安全連接的框架的制作方法
【專利說明】
[0001] 相關(guān)申請的交叉引用
[0002] 本申請要求2013年9月28日提交的、題為"安全連接的平臺"("56(:郵口¥-CONNECT抓PLATF0RT )的美國臨時申請61 /884,006的優(yōu)先權(quán),該美國臨時申請通過引用整 體被結(jié)合在本文中。2013年12月19日提交的、題為"數(shù)據(jù)交換層上的上下文知曉的網(wǎng)絡(luò)" (乂ontext-Aware 化twork on a Data Exchange Layer")的共同待定的PCT申請PCT/ US2013/076570也通過引用被結(jié)合在本文中。
技術(shù)領(lǐng)域
[0003] 本申請設(shè)及企業(yè)安全領(lǐng)域,更具體而言,本申請設(shè)及用于數(shù)據(jù)交換層的安全連接 的框架。
【背景技術(shù)】
[0004] 企業(yè)服務(wù)總線巧SB)是在面向服務(wù)的架構(gòu)上提供數(shù)據(jù)交換介質(zhì)的基于軟件的網(wǎng)絡(luò) 架構(gòu)。在一些實施例中,ESB是客戶端-服務(wù)器軟件架構(gòu)的特殊情況,在客戶端-服務(wù)器軟件 架構(gòu)中,客戶端可通過服務(wù)器來路由消息。
[0005] 提供給用戶的軟件、二進制文件、可執(zhí)行文件、廣告、web頁、文檔、宏、可執(zhí)行對象 和其他數(shù)據(jù)(共同地稱為"可執(zhí)行對象")可包括受到惡意軟件的濫用的安全缺陷和隱私泄 露。如貫穿本說明書所使用,惡意的軟件("惡意軟件")可包括病毒、木馬、僵尸病毒、隱藏程 序(rootkit)、后口、蠕蟲、間碟軟件、廣告軟件、勒索軟件、撥號器、有效載荷、惡意瀏覽器助 手對象、緩存(cookie)、登錄器、或設(shè)計成用于采取潛在地不需要的動作的類似的應(yīng)用或應(yīng) 用的部分,作為非限制性示例,所述潛在地不需要的動作包括數(shù)據(jù)破壞、隱蔽的數(shù)據(jù)收集、 隱蔽的通信、瀏覽器劫持、網(wǎng)絡(luò)代理設(shè)備(proxy)劫持或重定向、隱蔽的跟蹤、數(shù)據(jù)記錄、鍵 盤記錄、對于刪除的過多的或故意的障礙、聯(lián)系人收獲、對高價服務(wù)的不需要的使用W及未 經(jīng)授權(quán)的自傳播。在一些情況下,惡意軟件還可能包括含有導(dǎo)致或允許惡意軟件行為的疏 忽的安全缺陷的合法軟件。"惡意軟件行為"被定義為將應(yīng)用鑒定為惡意軟件或灰色軟件 (grayware)的任何行為。一些現(xiàn)有的系統(tǒng)配置為例如通過維護已知的惡意軟件的數(shù)據(jù)庫來 標(biāo)識并阻止惡意軟件。
[0006] 除了可執(zhí)行對象,計算設(shè)備可能遇到不旨在改變計算機的操作狀態(tài)的靜態(tài)對象。 作為類別,可將可執(zhí)行對象和靜態(tài)對象簡稱為"對象"。企業(yè)安全所關(guān)屯、的是對于對象的惡 意軟件狀態(tài)的分類。
【附圖說明】
[0007] 當(dāng)與所附附圖一起閱讀時,通過W下【具體實施方式】可最好地理解本公開。要強調(diào) 的是,根據(jù)行業(yè)內(nèi)的標(biāo)準(zhǔn)慣例,各種特征不是按比例繪制的,并且僅用于說明目的。事實上, 為了使討論清楚,可任意地增大或減小各種特征。
[000引圖1是根據(jù)本說明書的一個或多個示例的上下文知曉的網(wǎng)絡(luò)的框圖。
[0009]圖2是根據(jù)本說明書的一個或多個示例的數(shù)據(jù)交換層的框圖。
[0010]圖3是根據(jù)本說明書的一個或多個示例的DXL端點的框圖。
[0011] 圖4是根據(jù)本說明書的一個或多個示例的服務(wù)器的框圖。
[0012] 圖5是根據(jù)本說明書的一個或多個示例的生產(chǎn)者-消費者架構(gòu)的框圖。
【具體實施方式】 [001引概述
