的决定。数据处理系统710包括用于存储威胁签名模式、监视全局网络条件的结果、监视全部保护的网络应用的结果、聚集的全局数据的集中全局数据存储器。DPS 710向全部网络应用提供所存储数据的全局可见性并分析所有这些存储的数据及将其相关,以提供所有网络应用的接入管理和安全保护。作为该全局可见性的结果,通过所有网络应用的上述监视活动产生的数据在所有网络应用间共享。每当检测到新威胁,其签名模式被添加到威胁签名模式数据库并因此变为全部网络服务可用。这与现有解决方案明显不同,现有解决方案中每一个网络应用必须更新其自身的威胁签名数据库以防止新攻击。
而且,网络服务使用部署在网络的不同位置的探头来收集数据。这样的数据可以包括带宽消耗信息、链路拥塞级别、链路延迟、请求URL、原始IP等等。这样的数据存储在特定的位置,形成全局数据库。而且,服务基于全局数据库执行分析以确定做出决定所需的一些关键度量,诸如来自特定客户端的请求速率、来自特定客户端IP的地理位置、到特定URL的请求数量、来自特定客户端的请求数量等等。由于这样的全局数据分析结果,网络服务能够以比现有技术方案更好地识别不希望的接入、不期望的业务并检测问题。
下面讨论的实施例使用本发明提供一般网络可接入计算机服务的接入管理和安全保护,通过下面的一些特定应用本发明将得到更好理解:虚拟专有应用、web应用、web服务和电子邮件服务。
虚拟专有应用
这里公开的本发明的部分是用于使“虚拟专有应用”的系统和方法。典型的网络应用(或网络可接入计算机服务)设计来使已经接入那个网络的任何人可接入。由于网络接入的开放特性,网络应用可变成不期望的目标甚至是恶意业务。
本发明从公共接入中“移除”网络应用。事实上,它使应用“不公共地”可接入。它的接入仅限于虚拟网络的某些部分。所有目标在该应用的业务被路由到虚拟网络进行处理。在清除不期望的或恶意业务时,仅“干净的”业务到达该应用。
图5示出了本发明的这方面的实施例。云路由网络(520)是处理目标应用的所有业务的虚拟网络。该虚拟网络使用用于在输入业务上执行接入管理522和安全过滤523的集中管理的威胁模式数据库521,并且仅将干净的业务递送到目标节点。存在使网络应用“不公共可接入”的本发明的各种技术。图5示出了两个实施例:
.经由特定数据中心路由器配置:路由器542负责数据中心540的业务进出,在数据中心540,存在网络应用。配置路由器542上的接入控制列表(ACL)是一种允许来自仅所选择的IP地址的接入的方式。在这个实施例中,ACL被限制到云路由网络520中的特定TPU节点。来自其它任何地方的业务被路由器542自动阻挡。
.经由被添加到数据中心的专业安全过滤器:针对运行在数据中心550内部的不同应用,不改变数据中心路由器552。相反,安全过滤器554被添加到允许仅来自虚拟网络中的某些TPU节点的业务的数据中心。所有其它业务被自动阻挡。该安全过滤器可以使用软件或硬件来实现。
在另一个例子中,目标服务器节点建立与TPU节点的专有通信信道,并且仅接收来自该专有通信信道的数据包。本发明不仅限于特定技术,而且是包括这样的技术的广泛的范围。
Web应用安全性
这里公开的本发明的部分是web应用安全性的系统和方法。
参照图13,图13是web应用安全性的实施例,包括在物理网络A90之上建立的TPU A32、A34、A38、A40和A44的虚拟网络。虚拟网络还包括业务管理系统A20、数据处理系统A60和业务处理系统A50。业务管理系统A20截获目标在该应用的客户端业务,并将其重定向到业务处理系统A50。业务处理系统A50包括业务处理单元A32、A34、A38。每个TPU检查其输入业务,将其清理,并仅路由“干净的”业务到目标服务器。数据处理系统A60包含在业务检查中使用的威胁签名数据库并且还收集来自TPU消耗的网络不同部分的数据。在图13中,不期望的业务A12被路由到TPU A38,TPU A38在检查之后拒绝该业务。来自客户端D00和D10的业务被路由到TPU A32和A34,TPU A32和A34进一步分别将该业务递送到TPU A40和A44。TPU A40和A44最终将该业务递送到目标web服务器D70。
在该实施例中,业务管理系统利用定制的域名系统(DNS)服务器并将应用的DNS记录配置到至该定制的DNS服务器的点上。通过设置各种DNS条目能够实现这样的配置。下面是技术的示例列表:
.设置“NS”记录:针对定制的DNS服务器在应用的DNS记录中设置“NS”条目告诉客户端经由定制的DNS服务器执行DNS解析;
.设置“CNAME”条目:针对不同域名在应用的DNS记录中设置“CNAME”告诉客户端经由该不同的域名的DNS服务器为该应用执行DNS解析,其可以以该不同的域名的DNS服务器是定制的DNS服务器的方式进行选择;
.将整个DNS记录放置在定制的DNS服务器上:人们可以直接改变将是定制的DNS服务器的应用的DNS服务器。结果,所有的针对该应用的DNS要求将通过该定制的DNS服务器解析。
当客户端正试图接入Web URL时,取代解析主机名为目标服务器的IP地址,定制的DNS服务器将URL的主机名解析成web应用安全系统内的“最优”业务处理单元(TPU)节点的IP地址。结果,相反,所有目标在目标服务器上的业务被“重定向”到TPU单元。
当TPU节点从客户端接收请求时,它检查该请求,将它与数据处理系统提供的已知的威胁模式进行比较并执行一系列安全检查和接入管理任务。首先,通过检查预定义的规则和策略来执行接入管理,并且将诸如请求协议、客户端信息、地理、请求速率和请求令牌等等的相关数据与这些规则和策略进行比较。这样的接入检查允许TPU确定接入是否应被许可给该请求。如果接入应该被否定,则拒绝这样的业务并且记录该事件。例如,如果客户端IP在IP黑列表中,则应该否定该请求。否则,TPU继续处理该请求。接着,它通过将该请求与威胁签名模式数据库进行比较来执行一系列安全检查。该匹配过程帮助TPU确定该请求是否产生安全威胁以及是否因此应被否定。安全威胁考虑的典型的形式包括拒绝服务攻击(DOS)、病毒、垃圾、蠕虫、间谍软件、恶意软件、钓鱼网站、信息聚集攻击(目录扫描、链路爬行、口令攻击)以及注入攻击(SQL注入、变量注入、命令注入、cookie篡改、交叉站点脚本攻击)。如果发现威胁匹配,则该请求被拒绝。否则该请求被路由到目标节点进行处理。当识别了针对一个应用的攻击时,立即更新数据处理系统A60并且这种更新防止了其它应用被同样的攻击攻击。
上述列表不意欲排它,而是为了说明本发明的目的。存在许多其它安全检查,诸如应用该系统所执行的客户配置的规则、运行客户配置的过滤器或者甚至运行定制逻辑。这些变型均都在本发明的精神范围之内。
图13示出了这样的web应用安全系统,以及图14示出了相应的过程。客户端D00向接入web服务器D70发送HTTP请求D05(622)。HTTP请求D05通过业务重定向机制A20被重定向到路由器节点A32(683)。路由器A32执行包括URL阻挡和IP黑名单的一系列安全检查。如果该请求没有通过这些检查,则将错误返回到客户端并记录该事件(688)。否则路由器A32经由某优化的传输端口和最优路径向出口路由器A40发送该请求(684)。路由器A40将该请求递送到web服务器D70并接收该响应(685)。路由器A40还通过使用其模式数据库针对恶意内容、恶意软件、病毒或其它不适合的内容来检查该响应(687)。如果发现恶意内容,则系统根据该应用的特定策略移除这样的内容或向客户端返回错误。否则该响应被返回到客户端并且客户端现在显示所请求的web页面(688)。
本发明的优点包括以下:非常容易采取本发明的方案,因为它对客户和应用是非侵入的。客户不需要购买硬件或安装软件以使用web安全服务。用户为了获得该服务的益处不需要改变任何事情。作为已安装的服务,本发明允许服务提供商持续地收集数据并使用所收集的数据持续地增强该服务。例如,一旦服务提供商识别新钓鱼站点,服务提供商就可以停止用户接入该钓鱼站点,因此显著地降低了损害。作为基于云路由网络的应用,服务具有内置的“自动缩放”能力以兼顾性能和成本效率。作为基于云路由网络的应用,它还提供负载平衡和失效备援能力。例如如果一个web服务器关闭,则该系统自动地将该请求路由到其它web服务器。
