络。如贯 穿本说明书所使用,"网络"可包括操作W在计算设备之内或之间交换数据的任何可通信平 台,作为非限制性示例,包括:专设本地网络;将电子式交互能力提供给计算设备的网际架 构;老式电话系统(POTS),计算设备可使用此POTS来执行事务,在所述事务中,可由人类操 作者辅助所述计算设备,或他们可手动地将数据键入到电话或其他合适的电子装备中;在 系统中的任何两个节点之间提供通信接口或交换的任何分组数据网络(PDN);或任何局域 网(LAN);城域网(MAN);广域网(WAN);无线局域网(WLAN);虚拟专用网络(VPN);内联网;或 促进网络或电话环境中的通信的任何其他合适的架构或系统。
[0104] 网络接口 360可配置成将客户端设备120通信地禪合至D)(L代理110。
[0105] 可提供口化客户端引擎324,该口化客户端引擎324可提供用于连接至DXL ESB 130 的必需的API和服务。
[0106] 在一些情况下,还可提供运行时代理机(agent) 326,此运行时代理机326可W类似 地是跨一个或多个设备的硬件、软件和/或固件的任何合适的组合。运行时代理机326可配 置成提供附加或辅助的服务(诸如,反恶意软件服务),或可提供与DXL ESB 130-起使用的 报告功能。在一个示例中,运行时代理326可与由迈克菲公司(McAfee, Inc.)提供的 McA胶e.狡Agent (MA)软件类似。
[0107] D化客户端引擎324和运行时代理机326是"引擎"的示例。如贯穿此代理机所使用, "引擎"包括配置成执行或可操作W执行此引擎的功能的一个或多个逻辑元件,包括硬件、 软件和/或固件。引擎可W是在单个设备上自含的,或可跨越多个设备。此外,单个设备可包 括多个引擎。为了易于讨论,仅作为示例,本文中公开的引擎仅示出为从存储器运行的软件 子例程。在一个示例中,引擎是将用于执行特定功能的必要的API和接口提供给其主机设备 的实用程序或程序。在其他示例中,引擎可被具体化在硬件、软件或硬件和软件的某种组合 中。例如,在一些情况下,引擎可包括设计成执行方法或方法的部分的特殊的集成电路,并 且还可包括可操作W指示处理器执行此方法的软件指令。在一些情况下,引擎可运行为 "daemon"("守护")进程。"daemon"可包括运行为后台进程、终止并驻留程序、服务、系统扩 展、控制面板、启动过程、BIOS子例程或在没有直接用户交互的情况下操作的任何类似的程 序的任何程序或多个系列的可执行指令(无论在硬件、软件、固件还是它们的任何组合中实 现)。在其他示例中,引擎可包括结合、附加于或替代于引擎而提供W执行根据本说明书的 方法的其他硬件和软件,包括交互式或用户模式软件。
[0108] 在一个示例中,引擎包括存储在非暂态计算机可读介质上的可执行指令,运些可 执行指令在被执行时用于执行此引擎的方法。在合适的时刻(诸如,在引导(boot)主机设备 时,或在来自操作系统或用户的命令时),处理器可从存储设备检索引擎的副本,并将它加 载到存储器中。随后,处理器可迭代地执行此引擎的指令。
[0109] 外围接口 340可配置成与连接至客户端设备120但不一定是客户端设备120的核屯、 架构的部分的任何辅助设备相连。外围设备可W是可操作地将扩展的功能提供给客户端设 备120,并且可W或可W不完全依赖于客户端设备120。在一些情况下,外围设备凭借其自身 可W是计算设备。外围设备可包括输入和输出设备,作为非限制性示例,诸如,显示器、终 端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、数据采集总线、 相机、话筒、扬声器或外部存储设备。
[0110] 图4是根据本说明书的一个或多个示例的服务器400的框图。服务器400可W是如 结合图3所描述的任何合适的计算设备。一般而言,除非另外专口陈述,否则图3的定义和示 例也视为同等地适用于图3。然而,可在用途上或在概念上使用服务器400来指在客户端-月良 务器架构中提供服务器功能的一类计算设备。由此,在某些实施例中,本文中所述的域主机 160、DSC 180、D化代理110和其他设备都可W是服务器400的各种实施例。为了清楚的目的, 并且因为服务器400可共享许多共同的元件,在此一起讨论它们。
