CN105659554A - 基于普遍度的信誉 - Google Patents
基于普遍度的信誉 Download PDFInfo
- Publication number
- CN105659554A CN105659554A CN201380079251.7A CN201380079251A CN105659554A CN 105659554 A CN105659554 A CN 105659554A CN 201380079251 A CN201380079251 A CN 201380079251A CN 105659554 A CN105659554 A CN 105659554A
- Authority
- CN
- China
- Prior art keywords
- generally
- prestige
- dxl
- request
- territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
在示例中,公开了用于出于安全的目的基于上下文感知网络中的普遍度来计算对象的信任水平的方法和系统。在实施例中,当对象被访问时,客户端查询诸如信誉服务器等的域主机来评价对象的信誉。域主机可以维护基于普遍度的信誉数据库,当新的客户端报告对象普遍度时,该信誉数据库可以被更新。
Description
相关申请的交叉引用
本申请要求于2013年9月29日提交的名为“CalculationofTrustLevelBasedonPrevalenceinLocalNetwork”的美国临时申请61/884,117的优先权,该临时申请通过引用被并入到本文中。
技术领域
本申请涉及企业安全领域,并且更加特别地,涉及确定数据交换层上的基于普遍度(prevalence)的信誉。
背景技术
企业服务总线(ESB)是基于软件的网络架构,其提供面向服务的架构上的数据交换的媒介。在一些实施例中,ESB是客户端-服务器软件架构的特例,其中,客户端可以通过服务器来对消息进行路由。
软件、二进制文件、可执行体、广告、网页、文档、宏、可执行对象、以及提供给用户的其他数据(统称“可执行对象”)可能包括遭到恶意软件利用的安全缺陷和隐私漏洞。如在整个本说明书中使用的,恶意的软件(“恶意软件”)可以包括病毒、木马、僵尸、隐匿程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、负荷、恶意的浏览器助手对象、暂存信息(cookie)、登录器、或类似的应用程序或被设计为进行可能的非预期的动作的应用程序的一部分,作为非限制的示例,所述不想要的动作包括数据破坏、隐藏的数据收集、隐藏通信、浏览器劫持、网络代理劫持或重定向、隐藏跟踪、数据记录、键盘记录、过多的或有意的删除障碍、联系人获取、对高级服务的非预期的使用、以及未授权的自我传播。在一些情况下,恶意软件还可以包括合法软件,所述合法软件包括导致或使得能够进行恶意软件行为的无意的安全缺陷。“恶意软件行为”被定义为使应用程序构成恶意软件或灰色软件的任何行为。一些现有的系统被配置为例如通过维护已知恶意软件的数据库来识别和拦截恶意软件。
除了可执行对象之外,计算设备可能遇到静态对象,静态对象并非是要改变计算机的操作状态。作为一类,可执行对象和静态对象可以被简单地称为“对象”。企业安全的关心问题是对象的恶意软件状态的分类。
附图说明
在结合附图阅读时,根据下文中的详细描述,将更好地理解本公开。要强调的是,根据产业中的标准实践,各种特征没有按照比例绘制并且仅用于说明目的。事实上,为讨论的清楚起见,各种特征的尺寸可以被任意地增大或减小。
图1是根据本说明书的一个或多个示例的具有DXL能力的上下文感知网络的网络图。
图1A是根据本说明书的一个或多个示例的域主机是联合威胁情报(JTI)服务器的示例。
图1B是根据本说明书的一个或多个示例的选择元素和上下文感知网络的网络图。
图2是根据本说明书的一个或多个示例的公开分布式架构的网络图。
图3是根据本说明书的一个或多个示例的跨传统企业边界操作的示例DXL网络的网络图。
图4是根据本说明书的一个或多个示例的上下文感知网络400的网络图。
图5是根据本说明书的一个或多个示例的DXL代理的框图。
图6是根据本说明书的一个或多个示例的CIM服务器的框图。
图7是根据本说明书的一个或多个示例的域主机160的框图。
图8是根据本说明书的一个或多个示例的客户端的框图。
图9是根据本说明书的一个或多个示例的以分层的方式示出了对象的评价的流程图。
图10是根据本说明书的一个或多个示例的由客户端120执行的方法的流程图。
图10A是根据本说明书的一个或多个示例的由JTI服务器结合图10的方法执行的方法的流程图。
图11是根据本说明书的一个或多个示例的JTI服务器的对信誉请求进行服务的方法的流程图。
图12是根据本说明书的一个或多个示例的对图10A的方法进行改进的流程图。
图13是根据本说明书的一个或多个示例的域主机的对基于普遍度的信誉数据库进行初始化和维护的方法的流程图。
图14是根据本说明书的一个或多个示例的由域主机160响应于接收到信誉请求而执行的方法的框图。
图15是根据本说明书的一个或多个示例的由客户端执行的方法的流程图。
具体实施方式
概述
在示例中,公开了用于出于安全目的基于上下文感知网络中的普遍度来计算对象的信任水平的方法和系统。在实施例中,当对象被访问时,客户端查询诸如信誉服务器等的域主机来评价对象的信誉。域主机可以维护基于普遍度的信誉数据库,当新的客户端报告对象普遍度时,该信誉数据库可以被更新。
本公开的示例
以下的公开提供了用于实现本公开的不同的特征的许多不同的实施例或示例。在下文中描述了部件和布置的特定的示例以简化本公开。当然,这些仅是示例并且不是要用于限制。此外,本公开可以在各种示例中重复附图标记和/或字母。这样的重复是出于简单和清楚的目的,并且本身不指定所讨论的各种实施例和/或配置之间的关系。
不同的实施例可以具有许多不同的优点,并且任何实施例都不要求特定的优点。
在越来越异构的软件生态系统中,企业可能面对新的和增强的安全挑战和恶意软件威胁。这产生了这样的情况,其中期望本来自治的网络元件之间的威胁情报的实时交换。增加的共享可以提高本来在其自己的安全“仓(silos)”中操作的设备之间的安全性。
本说明书的系统和方法通过提供跨数据源的标准化的数据表示以及保护由不同的源共享的数据的质量,从而解决了这样的挑战。
上下文感知计算(CAC)是如下类型的计算,其中,与人、地点、和事物有关的情景的和环境信息用于对实时需要进行预期,并且主动地提供丰富的、情景感知的、和可用的功能与经验。上下文感知计算在系统运行的时刻依赖于捕获与世界有关的数据。
根据本说明书的一个或多个示例,“上下文感知网络”是互连服务的例如包括安全系统的自适应系统,其传递和共享信息以通过单独的产品和/或作为整体来做出实时、准确的决策。根据示例,网络、端点、数据库、应用和其他安全解决方案不再作为单独的“仓”来操作,而是作为一个同步的、实时的、上下文感知的和自适应的安全系统来操作。
在示例中,多个网络元件经由数据交换层(DXL)相互连接,所述数据交换层是适用于交换与安全有关的消息的类型的ESB。如在本文中所使用的,“网络元件”包括任何类型的客户端或服务器(例如,视频服务器、网络服务器等)、路由器、交换机、网关、桥接器、负载均衡器、防火墙、内联服务节点、代理、网络设备、处理器、模块、或可操作用于在网络环境中交换信息的其它任何合适的设备、部件、元件、或对象。更具体地,DXL端点是在DXLESB上交互的网络元件。DXL端点可以在客户网络上分布,并且以可信、安全和可靠的方式实时地通信。这可以提供提高的自动化和改进的安全服务。
在示例中,DXL端点被部署在网络内的战略位置上以截获正在进行的业务活动,对其进行检查和解释,并且最终确定其是否被授权,例如表示其与企业安全策略是一致的。在一些情况下,网络元件必须做出如下决定:“带内”地暂时地中止商业活动,并且“机器实时地”以足够低的延时,以避免业务活动中的显著的用户可察觉的延迟。
在一些情况下,网络元件仅可以通过其自己的独立分析和观察,并且经由预定的定义更新来独立地访问安全数据,所述定义更新可以例如作为更新后的恶意软件定义每周到来。
由于网络元件常常是异构性的,并且特别是在现代网络中,可以以暂时的或临时的方式被部署,因此实时的情报成为了挑战,特别是当“带内”决策是必须的时候。此外,企业可能以零碎的方式获得安全解决方案,使得一个产品不能总是假设另一个产品的存在。例如,可能不存在用于由网络元件咨询的单个的、预先定义的威胁情报的库,并且定期的恶意软件定义更新可能不包括最近发现的威胁。数据的表示和解释提供了另一个挑战。网络元件可以使用不同的、专有的数据表示。由此,例如,甚至反病毒扫描器可能不被配置为与基于网络的安全设备共享新发现的恶意软件信息。在其他上下文中,信息的可信度可能是另一个挑战。换言之,即使反病毒扫描器和基于网络的安全设备被配置为共享安全情报,则其中的每一个可能不具有对从另一个接收到的情报进行验证的手段。
在示例中,本说明书提供了数据交换层(DXL),其可以在诸如ESB等的轻量级的基于消息传递的通信基础设施上操作,并且可以被配置为允许端点共享上下文数据。DXL可以是更大的安全连接框架中的一个元件,所述框架可以是互连服务的例如安全系统的自适应系统,其传递和共享信息以通过单独的产品和/或作为整体来做出实时、准确的安全决策。根据示例,网络、端点、数据库、应用和其它安全解决方案不需要操作作为单独的“仓”,而是作为一个同步的、实时的、上下文感知的并且自适应的安全系统。
图1是具有DXL能力的上下文感知网络100的网络图。根据该示例,多个客户端120连接到DXL企业服务总线(ESB)130。DXLESB130是DXL交换结构的示例,并且可以在现有的网络(例如,局域网(LAN))上被提供。客户端120可以是任何合适的计算设备,作为非限制的示例,包括计算机、个人数字助理(PDA)、膝上型计算机或电子笔记本、蜂窝电话、IP电话、iPhoneTM、iPadTM、MicrosoftSurfaceTM、AndroidTM电话、GoogleNexusTM、或者能够在通信系统内发起语音、音频、或数据交换的任何其它设备、部件、元件、或对象,其包括到终端用户的合适的接口,例如,麦克风、显示器、或键盘或其它终端设备。在图1的示例中,客户端120-1是嵌入式设备,例如,网络安全传感器。客户端120-2是虚拟机。客户端120-3是膝上型或笔记本计算机。客户端120-4是桌上型计算机。
DXLESB130可以是合适的数据可以在其上传递的任何类型的物理或虚拟网络连接。目前,没有针对ESB的固定的或全局的标准,并且如在本文中所使用的,该术语是要广泛地包含适用于消息交换的任何网络技术或拓扑。在一个实施例中,消息队列遥测传输(MQTT)消息在端口8883上进行交换。在一些情况下,全部作为非限制的示例,客户端120、DXL代理110、域主机160、数据库162、JTI服务器(图1A)、代理170(图1A)、以及威胁情报服务180(图1A),可以被称为“网络元件”。
被配置为在DXLESB130上操作或者与DXLESB130一起操作的网络元件可以被称为“DXL端点”。在示例中,这些可以包括客户端120、DXL代理110、以及域主机160。
DXL代理110可以被配置为在DXLESB130上提供DXL消息传递服务,例如维护DXL路由表和交付消息。
DXL代理110提供DXL服务190,在示例中,DXL服务190是可操作用于将DXLESB130提供给DXL端点的网络服务。
域主机160可以被配置为通信地耦合到DXL代理110。域主机160可以维护诸如数据库162等的数据库中的域数据。在该示例中,域主机160和数据库162被示出为两个不同的实体,但是应当注意的是,许多配置是可能的。例如,数据库162可以驻留在域主机160本地的磁盘驱动器上,或者被单独地或远程地托管。数据库162作为示例被公开,并且可以是任何合适的数据存储,作为非限制的示例,其包括结构化的或关系数据库、分布式数据库、或者平面文件。
作为操作性的示例,诸如膝上型计算机120-3等的客户端连接到LAN并且接收新的IP地址。此时,膝上型计算机120-3的多个属性变得对其它网络元件可知,作为非限制的示例,所述属性包括,其IP地址、与其操作系统有关的信息、以及已登录的用户的用户名。为了便于引用,在整个本示例中,这些被称为“客户端属性”。客户端属性是安全-情报数据的实施例,并且对于之前已经向域主机160订阅了安全-情报数据主题的虚拟机120-2而言,是有兴趣的。
客户端属性可以由两个不同的源(即由膝上型计算机120-3和由网络安全传感器120-1)同时报告给DXL。然而,网络安全传感器120-1可能未能报告用户名值。它还可能报告了与由膝上型计算机120-3报告的OS值不同的OS值。例如,这可能是因为,网络安全传感器120-1在远程地感应数据,并且可能不能够像膝上型计算机120-3本身一样可靠地确定这些值。
域主机160负责包括客户端属性的“客户端系统”数据域。当膝上型计算机120-3和客户端120-1发布包含客户端属性的消息时,两个消息都首先被路由到DXL代理110。DXL代理110可以随后将客户端属性转发到域主机160。
域主机160可以将从两个源接收的客户端属性组合并且协调成为单个的真实记录,包括分别针对IP地址、操作系统和用户名的单个值。具体地,域主机160可以经由其本身的逻辑和可能的之前的配置来确定对于OS值,膝上型计算机120-3比网络安全传感器120-1更加可信。因此,当从网络安全传感器120-1接收的“操作系统”值与从膝上型计算机120-3接收的“操作系统”值冲突时,域主机160可以忽略从网络安全传感器120-1接收到的“操作系统”值。
协调后的客户端属性永久地存储在域数据库162中。域主机160可以随后在DXLESB130上发布客户端属性。DXL代理110可以随后将发布的消息转发到接收客户端属性的唯一的和最准确的值的虚拟机120-2。
随后,客户端120-4可以在DXLESB130上发送DXL请求,查询针对膝上型计算机120-3的客户端属性。DXL代理110接收该请求并且自动地将其路由到域主机160。域主机160从域数据库162取回客户端属性,并且发送DXL响应消息,DXL代理110接收该DXL响应消息并且转发到客户端120-4。应当注意,尽管在该示例中“发布-订阅”事务是一对多的,但是“请求-响应”事务是一对一的。
在一些实施例中,通过消息传递,DXL特征为允许多个网络元件的松散集成或耦合。松散耦合可以减少每个DXL端点必须做出的关于其它DXL端点的假设,例如,某些能力、硬件、或软件的存在。根据本说明书的一个或多个示例,DXL是“即插即用”的API,并且可以通过使得上下文能够在产品间共享来促进上下文感知和自适应安全。
此外,根据本说明书的一个或多个示例,DXL是具有多个部署选项的弹性架构并且是高度可缩放的。DXL也可以被设计具有思想上的开放性并且启用第三方集成。
DXLESB130可以基于两层协议。“底”层是将多种安全元件连接为网格或者连接在中心-辐结构配置中的安全的、可靠的、低延时的数据传输交换结构。“顶”层是被配置为促进可信的数据表示的可扩展的数据交换框架。
在示例中,DXL端点连接到DXLESB130。每个DXL端点被分配不同的标识,并且在启动之后,可以例如经由证书或其它安全令牌来向DXLESB130验证自身。DXL端点可以例如通过发送被定址到具有特定标识的端点的DXL消息,经由DXLESB130来建立一对一的通信。这使得DXL端点能够相互通信,而不一定建立点对点的网络连接。在示例中,这类似于人对人的电话通话。
在另一个示例中,DXL可以提供发布-订阅框架,在该框架中,某些DXL端点“订阅”到某种类型的消息。当DXL端点在DXLESB130上“发布”该类型的消息时,所有订阅者可以处理该消息,而非订阅者可以安全地忽略它。在示例中,这类似于播客订阅服务。在另一个实施例中,DXL可以提供请求-响应框架。在该情况下,一个DXL端点可以在DXLESB130上发布请求。接收请求的合适的DXL端点可以提供响应。有利地,响应可以不仅由最初发布该请求的那个DXL端点使用。例如,如果客户端120发布针对对象的信誉的请求,则JTI服务器150可以通过发布信誉来响应。由此,发现该对象的实例的其它客户端120可以从响应中受益。例如,客户端120可以维护在网络上发布的信誉的全面的缓存。如果客户端120随后新遇到在网络上已知的对象,则客户端120已经具有针对该对象的最新的信誉。
DXLESB130可以使用适合于连接安全元件的特定的基础设施的多种软件元素、样式、以及构造被实现。例如,在物理企业网络中,可以部署包括多个互连的消息代理的消息传递中间件,其中,端点连接至最近的代理。在虚拟网络基础设施中,交换结构可以利用管理程序提供的信道。
如上所述,DXLESB130可以被配置为提供本来自治的、动态组合的DXL端点之间的实时的、可信的数据的交换。由此,在示例中,DXLESB130的概念框架可以包括两个虚拟部件:
a、安全相关的数据的广泛集合被分类为“数据域”。每个数据域是实体、属性、以及相互关系的紧密相关的子集合。
b、域主机160是针对每个域的被分配有数据的所有权的数据提供者。域主机160用作原始“情报”数据的第一手来源与数据消费者端点(例如,客户端120)之间的中间可信数据代理。情报数据可以从数据生产者端点流向合适的域主机160,并且随后被中继到数据消费者端点,例如客户端120。应当注意,在该示例中,“数据生产者”和“数据消费者”的概念是上下文角色,并且不一定是物理设备。客户端120在一个上下文中可以是数据生产者并且在另一个上下文中是数据使用者。
在示例中,域主机160可以建立与数据提供者端点的第一手信任关系。这使得其能够测量其从任何特定的来源中接收的数据(例如,信誉数据)的质量(包括精确性和可靠性)。当从多个(独立的)来源(例如,不同的客户端120)中接收了重复的、零碎的数据时,域主机160可以协调数据并且解决冲突以得出针对每个对象的单个最佳已知的真实情况(例如,信誉)的记录。这确保客户端120接收一致的数据。
域主机160还可以将数据变换成很好地理解的、标准化的表示。该表示可以被发布在DXLESB130上,以使得所有的客户端120接收可用的数据。
有利地,DXL端点不需要知道什么设备产生数据,或建立到其它DXL端点的点对点连接,甚至在一对一的通信是必须的时。确切地说,DXL客户端软件或DXL扩展使得DXL端点能够使用其自己的本地API用于查询和接收数据。为了提高网络效率,DXL端点可以在本地对接收的数据进行缓存,该数据可以被信任直到其由经授权的DXL消息替换为止。例如,客户端120可以订阅发布的对象的信誉。当接收到对象信誉时,响应于请求-响应事务,或在发布-订阅模型中,客户端120可以将信誉存储在本地数据库中。信誉可以被信任直到被替换为止,因为DXL主机160被配置为每当其接收到更新的信誉时就发布信誉更新。由此,来自客户端120的频繁的单独数据请求变成批量的数据订阅,这是因为发布的信誉对订阅了信誉的所有客户端120可用。有利地,这可以降低数据交换的延迟。
在另一个示例中,DXL代理110提供发现和定位服务,其向DXL端点通知数据查询和订阅请求应该被路由到的具体的域主机160。
有利地,在本文中所描述的示例DXL架构是灵活的。例如,单独的数据源可以连接网络或从网络中断开而不影响数据消费者。域主机160可以简单地依靠任何可用的数据源。此外,框架不做与物理位置或域主机160或域端点具体被如何部署或被配置有关的任何假设。只要每个网络元件提供有效的DXL消息传递,业务就被正确地路由。
在以上的示例中,DXL主机160是逻辑单件,但应当注意,DXL主机160可以例如被实现为分布式的服务部件的集合,其中每个部件对域的子集进行服务,或提供在其他地方运行的服务的本地数据复制。这样的配置可以提高规模、性能、以及可靠性。这也可以允许服务被透明地重定位。
还有利地是,在本文中所提供的DXL框架是可扩展的。例如,与新的实体和关系有关的数据可以简单地通过创建新的数据域来提供。针对现有的数据域的新的属性和关系可以简单地通过定义该域的新的消息类型来提供。
在示例中,域主机160对恶意软件数据的域负责。为了将消息(例如,网络状态和设备维护)与“恶意软件”域进行区分,可以针对每个域定义命名空间。例如,信誉域可以使用“恶意软件(MALWARE)”命名空间,网络状态域可以使用“STATUS(状态)”命名空间,并且设备维护域可以使用“MAINT(维护)”命名空间。由此,但如果域主机160是针对信誉域的主机,则其知道处理恶意软件命名空间内的消息,并且忽略所有其它消息。这允许设计者针对每个域分配一组消息,而不必咨询现有的域以避免消息的名称冲突。
例如,信誉域和设备维护域两者都可以使用诸如DOWNLOAD_UPDATES等的消息。在信誉域的情况下,该消息可以是从JTI服务器150取回更新的定义的指令。在设备维护域中,这可以是用于从供应商下载操作系统更新的指令。
客户端120可以被配置为交换来自多个DXL域的数据,并且可以订阅信誉域和设备维护域两者上的消息。由此,例如,客户端120-1通过请求批量信誉更新来解析和响应DXL消息DOWNLOAD_UPDATES。在一个实施例中,请求恶意软件更新的消息本身可以是DXL消息。在一些情况下,例如,在更新是大型的并且不需要实时更新的情况下,更新的交付可以在DXL架构的外部完成,以将DXL保留用于轻量级、高速的消息传递。
客户端120还可以知道它应当通过联系供应商的服务器并且请求更新来解析和响应MAINT:DOWNLOAD_UPDATES。
在域主机160被配置为信誉域的主机的情况下,其可以知道忽略不在MALWARE命名空间中的所有DXL消息。然而,注意到,单个物理设备可以被配置为用作多个域的域主机,在这样的情况下,在不同命名空间中的业务可以被传递给不同的子例程。在一些实施例中,DXL代理110可以被配置为对来自被给予了更少特权(例如,DXLESB130上的“建议”特权)的多个DXL网络设备(例如,客户端120)的报告进行合成。
进一步增加可扩展性,可以通过将新的或更好的数据与域主机160集成来集成这些新的或更好的数据。这可以对客户端120和其他DXL端点完全透明。
作为非限制的示例,DXL代理110的额外的特征可以包括:用于查询注册的端点、可用的服务、以及其位置的服务和位置注册;发布/订阅(1:N)、请求/响应(1:1)、设备对设备(1:1)、以及推送通知消息传递接口;代理之间的优化的消息传递、目的地感知消息路由;以及代理到代理失效转移。
有利地,域主机160不需要关心每个DXL端点如何处理发布的消息。确切地说,那可以是企业安全策略的问题。
作为非限制的示例,客户端120的额外的DXL特征可以包括:用于发现代理、向DXL认证、以及发送和接收经编目的消息的本地消息总线集成API。
作为非限制的示例,上下文感知网络100的额外的一般特征可以包括:域主机160的DXL代理和客户端供应以及管理;到DXLESB130上的端点的基于策略的认证;安全的基于SSL的通信;对离线(offpremises)通信的代理支持;以及预先配置有DXL代理功能的域主机设备(由此将域主机160和DXL代理110结合到一个设备)。
图1A是根据本说明书的一个或多个实施例的示例,其中,域主机160是提供例如“信誉”域上的对象信誉服务的联合威胁情报(JTI)服务器150。JTI服务器150可以通信地耦合到DXL代理110。JTI服务器150可以是被配置为提供信誉服务、维护与网络对象(作为非限制的示例,例如信誉、普遍度、以及情报)有关的元数据、调用用于对象的信誉分类的外部扫描器、以及将遥测数据提供给威胁情报服务180的中间件设备。JTI服务器150可以经由代理170与全局威胁情报服务180进行通信,这可以包括通过DXLESB130或通过更传统的IP网络进行的通信。
有利地,结合威胁情报服务180,JTI服务器150可以提供众包(crowd-sourced)的对象信誉。JTI服务器150还可以提供管理员覆盖(overrides)。这些可以包括针对对象是否应该在网络上运行和证书是否被认为是“干净的”的来自多个企业的管理员覆盖策略的聚合。这些还可以包括客户端侧的结果,例如,允许还是拦截对象的终端用户决策的聚合。
在另一个示例中,JTI服务器150可以跟踪普遍度数据,包括上下文感知网络100上的对象的普遍度。
在另一个示例中,JTI服务器150可以用作用于收集来自不与威胁情报服务180直接交互的端点的遥测并且将其发送给威胁情报服务180的遥测聚合器/代理。JTI服务器150还可以将文件元数据贡献给威胁情报服务180,所述元数据例如是散列、数字签名数据、以及文件属性。
JTI服务器150可以从不同的客户端120接收多个这样的消息,并且在一些情况下,消息可能相互冲突。当接收来自客户端120的将对象识别为恶意软件的初始报告时,域主机160可以发布其他的客户端应该将额外的审查给予该对象的警告,例如,额外审查是深度扫描或者在执行对象之前请求用户验证。在其他实施例中,域主机160可以响应于来自客户端120的针对对象信誉的请求来提供这样的信息。
如果额外的客户端120将对象识别为恶意软件,那么置信度指示符可能超过阈值。JTI服务器150可以随后发布将对象识别为恶意软件的更高级(例如,命令级)的消息。如果JTI服务器150从不同的客户端接收多个冲突的报告,则综合算法可以提供合适的动作。例如,如果一个或多个客户端被发现是离群值,报告与大多数的其他客户端不同的状态,则可以丢弃该离群值。该综合算法还可以考虑到特定客户端的过去的信誉以用于准确报告,或者考虑基于已安装的硬件或软件而分配的信誉。
在域主机160是JTI服务器150的示例中,该示例示出了指定了用于分配DXL端点特权的层次或其它方案的值。例如,关于将对象指定为恶意软件,客户端120可以具有“建议的”特权。这可以表示,例如,客户端120可以识别其认为是恶意软件的对象,并且可以将特定的消息指向到JTI服务器150或者可以发布将对象识别为恶意软件的一般消息。由于客户端可能在DXLESB130上仅仅具有“建议”特权,因此订阅信誉更新的其它DXL端点可以将该识别视为与来自具有提升的特权(例如,“分配”特权)的DXL网络元件的识别具有更少的权威。特权,并且尤其是诸如“分配”特权等的提升的特权可以通过被提供为DXL消息的一部分的安全证书来认证。
图1B是根据本说明书的一个或多个示例的选择元件和上下文感知网络100的网络图。如在图1B中可见,额外的DXL代理110-2可以被添加到服务端点120-3和120-4。DXL代理110-2可以与第二域主机160-2进行通信,该第二域主机160-2可以与域主机160-1共享域数据库162。
图2是根据本说明书的一个或多个示例的公开了分布式架构的网络图。在该示例中,DXL代理110-1可以被指定为“中心”,而DXL代理110-2、110-3、110-4和110-5可以被指定为“辐”。在示例中,通过辐传递的所有的DXL业务将被转发到中心,该中心将业务分布到其它辐。将DXL代理指定为中心可以经由任何合适的方式来完成,例如,基于MACID、IP地址、或到域主机160的网络邻近性来选择中心。
如果DXL代理110-1离线,则可能至少暂时地需要另一个中心。在这种情况下,可以选择另一个中心。当DXL代理110-1回到线上时,取决于网络拓扑结构和设计考虑,其可以继续其作为中心的职责,或者可以用作辐。
在另一个示例中,当有效地利用时辐可以形成到DXL代理110-1的暂时的网格网络。在另一个实施例中,DXL代理110可以被配置为在网格配置中满时地操作。
可以通过跨过不同的网络来桥接DXLESB130来提供额外的可扩展性,使得能够数据能够通过更大的网络(包括互联网)来进行交换。图3是根据本说明书的一个或多个示例的跨传统企业边界操作的示例DXL网络的网络图。在该示例中,第一企业302包括通信地耦合到域主机160和企业交换主机(ESM)330的DXL代理110-2。在一个实施例中,域主机160和ESM330可以通过传统的(非DXL)网络接口312耦合。域主机160可以连接到IP网络310。IP网络310可以是可操作用于交换源自端点的数据和信息的任何通信平台,作为非限定的示例,包括向终端用户提供电气交互能力的互联网架构、终端用户可以用于执行事务的普通旧式电话服务(POTS),在所述事务中他们可以由人类操作者协助或他们可以手动地将数据键入电话或其他合适的电子设备、提供系统中的任何两个节点之间的通信接口或交换的任何分组数据网络(PDN)、或者任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网络(VPN)、内联网、或者促进网络或电话环境中的通信的任何其它合适的架构或系统。
第二企业304也包括DXL代理110-1。DXL代理110可以通过DXLESB130相互通信。在该示例中,DXLESB130由IP网络310物理地提供,但是DXL业务可以与诸如http等的其它类型的互联网业务以及其他以用户为中心的网络业务进行区分,这例如是因为其在不同的端口或协议上被提供。
DXL代理110-1还可以耦合到例如网络服务提供商(NSP)340、反病毒代理350、企业防火墙360、以及高级威胁检测设备(ATD)370。
ATD370可以是专用设备,或运行高级检测软件的通用计算机器。在一个实例中,ATD370被配置为在不存在现有信誉的情况下来分析对象,并且基于该分析来针对对象分配威胁等级。
如该图所示,DXLESB130可以用于集成异构的或者其他不相关的网络架构,甚至跨过不同的企业。在示例中,第二企业304可以是将ATD服务交付给第一企业302的第三方JTI服务提供商。
图4是根据本说明书的一个或多个示例的上下文感知网络400的网络图。在示例中,上下文感知网络400大体上类似于上下文感知网络100。然而,在上下文感知网络400中,域主机160是公共信息模型(CIM)服务器410。
根据本说明书的一个或多个示例,CIM是被设计用来托管不同类型的情景和环境信息的开放的和可扩展的逻辑数据库方案。CIM可以提供新的对象、构建块、以及数据类型的鲁棒表示。作为非限制的示例资产,CIM的核心实体包括标识、应用、和位置。
CIM可以提供驱动多个用例的多对多的关系和构建块。CIM还可以支持高级数据可视化。有利地,根据本说明书的一个或多个示例,CIM大规模地缩放,并且是开放的和可扩展的,允许不同的产品组和第三方来开发新的数据扩展。
在CIM用例的示例中,“位置”表示形成映射到物理位置或地点的逻辑位置的网络元件的集合。作为非限制的示例,位置上下文可以被用于收集关于组织的真实的范围和大小的完整的理解(即,以网络拓扑映射的形式)。
CIM还可以通过对由多个数据源通过DXLESB130共享的上下文信息进行综合来维护情景和环境信息的全局权威状态。
图5是根据本说明书的一个或多个示例的DXL代理的框图。在一些实施例中,DXL代理110、DXL服务190、和JTI服务器150可以在单个物理计算设备中被提供。
在示例中,DXL代理110由处理器510控制。处理器510可以经由系统总线570连接到其他系统元件。作为非限制的示例,那些其他元件可以包括,存储器520、网络接口540、以及存储设备550。
处理器510被配置为例如经由可执行的软件或固件指令来控制DXL代理110。如在本文中所使用的,“处理器”包括提供可编程逻辑的硬件、软件、或固件的任何组合,作为非限制的示例,包括,微处理器、数字信号处理器、现场可编程门阵列、可编程逻辑阵列、专用集成电路、或虚拟机处理器。
在一些实施例中,存储器520可以是相对低延时的易失性存储器,并且可以包括主存储器、高速缓存、片上存储器、L1存储器、L2存储器或类似物。注意在该实施例中,处理器被描绘在与存储器520的直接存储器访问布置中,但是在其他实施例中,存储器520可以经由系统总线570、经由某些其他总线、或经由某些其它方式与处理器510通信。此外,尽管在该示例中存储器520和存储设备550被描绘为物理地或概念上单独的设备,但应当理解的是,在一些实施例中,存储器520和存储设备550可以共享物理设备,该物理设备可以或可以不被划分为单独的存储器区域。由此,应当认识到是,在本文中所公开的布置仅是示例,而不是限制性的。确切地说,要明确地指出的是,甚至在存储器和存储设备被单独地提到的情况下,它们可以在单个物理或逻辑设备中被实现,除非另外明确说明。
在该示例中,网络接口540提供到DXLESB130的物理和逻辑接口,并且包括被配置为通信地将客户端120耦合到其他计算设备的任何通信介质,无论是模拟的、数字的、或是混合信号的。作为非限制的示例,网络接口540可以包括,WiFi、以太网、防火墙、光纤、USB、串行接口、红外、蜂窝网络、数字PCS网络、2G数据网络、3G数据网络、4GWiMAX、或4GLTE数据网络。在一些实施例中,网络接口540还可以提供到IP网络310的物理和逻辑接口。
存储设备550被公开为可以是存储器520的一种的非易失性存储器介质的示例。在一些实施例中,存储器520和存储设备550可以是单独的设备,存储器520是相对低延迟的易失性存储器设备,而存储设备550是相对高延迟的非易失性存储器设备。存储设备550也可以是另一个设备,例如硬盘驱动器、固态硬盘驱动器、外部存储设备、独立磁盘冗余阵列(RAID)、网络附加存储设备、光存储设备、磁带驱动器、备份系统、或以上的任何组合。许多其它配置也是可能的,并且旨在被包含在该说明书的广泛范围内。
在示例中,存储器520包括DXL代理软件522和DXL服务软件526。DXL代理软件522提供如在本文中所描述的DXL代理服务。DXL服务软件526可以提供DXL客户端服务或DXL代理110。例如,DXL代理110可以订阅客户端能力内的特定类型的消息。
图6是根据本说明书的一个或多个示例的CIM服务器410的框图。在示例中,CIM服务器410由处理器610控制。处理器610可以经由系统总线670连接到其它系统元件。作为非限制的示例,那些其它元件可以包括,存储器620、网络接口640、以及存储设备650。对图5中相对应的元件进行了引用,其中包含额外的细节和定义。
存储器620可以包括CIM服务器软件622。CIM服务器软件622可以被配置为提供如在本文中所描述的CIM服务。
存储设备650可以包括本地对象数据库652。对象数据库652可以包括与网络上的对象的有关的被存储的信息,例如包括,信誉和元数据。
图7是根据本说明书的一个或多个示例的域主机160的框图。在示例中,域主机160由处理器710控制。处理器710可以经由系统总线770连接到其他系统元件。作为非限制的示例,那些其他元件可以包括,存储器720、网络接口740、以及存储设备750。对图5中相对应的元件进行了引用,其中包含额外的细节和定义。
在示例中,存储器720包括域主机软件722和DXL扩展724。域主机软件722可以被配置为提供如在本文中所描述的域主机服务。DXL扩展724可以提供允许域主机162在DXLESB130上操作的服务器扩展。在一些实施例中,DXL扩展724可以包括允许域主机160在一些情况下用作DXL客户端的指令。
图8是根据本说明书的一个或多个示例的客户端120的框图。客户端120由通信地耦合到存储器元件820的处理器810控制。在示例中,处理器810经由总线870通信地耦合到其他系统元件。作为非限制的示例,那些元件可以包括网络接口840;存储设备850,在一些情况下存储设备850可以是存储器元件820的一种;以及用户接口860。明确地指出的是,上述元件中的任何一个可以在硬件、软件、固件、或其任何组合中实现。
在一些实施例中,可以提供用户接口860以帮助用户与客户端120进行交互。“用户接口”包括被配置为使得用户能够与客户端120进行交互(无论是不是实时的)的硬件、软件、和固件的任何组合。在示例中,作为非限定性示例,用户接口860可以包括,键盘(未示出)、鼠标(未示出)、显示监视器842、扬声器846、麦克风844、可以用作组合的输入/输出设备并且可以是显示器842的一种的触敏显示器、以及相机848。用户接口860可以包括软件服务,例如,包括征求来自用户的输入或确认的对话框的图形化用户界面。
在示例中,存储器820具有存储于其中的可操作用于提供的可执行指令,其可以被包括在多个不同的模块中。DXL客户端826可以提供用于与DXLESB130进行交互的软件服务,并且可以包括例如,认证DXLESB130上的客户端120的证书、用于发布消息的子例程、以及用于对订阅的到来消息进行解析的子例程。CIM客户端822可以提供如结合图4更加特别地描述的CIM服务。CIM客户端822还可以维护存储对象852的对象的综合目录,包括例如,已安装的应用程序的综合目录。JTI客户端824可以提供JTI客户端服务,例如,本地信誉管理和与JTI服务器150的交互。客户端120还可以具有可以提供反病毒和其他反恶意软件服务的单独的反恶意软件代理828。在一些情况下,反恶意软件代理828与JTI客户端824进行集成。
图9是根据本说明书的一个或多个实施例的以分层的方式示出了对象的评价的流程图。
在该示例中,左边的策略被指定为“黑色”,并且确定地拦截对象,而右边的策略被指定为“白色”并且确定地允许对象。作为非限制的示例,图9的策略被公开为固定的层次。然而,这不是要进行限制。例如,在其他实施例中,策略可以被加权,或者以循环的方式来进行服务。此外,在使用层次的实施例中,不要求这样的特定的层次。
在框910中,管理员可以将“黑色”覆盖分配给可以由散列标识的对象,所述管理员可以是具有管理资格的人类操作者或设备的两者之一或两者。在框912中,管理员可以将“白色”覆盖提供给由散列标识的对象。
在框920中,管理员可以将黑色覆盖分配给由证书标识的对象。在框922中,管理员可以将白色覆盖分配给由证书标识的对象。
在框930中,威胁情报服务180可以基于证书来分配黑色状态。在框932中,威胁情报服务180可以基于证书来分配处于白色状态的对象。
在框940中,威胁情报服务180可以基于散列来将黑色状态分配给对象。在框942中,威胁情报服务180可以基于散列来将白色状态分配给对象。
在框950中,恶意软件定义可以将对象标识为黑色,而在框952中,恶意软件定义可以将对象标识为白色。
在框960中,JTI规则可以假设对象是脏的。在框962中,JTI规则可以假设对象是干净的。
JTI客户端824可以经由用户接口860来提示终端用户确认执行或打开对象。如果用户拒绝,则在框970中,对象被拦截。如果用户确认,则在框972中,对象被允许。
在框980中,如果对象已经通过所有之前的过滤,则拦截或允许对象的决策取决于JTI策略和算法。这可以包括请求对象的信誉。
图10是根据本说明书的一个或多个实施例的由客户端120执行的方法的流程图。在框1010中,客户端120打开新的对象。这可以例如因为用户与对象进行了交互,或者因为对象的自动化过程和框架。在框1020中,客户端120检查对象是否具有缓存信誉以及其本地信誉数据库。如果对象具有现有的信誉,则在框1030中,客户端120可以做出拦截或者允许对象的决策。在一些示例中,客户端120可以在DXLESB130上发布拦截或允许的决策。这允许已经订阅了这样的更新的其他DXL网络对象接收和集成该决策。在框1022中,如果不存在现金信誉,则客户端120可以从JTI服务器150请求信誉。在框1024中,客户端120可以从JTI服务器150接收信誉数据,由此,控制传递到框1030。如由回到1010的循环箭头所示,可以针对每个新的对象来重复该过程。
图10A是根据本说明书的一个或多个示例的由JTI服务器150结合图10的方法执行的方法的流程图。在框1040中,JTI服务器150从客户端120中接收信誉请求。在框1060中,JTI服务器150可以查询其本地数据库以发现对象是否已经已知。如果对象是已知的,则在框1070中,JTI服务器150可以更新其本地的威胁情报数据库。这可以包括例如记录来自客户端120的请求的环境。在框1080中,JTI服务器150可以将信誉数据返回客户端120。在框1090中,方法完成。
返回到框1060,如果对象不是已知的,则在框1050中,JTI服务器150可以请求来自威胁情报服务180的信息。在框1052处,JTI服务器150从威胁情报服务180接收威胁情报数据,并且在框1070中利用接收的情报来更新其本地JTI数据库。再次在框1080中,将情报返回至客户端120,并且在框1090中,过程完成。
框1034表示进入该方法的可替换的进入点。在1034处,JTI服务器150接收所发布的拦截更多的决策,例如,根据图10的方法的由客户端120发布的决策。取决于网络配置,JTI服务器150可以订阅两个发布的拦截/允许决策,并且在框1070中,可以使用发布决策来更新其本地的威胁情报数据库。在这种情况下,控制直接从框1080传递到框1090。
图11是根据本说明书的一个或多个示例的JTI服务器150服务信誉请求的方法的流程图。在一些实施例中,可以结合图10A的框1080来执行图11的方法。在框1110中,管理员可以输入白色或黑色覆盖,例如,如结合图9所公开的。框1140与图10A的框1040相对应,其中JTI服务器150从客户端120中接收信誉请求。在框1130中,JTI服务器150查看管理员是否已经输入了覆盖,例如企业范围的覆盖。特别地,覆盖可以移除允许还是拦截对象的决策。相反地,覆盖可以确定地允许或拦截对象。由此,在框1140中,JTI服务器150将覆盖返回给客户端120。在框1130中,如果不存在企业覆盖,则在框1150中,JTI服务器150返回客户端120对其作用的信誉。
图12是根据本说明书的一个或多个示例的对图10A的方法的改进的流程图。具有与图10A中的框相同的附图标记的图12中的框可以与图10A中公开的框类似并且具有其功能。
新的框1210从威胁情报服务180中查询威胁情报是否可用。如果威胁情报可用,则在框1052中,JTI服务器150与图10A一样接收威胁情报。在框1220中,如果没有威胁情报可用,则JTI服务器150可以将对象发送到ATD370以用于分析。不是直接响应于请求,ATD370可以在其已经完成其分析时发布对象的信誉数据。在框1230中,如果JTI服务器150可以订阅两个发布的信誉数据消息,并且由此接收由ATD370发布的DXL消息。方法中的其余部分可以不变。
在示例中,域主机160可以被配置为基于网络普遍度来将信誉分配给对象。图13是根据本说明书的一个或多个示例的域主机160对基于普遍度的信誉数据库进行初始化和维护的方法的流程图。在框1310中,域主机160对系统进行初始化。这可以包括例如,建立数据库、建立数据结构、以及对服务进行初始化以准备域主机160在DXL域中操作。在框1320中,域主机160发布来自客户端120的对初始报告的需求。例如,客户端120可以具有运行的CIM服务,并且可以将本地对象编入目录。响应于对初始报告的需求,客户端120可以发布对象报告,或者将DXL响应发送到域主机160。在框1330中,域主机160从客户端120中接收报告。在框1340中,域主机160例如利用从客户端120中接收的数据来填入初始信誉数据库。
在一些实施例中,框1350表示维护过程。在框1350中,域主机160从客户端120中接收普遍度更新。在框1360中,域主机160利用更新后的信息来对其基于普遍度的信誉数据库进行更新。在框1390中,过程完成。
图14是根据本说明书的一个或多个示例的响应于接收信誉请求,由域主机160执行的方法的框图。在框1410中,域主机160从客户端120中接收信誉请求。在框1420中,域主机160查询其基于普遍度的信誉数据库以确定对象在数据库中是否具有现有的信誉。在框1430中,如果没有发现对象,则在框1440中,域主机160可以返回空的普遍度。注意,空的普遍度不一定与特定的信誉相对应。在一些实施例中,其可以简单地表示对象在网络上不具有已建立的存在。然而,在一些实施例中,空的信誉可以表示相对低的信誉。在框1450中,域主机160确定对象的信誉。确定信誉可以包括计算信誉、或者可以包括查看之前基于普遍度确定的信誉。注意,在一些实施例中,基于普遍度来计算信誉可以离线进行,或者可以由不同的设备执行,例如,由威胁情报服务180执行。在框1460中,域主机160发布确定后的信誉。在框1490中,过程完成。
图15是根据本说明书的一个或多个示例的由客户端120执行的方法的流程图。注意,客户端120仅作为示例被公开,并且图15的方法可以由任何合适的DXL端点执行。
在框1510中,客户端120检测新的对象。在框1520中,客户端120将信誉请求发送到域主机160。这可以是DXLESB130上的请求-响应类型的消息。在其它实施例中,这可以是在DXLESB130上的发布消息。在框1530中,客户端120从域主机160中接收响应,或者接收客户端120已经订阅的主题的方面发布的消息。这可以是例如其中域主机发布信誉数据而不是将直接响应发送给客户端120的情况。在框1540中,客户端120可以作用于信誉。响应于信誉而采取的动作可以取决于对象的威胁分类,并且作为非限制的示例,所述动作可以包括,隔离、拦截、删除、沙盒、拒绝许可(例如,如果对象被识别为灰色软件)、补救、提示、或采取自定义动作。在框1590中,过程完成。
在一些示例中,应当注意的是,对象普遍度可能仅是被考虑为任何信誉计算的多个因素中的一个。作为非限制的示例,其他因素可以包括,证书、高级威胁检测的结果、观察到的行为、威胁情报数据、以及本地分析。
示例实施例实现
在示例1中公开了一个或多个非暂时性计算机可读介质,其具有存储于其上的用于提供数据交换层(DXL)域主机的软件指令,所述指令能够操作用于指示处理器:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收对象的普遍度;并且
通过返回对象的基于普遍度的信誉来对信誉请求进行响应。
在示例2中公开了示例1的计算机可读介质,其中,能够操作用于查询基于普遍度的信誉数据库的指令进一步能够操作用于确定对象是否具有现有的普遍度,并且在确定对象不具有现有的普遍度时,返回空的普遍度。
在示例3中公开了示例1或2的计算机可读介质,其中,空的普遍度对应于低信誉。
在示例4中公开了示例1-3中任何一个的计算机可读介质,其中,能够操作用于对信誉请求进行响应的指令进一步能够操作用于基于对象的普遍度来计算信誉。
在示例5中公开了示例1-4中任何一个的计算机可读介质,其中,能够操作用于对信誉请求进行响应的指令进一步能够操作用于基于对象的普遍度来查询现有的信誉。
在示例6中公开了示例1-5中任何一个的计算机可读介质,其中,所述指令还能够操作用于通过向多个端点发送对初始报告的需求来对基于普遍度的信誉数据库进行初始化。
在示例7中公开了示例1-6中任何一个的计算机可读介质,其中,指令还能够操作用于从多个客户端中接收普遍度更新,并且基于普遍度更新来对基于普遍度的信誉数据库进行更新。
在示例8中公开了数据交换层(DXL)域主机,包括:
处理器;
网络接口,其被配置为通信地将处理器耦合到DXL企业服务总线;以及
存储器,其具有存储于其上的可执行指令,所述可执行指令能够操作
用于指示处理器:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收对象的普遍度;并且
通过返回对象的基于普遍度的信誉来对信誉请求进行响应。
在示例9中公开了示例8的DXL域主机,其中,能够操作用于查询基于普遍度的信誉数据库的指令进一步能够操作用于确定对象是否具有现有的普遍度,并且在确定对象不具有现有的普遍度时,返回空的普遍度。
在示例10中公开了示例8或9的DXL域主机,其中,空的普遍度与低的信誉相对应。
在示例11中公开了示例8-10中的任何一个的DXL域主机,其中,能够操作用于对信誉请求进行响应的指令进一步能够操作用于基于对象的普遍度来计算信誉。
在示例12中公开了示例8-11中的任何一个的DXL域主机,其中,能够操作用于对信誉请求进行响应的指令进一步能够操作用于基于对象的普遍度来查询现有的信誉。
在示例13中公开了示例8-12中的任何一个的DXL域主机,其中,所述指令还能够操作用于通过向多个端点发送对初始报告的需求来对基于普遍度的信誉数据库进行初始化。
在示例14中公开了示例8-13中的任何一个的DXL域主机,其中,所述指令还能够操作用于从多个客户端中接收普遍度更新,并且基于该普遍度更新来对基于普遍度的信誉数据库进行更新。
在示例15中公开了在DXL企业服务总线上提供数据交换层(DXL)域主机服务的方法,包括:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收对象的普遍度;并且
通过返回对象的基于普遍度的信誉来对信誉请求进行响应。
在示例16中公开了示例15的方法,其中,查询基于普遍度的信誉数据库进一步包括确定对象是否具有现有的普遍度,并且在确定对象不具有现有的普遍度之后,返回空的普遍度。
在示例17中公开了示例15或16的方法,其中,空的普遍度与低的信誉相对应。
在示例18中公开了示例15-17中的任何一个的方法,其中,对信誉请求进行响应进一步包括基于对象的普遍度来计算信誉。
在示例19中公开了示例15-18中的任何一个的方法,其中,对信誉请求进行响应进一步包括基于对象的普遍度来查询现有的信誉。
在示例20中公开了示例15-19中的任何一个的方法,还包括通过向多个端点发送对初始报告的需求来对基于普遍度的信誉数据库进行初始化。
在示例21中公开了示例15-20中的任何一个的方法,还包括从多个客户端中接收普遍度更新,并且基于该普遍度更新来对基于普遍度的信誉数据库进行更新。
Claims (21)
1.一个或多个非暂时性计算机可读介质,其具有存储于其上的用于提供数据交换层(DXL)域主机的软件指令,所述指令能够操作用于指示处理器:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收所述对象的普遍度;以及
通过返回所述对象的基于普遍度的信誉来对所述信誉请求进行响应。
2.根据权利要求1所述的计算机可读介质,其中,能够操作用于查询基于普遍度的信誉数据库的所述指令进一步能够操作用于确定所述对象是否具有现有的普遍度,并且在确定所述对象不具有现有的普遍度时,返回空的普遍度。
3.根据权利要求1或2所述的计算机可读介质,其中,所述空的普遍度与低的信誉相对应。
4.根据权利要求1到3中任一项所述的计算机可读介质,其中,能够操作用于对所述信誉请求进行响应的所述指令进一步能够操作用于基于所述对象的所述普遍度来计算信誉。
5.根据权利要求1到4中任一项所述的计算机可读介质,其中,能够操作用于对所述信誉请求进行响应的所述指令进一步能够操作用于基于所述对象的所述普遍度来查询现有的信誉。
6.根据权利要求1到5中任一项所述的计算机可读介质,其中,所述指令还能够操作用于通过向多个端点发送对初始报告的需求来对所述基于普遍度的信誉数据库进行初始化。
7.根据权利要求1到6中任一项所述的计算机可读介质,其中,所述指令还能够操作用于从多个客户端接收普遍度更新,并且基于所述普遍度更新来对所述基于普遍度的信誉数据库进行更新。
8.一种数据交换层(DXL)域主机,包括:
处理器;
网络接口,其被配置为通信地将所述处理器耦合到DXL企业服务总线;以及
存储器,其具有存储于其上的可执行指令,所述可执行指令能够操作用于指示所述处理器:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收所述对象的普遍度;并且
通过返回所述对象的基于普遍度的信誉来对所述信誉请求进行响应。
9.根据权利要求8所述的DXL域主机,其中,能够操作用于查询基于普遍度的信誉数据库的所述指令进一步能够操作用于确定所述对象是否具有现有的普遍度,并且在确定所述对象不具有现有的普遍度时,返回空的普遍度。
10.根据权利要求8或9所述的DXL域主机,其中,所述空的普遍度与低的信誉相对应。
11.根据权利要求8到10中任一项所述的DXL域主机,其中,能够操作用于对所述信誉请求进行响应的所述指令进一步能够操作用于基于所述对象的所述普遍度来计算信誉。
12.根据权利要求8到11中任一项所述的DXL域主机,其中,能够操作用于对所述信誉请求进行响应的所述指令进一步能够操作用于基于所述对象的所述普遍度来查询现有的信誉。
13.根据权利要求8到12中任一项所述的DXL域主机,其中,所述指令还能够操作用于通过向多个端点发送对初始报告的需求来对所述基于普遍度的信誉数据库进行初始化。
14.根据权利要求8到13中任一项所述的DXL域主机,其中,所述指令还能够操作用于从多个客户端中接收普遍度更新,并且基于所述普遍度更新来对所述基于普遍度的信誉数据库进行更新。
15.一种用于在DXL企业服务总线上提供数据交换层(DXL)域主机服务的方法,包括接收:
接收针对对象的信誉请求;
查询基于普遍度的信誉数据库;
接收所述对象的普遍度;并且
通过返回所述对象的基于普遍度的信誉来对所述信誉请求进行响应。
16.根据权利要求15所述的方法,其中,查询所述基于普遍度的信誉数据库进一步包括确定所述对象是否具有现有的普遍度,并且在确定所述对象不具有现有的普遍度时,返回空的普遍度。
17.根据权利要求15或16所述的方法,其中,所述空的普遍度与低的信誉相对应。
18.根据权利要求15到17中任一项所述的方法,其中,对所述信誉请求进行响应进一步包括基于所述对象的所述普遍度来计算信誉。
19.根据权利要求15到18中任一项所述的方法,其中,对所述信誉请求进行响应进一步包括基于所述对象的所述普遍度来查询现有的信誉。
20.根据权利要求15到19中任一项所述的方法,还包括通过向多个端点发送对初始报告的需求来对所述基于普遍度的信誉数据库进行初始化。
21.根据权利要求15到20中任一项所述的方法,还包括从多个客户端接收普遍度更新,并且基于所述普遍度更新来对所述基于普遍度的信誉数据库进行更新。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361884117P | 2013-09-29 | 2013-09-29 | |
| US61/884,117 | 2013-09-29 | ||
| PCT/US2013/077149 WO2015047441A1 (en) | 2013-09-29 | 2013-12-20 | Prevalence-based reputations |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105659554A true CN105659554A (zh) | 2016-06-08 |
Family
ID=52744305
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380079251.7A Withdrawn CN105659554A (zh) | 2013-09-29 | 2013-12-20 | 基于普遍度的信誉 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10237303B2 (zh) |
| CN (1) | CN105659554A (zh) |
| WO (1) | WO2015047441A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105659554A (zh) | 2013-09-29 | 2016-06-08 | 迈克菲公司 | 基于普遍度的信誉 |
| US10726148B2 (en) * | 2015-08-19 | 2020-07-28 | Iqvia, Inc. | System and method for providing multi-layered access control |
| CN109391500B (zh) * | 2017-08-11 | 2021-08-31 | 华为技术有限公司 | 一种配置管理方法、装置及设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110113105A1 (en) * | 2009-11-09 | 2011-05-12 | Cheryl Eckardt | Business data exchange layer |
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US6775661B1 (en) | 2001-03-21 | 2004-08-10 | Lycos, Inc. | Querying databases using database pools |
| GB0326915D0 (en) * | 2003-11-19 | 2003-12-24 | Ibm | A method and system for updating/reloading the content of pages browsed over a network |
| GB0419231D0 (en) * | 2004-08-28 | 2004-09-29 | Ibm | Methods, apparatus and computer programs for control of publish/subscribe messaging |
| GB0426846D0 (en) * | 2004-12-08 | 2005-01-12 | Ibm | Method and system for administration of a broker-based publish/subscribe messaging system |
| GB2426887B (en) * | 2005-06-04 | 2009-01-07 | Ibm | Client responsibilities in messaging systems |
| US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
| US20080248801A1 (en) * | 2007-04-03 | 2008-10-09 | International Business Machines Corporation | Access to locally relevant services and personally relevant services within a mobile communications environment |
| US8769702B2 (en) * | 2008-04-16 | 2014-07-01 | Micosoft Corporation | Application reputation service |
| US8225406B1 (en) | 2009-03-31 | 2012-07-17 | Symantec Corporation | Systems and methods for using reputation data to detect shared-object-based security threats |
| US8364745B2 (en) * | 2009-11-24 | 2013-01-29 | International Business Machines Corporation | Service oriented architecture enterprise service bus with universal ports |