[0014] 在示例中,在數(shù)據(jù)交換層(D化)上提供安全連接的平臺,可在企業(yè)服務(wù)總線上提供 所述DXL,所述企業(yè)服務(wù)總線提供消息收發(fā)服務(wù),包括發(fā)布-訂閱消息收發(fā)、請求-響應(yīng)消息 收發(fā)、推送通知消息收發(fā)W及其他消息收發(fā)和通信能力。ML提供經(jīng)由D)(L代理而連接的多 個D)(L端點。在一種情況下,被指定為生產(chǎn)者的D)(L端點經(jīng)授權(quán)W生產(chǎn)某些類型的消息,包括 安全相關(guān)的消息,諸如,對象聲譽。其他DXL端點被指定為那些消息的消費者。在另一種情況 下,D化端點可被指定為生產(chǎn)某些類型的消息的生產(chǎn)者W及相同類型的消息和/或由D)(L上 可用的其他生產(chǎn)者生產(chǎn)的其他類型的消息的消費者。還可提供域主機,并且此域主機配置 成經(jīng)由資產(chǎn)管理引擎來提供物理和邏輯位置服務(wù)。
[0015] 本公開的示例實施例
[0016] W下公開內(nèi)容提供用于實現(xiàn)本公開的不同特征的許多不同的實施例或示例。在下 文中描述組件和布置的特定示例W簡化本公開。當(dāng)然,運些內(nèi)容僅是示例,并且不旨在是限 制性的。此外,本公開可在各種示例中重復(fù)參考編號和/或字母。此重復(fù)僅出于簡化和清楚 的目的,并且自身并不指定所討論的各種實施例和/或配置之間的關(guān)系。
[0017] 不同的實施例可具有不同的優(yōu)點,并且沒有特定的優(yōu)點對于任何實施例一定是必 雨的。
[0018] 在日益異構(gòu)的軟件生態(tài)系統(tǒng)中,企業(yè)可能面臨新的、增加的安全挑戰(zhàn)和惡意軟件 威脅。運形成了一種情況,其中在原本自主的網(wǎng)絡(luò)元件之間的威脅情報的實時交換是所需 的。增加的共享可在否則在其自身的安全"倉筒"("Silo")中操作的設(shè)備之間改善安全。
[0019] 本說明書的系統(tǒng)和方法通過跨數(shù)據(jù)源提供標(biāo)準(zhǔn)化的數(shù)據(jù)表示并保障由不同的源 共享的數(shù)據(jù)的質(zhì)量來應(yīng)對此類挑戰(zhàn)。
[0020] 上下文知曉的計算(CAC)是使用關(guān)于人、地點、事物的情景和環(huán)境信息來預(yù)期即刻 的需求并主動提供豐富的、情景可知的、有用的功能和經(jīng)歷的計算樣式。上下文知曉的計算 依賴于捕捉關(guān)于在系統(tǒng)正在運行的時刻的世界的數(shù)據(jù)。
[0021] 根據(jù)本說明書的一個或多個示例,"上下文知曉的網(wǎng)絡(luò)"是經(jīng)互連的服務(wù)的自適應(yīng) 系統(tǒng)(包括例如,安全系統(tǒng)),所述經(jīng)互連的系統(tǒng)傳遞并共享信息W由各產(chǎn)品和/或由產(chǎn)品作 為集合體作出實時、準(zhǔn)確的決策。根據(jù)示例,網(wǎng)絡(luò)、端點、數(shù)據(jù)庫、應(yīng)用和其他安全解決方案 將不再操作為分開的"筒倉",而操作為一個經(jīng)同步的、實時的、上下文知曉的自適應(yīng)安全系 統(tǒng)。
[0022] 在示例中,多個網(wǎng)絡(luò)元件經(jīng)由數(shù)據(jù)交換層(ML)彼此連接,所述口化是適于安全相 關(guān)的消息等的交換的一種類型的ESB。如本文中所使用,"網(wǎng)絡(luò)元件"包括任何類型的客戶端 或服務(wù)器(例如,視頻服務(wù)器、web服務(wù)器等)、路由器、交換機、網(wǎng)管、橋、負載平衡器、防火 墻、內(nèi)聯(lián)服務(wù)節(jié)點、代理設(shè)備、網(wǎng)絡(luò)裝置、處理器、模塊、或可操作W在網(wǎng)絡(luò)環(huán)境中交換信息 的任何其他合適的設(shè)備、組件、元件或?qū)ο蟆8唧w而言,D化端點是通過DXL ESB進行交互 的網(wǎng)絡(luò)元件。ML端點可跨客戶網(wǎng)絡(luò)而分布,并且能W受信、安全且可靠的方式"實時"地通 信。運可提供增加的自動化和改善的安全服務(wù)。
