DXL端点120接收一致的数据。
[0073] 域主机160还可将数据变换为易理解的标准化表示。可在DXL ESB 130上发布此表 示,使得所有的D化端点120接收有用的数据。
[0074] 有利的是,即便当一对一通信是必要的时候,D化端点也不需要知晓什么设备产生 数据,并且不必进行向其他〇化端点的点对点连接。相反,D化客户端软件或D)(L扩展使D)(L端 点能够使用其本地API来查询并接收数据。为了增加网络效率,ML端点可在本地对接收到 的数据进行高速缓存,可信任此数据,直到它被经授权的〇化消息取代为止。例如,ML端点 120可订阅被发布的对象声誉。当响应于请求-响应事务或W发布-订阅模型接收到对象声 誉时,D化端点120可将此声誉存储在本地数据库中。可信任此声誉,直到它被取代为止,因 为D)(L主机160配置成每当它接收到经更新的声誉时就发布声誉更新。由此,当被发布的声 誉对订阅声誉的所有DXL端点120都是可用的时,来自DXL端点120的多个频繁的单个数据请 求成为大量数据订阅。有利的是,运可减小数据交换的等待时间。
[0075] 在又一示例中,ML代理110提供发现和位置服务,此发现和位置服务向口化端点通 知数据查询和订阅请求应当被路由至的特定的域主机160。
[0076] 有利的是,本文中所述的示例DXL架构是灵活的。例如,各数据源可在不影响数据 消费者的情况下连接或从网络上断开连接。域主机160可简单地依赖于无论什么可用的数 据源。此外,此框架不作出关于物理位置的假设,特别不作出域主机160或域端点是如何被 部署或配置的假设。只要每一个网络元件提供有效的D)(L消息收发,通信量就被正确地路 由。
[0077] 在上述示例中,D化主机160是逻辑单件,但是应当注意,D化主机160可实现为例如 一组分布式服务组件,其中每一个组件服务域的子集或提供在别处运行的服务的本地数据 复制。此类配置可增强规模、性能和可靠性。运还允许透明地重新定位服务。
[0078] 进一步有利的是,本文中提供的DXL框架是可扩展的。例如,可简单地通过创建新 数据域来提供关于新实体和关系的数据。可简单地通过定义那种域的新消息类型来提供现 有的数据域的新属性和关系。
[0079] 在示例中,域主机160对恶意软件数据的域具有责任。为了将消息与此"恶意软件" 域区分开,可为每一者(诸如,网络状态和设备维护)定义名称空间。例如,声誉域可使用 "MALWARE"名称空间,网络状态域可使用"STATUS"名称空间,而设备维护域可使用"MAINT" 名称空间。由此,如果域主机160是声誉域的主机,则它知道要处理恶意软件名称空间内的 消息,并且忽略所有其他消息。运允许每一个域的设计者分配一组消息,而不必为了避免消 息的名称冲突而咨询现有的域。
[0080] 例如,声誉域和设备维护域两者对诸如D0WNL0AD_UPDATES(下载_更新)之类的消 息都是有用的。在声誉域的情况下,此消息可W是从JTI服务器150检索经更新的定义的指 令。在设备维护域中,运可W是从供应商处下载操作系统更新的指令。
[0081] ML端点120可配置成交换来自若干D)(L域的数据,并且可订阅声誉域和设备维护 域两者上的消息。由此,例如D)(L端点120-1能够通过请求大量声誉更新来解析并响应于DXL 消息D0WNL0AD_UPDATES。在一个实施例中,请求恶意软件更新的消息自身可W是DXL消息。 在一些情况下(例如,在更新很大且不需要是实时的情况下),可在D)(L架构的外部完成对更 新的递送W预留D化用于轻量、高速的消息收发。
[0082] D化端点120还可知道,它应当通过联系供应商的服务器并请求更新来解析并响应 于MINT: DOWNLOADJJPDATES(维护:下载_更新)。
[0083] 在域主机160被配置为声誉域的主机的情况下,它可W知道要忽略不在MALWARE名 称空间中的所有的D)(L消息。然而,要注意,单个物理设备可配置成担当多个域的域主机,在 运种情况下,不同名称空间中的通信量可传递至不同的子例程。在一些实施例中,ML代理 110可配置成合成来自被给予较低优先级(诸如,ML ESB 130上的"建议"优先级)的多个 D化网络设备(诸如,D化端点120)的报告。
[0084] 可合并新的或更好的数据源,通过将它们与域主机160整合,进一步增加了可扩展 性。运对于D)(L端点120和其他D)(L端点可W是完全透明的。
[0085] 作为非限制性示例,D化代理110的附加特征可包括:用于查找注册的端点、可用的 服务和它们的位置的服务和位置寄存器;发布/订阅(1:N)接口、请求/响应(1:1)接口、设备 对设备(1:1)接口 W及推送通知消息收发接口;在代理之间传递的优化的消息;目的地知晓 的消息路由;W及代理到代理故障转移(failover)。
[0086] 有利的是,域主机160不必关屯、每一个D)(L端点如何处理被发布的消息。相反,那可 W是企业安全策略的事情。
[0087] ML端点120的附加 DXL特征可包括:本地消息总线集成;用于发现代理、向ML认 证、发送和接收经编目的消息的API,作为非限制性示例。
[0088] 作为非限制性示例,上下文知晓的网络100的附加总体特征可包括:ML代理和客 户端供应W及域主机160的管理;将端点授权到DXL ESB 130上的基于策略的授权;使基于 S化的通信安全;用于离楼(off-premises)通信的代理设备支持;W及利用D)(L代理功能预 配置(由此,使域主机140和D)(L代理110结合为一个设备)的域主机装置。
[0089] 图2是根据本说明书的一个或多个示例的、公开了上下文知晓的网络100上的DXL ESB 130的网络示图。在此示例中,ML代理110-1可被指定为"中枢"("hub"),而DXL代理 110-2、110-3、110-4和110-5可被指定为"福射点"("spoke")。在示例中,所有经过福射点的 D化通信量将被转发到中枢,中枢将会将此通信量分配到其他福射点。可经由任何合适的手 段来将D)(L代理110指定为中枢,诸如,基于MAC IC、IP地址或邻近域主机160的网络来选择 中枢。
[0090] 如果D化代理110-1下线,贝阿能至少临时地需要另一中枢。在那种情况下,可选择 另一中枢。当D)(L代理110-1返回在线时,取决于网络拓扑和设计考虑,它可恢复其作为中枢 的职责,或可担当福射点。
[0091] 在另一示例中,福射点可在有效地对D)(L代理110-1使用时形成临时的网格状网 络。在又一实施例中,D化代理110可配置成专职地W网状配置操作。
[0092] 可通过跨不同的网络桥接DXL ESB 130来提供附加的可延伸性,从而使得能够通 过较大的网络(包括因特网)来交换数据。
[0093] D化代理110可配置成增强DXL ESB 130的效率。例如,每一个D)(L代理110可维护每 一个被连接的〇化端点120的所订阅话题的列表。随后,D化代理110自身订阅那些话题。每一 个ML代理110还维护每一个其他的ML代理110订阅哪些话题的列表。当ML代理110从其 D化端点120中的任何一个端点接收到消息时,此D)(L代理110确定其他代理中的哪些代理订 阅了此DXL消息的话题,并且将此消息仅转发给那些代理。
[0094] 例如,D)(L端点120-42可W是反病毒定义更新服务器。D)(L端点120-52、120-54、 120-56、120-34、120-36和120-22可W是已将反病毒引擎安装于其上的客户端,所述反病毒 引擎需要来自反病毒定义更新服务器120-42的反病毒更新。由此,客户端120-52、120-36和 120-22通过通知它们各自的D化代理110它们希望订阅话题ANTIVIRUS_DEFN_UPDATES(反病 毒_定义_更新)来订阅那个话题。D化代理110-5、110-3和110-2在轮到它们时,通过向其他 D化代理110发布它们现在订阅话题ANTIVIRUS_DEFN_UPDATES来订阅那个话题。当反病毒定 义更新服务器120-42具有可用的新更新时,它可对ANTIVIWS_DEFN_UPDATES话题发布消 息,从而指示新的反病毒更新是可用的。此消息还可包括其他信息,诸如,下载更新的指令, 或指示某个时间之后,此消息应当被忽略为期满的期满日期。