Web服务管理
本发明在此公开的另一部分是web服务管理的系统和方法。Web服务是“设计支持经由网络可互操作的机器到机器的交互的软件系统”。Web服务通常经由可被经由诸如因特网的网络接入的应用编程接口(API)提供,并在提供该请求的服务的远程系统上执行。Web服务常常被用于实现根据面向服务的体系结构(SOA)概念的体系结构,其中通信的基本单元是消息而不是操作。这常被称为“面向消息”的服务。大多数软件商户和工业分析家支持SOA web服务。典型的web服务使用的协议包括简单对象接入协议(SOAP)、代表状态转移(REST)和Java脚本对象表述(JSON)。
公司可以提供经由web服务的到数据和应用逻辑的第三方接入,并且因此允许第三方构建调节不同系统的容量的应用而无需连接这些系统的内部工作。Web服务的众所周知的例子包括Amazon EC2 API、eBAY web服务和Salesforce.com的web服务。
为了便利web服务的产生和消费,对计量服务使用和测量服务质量存在需求。而且,对提供接入控制和报告存在需求。这些功能通常通过web服务生产商建立或(通过web服务生产商购买)并经由“固定容量”的基础设施来部署。建立、部署和管理这样的功能是昂贵和耗时的。而且使用“固定容量”的基础设施不能很好缩放。本发明提供更简单和成本更有效的解决方案。本发明的Web服务管理系统是基于云路由网络的网络服务。云路由网络是虚拟网络,包括在底层物理网络的不同位置分布的节点。这些节点提供业务截获、业务重定向、业务处理和监视服务。
参照图15,web服务运行在服务器A80上,并且API A70提供到这些web服务的接入。API可以是SOAP、REST、或JSON等等。可经由网络A90接入web服务。业务管理服务A20截获来自客户端A00、A10、A12的请求并将其重定向业务处理单元A32、A34、A38、A40、A44。当客户端A00(web服务客户)试图接入web服务A80时,云路由网络将该呼叫重定向到“最近的TPU节点”A32。TPU A32经由某优化路径和传输端口将该呼叫路由到TPU A40。最后,A40将该呼叫递送到目标web服务。类似地,在被递送到目标web服务提供商之前,来自A10的呼叫通过TPU A34和TPU A44路由。但是,来自不期望的客户端A12的请求被定向到TPU A38,并且由于TPU A38将该请求确定为“不期望的业务”而被丢弃。
在web服务呼叫在云路由网络内被路由的同时,web服务管理应用执行各种处理,诸如接入控制、使用计量、规则和策略实施、缓解拒绝服务以及报告等等。图16示出了web服务管理工作流程的一个实施例。首先,客户配置web服务提供商的DNS记录以指向由web服务管理系统提供的定制DNS服务器(781)。当web服务客户(客户端)向web服务做出呼叫时(782),它产生DNS主机名的查找查询。定制DNS服务器接收该DNS主机名查询并将web服务客户的呼叫重定向到最优路由器节点,并选择最优的web服务服务器节点(“web服务提供商”)作为目标服务器节点来服务该请求(783)。选择最优TPU节点来处理该呼叫并且TPU节点检查该呼叫。TPU节点执行接入控制检查以确定该呼叫是否被允许(784)。如果否,则拒绝该呼叫并记录该事件(785)。接着,TPU节点执行安全检查以确定该呼叫是否违反安全规则和策略(786)。例如,它检查以确定该呼叫是否包含正确的安全令牌。它咨询DPS A60中的全局数据库以计算来自该特定客户端的接入速率从而检查是否达到接入速率限制。它咨询全局数据库以检查该客户端是否在黑名单上。它咨询全局数据库以检查该呼叫是否是拒绝服务攻击的部分等等。如果安全检查失败,则丢弃该呼叫(785)。TPU节点记录web服务使用。如果需要,TPU节点将该呼叫路由到另一个TPU节点,另一个TPU节点可以重复上述过程的一些。最后,呼叫到达目标web服务(788)。接收响应并将其路由回客户端。TPU节点收集与计量相关的呼叫并更新全局数据库(788)。TPU节点关于计费信息更新DSP A60中的全局数据库。
上述例子仅仅是为了说明本发明的目的。本领域技术人员将理解,诸如不同类型的“管理”、不同步骤的“管理”和不同协议的许多组合或变型都在在本发明的精神范围内。
电子邮件安全和存档
这里公开的本发明的另一个部分是用于电子邮件安全和归档的系统和方法。在现有技术中,存在可用的多种电子邮件安全和存档的方案。本发明由于基于云路由网络而不同。因为本发明基于云路由网络,所以与现有技术相比,它能够提供更好的性能且成本效率更具缩放性。重要地,因为本发明对客户和用户是非侵入的。客户不需要购买硬件或安装软件以使用服务。用户为了获得该服务的益处不需要改变任何事情。而且,作为已安装的服务,本发明允许服务提供商持续地收集数据并使用所收集的数据不间断地增强该服务。例如,一旦服务提供商知晓新电子邮件病毒,服务提供商就可以停止该病毒,这比要求每一客户知晓病毒并在其机器上采取动作更快捷。
本发明的电子邮件安全和存档系统(“电子邮件安全系统”)是基于云路由网络的应用,它包括下列组件:
A.提供业务重定向、业务路由和监视服务的分布网络;
B.使得应用开发者使用分布网络提供的服务编写应用、通过上述分布网络提供的应用编程接口(API);
C.通过提供过滤、反垃圾邮件和存档服务来调节上述API以管理电子邮件的电子邮件安全和存档应用。
当客户端发送电子邮件到属于被管理的电子邮件服务器之一的电子邮件地址时,本发明的业务重定向模块将该电子邮件消息重定向到电子邮件管理系统内的节点。该节点在递送该消息到目标电子邮件服务器节点之前执行路由、路径选择、传输端口选择。但是,在它执行作为云路由网络的一部分的路由活动之前,它唤醒电子邮件安全应用C30以首先如图17所示处理该消息。下面列出该消息处理的一些示例:
A.电子邮件发送者IP黑名单:电子邮件垃圾产生者通常根据IP地址表发送垃圾电子邮件。电子邮件安全系统一旦识别IP地址为垃圾IP地址就将IP地址添加到其“黑名单”中,以有效地立即停止垃圾电子邮件;
B.电子邮件过滤:客户能够经由某管理用户接口配置电子邮件过滤规则,例如,对满足特定规则的特定消息采取特定动作。当电子邮件消息到达时自动应用这些过滤规则。
C.反病毒:当电子邮件消息到达时,电子邮件安全系统使用已知的病毒模式扫描电子邮件消息内容和附件。当检测消息包含特定病毒时,电子邮件安全系统停止递送该消息,记录事件并将其向管理员报告。假定系统是提供的服务,则它能持续地更新其病毒模式数据库并因此持续地增强其服务质量;
D.电子邮件存档:对于每一客户配置,电子邮件安全系统将电子邮件消息存档到其存储库。而且,它能提供关于归档的消息的搜索服务以对信息提供更快捷的接入;
E.电子邮件计量和报告:电子邮件安全系统收集必要的电子邮件计量并产生对客户而言感兴趣的报告。
上述列表不是排他的,而仅是为了说明的目的。图17示出了本发明的电子邮件安全系统的实施例。C70表示在本发明的电子邮件安全和存档系统管理下的客户的电子邮件服务器。这些电子邮件服务器(“被管理的电子邮件服务器”)可以正运行诸如微软交换服务器、IBM的Lotus Notes软件、Novell GroupWise、Yahoo的Zimbra电子邮件服务器等等的电子邮件服务器软件。本发明不限于任何特别的电子邮件服务器软件。
图18示出了在本发明的电子邮件安全系统的一个实施例中的对输入电子邮件消息的处理的工作流程。首先,客户通过设置电子邮件消息的重定向到电子邮件安全系统来配置它们的电子邮件安全系统的使用(881)。使用基于DNS的业务重定向机制作为示例,客户需要配置它们电子邮件服务器的DNS记录以指向电子邮件安全系统提供的DNS服务器。该配置可以通过指定名称服务器或指定DNS记录中的“MX”字段来完成。一旦上述配置有效,发送到目标电子邮件服务器的电子邮件消息(882)在被递送到目标电子邮件服务器之前就被重定向到电子邮件安全系统(883)。当接收到电子邮件消息时,电子邮件安全系统执行下列检查:
A.发送者IP地址被列入黑名单吗?(884)
B.接收者IP地址被列入黑名单吗?(885)
C.消息是垃圾电子邮件吗?(888)
D.消息包含病毒吗?
E.消息请求任何过滤处理吗?
F.消息请求存档吗?