[0023] 在示例中,D化端點部署在網(wǎng)絡(luò)內(nèi)的多個戰(zhàn)略位置處W攔截持續(xù)的業(yè)務(wù)活動,檢查 并解釋它,并且最終確定它是否被授權(quán);運意味著例如它符合企業(yè)安全策略。在一些情況 下,網(wǎng)絡(luò)元件必須巧帶內(nèi)"("in-band")作出此類決策,從而W足夠低的等待時間,"機器實 時地"("machine-real-time")瞬時掛起業(yè)務(wù)活動W避免業(yè)務(wù)活動中顯著的用戶可感知延 遲。
[0024] 在一些情況下,網(wǎng)絡(luò)元件可僅通過它們自身的獨立的分析和觀察且經(jīng)由經(jīng)調(diào)度的 定義更新而具有對安全數(shù)據(jù)的獨立的訪問權(quán),所述經(jīng)調(diào)度的定義更新可例如隨著經(jīng)更新的 惡意軟件定義每周到來。
[0025] 由于網(wǎng)絡(luò)元件經(jīng)常是異構(gòu)的,并且可能W臨時或?qū)TO(shè)(ad hoc)的方式來部署(特 別是在現(xiàn)代網(wǎng)絡(luò)中),因此,實時的情報成為挑戰(zhàn),當(dāng)"帶內(nèi)"決策是必要的時候尤其如此。此 夕h企業(yè)可能W零碎的方式來獲取安全解決方案,使得一個產(chǎn)品不能夠總是假設(shè)另一產(chǎn)品 的存在。例如,可能沒有供網(wǎng)絡(luò)元件咨詢的單個預(yù)定義的威脅情報的儲存庫,并且定期的惡 意軟件定義更行可能不包括最近發(fā)現(xiàn)的威脅。數(shù)據(jù)的表示和解釋產(chǎn)生了另一挑戰(zhàn)。網(wǎng)絡(luò)元 件可使用不同的、專有的數(shù)據(jù)表示。由此,例如甚至反病毒掃描器可能也無法配置成與基于 網(wǎng)絡(luò)的安全設(shè)備共享新發(fā)現(xiàn)的惡意軟件信息。在其他上下文中,信息的可信度可能是又一 挑戰(zhàn)。換言之,即便反病毒掃描器和基于網(wǎng)絡(luò)的安全設(shè)備配置成共享安全情報,每一者可能 也不具有驗證從另一者接收到的情報的手段。
[0026] 在示例中,本說明書提供數(shù)據(jù)交換層(ML),此口化可在輕量的基于消息收發(fā)的通 信基礎(chǔ)設(shè)施(諸如,ESB)上操作,并且可配置成允許端點共享上下文數(shù)據(jù)。D化可W是經(jīng)互連 的服務(wù)的較大的安全連接的框架中的一個元件,所述較大的安全連接的框架是自適應(yīng)系 統(tǒng),諸如,安全系統(tǒng),所述經(jīng)互連的服務(wù)傳遞并共享信息,W便由多個單獨的安全產(chǎn)品和/或 由作為集合體的安全產(chǎn)品進行實時、準(zhǔn)確的安全決策。根據(jù)示例,網(wǎng)絡(luò)、端點、數(shù)據(jù)庫、應(yīng)用 和其他安全解決方案不必操作為分開的"筒倉",而操作為一個經(jīng)同步的、實時的、上下文知 曉的自適應(yīng)安全系統(tǒng)。
[0027] ML被建立在消息收發(fā)技術(shù)(諸如,ESB)的頂部,所述消息收發(fā)技術(shù)允許多種不同 的使用情況和能力(通過在多個不同的產(chǎn)品之間共享上下文而實現(xiàn)的上下文知曉和自適應(yīng) 安全,從而允許多個安全組件操作為一個組件W便立即在端點、網(wǎng)關(guān)W及允許安全情報和 自適應(yīng)安全的其他安全產(chǎn)品之間共享相關(guān)的數(shù)據(jù)(根據(jù)你正在獲得的信息立即改變行為); 對端點和許多其他使用情況的上級命令和控制)。
[002引通過使用用于安全和管理目的的ESB消息收發(fā)使運些有利的能力成為可能。D化消 息收發(fā)允許實時、雙向的通信基礎(chǔ)設(shè)施,從而允許產(chǎn)品和解決方案使用單個的應(yīng)用編程接 口(API)來彼此整合。每一個設(shè)備可通過D)(L組織結(jié)構(gòu)來共享它喜歡的基本上任何數(shù)據(jù),而 運些設(shè)備本身僅被松散地禪合,并且不必按共同的或標(biāo)準(zhǔn)化的協(xié)議操作。
