实时策略分发的制作方法
【专利说明】实时策略分发
[0001]相关申请的交叉引用
[0002]本申请要求2013年9月28日提交的发明名称为“Real-Time Policy Distribut1nto Unreachable Systems(向不可到达的系统的实时策略分发)”的美国临时申请61/884,022的优先权,该临时申请通过引用被结合在本申请中。
技术领域
[0003]本申请涉及企业安全领域,更具体涉及数据交换层上的实时策略分发。
【背景技术】
[0004]企业服务总线(ESB)是基于软件的网络架构,该网络架构在面向服务的架构上提供数据交换的媒介。在一些实施例中,ESB是客户机一服务器软件架构的特殊情况,其中客户机可通过服务器来路由消息。
[0005]提供给用户的软件、二进制文件、可执行档、广告、web页、文档、宏、可执行对象以及其它数据(统称为“可执行对象”)可能包括被恶意软件利用的安全缺陷和隐私泄漏。如本申请文件通篇中所使用,恶意软件(“malware”)可包括病毒、木马、僵尸程序(zombie)、隐匿程序(rootkit)、后门(backdoor)、婦虫(worm)、间谋软件(8口7?^6)、广告软件(8(1?^6)、勒索软件(“瓜仙0111冊代”)、拨号器、有效载荷、恶意浏览器助手对象、网络跟踪器((3001^6)、记录器或相似的应用或应用的部分,这些应用或应用的部分被设计成进行可能不希望有的动作,作为非限制性示例,这些可能不想要的动作包括数据损毁、隐蔽数据收集、隐蔽通信、浏览器劫持、网络代理劫持或重定向、隐蔽跟踪、数据记录、键盘记录、过度或有意妨碍删除、联系人收集、不希望有的对优质服务的使用、以及未经授权的自传播。在一些情况下,恶意软件还可包括包含导致或使能恶意软件行为的无意安全缺陷的合法软件。“恶意软件行为”被定义为使应用合乎恶意软件或灰色软件的标准的任何行为。一些现有技术系统被配置成例如通过维持已知恶意软件的数据库来标识和阻挡恶意软件。
[0006]除了可执行对象之外,计算设备可能遇到静态对象,静态对象并不意在改变计算机的操作状态。作为类,可执行对象和静态对象可被简称为“对象”。企业安全关注的问题是多个对象的恶意软件状态的分类。
【附图说明】
[0007]在与附图一起阅读时,可从以下详细说明最好地理解本公开。要强调的是,根据产业中的标准实践,多种特征未按比例绘制并仅用于说明目的。实际上,出于讨论清楚的目的,可任意地增大或减小多种特征的尺寸。
[0008]图1是根据本说明书的一个或多个示例的具有DXL能力的上下文感知(context-aware)网络的网络图。
[0009]图1A是根据本说明书的一个或多个示例的其中域主站是联合威胁情报(JTI)服务器的示例。
[0010]图1B是根据本说明书的一个或多个示例的选择元件和上下文感知网络的网络图。
[0011]图2是根据本说明书的一个或多个示例的公开分布式架构的网络图。
[0012]图3是根据本说明书的一个或多个示例的跨越传统企业边界操作的示例DXL网络的网络图。
[0013]图4是根据本说明书的一个或多个示例的上下文感知网络400的网络图。
[0014]图5是根据本说明书的一个或多个示例的DXL中介的框图。
[0015]图6是根据本说明书的一个或多个示例的(ΠΜ服务器的框图。
[0016]图7是根据本说明书的一个或多个示例的域主站160的框图。
[0017]图8是根据本说明书的一个或多个示例的客户机的框图。
[0018]图9是示出根据本说明书的一个或多个示例的以分层方式来评估对象的流程图。
[0019]图1O是根据本说明书的一个或多个示例的由客户机120执行的方法的流程图。
[0020]图1OA是根据本说明书的一个或多个示例实施例的与图10的方法相关地由JTI月艮务器执行的方法的流程图。
[0021]图11是根据本说明书的一个或多个示例的JTI服务器服务于声望请求的方法的流程图。
[0022]图12是根据本说明书的一个或多个示例的对图1OA的方法的增强的流程图。
[0023]图13是根据本说明书的一个或多个示例的由DXL主站执行的方法的流程图。
[0024]图14是根据本说明书的一个或多个示例的由DXL中介响应于包含安全策略配置更新的命令级消息而执行的方法的流程图。
[0025]图15是根据本说明书的一个或多个示例的由客户机响应于接收到来自域主站或D X L中介的安全策略更新而执行的方法的流程图。
[0026]实施例的详细描述
[0027]概览
[0028]在示例中,公开了一种用于在数据交换层上向端点的实时策略和任务分发的方法和系统。根据一个实施例,持续的点对点消息收发框架用于在策略定义之后立即向分布式的设备的异类集合分发配置策略和任务。有优势的是,例如,即便端点位于防火墙或NAT之后,该数据交换层也可便于向这些端点递送消息。
[0029]本公开的多个示例
[0030]以下公开提供许多不同的实施例或示例,用于实现本公开的不同特征。以下描述了多个部件和安排的具体示例,以简化本公开。当然,这些仅仅是示例,不是为了限制。此夕卜,本公开可在多个示例中重复参考标号和/或字母。该重复是出于简单和清楚的目的,其本身并不规定所讨论的各个实施例和/或配置之间的关系。
[0031]不同实施例可具有不同的优势,没有特定优势是任何实施例必须有的。
[0032]在日益异构的软件生态系统中,企业可能面临新的和增强的安全挑战和恶意软件威胁。这产生了需要在原本自治的多个网络元件之间实时交换威胁情报的情形。增加的共享可提高设备之间的安全性,这些设备原本在它们自己的安全“仓(silo)”中操作。
[0033]本说明书的系统和方法通过跨越多个数据源提供标准化的数据表示、并保护由异类的多个源共享的数据的质量,来解决这样的挑战。
[0034]上下文感知计算(CAC)是一种计算方式,其中使用与人、地点和事物有关的情况和环境信息来预料及时需要并主动地提供丰富的、情况感知的、以及可使用的功能和体验。上下文感知计算依赖于捕获在系统正在运行时的那个时刻时与世界有关的数据。
[0035]根据本说明书的一个或多个示例,“上下文感知网络”是互连的多个服务的自适应系统(包括例如安全系统),互连的这些服务通信并共享信息以通过个体产品和/或集体作出实时、准确的决定。根据示例,网络、端点、数据库、应用和其它安全解决方案不再作为单独的“仓”而操作,而是作为一个同步的、实时的、上下文感知的和自适应的安全系统而操作。
[0036]在示例中,多个网络元件经由数据交换层(DXL)彼此连接,数据交换层是一种类型的ESB,它适合在其它事物之间交换安全相关消息。如本申请中使用,“网络元件”包括用于在网络环境中交换信息的任何类型的客户机或服务器(例如视频服务器、web服务器等等)、路由器、交换机、网关、桥、负载均衡器、防火墙、内联服务节点、代理服务器、网络设备、处理器、模块或任何其它合适的设备、部件、元件或对象。更具体地,DXL端点是在DXL ESB上交互的网络元件。DXL端点可跨越顾客网络分布,并以受信任的、安全和可靠的方式“实时地”通信。这可提供增强的自动化和改进的安全服务。
[0037]在示例中,DXL端点被部署在网络内的多个战略位置处,以用于截取正在进行的业务活动、检查并解释该业务活动、并最终确定它是否经过授权(例如,它是否与企业安全策略一致)。在一些情况下,网络元件必须“在带内(in-band)”作出这些决定,暂时挂起该业务活动,并“在机器实际时间”中的等待时间足够低,以避免该业务活动中的显著的用户可感知的延迟。
[0038]在一些情况下,网络元件可能仅通过它们自己的独立分析和观测和经由定期的定义更新而获得对安全数据的独立访问,定期的定义更新例如可按周进行以作为更新的恶意软件定义。
[0039]因为网络元件通常是异构的并且可能以临时或自组织方式被部署(尤其在现代网络中),所以实时情报成为挑战(尤其在“带内”决定是必须的时候)。此外,企业可能以零碎方式实现安全解决方案,因此一个产品不能总是假定另一产品的存在。例如,可能没有供网络元件咨询的单个预定义的威胁情报库,并且定期的恶意软件定义更新可能不包括最近发现的威胁。数据的表示和解释带来了另一挑战。网络元件可能使用全异的、专用的数据表示。因此,例如,即便是反病毒扫描器也可能未配置成与基于网络的安全设备共享新发现的恶意软件信息。在其它上下文中,信息的可信性可能是又一挑战。换言之,即使反病毒扫描器和基于网络的安全性设备被配置成共享安全情报,每个设备也可能不具有验证从另一设备接收的情报的手段。
[0040]在示例中,本说明书提供数据交换层(DXL),该数据交换层可在轻量的基于消息收发的通信基础设施(诸如ESB)上操作,且可被配置成允许多个端点共享上下文数据。DXL可以是更大的安全连接框架的一个元件,该安全连接框架是互连的多个设备的自适应系统,诸如安全性系统,互连的多个设备通信并共享信息以通过个体安全产品和/或集体作出实时、准确的安全决定。根据示例,网络、端点、数据库、应用和其它安全解决方案不需要作为单独的“仓”而操作,而是作为一个同步的、实时的、上下文感知的和自适应的安全系统而操作。
[0041]图1是具有DXL能力的上下文感知网络100的网络图。根据该示例,多个客户机120连接至DXL企业服务总线(ESB)HOt3DXL ESB 130是DXL结构的示例,并且可在诸如局域网(LAN)之类的现有网络之上被提供。客户机120可以是任何合适的计算设备,作为非限制性示例,包括计算机、个人数字助理(PDA)、膝上计算机或电子笔记本、蜂窝电话、IP电话、iPhone?、iPad?、Microsoft Surface?、Android?手机、Google Nexus?、或能够在通信系统内发起语音、音频或数据交换的任何其它设备、部件、元件或对象,包括提供给终端用户的合适的接口(诸如话筒、显示器、或键盘或其它终端设备)。在图1的示例中,客户机120-1是诸如网络安全传感器之类的嵌入式设备。客户机120-2是虚拟机。客户机120-3是膝上计算机或笔记本计算机。客