在执行上述检查中,电子邮件安全系统可以咨询其自身的数据库和商业规则。根据对上述问题的回答,它执行相应的动作。如果对任何一个上述检查的回答是肯定的,则系统拒绝该电子邮件消息(886)并记录该消息(887)。最后,在上述处理之后,如果可应用,将消息路由到目标电子邮件服务器进行递送(889)。计量电子邮件使用,记录该计量(890)并存档该消息(891)。
本发明的优点包括以下:它能够非常容易地被采用,因为它对客户和用户是非侵入的。客户不需要购买硬件或安装软件以使用服务。用户为了获得该服务的益处不需要改变任何事情。作为已安装的服务,本发明允许服务提供商持续地收集数据并使用所收集的数据持续地增强该服务。例如,一旦服务提供商知晓新电子邮件病毒,服务提供商就可以停止该病毒,这远远早于甚至客户知晓病毒。作为基于云路由网络的应用,服务具有内置的“自动缩放”能力以最具成本效率的方式提供性能和可缩放性。作为基于云路由网络的应用,它还提供负载平衡和失效备援能力。例如如果一个电子邮件服务器关闭,则该系统自动地将该消息路由到其它电子邮件服务器。
已经描述了本发明的几个实施例。但是,应该理解的是,在不背离本发明的精神和范围的前提下,可以进行各种修改。因此其它实施例在下述权利要求书的范围之内。
Claims (41)
1.一种对计算机服务提供接入管理和安全保护的方法,包括:
提供计算机服务,其中所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上;
提供包括多个业务处理节点的第二网络;
提供将网络业务从所述第一网络到所述第二网络的重定向装置;
将目标为经由所述第一网络接入所述计算机服务的网络业务经由所述重定向网络业务的装置重定向到所述第二网络的业务处理节点;
通过所述业务处理节点检查和处理所述重定向的网络业务;以及
仅将已经被所述业务处理节点检查、处理和允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务。
2.如权利要求1所述的方法,其中所述第二网络包括强加在所述第一网络之上的重叠网络。
3.如权利要求1所述的方法,其中所述重定向网络业务的所述处理包括应用网络业务管理,网络业务管理包括客户端控制(throttling)、地理控制或速率控制的至少之一。
4.如权利要求1所述的方法,其中所述检查包括针对恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在来检查所述重定向网络业务。
5.如权利要求4所述的方法,还包括在确认恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在后,防止所述重定向网络业务接入所述计算机服务。
6.如权利要求1所述的方法,其中所述第二网络还包括接入管理装置和安全保护装置,并且其中所述业务处理节点被配置为经由所述接入管理装置和安全保护装置对所述计算机服务分别提供接入管理和安全保护。
7.如权利要求6所述的方法,还包括经由所述接入管理装置实时地向所述重定向网络业务应用接入规则以及经由所述安全保护装置实时地向所述重定向网络业务应用安全规则。
8.如权利要求7所述的方法,其中所述接入规则和所述安全规则包括应用到多个计算机服务的接入规则和安全规则的集合。
9.如权利要求8所述的方法,还包括提供用于监视网络业务参数的装置以及接着经由所述业务监视装置监视网络业务,网络业务参数包括网络业务量、带宽消耗信息、链路拥塞级别、链路延迟、请求URL、或原始IP的至少之一。
10.如权利要求9所述的方法,其中所述第二网络还包括数据处理系统,数据处理系统包括存储通过所述监视装置和所述接入规则和安全规则集合产生的网络业务数据的一个或多个数据库,以及其中所述方法还包括在所述多个计算机服务中共享所述网络业务数据和所述接入规则和安全规则集合。
11.如权利要求10所述的方法,其中所述数据处理系统还包括用于分析存储在所述数据库中的所述网络业务数据的装置,以及其中所述方法还包括通过所述分析装置分析所述存储的数据以确定用于做出决定所需的关键网络计量。
12.如权利要求1所述的方法,还包括将来自所述计算机服务的响应定向到所述第二网络的所述业务处理节点以及通过所述业务处理节点在将所述响应返回到所述客户端之前检查和处理所述响应。
13.如权利要求1所述的方法,其中所述重定向网络业务的装置包括以下的装置之一:用于设置DNS“NS”记录的装置、用于设置DNS CNAME记录的装置、用于设置“A”记录的装置、用于将DNS记录放置在DNS系统并向业务处理节点解析所述计算机服务的主机名的装置、用于设置客户端侧代理配置的装置或用于网络地址翻译的装置。
14.如权利要求1所述的方法,其中所述第二网络包括虚拟机器节点。
15.如权利要求1所述的方法,其中所述第二网络通过动态调整业务处理节点的数量来缩放其处理容量和网络容量。
16.如权利要求1所述的方法,其中所述计算机服务包括web应用、web服务或电子邮件服务之一。
17.如权利要求1所述的方法,还包括提供接入控制网关,以及其中所述接入控制网关被配置为通过仅允许来自所述第二网络的所述业务处理节点的网络业务接入所述计算机服务来提供对所述计算机服务的接入控制和安全控制。
18.如权利要求17所述的方法,其中所述接入控制网关包括被配置为仅允许具有特定签名的网络业务通过的路由器。
19.如权利要求18所述的方法,其中所述特定签名包括IP地址或令牌之一。
20.如权利要求17所述的方法,其中所述接入控制网关包括在所述计算机服务和所述第二网络之间的专有通信信道。
21.一种对计算机服务提供接入管理和安全保护的系统,包括:
第一网络,在一个或多个服务器与多个客户端之间提供网络连接;
计算机服务,其中所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上;
包括多个业务处理节点的第二网络;
将网络业务从所述第一网络到所述第二网络的重定向装置;
将目标为经由所述第一网络接入所述计算机服务的网络业务重定向到所述第二网络的业务处理节点的装置;
通过所述业务处理节点检查和处理所述重定向的网络业务的检查装置和处理装置;以及
仅将已经被所述业务处理节点检查、处理和允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务的装置。
22.如权利要求21所述的系统,其中所述第二网络包括强加在所述第一网络之上的重叠网络。
23.如权利要求21所述的系统,其中所述重定向网络业务的所述处理装置包括网络业务管理装置,网络业务管理装置包括客户端控制装置、地理控制装置或速率控制装置的至少之一。
24.如权利要求21所述的系统,其中所述检查装置包括针对恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在来检查所述重定向网络业务的装置。
25.如权利要求24所述的系统,还包括在确认恶意软件、间谍软件、病毒、成人内容、蠕虫、拒绝服务攻击、注入攻击或信息扫描攻击的存在后,防止所述重定向网络业务接入所述计算机服务的装置。
26.如权利要求21所述的系统,其中所述第二网络还包括接入管理装置和安全保护装置,并且其中所述接入管理装置和安全保护装置被配置为对所述计算机服务分别提供接入管理和安全保护。
27.如权利要求26所述的系统,其中所述接入管理装置和安全保护装置实时地分别向所述重定向网络业务应用接入规则以及安全规则。
28.如权利要求27所述的系统,其中所述接入规则和所述安全规则包括应用到多个计算机服务的接入规则和安全规则的集合。
29.如权利要求28所述的系统,还包括提供用于监视网络业务参数的装置,网络业务参数包括网络业务量、带宽消耗信息、链路拥塞级别、链路延迟、请求URL、或原始IP的至少之一。
30.如权利要求29所述的系统,其中所述第二网络还包括数据处理系统,数据处理系统包括存储通过所述监视装置和所述接入规则和安全规则集合产生的网络业务数据的一个或多个数据库,以及其中在所述多个计算机服务中共享所述存储的网络业务数据和所述接入规则和安全规则集合。
31.如权利要求30所述的系统,其中所述数据处理系统还包括用于分析存储在所述数据库中的所述网络业务数据的装置。
32.如权利要求21所述的系统,还包括将来自所述计算机服务的响应定向到所述第二网络的所述业务处理节点的装置以及通过所述业务处理节点在将所述响应返回到所述客户端之前检查所述响应的装置和处理所述响应的装置。
33.如权利要求21所述的系统,其中所述重定向网络业务的装置包括以下的装置之一:用于设置DNS“NS”记录的装置、用于设置DNS CNAME记录的装置、用于设置“A”记录的装置、用于将DNS记录放置在DNS系统并向业务处理节点解析所述计算机服务的主机名的装置、用于设置客户端侧代理配置的装置或用于网络地址翻译的装置。
34.如权利要求21所述的系统,其中所述第二网络包括虚拟机器节点。
35.如权利要求21所述的系统,其中所述第二网络通过动态调整业务处理节点的数量来缩放其处理容量和网络容量。
36.如权利要求21所述的系统,其中所述计算机服务包括web应用、web服务或电子邮件服务之一。
37.如权利要求21所述的系统,还包括接入控制网关,以及其中所述接入控制网关被配置为通过仅允许来自所述第二网络的所述业务处理节点的网络业务接入所述计算机服务来提供对所述计算机服务的接入控制和安全控制。
38.如权利要求37所述的系统,其中所述接入控制网关包括被配置为仅允许具有特定签名的网络业务通过的路由器。
39.如权利要求38所述的系统,其中所述特定签名包括IP地址或令牌之一。
40.如权利要求37所述的系统,其中所述接入控制网关包括在所述计算机服务和所述第二网络之间的专有通信信道。
41.一种对计算机服务提供接入管理和安全保护的方法,包括:
提供计算机服务,其中所述计算机服务安装于经由第一网络可接入到客户端的一个或多个服务器上;
提供包括多个业务处理节点的第二网络、接入管理装置和安全保护装置,以及其中所述安全管理装置和安全保护装置被配置为分别向所述计算机服务提供接入管理和安全保护;
提供将网络业务从所述第一网络到所述第二网络的重定向装置;
将目标为经由所述第一网络接入所述计算机服务的网络业务经由所述重定向网络业务的装置重定向到所述第二网络的业务处理节点;
通过所述一个业务处理节点检查和处理所述重定向的网络业务;以及
经由所述接入管理装置实时地向所述重定向的网络业务应用接入规则以及经由所述安全保护装置实时地向所述重定向的网络业务应用安全规则;以及
仅将已经被所述接入管理装置和安全保护装置允许的重定向的网络业务经由所述第二网络进行路由以接入所述计算机服务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16525009P | 2009-03-31 | 2009-03-31 | |
| US61/165,250 | 2009-03-31 | ||
| PCT/US2010/028388 WO2010117623A2 (en) | 2009-03-31 | 2010-03-24 | System and method for access management and security protection for network accessible computer services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102859934A true CN102859934A (zh) | 2013-01-02 |
| CN102859934B CN102859934B (zh) | 2016-05-11 |
Family
ID=42785987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080020441.8A Active CN102859934B (zh) | 2009-03-31 | 2010-03-24 | 网络可接入计算机服务的接入管理和安全保护系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100251329A1 (zh) |
| EP (1) | EP2415207B1 (zh) |
| CN (1) | CN102859934B (zh) |
| AU (1) | AU2010234958A1 (zh) |
| WO (1) | WO2010117623A2 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559072A (zh) * | 2013-10-22 | 2014-02-05 | 无锡中科方德软件有限公司 | 虚拟机双向自动伸缩服务实现方法及其系统 |
| CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
| CN103716414A (zh) * | 2014-01-13 | 2014-04-09 | 深圳市鼎信通达科技有限公司 | 基于弹性云的VoIP带宽质量提升方法及系统 |
| CN106133714A (zh) * | 2014-02-28 | 2016-11-16 | 第三雷沃通讯有限责任公司 | 基于主机名选择网络服务 |
| CN107005570A (zh) * | 2014-12-11 | 2017-08-01 | 比特梵德知识产权管理有限公司 | 用于网络端点的安全保护及远程管理的用户接口 |
| CN108039964A (zh) * | 2014-04-09 | 2018-05-15 | 华为技术有限公司 | 基于网络功能虚拟化的故障处理方法及装置、系统 |
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN114124477A (zh) * | 2021-11-05 | 2022-03-01 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
Families Citing this family (184)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2564914C (en) | 2004-04-30 | 2016-09-20 | Research In Motion Limited | System and method for handling data transfers |
| US10045327B2 (en) * | 2007-01-17 | 2018-08-07 | Eagency, Inc. | Mobile communication device monitoring systems and methods |
| CA2720398C (en) | 2008-04-02 | 2016-08-16 | Twilio Inc. | System and method for processing telephony sessions |
| US8837465B2 (en) | 2008-04-02 | 2014-09-16 | Twilio, Inc. | System and method for processing telephony sessions |
| US9742864B2 (en) * | 2008-08-25 | 2017-08-22 | Novell, Inc. | System and method for implementing cloud mitigation and operations controllers |
| CN102227904A (zh) | 2008-10-01 | 2011-10-26 | 特维里奥公司 | 电话网络事件的系统和方法 |
| US8509415B2 (en) | 2009-03-02 | 2013-08-13 | Twilio, Inc. | Method and system for a multitenancy telephony network |
| CN102415068B (zh) | 2009-03-02 | 2015-09-02 | 特维里奥公司 | 用于多租户电话网络的方法和系统 |
| GB0905559D0 (en) * | 2009-03-31 | 2009-05-13 | British Telecomm | Addressing scheme |
| US20110047381A1 (en) * | 2009-08-21 | 2011-02-24 | Board Of Regents, The University Of Texas System | Safemashups cloud trust broker |
| WO2011027352A1 (en) | 2009-09-03 | 2011-03-10 | Mcafee, Inc. | Network access control |