[0111] D化代理110包括处理器410,此处理器410连接至存储器420,此存储器420在其中 存储了用于提供操作系统422和D)(L代理引擎424的可执行指令。ML代理110的其他组件包 括存储设备450、网络接口 460和外围接口 440。
[0112] 在示例中,处理器410经由存储器总线470-3而通信地禪合至存储器420,存储器总 线470-3可W是例如直接存储器访问(DMA)总线。处理器410可经由系统总线470-1通信地禪 合至其他设备。
[0113] 处理器410可按DMA配置,经由DMA总线470-3而连接至存储器420。为了使本公开简 化,存储器420被公开为单个的逻辑块,但是在物理实施例中可包括如结合图3的存储器320 所述的任何一种或多种适当的易失性或非易失性存储器技术的一个或多个块。在某些实施 例中,存储器420可包括相对低等待时间的主存储器,而存储设备450可包括相对较高等待 时间的非易失性存储器。然而,如结合图3进一步所述,存储器420和存储设备450不必是物 理上分开的设备。
[0114] 如结合图3的存储设备350所述,存储设备450可W是任何种类的存储器420,或可 W是分开的设备。存储设备450可W是或在其中可包括一个或多个数据库或按其他配置存 储的数据,并且可包括操作软件的存储的副本,所述操作软件诸如,操作系统422W及D)(L代 理引擎424的软件部分。许多其他配置也是可能的,并且旨在被涵盖在本说明书的广泛的范 围内。
[0115] 可提供网络接口460, W便将D)(L代理110通信地禪合至有线或无线网络。在一个示 例中,网络接口460提供多个逻辑接口,运些逻辑接口可包括单个物理网络接口上的多个逻 辑接口、多个物理网络接口上的多个逻辑接口、多个物理网络接口上的单个逻辑网络接口 或上述各项的任何组合。在一个示例中,第一逻辑网络接口配置成将〇化代理110通信地禪 合至DXL ESB 130(包括禪合至EXL ESB 130上的其他D)(L代理110)。第二逻辑接口可配置成 将口化代理110通信地禪合至多个D)(L端点设备(诸如,D化客户端110)。
[0116] 存储器620可包括域安全引擎424、DXL服务引擎426和/或运行时代理机326中的全 部或部分。每一个都可W是如结合图3所描述的引擎。
[0117] 域安全引擎424可W是可操作地用于提供本说明书中描述的安全方法。在一个示 例中,域安全引擎424可操作W订阅安全口化话题,并接收安全相关的口化消息。域安全引擎 424可根据本文中所述的方法来作用于那些消息。域安全引擎还可配置成担当安全信息和 事件管理器(SIEM)装置。在SIEM的角色中,域安全引擎可提供服务,诸如,比较由各种安全 设备、应用和数据源(包括一个或多个D)(L端点120)收集的数据。SIEM可联合路由器、交换机 和虚拟机(VM),并且随后使数据正规化。由此,可标准化并综合数据。SIEM还可对数据分类, 从而无论什么主机操作系统如何,来检测例如"登录"事件。
[0118] 域安全引擎424还可配置成检测安全事件并作用于或减缓安全事件。"安全事件" 包括网络上指示对安全策略的违背或计划违背、表示安全威胁、提供安全孔径或指示安全 策略的变化的任何事件。
[0119] 可提供DXL服务引擎426W提供必要的AP巧日服务W使服务器400能够担当D)(L端 点,尤其包括担当相关的D)(L消息话题的提供者。
[0120] 外围接口 440可配置成与连接至D)(L代理110但不一定是D)(L代理110的核屯、架构的 部分的任何辅助设备。外围设备可W是可操作地将扩展的功能提供给D)(L代理110,并且可 W或可W不完全依赖于D)(L代理110。在一些情况下,外围设备凭借其自身可W是计算设备。 作为非限制性示例,外围设备可包括结合图3的外围接口 340所讨论的设备中的任何设备。
[0121] 图5是根据本说明书的一个或多个示例的数据交换层的网络级框图。在图5的示例 中,五个D)(L代理110将服务提供给D)(L端点120。
[0122] 具体而言,D)(L端点120-12和120-14连接至D)(L代理110-1。0化端点120-32和120-34连接至D)(L代理110-3。0化端点120-42和120-44连接至D)(L代理110-4。0化端点120-52和 120-54连接至D)(L代理110-5。D)(L端点120-22连接至D)(L代理110-2。
[0123] 图5的配置特别适用于数据交换层的消费者/提供者模型。在此模型中,某些设备 被指定为内容的生产者,而其他设备被指定为那个内容的消费者。例如,在一种情况下,ML 端点120-32被指定为生产者510dD)(L端点120-22可被指定为活动的消费者520。
[0124] 在此示例中,生产者510可W是受信任W生产某种类型的数据的安全装置或其他 网络设备。运可包括例如将声誉分派给DXL ESB 130上的网络对象。当生产者510遇到此对 象时,它可将此对象的声誉存储在内部数据库中。
[0125] 稍后,当活动的消费者520遇到此对象时,它可能期望获悉此对象的声誉。由此,活 动的消费者520可在DXL ESB服务器130上发布D)(L消息(诸如,OBJECT_REPUTATION_QU邸Y (对象_声誉_查询))。
[0126] 生产者510可订阅此消息,并且在接收到此消息后,在它的内部数据库中查找此对 象的声誉。随后,生产者在DXL ESB 130上发布消息REPUTATION_QWRY_RESPONSE(声誉_查 询_响应)。活动的消费者520消费此消息,并且可根据此消息的内容来适当地对此网络对象 作出反应。
[0127] 在一个示例中,生产者510的重要性质在于它是可信的。运可意味着例如生产者 510已经被验证到某个可信度。由于生产者510是经认证的,因此它可受信任W产生用于由 其他D)(L端点消费的可靠的数据。由此,虽然DXL ESB 130的一些实例可准许任何端点担当 某些类型消息的生产者或消费者,但是在其他实施例中,仅某些端点可担当某些种类的消 息的生产者。在那些实施例中,将某些端点指定为消费者520可能是更宽容的。
[0128] 可有利地使用图5中描述的生产者-消费者框架来实现网络安全操作。在本文中通 过非限制性示例来描述若干操作。应当注意,在运些示例中的每一个示例中,可供应一个或 多个适当的D)(L消息话题来携带适当的消息。
[0129] 在第一示例中,第一DXL端点120-1为第二D)(L端点120-2发布具有关于此端点自身 (上下文)的信息的消息,W适应此上下文并重新配置其自身的安全。好的示例是,客户端 (KCL端点120-1)发布其用户和其所属授权组的身份W及其自身用于防火墙(ML端点120-2)的IP地址,W便将正确的防火墙策略分配至客户端。每当具有变化(诸如,不同的用户登 录,或客户端的IP地址变化)时,重新发布信息,并且在防火墙上重新调整配置。
[0130] 在第二示例中,从D)(L消息收发收集到的信息可用于建立上下文敏感的策略,其 中,上下文可包括诸如位置、身份、用户和应用之类的因素。示例使用情况包括:
[0131] a. W抽象的方式将匹配的安全策略分配至设备(D化端点120),而不管设备位于何 处或此设备的网络通信量通过哪个防火墙。作为提取示例,无论设备的位置如何,相同的策 略可W总是被分配至此设备。
[0132] b.确定D)(L端点120的设备类型(诸如,web服务器或客户端)并报告可用的正在运 行的可用网络服务,W便自动地为设备W及为网络服务附连适当的入侵防护系统(IPS)策 略或根据WS组来附连策略。
[0133] C.根据DXL端点120的位置,利用安全策略来配置此DXL端点120。此位置可包括敌 意等级,此敌意等级可例如作为网络声誉来分配。
[0134] d.响应于D)(L客户端120的可能的感染来分配上下文敏感的策略。周边设备可加固 它们的防火墙策略来阻止来自DXL客户端120的任何连接尝试。网络网关和下一代防火墙 (NGFW)可防止外部主机连接至网络。
[0135] e.用信号通知资产的关键性,使得它可例如由更严格的IPS策略更好地保护。例 如:
[0136] i.数据丢失防护(DLP)用信号通知在用于其他控制的设备上发现的文档的敏感度 等级W相应地加紧安全。NGFW和IPS更好地防卫设备,并且设备上策略被加固。
[0137