[0095] D化代理110-4从反病毒定义更新服务器120-42接收消息,并且在其自身的D)(L路 由表中查找 D)(L 代理 110 订阅 了话题 ANTIVIWS_DEFN_UPDATESdD)(L 代理 110-2、110-3和110-5订阅了此话题,因此D)(L代理110-4将此消息的副本发送到那些代理中的每一个。它不将副 本发送到未订阅此话题的D)(L代理110-1。
[0096] 接着,D化代理110-2、110-3和110-5各自都将此消息分配给它们各自的、已订阅此 话题的DXL端点。有利的是,节省了网络带宽。对于用于单独地通知每一个客户端的反病毒 定义更新服务器120-42,它可能将不得不向外发送留个单独的此消息的副本(向每一个订 阅的客户端发送一个副本)。但是,在运种情况下,通过DXL ESB 130组织结构仅发送了S个 副本,并且〇化代理随后根据需要在本地分配副本。运降低了对于DXL ESB130的总带宽要 求。
[0097] 图3是根据本说明书的一个或多个示例的客户端设备120的框图。客户端设备120 可W是任何合适的计算设备。在各种实施例中,作为非限制性示例,"计算设备"可W是或可 包括计算机、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字主力(PDA)、膝上型计 算机、蜂窝电话、IP电话、智能电话、平板计算机、转换式平板计算机、手持式计算机或用于 处理并传递数据的任何电子、微电子或微机电设备。
[0098] 客户端设备120包括处理器310,该处理器310连接至存储器320,该存储器320在其 中存储了用于提供操作系统322和D)(L客户端324的可执行指令。客户端设备120的其他组件 包括存储设备350、网络接口 360和外围接口 340。
[0099] 在示例中,处理器310经由存储器总线370-3通信地禪合至存储器320,作为示例, 所述存储器总线370-3可W是例如直接存储器访问(DMA)总线,但是其他存储器架构是可能 的,包括在其中存储器320经由系统总线370-1或某个其他总线来与处理器310通信的存储 器架构。处理器310可经由系统总线370-1通信地禪合至其他设备。如贯穿本说明书所使用, 总线摂包括任何有限或无线的互连线、网络、连接、线束、单总线、多总线、交叉网络、单级网 络、多级网络或操作W在计算设备的多个部分之间或在多个计算设备之间携载数据、信号 或功率的其他传导介质。应当注意,仅作为非限制性示例公开了运些使用,并且一些实施例 可省略上述总线中的一种或多种,而其他实施例可采用附加的或不同的总线。
[0100] 在各种示例中,"处理器"可包括硬件、软件或提供可编程逻辑的固件的任何组合, 作为非限制性示例,包括微处理器、数字信号处理器、现场可编程口阵列、可编程逻辑阵列、 专用集成电路或虚拟机处理器。
[0101] 处理器310可按DMA配置,经由DMA总线370-3而连接至存储器320。为使本公开简 化,存储器320被公开为单个的逻辑块,但是在物理实施例中可包括任何一种或多种合适的 易失性或非易失性存储器技术的一个或多个块,包括例如,DDR 341、51?41、01?41、高速缓存、 Ll或L2存储器、忍片上存储器、寄存器、闪存、ROM、光介质、虚拟存储器区、磁或带存储器、或 类似物。在某些实施例中,存储器320可包括相对低等待时间的主存储器,而存储设备350可 包括相对较高等待时间的非易失性存储器。然而,存储器320和存储设备350不必是物理上 分开的设备,并且在一些示例中可仅表示逻辑上的功能分离。还应当注意,虽然通过非限制 性示例公开了 DMA,但是DMA不是符合本说明书的唯一的协议,并且其他存储器架构也是可 用的。
[0102] 存储设备350可W是任何种类的存储器320或可W是分开的设备,诸如,硬驱动器、 固态驱动器、外部存储设备、独立盘冗余阵列(RAID)、网络附连的存储设备、光存储设备、带 驱动器、备用系统、云存储设备或上述各项的任何组合。存储设备350可W是或在其中可包 括一个或多个数据库或按其他配置存储的数据,并且可包括操作软件的存储的副本,所述 操作软件诸如,操作系统322 W及DXL客户端324的软件部分。许多其他配置也是可能的,并 且旨在被涵盖在本说明书的广泛的范围内。
[0103] 可提供网络接口360, W便将客户端设备120通信地禪合至有线或无线网