面向服務(wù)的架構(gòu)的制作方法
【專利說明】面向服務(wù)的架構(gòu)
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)要求2013年9月28日提交的發(fā)明名稱為“面向服務(wù)的架構(gòu)”的美國(guó)臨時(shí)申請(qǐng)61 /884,026的優(yōu)先權(quán),該臨時(shí)申請(qǐng)通過引用被結(jié)合在本申請(qǐng)中。
技術(shù)領(lǐng)域
[0003]本申請(qǐng)涉及企業(yè)安全領(lǐng)域,更具體涉及在數(shù)據(jù)交換層上的面向服務(wù)的架構(gòu)。
【背景技術(shù)】
[0004]企業(yè)服務(wù)總線(ESB)是基于軟件的網(wǎng)絡(luò)架構(gòu),該網(wǎng)絡(luò)架構(gòu)在面向服務(wù)的架構(gòu)上提供數(shù)據(jù)交換的媒介。在一些實(shí)施例中,ESB是客戶機(jī)一服務(wù)器軟件架構(gòu)的特殊情況,其中客戶機(jī)可通過服務(wù)器來路由消息。
[0005]提供給用戶的軟件、二進(jìn)制文件、可執(zhí)行檔、廣告、web頁、文檔、宏、可執(zhí)行對(duì)象以及其它數(shù)據(jù)(統(tǒng)稱為“可執(zhí)行對(duì)象”)可能包括被惡意軟件利用的安全缺陷和隱私泄漏。如本申請(qǐng)文件通篇中所使用,惡意軟件(“malware”)可包括病毒、木馬、僵尸程序(zombie)、隱匿程序(rootkit)、后門(backdoor)、婦蟲(worm)、間謀軟件(8口7?^6)、廣告軟件(8(1?^6)、勒索軟件(“瓜仙0111冊(cè)代”)、撥號(hào)器、有效載荷、惡意瀏覽器助手對(duì)象、網(wǎng)絡(luò)跟蹤器((3001^6)、記錄器或相似的應(yīng)用或應(yīng)用的部分,這些應(yīng)用或應(yīng)用的部分被設(shè)計(jì)成進(jìn)行可能不希望有的動(dòng)作,作為非限制性示例,這些可能不想要的動(dòng)作包括數(shù)據(jù)損毀、隱蔽數(shù)據(jù)收集、隱蔽通信、瀏覽器劫持、網(wǎng)絡(luò)代理劫持或重定向、隱蔽跟蹤、數(shù)據(jù)記錄、鍵盤記錄、過度或有意妨礙刪除、聯(lián)系人收集、不希望有的對(duì)優(yōu)質(zhì)服務(wù)的使用、以及未經(jīng)授權(quán)的自傳播。在一些情況下,惡意軟件還可包括包含導(dǎo)致或使能惡意軟件行為的無意安全缺陷的合法軟件?!皭阂廛浖袨椤北欢x為使應(yīng)用合乎惡意軟件或灰色軟件的標(biāo)準(zhǔn)的任何行為。一些現(xiàn)有技術(shù)系統(tǒng)被配置成例如通過維持已知惡意軟件的數(shù)據(jù)庫來標(biāo)識(shí)和阻擋惡意軟件。
[0006]除了可執(zhí)行對(duì)象之外,計(jì)算設(shè)備可能遇到靜態(tài)對(duì)象,靜態(tài)對(duì)象并不意在改變計(jì)算機(jī)的操作狀態(tài)。作為類,可執(zhí)行對(duì)象和靜態(tài)對(duì)象可被簡(jiǎn)稱為“對(duì)象”。企業(yè)安全關(guān)注的問題是多個(gè)對(duì)象的惡意軟件狀態(tài)的分類。
【附圖說明】
[0007]在與附圖一起閱讀時(shí),可從以下詳細(xì)說明最好地理解本公開。要強(qiáng)調(diào)的是,根據(jù)產(chǎn)業(yè)中的標(biāo)準(zhǔn)實(shí)踐,多種特征未按比例繪制并僅用于說明目的。實(shí)際上,出于討論清楚的目的,可任意地增大或減小多種特征的尺寸。
[0008]圖1是根據(jù)本說明書的一個(gè)或多個(gè)示例的具有DXL能力的上下文感知(context-aware)網(wǎng)絡(luò)的網(wǎng)絡(luò)圖。
[0009]圖1A是根據(jù)本說明書的一個(gè)或多個(gè)示例的其中域主站是聯(lián)合威脅情報(bào)(JTI)服務(wù)器的示例。
[0010]圖1B是根據(jù)本說明書的一個(gè)或多個(gè)示例的選擇元件和上下文感知網(wǎng)絡(luò)的網(wǎng)絡(luò)圖。
[0011]圖2是根據(jù)本說明書的一個(gè)或多個(gè)示例的公開分布式架構(gòu)的網(wǎng)絡(luò)圖。
[0012]圖3是根據(jù)本說明書的一個(gè)或多個(gè)示例的跨越傳統(tǒng)企業(yè)邊界操作的示例DXL網(wǎng)絡(luò)的網(wǎng)絡(luò)圖。
[0013]圖4是根據(jù)本說明書的一個(gè)或多個(gè)示例的上下文感知網(wǎng)絡(luò)400的網(wǎng)絡(luò)圖。
[0014]圖5是根據(jù)本說明書的一個(gè)或多個(gè)示例的DXL中介的框圖。
[0015]圖6是根據(jù)本說明書的一個(gè)或多個(gè)示例的(ΠΜ服務(wù)器的框圖。
[0016]圖7是根據(jù)本說明書的一個(gè)或多個(gè)示例的域主站160的框圖。
[0017]圖8是根據(jù)本說明書的一個(gè)或多個(gè)示例的客戶機(jī)的框圖。
[0018]圖9是示出根據(jù)本說明書的一個(gè)或多個(gè)示例的以分層方式來評(píng)估對(duì)象的流程圖。
[0019]圖10是根據(jù)本說明書的一個(gè)或多個(gè)示例的由客戶機(jī)120執(zhí)行的方法的流程圖。
[0020]圖10A是根據(jù)本說明書的一個(gè)或多個(gè)示例實(shí)施例的與圖10的方法相關(guān)地由JTI月艮務(wù)器執(zhí)行的方法的流程圖。
[0021]圖11是根據(jù)本說明書的一個(gè)或多個(gè)示例的JTI服務(wù)器服務(wù)于聲望請(qǐng)求的方法的流程圖。
[0022]圖12是根據(jù)本說明書的一個(gè)或多個(gè)示例的對(duì)圖10A的方法的增強(qiáng)的流程圖。
[0023]圖13是根據(jù)本說明書的一個(gè)或多個(gè)示例的在DXLESB上注冊(cè)服務(wù)的示例方法的流程圖。
[0024]圖14是根據(jù)本說明書的一個(gè)或多個(gè)示例的服務(wù)注冊(cè)表記錄的框圖。
[0025]圖15是根據(jù)本說明書的一個(gè)或多個(gè)示例的與維持服務(wù)注冊(cè)表相關(guān)地由DXL中介執(zhí)行的示例方法的流程圖。
[0026]圖16是根據(jù)本說明書的一個(gè)或多個(gè)示例的在接收到來自客戶機(jī)的DXL請(qǐng)求時(shí)由DXL中介執(zhí)行的方法的流程圖。
[0027]圖17和17A示出根據(jù)本說明書的一個(gè)或多個(gè)示例的示例服務(wù)架構(gòu)。
[0028]圖18是根據(jù)本說明書的一個(gè)或多個(gè)示例的網(wǎng)絡(luò)交互的框圖。
[0029]圖19是根據(jù)本說明書的一個(gè)或多個(gè)示例的公開多個(gè)信號(hào)的通過的信號(hào)流圖。
[0030]實(shí)施例的詳細(xì)描述
[0031]
[0032]在示例中,公開了用于在發(fā)布/訂閱框架上提供面向服務(wù)的架構(gòu)(包括請(qǐng)求/響應(yīng))的系統(tǒng)和方法。在一個(gè)實(shí)施例中,公開了一種系統(tǒng),該系統(tǒng)用于以可靠、可縮放的方式在發(fā)布/訂閱消息收發(fā)框架上添加層,以實(shí)現(xiàn)諸如點(diǎn)對(duì)點(diǎn)(請(qǐng)求/響應(yīng))和查詢可用服務(wù)的能力之類的先進(jìn)消息收發(fā)。
[0033]本公開的多個(gè)示例
[0034]以下公開提供許多不同的實(shí)施例或示例,用于實(shí)現(xiàn)本公開的不同特征。以下描述了多個(gè)部件和安排的具體示例,以簡(jiǎn)化本公開。當(dāng)然,這些僅僅是示例,不是為了限制。此夕卜,本公開可在多個(gè)示例中重復(fù)參考標(biāo)號(hào)和/或字母。該重復(fù)是出于簡(jiǎn)單和清楚的目的,其本身并不規(guī)定所討論的各個(gè)實(shí)施例和/或配置之間的關(guān)系。
[0035]不同實(shí)施例可具有不同的優(yōu)勢(shì),沒有特定優(yōu)勢(shì)是任何實(shí)施例必須有的。
[0036]在日益異構(gòu)的軟件生態(tài)系統(tǒng)中,企業(yè)可能面臨新的和增強(qiáng)的安全挑戰(zhàn)和惡意軟件威脅。這產(chǎn)生了需要在原本自治的多個(gè)網(wǎng)絡(luò)元件之間實(shí)時(shí)交換威脅情報(bào)的情形。增加的共享可提高設(shè)備之間的安全性,這些設(shè)備原本在它們自己的安全“倉(cāng)(silo)”中操作。
[0037]本說明書的系統(tǒng)和方法通過跨越多個(gè)數(shù)據(jù)源提供標(biāo)準(zhǔn)化的數(shù)據(jù)表示、并保護(hù)由異類的多個(gè)源共享的數(shù)據(jù)的質(zhì)量,來解決這樣的挑戰(zhàn)。
[0038]上下文感知計(jì)算(CAC)是一種計(jì)算方式,其中使用與人、地點(diǎn)和事物有關(guān)的情況和環(huán)境信息來預(yù)料及時(shí)需要并主動(dòng)地提供豐富的、情況感知的、以及可使用的功能和體驗(yàn)。上下文感知計(jì)算依賴于捕獲在系統(tǒng)正在運(yùn)行時(shí)的那個(gè)時(shí)刻時(shí)與世界有關(guān)的數(shù)據(jù)。
[0039]根據(jù)本說明書的一個(gè)或多個(gè)示例,“上下文感知網(wǎng)絡(luò)”是互連的多個(gè)服務(wù)的自適應(yīng)系統(tǒng)(包括例如安全系統(tǒng)),互連的這些服務(wù)通信并共享信息以通過個(gè)體產(chǎn)品和/或集體作出實(shí)時(shí)、準(zhǔn)確的決定。根據(jù)示例,網(wǎng)絡(luò)、端點(diǎn)、數(shù)據(jù)庫、應(yīng)用和其它安全解決方案不再作為單獨(dú)的“倉(cāng)”而操作,而是作為一個(gè)同步的、實(shí)時(shí)的、上下文感知的和自適應(yīng)的安全系統(tǒng)而操作。
[0040]在示例中,多個(gè)網(wǎng)絡(luò)元件經(jīng)由數(shù)據(jù)交換層(DXL)彼此連接,數(shù)據(jù)交換層是一種類型的ESB,它適合在其它事物之間交換安全相關(guān)消息。如本申請(qǐng)中使用,“網(wǎng)絡(luò)元件”包括用于在網(wǎng)絡(luò)環(huán)境中交換信息的任何類型的客戶機(jī)或服務(wù)器(例如視頻服務(wù)器、web服務(wù)器等等)、路由器、交換機(jī)、網(wǎng)關(guān)、橋、負(fù)載均衡器、防火墻、內(nèi)聯(lián)服務(wù)節(jié)點(diǎn)、代理服務(wù)器、網(wǎng)絡(luò)設(shè)備、處理器、模塊或任何其它合適的設(shè)備、部件、元件或?qū)ο?。更具體地,DXL端點(diǎn)是在DXL ESB上交互的網(wǎng)絡(luò)元件。DXL端點(diǎn)可跨越顧客網(wǎng)絡(luò)分布,并以受信任的、安全和可靠的方式“實(shí)時(shí)地”通信。這可提供增強(qiáng)的自動(dòng)化和改進(jìn)的安全服務(wù)。
[0041]在示例中,DXL端點(diǎn)被部署在網(wǎng)絡(luò)內(nèi)的多個(gè)戰(zhàn)略位置處,以用于截取正在進(jìn)行的業(yè)務(wù)活動(dòng)、檢查并解釋該業(yè)務(wù)活動(dòng)、并最終確定它是否經(jīng)過授權(quán)(例如,它是否與企業(yè)安全策略一致)。在一些情況下,網(wǎng)絡(luò)元件必須“在帶內(nèi)(in-band)”作出這些決定,暫時(shí)掛起該業(yè)務(wù)活動(dòng),并“在機(jī)器實(shí)際時(shí)間”中的等待時(shí)間足夠低,以避免該業(yè)務(wù)活動(dòng)中的顯著的用戶可感知的延遲。
[0042]在一些情況下,網(wǎng)絡(luò)元件可能僅通過它們自己的獨(dú)立分析和觀測(cè)和經(jīng)由定期的定義更新而獲得對(duì)安全數(shù)據(jù)的獨(dú)立訪問,定期的定義更新例如可按周進(jìn)行以作為更新的惡意軟件定義。
[0043]因?yàn)榫W(wǎng)絡(luò)元件通常是異構(gòu)的并且可能以臨時(shí)或自組織方式被部署(尤其在現(xiàn)代網(wǎng)絡(luò)中),所以實(shí)時(shí)情報(bào)成為挑戰(zhàn)(尤其在“帶內(nèi)”決定是必須的時(shí)候)。此外,企業(yè)可能以零碎方式實(shí)現(xiàn)安全解決方案,因此一個(gè)產(chǎn)品不能總是假定另一產(chǎn)品的存在。例如,可能沒有供網(wǎng)絡(luò)元件咨詢的單個(gè)預(yù)定義的威脅情報(bào)庫,并且定期的惡意軟件定義更新可能不包括最近發(fā)現(xiàn)的威脅。數(shù)據(jù)的表示和解釋帶來了另一挑戰(zhàn)。網(wǎng)絡(luò)元件可能使用全異的、專用的數(shù)據(jù)表示。因此,例如,即便是反病毒掃描器也可能未配置成與基于網(wǎng)絡(luò)的安全設(shè)備共享新發(fā)現(xiàn)的惡意軟件信息。在其它上下文中,信息的可信性可能是又一挑戰(zhàn)。換言之,即使反病毒掃描器和基于網(wǎng)絡(luò)的安全性設(shè)備被配置成共享安全情報(bào),每個(gè)設(shè)備也可能不具有驗(yàn)證從另一設(shè)備接收的情報(bào)的手段。
[0044]在示例中,本說明書提供數(shù)據(jù)交換層(DXL),該數(shù)據(jù)交換層可在輕量的基于消息收發(fā)的通信基礎(chǔ)設(shè)施(諸如ESB)上操作,且可被配置成允許多個(gè)端點(diǎn)共享上下文數(shù)據(jù)。DXL可以是更大的安全連接框架的一個(gè)元件,該安全連接框架是互連的多個(gè)設(shè)備的自適應(yīng)系統(tǒng),諸如安全性系統(tǒng),互連的多個(gè)設(shè)備通信并共享信息以通過個(gè)體安全產(chǎn)品和/或集體作出實(shí)時(shí)、準(zhǔn)確的安全決定。根據(jù)示例,網(wǎng)絡(luò)、端點(diǎn)、數(shù)據(jù)庫、應(yīng)用和其它安全解決方案不需要作為單獨(dú)的“倉(cāng)”而操作,而是作為一個(gè)同步的、實(shí)時(shí)的、上下文感知的和自適應(yīng)的安全系統(tǒng)而操作。
[0045]圖1是具有DXL能力的上下文感知網(wǎng)絡(luò)100的網(wǎng)絡(luò)圖。根據(jù)該示例,多個(gè)客戶機(jī)120連接至DXL企業(yè)服務(wù)總線(ESBHSOdXL ESB 130是DXL結(jié)構(gòu)的示例,并且可在諸如局域網(wǎng)(LAN)之類的現(xiàn)有網(wǎng)絡(luò)之上被提供。客戶機(jī)120可以是任何合適的計(jì)算設(shè)備,作為非限制性示例,包括計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)、膝上計(jì)算機(jī)或電子筆記本、蜂窩電話、IP電話、iPhone?、iPad?、Microsoft Surface?、Android?手機(jī)、Google Nexus?、或能夠在通信系統(tǒng)內(nèi)發(fā)起語音、音頻或數(shù)據(jù)交換的任何其它設(shè)備、部件、元件或?qū)ο螅ㄌ峁┙o終端用戶的合適的接口(諸如話筒、顯示器、或鍵盤或其它終端設(shè)備)。在圖1的示例中,客戶機(jī)120-1是諸如網(wǎng)絡(luò)安全傳感器之類的嵌入式設(shè)備??蛻魴C(jī)120-2是虛擬機(jī)??蛻魴C(jī)120-3是膝上計(jì)算機(jī)或筆記本計(jì)算機(jī)。客戶機(jī)120-4是桌面計(jì)算機(jī)。
[0046]DXL ESB 130可以是任何類型的物理或虛擬網(wǎng)絡(luò)連接,適當(dāng)?shù)臄?shù)據(jù)可在該物理或虛擬網(wǎng)絡(luò)連接上通過。目前沒有用于ESB的固定或全球標(biāo)準(zhǔn),且如本申請(qǐng)中所使用的該術(shù)語旨在廣泛地涵蓋適用于消息交換的任何網(wǎng)絡(luò)技術(shù)或布局。在一個(gè)實(shí)施例中,在端口 8883上交換消息隊(duì)列遙測(cè)傳輸(MQTT)消息。在一些情況下,客戶機(jī)120、DXL中介110、域主站160、數(shù)據(jù)庫162、JTI服務(wù)器(圖1A)、代理服務(wù)器170(圖1A)以及威脅情報(bào)服務(wù)180(圖1A)(均作為非限制性示例)可被稱為“網(wǎng)絡(luò)元件”。
[0047]被配置成在DXL ESB 130上操作或與DXL ESB 130—起操作的網(wǎng)絡(luò)元件可被稱為“DXL端點(diǎn)”。在一示例中,這些端點(diǎn)可包括客戶機(jī)120、DXL中介110以及域主站160。
[0048]DXL中介110可被配置成在DXL ESB 130上提供DXL消息收發(fā)服務(wù),諸如保