稱空間��,網(wǎng)絡(luò)狀態(tài)域可使用“狀態(tài)(STATUS)”名稱空間�����,且設(shè)備維護(hù)域可使用“MAINT”名稱空間�����。因此����,如果域主站160是聲望域的主站,則它知道處理惡意軟件名稱空間之內(nèi)的消息�����,并忽略所有其它的消息���。這允許每個(gè)域的設(shè)計(jì)者分配消息的集合�����,而不必咨詢現(xiàn)有的域來避免消息的名稱沖突�����。
[0070]例如���,聲望域和設(shè)備維護(hù)域二者可使用諸如D0WNL0ADJJPDATES之類的消息。在聲望域的情況下���,該消息可以是用于從JTI服務(wù)器150檢索現(xiàn)在更新的定義的指令���。在設(shè)備維護(hù)域中,這可以是用于從供應(yīng)商下載操作系統(tǒng)更新的指令���。
[0071]客戶機(jī)120可被配置成交換來自若干DXL域的數(shù)據(jù)����,且可訂閱聲望域和設(shè)備維護(hù)域二者上的消息�����。因此,例如客戶機(jī)120-1用于通過請(qǐng)求批量聲望更新來解析和響應(yīng)于DXL消息D0WNL0AD_UroATES����。在一個(gè)實(shí)施例中,消息請(qǐng)求惡意軟件更新自身可以是DXL消息���。在例如更新很大并且不是實(shí)時(shí)需要的一些情況下���,可在DXL架構(gòu)的外部完成更新的遞送,以預(yù)留DXL以實(shí)現(xiàn)輕量�、高速的消息收發(fā)。
[0072]客戶機(jī)120還可通過聯(lián)系零售商的服務(wù)器并請(qǐng)求更新來了解它應(yīng)當(dāng)解析和響應(yīng)于MAINT:D0WNL0ADJJPDATES����。
[0073]在域主站160被配置為聲望域的主站的情況下,它可能知道忽略不在惡意軟件名稱空間中的所有DXL消息��。然而�,應(yīng)注意單個(gè)物理設(shè)備可被配置成充當(dāng)多個(gè)域的域主站,在該情況下�,可使不同名稱空間中的業(yè)務(wù)量經(jīng)過兩個(gè)不同的子例程。在一些實(shí)施例中��,DXL中介110可被配置成合成來自諸如DXL ESB130上的客戶機(jī)120之類的被給予更少特權(quán)(例如“建議”特權(quán))的多個(gè)DXL網(wǎng)絡(luò)設(shè)備的報(bào)告。
[0074]進(jìn)一步增加可擴(kuò)展性����,可通過將新的或更好的數(shù)據(jù)源與域主站160集成來包含新的或更好的數(shù)據(jù)源。這對(duì)于客戶機(jī)120和其它DXL端點(diǎn)可以是完全透明的�。
[0075]作為非限制性的示例,DXL中介110的附加特征可包括:服務(wù)和位置注冊(cè)表����,用于查找已注冊(cè)的端點(diǎn)、可用的服務(wù)和它們的位置;發(fā)布/訂閱(1:N)���、請(qǐng)求/響應(yīng)(1:1)��、設(shè)備至設(shè)備(1:1)以及推送通知消息收發(fā)接口;中介之間的經(jīng)優(yōu)化的消息傳遞���;目的地感知的消息路由�����;以及中介一中介故障轉(zhuǎn)移���。
[0076]有優(yōu)勢(shì)地����,域主站160不需要關(guān)心每個(gè)DXL端點(diǎn)如何對(duì)待已發(fā)布的消息�����。確切而言��,那是企業(yè)安全策略的問題�。
[0077]作為非限制性的示例,客戶機(jī)120的附加DXL特征可包括:本地消息總線集成API��,用于發(fā)現(xiàn)中介�����、認(rèn)證至DXL�����、以及發(fā)送和接收分類的消息����。
[0078]作為非限制性的示例,上下文感知的網(wǎng)絡(luò)100的附加一般特征可包括:DXL中介和客戶機(jī)配置���、域主站160的管理;端點(diǎn)在DXL ESB 130上的基于策略的授權(quán);基于SSL的安全通信;對(duì)于外部部署的通信的代理服務(wù)器支持�;以及預(yù)先配置有DXL中介功能的域主站應(yīng)用(由此將域主站160和DXL中介110加入到一個(gè)設(shè)備中)。
[0079]圖1A是根據(jù)本說明書的一個(gè)或多個(gè)示例的其中域主站160是聯(lián)合威脅情報(bào)(JTI)服務(wù)器150的示例��,該服務(wù)器在“聲望”域上提供例如對(duì)象聲望服務(wù)��。JTI服務(wù)器150可通信地耦合至DXL中介IlOtJTI服務(wù)器150可以是中間件設(shè)備�����,該中間件設(shè)備被配置成提供聲望服務(wù)����、維持與網(wǎng)絡(luò)對(duì)象有關(guān)的元數(shù)據(jù)(作為非限制性示例,諸如聲望���、流行度以及情報(bào))����、呼出至外部掃描器以獲得對(duì)象的聲望分類���、并向威脅情報(bào)服務(wù)180提供遙測(cè)數(shù)據(jù)。JTI服務(wù)器150可經(jīng)由代理服務(wù)器170與全局威脅情報(bào)服務(wù)180通信�,該通信可包括在DXL ESB 130上的通信或在更傳統(tǒng)的IP網(wǎng)絡(luò)上的通信����。
[0080]有優(yōu)勢(shì)地����,JTI服務(wù)器150可與威脅情報(bào)服務(wù)180相關(guān)地提供眾包的對(duì)象聲望。JTI服務(wù)器150還可提供管理員超越(override)�。這些可包括來自若干企業(yè)的、關(guān)于對(duì)象是否應(yīng)當(dāng)在網(wǎng)絡(luò)上運(yùn)行以及是否將證書視為“干凈”的管理員超越策略的聚集�����。這些還可包括客戶機(jī)側(cè)的結(jié)果�,諸如關(guān)于是否允許或阻止對(duì)象的終端用戶決定的聚集。
[0081]在另一示例中����,JTI服務(wù)器150可跟蹤流行度數(shù)據(jù),包括對(duì)象在上下文感知網(wǎng)絡(luò)100上的流行度����。
[0082]在另一示例中,JTI服務(wù)器150可作為遙測(cè)聚集器/代理服務(wù)器��,以用于將來自不與威脅情報(bào)服務(wù)180直接交互的端點(diǎn)的遙測(cè)結(jié)果聚集并發(fā)送至威脅情報(bào)服務(wù)ISOtJTI服務(wù)器150也可向威脅情報(bào)服務(wù)180貢獻(xiàn)文件元數(shù)據(jù)����,諸如散列值����、數(shù)字簽名數(shù)據(jù)以及文件屬性����。
[0083]JTI服務(wù)器150可接收來自不同客戶機(jī)120的若干這樣的消息,且在一些情況下�����,這些消息可能彼此沖突�����。當(dāng)接收到來自客戶機(jī)120的將對(duì)象標(biāo)識(shí)為惡意軟件的初始報(bào)告時(shí)�����,域主站160可發(fā)布其它客戶機(jī)應(yīng)當(dāng)對(duì)該對(duì)象進(jìn)行附加的仔細(xì)檢查的警告�,諸如在執(zhí)行該對(duì)象之前的深度掃描或請(qǐng)求用戶驗(yàn)證。在其它實(shí)施例中�,域主站160可響應(yīng)于來自客戶機(jī)120的對(duì)于對(duì)象聲望的請(qǐng)求來提供此類信息����。
[0084]如果另外的客戶機(jī)120將該對(duì)象標(biāo)識(shí)為惡意軟件�����,則信心指數(shù)可能越過閾值���。然后JTI服務(wù)器150可發(fā)布諸如命令級(jí)別之類的更高級(jí)別的消息,將該對(duì)象標(biāo)識(shí)為惡意軟件���。如果JTI服務(wù)器150接收到來自不同客戶機(jī)的多個(gè)沖突的報(bào)告��,則合成算法可提供適當(dāng)?shù)膭?dòng)作���。例如,如果一個(gè)或幾個(gè)客戶機(jī)被發(fā)現(xiàn)是報(bào)告與其它客戶機(jī)中的大部分不同的狀態(tài)的離群者��,則離群者可被丟棄����。該合成算法還可考慮特定客戶的過去聲望或基于安裝的硬件或軟件而分配的聲望以進(jìn)行準(zhǔn)確的報(bào)告。
[0085]在域主站160是JTI服務(wù)器150的示例中����,該示例示出了指定用于分配DXL端點(diǎn)特權(quán)的層次結(jié)構(gòu)或其它方案的值���。例如,關(guān)于將對(duì)象指定為惡意軟件�����,客戶機(jī)120可具有“建議”特權(quán)��。例如�,這可能意味著客戶機(jī)120可標(biāo)識(shí)它們認(rèn)為是惡意軟件的對(duì)象,并且可將特定消息指引至JTI服務(wù)器150�����,或可發(fā)布將該對(duì)象標(biāo)識(shí)為惡意軟件的一般消息�。因?yàn)榭蛻魴C(jī)在DXLESB 130上僅具有“建議”特權(quán),所以訂閱聲望更新的其它DXL端點(diǎn)可將該標(biāo)識(shí)視為比來自具有更高特權(quán)(諸如“分配”特權(quán))的DXL網(wǎng)絡(luò)元件的標(biāo)識(shí)權(quán)威性更低���。特權(quán)(尤其是諸如“分配”特權(quán)之類的更高的特權(quán))可通過被提供作為DXL消息的部分的安全證書來認(rèn)證����。
[0086]圖1B是根據(jù)本說明書的一個(gè)或多個(gè)示例的選擇元件和上下文感知網(wǎng)絡(luò)100的網(wǎng)絡(luò)圖�。如圖1B中可見���,可將附加的DXL中介110-2添加至服務(wù)端點(diǎn)120-3和120-4 AXL中介110-2可與第二域主站160-2通信,第二域主站160-2可與域主站160-1共享域數(shù)據(jù)庫162��。
[0087]圖2是根據(jù)本說明書的一個(gè)或多個(gè)示例的公開分布式架構(gòu)的網(wǎng)絡(luò)圖�����。在該示例中�����,DXL中介110-1可被指定為“中樞(hub)”�,而DXL中介110-2���、110-3����、110-4和110-5可被指定為“輻(spoke)”����。在一示例中,通過輻的所有DXL業(yè)務(wù)量將被轉(zhuǎn)發(fā)至中樞�,該中樞將該業(yè)務(wù)量分發(fā)至其它輻。可通過任何合適的手段將DXL中介110指定為中樞����,諸如基于MAC ID、IP地址或與域主站160的網(wǎng)絡(luò)接近程度來選擇中樞����。
[0088]如果DXL中介110-1離線,則可能至少臨時(shí)地需要另一中樞���。在該情況下��,可選擇另一中樞����。當(dāng)DXL中介110-1恢復(fù)在線時(shí)���,取決于網(wǎng)絡(luò)布局和設(shè)計(jì)考慮��,它可恢復(fù)其作為中樞的職責(zé)����,或可充當(dāng)輻�。
[0089]在另一示例中���,多個(gè)輻在有效使用時(shí)可與DXL中介110-1形成臨時(shí)的網(wǎng)狀網(wǎng)絡(luò)。在其它實(shí)施例中����,DXL中介110可被配置成全時(shí)地以網(wǎng)狀配置操作。
[0090]通過跨越全異的網(wǎng)絡(luò)橋接DXLESB 130來提供附加的可擴(kuò)展性�����,從而使數(shù)據(jù)能在更大的網(wǎng)絡(luò)(包括因特網(wǎng))上交換�����。圖3是根據(jù)本說明書的一個(gè)或多個(gè)示例的跨越傳統(tǒng)企業(yè)邊界操作的示例DXL網(wǎng)絡(luò)的網(wǎng)絡(luò)圖����。在該示例中��,第一企業(yè)302包括DXL中介110-2��,該DXL中介110-2通信地耦合至域主站160和企業(yè)交換主站(ESM)330��。在一個(gè)實(shí)施例中�����,域主站160和ESM 330可在傳統(tǒng)的(非DXL)網(wǎng)絡(luò)接口312上耦合。