或種類的消 息)���,至消費者的通信路徑就存在�����。由客戶端執(zhí)行連接發(fā)起�����。
[003引如貫穿本說明書所使用�,"D化消息"包括通過DXL ESB傳遞的任何消息�。每一條EXL 消息包括至少一個"話題";話題表示消息的主題��。作為非限制性示例,話題可包括威脅情 報���、上下文和事件。
[0039] 通過設(shè)計��,每一個D)(L端點配置成訂閱至少一個D)(L消息話題(最少訂閱用于將DXL 消息路由至那個D)(L端點的私有目的地話題)���。運允許通過D)(L在管理平臺與例如它的被管 理的客戶端中的一個或多個之間的雙向的通信���。
[0040]此配置提供若干優(yōu)勢,作為非限制性示例���,包括:
[0041 ] a.用于分配軟件(例如���,更新)的、從幾小時到接近實時的減少的時間����。
[0042] b.對共享事件的自動的實時響應(yīng)。
[0043 ] C.實時地將更新推送至策略����、產(chǎn)品和內(nèi)容���。
[0044] d.顯著地減小的帶寬消耗,因為沒有連接和提取的需要�����。大多數(shù)消息是被推送的��。
[0045] e.根據(jù)共享的上下文數(shù)據(jù)的被通知的決策����。
[0046] f.被管理的客戶端與安全管理平臺、系統(tǒng)或服務(wù)器之間的雙向�、實時的通信路徑。
[0047] 在安全連接的平臺的第=示例中�����,推送通知消息收發(fā)可用于增加效率并減少不必 要的網(wǎng)絡(luò)通信量�����。某些現(xiàn)有的推送通知消息收發(fā)系統(tǒng)對于每一個系統(tǒng)發(fā)送一個通知�,使得 當(dāng)運些系統(tǒng)沒有訂閱相同的消息話題時,將相同的消息發(fā)送到多個不同的系統(tǒng)是低效的。
[0048] 然而���,在當(dāng)前的示例中�,當(dāng)發(fā)送推送通知時���,聚合在每一位置的基礎(chǔ)上發(fā)生�,并且 利用單條推送通知將消息發(fā)送至遠程位置����。此消息包括確定哪些客戶端將接收此通知的標 記�,諸如,頭部屬性�����。隨后�,本地D)(L代理檢查此通知,并將此消息拆分為n條通知�,本地D)(L代 理在本地將運n條通知遞送至所有相關(guān)的目標。由此��,例如在D)(L代理連接至全都訂閱其自 身的私有話題的六個客戶端設(shè)備的情況下��,僅此消息的一個副本需要通過網(wǎng)絡(luò)發(fā)出。隨后����, 此D)(L代理根據(jù)推送通知的頭部來確定其客戶端中的哪六個客戶端將接收此消息,并且將 此消息遞送至那六個客戶端�。運顯著地增加了當(dāng)那些客戶端不訂閱相同的消息,訂閱其自 身的私有消息�,或訂閱不同的話題時將相同種類的推送通知發(fā)送到大量客戶端的效率。結(jié) 合圖5更詳細地描述運一點�����。
[0049] 在第四示例中�����,設(shè)備位置信息可用于在某些設(shè)備上自動地配置產(chǎn)品和服務(wù)�����。結(jié)合 圖6-11更詳細地描述運一點���。
[0050] 圖1是具有D)(L能力的上下文知曉的網(wǎng)絡(luò)100的網(wǎng)絡(luò)級框圖�。根據(jù)此示例�,多個DXL 端點120連接至0化企業(yè)服務(wù)總線化58)130(圖2)��。0乂1£58 130是0化組織結(jié)構(gòu)的示例�����,并且 可設(shè)置在現(xiàn)有網(wǎng)絡(luò)(諸如����,局域網(wǎng)(LAN))的頂部����。ML ESB 130不必是特定的物理總線,或甚 至不必駐留在物理網(wǎng)絡(luò)上�。相反����,ML ESB 130可跨越多個物理網(wǎng)絡(luò)和子網(wǎng)絡(luò)。從概念上說�����, KCL ESB 130僅僅是"組織結(jié)構(gòu)"����,D化端點120通過此組織結(jié)構(gòu)來共享DXL消息,其中,每一條 D化消息都包括話題�����,并且僅訂閱了那個話題的D)(L端點120接收和/或作用于那個話題的消 息��。有利的是����,只要〇化端點120本身是受信的且能夠經(jīng)充分認證,ML ESB甚至就可延伸至 不受信或不安全的網(wǎng)絡(luò)�。由此,例如在咖啡店處操作D)(L端點120的遠程用戶可能仍然能夠 經(jīng)由其企業(yè)的DXL ESB 130來發(fā)送和接收D化消息��,只要D化端點120能夠被認證��。在一些情 況下�����,D化端點的網(wǎng)絡(luò)位置可影響D)(L端點120對于某些消息話題更可信還是更不可信����。
[0051] D化端點120可W是任何合適的計算設(shè)備。在圖1的示例中��,D化端點被一般地表示 為計算設(shè)備。在一個示例中��,D化端點120-1可W是嵌入式設(shè)備���,諸如�,網(wǎng)絡(luò)安全傳感器�����。ML 端點120-2可W是虛擬機����。ML端點120-3可W是膝上型計算機或筆記本計算機。還應(yīng)當(dāng)注 意���,D化端點不限于最終用戶設(shè)備或客戶端設(shè)備。例如���,域主機160和域安全控制器化SCH80 可具有使它們能夠充當(dāng)〇化端點的D)(L客戶端引擎����。實際上���,D化架構(gòu)的主要益處在于����,服務(wù) 器和客戶端可在僅松散地禪合并保持對彼此的通信協(xié)議和細節(jié)的不可知性的同時交換消 息。
[0052] DXL ESB 130可W是合適的數(shù)據(jù)可在其上通過的任何類型的物理或虛擬網(wǎng)絡(luò)連 接?��,F(xiàn)在���,對于ESB不存在固定或全球標準,并且如本文中所使用��,此術(shù)語旨在廣泛地涵蓋適 于消息交換的任何網(wǎng)絡(luò)技術(shù)或拓撲�����。在一個實施例中�,在端口 8883上交換消息隊列遙測傳 輸(MQTT)消息。在此示例中��,域主機160和DSC 180可被視為D)(L端點120的特殊情況��。其他網(wǎng) 絡(luò)元件可包括聯(lián)合威脅情報(JTI)服務(wù)器�、默認網(wǎng)關(guān)、代理設(shè)備和威脅情報服務(wù)器�����。任何網(wǎng) 絡(luò)元件可作為D)(L端點來加入EXL ESB 130。
[0化3] 配置成在DXL ESB 130上操作或與DXL ESB 130-起操作的網(wǎng)絡(luò)元件可被稱為 "D化端點"�����。在示例中�����,運些可包括D)(L端點120����、D化代理110和域主機160。
[0化4] D化代理(broker)llO可配置成通過DXL ESB 130來提供D)(L消息收發(fā)服務(wù)����,諸如, 維護D)(L路由表W及遞送消息�。
[0化5] 域主機160可配置成通信地禪合至D)(L代理130。域主機160可維護數(shù)據(jù)庫(諸如��,數(shù) 據(jù)庫162)中的域數(shù)據(jù)�。在此示例中�����,域主機160和數(shù)據(jù)庫162被示出為兩個不同的實體,但是 應(yīng)當(dāng)注意�,許多配置是可能的。例如��,數(shù)據(jù)庫162可駐留在域主機160本地的盤驅(qū)動器上����,或 可被分開地或遠程地主管。W示例方式來公開數(shù)據(jù)庫162,并且數(shù)據(jù)庫162可W是任何合適 的數(shù)據(jù)存儲����,作為非限制性示例,包括結(jié)構(gòu)式或關(guān)系型數(shù)據(jù)庫�、分布式數(shù)據(jù)庫或平面文件。
[0056] DSC 180可配置成提供域服務(wù)��,諸如���,輔助和支持服務(wù)�����、反病毒服務(wù)和/或命令和控 制服務(wù)��。DSC 180可包括安全管理軟件(SMS)�����,此SMS可提供網(wǎng)絡(luò)命令和控制功能�。
[0057] 作為操作性示例,客戶端(諸如����,膝上型設(shè)備120-3)連接至LAN并接收新IP地址。此 亥IJ�,膝上型設(shè)備120-3的若干性質(zhì)(作為非限制性示例,包括其IP地址���、關(guān)于其操作系統(tǒng)的信 息W及登錄用戶的用戶名)變成對其他網(wǎng)絡(luò)元件是可知的�����。為了易于引用����,貫穿此示例����,將 運些稱為"客戶端性質(zhì)"?���?蛻舳诵再|(zhì)是安全情報數(shù)據(jù)的實施例,并且引起虛擬機120-2的興 趣�,此虛擬機120-2先前已利用域主機160訂閱了此安全情報數(shù)據(jù)。
[005引可由兩個不同的源(即����,由膝上型設(shè)備120-3且由網(wǎng)絡(luò)安全傳感器120-1)同時將客 戶端性質(zhì)報告給DXL。然而���,網(wǎng)絡(luò)安全傳感器120-1可能未能報告用戶名值�。它還可能報告與 由膝上型設(shè)備120-3報告的不同的OS值��。運可能例如因為網(wǎng)絡(luò)安全傳感器120-1正遠程地感 測數(shù)據(jù)����,并且可能不能夠像膝上型設(shè)備120-3自身那樣可靠地確定運些值。
[0059] 域主機160負責(zé)"客戶端系統(tǒng)"數(shù)據(jù)域�����,此"客戶端系統(tǒng)"數(shù)據(jù)域包括客戶端性質(zhì)。當(dāng) 膝上型設(shè)備120-3和D)(L端點120-1發(fā)布包含客戶端性質(zhì)的消息時,運兩個消息都首先被路 由至D)(L代理110。隨后,D化代理110可將運些客戶端性質(zhì)轉(zhuǎn)發(fā)至域主機160。
[0060] 域主機160可將從運兩個源接收到的客戶端性質(zhì)組合并調(diào)和為單個的真相記錄, 此單個的真相記錄分別包含IP地址�����、操作系統(tǒng)和用戶名的單個值�。具體而言����,它可經(jīng)由其自 身的邏輯(也許是先前的配置)來確定��,對于OS值�����,膝上型設(shè)備120-3比網(wǎng)絡(luò)安全傳感器120-1更可信�����。因此�,當(dāng)網(wǎng)絡(luò)安全傳感器120-1與膝上型設(shè)備120-1沖突時,域主機160可忽略從此 網(wǎng)絡(luò)安全傳感器120-1接收到的"操作系統(tǒng)"值。
[0061 ]經(jīng)調(diào)和的客戶端性質(zhì)被持續(xù)地存儲在域數(shù)據(jù)庫162中。隨后,域主機160可在DXL ESB 130上發(fā)布運些客戶端性質(zhì)���。隨后����,D化代理110可將所發(fā)布的消息轉(zhuǎn)發(fā)至虛擬機120-2, 此虛擬機120-2接收客戶端性質(zhì)的單個的��、最準確的值�。然而應(yīng)注意,此調(diào)和過程是任選的�����。 在一些情況下,域主機160可能知曉特定的D)(L端點120是對于特定的消息話題的"最佳"設(shè) 備���,因此將立即消費來自那個D)(L端點120的消息而不等待沖突的信息����。
[0062] 隨后��,ML端點120-4可通過DXL ESB 130來發(fā)送D)(L請求,從而詢問膝上型設(shè)備 120-3的客戶端性質(zhì)�。D化代理110接收此請求�,并自動將此請求路由至域主機160���。域主機從 域數(shù)據(jù)庫162檢索客戶端性質(zhì)����,并且發(fā)送D)(L代理110接收并轉(zhuǎn)發(fā)至D)(L端點120-4的D)(L響應(yīng) 消息。注意��,雖然此示例中的"發(fā)布-訂閱"事務(wù)是一對多的,但是"請求-響應(yīng)"事務(wù)是一對一 的�����。
[0063] 在一些實施例中,可通過允許多個網(wǎng)絡(luò)元件的松散的整合或禪合的消息收發(fā)來表 征DXL����。松散的禪合可減少每一個D)(L端點必須作出的關(guān)于其他D)(L端點的假設(shè)���,諸如,某些 能力�����、硬件或軟件的存在���。根據(jù)本說明書的一個或多個示例����,ML是"即插即用"API,并且可 通過使上下文能夠在產(chǎn)品之間共享來促進上下文知曉和自適應(yīng)安全����。
[0064] 進一步根據(jù)本說明書的一個或多個示例�,ML是具有多個部署選項的彈性架構(gòu)�,并 且是高度可縮放的����。D化還可利用思維的開放性來設(shè)計����,并且允許第S方整合�����。
[0065] ML ESB 130可基于兩層式協(xié)議�����。"底"層是安全����、可靠、低等待時間的數(shù)據(jù)傳輸組 織結(jié)構(gòu)�����,此數(shù)據(jù)傳輸結(jié)構(gòu)將各種安全元件連接為網(wǎng)格�,或W中樞與福射點化ub-and-spoke) 配置來連接各種安全元件。"頂"層是配置成促進可信的數(shù)據(jù)表示的可擴展數(shù)據(jù)交換框架�����。
[0066] 在示例中��,ML端點連接至DXL ESB 130�。可向每一個口化端點分配不同的身份�����,并 且在啟動時����,例如經(jīng)由證書或其他安全令牌來向DXL ESB 130認證自身。ML端點可例如通 過發(fā)送尋址至具有特定身份的D)(L端點的D)(L消息來經(jīng)由DXL ESB 130建立一對一通信����。運 使D)(L端點在不需要必須建立點對點網(wǎng)絡(luò)連接的情況下就能夠彼此通信。在示例中,運與個 人對個人電話呼叫類似���。
[0067] 在另一示例中,ML可提供發(fā)布-訂閱框架,在此發(fā)布-訂閱框架中,某些口化端點 巧閱"某種類型的消息。部XL端點在DXL ESB 130上"發(fā)布'那種類型的消息時���,所有的訂 閱者可處理此消息��,而非訂閱者可安全地忽略它。在示例中�,運與播客訂閱服務(wù)類似。在又 一示例中,D化可提供請求-響應(yīng)框架。在運種情況下����,一個D)(L端點可通過DXL ESB 130來發(fā) 布請求。接收此請求的適當(dāng)?shù)腄)(L端點可提供響應(yīng)��。有利的是����,可不僅由原始發(fā)布此請求的 D化端點來使用此響應(yīng)����。例如,如果DXL端點120發(fā)布對于對象的聲譽的請求,則擔(dān)當(dāng)D)(L端點 120的JTI服務(wù)器可通過發(fā)布此聲譽來響應(yīng)。由此����,發(fā)現(xiàn)此對象的實例的其他ML端點120可 從此響應(yīng)中獲益�。例如����,ML端點120可維護在網(wǎng)絡(luò)上發(fā)布的聲譽的綜合的高速緩存��。如果 D化端點120隨后新遇到在此網(wǎng)絡(luò)上已知的對象����,貝化化端點已經(jīng)具有此對象的最新聲譽。
[0068] 可使用適用于連接安全元件的特定基礎(chǔ)設(shè)施的不同的軟件元件、模式和構(gòu)造來實 現(xiàn)DXL ESB 130。例如,在物理企業(yè)網(wǎng)絡(luò)中����,可部署由多個經(jīng)互連的消息代理組成的消息收 發(fā)中間件����,其中�����,多個端點連接至最近的代理�。在虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施中�,結(jié)構(gòu)可充分利用管 理程序提供的信道�。
[0069] 如上所述��,ML ESB 130可配置成在W其他方式自主的��、動態(tài)地聚集的D)(L端點之 間提供實時���、受信的數(shù)據(jù)交換。由此�,在示例中��,ML ESB 130的概念性框架可包括兩個虛擬 組件:
[0070] 安全相關(guān)的數(shù)據(jù)的廣泛的集合被分類為"數(shù)據(jù)域"。每一個數(shù)據(jù)域是實體����、屬性和 相互關(guān)系的緊密相關(guān)的子集合。
[0071] 域主機160是被分配了每一個域的數(shù)據(jù)的所有權(quán)的數(shù)據(jù)提供者�。域主機160擔(dān)當(dāng)原 始的"情報"數(shù)據(jù)的第一手源與數(shù)據(jù)消費者端點(諸如��,D化端點120)之間的受信中間數(shù)據(jù)代 理����。情報數(shù)據(jù)可從數(shù)據(jù)生產(chǎn)者端點流至適當(dāng)?shù)挠蛑鳈C160,隨后被中繼至消費者端點(諸如�, D化端點120)�。注意,在此示例中��,"數(shù)據(jù)生產(chǎn)者"和"數(shù)據(jù)消費者"的概念是上下文角色��,并且 不一定是物理設(shè)備。D)(L端點120可W在一個上下文中是數(shù)據(jù)生產(chǎn)者而在另一個上下文中是 數(shù)據(jù)消費者�。
[0072] 在示例中,域主機160可建立與數(shù)據(jù)提供者端點之間的第一手信任關(guān)系��。運使它能 夠衡量它從任何特定的源接收到的數(shù)據(jù)(諸如,聲譽數(shù)據(jù))的質(zhì)量(包括準確性和可靠性)�����。 當(dāng)從多個(獨立的)源饋如,不同的D化端點120)接收到重復(fù)�、零碎的數(shù)據(jù)時,域主機160可 調(diào)和此數(shù)據(jù)并解決沖突W為每一個對象導(dǎo)出單個最有名的真相記錄(諸如例如���,聲譽)����。運 確保了