或种类的消 息),至消费者的通信路径就存在。由客户端执行连接发起。
[003引如贯穿本说明书所使用,"D化消息"包括通过DXL ESB传递的任何消息。每一条EXL 消息包括至少一个"话题";话题表示消息的主题。作为非限制性示例,话题可包括威胁情 报、上下文和事件。
[0039] 通过设计,每一个D)(L端点配置成订阅至少一个D)(L消息话题(最少订阅用于将DXL 消息路由至那个D)(L端点的私有目的地话题)。运允许通过D)(L在管理平台与例如它的被管 理的客户端中的一个或多个之间的双向的通信。
[0040]此配置提供若干优势,作为非限制性示例,包括:
[0041 ] a.用于分配软件(例如,更新)的、从几小时到接近实时的减少的时间。
[0042] b.对共享事件的自动的实时响应。
[0043 ] C.实时地将更新推送至策略、产品和内容。
[0044] d.显著地减小的带宽消耗,因为没有连接和提取的需要。大多数消息是被推送的。
[0045] e.根据共享的上下文数据的被通知的决策。
[0046] f.被管理的客户端与安全管理平台、系统或服务器之间的双向、实时的通信路径。
[0047] 在安全连接的平台的第=示例中,推送通知消息收发可用于增加效率并减少不必 要的网络通信量。某些现有的推送通知消息收发系统对于每一个系统发送一个通知,使得 当运些系统没有订阅相同的消息话题时,将相同的消息发送到多个不同的系统是低效的。
[0048] 然而,在当前的示例中,当发送推送通知时,聚合在每一位置的基础上发生,并且 利用单条推送通知将消息发送至远程位置。此消息包括确定哪些客户端将接收此通知的标 记,诸如,头部属性。随后,本地D)(L代理检查此通知,并将此消息拆分为n条通知,本地D)(L代 理在本地将运n条通知递送至所有相关的目标。由此,例如在D)(L代理连接至全都订阅其自 身的私有话题的六个客户端设备的情况下,仅此消息的一个副本需要通过网络发出。随后, 此D)(L代理根据推送通知的头部来确定其客户端中的哪六个客户端将接收此消息,并且将 此消息递送至那六个客户端。运显著地增加了当那些客户端不订阅相同的消息,订阅其自 身的私有消息,或订阅不同的话题时将相同种类的推送通知发送到大量客户端的效率。结 合图5更详细地描述运一点。
[0049] 在第四示例中,设备位置信息可用于在某些设备上自动地配置产品和服务。结合 图6-11更详细地描述运一点。
[0050] 图1是具有D)(L能力的上下文知晓的网络100的网络级框图。根据此示例,多个DXL 端点120连接至0化企业服务总线化58)130(图2)。0乂1£58 130是0化组织结构的示例,并且 可设置在现有网络(诸如,局域网(LAN))的顶部。ML ESB 130不必是特定的物理总线,或甚 至不必驻留在物理网络上。相反,ML ESB 130可跨越多个物理网络和子网络。从概念上说, KCL ESB 130仅仅是"组织结构",D化端点120通过此组织结构来共享DXL消息,其中,每一条 D化消息都包括话题,并且仅订阅了那个话题的D)(L端点120接收和/或作用于那个话题的消 息。有利的是,只要〇化端点120本身是受信的且能够经充分认证,ML ESB甚至就可延伸至 不受信或不安全的网络。由此,例如在咖啡店处操作D)(L端点120的远程用户可能仍然能够 经由其企业的DXL ESB 130来发送和接收D化消息,只要D化端点120能够被认证。在一些情 况下,D化端点的网络位置可影响D)(L端点120对于某些消息话题更可信还是更不可信。
[0051] D化端点120可W是任何合适的计算设备。在图1的示例中,D化端点被一般地表示 为计算设备。在一个示例中,D化端点120-1可W是嵌入式设备,诸如,网络安全传感器。ML 端点120-2可W是虚拟机。ML端点120-3可W是膝上型计算机或笔记本计算机。还应当注 意,D化端点不限于最终用户设备或客户端设备。例如,域主机160和域安全控制器化SCH80 可具有使它们能够充当〇化端点的D)(L客户端引擎。实际上,D化架构的主要益处在于,服务 器和客户端可在仅松散地禪合并保持对彼此的通信协议和细节的不可知性的同时交换消 息。
[0052] DXL ESB 130可W是合适的数据可在其上通过的任何类型的物理或虚拟网络连 接。现在,对于ESB不存在固定或全球标准,并且如本文中所使用,此术语旨在广泛地涵盖适 于消息交换的任何网络技术或拓扑。在一个实施例中,在端口 8883上交换消息队列遥测传 输(MQTT)消息。在此示例中,域主机160和DSC 180可被视为D)(L端点120的特殊情况。其他网 络元件可包括联合威胁情报(JTI)服务器、默认网关、代理设备和威胁情报服务器。任何网 络元件可作为D)(L端点来加入EXL ESB 130。
[0化3] 配置成在DXL ESB 130上操作或与DXL ESB 130-起操作的网络元件可被称为 "D化端点"。在示例中,运些可包括D)(L端点120、D化代理110和域主机160。
[0化4] D化代理(broker)llO可配置成通过DXL ESB 130来提供D)(L消息收发服务,诸如, 维护D)(L路由表W及递送消息。
[0化5] 域主机160可配置成通信地禪合至D)(L代理130。域主机160可维护数据库(诸如,数 据库162)中的域数据。在此示例中,域主机160和数据库162被示出为两个不同的实体,但是 应当注意,许多配置是可能的。例如,数据库162可驻留在域主机160本地的盘驱动器上,或 可被分开地或远程地主管。W示例方式来公开数据库162,并且数据库162可W是任何合适 的数据存储,作为非限制性示例,包括结构式或关系型数据库、分布式数据库或平面文件。
[0056] DSC 180可配置成提供域服务,诸如,辅助和支持服务、反病毒服务和/或命令和控 制服务。DSC 180可包括安全管理软件(SMS),此SMS可提供网络命令和控制功能。
[0057] 作为操作性示例,客户端(诸如,膝上型设备120-3)连接至LAN并接收新IP地址。此 亥IJ,膝上型设备120-3的若干性质(作为非限制性示例,包括其IP地址、关于其操作系统的信 息W及登录用户的用户名)变成对其他网络元件是可知的。为了易于引用,贯穿此示例,将 运些称为"客户端性质"。客户端性质是安全情报数据的实施例,并且引起虚拟机120-2的兴 趣,此虚拟机120-2先前已利用域主机160订阅了此安全情报数据。
[005引可由两个不同的源(即,由膝上型设备120-3且由网络安全传感器120-1)同时将客 户端性质报告给DXL。然而,网络安全传感器120-1可能未能报告用户名值。它还可能报告与 由膝上型设备120-3报告的不同的OS值。运可能例如因为网络安全传感器120-1正远程地感 测数据,并且可能不能够像膝上型设备120-3自身那样可靠地确定运些值。
[0059] 域主机160负责"客户端系统"数据域,此"客户端系统"数据域包括客户端性质。当 膝上型设备120-3和D)(L端点120-1发布包含客户端性质的消息时,运两个消息都首先被路 由至D)(L代理110。随后,D化代理110可将运些客户端性质转发至域主机160。
[0060] 域主机160可将从运两个源接收到的客户端性质组合并调和为单个的真相记录, 此单个的真相记录分别包含IP地址、操作系统和用户名的单个值。具体而言,它可经由其自 身的逻辑(也许是先前的配置)来确定,对于OS值,膝上型设备120-3比网络安全传感器120-1更可信。因此,当网络安全传感器120-1与膝上型设备120-1冲突时,域主机160可忽略从此 网络安全传感器120-1接收到的"操作系统"值。
[0061 ]经调和的客户端性质被持续地存储在域数据库162中。随后,域主机160可在DXL ESB 130上发布运些客户端性质。随后,D化代理110可将所发布的消息转发至虚拟机120-2, 此虚拟机120-2接收客户端性质的单个的、最准确的值。然而应注意,此调和过程是任选的。 在一些情况下,域主机160可能知晓特定的D)(L端点120是对于特定的消息话题的"最佳"设 备,因此将立即消费来自那个D)(L端点120的消息而不等待冲突的信息。
[0062] 随后,ML端点120-4可通过DXL ESB 130来发送D)(L请求,从而询问膝上型设备 120-3的客户端性质。D化代理110接收此请求,并自动将此请求路由至域主机160。域主机从 域数据库162检索客户端性质,并且发送D)(L代理110接收并转发至D)(L端点120-4的D)(L响应 消息。注意,虽然此示例中的"发布-订阅"事务是一对多的,但是"请求-响应"事务是一对一 的。
[0063] 在一些实施例中,可通过允许多个网络元件的松散的整合或禪合的消息收发来表 征DXL。松散的禪合可减少每一个D)(L端点必须作出的关于其他D)(L端点的假设,诸如,某些 能力、硬件或软件的存在。根据本说明书的一个或多个示例,ML是"即插即用"API,并且可 通过使上下文能够在产品之间共享来促进上下文知晓和自适应安全。
[0064] 进一步根据本说明书的一个或多个示例,ML是具有多个部署选项的弹性架构,并 且是高度可缩放的。D化还可利用思维的开放性来设计,并且允许第S方整合。
[0065] ML ESB 130可基于两层式协议。"底"层是安全、可靠、低等待时间的数据传输组 织结构,此数据传输结构将各种安全元件连接为网格,或W中枢与福射点化ub-and-spoke) 配置来连接各种安全元件。"顶"层是配置成促进可信的数据表示的可扩展数据交换框架。
[0066] 在示例中,ML端点连接至DXL ESB 130。可向每一个口化端点分配不同的身份,并 且在启动时,例如经由证书或其他安全令牌来向DXL ESB 130认证自身。ML端点可例如通 过发送寻址至具有特定身份的D)(L端点的D)(L消息来经由DXL ESB 130建立一对一通信。运 使D)(L端点在不需要必须建立点对点网络连接的情况下就能够彼此通信。在示例中,运与个 人对个人电话呼叫类似。
[0067] 在另一示例中,ML可提供发布-订阅框架,在此发布-订阅框架中,某些口化端点 巧阅"某种类型的消息。部XL端点在DXL ESB 130上"发布'那种类型的消息时,所有的订 阅者可处理此消息,而非订阅者可安全地忽略它。在示例中,运与播客订阅服务类似。在又 一示例中,D化可提供请求-响应框架。在运种情况下,一个D)(L端点可通过DXL ESB 130来发 布请求。接收此请求的适当的D)(L端点可提供响应。有利的是,可不仅由原始发布此请求的 D化端点来使用此响应。例如,如果DXL端点120发布对于对象的声誉的请求,则担当D)(L端点 120的JTI服务器可通过发布此声誉来响应。由此,发现此对象的实例的其他ML端点120可 从此响应中获益。例如,ML端点120可维护在网络上发布的声誉的综合的高速缓存。如果 D化端点120随后新遇到在此网络上已知的对象,贝化化端点已经具有此对象的最新声誉。
[0068] 可使用适用于连接安全元件的特定基础设施的不同的软件元件、模式和构造来实 现DXL ESB 130。例如,在物理企业网络中,可部署由多个经互连的消息代理组成的消息收 发中间件,其中,多个端点连接至最近的代理。在虚拟网络基础设施中,结构可充分利用管 理程序提供的信道。
[0069] 如上所述,ML ESB 130可配置成在W其他方式自主的、动态地聚集的D)(L端点之 间提供实时、受信的数据交换。由此,在示例中,ML ESB 130的概念性框架可包括两个虚拟 组件:
[0070] 安全相关的数据的广泛的集合被分类为"数据域"。每一个数据域是实体、属性和 相互关系的紧密相关的子集合。
[0071] 域主机160是被分配了每一个域的数据的所有权的数据提供者。域主机160担当原 始的"情报"数据的第一手源与数据消费者端点(诸如,D化端点120)之间的受信中间数据代 理。情报数据可从数据生产者端点流至适当的域主机160,随后被中继至消费者端点(诸如, D化端点120)。注意,在此示例中,"数据生产者"和"数据消费者"的概念是上下文角色,并且 不一定是物理设备。D)(L端点120可W在一个上下文中是数据生产者而在另一个上下文中是 数据消费者。
[0072] 在示例中,域主机160可建立与数据提供者端点之间的第一手信任关系。运使它能 够衡量它从任何特定的源接收到的数据(诸如,声誉数据)的质量(包括准确性和可靠性)。 当从多个(独立的)源馈如,不同的D化端点120)接收到重复、零碎的数据时,域主机160可 调和此数据并解决冲突W为每一个对象导出单个最有名的真相记录(诸如例如,声誉)。运 确保了