| US9210275B2 (en) | 2009-10-07 | 2015-12-08 | Twilio, Inc. | System and method for running a multi-module telephony application |
| US20110083179A1 (en) * | 2009-10-07 | 2011-04-07 | Jeffrey Lawson | System and method for mitigating a denial of service attack using cloud computing |
| US8582737B2 (en) | 2009-10-07 | 2013-11-12 | Twilio, Inc. | System and method for running a multi-module telephony application |
| US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
| US8638781B2 (en) | 2010-01-19 | 2014-01-28 | Twilio, Inc. | Method and system for preserving telephony session state |
| US8869271B2 (en) * | 2010-02-02 | 2014-10-21 | Mcafee, Inc. | System and method for risk rating and detecting redirection activities |
| US9459926B2 (en) | 2010-06-23 | 2016-10-04 | Twilio, Inc. | System and method for managing a computing cluster |
| US9459925B2 (en) | 2010-06-23 | 2016-10-04 | Twilio, Inc. | System and method for managing a computing cluster |
| US8416923B2 (en) | 2010-06-23 | 2013-04-09 | Twilio, Inc. | Method for providing clean endpoint addresses |
| US20120208495A1 (en) | 2010-06-23 | 2012-08-16 | Twilio, Inc. | System and method for monitoring account usage on a platform |
| US9338064B2 (en) | 2010-06-23 | 2016-05-10 | Twilio, Inc. | System and method for managing a computing cluster |
| US9590849B2 (en) | 2010-06-23 | 2017-03-07 | Twilio, Inc. | System and method for managing a computing cluster |
| US8838707B2 (en) | 2010-06-25 | 2014-09-16 | Twilio, Inc. | System and method for enabling real-time eventing |
| US9420049B1 (en) * | 2010-06-30 | 2016-08-16 | F5 Networks, Inc. | Client side human user indicator |
| US20120030343A1 (en) * | 2010-07-29 | 2012-02-02 | Apple Inc. | Dynamic migration within a network storage system |
| US9215264B1 (en) * | 2010-08-20 | 2015-12-15 | Symantec Corporation | Techniques for monitoring secure cloud based content |
| TW201210245A (en) * | 2010-08-27 | 2012-03-01 | Atop Technologies Inc | Network service providing system with high reliability |
| CN102404281B (zh) * | 2010-09-09 | 2014-08-13 | 北京神州绿盟信息安全科技股份有限公司 | 一种网站扫描设备和方法 |
| CN102447718A (zh) * | 2010-10-12 | 2012-05-09 | 上尚科技股份有限公司 | 具有高可靠度的网络服务提供系统 |
| US8621058B2 (en) * | 2010-10-28 | 2013-12-31 | Hewlett-Packard Development Company, L.P. | Providing cloud-based computing services |
| US8601133B1 (en) * | 2010-12-14 | 2013-12-03 | Juniper Networks, Inc. | Highly scalable data center architecture with address resolution protocol (ARP)-free servers |
| US8990950B2 (en) | 2010-12-27 | 2015-03-24 | International Business Machines Corporation | Enabling granular discretionary access control for data stored in a cloud computing environment |
| US8966622B2 (en) * | 2010-12-29 | 2015-02-24 | Amazon Technologies, Inc. | Techniques for protecting against denial of service attacks near the source |
| US8935743B2 (en) * | 2011-01-27 | 2015-01-13 | Sap Se | Web service security cockpit |
| WO2012103517A1 (en) * | 2011-01-27 | 2012-08-02 | L-3 Communications Corporation | Internet isolation for avoiding internet security threats |
| US8649268B2 (en) | 2011-02-04 | 2014-02-11 | Twilio, Inc. | Method for processing telephony sessions of a network |
| US8695059B2 (en) * | 2011-02-08 | 2014-04-08 | Verizon Patent And Licensing Inc. | Method and system for providing network security services in a multi-tenancy format |
| US8713628B2 (en) * | 2011-02-08 | 2014-04-29 | Verizon Patent And Licensing Inc. | Method and system for providing cloud based network security services |
| US20120226789A1 (en) * | 2011-03-03 | 2012-09-06 | Cisco Technology, Inc. | Hiearchical Advertisement of Data Center Capabilities and Resources |
| US9235447B2 (en) | 2011-03-03 | 2016-01-12 | Cisco Technology, Inc. | Extensible attribute summarization |
| KR101544482B1 (ko) * | 2011-03-15 | 2015-08-21 | 주식회사 케이티 | 클라우드센터제어장치 및 그의 클라우드센터선택방법 |
| US9369433B1 (en) | 2011-03-18 | 2016-06-14 | Zscaler, Inc. | Cloud based social networking policy and compliance systems and methods |
| US8782174B1 (en) * | 2011-03-31 | 2014-07-15 | Emc Corporation | Uploading and downloading unsecured files via a virtual machine environment |
| US20140044123A1 (en) | 2011-05-23 | 2014-02-13 | Twilio, Inc. | System and method for real time communicating with a client application |
| US9648006B2 (en) | 2011-05-23 | 2017-05-09 | Twilio, Inc. | System and method for communicating with a client application |
| WO2012162397A1 (en) | 2011-05-23 | 2012-11-29 | Twilio, Inc. | System and method for connecting a communication to a client |
| JP5824911B2 (ja) * | 2011-06-29 | 2015-12-02 | 富士通株式会社 | 情報処理装置、情報処理プログラムおよび管理方法 |
| US9003532B2 (en) * | 2011-09-15 | 2015-04-07 | Raytheon Company | Providing a network-accessible malware analysis |
| US9185056B2 (en) * | 2011-09-20 | 2015-11-10 | Big Switch Networks, Inc. | System and methods for controlling network traffic through virtual switches |
| US10182147B2 (en) | 2011-09-21 | 2019-01-15 | Twilio Inc. | System and method for determining and communicating presence information |
| US9336500B2 (en) | 2011-09-21 | 2016-05-10 | Twilio, Inc. | System and method for authorizing and connecting application developers and users |
| US8849976B2 (en) * | 2011-09-26 | 2014-09-30 | Limelight Networks, Inc. | Dynamic route requests for multiple clouds |
| CN103023762A (zh) * | 2011-09-27 | 2013-04-03 | 阿尔卡特朗讯公司 | 云计算接入网关及用于提供用户终端接入云提供商的方法 |
| US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
| US9229740B1 (en) | 2011-11-02 | 2016-01-05 | Amazon Technologies, Inc. | Cache-assisted upload proxy |
| US8726264B1 (en) | 2011-11-02 | 2014-05-13 | Amazon Technologies, Inc. | Architecture for incremental deployment |
| US8984162B1 (en) * | 2011-11-02 | 2015-03-17 | Amazon Technologies, Inc. | Optimizing performance for routing operations |
| US9613219B2 (en) * | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
| US20130160129A1 (en) * | 2011-12-19 | 2013-06-20 | Verizon Patent And Licensing Inc. | System security evaluation |
| US9495227B2 (en) | 2012-02-10 | 2016-11-15 | Twilio, Inc. | System and method for managing concurrent events |
| US10038669B2 (en) * | 2012-03-02 | 2018-07-31 | Nec Corporation | Path control system, control device, and path control method |
| WO2013150543A2 (en) * | 2012-04-02 | 2013-10-10 | Ciphergraph Networks, Inc. | Precomputed high-performance rule engine for very fast processing from complex access rules |
| WO2013154556A1 (en) * | 2012-04-11 | 2013-10-17 | Empire Technology Development Llc | Data center access and management settings transfer |
| US9350644B2 (en) | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
| US9118689B1 (en) * | 2012-04-13 | 2015-08-25 | Zscaler, Inc. | Archiving systems and methods for cloud based systems |
| GB2502254B (en) * | 2012-04-20 | 2014-06-04 | F Secure Corp | Discovery of suspect IP addresses |
| US20130304928A1 (en) | 2012-05-09 | 2013-11-14 | Twilio, Inc. | System and method for managing latency in a distributed telephony network |
| US9240941B2 (en) | 2012-05-09 | 2016-01-19 | Twilio, Inc. | System and method for managing media in a distributed communication network |
| US9602586B2 (en) | 2012-05-09 | 2017-03-21 | Twilio, Inc. | System and method for managing media in a distributed communication network |
| TWI474681B (zh) * | 2012-05-11 | 2015-02-21 | Hope Bay Technologies Inc | 雲端系統中的虛擬機器連線方法 |
| US9201916B2 (en) * | 2012-06-13 | 2015-12-01 | Infosys Limited | Method, system, and computer-readable medium for providing a scalable bio-informatics sequence search on cloud |
| US9247062B2 (en) | 2012-06-19 | 2016-01-26 | Twilio, Inc. | System and method for queuing a communication session |
| US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
| US8805989B2 (en) * | 2012-06-25 | 2014-08-12 | Sungard Availability Services, Lp | Business continuity on cloud enterprise data centers |
| US9747581B2 (en) * | 2012-07-02 | 2017-08-29 | International Business Machines Corporation | Context-dependent transactional management for separation of duties |
| US8737962B2 (en) | 2012-07-24 | 2014-05-27 | Twilio, Inc. | Method and system for preventing illicit use of a telephony platform |
| US8738051B2 (en) | 2012-07-26 | 2014-05-27 | Twilio, Inc. | Method and system for controlling message routing |
| US9047228B2 (en) * | 2012-07-26 | 2015-06-02 | Sap Se | Systems and methods for data privacy and destruction |
| US8938053B2 (en) | 2012-10-15 | 2015-01-20 | Twilio, Inc. | System and method for triggering on platform usage |
| US8948356B2 (en) | 2012-10-15 | 2015-02-03 | Twilio, Inc. | System and method for routing communications |
| JP5987627B2 (ja) * | 2012-10-22 | 2016-09-07 | 富士通株式会社 | 不正アクセス検出方法、ネットワーク監視装置及びプログラム |
| US9253254B2 (en) | 2013-01-14 | 2016-02-02 | Twilio, Inc. | System and method for offering a multi-partner delegated platform |
| US10313345B2 (en) | 2013-03-11 | 2019-06-04 | Amazon Technologies, Inc. | Application marketplace for virtual desktops |
| US9002982B2 (en) * | 2013-03-11 | 2015-04-07 | Amazon Technologies, Inc. | Automated desktop placement |
| US9282124B2 (en) | 2013-03-14 | 2016-03-08 | Twilio, Inc. | System and method for integrating session initiation protocol communication in a telecommunications platform |
| US9350706B1 (en) * | 2013-03-15 | 2016-05-24 | Centurylink Intellectual Property Llc | Network traffic data scrubbing with services offered via anycasted addresses |
| US9001666B2 (en) | 2013-03-15 | 2015-04-07 | Twilio, Inc. | System and method for improving routing in a distributed communication platform |
| CN105378745A (zh) * | 2013-05-30 | 2016-03-02 | 惠普发展公司,有限责任合伙企业 | 基于安全问题禁用和启用节点 |
| US9225840B2 (en) | 2013-06-19 | 2015-12-29 | Twilio, Inc. | System and method for providing a communication endpoint information service |
| US9338280B2 (en) | 2013-06-19 | 2016-05-10 | Twilio, Inc. | System and method for managing telephony endpoint inventory |
| US9240966B2 (en) | 2013-06-19 | 2016-01-19 | Twilio, Inc. | System and method for transmitting and receiving media messages |
| US9225736B1 (en) * | 2013-06-27 | 2015-12-29 | Symantec Corporation | Techniques for detecting anomalous network traffic |
| US9483328B2 (en) | 2013-07-19 | 2016-11-01 | Twilio, Inc. | System and method for delivering application content |
| US9338223B2 (en) * | 2013-08-14 | 2016-05-10 | Verizon Patent And Licensing Inc. | Private cloud topology management system |
| US9274858B2 (en) | 2013-09-17 | 2016-03-01 | Twilio, Inc. | System and method for tagging and tracking events of an application platform |
| US9338018B2 (en) | 2013-09-17 | 2016-05-10 | Twilio, Inc. | System and method for pricing communication of a telecommunication platform |
| US9137127B2 (en) | 2013-09-17 | 2015-09-15 | Twilio, Inc. | System and method for providing communication platform metadata |
| US20160269295A1 (en) * | 2013-10-24 | 2016-09-15 | Hewlett Packard Enterprise Development Lp | Network traffic classification and redirection |
| US9325624B2 (en) | 2013-11-12 | 2016-04-26 | Twilio, Inc. | System and method for enabling dynamic multi-modal communication |
| US9553799B2 (en) | 2013-11-12 | 2017-01-24 | Twilio, Inc. | System and method for client communication in a distributed telephony network |
| DE112014005183T5 (de) * | 2013-11-13 | 2016-07-28 | The Weather Channel, Llc | Speicherdienstnetz |
| US9781046B1 (en) * | 2013-11-19 | 2017-10-03 | Tripwire, Inc. | Bandwidth throttling in vulnerability scanning applications |
| US9171174B2 (en) | 2013-11-27 | 2015-10-27 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for verifying user data access policies when server and/or user are not trusted |
| US9692789B2 (en) * | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US9792165B2 (en) * | 2013-12-23 | 2017-10-17 | Koninklijke Kpn N.V. | Binding smart objects |
| US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| US9444735B2 (en) | 2014-02-27 | 2016-09-13 | Cisco Technology, Inc. | Contextual summarization tag and type match using network subnetting |
| US9344573B2 (en) | 2014-03-14 | 2016-05-17 | Twilio, Inc. | System and method for a work distribution service |
| US9226217B2 (en) | 2014-04-17 | 2015-12-29 | Twilio, Inc. | System and method for enabling multi-modal communication |
| US10803027B1 (en) * | 2014-05-07 | 2020-10-13 | Cisco Technology, Inc. | Method and system for managing file system access and interaction |
| US9325732B1 (en) * | 2014-06-02 | 2016-04-26 | Amazon Technologies, Inc. | Computer security threat sharing |
| US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
| US9774687B2 (en) | 2014-07-07 | 2017-09-26 | Twilio, Inc. | System and method for managing media and signaling in a communication platform |
| US9516101B2 (en) | 2014-07-07 | 2016-12-06 | Twilio, Inc. | System and method for collecting feedback in a multi-tenant communication platform |
| US9251371B2 (en) | 2014-07-07 | 2016-02-02 | Twilio, Inc. | Method and system for applying data retention policies in a computing platform |
| US9246694B1 (en) | 2014-07-07 | 2016-01-26 | Twilio, Inc. | System and method for managing conferencing in a distributed communication network |
| US10248796B2 (en) | 2014-07-08 | 2019-04-02 | Sap Se | Ensuring compliance regulations in systems with dynamic access control |
| US9537893B2 (en) | 2014-07-09 | 2017-01-03 | Sap Se | Abstract evaluation of access control policies for efficient evaluation of constraints |
| US9235716B1 (en) * | 2014-07-09 | 2016-01-12 | Sap Se | Automating post-hoc access control checks and compliance audits |
| US9497207B2 (en) * | 2014-08-15 | 2016-11-15 | International Business Machines Corporation | Securing of software defined network controllers |
| US9992076B2 (en) | 2014-10-15 | 2018-06-05 | Cisco Technology, Inc. | Dynamic cache allocating techniques for cloud computing systems |
| EP3210350B1 (en) | 2014-10-21 | 2020-05-20 | Twilio, Inc. | Method for providing a miro-services communication platform |
| US9712555B2 (en) | 2014-12-03 | 2017-07-18 | Phantom Cyber Corporation | Automated responses to security threats |
| US9253206B1 (en) | 2014-12-18 | 2016-02-02 | Docusign, Inc. | Systems and methods for protecting an online service attack against a network-based attack |
| US9477975B2 (en) | 2015-02-03 | 2016-10-25 | Twilio, Inc. | System and method for a media intelligence platform |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US9609026B2 (en) * | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
| US10419891B2 (en) | 2015-05-14 | 2019-09-17 | Twilio, Inc. | System and method for communicating through multiple endpoints |