| CN102859541A (zh) * | 2010-04-19 | 2013-01-02 | 国际商业机器公司 | 在发布/订阅通讯中控制消息传递 |
| US8510836B1 (en) | 2010-07-06 | 2013-08-13 | Symantec Corporation | Lineage-based reputation system |
| US9235586B2 (en) * | 2010-09-13 | 2016-01-12 | Microsoft Technology Licensing, Llc | Reputation checking obtained files |
| US8402545B1 (en) * | 2010-10-12 | 2013-03-19 | Symantec Corporation | Systems and methods for identifying unique malware variants |
| US8572007B1 (en) * | 2010-10-29 | 2013-10-29 | Symantec Corporation | Systems and methods for classifying unknown files/spam based on a user actions, a file's prevalence within a user community, and a predetermined prevalence threshold |
| US8671449B1 (en) * | 2010-11-10 | 2014-03-11 | Symantec Corporation | Systems and methods for identifying potential malware |
| US8732587B2 (en) * | 2011-03-21 | 2014-05-20 | Symantec Corporation | Systems and methods for displaying trustworthiness classifications for files as visually overlaid icons |
| WO2013063474A1 (en) * | 2011-10-28 | 2013-05-02 | Scargo, Inc. | Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware |
| US20130254880A1 (en) | 2012-03-21 | 2013-09-26 | Mcafee, Inc. | System and method for crowdsourcing of mobile application reputations |
| US9171151B2 (en) | 2012-11-16 | 2015-10-27 | Microsoft Technology Licensing, Llc | Reputation-based in-network filtering of client event information |
| US9065849B1 (en) * | 2013-09-18 | 2015-06-23 | Symantec Corporation | Systems and methods for determining trustworthiness of software programs |
| CN105659554A (zh) | 2013-09-29 | 2016-06-08 | 迈克菲公司 | 基于普遍度的信誉 |
-
2013
- 2013-12-20 CN CN201380079251.7A patent/CN105659554A/zh not_active Withdrawn
- 2013-12-20 WO PCT/US2013/077149 patent/WO2015047441A1/en active Application Filing
- 2013-12-20 US US14/913,437 patent/US10237303B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
| US20110113105A1 (en) * | 2009-11-09 | 2011-05-12 | Cheryl Eckardt | Business data exchange layer |
Also Published As
| Publication number | Publication date |
|---|---|
| US10237303B2 (en) | 2019-03-19 |
| WO2015047441A1 (en) | 2015-04-02 |
| US20160212173A1 (en) | 2016-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10715556B2 (en) | Real-time policy distribution | |
| US11902388B2 (en) | Service-oriented architecture | |
| CN111488595B (zh) | 用于实现权限控制的方法及相关设备 | |
| US20180007002A1 (en) | Elastic outbound gateway | |
| CN102947797B (zh) | 使用横向扩展目录特征的在线服务访问控制 | |
| US10447714B2 (en) | Context-aware network on a data exchange layer | |
| CN109871348B (zh) | 安全连接的框架 | |
| CN106605397A (zh) | 安全编排框架 | |
| US20170372070A1 (en) | Cloud storage scanner | |
| US11418605B2 (en) | Efficient request-response routing over a data exchange layer | |
| US10205798B2 (en) | Merging multiple system trees over a data exchange layer | |
| KR101877655B1 (ko) | 지능적 방화벽 액세스 규칙 | |
| US20200403977A1 (en) | One-click reputation adjustment | |
| Aladwan et al. | Common security criteria for vehicular clouds and internet of vehicles evaluation and selection | |
| CN105659554A (zh) | 基于普遍度的信誉 | |
| US11228491B1 (en) | System and method for distributed cluster configuration monitoring and management | |
| Compastié et al. | A software-defined security strategy for supporting autonomic security enforcement in distributed cloud | |
| US20240155003A1 (en) | Governance and security control for services executing on cloud platforms | |
| US20240305653A1 (en) | Controls for cloud computing environment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20160608 |
|
| WW01 | Invention patent application withdrawn after publication |