[0029] ML消息類型的示例包括發(fā)布-訂閱通知、查詢響應(yīng)W及推送通知。設(shè)備還可共享 事件,作為非限制性示例,事件包括安全相關(guān)的事件、上下文信息(關(guān)于節(jié)點、其用戶的身 份、所使用的應(yīng)用、它們被發(fā)現(xiàn)的位置等等)、命令、任務(wù)和策略。
[0030] 在安全連接的框架的第一示例中,消息收發(fā)技術(shù)用于維持并增強企業(yè)安全。通過 安全連接的框架共享的安全信息可包括不止上下文,并且作為非限制性示例還包括命令、 任務(wù)、策略和軟件更新。由此,利用安全連接的框架,基礎(chǔ)設(shè)施能夠充當(dāng)命令和控制管理基 礎(chǔ)設(shè)施。此基礎(chǔ)設(shè)施還可與安全管理軟件(SMS)(諸如,MCAfee底ePo 1 icyOrcheStrator) - 起使用。SMS可連接至DXL ESB,從而使SMS能夠提供跨整個網(wǎng)絡(luò)的命令和控制功能。
[0031] 消息收發(fā)允許松散地禪合的方式的產(chǎn)品之間的整合,從而降低兩個或更多個產(chǎn)品 為了整合而作出的關(guān)于彼此的假設(shè)的量。本實現(xiàn)使用嵌入有McAfee Agent且作為軟件庫來 提供的單個API。
[0032] 本說明書的安全連接的框架還解決了對操作安全的狀態(tài)的控制問題。某些現(xiàn)有的 安全管理解決方案不能夠隨意地發(fā)起與例如坐落在網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)邊界的另一側(cè)上的 被管理的設(shè)備之間的通信。隨著變化的業(yè)務(wù)需求(作為非限制性示例,諸如,云、可動化和消 費化),此挑戰(zhàn)可能變得更復(fù)雜。
[0033] 在運些情況下,被管理的設(shè)備可能在不可預(yù)知的時刻發(fā)起通信,從而保持打開窗 口,在此窗口期間,企業(yè)被暴露于由于其不能夠立即將策略變化、內(nèi)容部署和程序更新推送 到所有的節(jié)點而導(dǎo)致的增加的風(fēng)險。
[0034] 在運種挑戰(zhàn)的一個示例中,需要安全防御的編配作為對安全事件的立即反應(yīng)。如 貫穿本說明書所使用,"安全事件"包括具有個人和/或企業(yè)安全的實質(zhì)性分支的設(shè)備或網(wǎng) 絡(luò)上的任何事件。安全事件的非限制性示例包括實際的或潛在的入侵事件、用戶或設(shè)備認(rèn) 證事件、審計事件、惡意軟件事件、反惡意軟件更新、用戶或設(shè)備聲譽更新、物理入侵事件、 數(shù)據(jù)丟失、大量或顯著的數(shù)據(jù)的輸入、或企業(yè)安全策略的變化。
[0035] 在安全連接的框架的第二示例中,提供實時的雙向通信組織結(jié)構(gòu)W允許實時的安 全管理。具體而言,某些現(xiàn)有的消息收發(fā)基礎(chǔ)設(shè)施基于一對多通信(發(fā)布-訂閱)。在本說明 書的此示例中,顯著地增強了發(fā)布-訂閱能力,使得那種通信可W是一對一的(例如,對等式 (peer-to-peer))或雙向的(例如,查詢-響應(yīng))。有利的是,框架可按比例縮放至數(shù)百萬并發(fā) 連接的客戶端,使得無論經(jīng)連接的客戶端的物理位置如何,任何經(jīng)連接的客戶端都可實時 地或接近實時地到達任何其他經(jīng)連接的客戶端。為此,在不同類型的被連接的客戶端之間 提供D)(L抽象層,并且此D)(L抽象層充當(dāng)中間通信介質(zhì)。
[0036] 在此示例中,能W各種方式將客戶端設(shè)備分類為消息的"生產(chǎn)者"或"消費者",其 中,生產(chǎn)者提供相關(guān)的安全消息,而消費者接收那些消息。設(shè)備作為生產(chǎn)者或消費者的角色 不需要是靜態(tài)的,并且取決于上下文,一般而言,任何設(shè)備都可W是生產(chǎn)者或消費者。作為 生產(chǎn)者或消費者的設(shè)備角色也可隨時間或環(huán)境而改變。由此,一個設(shè)備可W是某些消息話 題的生產(chǎn)者和消費者兩者;第二設(shè)備可W是一些話題而非其他話題的生產(chǎn)者;第=設(shè)備可 W是某些話題的消費者W及另一些話題的生產(chǎn)者。
[0037] 只要客戶端訂閱了一個或多個話題(其中,每一個話題包括不同類