户机120-4是桌面计算机。
[0042]DXL ESB 130可以是任何类型的物理或虚拟网络连接,适当的数据可在该物理或虚拟网络连接上通过。目前没有用于ESB的固定或全球标准,且如本申请中所使用的该术语旨在广泛地涵盖适用于消息交换的任何网络技术或布局。在一个实施例中,在端口 8883上交换消息队列遥测传输(MQTT)消息。在一些情况下,客户机120、DXL中介110、域主站160、数据库162、JTI服务器(图1A)、代理服务器170(图1A)以及威胁情报服务180(图1A)(均作为非限制性示例)可被称为“网络元件”。
[0043]被配置成在DXL ESB 130上操作或与DXL ESB 130—起操作的网络元件可被称为“DXL端点”。在一示例中,这些端点可包括客户机120、DXL中介110以及域主站160。
[0044]DXL中介110可被配置成在DXL ESB 130上提供DXL消息收发服务,诸如保持DXL路由表和递送消息。
[0045]DXL中介110提供DXL服务190,在一示例中,DXL服务190是用于向DXL端点提供DXLESB 130的网络服务。
[0046]域主站160可被配置成通信地耦合至DXL中介130。域主站160可在诸如数据库162之类的数据库中保持域数据。在该示例中,域主站160和数据库162被示为两个不同的实体,但应当注意,许多配置都是可能的。例如,数据库162可驻留在域主站160本地的盘驱动器上,或可分开地或远程地被托管。作为示例,公开了数据库162,该数据库可以是任何合适的数据存储,作为非限制性示例,包括结构数据库或关系数据库、分布式数据库或平面文件。
[0047]作为操作性示例,诸如膝上型计算机120-3之类的客户机连接至LAN并接收新的IP地址。此时,膝上型计算机120-3的若干属性变得为其它网络元件所知,作为非限制性示例,这些属性包括其IP地址、与其操作系统有关的信息、以及登录用户的用户名。为便于引用,在本示例通篇中,这些属性被称为“客户机属性”。客户机属性是安全情报数据的实施例,并且是虚拟机120-2所感兴趣的,虚拟机120-2先前已经向域主站160订阅安全情报数据主题。
[0048]可通过两个不同的源(即通过膝上型计算机120-3和通过网络安全传感器120-1)向DXL同时报告客户机属性。然而,网络安全传感器120-1可能未报告用户名值。它也可能报告与膝上型计算机120-3所报告的值不同的OS值。例如,这可能是因为网络安全传感器120-1正在远程地感测数据,并且可能不能像膝上型计算机120-3自身那样可靠地确定这些值。
[0049]域主站160负责“客户机系统”数据域,该数据域包含客户机属性。当膝上型计算机120-3和客户机120-1发布包含客户机属性的消息时,这两个消息首先被路由至DXL中介110 AXL中介110然后可将客户机属性转发给域主站160。
[0050]域主站160可将从两个源接收的客户机属性组合并调适成单个真实记录,包含分别用于IP地址、操作系统和用户名的单个值。具体地,该域主站可通过其自己的逻辑和可能的先前配置确定,对于OS值,膝上型计算机120-3比网络安全传感器120-1更值得信任。因此,当网络安全传感器120-1与膝上型计算机120-3冲突时,域主站160可忽略从网络安全传感器120-1接收的“操作系统”值。
[0051]经调适的客户机属性被持续地存储在域数据库162中。域主站160然后可在DXLESB 130上发布客户机属性。DXL中介110然后可将发布的消息转发至虚拟机120-2,该虚拟机接收客户机属性的单个和最准确的值。
[0052]随后,客户机120-4可在DXL ESB 130上发送DXL请求,查询关于膝上型计算机120-3的客户机属性。DXL中介110接收该请求并将其自动路由至域主站160。域主站160从域数据库162检索客户机属性并发送DXL响应消息,DXL中介110接收该DXL响应消息并将其转发至客户机120-4。注意,虽然本示例中的“发布一订阅”事务是一对多,但“请求一响应”事务是一对一 O
[0053]在一些实施例中,DXL的特征在于允许多个网络元件的松散集成或耦合的消息收发。松散耦合可减少每个DXL端点必须对其它DXL端点作出的假定,诸如某些能力、硬件或软件的存在。根据本说明书的一个或多个示例,DXL是“即插即用” API,并且可通过使上下文能在产品之间共享来便于上下文感知和自适应安全。
[0054]进一步根据本说明书的一个或多个示例,DXL是具有多个部署选项的弹性架构并且是高度可缩放的。还可开放地设计DXL,并且该DXL允许第三方集成。
[0055]DXL ESB 130可基于两层协议。“底”层是安全的、可靠的、低延迟时间的数据传输结构,该数据传输结构将多种多样的安全元件连接为网或以中心辐射式配置连接多种多样的安全元件。“顶”层是可扩展的数据交换框架,该数据交换框架被配置成便于可信的数据表不。
[0056]在示例中,DXL端点连接至DXLESB 130。每个DXL端点被分配不同的身份,并且在启动时向DXL ESB 130认证自身(例如经由证书或其它安全令牌KDXL端点可经由DXL ESB130建立一对一的通信(例如通过发送寻址至具有特定身份的DXL端点的DXL消息)。这使得DXL端口能够彼此通信,而不必建立点对点网络连接。在一示例中,这与个人对个人的电话类似。
[0057]在另一示例中,DXL可提供发布一订阅框架,其中某些DXL端点“订阅”至某种类型的消息。当DXL端点在DXL ESB 130上“发布”该类型的消息时,所有订户可处理该消息,而非订户可安全地忽略它。在一示例中,这与播客订阅服务类似。在又一示例中,DXL可提供请求一响应框架。在该情况下,一个DXL端点可在DXL ESB 130上发布请求。接收该请求的适当的DXL端点可提供响应。有利地,该响应可由比原始发布该请求的DXL端点更多的端点使用。例如,如果客户机120发布对于对象的声望的请求,则JTI服务器150可通过发布该声望来作出响应。因此,找到该对象的实例的其它客户机120可受益于该响应。例如,客户机120可维持在网络上发布的声望的综合高速缓存。如果客户机120然后新遇到该网络上已知的对象,则客户机120已经具有该对象的最新的声望。
[0058]可使用适合于连接安全元件的特定基础设施的多种多样的软件元件、模式和构造来实现DXL ESB 130。例如,在物理企业网络中,可部署由多个互连的消息中介组成的消息收发中间件,其中端点连接至最近的中介。在虚拟网络基础设施中,该结构可充分利用管理程序提供的通道。
[0059]如上所述,DXLESB 130可被配置成在原本自治的动态组装的DXL端点之间提供实时的、受信的数据交换。因此,在一示例中,DXL ESB 130的概念框架可包括两个虚拟部件:
[0060]a.安全相关数据的广泛集合被分类成“数据域”。每个数据域是实体、属性和相互关系的紧密相关子集。
[0061]b.域主站160是每个域的被分配数据所有权的数据提供方。域主站160充当原始“情报”数据的一手源与诸如客户机120之类的数据消费者端点之间的中间受信数据中介。情报数据可从数据生产者端点流向适当的域主站160,然后被中继至诸如客户机120之类的数据消费者端点。注意,在本示例中,“数据生产者”和“数据消费者”的概念是上下文角色,并且不一定是物理设备。客户机120在一种上下文中可以是数据生产者,而在另一上下文中可以是数据消费者。
[0062]在示例中,域主站160可与数据提供方端点建立一手信任关系。这使得它能够测定它从任何特定源接收的数据(诸如声望数据)的质量(包括准确度和可靠性)。当从诸如不同客户机120之类的多个(独立)源接收到重复的零碎数据时,域主站160可调和该数据并解决冲突,以导出每个对象的单个最著名的真实记录(诸如例如声望)。这确保客户机120接收一致数据。
[0063]域主站160还可将数据转换成广为人知的标准化的表示。可在DXLESB 130上发布该表示,使得所有客户机120接收可使用的数据。
[0064]有优势地,即使在需要一对一通信时,DXL端点也不需要知道什么设备发出数据、或者不需要与其它DXL端点建立点对点连接。相反,DXL客户机软件或DXL扩展使得DXL端点能够使用其自己的本地API来查询和接收数据。为了高效地增强网络,DXL端点可在本地高速缓存接收到的数据,这些数据可被信任直到被经授权的DXL消息取代为止。例如,客户机120可订阅已发布的对象的声望。当响应于请求一响应事务或在发布一订阅模型中接收到对象声望时,客户机120可将该声望存储在本地数据库中。该声望可被信任直到被取代,因为DXL主站160被配置成每当接收到更新的声望时发布声望更新。因此,来自客户机120的频繁的个体数据请求变成批量数据订阅,因为已发布的声望对订阅声望的所有客户机120可用。这样可有优势地减少数据交换的等待时间。
[0065]在另一示例中,DXL中介110提供发现和位置服务,该服务通知DXL端点关于应当将数据查询和订阅请求路由至的特定域主站160。
[0066]有优势地,本申请中描述的示例DXL架构是灵活的。例如,个体数据源可连接至网络或从网络断开,而不影响数据消费者。域主站160可简单地依赖于任何可用的数据源。此夕卜,该框架不对物理位置或具体地域主站160或域端点如何部署或配置进行假定。只要每个网络元件提供有效的DXL消息收发,就可正确地路由业务量。
[0067]在以上示例中,DXL主站160是逻辑上的单件,但应注意,也可将DXL主站160实现为例如分布式的多个服务部件的集合,其中每个部件服务该域的子集,或提供在别处运行的服务的本地数据副本。这样的配置可增强规模、性能和可靠性。这也可允许透明地重新安置服务。
[0068]进一步有优势地,本申请中提供的DXL框架是可扩展的。例如,可通过创建新的数据域来简单地提供与新实体和关系有关的数据。可通过定义用于该域的新消息类型来简单地提供现有数据域的新属性和关系。
[0069]在一示例中,域主站160具有对恶意软件数据的域的责任。为了将诸如网络状态和设备维护之类的消息与“恶意软件”域区分开,可针对每个域定义名称空间。例如,声望域可使用“恶意软件(MALWARE)”名