| US9948703B2 (en) | 2015-05-14 | 2018-04-17 | Twilio, Inc. | System and method for signaling through data storage |
| US10560422B2 (en) * | 2015-06-28 | 2020-02-11 | Verisign, Inc. | Enhanced inter-network monitoring and adaptive management of DNS traffic |
| US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| US10015197B2 (en) * | 2015-10-22 | 2018-07-03 | International Business Machines Corporation | Determining network security policies during data center migration and detecting security violation |
| US10659349B2 (en) | 2016-02-04 | 2020-05-19 | Twilio Inc. | Systems and methods for providing secure network exchanged for a multitenant virtual private cloud |
| US10713360B2 (en) * | 2016-02-19 | 2020-07-14 | Secureworks Corp. | System and method for detecting and monitoring network communication |
| EP3430775A1 (en) * | 2016-03-17 | 2019-01-23 | Johann Schlamp | Constructible automata for internet routes |
| US10230662B2 (en) | 2016-05-20 | 2019-03-12 | Mitel Networks, Inc. | Hybrid cloud deployment for hybrid unified communications |
| US10063713B2 (en) | 2016-05-23 | 2018-08-28 | Twilio Inc. | System and method for programmatic device connectivity |
| US10686902B2 (en) | 2016-05-23 | 2020-06-16 | Twilio Inc. | System and method for a multi-channel notification service |
| US10887768B2 (en) * | 2016-07-13 | 2021-01-05 | T-Mobile Usa, Inc. | Mobile traffic redirection system |
| US10122651B2 (en) | 2016-08-31 | 2018-11-06 | Inspeed Networks, Inc. | Dynamic bandwidth control |
| US10462166B2 (en) * | 2016-10-11 | 2019-10-29 | Arbor Networks, Inc. | System and method for managing tiered blacklists for mitigating network attacks |
| US10298542B2 (en) * | 2016-10-14 | 2019-05-21 | Cisco Technology, Inc. | Localized connectivity management for isolation networks |
| CN106569951B (zh) * | 2016-11-04 | 2019-05-07 | 杭州顺网科技股份有限公司 | 一种脱离页面的Web测试方法 |
| US10841337B2 (en) | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
| WO2018107382A1 (zh) | 2016-12-14 | 2018-06-21 | 华为技术有限公司 | 分布式负载均衡系统、健康检查方法和服务节点 |
| US10616374B2 (en) | 2017-03-14 | 2020-04-07 | International Business Machines Corporation | Client attachment to an overlay network |
| US10554475B2 (en) | 2017-06-29 | 2020-02-04 | L3Harris Technologies, Inc. | Sandbox based internet isolation in an untrusted network |
| US10558798B2 (en) | 2017-06-29 | 2020-02-11 | L3Harris Technologies, Inc. | Sandbox based Internet isolation in a trusted network |
| US11240207B2 (en) | 2017-08-11 | 2022-02-01 | L3 Technologies, Inc. | Network isolation |
| US11601467B2 (en) | 2017-08-24 | 2023-03-07 | L3 Technologies, Inc. | Service provider advanced threat protection |
| US11122057B2 (en) * | 2017-09-01 | 2021-09-14 | Open Text Holdings, Inc. | Systems, methods and computer program products for ingress email security |
| US10992642B2 (en) | 2017-09-22 | 2021-04-27 | L3 Technologies, Inc. | Document isolation |
| US11178104B2 (en) | 2017-09-26 | 2021-11-16 | L3 Technologies, Inc. | Network isolation with cloud networks |
| US10931669B2 (en) | 2017-09-28 | 2021-02-23 | L3 Technologies, Inc. | Endpoint protection and authentication |
| US11223601B2 (en) | 2017-09-28 | 2022-01-11 | L3 Technologies, Inc. | Network isolation for collaboration software |
| US11044233B2 (en) | 2017-09-28 | 2021-06-22 | L3 Technologies, Inc. | Browser switching system and methods |
| US11336619B2 (en) | 2017-09-28 | 2022-05-17 | L3 Technologies, Inc. | Host process and memory separation |
| US11374906B2 (en) | 2017-09-28 | 2022-06-28 | L3 Technologies, Inc. | Data exfiltration system and methods |
| US11184323B2 (en) | 2017-09-28 | 2021-11-23 | L3 Technologies, Inc | Threat isolation using a plurality of containers |
| US11552987B2 (en) | 2017-09-28 | 2023-01-10 | L3 Technologies, Inc. | Systems and methods for command and control protection |
| US11550898B2 (en) | 2017-10-23 | 2023-01-10 | L3 Technologies, Inc. | Browser application implementing sandbox based internet isolation |
| US11170096B2 (en) | 2017-10-23 | 2021-11-09 | L3 Technologies, Inc. | Configurable internet isolation and security for mobile devices |
| US11120125B2 (en) | 2017-10-23 | 2021-09-14 | L3 Technologies, Inc. | Configurable internet isolation and security for laptops and similar devices |
| US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
| US10691082B2 (en) * | 2017-12-05 | 2020-06-23 | Cisco Technology, Inc. | Dynamically adjusting sample rates based on performance of a machine-learning based model for performing a network assurance function in a network assurance system |
| US10693892B2 (en) | 2017-12-11 | 2020-06-23 | International Business Machines Corporation | Network attack tainting and tracking |
| US10554675B2 (en) * | 2017-12-21 | 2020-02-04 | International Business Machines Corporation | Microservice integration fabrics network intrusion detection and prevention service capabilities |
| CN108366077B (zh) * | 2018-04-23 | 2023-07-04 | 沈康 | 裂变式防攻击网络接入系统 |
| CN108768883B (zh) * | 2018-05-18 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种网络流量识别方法及装置 |
| US11032389B1 (en) * | 2018-08-02 | 2021-06-08 | Juniper Networks, Inc. | Applying application-based policy rules using a programmable application cache |
| US10623508B2 (en) * | 2018-09-12 | 2020-04-14 | Citrix Systems, Inc. | Systems and methods for integrated service discovery for network applications |
| CN110971714B (zh) * | 2018-09-28 | 2023-10-27 | 贵州白山云科技股份有限公司 | 一种企业出口访问请求处理方法、装置及系统 |
| CN109639796A (zh) * | 2018-12-11 | 2019-04-16 | 浪潮电子信息产业股份有限公司 | 一种负载均衡实现方法、装置、设备及可读存储介质 |
| US10855584B2 (en) | 2018-12-28 | 2020-12-01 | Alibaba Group Holding Limited | Client-equipment-peering virtual route controller |
| CN109947639B (zh) * | 2019-01-30 | 2022-07-26 | 兴业证券股份有限公司 | Esb接口自动化测试方法 |
| US10630677B1 (en) * | 2019-06-06 | 2020-04-21 | NortonLifeLock Inc. | Systems and methods for protecting users |
| US20210084055A1 (en) * | 2019-09-12 | 2021-03-18 | AVAST Software s.r.o. | Restricted web browser mode for suspicious websites |
| US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
| US11588834B2 (en) | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
| CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
| US11528294B2 (en) * | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
| US11671375B2 (en) * | 2021-07-15 | 2023-06-06 | Verizon Patent And Licensing Inc. | Systems and methods for software defined hybrid private and public networking |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020009079A1 (en) * | 2000-06-23 | 2002-01-24 | Jungck Peder J. | Edge adapter apparatus and method |
| CN1845528A (zh) * | 2006-01-12 | 2006-10-11 | 华为技术有限公司 | 对数据流进行防攻击过滤的方法、系统及其重定向设备 |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
Family Cites Families (76)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2841684A1 (de) * | 1978-09-25 | 1980-04-10 | Bucher Guyer Ag Masch | Presse, insbesondere steinpresse |
| US4345116A (en) * | 1980-12-31 | 1982-08-17 | Bell Telephone Laboratories, Incorporated | Dynamic, non-hierarchical arrangement for routing traffic |
| US5852717A (en) * | 1996-11-20 | 1998-12-22 | Shiva Corporation | Performance optimizations for computer networks utilizing HTTP |
| US6415329B1 (en) * | 1998-03-06 | 2002-07-02 | Massachusetts Institute Of Technology | Method and apparatus for improving efficiency of TCP/IP protocol over high delay-bandwidth network |
| US6430618B1 (en) * | 1998-03-13 | 2002-08-06 | Massachusetts Institute Of Technology | Method and apparatus for distributing requests among a plurality of resources |
| US6594765B2 (en) * | 1998-09-29 | 2003-07-15 | Softvault Systems, Inc. | Method and system for embedded, automated, component-level control of computer systems and other complex systems |
| US6108703A (en) * | 1998-07-14 | 2000-08-22 | Massachusetts Institute Of Technology | Global hosting system |
| US6275470B1 (en) * | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
| FI107421B (fi) * | 1999-06-28 | 2001-07-31 | Stonesoft Oy | Yhteyksien valintamenetelmä |
| US7346695B1 (en) * | 2002-10-28 | 2008-03-18 | F5 Networks, Inc. | System and method for performing application level persistence |
| US6415323B1 (en) * | 1999-09-03 | 2002-07-02 | Fastforward Networks | Proximity-based redirection system for robust and scalable service-node location in an internetwork |
| US6449658B1 (en) * | 1999-11-18 | 2002-09-10 | Quikcat.Com, Inc. | Method and apparatus for accelerating data through communication networks |
| US6405252B1 (en) * | 1999-11-22 | 2002-06-11 | Speedera Networks, Inc. | Integrated point of presence server network |
| US6754699B2 (en) * | 2000-07-19 | 2004-06-22 | Speedera Networks, Inc. | Content delivery and global traffic management network system |
| US6754706B1 (en) * | 1999-12-16 | 2004-06-22 | Speedera Networks, Inc. | Scalable domain name system with persistence and load balancing |
| US6665726B1 (en) * | 2000-01-06 | 2003-12-16 | Akamai Technologies, Inc. | Method and system for fault tolerant media streaming over the internet |
| US6820133B1 (en) * | 2000-02-07 | 2004-11-16 | Netli, Inc. | System and method for high-performance delivery of web content using high-performance communications protocol between the first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination |
| US7340532B2 (en) * | 2000-03-10 | 2008-03-04 | Akamai Technologies, Inc. | Load balancing array packet routing system |
| US7020719B1 (en) * | 2000-03-24 | 2006-03-28 | Netli, Inc. | System and method for high-performance delivery of Internet messages by selecting first and second specialized intermediate nodes to optimize a measure of communications performance between the source and the destination |
| CA2450394C (en) * | 2000-05-26 | 2011-07-19 | Akamai Technologies, Inc. | Global load balancing across mirrored data centers |
| US7251688B2 (en) * | 2000-05-26 | 2007-07-31 | Akamai Technologies, Inc. | Method for generating a network map |
| US7072979B1 (en) * | 2000-06-28 | 2006-07-04 | Cisco Technology, Inc. | Wide area load balancing of web traffic |
| US7165116B2 (en) * | 2000-07-10 | 2007-01-16 | Netli, Inc. | Method for network discovery using name servers |
| US7484002B2 (en) * | 2000-08-18 | 2009-01-27 | Akamai Technologies, Inc. | Content delivery and global traffic management network system |
| US7346676B1 (en) * | 2000-07-19 | 2008-03-18 | Akamai Technologies, Inc. | Load balancing service |
| US6795823B1 (en) * | 2000-08-31 | 2004-09-21 | Neoris Logistics, Inc. | Centralized system and method for optimally routing and tracking articles |
| US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| US7454500B1 (en) * | 2000-09-26 | 2008-11-18 | Foundry Networks, Inc. | Global server load balancing |
| US7478148B2 (en) * | 2001-01-16 | 2009-01-13 | Akamai Technologies, Inc. | Using virtual domain name service (DNS) zones for enterprise content delivery |
| US7155515B1 (en) * | 2001-02-06 | 2006-12-26 | Microsoft Corporation | Distributed load balancing for single entry-point systems |
| US7003572B1 (en) * | 2001-02-28 | 2006-02-21 | Packeteer, Inc. | System and method for efficiently forwarding client requests from a proxy server in a TCP/IP computing environment |
| WO2002071242A1 (en) * | 2001-03-01 | 2002-09-12 | Akamai Technologies, Inc. | Optimal route selection in a content delivery network |
| US6982954B2 (en) * | 2001-05-03 | 2006-01-03 | International Business Machines Corporation | Communications bus with redundant signal paths and method for compensating for signal path errors in a communications bus |
| US7480705B2 (en) * | 2001-07-24 | 2009-01-20 | International Business Machines Corporation | Dynamic HTTP load balancing method and apparatus |
| US6880002B2 (en) * | 2001-09-05 | 2005-04-12 | Surgient, Inc. | Virtualized logical server cloud providing non-deterministic allocation of logical attributes of logical servers to physical resources |
| US7475157B1 (en) * | 2001-09-14 | 2009-01-06 | Swsoft Holding, Ltd. | Server load balancing system |
| US7373644B2 (en) * | 2001-10-02 | 2008-05-13 | Level 3 Communications, Llc | Automated server replication |
| CA2410172A1 (en) * | 2001-10-29 | 2003-04-29 | Jose Alejandro Rueda | Content routing architecture for enhanced internet services |
| US6606685B2 (en) * | 2001-11-15 | 2003-08-12 | Bmc Software, Inc. | System and method for intercepting file system writes |
| US7257584B2 (en) * | 2002-03-18 | 2007-08-14 | Surgient, Inc. | Server file management |
| US7454458B2 (en) * | 2002-06-24 | 2008-11-18 | Ntt Docomo, Inc. | Method and system for application load balancing |
| US7185067B1 (en) * | 2002-08-27 | 2007-02-27 | Cisco Technology, Inc. | Load balancing network access requests |
| US7136922B2 (en) * | 2002-10-15 | 2006-11-14 | Akamai Technologies, Inc. | Method and system for providing on-demand content delivery for an origin server |
| GB0227786D0 (en) * | 2002-11-29 | 2003-01-08 | Ibm | Improved remote copy synchronization in disaster recovery computer systems |
| US7126955B2 (en) * | 2003-01-29 | 2006-10-24 | F5 Networks, Inc. | Architecture for efficient utilization and optimum performance of a network |
| WO2004077259A2 (en) * | 2003-02-24 | 2004-09-10 | Bea Systems Inc. | System and method for server load balancing and server affinity |
| US8166128B1 (en) * | 2003-02-28 | 2012-04-24 | Oracle America, Inc. | Systems and methods for dynamically updating a virtual volume in a storage virtualization environment |
| US7373500B2 (en) * | 2003-04-15 | 2008-05-13 | Sun Microsystems, Inc. | Secure network processing |
| US7308499B2 (en) * | 2003-04-30 | 2007-12-11 | Avaya Technology Corp. | Dynamic load balancing for enterprise IP traffic |
| US7398422B2 (en) * | 2003-06-26 | 2008-07-08 | Hitachi, Ltd. | Method and apparatus for data recovery system using storage based journaling |
| US7436775B2 (en) * | 2003-07-24 | 2008-10-14 | Alcatel Lucent | Software configurable cluster-based router using stock personal computers as cluster nodes |
| US7286476B2 (en) * | 2003-08-01 | 2007-10-23 | F5 Networks, Inc. | Accelerating network performance by striping and parallelization of TCP connections |
| US7203796B1 (en) * | 2003-10-24 | 2007-04-10 | Network Appliance, Inc. | Method and apparatus for synchronous data mirroring |
| US7325109B1 (en) * | 2003-10-24 | 2008-01-29 | Network Appliance, Inc. | Method and apparatus to mirror data at two separate sites without comparing the data at the two sites |
| US7389510B2 (en) * | 2003-11-06 | 2008-06-17 | International Business Machines Corporation | Load balancing of servers in a cluster |
| US7380039B2 (en) * | 2003-12-30 | 2008-05-27 | 3Tera, Inc. | Apparatus, method and system for aggregrating computing resources |
| US7426617B2 (en) * | 2004-02-04 | 2008-09-16 | Network Appliance, Inc. | Method and system for synchronizing volumes in a continuous data protection system |
| US7266656B2 (en) * | 2004-04-28 | 2007-09-04 | International Business Machines Corporation | Minimizing system downtime through intelligent data caching in an appliance-based business continuance architecture |
| US8521687B2 (en) * | 2004-08-03 | 2013-08-27 | International Business Machines Corporation | Apparatus, system, and method for selecting optimal replica sources in a grid computing environment |
| US7840963B2 (en) * | 2004-10-15 | 2010-11-23 | Microsoft Corporation | Marking and utilizing portions of memory state information during a switch between virtual machines to minimize software service interruption |
| US7779410B2 (en) * | 2004-12-17 | 2010-08-17 | Sap Ag | Control interfaces for distributed system applications |
| US7710865B2 (en) * | 2005-02-25 | 2010-05-04 | Cisco Technology, Inc. | Disaster recovery for active-standby data center using route health and BGP |
| US20080229415A1 (en) * | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
| WO2007022454A2 (en) * | 2005-08-18 | 2007-02-22 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media protecting a digital data processing device from attack |
| US8949364B2 (en) * | 2005-09-15 | 2015-02-03 | Ca, Inc. | Apparatus, method and system for rapid delivery of distributed applications |
| US7890612B2 (en) * | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| US7487383B2 (en) * | 2006-06-29 | 2009-02-03 | Dssdr, Llc | Data transfer and recovery process |
| US7719997B2 (en) * | 2006-12-28 | 2010-05-18 | At&T Corp | System and method for global traffic optimization in a network |
| US7987467B2 (en) * | 2007-04-13 | 2011-07-26 | International Business Machines Corporation | Scale across in a grid computing environment |
| WO2008138008A1 (en) * | 2007-05-08 | 2008-11-13 | Riverbed Technology, Inc | A hybrid segment-oriented file server and wan accelerator |
| US20080282338A1 (en) * | 2007-05-09 | 2008-11-13 | Beer Kevin J | System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network |
| US20080320482A1 (en) * | 2007-06-20 | 2008-12-25 | Dawson Christopher J | Management of grid computing resources based on service level requirements |
| US8073922B2 (en) * | 2007-07-27 | 2011-12-06 | Twinstrata, Inc | System and method for remote asynchronous data replication |
| US7970903B2 (en) * | 2007-08-20 | 2011-06-28 | Hitachi, Ltd. | Storage and server provisioning for virtualized and geographically dispersed data centers |
| US20090235359A1 (en) * | 2008-03-12 | 2009-09-17 | Comodo Ca Limited | Method and system for performing security and vulnerability scans on devices behind a network security device |
| US7894350B2 (en) * | 2008-07-24 | 2011-02-22 | Zscaler, Inc. | Global network monitoring |
-
2010
- 2010-03-24 WO PCT/US2010/028388 patent/WO2010117623A2/en active Application Filing
- 2010-03-24 CN CN201080020441.8A patent/CN102859934B/zh active Active
- 2010-03-24 EP EP10762104.7A patent/EP2415207B1/en active Active
- 2010-03-24 AU AU2010234958A patent/AU2010234958A1/en not_active Abandoned
- 2010-03-24 US US12/730,303 patent/US20100251329A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020009079A1 (en) * | 2000-06-23 | 2002-01-24 | Jungck Peder J. | Edge adapter apparatus and method |
| CN1845528A (zh) * | 2006-01-12 | 2006-10-11 | 华为技术有限公司 | 对数据流进行防攻击过滤的方法、系统及其重定向设备 |
| CN101087196A (zh) * | 2006-12-27 | 2007-12-12 | 北京大学 | 多层次蜜网数据传输方法及系统 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103559072B (zh) * | 2013-10-22 | 2016-08-17 | 无锡中科方德软件有限公司 | 虚拟机双向自动伸缩服务实现方法及其系统 |
| CN103559072A (zh) * | 2013-10-22 | 2014-02-05 | 无锡中科方德软件有限公司 | 虚拟机双向自动伸缩服务实现方法及其系统 |
| CN103595826A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
| CN103595826B (zh) * | 2013-11-01 | 2016-11-02 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
| CN103716414A (zh) * | 2014-01-13 | 2014-04-09 | 深圳市鼎信通达科技有限公司 | 基于弹性云的VoIP带宽质量提升方法及系统 |
| CN103716414B (zh) * | 2014-01-13 | 2016-09-21 | 深圳鼎信通达股份有限公司 | 基于弹性云的VoIP带宽质量提升方法及系统 |
| US10298486B2 (en) | 2014-02-28 | 2019-05-21 | Level 3 Communications, Llc | Selecting network services based on hostname |
| CN106133714A (zh) * | 2014-02-28 | 2016-11-16 | 第三雷沃通讯有限责任公司 | 基于主机名选择网络服务 |
| CN106133714B (zh) * | 2014-02-28 | 2020-03-20 | 第三雷沃通讯有限责任公司 | 基于主机名选择网络服务 |
| CN108039964A (zh) * | 2014-04-09 | 2018-05-15 | 华为技术有限公司 | 基于网络功能虚拟化的故障处理方法及装置、系统 |
| CN108039964B (zh) * | 2014-04-09 | 2021-02-23 | 华为技术有限公司 | 基于网络功能虚拟化的故障处理方法及装置、系统 |
| CN107005570A (zh) * | 2014-12-11 | 2017-08-01 | 比特梵德知识产权管理有限公司 | 用于网络端点的安全保护及远程管理的用户接口 |
| CN111818008A (zh) * | 2020-05-21 | 2020-10-23 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN111818008B (zh) * | 2020-05-21 | 2022-11-11 | 云南电网有限责任公司信息中心 | 一种基于Webservice的网络数据安全交换方法 |
| CN114124477A (zh) * | 2021-11-05 | 2022-03-01 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
| CN114124477B (zh) * | 2021-11-05 | 2024-04-05 | 深圳市联软科技股份有限公司 | 一种业务服务系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010117623A2 (en) | 2010-10-14 |
| EP2415207B1 (en) | 2014-12-03 |
| US20100251329A1 (en) | 2010-09-30 |
| EP2415207A2 (en) | 2012-02-08 |
| EP2415207A4 (en) | 2012-08-22 |
| WO2010117623A3 (en) | 2011-01-13 |
| CN102859934B (zh) | 2016-05-11 |
| AU2010234958A1 (en) | 2011-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
| US11822653B2 (en) | System and method for providing network security to mobile devices | |
| US9462007B2 (en) | Human user verification of high-risk network access | |
| US10084791B2 (en) | Evaluating a questionable network communication | |
| US9015090B2 (en) | Evaluating a questionable network communication | |
| US9185127B2 (en) | Network protection service | |
| US8407791B2 (en) | Integrated cyber network security system and method | |
| US20180145986A1 (en) | Network security based on redirection of questionable network access | |
| US20150229609A1 (en) | Evaluating a questionable network communication | |
| CA2921345A1 (en) | Evaluating a questionable network communication | |
| Fung et al. | Intrusion detection networks: a key to collaborative security | |
| US20210314355A1 (en) | Mitigating phishing attempts | |
| Wang et al. | Hiding fast flux botnet in plain email sight | |
| Chanti et al. | A literature review on classification of phishing attacks | |
| Moon et al. | Detection of botnets before activation: an enhanced honeypot system for intentional infection and behavioral observation of malware | |
| Tundis et al. | The role of Information and Communication Technology (ICT) in modern criminal organizations | |
| Pustogarov | Deanonymisation techniques for Tor and Bitcoin | |
| KR101025502B1 (ko) | 네트워크 기반의 irc와 http 봇넷을 탐지하여 대응하는 시스템과 그 방법 | |
| KR101045332B1 (ko) | Irc 및 http 봇넷 정보 공유 시스템 및 그 방법 | |
| Yagi | Website protection schemes based on behavior analysis of malware attackers | |
| Kuitert | War on Botnets | |
| Babu | Covert botnet implementation and defense against covert botnets | |
| Action | SEVENTH FRAMEWORK PROGRAMME | |
| Ioannidis et al. | Deliverable D2. 1. x Threat Reports | |
| Shirley | Botnet Literature Review |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |