戶(hù)機(jī)120-4是桌面計(jì)算機(jī)�。
[0042]DXL ESB 130可以是任何類(lèi)型的物理或虛擬網(wǎng)絡(luò)連接,適當(dāng)?shù)臄?shù)據(jù)可在該物理或虛擬網(wǎng)絡(luò)連接上通過(guò)�。目前沒(méi)有用于ESB的固定或全球標(biāo)準(zhǔn),且如本申請(qǐng)中所使用的該術(shù)語(yǔ)旨在廣泛地涵蓋適用于消息交換的任何網(wǎng)絡(luò)技術(shù)或布局��。在一個(gè)實(shí)施例中,在端口 8883上交換消息隊(duì)列遙測(cè)傳輸(MQTT)消息�����。在一些情況下��,客戶(hù)機(jī)120���、DXL中介110、域主站160�����、數(shù)據(jù)庫(kù)162�����、JTI服務(wù)器(圖1A)����、代理服務(wù)器170(圖1A)以及威脅情報(bào)服務(wù)180(圖1A)(均作為非限制性示例)可被稱(chēng)為“網(wǎng)絡(luò)元件”。
[0043]被配置成在DXL ESB 130上操作或與DXL ESB 130—起操作的網(wǎng)絡(luò)元件可被稱(chēng)為“DXL端點(diǎn)”�����。在一示例中,這些端點(diǎn)可包括客戶(hù)機(jī)120��、DXL中介110以及域主站160�����。
[0044]DXL中介110可被配置成在DXL ESB 130上提供DXL消息收發(fā)服務(wù)����,諸如保持DXL路由表和遞送消息。
[0045]DXL中介110提供DXL服務(wù)190���,在一示例中����,DXL服務(wù)190是用于向DXL端點(diǎn)提供DXLESB 130的網(wǎng)絡(luò)服務(wù)���。
[0046]域主站160可被配置成通信地耦合至DXL中介130���。域主站160可在諸如數(shù)據(jù)庫(kù)162之類(lèi)的數(shù)據(jù)庫(kù)中保持域數(shù)據(jù)。在該示例中�,域主站160和數(shù)據(jù)庫(kù)162被示為兩個(gè)不同的實(shí)體,但應(yīng)當(dāng)注意�,許多配置都是可能的�����。例如�����,數(shù)據(jù)庫(kù)162可駐留在域主站160本地的盤(pán)驅(qū)動(dòng)器上,或可分開(kāi)地或遠(yuǎn)程地被托管���。作為示例��,公開(kāi)了數(shù)據(jù)庫(kù)162�,該數(shù)據(jù)庫(kù)可以是任何合適的數(shù)據(jù)存儲(chǔ)��,作為非限制性示例�����,包括結(jié)構(gòu)數(shù)據(jù)庫(kù)或關(guān)系數(shù)據(jù)庫(kù)����、分布式數(shù)據(jù)庫(kù)或平面文件。
[0047]作為操作性示例�����,諸如膝上型計(jì)算機(jī)120-3之類(lèi)的客戶(hù)機(jī)連接至LAN并接收新的IP地址。此時(shí)��,膝上型計(jì)算機(jī)120-3的若干屬性變得為其它網(wǎng)絡(luò)元件所知�,作為非限制性示例,這些屬性包括其IP地址�����、與其操作系統(tǒng)有關(guān)的信息���、以及登錄用戶(hù)的用戶(hù)名�。為便于引用��,在本示例通篇中��,這些屬性被稱(chēng)為“客戶(hù)機(jī)屬性”�。客戶(hù)機(jī)屬性是安全情報(bào)數(shù)據(jù)的實(shí)施例����,并且是虛擬機(jī)120-2所感興趣的,虛擬機(jī)120-2先前已經(jīng)向域主站160訂閱安全情報(bào)數(shù)據(jù)主題�。
[0048]可通過(guò)兩個(gè)不同的源(即通過(guò)膝上型計(jì)算機(jī)120-3和通過(guò)網(wǎng)絡(luò)安全傳感器120-1)向DXL同時(shí)報(bào)告客戶(hù)機(jī)屬性���。然而,網(wǎng)絡(luò)安全傳感器120-1可能未報(bào)告用戶(hù)名值�����。它也可能報(bào)告與膝上型計(jì)算機(jī)120-3所報(bào)告的值不同的OS值��。例如�����,這可能是因?yàn)榫W(wǎng)絡(luò)安全傳感器120-1正在遠(yuǎn)程地感測(cè)數(shù)據(jù)�,并且可能不能像膝上型計(jì)算機(jī)120-3自身那樣可靠地確定這些值�。
[0049]域主站160負(fù)責(zé)“客戶(hù)機(jī)系統(tǒng)”數(shù)據(jù)域,該數(shù)據(jù)域包含客戶(hù)機(jī)屬性�����。當(dāng)膝上型計(jì)算機(jī)120-3和客戶(hù)機(jī)120-1發(fā)布包含客戶(hù)機(jī)屬性的消息時(shí)���,這兩個(gè)消息首先被路由至DXL中介110 AXL中介110然后可將客戶(hù)機(jī)屬性轉(zhuǎn)發(fā)給域主站160����。
[0050]域主站160可將從兩個(gè)源接收的客戶(hù)機(jī)屬性組合并調(diào)適成單個(gè)真實(shí)記錄,包含分別用于IP地址����、操作系統(tǒng)和用戶(hù)名的單個(gè)值。具體地�����,該域主站可通過(guò)其自己的邏輯和可能的先前配置確定�,對(duì)于OS值,膝上型計(jì)算機(jī)120-3比網(wǎng)絡(luò)安全傳感器120-1更值得信任�����。因此����,當(dāng)網(wǎng)絡(luò)安全傳感器120-1與膝上型計(jì)算機(jī)120-3沖突時(shí),域主站160可忽略從網(wǎng)絡(luò)安全傳感器120-1接收的“操作系統(tǒng)”值�。
[0051]經(jīng)調(diào)適的客戶(hù)機(jī)屬性被持續(xù)地存儲(chǔ)在域數(shù)據(jù)庫(kù)162中。域主站160然后可在DXLESB 130上發(fā)布客戶(hù)機(jī)屬性�����。DXL中介110然后可將發(fā)布的消息轉(zhuǎn)發(fā)至虛擬機(jī)120-2����,該虛擬機(jī)接收客戶(hù)機(jī)屬性的單個(gè)和最準(zhǔn)確的值��。
[0052]隨后��,客戶(hù)機(jī)120-4可在DXL ESB 130上發(fā)送DXL請(qǐng)求���,查詢(xún)關(guān)于膝上型計(jì)算機(jī)120-3的客戶(hù)機(jī)屬性。DXL中介110接收該請(qǐng)求并將其自動(dòng)路由至域主站160�。域主站160從域數(shù)據(jù)庫(kù)162檢索客戶(hù)機(jī)屬性并發(fā)送DXL響應(yīng)消息,DXL中介110接收該DXL響應(yīng)消息并將其轉(zhuǎn)發(fā)至客戶(hù)機(jī)120-4����。注意,雖然本示例中的“發(fā)布一訂閱”事務(wù)是一對(duì)多���,但“請(qǐng)求一響應(yīng)”事務(wù)是一對(duì)一 O
[0053]在一些實(shí)施例中,DXL的特征在于允許多個(gè)網(wǎng)絡(luò)元件的松散集成或耦合的消息收發(fā)����。松散耦合可減少每個(gè)DXL端點(diǎn)必須對(duì)其它DXL端點(diǎn)作出的假定,諸如某些能力�����、硬件或軟件的存在。根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例�,DXL是“即插即用” API,并且可通過(guò)使上下文能在產(chǎn)品之間共享來(lái)便于上下文感知和自適應(yīng)安全���。
[0054]進(jìn)一步根據(jù)本說(shuō)明書(shū)的一個(gè)或多個(gè)示例�,DXL是具有多個(gè)部署選項(xiàng)的彈性架構(gòu)并且是高度可縮放的�。還可開(kāi)放地設(shè)計(jì)DXL,并且該DXL允許第三方集成���。
[0055]DXL ESB 130可基于兩層協(xié)議����?���!暗住睂邮前踩摹⒖煽康?���、低延遲時(shí)間的數(shù)據(jù)傳輸結(jié)構(gòu),該數(shù)據(jù)傳輸結(jié)構(gòu)將多種多樣的安全元件連接為網(wǎng)或以中心輻射式配置連接多種多樣的安全元件�����。“頂”層是可擴(kuò)展的數(shù)據(jù)交換框架�����,該數(shù)據(jù)交換框架被配置成便于可信的數(shù)據(jù)表不�����。
[0056]在示例中�����,DXL端點(diǎn)連接至DXLESB 130����。每個(gè)DXL端點(diǎn)被分配不同的身份,并且在啟動(dòng)時(shí)向DXL ESB 130認(rèn)證自身(例如經(jīng)由證書(shū)或其它安全令牌KDXL端點(diǎn)可經(jīng)由DXL ESB130建立一對(duì)一的通信(例如通過(guò)發(fā)送尋址至具有特定身份的DXL端點(diǎn)的DXL消息)����。這使得DXL端口能夠彼此通信���,而不必建立點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)連接�����。在一示例中���,這與個(gè)人對(duì)個(gè)人的電話類(lèi)似���。
[0057]在另一示例中,DXL可提供發(fā)布一訂閱框架�,其中某些DXL端點(diǎn)“訂閱”至某種類(lèi)型的消息。當(dāng)DXL端點(diǎn)在DXL ESB 130上“發(fā)布”該類(lèi)型的消息時(shí)����,所有訂戶(hù)可處理該消息,而非訂戶(hù)可安全地忽略它�����。在一示例中���,這與播客訂閱服務(wù)類(lèi)似�����。在又一示例中����,DXL可提供請(qǐng)求一響應(yīng)框架。在該情況下�����,一個(gè)DXL端點(diǎn)可在DXL ESB 130上發(fā)布請(qǐng)求���。接收該請(qǐng)求的適當(dāng)?shù)腄XL端點(diǎn)可提供響應(yīng)�。有利地�,該響應(yīng)可由比原始發(fā)布該請(qǐng)求的DXL端點(diǎn)更多的端點(diǎn)使用。例如����,如果客戶(hù)機(jī)120發(fā)布對(duì)于對(duì)象的聲望的請(qǐng)求,則JTI服務(wù)器150可通過(guò)發(fā)布該聲望來(lái)作出響應(yīng)��。因此��,找到該對(duì)象的實(shí)例的其它客戶(hù)機(jī)120可受益于該響應(yīng)��。例如����,客戶(hù)機(jī)120可維持在網(wǎng)絡(luò)上發(fā)布的聲望的綜合高速緩存。如果客戶(hù)機(jī)120然后新遇到該網(wǎng)絡(luò)上已知的對(duì)象�,則客戶(hù)機(jī)120已經(jīng)具有該對(duì)象的最新的聲望。
[0058]可使用適合于連接安全元件的特定基礎(chǔ)設(shè)施的多種多樣的軟件元件�、模式和構(gòu)造來(lái)實(shí)現(xiàn)DXL ESB 130。例如���,在物理企業(yè)網(wǎng)絡(luò)中��,可部署由多個(gè)互連的消息中介組成的消息收發(fā)中間件�����,其中端點(diǎn)連接至最近的中介���。在虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施中,該結(jié)構(gòu)可充分利用管理程序提供的通道��。
[0059]如上所述��,DXLESB 130可被配置成在原本自治的動(dòng)態(tài)組裝的DXL端點(diǎn)之間提供實(shí)時(shí)的�����、受信的數(shù)據(jù)交換�。因此���,在一示例中,DXL ESB 130的概念框架可包括兩個(gè)虛擬部件:
[0060]a.安全相關(guān)數(shù)據(jù)的廣泛集合被分類(lèi)成“數(shù)據(jù)域”��。每個(gè)數(shù)據(jù)域是實(shí)體�、屬性和相互關(guān)系的緊密相關(guān)子集。
[0061]b.域主站160是每個(gè)域的被分配數(shù)據(jù)所有權(quán)的數(shù)據(jù)提供方�。域主站160充當(dāng)原始“情報(bào)”數(shù)據(jù)的一手源與諸如客戶(hù)機(jī)120之類(lèi)的數(shù)據(jù)消費(fèi)者端點(diǎn)之間的中間受信數(shù)據(jù)中介。情報(bào)數(shù)據(jù)可從數(shù)據(jù)生產(chǎn)者端點(diǎn)流向適當(dāng)?shù)挠蛑髡?60�����,然后被中繼至諸如客戶(hù)機(jī)120之類(lèi)的數(shù)據(jù)消費(fèi)者端點(diǎn)�����。注意�����,在本示例中�����,“數(shù)據(jù)生產(chǎn)者”和“數(shù)據(jù)消費(fèi)者”的概念是上下文角色����,并且不一定是物理設(shè)備�?����?蛻?hù)機(jī)120在一種上下文中可以是數(shù)據(jù)生產(chǎn)者�����,而在另一上下文中可以是數(shù)據(jù)消費(fèi)者�����。
[0062]在示例中�,域主站160可與數(shù)據(jù)提供方端點(diǎn)建立一手信任關(guān)系�����。這使得它能夠測(cè)定它從任何特定源接收的數(shù)據(jù)(諸如聲望數(shù)據(jù))的質(zhì)量(包括準(zhǔn)確度和可靠性)���。當(dāng)從諸如不同客戶(hù)機(jī)120之類(lèi)的多個(gè)(獨(dú)立)源接收到重復(fù)的零碎數(shù)據(jù)時(shí)���,域主站160可調(diào)和該數(shù)據(jù)并解決沖突��,以導(dǎo)出每個(gè)對(duì)象的單個(gè)最著名的真實(shí)記錄(諸如例如聲望)����。這確??蛻?hù)機(jī)120接收一致數(shù)據(jù)。
[0063]域主站160還可將數(shù)據(jù)轉(zhuǎn)換成廣為人知的標(biāo)準(zhǔn)化的表示����。可在DXLESB 130上發(fā)布該表示�,使得所有客戶(hù)機(jī)120接收可使用的數(shù)據(jù)。
[0064]有優(yōu)勢(shì)地����,即使在需要一對(duì)一通信時(shí),DXL端點(diǎn)也不需要知道什么設(shè)備發(fā)出數(shù)據(jù)����、或者不需要與其它DXL端點(diǎn)建立點(diǎn)對(duì)點(diǎn)連接。相反��,DXL客戶(hù)機(jī)軟件或DXL擴(kuò)展使得DXL端點(diǎn)能夠使用其自己的本地API來(lái)查詢(xún)和接收數(shù)據(jù)�����。為了高效地增強(qiáng)網(wǎng)絡(luò),DXL端點(diǎn)可在本地高速緩存接收到的數(shù)據(jù)���,這些數(shù)據(jù)可被信任直到被經(jīng)授權(quán)的DXL消息取代為止����。例如��,客戶(hù)機(jī)120可訂閱已發(fā)布的對(duì)象的聲望���。當(dāng)響應(yīng)于請(qǐng)求一響應(yīng)事務(wù)或在發(fā)布一訂閱模型中接收到對(duì)象聲望時(shí),客戶(hù)機(jī)120可將該聲望存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中���。該聲望可被信任直到被取代�,因?yàn)镈XL主站160被配置成每當(dāng)接收到更新的聲望時(shí)發(fā)布聲望更新��。因此�,來(lái)自客戶(hù)機(jī)120的頻繁的個(gè)體數(shù)據(jù)請(qǐng)求變成批量數(shù)據(jù)訂閱,因?yàn)橐寻l(fā)布的聲望對(duì)訂閱聲望的所有客戶(hù)機(jī)120可用���。這樣可有優(yōu)勢(shì)地減少數(shù)據(jù)交換的等待時(shí)間�。
[0065]在另一示例中�����,DXL中介110提供發(fā)現(xiàn)和位置服務(wù),該服務(wù)通知DXL端點(diǎn)關(guān)于應(yīng)當(dāng)將數(shù)據(jù)查詢(xún)和訂閱請(qǐng)求路由至的特定域主站160���。
[0066]有優(yōu)勢(shì)地��,本申請(qǐng)中描述的示例DXL架構(gòu)是靈活的����。例如����,個(gè)體數(shù)據(jù)源可連接至網(wǎng)絡(luò)或從網(wǎng)絡(luò)斷開(kāi),而不影響數(shù)據(jù)消費(fèi)者��。域主站160可簡(jiǎn)單地依賴(lài)于任何可用的數(shù)據(jù)源�����。此夕卜����,該框架不對(duì)物理位置或具體地域主站160或域端點(diǎn)如何部署或配置進(jìn)行假定。只要每個(gè)網(wǎng)絡(luò)元件提供有效的DXL消息收發(fā),就可正確地路由業(yè)務(wù)量����。
[0067]在以上示例中,DXL主站160是邏輯上的單件�����,但應(yīng)注意�����,也可將DXL主站160實(shí)現(xiàn)為例如分布式的多個(gè)服務(wù)部件的集合�����,其中每個(gè)部件服務(wù)該域的子集�����,或提供在別處運(yùn)行的服務(wù)的本地?cái)?shù)據(jù)副本�。這樣的配置可增強(qiáng)規(guī)模����、性能和可靠性。這也可允許透明地重新安置服務(wù)�。
[0068]進(jìn)一步有優(yōu)勢(shì)地�����,本申請(qǐng)中提供的DXL框架是可擴(kuò)展的��。例如��,可通過(guò)創(chuàng)建新的數(shù)據(jù)域來(lái)簡(jiǎn)單地提供與新實(shí)體和關(guān)系有關(guān)的數(shù)據(jù)�?��?赏ㄟ^(guò)定義用于該域的新消息類(lèi)型來(lái)簡(jiǎn)單地提供現(xiàn)有數(shù)據(jù)域的新屬性和關(guān)系���。
[0069]在一示例中,域主站160具有對(duì)惡意軟件數(shù)據(jù)的域的責(zé)任����。為了將諸如網(wǎng)絡(luò)狀態(tài)和設(shè)備維護(hù)之類(lèi)的消息與“惡意軟件”域區(qū)分開(kāi),可針對(duì)每個(gè)域定義名稱(chēng)空間�。例如,聲望域可使用“惡意軟件(MALWARE)”名