CN109871348B - 安全连接的框架 - Google Patents
安全连接的框架 Download PDFInfo
- Publication number
- CN109871348B CN109871348B CN201910198004.8A CN201910198004A CN109871348B CN 109871348 B CN109871348 B CN 109871348B CN 201910198004 A CN201910198004 A CN 201910198004A CN 109871348 B CN109871348 B CN 109871348B
- Authority
- CN
- China
- Prior art keywords
- dxl
- security
- endpoint
- message
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4265—Bus transfer protocol, e.g. handshake; Synchronisation on a point to point bus
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了安全连接的框架。在示例中,在数据交换层(DXL)上提供安全连接的平台,此DXL在发布‑订阅模型上提供消息收发。DXL提供经由DXL代理而连接的多个DXL端点。在一种情况下,被指定为生产者的DXL端点经授权以生产某些类型的消息,包括安全相关的消息,诸如,对象声誉。其他DXL端点被指定为那些消息的消费者。还可提供域主机,并且此域主机配置成经由资产管理引擎来提供物理和逻辑位置服务。
Description
本申请是PCT国际申请号为PCT/US2014/057934、国际申请日为2014年9月28日、进入中国国家阶段的申请号为201480048580.X,题为“安全连接的框架”的发明专利申请的分案申请。
相关申请的交叉引用
本申请要求2013年9月28日提交的、题为“安全连接的平台”(“SECURITY-CONNECTED PLATFORM”)的美国临时申请61/884,006的优先权,该美国临时申请通过引用整体被结合在本文中。2013年12月19日提交的、题为“数据交换层上的上下文知晓的网络”(“Context-Aware Network on a Data Exchange Layer”)的共同待定的PCT申请PCT/US2013/076570也通过引用被结合在本文中。
技术领域
本申请涉及企业安全领域,更具体而言,本申请涉及用于数据交换层的安全连接的框架。
背景技术
企业服务总线(ESB)是在面向服务的架构上提供数据交换介质的基于软件的网络架构。在一些实施例中,ESB是客户端-服务器软件架构的特殊情况,在客户端-服务器软件架构中,客户端可通过服务器来路由消息。
提供给用户的软件、二进制文件、可执行文件、广告、web页、文档、宏、可执行对象和其他数据(共同地称为“可执行对象”)可包括受到恶意软件的滥用的安全缺陷和隐私泄露。如贯穿本说明书所使用,恶意的软件(“恶意软件”)可包括病毒、木马、僵尸病毒、隐藏程序(rootkit)、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器助手对象、缓存(cookie)、登录器、或设计成用于采取潜在地不需要的动作的类似的应用或应用的部分,作为非限制性示例,所述潜在地不需要的动作包括数据破坏、隐蔽的数据收集、隐蔽的通信、浏览器劫持、网络代理设备(proxy)劫持或重定向、隐蔽的跟踪、数据记录、键盘记录、对于删除的过多的或故意的障碍、联系人收获、对高价服务的不需要的使用以及未经授权的自传播。在一些情况下,恶意软件还可能包括含有导致或允许恶意软件行为的疏忽的安全缺陷的合法软件。“恶意软件行为”被定义为将应用鉴定为恶意软件或灰色软件(grayware)的任何行为。一些现有的系统配置为例如通过维护已知的恶意软件的数据库来标识并阻止恶意软件。
除了可执行对象,计算设备可能遇到不旨在改变计算机的操作状态的静态对象。作为类别,可将可执行对象和静态对象简称为“对象”。企业安全所关心的是对于对象的恶意软件状态的分类。
附图说明
当与所附附图一起阅读时,通过以下具体实施方式可最好地理解本公开。要强调的是,根据行业内的标准惯例,各种特征不是按比例绘制的,并且仅用于说明目的。事实上,为了使讨论清楚,可任意地增大或减小各种特征。
图1是根据本说明书的一个或多个示例的上下文知晓的网络的框图。
图2是根据本说明书的一个或多个示例的数据交换层的框图。
图3是根据本说明书的一个或多个示例的DXL端点的框图。
图4是根据本说明书的一个或多个示例的服务器的框图。
图5是根据本说明书的一个或多个示例的生产者-消费者架构的框图。
具体实施方式
概述
在示例中,在数据交换层(DXL)上提供安全连接的平台,可在企业服务总线上提供所述DXL,所述企业服务总线提供消息收发服务,包括发布-订阅消息收发、请求-响应消息收发、推送通知消息收发以及其他消息收 发和通信能力。DXL提供经由DXL代理而连接的多个DXL端点。在一种情况下,被指定为生产者的DXL端点经授权以生产某些类型的消息,包括安全相关的消息,诸如,对象声誉。其他DXL端点被指定为那些消息的消费者。在另一种情况下,DXL端点可被指定为生产某些类型的消息的生产者以及相同类型的消息和/或由DXL上可用的其他生产者生产的其他类型的消息的消费者。还可提供域主机,并且此域主机配置成经由资产管理引擎来提供物理和逻辑位置服务。
本公开的示例实施例
以下公开内容提供用于实现本公开的不同特征的许多不同的实施例或示例。在下文中描述组件和布置的特定示例以简化本公开。当然,这些内容仅是示例,并且不旨在是限制性的。此外,本公开可在各种示例中重复参考编号和/或字母。此重复仅出于简化和清楚的目的,并且自身并不指定所讨论的各种实施例和/或配置之间的关系。
不同的实施例可具有不同的优点,并且没有特定的优点对于任何实施例一定是必需的。
在日益异构的软件生态系统中,企业可能面临新的、增加的安全挑战和恶意软件威胁。这形成了一种情况,其中在原本自主的网络元件之间的威胁情报的实时交换是所需的。增加的共享可在否则在其自身的安全“仓筒”(“silo”)中操作的设备之间改善安全。
本说明书的系统和方法通过跨数据源提供标准化的数据表示并保障由不同的源共享的数据的质量来应对此类挑战。
上下文知晓的计算(CAC)是使用关于人、地点、事物的情景和环境信息来预期即刻的需求并主动提供丰富的、情景可知的、有用的功能和经历的计算样式。上下文知晓的计算依赖于捕捉关于在系统正在运行的时刻的世界的数据。
根据本说明书的一个或多个示例,“上下文知晓的网络”是经互连的服务的自适应系统(包括例如,安全系统),所述经互连的系统传递并共享信息以由各产品和/或由产品作为集合体作出实时、准确的决策。根据示例, 网络、端点、数据库、应用和其他安全解决方案将不再操作为分开的“筒仓”,而操作为一个经同步的、实时的、上下文知晓的自适应安全系统。
在示例中,多个网络元件经由数据交换层(DXL)彼此连接,所述DXL是适于安全相关的消息等的交换的一种类型的ESB。如本文中所使用,“网络元件”包括任何类型的客户端或服务器(例如,视频服务器、web服务器等)、路由器、交换机、网管、桥、负载平衡器、防火墙、内联服务节点、代理设备、网络装置、处理器、模块、或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。更具体而言,DXL端点是通过DXL ESB进行交互的网络元件。DXL端点可跨客户网络而分布,并且能以受信、安全且可靠的方式“实时”地通信。这可提供增加的自动化和改善的安全服务。
在示例中,DXL端点部署在网络内的多个战略位置处以拦截持续的业务活动,检查并解释它,并且最终确定它是否被授权;这意味着例如它符合企业安全策略。在一些情况下,网络元件必须“在带内”(“in-band”)作出此类决策,从而以足够低的等待时间,“机器实时地”(“machine-real-time”)瞬时挂起业务活动以避免业务活动中显著的用户可感知延迟。
在一些情况下,网络元件可仅通过它们自身的独立的分析和观察且经由经调度的定义更新而具有对安全数据的独立的访问权,所述经调度的定义更新可例如随着经更新的恶意软件定义每周到来。
由于网络元件经常是异构的,并且可能以临时或专设(ad hoc)的方式来部署(特别是在现代网络中),因此,实时的情报成为挑战,当“带内”决策是必要的时候尤其如此。此外,企业可能以零碎的方式来获取安全解决方案,使得一个产品不能够总是假设另一产品的存在。例如,可能没有供网络元件咨询的单个预定义的威胁情报的储存库,并且定期的恶意软件定义更行可能不包括最近发现的威胁。数据的表示和解释产生了另一挑战。网络元件可使用不同的、专有的数据表示。由此,例如甚至反病毒扫描器可能也无法配置成与基于网络的安全设备共享新发现的恶意软件信息。在其他上下文中,信息的可信度可能是又一挑战。换言之,即便反病毒扫描器和基于网络的安全设备配置成共享安全情报,每一者可能也不具有验证 从另一者接收到的情报的手段。
在示例中,本说明书提供数据交换层(DXL),此DXL可在轻量的基于消息收发的通信基础设施(诸如,ESB)上操作,并且可配置成允许端点共享上下文数据。DXL可以是经互连的服务的较大的安全连接的框架中的一个元件,所述较大的安全连接的框架是自适应系统,诸如,安全系统,所述经互连的服务传递并共享信息,以便由多个单独的安全产品和/或由作为集合体的安全产品进行实时、准确的安全决策。根据示例,网络、端点、数据库、应用和其他安全解决方案不必操作为分开的“筒仓”,而操作为一个经同步的、实时的、上下文知晓的自适应安全系统。
DXL被建立在消息收发技术(诸如,ESB)的顶部,所述消息收发技术允许多种不同的使用情况和能力(通过在多个不同的产品之间共享上下文而实现的上下文知晓和自适应安全,从而允许多个安全组件操作为一个组件以便立即在端点、网关以及允许安全情报和自适应安全的其他安全产品之间共享相关的数据(根据你正在获得的信息立即改变行为);对端点和许多其他使用情况的上级命令和控制)。
通过使用用于安全和管理目的的ESB消息收发使这些有利的能力成为可能。DXL消息收发允许实时、双向的通信基础设施,从而允许产品和解决方案使用单个的应用编程接口(API)来彼此整合。每一个设备可通过DXL组织结构来共享它喜欢的基本上任何数据,而这些设备本身仅被松散地耦合,并且不必按共同的或标准化的协议操作。
DXL消息类型的示例包括发布-订阅通知、查询响应以及推送通知。设备还可共享事件,作为非限制性示例,事件包括安全相关的事件、上下文信息(关于节点、其用户的身份、所使用的应用、它们被发现的位置等等)、命令、任务和策略。
在安全连接的框架的第一示例中,消息收发技术用于维持并增强企业安全。通过安全连接的框架共享的安全信息可包括不止上下文,并且作为非限制性示例还包括命令、任务、策略和软件更新。由此,利用安全连接的框架,基础设施能够充当命令和控制管理基础设施。此基础设施还可与安全管理软件(SMS)(诸如,ePolicyOrchestrator)一起使用。SMS可连接至DXL ESB,从而使SMS能够提供跨整个网络的命令和控制功能。
消息收发允许松散地耦合的方式的产品之间的整合,从而降低两个或更多个产品为了整合而作出的关于彼此的假设的量。本实现使用嵌入有McAfee Agent且作为软件库来提供的单个API。
本说明书的安全连接的框架还解决了对操作安全的状态的控制问题。某些现有的安全管理解决方案不能够随意地发起与例如坐落在网络地址转换(NAT)边界的另一侧上的被管理的设备之间的通信。随着变化的业务需求(作为非限制性示例,诸如,云、可动化和消费化),此挑战可能变得更复杂。
在这些情况下,被管理的设备可能在不可预知的时刻发起通信,从而保持打开窗口,在此窗口期间,企业被暴露于由于其不能够立即将策略变化、内容部署和程序更新推送到所有的节点而导致的增加的风险。
在这种挑战的一个示例中,需要安全防御的编配作为对安全事件的立即反应。如贯穿本说明书所使用,“安全事件”包括具有个人和/或企业安全的实质性分支的设备或网络上的任何事件。安全事件的非限制性示例包括实际的或潜在的入侵事件、用户或设备认证事件、审计事件、恶意软件事件、反恶意软件更新、用户或设备声誉更新、物理入侵事件、数据丢失、大量或显著的数据的输入、或企业安全策略的变化。
在安全连接的框架的第二示例中,提供实时的双向通信组织结构以允许实时的安全管理。具体而言,某些现有的消息收发基础设施基于一对多通信(发布-订阅)。在本说明书的此示例中,显著地增强了发布-订阅能力,使得那种通信可以是一对一的(例如,对等式(peer-to-peer))或双向的(例如,查询-响应)。有利的是,框架可按比例缩放至数百万并发连接的客户端,使得无论经连接的客户端的物理位置如何,任何经连接的客户端都可实时地或接近实时地到达任何其他经连接的客户端。为此,在不同类型的被连接的客户端之间提供DXL抽象层,并且此DXL抽象层充当中间通信介质。
在此示例中,能以各种方式将客户端设备分类为消息的“生产者”或“消 费者”,其中,生产者提供相关的安全消息,而消费者接收那些消息。设备作为生产者或消费者的角色不需要是静态的,并且取决于上下文,一般而言,任何设备都可以是生产者或消费者。作为生产者或消费者的设备角色也可随时间或环境而改变。由此,一个设备可以是某些消息话题的生产者和消费者两者;第二设备可以是一些话题而非其他话题的生产者;第三设备可以是某些话题的消费者以及另一些话题的生产者。
只要客户端订阅了一个或多个话题(其中,每一个话题包括不同类或种类的消息),至消费者的通信路径就存在。由客户端执行连接发起。
如贯穿本说明书所使用,“DXL消息”包括通过DXL ESB传递的任何消息。每一条EXL消息包括至少一个“话题”;话题表示消息的主题。作为非限制性示例,话题可包括威胁情报、上下文和事件。
通过设计,每一个DXL端点配置成订阅至少一个DXL消息话题(最少订阅用于将DXL消息路由至那个DXL端点的私有目的地话题)。这允许通过DXL在管理平台与例如它的被管理的客户端中的一个或多个之间的双向的通信。
此配置提供若干优势,作为非限制性示例,包括:
a.用于分配软件(例如,更新)的、从几小时到接近实时的减少的时间。
b.对共享事件的自动的实时响应。
c.实时地将更新推送至策略、产品和内容。
d.显著地减小的带宽消耗,因为没有连接和提取的需要。大多数消息是被推送的。
e.根据共享的上下文数据的被通知的决策。
f.被管理的客户端与安全管理平台、系统或服务器之间的双向、实时的通信路径。
在安全连接的平台的第三示例中,推送通知消息收发可用于增加效率并减少不必要的网络通信量。某些现有的推送通知消息收发系统对于每一个系统发送一个通知,使得当这些系统没有订阅相同的消息话题时,将相同的消息发送到多个不同的系统是低效的。
然而,在当前的示例中,当发送推送通知时,聚合在每一位置的基础 上发生,并且利用单条推送通知将消息发送至远程位置。此消息包括确定哪些客户端将接收此通知的标记,诸如,头部属性。随后,本地DXL代理检查此通知,并将此消息拆分为n条通知,本地DXL代理在本地将这n条通知递送至所有相关的目标。由此,例如在DXL代理连接至全都订阅其自身的私有话题的六个客户端设备的情况下,仅此消息的一个副本需要通过网络发出。随后,此DXL代理根据推送通知的头部来确定其客户端中的哪六个客户端将接收此消息,并且将此消息递送至那六个客户端。这显著地增加了当那些客户端不订阅相同的消息,订阅其自身的私有消息,或订阅不同的话题时将相同种类的推送通知发送到大量客户端的效率。结合图5更详细地描述这一点。
在第四示例中,设备位置信息可用于在某些设备上自动地配置产品和服务。结合附图更详细地描述这一点。
图1是具有DXL能力的上下文知晓的网络100的网络级框图。根据此示例,多个DXL端点120连接至DXL企业服务总线(ESB)130(图2)。DXL ESB 130是DXL组织结构的示例,并且可设置在现有网络(诸如,局域网(LAN))的顶部。DXL ESB 130不必是特定的物理总线,或甚至不必驻留在物理网络上。相反,DXL ESB 130可跨越多个物理网络和子网络。从概念上说,DXL ESB 130仅仅是“组织结构”,DXL端点120通过此组织结构来共享DXL消息,其中,每一条DXL消息都包括话题,并且仅订阅了那个话题的DXL端点120接收和/或作用于那个话题的消息。有利的是,只要DXL端点120本身是受信的且能够经充分认证,DXL ESB甚至就可延伸至不受信或不安全的网络。由此,例如在咖啡店处操作DXL端点120的远程用户可能仍然能够经由其企业的DXL ESB 130来发送和接收DXL消息,只要DXL端点120能够被认证。在一些情况下,DXL端点的网络位置可影响DXL端点120对于某些消息话题更可信还是更不可信。
DXL端点120可以是任何合适的计算设备。在图1的示例中,DXL端点被一般地表示为计算设备。在一个示例中,DXL端点120-1可以是嵌入式设备,诸如,网络安全传感器。DXL端点120-2可以是虚拟机。DXL端点120-3可以是膝上型计算机或笔记本计算机。还应当注意,DXL端点不 限于最终用户设备或客户端设备。例如,域主机160和域安全控制器(DSC)180可具有使它们能够充当DXL端点的DXL客户端引擎。实际上,DXL架构的主要益处在于,服务器和客户端可在仅松散地耦合并保持对彼此的通信协议和细节的不可知性的同时交换消息。
DXL ESB 130可以是合适的数据可在其上通过的任何类型的物理或虚拟网络连接。现在,对于ESB不存在固定或全球标准,并且如本文中所使用,此术语旨在广泛地涵盖适于消息交换的任何网络技术或拓扑。在一个实施例中,在端口8883上交换消息队列遥测传输(MQTT)消息。在此示例中,域主机160和DSC 180可被视为DXL端点120的特殊情况。其他网络元件可包括联合威胁情报(JTI)服务器、默认网关、代理设备和威胁情报服务器。任何网络元件可作为DXL端点来加入EXL ESB 130。
配置成在DXL ESB 130上操作或与DXL ESB 130一起操作的网络元件可被称为“DXL端点”。在示例中,这些可包括DXL端点120、DXL代理110和域主机160。
DXL代理(broker)110可配置成通过DXL ESB 130来提供DXL消息收发服务,诸如,维护DXL路由表以及递送消息。
域主机160可配置成通信地耦合至DXL代理130。域主机160可维护数据库(诸如,数据库162)中的域数据。在此示例中,域主机160和数据库162被示出为两个不同的实体,但是应当注意,许多配置是可能的。例如,数据库162可驻留在域主机160本地的盘驱动器上,或可被分开地或远程地主管。以示例方式来公开数据库162,并且数据库162可以是任何合适的数据存储,作为非限制性示例,包括结构式或关系型数据库、分布式数据库或平面文件。
DSC 180可配置成提供域服务,诸如,辅助和支持服务、反病毒服务和/或命令和控制服务。DSC 180可包括安全管理软件(SMS),此SMS可提供网络命令和控制功能。
作为操作性示例,客户端(诸如,膝上型设备120-3)连接至LAN并接收新IP地址。此刻,膝上型设备120-3的若干性质(作为非限制性示例,包括其IP地址、关于其操作系统的信息以及登录用户的用户名)变成对其 他网络元件是可知的。为了易于引用,贯穿此示例,将这些称为“客户端性质”。客户端性质是安全情报数据的实施例,并且引起虚拟机120-2的兴趣,此虚拟机120-2先前已利用域主机160订阅了此安全情报数据。
可由两个不同的源(即,由膝上型设备120-3且由网络安全传感器120-1)同时将客户端性质报告给DXL。然而,网络安全传感器120-1可能未能报告用户名值。它还可能报告与由膝上型设备120-3报告的不同的OS值。这可能例如因为网络安全传感器120-1正远程地感测数据,并且可能不能够像膝上型设备120-3自身那样可靠地确定这些值。
域主机160负责“客户端系统”数据域,此“客户端系统”数据域包括客户端性质。当膝上型设备120-3和DXL端点120-1发布包含客户端性质的消息时,这两个消息都首先被路由至DXL代理110。随后,DXL代理110可将这些客户端性质转发至域主机160。
域主机160可将从这两个源接收到的客户端性质组合并调和为单个的真相记录,此单个的真相记录分别包含IP地址、操作系统和用户名的单个值。具体而言,它可经由其自身的逻辑(也许是先前的配置)来确定,对于OS值,膝上型设备120-3比网络安全传感器120-1更可信。因此,当网络安全传感器120-1与膝上型设备120-1冲突时,域主机160可忽略从此网络安全传感器120-1接收到的“操作系统”值。
经调和的客户端性质被持续地存储在域数据库162中。随后,域主机160可在DXLESB 130上发布这些客户端性质。随后,DXL代理110可将所发布的消息转发至虚拟机120-2,此虚拟机120-2接收客户端性质的单个的、最准确的值。然而应注意,此调和过程是任选的。在一些情况下,域主机160可能知晓特定的DXL端点120是对于特定的消息话题的“最佳”设备,因此将立即消费来自那个DXL端点120的消息而不等待冲突的信息。
随后,DXL端点120-4可通过DXL ESB 130来发送DXL请求,从而询问膝上型设备120-3的客户端性质。DXL代理110接收此请求,并自动将此请求路由至域主机160。域主机从域数据库162检索客户端性质,并且发送DXL代理110接收并转发至DXL端点120-4的DXL响应消息。注意,虽然此示例中的“发布-订阅”事务是一对多的,但是“请求-响应”事务是 一对一的。
在一些实施例中,可通过允许多个网络元件的松散的整合或耦合的消息收发来表征DXL。松散的耦合可减少每一个DXL端点必须作出的关于其他DXL端点的假设,诸如,某些能力、硬件或软件的存在。根据本说明书的一个或多个示例,DXL是“即插即用”API,并且可通过使上下文能够在产品之间共享来促进上下文知晓和自适应安全。
进一步根据本说明书的一个或多个示例,DXL是具有多个部署选项的弹性架构,并且是高度可缩放的。DXL还可利用思维的开放性来设计,并且允许第三方整合。
DXL ESB 130可基于两层式协议。“底”层是安全、可靠、低等待时间的数据传输组织结构,此数据传输结构将各种安全元件连接为网格,或以中枢与辐射点(hub-and-spoke)配置来连接各种安全元件。“顶”层是配置成促进可信的数据表示的可扩展数据交换框架。
在示例中,DXL端点连接至DXL ESB 130。可向每一个DXL端点分配不同的身份,并且在启动时,例如经由证书或其他安全令牌来向DXL ESB130认证自身。DXL端点可例如通过发送寻址至具有特定身份的DXL端点的DXL消息来经由DXL ESB 130建立一对一通信。这使DXL端点在不需要必须建立点对点网络连接的情况下就能够彼此通信。在示例中,这与个人对个人电话呼叫类似。
在另一示例中,DXL可提供发布-订阅框架,在此发布-订阅框架中,某些DXL端点“订阅”某种类型的消息。当DXL端点在DXL ESB 130上“发布”那种类型的消息时,所有的订阅者可处理此消息,而非订阅者可安全地忽略它。在示例中,这与播客订阅服务类似。在又一示例中,DXL可提供请求-响应框架。在这种情况下,一个DXL端点可通过DXL ESB 130来发布请求。接收此请求的适当的DXL端点可提供响应。有利的是,可不仅由原始发布此请求的DXL端点来使用此响应。例如,如果DXL端点120发布对于对象的声誉的请求,则担当DXL端点120的JTI服务器可通过发布此声誉来响应。由此,发现此对象的实例的其他DXL端点120可从此响应中获益。例如,DXL端点120可维护在网络上发布的声誉的综合的高速 缓存。如果DXL端点120随后新遇到在此网络上已知的对象,则DXL端点已经具有此对象的最新声誉。
可使用适用于连接安全元件的特定基础设施的不同的软件元件、模式和构造来实现DXL ESB 130。例如,在物理企业网络中,可部署由多个经互连的消息代理组成的消息收发中间件,其中,多个端点连接至最近的代理。在虚拟网络基础设施中,结构可充分利用管理程序提供的信道。
如上所述,DXL ESB 130可配置成在以其他方式自主的、动态地聚集的DXL端点之间提供实时、受信的数据交换。由此,在示例中,DXL ESB130的概念性框架可包括两个虚拟组件:
安全相关的数据的广泛的集合被分类为“数据域”。每一个数据域是实体、属性和相互关系的紧密相关的子集合。
域主机160是被分配了每一个域的数据的所有权的数据提供者。域主机160担当原始的“情报”数据的第一手源与数据消费者端点(诸如,DXL端点120)之间的受信中间数据代理。情报数据可从数据生产者端点流至适当的域主机160,随后被中继至消费者端点(诸如,DXL端点120)。注意,在此示例中,“数据生产者”和“数据消费者”的概念是上下文角色,并且不一定是物理设备。DXL端点120可以在一个上下文中是数据生产者而在另一个上下文中是数据消费者。
在示例中,域主机160可建立与数据提供者端点之间的第一手信任关系。这使它能够衡量它从任何特定的源接收到的数据(诸如,声誉数据)的质量(包括准确性和可靠性)。当从多个(独立的)源(诸如,不同的DXL端点120)接收到重复、零碎的数据时,域主机160可调和此数据并解决冲突以为每一个对象导出单个最有名的真相记录(诸如例如,声誉)。这确保了DXL端点120接收一致的数据。
域主机160还可将数据变换为易理解的标准化表示。可在DXL ESB130上发布此表示,使得所有的DXL端点120接收有用的数据。
有利的是,即便当一对一通信是必要的时候,DXL端点也不需要知晓什么设备产生数据,并且不必进行向其他DXL端点的点对点连接。相反,DXL客户端软件或DXL扩展使DXL端点能够使用其本地API来查询并接收数据。为了增加网络效率,DXL端点可在本地对接收到的数据进行高速缓存,可信任此数据,直到它被经授权的DXL消息取代为止。例如,DXL端点120可订阅被发布的对象声誉。当响应于请求-响应事务或以发布-订阅模型接收到对象声誉时,DXL端点120可将此声誉存储在本地数据库中。可信任此声誉,直到它被取代为止,因为DXL主机160配置成每当它接收到经更新的声誉时就发布声誉更新。由此,当被发布的声誉对订阅声誉的所有DXL端点120都是可用的时,来自DXL端点120的多个频繁的单个数据请求成为大量数据订阅。有利的是,这可减小数据交换的等待时间。
在又一示例中,DXL代理110提供发现和位置服务,此发现和位置服务向DXL端点通知数据查询和订阅请求应当被路由至的特定的域主机160。
有利的是,本文中所述的示例DXL架构是灵活的。例如,各数据源可在不影响数据消费者的情况下连接或从网络上断开连接。域主机160可简单地依赖于无论什么可用的数据源。此外,此框架不作出关于物理位置的假设,特别不作出域主机160或域端点是如何被部署或配置的假设。只要每一个网络元件提供有效的DXL消息收发,通信量就被正确地路由。
在上述示例中,DXL主机160是逻辑单件,但是应当注意,DXL主机160可实现为例如一组分布式服务组件,其中每一个组件服务域的子集或提供在别处运行的服务的本地数据复制。此类配置可增强规模、性能和可靠性。这还允许透明地重新定位服务。
进一步有利的是,本文中提供的DXL框架是可扩展的。例如,可简单地通过创建新数据域来提供关于新实体和关系的数据。可简单地通过定义那种域的新消息类型来提供现有的数据域的新属性和关系。
在示例中,域主机160对恶意软件数据的域具有责任。为了将消息与此“恶意软件”域区分开,可为每一者(诸如,网络状态和设备维护)定义名称空间。例如,声誉域可使用“MALWARE”名称空间,网络状态域可使用“STATUS”名称空间,而设备维护域可使用“MAINT”名称空间。由此,如果域主机160是声誉域的主机,则它知道要处理恶意软件名称空 间内的消息,并且忽略所有其他消息。这允许每一个域的设计者分配一组消息,而不必为了避免消息的名称冲突而咨询现有的域。
例如,声誉域和设备维护域两者对诸如DOWNLOAD_UPDATES(下载_更新)之类的消息都是有用的。在声誉域的情况下,此消息可以是从JTI服务器150检索经更新的定义的指令。在设备维护域中,这可以是从供应商处下载操作系统更新的指令。
DXL端点120可配置成交换来自若干DXL域的数据,并且可订阅声誉域和设备维护域两者上的消息。由此,例如DXL端点120-1能够通过请求大量声誉更新来解析并响应于DXL消息DOWNLOAD_UPDATES。在一个实施例中,请求恶意软件更新的消息自身可以是DXL消息。在一些情况下(例如,在更新很大且不需要是实时的情况下),可在DXL架构的外部完成对更新的递送以预留DXL用于轻量、高速的消息收发。
DXL端点120还可知道,它应当通过联系供应商的服务器并请求更新来解析并响应于MAINT:DOWNLOAD_UPDATES(维护:下载_更新)。
在域主机160被配置为声誉域的主机的情况下,它可以知道要忽略不在MALWARE名称空间中的所有的DXL消息。然而,要注意,单个物理设备可配置成担当多个域的域主机,在这种情况下,不同名称空间中的通信量可传递至不同的子例程。在一些实施例中,DXL代理110可配置成合成来自被给予较低优先级(诸如,DXL ESB 130上的“建议”优先级)的多个DXL网络设备(诸如,DXL端点120)的报告。
可合并新的或更好的数据源,通过将它们与域主机160整合,进一步增加了可扩展性。这对于DXL端点120和其他DXL端点可以是完全透明的。
作为非限制性示例,DXL代理110的附加特征可包括:用于查找注册的端点、可用的服务和它们的位置的服务和位置寄存器;发布/订阅(1:N)接口、请求/响应(1:1)接口、设备对设备(1:1)接口以及推送通知消息收发接口;在代理之间传递的优化的消息;目的地知晓的消息路由;以及代理到代理故障转移(failover)。
有利的是,域主机160不必关心每一个DXL端点如何处理被发布的消 息。相反,那可以是企业安全策略的事情。
DXL端点120的附加DXL特征可包括:本地消息总线集成;用于发现代理、向DXL认证、发送和接收经编目的消息的API,作为非限制性示例。
作为非限制性示例,上下文知晓的网络100的附加总体特征可包括:DXL代理和客户端供应以及域主机160的管理;将端点授权到DXL ESB130上的基于策略的授权;使基于SSL的通信安全;用于离楼(off-premises)通信的代理设备支持;以及利用DXL代理功能预配置(由此,使域主机140和DXL代理110结合为一个设备)的域主机装置。
图2是根据本说明书的一个或多个示例的、公开了上下文知晓的网络100上的DXLESB 130的网络示图。在此示例中,DXL代理110-1可被指定为“中枢”(“hub”),而DXL代理110-2、110-3、110-4和110-5可被指定为“辐射点”(“spoke”)。在示例中,所有经过辐射点的DXL通信量将被转发到中枢,中枢将会将此通信量分配到其他辐射点。可经由任何合适的手段来将DXL代理110指定为中枢,诸如,基于MAC IC、IP地址或邻近域主机160的网络来选择中枢。
如果DXL代理110-1下线,则可能至少临时地需要另一中枢。在那种情况下,可选择另一中枢。当DXL代理110-1返回在线时,取决于网络拓扑和设计考虑,它可恢复其作为中枢的职责,或可担当辐射点。
在另一示例中,辐射点可在有效地对DXL代理110-1使用时形成临时的网格状网络。在又一实施例中,DXL代理110可配置成专职地以网状配置操作。
可通过跨不同的网络桥接DXL ESB 130来提供附加的可延伸性,从而使得能够通过较大的网络(包括因特网)来交换数据。
DXL代理110可配置成增强DXL ESB 130的效率。例如,每一个DXL代理110可维护每一个被连接的DXL端点120的所订阅话题的列表。随后,DXL代理110自身订阅那些话题。每一个DXL代理110还维护每一个其他的DXL代理110订阅哪些话题的列表。当DXL代理110从其DXL端点120中的任何一个端点接收到消息时,此DXL代理110确定其他代理中的哪些代理订阅了此DXL消息的话题,并且将此消息仅转发给那些代理。
例如,DXL端点120-42可以是反病毒定义更新服务器。DXL端点120-52、120-54、120-56、120-34、120-36和120-22可以是已将反病毒引擎安装于其上的客户端,所述反病毒引擎需要来自反病毒定义更新服务器120-42的反病毒更新。由此,客户端120-52、120-36和120-22通过通知它们各自的DXL代理110它们希望订阅话题ANTIVIRUS_DEFN_UPDATES(反病毒_定义_更新)来订阅那个话题。DXL代理110-5、110-3和110-2在轮到它们时,通过向其他DXL代理110发布它们现在订阅话题ANTIVIRUS_DEFN_UPDATES来订阅那个话题。当反病毒定义更新服务器120-42具有可用的新更新时,它可对ANTIVIRUS_DEFN_UPDATES话题发布消息,从而指示新的反病毒更新是可用的。此消息还可包括其他信息,诸如,下载更新的指令,或指示某个时间之后,此消息应当被忽略为期满的期满日期。
DXL代理110-4从反病毒定义更新服务器120-42接收消息,并且在其自身的DXL路由表中查找DXL代理110订阅了话题ANTIVIRUS_DEFN_UPDATES。DXL代理110-2、110-3和110-5订阅了此话题,因此DXL代理110-4将此消息的副本发送到那些代理中的每一个。它不将副本发送到未订阅此话题的DXL代理110-1。
接着,DXL代理110-2、110-3和110-5各自都将此消息分配给它们各自的、已订阅此话题的DXL端点。有利的是,节省了网络带宽。对于用于单独地通知每一个客户端的反病毒定义更新服务器120-42,它可能将不得不向外发送留个单独的此消息的副本(向每一个订阅的客户端发送一个副本)。但是,在这种情况下,通过DXL ESB 130组织结构仅发送了三个副本,并且DXL代理随后根据需要在本地分配副本。这降低了对于DXL ESB130的总带宽要求。
图3是根据本说明书的一个或多个示例的客户端设备120的框图。客户端设备120可以是任何合适的计算设备。在各种实施例中,作为非限制性示例,“计算设备”可以是或可包括计算机、嵌入式计算机、嵌入式控 制器、嵌入式传感器、个人数字主力(PDA)、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、转换式平板计算机、手持式计算机或用于处理并传递数据的任何电子、微电子或微机电设备。
客户端设备120包括处理器310,该处理器310连接至存储器320,该存储器320在其中存储了用于提供操作系统322和DXL客户端324的可执行指令。客户端设备120的其他组件包括存储设备350、网络接口360和外围接口340。
在示例中,处理器310经由存储器总线370-3通信地耦合至存储器320,作为示例,所述存储器总线370-3可以是例如直接存储器访问(DMA)总线,但是其他存储器架构是可能的,包括在其中存储器320经由系统总线370-1或某个其他总线来与处理器310通信的存储器架构。处理器310可经由系统总线370-1通信地耦合至其他设备。如贯穿本说明书所使用,总线摂包括任何有限或无线的互连线、网络、连接、线束、单总线、多总线、交叉网络、单级网络、多级网络或操作以在计算设备的多个部分之间或在多个计算设备之间携载数据、信号或功率的其他传导介质。应当注意,仅作为非限制性示例公开了这些使用,并且一些实施例可省略上述总线中的一种或多种,而其他实施例可采用附加的或不同的总线。
在各种示例中,“处理器”可包括硬件、软件或提供可编程逻辑的固件的任何组合,作为非限制性示例,包括微处理器、数字信号处理器、现场可编程门阵列、可编程逻辑阵列、专用集成电路或虚拟机处理器。
处理器310可按DMA配置,经由DMA总线370-3而连接至存储器320。为使本公开简化,存储器320被公开为单个的逻辑块,但是在物理实施例中可包括任何一种或多种合适的易失性或非易失性存储器技术的一个或多个块,包括例如,DDR RAM、SRAM、DRAM、高速缓存、L1或L2存储器、芯片上存储器、寄存器、闪存、ROM、光介质、虚拟存储器区、磁或带存储器、或类似物。在某些实施例中,存储器320可包括相对低等待时间的主存储器,而存储设备350可包括相对较高等待时间的非易失性存储器。然而,存储器320和存储设备350不必是物理上分开的设备,并且在一些示例中可仅表示逻辑上的功能分离。还应当注意,虽然通过非限制性 示例公开了DMA,但是DMA不是符合本说明书的唯一的协议,并且其他存储器架构也是可用的。
存储设备350可以是任何种类的存储器320或可以是分开的设备,诸如,硬驱动器、固态驱动器、外部存储设备、独立盘冗余阵列(RAID)、网络附连的存储设备、光存储设备、带驱动器、备用系统、云存储设备或上述各项的任何组合。存储设备350可以是或在其中可包括一个或多个数据库或按其他配置存储的数据,并且可包括操作软件的存储的副本,所述操作软件诸如,操作系统322以及DXL客户端324的软件部分。许多其他配置也是可能的,并且旨在被涵盖在本说明书的广泛的范围内。
可提供网络接口360,以便将客户端设备120通信地耦合至有线或无线网络。如贯穿本说明书所使用,“网络”可包括操作以在计算设备之内或之间交换数据的任何可通信平台,作为非限制性示例,包括:专设本地网络;将电子式交互能力提供给计算设备的网际架构;老式电话系统(POTS),计算设备可使用此POTS来执行事务,在所述事务中,可由人类操作者辅助所述计算设备,或他们可手动地将数据键入到电话或其他合适的电子装备中;在系统中的任何两个节点之间提供通信接口或交换的任何分组数据网络(PDN);或任何局域网(LAN);城域网(MAN);广域网(WAN);无线局域网(WLAN);虚拟专用网络(VPN);内联网;或促进网络或电话环境中的通信的任何其他合适的架构或系统。
网络接口360可配置成将客户端设备120通信地耦合至DXL代理110。
可提供DXL客户端引擎324,该DXL客户端引擎324可提供用于连接至DXL ESB 130的必需的API和服务。
在一些情况下,还可提供运行时代理机(agent)326,此运行时代理机326可以类似地是跨一个或多个设备的硬件、软件和/或固件的任何合适的组合。运行时代理机326可配置成提供附加或辅助的服务(诸如,反恶意软件服务),或可提供与DXL ESB 130一起使用的报告功能。在一个示例中,运行时代理326可与由迈克菲公司(McAfee,Inc.)提供的Agent(MA)软件类似。
DXL客户端引擎324和运行时代理机326是“引擎”的示例。如贯穿 此代理机所使用,“引擎”包括配置成执行或可操作以执行此引擎的功能的一个或多个逻辑元件,包括硬件、软件和/或固件。引擎可以是在单个设备上自含的,或可跨越多个设备。此外,单个设备可包括多个引擎。为了易于讨论,仅作为示例,本文中公开的引擎仅示出为从存储器运行的软件子例程。在一个示例中,引擎是将用于执行特定功能的必要的API和接口提供给其主机设备的实用程序或程序。在其他示例中,引擎可被具体化在硬件、软件或硬件和软件的某种组合中。例如,在一些情况下,引擎可包括设计成执行方法或方法的部分的特殊的集成电路,并且还可包括可操作以指示处理器执行此方法的软件指令。在一些情况下,引擎可运行为“daemon”(“守护”)进程。“daemon”可包括运行为后台进程、终止并驻留程序、服务、系统扩展、控制面板、启动过程、BIOS子例程或在没有直接用户交互的情况下操作的任何类似的程序的任何程序或多个系列的可执行指令(无论在硬件、软件、固件还是它们的任何组合中实现)。在其他示例中,引擎可包括结合、附加于或替代于引擎而提供以执行根据本说明书的方法的其他硬件和软件,包括交互式或用户模式软件。
在一个示例中,引擎包括存储在非暂态计算机可读介质上的可执行指令,这些可执行指令在被执行时用于执行此引擎的方法。在合适的时刻(诸如,在引导(boot)主机设备时,或在来自操作系统或用户的命令时),处理器可从存储设备检索引擎的副本,并将它加载到存储器中。随后,处理器可迭代地执行此引擎的指令。
外围接口340可配置成与连接至客户端设备120但不一定是客户端设备120的核心架构的部分的任何辅助设备相连。外围设备可以是可操作地将扩展的功能提供给客户端设备120,并且可以或可以不完全依赖于客户端设备120。在一些情况下,外围设备凭借其自身可以是计算设备。外围设备可包括输入和输出设备,作为非限制性示例,诸如,显示器、终端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、数据采集总线、相机、话筒、扬声器或外部存储设备。
图4是根据本说明书的一个或多个示例的服务器400的框图。服务器400可以是如结合图3所描述的任何合适的计算设备。一般而言,除非另外 专门陈述,否则图3的定义和示例也视为同等地适用于图3。然而,可在用途上或在概念上使用服务器400来指在客户端-服务器架构中提供服务器功能的一类计算设备。由此,在某些实施例中,本文中所述的域主机160、DSC 180、DXL代理110和其他设备都可以是服务器400的各种实施例。为了清楚的目的,并且因为服务器400可共享许多共同的元件,在此一起讨论它们。
DXL代理110包括处理器410,此处理器410连接至存储器420,此存储器420在其中存储了用于提供操作系统422和DXL代理引擎424的可执行指令。DXL代理110的其他组件包括存储设备450、网络接口460和外围接口440。
在示例中,处理器410经由存储器总线470-3而通信地耦合至存储器420,存储器总线470-3可以是例如直接存储器访问(DMA)总线。处理器410可经由系统总线470-1通信地耦合至其他设备。
处理器410可按DMA配置,经由DMA总线470-3而连接至存储器420。为了使本公开简化,存储器420被公开为单个的逻辑块,但是在物理实施例中可包括如结合图3的存储器320所述的任何一种或多种适当的易失性或非易失性存储器技术的一个或多个块。在某些实施例中,存储器420可包括相对低等待时间的主存储器,而存储设备450可包括相对较高等待时间的非易失性存储器。然而,如结合图3进一步所述,存储器420和存储设备450不必是物理上分开的设备。
如结合图3的存储设备350所述,存储设备450可以是任何种类的存储器420,或可以是分开的设备。存储设备450可以是或在其中可包括一个或多个数据库或按其他配置存储的数据,并且可包括操作软件的存储的副本,所述操作软件诸如,操作系统422以及DXL代理引擎424的软件部分。许多其他配置也是可能的,并且旨在被涵盖在本说明书的广泛的范围内。
可提供网络接口460,以便将DXL代理110通信地耦合至有线或无线网络。在一个示例中,网络接口460提供多个逻辑接口,这些逻辑接口可包括单个物理网络接口上的多个逻辑接口、多个物理网络接口上的多个逻辑接口、多个物理网络接口上的单个逻辑网络接口或上述各项的任何组合。 在一个示例中,第一逻辑网络接口配置成将DXL代理110通信地耦合至DXL ESB 130(包括耦合至EXL ESB 130上的其他DXL代理110)。第二逻辑接口可配置成将DXL代理110通信地耦合至多个DXL端点设备(诸如,DXL客户端110)。
存储器620可包括域安全引擎424、DXL服务引擎426和/或运行时代理机326中的全部或部分。每一个都可以是如结合图3所描述的引擎。
域安全引擎424可以是可操作地用于提供本说明书中描述的安全方法。在一个示例中,域安全引擎424可操作以订阅安全DXL话题,并接收安全相关的DXL消息。域安全引擎424可根据本文中所述的方法来作用于那些消息。域安全引擎还可配置成担当安全信息和事件管理器(SIEM)装置。在SIEM的角色中,域安全引擎可提供服务,诸如,比较由各种安全设备、应用和数据源(包括一个或多个DXL端点120)收集的数据。SIEM可联合路由器、交换机和虚拟机(VM),并且随后使数据正规化。由此,可标准化并综合数据。SIEM还可对数据分类,从而无论什么主机操作系统如何,来检测例如“登录”事件。
域安全引擎424还可配置成检测安全事件并作用于或减缓安全事件。“安全事件”包括网络上指示对安全策略的违背或计划违背、表示安全威胁、提供安全孔径或指示安全策略的变化的任何事件。
可提供DXL服务引擎426以提供必要的API和服务以使服务器400能够担当DXL端点,尤其包括担当相关的DXL消息话题的提供者。
外围接口440可配置成与连接至DXL代理110但不一定是DXL代理110的核心架构的部分的任何辅助设备。外围设备可以是可操作地将扩展的功能提供给DXL代理110,并且可以或可以不完全依赖于DXL代理110。在一些情况下,外围设备凭借其自身可以是计算设备。作为非限制性示例,外围设备可包括结合图3的外围接口340所讨论的设备中的任何设备。
图5是根据本说明书的一个或多个示例的数据交换层的网络级框图。在图5的示例中,五个DXL代理110将服务提供给DXL端点120。
具体而言,DXL端点120-12和120-14连接至DXL代理110-1。DXL端点120-32和120-34连接至DXL代理110-3。DXL端点120-42和120-44 连接至DXL代理110-4。DXL端点120-52和120-54连接至DXL代理110-5。DXL端点120-22连接至DXL代理110-2。
图5的配置特别适用于数据交换层的消费者/提供者模型。在此模型中,某些设备被指定为内容的生产者,而其他设备被指定为那个内容的消费者。例如,在一种情况下,DXL端点120-32被指定为生产者510。DXL端点120-22可被指定为活动的消费者520。
在此示例中,生产者510可以是受信任以生产某种类型的数据的安全装置或其他网络设备。这可包括例如将声誉分派给DXL ESB 130上的网络对象。当生产者510遇到此对象时,它可将此对象的声誉存储在内部数据库中。
稍后,当活动的消费者520遇到此对象时,它可能期望获悉此对象的声誉。由此,活动的消费者520可在DXL ESB服务器130上发布DXL消息(诸如,OBJECT_REPUTATION_QUERY(对象_声誉_查询))。
生产者510可订阅此消息,并且在接收到此消息后,在它的内部数据库中查找此对象的声誉。随后,生产者在DXL ESB 130上发布消息REPUTATION_QUERY_RESPONSE(声誉_查询_响应)。活动的消费者520消费此消息,并且可根据此消息的内容来适当地对此网络对象作出反应。
在一个示例中,生产者510的重要性质在于它是可信的。这可意味着例如生产者510已经被验证到某个可信度。由于生产者510是经认证的,因此它可受信任以产生用于由其他DXL端点消费的可靠的数据。由此,虽然DXL ESB 130的一些实例可准许任何端点担当某些类型消息的生产者或消费者,但是在其他实施例中,仅某些端点可担当某些种类的消息的生产者。在那些实施例中,将某些端点指定为消费者520可能是更宽容的。
可有利地使用图5中描述的生产者-消费者框架来实现网络安全操作。在本文中通过非限制性示例来描述若干操作。应当注意,在这些示例中的每一个示例中,可供应一个或多个适当的DXL消息话题来携带适当的消息。
在第一示例中,第一DXL端点120-1为第二DXL端点120-2发布具有关于此端点自身(上下文)的信息的消息,以适应此上下文并重新配置 其自身的安全。好的示例是,客户端(DXL端点120-1)发布其用户和其所属授权组的身份以及其自身用于防火墙(DXL端点120-2)的IP地址,以便将正确的防火墙策略分配至客户端。每当具有变化(诸如,不同的用户登录,或客户端的IP地址变化)时,重新发布信息,并且在防火墙上重新调整配置。
在第二示例中,从DXL消息收发收集到的信息可用于建立上下文敏感的策略,其中,上下文可包括诸如位置、身份、用户和应用之类的因素。示例使用情况包括:
a.以抽象的方式将匹配的安全策略分配至设备(DXL端点120),而不管设备位于何处或此设备的网络通信量通过哪个防火墙。作为提取示例,无论设备的位置如何,相同的策略可以总是被分配至此设备。
b.确定DXL端点120的设备类型(诸如,web服务器或客户端)并报告可用的正在运行的可用网络服务,以便自动地为设备以及为网络服务附连适当的入侵防护系统(IPS)策略或根据IPS组来附连策略。
c.根据DXL端点120的位置,利用安全策略来配置此DXL端点120。此位置可包括敌意等级,此敌意等级可例如作为网络声誉来分配。
d.响应于DXL客户端120的可能的感染来分配上下文敏感的策略。周边设备可加固它们的防火墙策略来阻止来自DXL客户端120的任何连接尝试。网络网关和下一代防火墙(NGFW)可防止外部主机连接至网络。
e.用信号通知资产的关键性,使得它可例如由更严格的IPS策略更好地保护。例如:
i.数据丢失防护(DLP)用信号通知在用于其他控制的设备上发现的文档的敏感度等级以相应地加紧安全。NGFW和IPS更好地防卫设备,并且设备上策略被加固。
ii.根据谁正在使用设备来用信号通知此设备的关键性(NGFW和IPS更好地防卫此设备,并且设备上策略被加固。)
在第三示例中,DXL信息用于当检测到威胁时使“财产”(网关和主机等)的其余部分免疫。
在第四示例中,可在所有的安全控制之间共享利用障碍(例如,散列) 获得的知识。
在第五示例中,网络网关可阻止所尝试的攻击,并且通过DXL ESB 130来共享关于此攻击的特性的知识和“烟雾信号”。随后,连接至DXL ESB130的其他网络网关、客户端和其他安全组件可立即开始使其自身对威胁免疫。
例如,NGFW检测并阻止来自某个IP地址的躲避攻击。随后,NGFW实时地为连接至DXL的任何其他网关、端点和其他安全组件共享已通过此DXL发起的攻击来自的IP地址,从而立即禁用去往或来自此攻击IP地址的通信(免疫)。在这种情况下,已由某个安全控制实时地阻止的攻击正在生成烟雾信号,此烟雾信号现在正在被实时地共享,并且用于防止与源IP地址之间的任何通信。可由安全信息和事件管理(SIEM)服务器(诸如,DSC 180)使用此烟雾信号(攻击侧的IP地址)以立即搜索它已对或正在对可能涉及现在的恶意IP地址的可疑的活动收集的日志和事件(从而产生可能的附加烟雾信号以进行进一步检查)。
在第六示例中,DXL可用于应用沙箱操作(sandboxing)。应用沙箱操作是安全机制,此安全机制经常用于使用多种方法来执行未经证实的代码/不可信的程序,这些方法涉及通过分析代码在执行时的实际行为来对此代码是否具有恶意目的进行分类。在一个示例中,DSC 180可在被连接至DXL ESB 130时提供应用沙箱操作。当分析了未经证实的代码并确认了它是恶意的之后,DSC 180可经由DXL ESB 130来发布其发现。连接至DXL ESB 130的网络网关、端点和其他安全解决方案将使用由应用沙箱操作解决方案提供的分析(其中包括恶意提供者的边缘、IP、统一资源定位符(URL)和其他假象),从而立即防止往返于这些IP和URL的执行(PE)和通信,并且确定它们先前是否已执行恶意代码(现在知道PE是恶意的)。
在第七示例中,可例如在DSC 180中具体化的入侵防护系统标识来自网络内的端点且针对外部的目的地IP地址的恶意命令和控制通信量。此入侵防护系统用于经由DXLESB 130来将推送通知发送至可疑的受感染端点,从而使主机上安全软件栈获悉此主机已遭破坏。此安全软件栈可转而应用严格的安全策略,从而将此主机与网络的其余部分隔离,并且防止数 据漏出或对网络的其他损害。
随后,DSC 180将DXL消息发送至相同的网络(可疑的受感染的端点是此网络的部分)的所有的DXL端点,从而指示此端点可能遭破坏。随后,设备可加固它们的安全配置,从而阻止去往和来自此可疑的受感染设备的任何通信。连接至DXL ESB 130的网络网关(防火墙、入侵防护、邮件、web)用于通过配置防止受感染的主机在此网络外部通信的安全策略来作出反应。
在第八示例中,使网络网关、端点和其他安全组件是DXL的部分为附加的使用情况创造了机会。一种此类使用情况是,将安全信息和事件管理(SIEM)解决方案连接至DXL,以便实时地从连接至DXL的组件接收事件和日志。变换实时地接收事件和日志的SIEM提供了下列价值主张:
a.现在,SIEM实时地从日志/事件收集到实行来进行操作(实时地接收事件和日志,实时地处理并分析事件)。
b.现在,SIEM的传统操作从图书管理员变换成猎人。使从实时地提供可执行动作的情报到实时地编配主动防护的实时响应自动化。
c.立即促进关键事件引起分析的注意,从而显著地减少响应于安全事件所需的时间量。
d.随着与分析相关联的分析和事件的数量减少,操作成本显著减少。
一个示例是从主机数据丢失防护解决方案接收事件和日志的SIEM。通过DXL实时地接收到的事件和日志将由SIEM实时地处理并分析,从而寻找用户处置敏感内容的方式的行为异常。一检测到此类行为异常,SIEM就可立即(例如)通过以下操作来作用于信息
a.将推送通知消息发送至在主机(此主机连接至DXL)上使用的主机DLP解决方案以便立即在主机上“关闭所有舱口”,从而防止数据漏出;以及
b.发送宣布设备将被隔离的广泛的DXL消息,从而允许DXL的网络网关部分禁用去往和源自此设备的通信。
在这种使用情况下,现在可实时地执行先前花费数小时或更久的过程(实时地收集日志和信息,实时地进行处理和分析,实时地进行实行)。
以上内容概述若干实施例的特征,使得本领域技术人员可更好地理解本公开的多个方面。本领域技术人员将认识到,他们可容易地将本公开用作基础来设计或修改其他过程和结构,从而执行与本文中介绍的实施例相同的目的和/或实现与本文中介绍的实施例相同的优点。本领域技术人员还应当意识到,此类等效的构造不背离本公开的精神和范围,并且他们可进行本文中的各种改变、替换和更改而不背离本公开的精神和范围。
本公开的特定实施例可容易地包括片上系统(SOC)中央处理单元(CPU)封装。SOC表示将计算机或其他电子系统的组件集成到单个芯片中的集成电路(IC)。它可包含数字、模拟、混合信号和射频功能:可在单个的芯片基板上提供所有这些。其他示例可包括多芯片模块(MCM),其中,多个芯片位于单个电子封装内,并且配置成通过此电子封装彼此紧密地相互作用。在各种其他实施例中,可在专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其他半导体芯片中的一个或多个硅核中实现数字信号处理功能。
在示例实现中,可在软件中实现本文中概述的处理活动的至少一些部分。在一些实施例中,这些特征中的一个或多个可在提供于所公开的附图中的元件的外部的硬件中实现,或者能以任何适当的方式被合并以实现计划的功能。各种元件可包括可协调以实现本文所概括的多个操作的软件(或往复式软件)。在又一些实施例中,这些元件可以包括便于这些元件的操作的任何适当的算法、硬件、软件、组件、模块、接口或对象。
此外,可去除或以其他方式合并与所描述的微处理器相关联的组件中的一些组件。从一般意义上而言,附图中描绘的布置按它们的表示可能是更合逻辑的,而物理架构可包括对这些元件的各种排列、组合和/或混合。必要的是要注意到,可使用无数可能的设计配置来实现本文中概述的操作目标。相应地,相关联的架构具有大量的布置、设计选择、设备可能性、硬件配置、软件实现、装备选项,等等。
任何经适当地配置的处理器组件可执行与数据相关联的任何类型的指令以实现本文中描述的操作。本文中公开的任何处理器能够将元件或制品(例如,数据)从一种状态或事物变换成另一种状态或事物。在另一示例 中,本文中概述的一些活动可以用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文中标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、包括数字逻辑、软件、代码、电子指令的ASIC、闪存、光盘、CD-ROM、DVD ROM、磁卡或光卡、适于存储电子指令的机器可读介质或上述各项的任何合适的组合。在操作中,处理器可在适当时,基于特定的需要,在任何合适类型的非暂态存储介质(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程ROM(EEPROM)等)、软件、硬件,或在任何其他合适的组件、硬件、元件或对象中存储信息。此外,基于特定的需要,可在任何数据库、寄存器、表、高速缓存、队列、控制列表或存储结构中提供在处理器中跟踪、发送、接收或存储的信息,所有这些都可在任何合适的时间帧内被引用。应当将本文所讨论的存储器项中的任何一项解释为被涵盖在广义的术语“存储器”之内。类似地,应当将本文所描述的潜在的处理元件、模块和机器中的任何一个理解为被涵盖在广义的术语“微处理器”或“处理器”之内。此外,在各种实施例中,可由经软件或固件配置以仿真或虚拟化那些硬件元件的功能的处理器、存储器和其他相关设备来实现本文中描述的处理器、存储器、网络卡、总线、存储设备、相关的外围设备和其他硬件元件。
以各种形式来具体化实现本文中描述的功能中的全部或部分的计算机程序逻辑,各种形式包括但决不限于,源代码形式、计算机可执行形式和各种中间形式(例如,由汇编器、编译器、链接器或定位器生成的形式)。在示例中,源代码包括以各种编程语言实现的一系列计算机程序指令,各种编程语言诸如,目标代码、汇编语言或高级语言(诸如,用于与各种操作系统或操作环境一起使用的OpenCL、Fortran、C、C++、JAVA或HTML)。源代码可定义并使用各种数据结构和通信消息。源代码可以是计算机可执行形式的(例如,经由解释器),或者源代码可(例如,经由变换器、汇编器或编译器)被转换为计算机可执行形式。
在对上述实施例的讨论中,可容易地更换、替换或以其他方式修改电容器、缓冲器、图形元件、互连板、时钟、DDR、相机传感器、分频器、电感器、电阻器、放大器、交换机、数字核、晶体管和/或其他组件以适应特定的电路需要。此外,应当注意,补充的电子设备、硬件、非暂态软件等的使用提供了实现本公开的教导的同等可行的选项。
在一个示例实施例中,可在相关联的电子设备的板上实现附图中任何数量的电路。板可以是可保持电子设备的内部的电子系统的各种组件的通用电路板,并且可进一步提供用于其他外围设备的连接器。更具体地,板可提供电连接,系统的其他组件可通过此电连接电气地通信。基于特定的配置需要、处理要求、计算机设计等,任何适当的处理器(包括数字信号处理器、微处理器、支持芯片组等)、存储器元件等可被合适地耦合至板。诸如外部存储设备、附加的传感器、用于音频/视频显示的控制器以及外围设备之类的其他组件可作为插入卡,经由线缆而被附连到板,或者被集成到板自身中。在另一示例实施例中,附图中的电路可实现为独立式模块(例如,具有配置成执行特定应用和功能的相关联的组件和电路的设备)或实现为插入到电子设备的专用硬件中的插入模块。
注意,对于本文中提供的众多示例,可按照两个、三个、四个或更多个电组件来描述相互作用。然而,仅出于清楚和示例的目的来这样做。应当认识到,能以任何合适的方式来合并系统。顺着类似的设计替代,能以各种可能的配置来组合附图中的所示出的组件、模块和元件,所有这些显然都在本说明书的广泛范围之内。在某些情况下,通过仅参考有限数量的电元件来描述给定的流程集中的一个或多个功能可能更容易。应当理解,附图中的电路及其教导易于按比例缩放,并且能够适应大量的组件以及更复杂/精细的布置和配置。相应地,所提供的示例不应当限制这些电路的范围,也不应当禁止这些电路的宽泛教导潜在地应用于大量其他架构。
众多其他改变、替换、变型、更改和修改对本领域技术人员可以是被查明的,并且本公开旨在将所有此类改变、替换、变型、更改和修改涵盖为落入如所附权利要求书的范围内。为了辅助美国专利商标局(USPTO)以及附加地辅助对本申请上发布的任何专利的任何读者解释所附的权利要 求书,申请人希望提请注意,本申请人:(a)不旨在所附权利要求书的任一项援引章节35U.S.C.第112部分的第六(6)段(因为其在提交之日就存在),除非词语“用于……的装置”或“用于……的步骤”被具体地用在特定的权利要求中;以及(b)不旨在通过说明书中的任何陈述来以未在所附权利要求书中以其他方式反映的任何方式来限制本公开。
示例实现
在示例1中公开了一种适用于在数据交换层(DXL)上提供消息收发服务的安全控制器装置,所述装置包括:网络接口;DXL服务引擎,可操作以提供应用编程接口(API)以经由所述网络接口而连接至DXL企业服务总线(ESB);以及域安全引擎,可操作以:订阅DXL安全话题;经由所述DXL ESB来检测安全事件;以及经由所述DXL ESB来发布配置成作用于所述安全事件的DXL安全消息。
在示例2中公开了示例1的装置,其中,所述域安全引擎进一步可操作以操作为安全信息和事件管理器(SIEM)。
在示例3中公开了示例2的装置,其中,所述域安全引擎进一步可操作以经由所述DXL ESB来订阅SIEM话题。
在示例4中公开了示例3的装置,其中,所述域安全引擎进一步可操作以经由所述DXL ESB来担当SIEM话题生产者。
在示例5中公开了示例1的装置,其中,所述域安全引擎进一步可操作以:合并多个DXL消息;建立上下文敏感的安全策略;以及经由DXL消息来发布所述上下文敏感的安全策略。
在示例6中公开了示例1的装置,其中,建立上下文敏感的安全策略的步骤包括以下步骤:将位置独立的安全策略分配给DXL端点;以及经由DXL消息来发布所述分配。
在示例7中公开了示例5的装置,其中,建立上下文敏感的安全策略包括以下步骤:确定DXL端点的设备类型;以及经由DXL消息来报告可用的网络服务,以便自动地将入侵防护系统策略附连至所述设备。
在示例8中公开了示例5的装置,其中,建立上下文敏感的安全策略包括以下步骤:将位置敏感的安全策略分配给DXL端点,其中,所述位置是将信任等级分配给所述DXL端点的基础;以及经由DXL消息来报告所述分配。
在示例9中公开了示例5的装置,其中,建立上下文敏感的安全策略包括以下步骤:将关键性得分分配给DXL端点;以及经由DXL消息来报告所述分配。
在示例10中公开了示例1-9中的任一项的装置,其中,所述域安全引擎进一步可操作以:检测入侵尝试;以及经由DXL消息来发布所述入侵尝试的特性。
在示例11中公开了示例1-9中的任一项的装置,其中,所述域安全引擎进一步可操作以:提供应用沙箱操作;以及经由DXL消息来报告所述应用沙箱操作的结果。
在示例12中公开了示例1-9中的任一项的装置,其中,所述域安全引擎进一步可操作以:检测来自DXL端点的恶意的命令和控制通信量;以及将DXL推送通知提供给所述DXL端点,所述DXL推送通知配置成向所述DXL端点通知所述DXL端点是受感染的。
在示例13中公开了示例1-9中的任一项的装置,其中,所述域安全引擎进一步可操作以:实时地或接近实时地与安全信息和事件管理器交互操作。
在示例14中公开了一种或多种计算机可读介质,已在其上存储了可执行指令,所述可执行指令用于提供数据交换层(DXL)域安全引擎,所述DXL域安全引擎操作以:通信地耦合至DXL企业安全总线(ESB);订阅DXL安全话题;经由所述DXL ESB来检测安全事件;以及经由所述DXL ESB来发布配置成作用于所述安全事件的DXL安全消息。
在示例15中公开了示例14的一种或多种计算机可读介质,其中,所述域安全引擎进一步可操作以:合并多个DXL消息;建立上下文敏感的安全策略;以及经由DXL消息来发布所述上下文敏感的安全策略。
在示例16中公开了示例15的一种或多种计算机可读介质,其中,建 立上下文敏感的安全策略的步骤包括以下步骤:将位置独立的安全策略分配给DXL端点;以及经由DXL消息来发布所述分配。
在示例17中公开了示例15的一种或多种计算机可读介质,其中,建立上下文敏感的安全策略的步骤包括以下步骤:确定DXL端点的设备类型;以及经由DXL消息来报告可用的网络服务,以便自动地将入侵防护系统策略附连至所述设备。
在示例18中公开了示例15的一种或多种计算机可读介质,其中,建立上下文敏感的安全策略包括以下步骤:将位置敏感的安全策略分配给DXL端点,其中,所述位置是将信任等级分配给所述DXL端点的基础;以及经由DXL消息来报告所述分配。
在示例19中公开了示例15的一种或多种计算机可读介质,其中,建立上下文敏感的安全策略包括以下步骤:将关键性得分分配给DXL端点;以及经由DXL消息来报告所述分配。
在示例20中公开了示例14-19中的任一项的一种或多种计算机可读介质,其中,所述域安全引擎进一步可操作以:检测入侵尝试;以及经由DXL消息来发布所述入侵尝试的特性。
在示例21中公开了示例14-19中的任一项的一种或多种计算机可读介质,其中,所述域安全引擎进一步可操作以:提供应用沙箱操作;以及经由DXL消息来报告所述应用沙箱操作的结果。
在示例22中公开了示例14-19中的任一项的一种或多种计算机可读介质,其中,所述域安全引擎进一步可操作以:检测来自DXL端点的恶意的命令和控制通信量;以及将DXL推送通知提供给所述DXL端点,所述DXL推送通知配置成向所述DXL端点通知所述DXL端点是受感染的。
在示例23中公开了示例14-19中的任一项的一种或多种计算机可读介质,其中,所述域安全引擎进一步可操作以:实时地或接近实时地与安全信息和事件管理器交互操作。
在示例24中公开了一种用于在数据交换层(DXL)上提供域安全的计算机实现的方法,所述方法包括以下步骤:通信地耦合至DXL企业安全总线(ESB);订阅DXL安全话题;经由所述DXL ESB来检测安全事件;以 及经由所述DXL ESB来发布配置成作用于所述安全事件的DXL安全消息。
在示例25中公开了示例24的方法,所述方法进一步包括以下步骤:合并多个DXL消息;建立上下文敏感的安全策略;以及经由DXL消息来发布所述上下文敏感的安全策略。
在示例26中公开了方法,所述方法包括:执行示例14-23中的任一项中公开的指令。
在示例27中公开了装置,所述装置包括用于执行示例26的方法的设备。
在示例28中公开了权利要求27的装置,其中,所述装置包括处理器和存储器。
在示例29中公开了权利要求28的装置,其中,所述装置进一步包括计算机可读介质,所述计算机可读介质在其上已存储了用于执行示例26的方法的软件指令。
Claims (25)
1.一种用于在数据交换层DXL上提供消息收发服务的安全控制器装置,所述装置包括:
网络接口;
DXL服务引擎,配置成用于提供应用编程接口API以经由所述网络接口而连接至DXL企业服务总线ESB,其中,所述DXL在面向服务的架构上提供生产者-消费者框架;以及
域安全引擎,配置成用于:
订阅DXL安全话题;
经由所述DXL ESB来检测与所述DXL安全话题有关的安全事件;
确定订阅所述DXL安全话题的端点;以及
经由所述DXL ESB来向所述端点发布用于作用于所述安全事件的DXL安全消息。
2.如权利要求1所述的装置,其中,所述域安全引擎经由所述DXL来消费安全事件,所述域安全引擎配置成用于作为DXL消费者来订阅所述DXL安全话题并配置成用于作为DXL生产者来发布所述DXL安全消息,并且所述DXL安全消息使DXL消费者能够作用于所述安全消息。
3.如权利要求1所述的装置,其中,所述DXL安全话题是安全信息和事件管理器SIEM话题。
4.如权利要求1所述的装置,其中,所述DXL安全消息是安全信息和事件管理器SIEM话题。
5.如权利要求1所述的装置,其中,所述域安全引擎进一步能操作用于:
合并多个DXL消息;
建立上下文敏感的安全策略;以及
经由DXL消息来发布所述上下文敏感的安全策略。
6.如权利要求2所述的装置,其中,所述域安全引擎进一步能操作用于根据所述DXL安全消息来提供安全信息和事件管理服务,根据所述DXL安全消息来提供安全信息和事件管理服务包括:联合来自多个不相似资源的数据;以及使所述数据正规化以供经由所述DXL来消费。
7.如权利要求5所述的装置,其中,所述上下文敏感的安全策略是被分配给DXL端点的独立于位置的安全策略。
8.如权利要求5所述的装置,其中,所述上下文敏感的安全策略是网络服务,所述网络服务用于基于所述DXL端点是服务器还是客户端的判定而将入侵防护系统策略附连到DXL端点以及为所述网络服务附连入侵防护系统策略。
9.如权利要求5所述的装置,其中,所述上下文敏感的安全策略是被分配给DXL端点且指示位置的声誉的安全策略。
10.如权利要求5所述的装置,其中,所述上下文敏感的安全策略基于设备上的文档或所述设备的用户的敏感度等级被分配给DXL端点。
11.如权利要求1所述的装置,其中,所述域安全引擎进一步能操作用于执行未经验证的或不可信的代码,以通过分析所述代码的行为来就所述代码是否具有恶意目的进行分来,从而产生结果并经由所述DXL安全消息报告所述结果。
12.如权利要求1所述的装置,其中,所述域安全引擎进一步能操作用于:基于检测到来自DXL端点的恶意通信量将DXL推送通知提供给所述DXL端点,所述DXL推送通知向所述DXL端点通知所述DXL端点受感染。
13.如权利要求2所述的装置,进一步包括:
存储器,耦合至一个或多个处理器,其中,面向服务的架构上的所述生产者-消费者框架是上下文知晓的。
14.一种用于在数据交换层DXL上提供域安全的方法,所述方法包括:
通信地耦合至DXL企业安全总线ESB,其中,所述DXL在面向服务的架构上提供生产者-消费者框架;
订阅DXL安全话题;
经由所述DXL ESB来检测与所述DXL安全话题有关的安全事件;
确定订阅所述DXL安全话题的端点;以及
经由所述DXL ESB来向所述端点发布用于作用于所述安全事件的DXL安全消息。
15.如权利要求14所述的方法,进一步包括:
合并多个DXL消息;
建立上下文敏感的安全策略;以及
经由DXL消息来发布所述上下文敏感的安全策略。
16.如权利要求14所述的方法,进一步包括:
根据所述DXL安全消息来提供安全信息和事件管理服务,所述提供步骤包括:联合来自多个不相似资源的数据;以及使所述数据正规化以供经由所述DXL来消费。
17.如权利要求15所述的方法,其中,所述上下文敏感的安全策略是被分配给DXL端点的独立于位置的安全策略。
18.如权利要求15所述的方法,其中,所述上下文敏感的安全策略是网络服务,所述网络服务用于基于所述DXL端点是服务器还是客户端的判定而将入侵防护系统策略附连到DXL端点以及为所述网络服务附连入侵防护系统策略。
19.如权利要求15所述的方法,其中,所述上下文敏感的安全策略是被分配给DXL端点且指示位置的声誉的安全策略。
20.如权利要求15所述的方法,其中,所述上下文敏感的安全策略基于设备上的文档或所述设备的用户的敏感度等级被配备给DXL端点。
21.如权利要求14所述的方法,进一步包括:
执行未经验证的或不可信的代码,以通过分析所述代码的行为来就所述代码是否具有恶意目的进行分来,从而产生结果并经由所述DXL安全消息报告所述结果。
22.如权利要求14所述的方法,进一步包括:
基于检测到来自DXL端点的恶意通信量将DXL推送通知提供给所述DXL端点,所述DXL推送通知向所述DXL端点通知所述DXL端点受感染。
23.如权利要求14所述的方法,进一步包括:
经由所述DXL来消费安全事件;
作为DXL消费者来订阅所述DXL安全话题;以及
作为DXL生产者来发布所述DXL安全消息,其中,所述DXL安全消息使DXL消费者能够作用于所述安全消息。
24.一种用于在数据交换层DXL上提供域安全的设备,包括用于执行如权利要求14-23中的任一项所述的方法的装置。
25.如权利要求24所述的设备,其中,所述装置包括处理器和存储器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910198004.8A CN109871348B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361884006P | 2013-09-28 | 2013-09-28 | |
| US61/884,006 | 2013-09-28 | ||
| PCT/US2014/057934 WO2015048598A1 (en) | 2013-09-28 | 2014-09-28 | Security-connected framework |
| CN201910198004.8A CN109871348B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
| CN201480048580.XA CN105519041B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480048580.XA Division CN105519041B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109871348A CN109871348A (zh) | 2019-06-11 |
| CN109871348B true CN109871348B (zh) | 2023-07-28 |
Family
ID=52744555
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480048580.XA Active CN105519041B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
| CN201910198004.8A Active CN109871348B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
| CN201480047592.0A Withdrawn CN105684376A (zh) | 2013-09-28 | 2014-09-28 | 数据交换层上的位置服务 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480048580.XA Active CN105519041B (zh) | 2013-09-28 | 2014-09-28 | 安全连接的框架 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480047592.0A Withdrawn CN105684376A (zh) | 2013-09-28 | 2014-09-28 | 数据交换层上的位置服务 |
Country Status (3)
| Country | Link |
|---|---|
| US (4) | US10609088B2 (zh) |
| CN (3) | CN105519041B (zh) |
| WO (2) | WO2015048598A1 (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105531711B (zh) * | 2013-09-28 | 2018-10-02 | 迈克菲股份有限公司 | 数据交换层上的上下文感知网络 |
| US10205798B2 (en) * | 2013-09-28 | 2019-02-12 | Mcafee, Llc | Merging multiple system trees over a data exchange layer |
| WO2015048598A1 (en) | 2013-09-28 | 2015-04-02 | Mcafee Inc. | Security-connected framework |
| US9807118B2 (en) | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
| US10887253B1 (en) * | 2014-12-04 | 2021-01-05 | Amazon Technologies, Inc. | Message queuing with fan out |
| US20160232349A1 (en) * | 2015-02-09 | 2016-08-11 | Fortinet, Inc. | Mobile malware detection and user notification |
| US10523525B2 (en) * | 2015-09-21 | 2019-12-31 | Ruby Tech Corporation | Network switch, device management system, and device management method thereof |
| US10447828B2 (en) * | 2016-03-01 | 2019-10-15 | Microsoft Technology Licensing, Llc | Cross-application service-driven contextual messages |
| CN106059892A (zh) * | 2016-05-17 | 2016-10-26 | 中国科学院沈阳计算技术研究所有限公司 | 一种用于融合通信系统的消息引擎 |
| US10263849B2 (en) * | 2016-10-25 | 2019-04-16 | Servicenow, Inc. | System and method for generating discovery profiles for discovering components of computer networks |
| US10938926B2 (en) * | 2016-12-30 | 2021-03-02 | Fortinet, Inc. | User and IoT (internet of things) apparatus tracking in a log management system |
| US10445479B2 (en) | 2016-12-30 | 2019-10-15 | Fortinet, Inc. | Spatiotemporal credential leak detection to prevent identity fraud using a log management system |
| CN110086636B (zh) * | 2019-04-17 | 2022-03-25 | 平安科技(深圳)有限公司 | 一种基于mqtt的消息分发方法、服务器及存储介质 |
| US11226984B2 (en) * | 2019-08-13 | 2022-01-18 | Capital One Services, Llc | Preventing data loss in event driven continuous availability systems |
| CN113098914B (zh) * | 2019-12-23 | 2022-09-30 | 中国移动通信集团湖南有限公司 | 消息总线系统及消息传输方法、装置、电子设备 |
| CN113206872B (zh) * | 2021-04-22 | 2022-06-03 | 深圳感臻智能股份有限公司 | 一种消息发送方法、终端及计算机存储介质 |
| CN113835909B (zh) * | 2021-09-30 | 2023-10-24 | 中国电子科技集团公司第二十八研究所 | 一种基于消息框架的应用集成方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101201625A (zh) * | 2006-09-28 | 2008-06-18 | 洛克威尔自动控制技术股份有限公司 | 消息引擎 |
| CN101632085A (zh) * | 2007-03-14 | 2010-01-20 | 微软公司 | 企业安全评估共享 |
Family Cites Families (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) * | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) * | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US7254614B2 (en) * | 2001-11-20 | 2007-08-07 | Nokia Corporation | Web services push gateway |
| US7100204B1 (en) * | 2002-04-05 | 2006-08-29 | International Business Machines Corporation | System and method for determining network users' physical locations |
| US9027120B1 (en) * | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
| US8015604B1 (en) * | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
| US7590072B2 (en) | 2004-03-12 | 2009-09-15 | Alcatel Lucent | Interworking network maps of network management and element management systems |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US20060117020A1 (en) | 2004-12-01 | 2006-06-01 | John Toebes | Arrangement for selecting a server to provide distributed services from among multiple servers based on a location of a client device |
| US20080140759A1 (en) | 2006-03-21 | 2008-06-12 | Conner Peter A | Dynamic service-oriented architecture system configuration and proxy object generation server architecture and methods |
| WO2008036777A2 (en) * | 2006-09-19 | 2008-03-27 | Bea Systems, Inc. | System and method for supporting service networks in a service-oriented architecture environment |
| US8549122B2 (en) * | 2006-12-04 | 2013-10-01 | Oracle International Corporation | System and method for communication agent within a fully distributed network |
| US20080250097A1 (en) * | 2007-04-04 | 2008-10-09 | Adadeus S.A.S | Method and system for extending the services provided by an enterprise service bus |
| JP2008271339A (ja) * | 2007-04-23 | 2008-11-06 | Toshiba Corp | セキュリティゲートウェイシステムとその方法およびプログラム |
| WO2008141327A1 (en) * | 2007-05-14 | 2008-11-20 | Sailpoint Technologies, Inc. | System and method for user access risk scoring |
| US9038125B2 (en) * | 2007-08-24 | 2015-05-19 | Red Hat, Inc. | Self identifying services in distributed computing |
| US20090089078A1 (en) * | 2007-09-28 | 2009-04-02 | Great-Circle Technologies, Inc. | Bundling of automated work flow |
| US8620965B2 (en) * | 2008-08-28 | 2013-12-31 | Red Hat, Inc. | Dynamic configuration of services using a syndication feed |
| US8977673B2 (en) * | 2008-08-29 | 2015-03-10 | Red Hat, Inc. | Information on availability of services provided by publish-subscribe service |
| US8570905B2 (en) * | 2008-09-26 | 2013-10-29 | International Business Machines Corporation | Adaptive enterprise service bus (ESB) runtime system and method |
| US8140582B2 (en) | 2008-10-07 | 2012-03-20 | International Business Machines Corporation | Service oriented architecture aggregation |
| US8515445B2 (en) * | 2008-11-24 | 2013-08-20 | International Business Machines Corporation | Location based services with multiple transmission methods |
| US8055775B2 (en) * | 2009-03-25 | 2011-11-08 | International Business Machines Corporation | SOA policy engine framework |
| CN101547424A (zh) * | 2009-04-30 | 2009-09-30 | 华为技术有限公司 | 一种终端接入位置获取方法、装置和系统 |
| US8555407B2 (en) * | 2009-10-09 | 2013-10-08 | Lockheed Martin Corporation | On demand visibility services and smart directory |
| US8380797B2 (en) * | 2009-11-09 | 2013-02-19 | General Electric Company | Business data exchange layer |
| US8364745B2 (en) * | 2009-11-24 | 2013-01-29 | International Business Machines Corporation | Service oriented architecture enterprise service bus with universal ports |
| US8397298B2 (en) * | 2009-12-08 | 2013-03-12 | At&T Intellectual Property I, L.P. | Method and system for content distribution network security |
| US8321909B2 (en) * | 2009-12-22 | 2012-11-27 | International Business Machines Corporation | Identity mediation in enterprise service bus |
| US8494974B2 (en) * | 2010-01-18 | 2013-07-23 | iSIGHT Partners Inc. | Targeted security implementation through security loss forecasting |
| US8793789B2 (en) * | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US10191783B2 (en) * | 2010-02-26 | 2019-01-29 | Red Hat, Inc. | UDP multicast over enterprise service bus |
| US8868728B2 (en) * | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
| US8984533B2 (en) * | 2010-04-15 | 2015-03-17 | Rockwell Automation Technologies, Inc. | Systems and methods for conducting communications among components of multidomain industrial automation system |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| US9537747B2 (en) * | 2010-06-11 | 2017-01-03 | International Business Machines Corporation | Publish/subscribe overlay network control system |
| US8701128B2 (en) * | 2011-02-14 | 2014-04-15 | General Electric Company | Method, system and computer program product for a client application programming interface (API) in a service oriented architecture |
| CN102137329A (zh) | 2011-03-01 | 2011-07-27 | 华为终端有限公司 | 定位方法和设备 |
| US20120226789A1 (en) * | 2011-03-03 | 2012-09-06 | Cisco Technology, Inc. | Hiearchical Advertisement of Data Center Capabilities and Resources |
| US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
| US8595837B2 (en) * | 2011-08-29 | 2013-11-26 | Novell, Inc. | Security event management apparatus, systems, and methods |
| US8595269B2 (en) * | 2011-09-02 | 2013-11-26 | Infosys Limited | Managing classification hierarchies in master data management environments |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| US8813228B2 (en) * | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
| US9043874B2 (en) * | 2012-11-28 | 2015-05-26 | Wal-Mart Stores, Inc. | System and method for protecting data in an enterprise environment |
| US20140149599A1 (en) * | 2012-11-29 | 2014-05-29 | Ricoh Co., Ltd. | Unified Application Programming Interface for Communicating with Devices and Their Clouds |
| WO2015026314A1 (en) * | 2013-08-19 | 2015-02-26 | Hewlett-Packard Development Company, L.P. | Adaptive network security policies |
| WO2015048598A1 (en) | 2013-09-28 | 2015-04-02 | Mcafee Inc. | Security-connected framework |
-
2014
- 2014-09-28 WO PCT/US2014/057934 patent/WO2015048598A1/en active Application Filing
- 2014-09-28 CN CN201480048580.XA patent/CN105519041B/zh active Active
- 2014-09-28 WO PCT/US2014/057935 patent/WO2015048599A1/en active Application Filing
- 2014-09-28 CN CN201910198004.8A patent/CN109871348B/zh active Active
- 2014-09-28 US US14/913,101 patent/US10609088B2/en active Active
- 2014-09-28 CN CN201480047592.0A patent/CN105684376A/zh not_active Withdrawn
- 2014-09-28 US US14/912,540 patent/US10142373B2/en active Active
-
2020
- 2020-03-30 US US16/835,054 patent/US11005895B2/en active Active
-
2021
- 2021-04-29 US US17/244,279 patent/US11665205B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101201625A (zh) * | 2006-09-28 | 2008-06-18 | 洛克威尔自动控制技术股份有限公司 | 消息引擎 |
| CN101632085A (zh) * | 2007-03-14 | 2010-01-20 | 微软公司 | 企业安全评估共享 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160205142A1 (en) | 2016-07-14 |
| US10609088B2 (en) | 2020-03-31 |
| CN105519041A (zh) | 2016-04-20 |
| CN105519041B (zh) | 2019-03-01 |
| US20210250382A1 (en) | 2021-08-12 |
| US20200228575A1 (en) | 2020-07-16 |
| CN109871348A (zh) | 2019-06-11 |
| CN105684376A (zh) | 2016-06-15 |
| WO2015048598A1 (en) | 2015-04-02 |
| WO2015048599A1 (en) | 2015-04-02 |
| US11005895B2 (en) | 2021-05-11 |
| US11665205B2 (en) | 2023-05-30 |
| US20160212228A1 (en) | 2016-07-21 |
| US10142373B2 (en) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109871348B (zh) | 安全连接的框架 | |
| US11902388B2 (en) | Service-oriented architecture | |
| US10715556B2 (en) | Real-time policy distribution | |
| EP3210146B1 (en) | Security orchestration framework | |
| US20210144157A1 (en) | Threat intelligence on a data exchange layer | |
| US10447714B2 (en) | Context-aware network on a data exchange layer | |
| US11418605B2 (en) | Efficient request-response routing over a data exchange layer | |
| US10205798B2 (en) | Merging multiple system trees over a data exchange layer | |
| US20200403977A1 (en) | One-click reputation adjustment | |
| US10237303B2 (en) | Prevalence-based reputations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Texas, USA Applicant after: MCAFEE, Inc. Address before: California, USA Applicant before: MCAFEE, Inc. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230628 Address after: California, USA Applicant after: MASA ROBRA USA LLC Address before: Texas, USA Applicant before: MCAFEE, Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |