安全连接的框架的制作方法
【专利说明】
[0001] 相关申请的交叉引用
[0002] 本申请要求2013年9月28日提交的、题为"安全连接的平台"("56(:邮口¥-CONNECT抓PLATF0RT )的美国临时申请61 /884,006的优先权,该美国临时申请通过引用整 体被结合在本文中。2013年12月19日提交的、题为"数据交换层上的上下文知晓的网络" (乂ontext-Aware 化twork on a Data Exchange Layer")的共同待定的PCT申请PCT/ US2013/076570也通过引用被结合在本文中。
技术领域
[0003] 本申请设及企业安全领域,更具体而言,本申请设及用于数据交换层的安全连接 的框架。
【背景技术】
[0004] 企业服务总线巧SB)是在面向服务的架构上提供数据交换介质的基于软件的网络 架构。在一些实施例中,ESB是客户端-服务器软件架构的特殊情况,在客户端-服务器软件 架构中,客户端可通过服务器来路由消息。
[0005] 提供给用户的软件、二进制文件、可执行文件、广告、web页、文档、宏、可执行对象 和其他数据(共同地称为"可执行对象")可包括受到恶意软件的滥用的安全缺陷和隐私泄 露。如贯穿本说明书所使用,恶意的软件("恶意软件")可包括病毒、木马、僵尸病毒、隐藏程 序(rootkit)、后口、蠕虫、间碟软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器助 手对象、缓存(cookie)、登录器、或设计成用于采取潜在地不需要的动作的类似的应用或应 用的部分,作为非限制性示例,所述潜在地不需要的动作包括数据破坏、隐蔽的数据收集、 隐蔽的通信、浏览器劫持、网络代理设备(proxy)劫持或重定向、隐蔽的跟踪、数据记录、键 盘记录、对于删除的过多的或故意的障碍、联系人收获、对高价服务的不需要的使用W及未 经授权的自传播。在一些情况下,恶意软件还可能包括含有导致或允许恶意软件行为的疏 忽的安全缺陷的合法软件。"恶意软件行为"被定义为将应用鉴定为恶意软件或灰色软件 (grayware)的任何行为。一些现有的系统配置为例如通过维护已知的恶意软件的数据库来 标识并阻止恶意软件。
[0006] 除了可执行对象,计算设备可能遇到不旨在改变计算机的操作状态的静态对象。 作为类别,可将可执行对象和静态对象简称为"对象"。企业安全所关屯、的是对于对象的恶 意软件状态的分类。
【附图说明】
[0007] 当与所附附图一起阅读时,通过W下【具体实施方式】可最好地理解本公开。要强调 的是,根据行业内的标准惯例,各种特征不是按比例绘制的,并且仅用于说明目的。事实上, 为了使讨论清楚,可任意地增大或减小各种特征。
[000引图1是根据本说明书的一个或多个示例的上下文知晓的网络的框图。
[0009]图2是根据本说明书的一个或多个示例的数据交换层的框图。
[0010]图3是根据本说明书的一个或多个示例的DXL端点的框图。
[0011] 图4是根据本说明书的一个或多个示例的服务器的框图。
[0012] 图5是根据本说明书的一个或多个示例的生产者-消费者架构的框图。
【具体实施方式】 [001引概述
[0014] 在示例中,在数据交换层(D化)上提供安全连接的平台,可在企业服务总线上提供 所述DXL,所述企业服务总线提供消息收发服务,包括发布-订阅消息收发、请求-响应消息 收发、推送通知消息收发W及其他消息收发和通信能力。ML提供经由D)(L代理而连接的多 个D)(L端点。在一种情况下,被指定为生产者的D)(L端点经授权W生产某些类型的消息,包括 安全相关的消息,诸如,对象声誉。其他DXL端点被指定为那些消息的消费者。在另一种情况 下,D化端点可被指定为生产某些类型的消息的生产者W及相同类型的消息和/或由D)(L上 可用的其他生产者生产的其他类型的消息的消费者。还可提供域主机,并且此域主机配置 成经由资产管理引擎来提供物理和逻辑位置服务。
[0015] 本公开的示例实施例
[0016] W下公开内容提供用于实现本公开的不同特征的许多不同的实施例或示例。在下 文中描述组件和布置的特定示例W简化本公开。当然,运些内容仅是示例,并且不旨在是限 制性的。此外,本公开可在各种示例中重复参考编号和/或字母。此重复仅出于简化和清楚 的目的,并且自身并不指定所讨论的各种实施例和/或配置之间的关系。
[0017] 不同的实施例可具有不同的优点,并且没有特定的优点对于任何实施例一定是必 雨的。
[0018] 在日益异构的软件生态系统中,企业可能面临新的、增加的安全挑战和恶意软件 威胁。运形成了一种情况,其中在原本自主的网络元件之间的威胁情报的实时交换是所需 的。增加的共享可在否则在其自身的安全"仓筒"("Silo")中操作的设备之间改善安全。
[0019] 本说明书的系统和方法通过跨数据源提供标准化的数据表示并保障由不同的源 共享的数据的质量来应对此类挑战。
[0020] 上下文知晓的计算(CAC)是使用关于人、地点、事物的情景和环境信息来预期即刻 的需求并主动提供丰富的、情景可知的、有用的功能和经历的计算样式。上下文知晓的计算 依赖于捕捉关于在系统正在运行的时刻的世界的数据。
[0021] 根据本说明书的一个或多个示例,"上下文知晓的网络"是经互连的服务的自适应 系统(包括例如,安全系统),所述经互连的系统传递并共享信息W由各产品和/或由产品作 为集合体作出实时、准确的决策。根据示例,网络、端点、数据库、应用和其他安全解决方案 将不再操作为分开的"筒仓",而操作为一个经同步的、实时的、上下文知晓的自适应安全系 统。
[0022] 在示例中,多个网络元件经由数据交换层(ML)彼此连接,所述口化是适于安全相 关的消息等的交换的一种类型的ESB。如本文中所使用,"网络元件"包括任何类型的客户端 或服务器(例如,视频服务器、web服务器等)、路由器、交换机、网管、桥、负载平衡器、防火 墙、内联服务节点、代理设备、网络装置、处理器、模块、或可操作W在网络环境中交换信息 的任何其他合适的设备、组件、元件或对象。更具体而言,D化端点是通过DXL ESB进行交互 的网络元件。ML端点可跨客户网络而分布,并且能W受信、安全且可靠的方式"实时"地通 信。运可提供增加的自动化和改善的安全服务。
[0023] 在示例中,D化端点部署在网络内的多个战略位置处W拦截持续的业务活动,检查 并解释它,并且最终确定它是否被授权;运意味着例如它符合企业安全策略。在一些情况 下,网络元件必须巧带内"("in-band")作出此类决策,从而W足够低的等待时间,"机器实 时地"("machine-real-time")瞬时挂起业务活动W避免业务活动中显著的用户可感知延 迟。
[0024] 在一些情况下,网络元件可仅通过它们自身的独立的分析和观察且经由经调度的 定义更新而具有对安全数据的独立的访问权,所述经调度的定义更新可例如随着经更新的 恶意软件定义每周到来。
[0025] 由于网络元件经常是异构的,并且可能W临时或专设(ad hoc)的方式来部署(特 别是在现代网络中),因此,实时的情报成为挑战,当"带内"决策是必要的时候尤其如此。此 夕h企业可能W零碎的方式来获取安全解决方案,使得一个产品不能够总是假设另一产品 的存在。例如,可能没有供网络元件咨询的单个预定义的威胁情报的储存库,并且定期的恶 意软件定义更行可能不包括最近发现的威胁。数据的表示和解释产生了另一挑战。网络元 件可使用不同的、专有的数据表示。由此,例如甚至反病毒扫描器可能也无法配置成与基于 网络的安全设备共享新发现的恶意软件信息。在其他上下文中,信息的可信度可能是又一 挑战。换言之,即便反病毒扫描器和基于网络的安全设备配置成共享安全情报,每一者可能 也不具有验证从另一者接收到的情报的手段。
[0026] 在示例中,本说明书提供数据交换层(ML),此口化可在轻量的基于消息收发的通 信基础设施(诸如,ESB)上操作,并且可配置成允许端点共享上下文数据。D化可W是经互连 的服务的较大的安全连接的框架中的一个元件,所述较大的安全连接的框架是自适应系 统,诸如,安全系统,所述经互连的服务传递并共享信息,W便由多个单独的安全产品和/或 由作为集合体的安全产品进行实时、准确的安全决策。根据示例,网络、端点、数据库、应用 和其他安全解决方案不必操作为分开的"筒仓",而操作为一个经同步的、实时的、上下文知 晓的自适应安全系统。
[0027] ML被建立在消息收发技术(诸如,ESB)的顶部,所述消息收发技术允许多种不同 的使用情况和能力(通过在多个不同的产品之间共享上下文而实现的上下文知晓和自适应 安全,从而允许多个安全组件操作为一个组件W便立即在端点、网关W及允许安全情报和 自适应安全的其他安全产品之间共享相关的数据(根据你正在获得的信息立即改变行为); 对端点和许多其他使用情况的上级命令和控制)。
[002引通过使用用于安全和管理目的的ESB消息收发使运些有利的能力成为可能。D化消 息收发允许实时、双向的通信基础设施,从而允许产品和解决方案使用单个的应用编程接 口(API)来彼此整合。每一个设备可通过D)(L组织结构来共享它喜欢的基本上任何数据,而 运些设备本身仅被松散地禪合,并且不必按共同的或标准化的协议操作。
[0029] ML消息类型的示例包括发布-订阅通知、查询响应W及推送通知。设备还可共享 事件,作为非限制性示例,事件包括安全相关的事件、上下文信息(关于节点、其用户的身 份、所使用的应用、它们被发现的位置等等)、命令、任务和策略。
[0030] 在安全连接的框架的第一示例中,消息收发技术用于维持并增强企业安全。通过 安全连接的框架共享的安全信息可包括不止上下文,并且作为非限制性示例还包括命令、 任务、策略和软件更新。由此,利用安全连接的框架,基础设施能够充当命令和控制管理基 础设施。此基础设施还可与安全管理软件(SMS)(诸如,MCAfee底ePo 1 icyOrcheStrator) - 起使用。SMS可连接至DXL ESB,从而使SMS能够提供跨整个网络的命令和控制功能。
[0031] 消息收发允许松散地禪合的方式的产品之间的整合,从而降低两个或更多个产品 为了整合而作出的关于彼此的假设的量。本实现使用嵌入有McAfee Agent且作为软件库来 提供的单个API。
[0032] 本说明书的安全连接的框架还解决了对操作安全的状态的控制问题。某些现有的 安全管理解决方案不能够随意地发起与例如坐落在网络地址转换(NAT)边界的另一侧上的 被管理的设备之间的通信。随着变化的业务需求(作为非限制性示例,诸如,云、可动化和消 费化),此挑战可能变得更复杂。
[0033] 在运些情况下,被管理的设备可能在不可预知的时刻发起通信,从而保持打开窗 口,在此窗口期间,企业被暴露于由于其不能够立即将策略变化、内容部署和程序更新推送 到所有的节点而导致的增加的风险。
[0034] 在运种挑战的一个示例中,需要安全防御的编配作为对安全事件的立即反应。如 贯穿本说明书所使用,"安全事件"包括具有个人和/或企业安全的实质性分支的设备或网 络上的任何事件。安全事件的非限制性示例包括实际的或潜在的入侵事件、用户或设备认 证事件、审计事件、恶意软件事件、反恶意软件更新、用户或设备声誉更新、物理入侵事件、 数据丢失、大量或显著的数据的输入、或企业安全策略的变化。
[0035] 在安全连接的框架的第二示例中,提供实时的双向通信组织结构W允许实时的安 全管理。具体而言,某些现有的消息收发基础设施基于一对多通信(发布-订阅)。在本说明 书的此示例中,显著地增强了发布-订阅能力,使得那种通信可W是一对一的(例如,对等式 (peer-to-peer))或双向的(例如,查询-响应)。有利的是,框架可按比例缩放至数百万并发 连接的客户端,使得无论经连接的客户端的物理位置如何,任何经连接的客户端都可实时 地或接近实时地到达任何其他经连接的客户端。为此,在不同类型的被连接的客户端之间 提供D)(L抽象层,并且此D)(L抽象层充当中间通信介质。
[0036] 在此示例中,能W各种方式将客户端设备分类为消息的"生产者"或"消费者",其 中,生产者提供相关的安全消息,而消费者接收那些消息。设备作为生产者或消费者的角色 不需要是静态的,并且取决于上下文,一般而言,任何设备都可W是生产者或消费者。作为 生产者或消费者的设备角色也可随时间或环境而改变。由此,一个设备可W是某些消息话 题的生产者和消费者两者;第二设备可W是一些话题而非其他话题的生产者;第=设备可 W是某些话题的消费者W及另一些话题的生产者。
[0037] 只要客户端订阅了一个或多个话题(其中,每一个话题包括不同类