域主站160可連接至IP網(wǎng)絡(luò)310����。IP網(wǎng)絡(luò)310可以是用于交換從多個(gè)端點(diǎn)發(fā)出的數(shù)據(jù)或信息的任何通信平臺(tái),作為非限制性的示例����,多個(gè)端點(diǎn)包括:給終端用戶提供電子交互能力的因特網(wǎng)架構(gòu);簡(jiǎn)易老式電話系統(tǒng)(POTS)j#端用戶可使用該系統(tǒng)來執(zhí)行事務(wù),其中終端用戶可由人工接線員輔助或者可手動(dòng)地向電話或其它合適的電子設(shè)備中鍵入數(shù)據(jù);任何分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)���,在系統(tǒng)中的任何兩個(gè)節(jié)點(diǎn)之間提供通信接口或交換�����;或任何局域網(wǎng)(LAN)����、城域網(wǎng)(MAN)�����、廣域網(wǎng)(WAN)����、無線局域網(wǎng)(WLAN)���、虛擬專用網(wǎng)絡(luò)(VPN)、內(nèi)聯(lián)網(wǎng)��、或便于網(wǎng)絡(luò)或電話環(huán)境中的通信的任何其它合適的架構(gòu)或系統(tǒng)�。
[0091]第二企業(yè)304也包括DXL中介110-1 AXL中介110可在DXL ESB 130上彼此通信。在該示例中���,DXL ESB 130由IP網(wǎng)絡(luò)310物理地提供�,但DXL業(yè)務(wù)量可與諸如http和其它以用戶為中心的網(wǎng)絡(luò)業(yè)務(wù)量之類的其它類型的因特網(wǎng)業(yè)務(wù)量不同�,其原因例如因?yàn)樗窃诓煌亩丝诨騾f(xié)議上被提供�����。
[0092]DXL中介110-1也可耦合至例如網(wǎng)絡(luò)服務(wù)提供方(NSP)340����、反病毒代理350、企業(yè)防火墻360以及高級(jí)威脅檢測(cè)設(shè)備(ATD)370���。
[0093]ATD 370可以是運(yùn)行該高級(jí)檢測(cè)軟件的專用設(shè)備或通用計(jì)算機(jī)�。在一個(gè)示例中,ATD 370被配置成分析不具有現(xiàn)有聲望的對(duì)象���,并基于該分析向那些對(duì)象分配威脅等級(jí)�����。
[0094]如該圖所證實(shí)���,DXLESB 130可用于集成異構(gòu)或其它不相關(guān)(甚至跨越不同企業(yè))的網(wǎng)絡(luò)架構(gòu)。在示例中��,第二企業(yè)304可以是第三方JTI服務(wù)提供方���,向第一企業(yè)302遞送ATD服務(wù)�����。
[0095]圖4是根據(jù)本說明書的一個(gè)或多個(gè)示例的上下文感知網(wǎng)絡(luò)400的網(wǎng)絡(luò)圖����。在示例中����,上下文感知網(wǎng)絡(luò)400與上下文感知網(wǎng)絡(luò)100基本相似�����。然而���,在上下文感知網(wǎng)絡(luò)400中,域主站160是公共信息模型(QM)服務(wù)器410�����。
[0096]根據(jù)本說明書的一個(gè)或多個(gè)示例���,CIM是開放和可擴(kuò)展的邏輯數(shù)據(jù)庫方案����,被設(shè)計(jì)成主控不同類型的情況和環(huán)境信息����。CIM可提供新對(duì)象����、構(gòu)建塊以及數(shù)據(jù)類型的強(qiáng)健表示。作為非限制性的示例��,(ΠΜ的核心實(shí)體包括資產(chǎn)、身份�、應(yīng)用和位置。
[0097](ΠΜ可提供多對(duì)多關(guān)系和驅(qū)動(dòng)多種使用情況的構(gòu)建塊�。(ΠΜ還可支持高級(jí)數(shù)據(jù)可視化。有優(yōu)勢(shì)地��,根據(jù)本說明書的