请中描述的D)(L中介服务。DXL服务软件526可提供D)(L客户机服务或D)(L中介110。例如,DXL中介110可订阅客户机容量中的某些类型的消息。
[0111]图6是根据本说明书的一个或多个示例的CM服务器410的框图。在一示例中,CIM服务器410由处理器610控制。处理器610可经由系统总线670连接至其它系统元件。作为非限制性示例,这些其它元件可包括存储器620、网络接口 640以及存储650。参考图5中的相应元件,其中包含附加的细节和定义。
[0112]存储器620可包括CM服务器软件622XM服务器软件622可被配置成提供如本申请中描述的CIM服务。
[0113]存储650可包括本地对象数据库652。对象数据库652可包含存储的与网络上的对象有关的信息,包括例如声望和元数据。
[0114]图7是根据本说明书的一个或多个示例的域主站160的框图。在一示例中,域主站160由处理器710控制。处理器710可经由系统总线770连接至其它系统元件。作为非限制性示例,这些其它元件可包括存储器720、网络接口 740以及存储750。参考图5中的相应元件,其中包含附加的细节和定义。
[0115]在一示例中,存储器720包含域主站软件722和DXL扩展724。域主站软件722可被配置成提供如本申请中描述的域主站服务。DXL扩展724可提供允许域主站162在DXL ESB 130上操作的服务器扩展。在一些实施例中,DXL扩展724可包括允许域主站160在一些情况下充当DXL客户机的指令。
[0116]图8是根据本说明书的一个或多个示例的客户机120的框图。客户机120由处理器810控制,该处理器通信地耦合至存储器元件820。在一示例中,处理器810经由总线870通信地耦合至其它系统元件。作为非限制性示例,那些元件可包括网络接口 840、存储850(在一些情况下,该存储可以是存储器元件820的种类)、以及用户接口860。明确意图的是,上述元件中的任一种可在硬件、软件、固件或其任何组合中实现。
[0117]在一些实施例中,可提供用户接口860以辅助用户与客户机120交互。“用户接口”包括被配置成使用户能够与客户机120交互(实时或非实时)的硬件、软件和固件的任何组合。在该示例中,作为非限制性示例,用户接口 360可包括键盘(未示出)、鼠标(未示出)、显示监视器842、扬声器846、话筒844、触敏显示器(可充当组合的输入/输出设备,并且可以是显示器842的种类)、以及照相机848。用户接口 860可包括诸如图形用户界面之类的软件服务,包括征求来自用户的输入或确认的实时对话框。
[0118]在一示例中,存储器820中存储有可操作的可执行指令,这些指令可被包含在若干不同模块中。DXL客户机826可提供用于与DXL ESB 130交互的软件服务,且可包括例如认证DXL ESB 130上的客户机120的证书、用于发布消息的子例程、以及用于解析订阅的传入消息的子例程。CIM客户机822可提供如关于图4更具体描述的CM服务。(ΠΜ客户机822还可保持所存储对象852的综合分类,包括例如所安装应用的综合分类。JTI客户机824可提供JTI客户机服务,诸如本地声望管理和与JTI服务器150的交互。客户机120还可具有单独的反恶意软件代理828,其可提供反病毒和其它反恶意软件服务。在一些情况下,反恶意软件代理828与JTI客户机824集成。
[0119]图9是示出根据本说明书的一个或多个示例的以分层方式来评估对象的流程图。
[0120]在该示例中,左边的策略被指定为“黑”并且确定性地阻挡对象,而右边的策略被指定为“白”并且确定性地允许对象。作为非限制性示例,图9的策略被公开为固定的层次结构。然而,这不是意图为限制性的。例如,在其它实施例中,策略可被加权,或以循环方式被服务。此外,在使用层次结构的实施例中,此特定层次结构不是必须的。
[0121]在框910,管理员(可以是人类操作员和/或具有管理凭据的设备)可向对象分配“黑”超越(black override),该对象可由散列值标识。在框912,管理员可向由散列值标识的对象提供“白”超越(white override)。
[0122]在框920,管理员可向由证书标识的对象分配黑超越。在框922,管理员可向由证书标识的对象分配白超越。
[0123]在框930,威胁情报服务180可基于证书来分配黑状态(black status)。在框932,威胁情报服务180可基于证书给对象分配白状态(white status)。
[0124]在框940,威胁情报服务180可基于散列值来分配对象黑状态。在框942,威胁情报服务180可基于散列值给对象分配白状态。
[0125]在框950,恶意软件定义可将对象标识为黑,而在框952,恶意软件定义可将该对象标识为白。
[0126]在框960,JTI规则可假定该对象是脏的。在框962,JTI规则可假定该对象是干净的。
[0127]JTI客户机824可经由用户接口 860提示终端用户确认执行或打开对象。如果用户拒绝,则在框970,阻止该对象。如果用户确认,则在框972,允许该对象。
[0128]在框980,如果该对象已经通过所有先前的过滤器,则阻止或允许该对象的决定取决于JTI策略和算法。这可包括请求该对象的声望。
[0129]图10是根据本说明书的一个或多个示例的由客户机120执行的方法的流程图。在框1010,客户机120打开新对象。例如,这可能是因为用户与该对象交互,或因为该对象的自动处理和上架。在框1020,客户机120检查其本地声望数据库以查明该对象是否具有高速缓存的声望。如果该对象具有现有的声望,则在框1030,客户机120可作出决定以阻止或允许该对象。在一些示例中,客户机120可在DXL ESB 130上发布阻止或允许的决定。这允许已订阅此类更新的其它DXL网络对象接收并集成该决定。在框1022,如果没有高速缓存的声望,则客户机120可从JTI服务器150请求声望。在框1024,客户机120可接收来自JTI服务器150的声望数据,之后控制进行至框130。如返回至1010的箭头所示,可对于每个新对象重复该过程。
[0130]图10A是根据本说明书的一个或多个示例实施例的与图10的方法相关地由JTI月艮务器150执行的方法的流程图。在框1040,JTI服务器150接收来自客户机120的声望请求。在框1060,JTI服务器150可查询其本地数据库以查明该对象是否已知。如果该对象已知,则在框1070,JTI服务器150可更新其本地威胁情报数据库。例如,这可包括标注来自客户机120的请求的环境。在框1080,JTI服务器150可将声望数据返回给客户机120。在框1090,该方法完成。
[0131]返回至框1060,如果该对象未知,则在框1050,JTI服务器150可从威胁情报服务180请求信息。在框1052,JTI服务器150接收来自威胁情报服务180的威胁情报数据,并在框1070,利用接收到的情报更新其本地JTI数据库。再次在框1080,将情报返回至客户机120,并在框1090该过程完成。
[0132]框1034表示该方法的替代进入点。在框1034,JTI服务器150接收已发布的阻止决定,例如由客户机120根据图10的方法作出的发布的决定。根据网络配置,JTI服务器150可订阅两个已发布的阻止/允许决定,并可在框1070使用发布决定来更新其本地数据库。在这种情况下,控制从框1080直接转到框1090。
[0133]图11是根据本说明书的一个或多个示例的JTI服务器150服务于声望请求的方法的流程图。在一些实施例中,可与图10A的框1080相关地执行图11的方法。在框1110,管理员可进入白或黑超越,例如像与图9相关地公开那样。框1040对应于图10A的框1040,其中JTI服务器150接收来自客户机120的声望请求。在框1130,JTI服务器150检查以查明管理员是否已经进入超越,诸如企业范围的超越。具体地,超越可移除允许还是阻止该对象的决定。替代地,超越可确定性地允许或阻止该对象。因此,在框1140,JTI服务器150将超越返回给客户机120。在框1130,如果没有企业超越,则在框1150,JTI服务器150返回声望以供客户机120操作。
[0134]图12是根据本说明书的一个或多个示例的对图10A的方法的增强的流程图。图12中具有与图10A中的框相同编号的框可以与图10A中公开的框功能相同。
[0135]新框1210查询是否可从威胁情报服务180获得威胁情报。如果威胁情报可用,则在框1052,JTI服务器150如同图10A那样接收威胁情报。在框1220,如果威胁情报不可用,则JTI服务器150可将该对象发送给ATD370以进行分析。并非对该请求直接作出响应,而是ATD370可在完成分析时发布该对象的声望数据。在框1230,如果JTI服务器150可订阅两个已发布的声望数据消息,则会接收由ATD 370发布的DXL消息。该方法的余下部分不变。
[0136]在一些实施例中,发布一订阅框架未针对一对一交互(诸如单个客户机120连接至单个服务)进行优化。例如,一些实施例支持“通配符”句法以寻址消息,具体而言,请求一响应交互可能不被识别为第一级消息。这意味着实现请求一响应消息收发取决于个体实施例。此外,一些现有技术的发布一订阅中间件解决方案未提供用于确定服务是否主动连接至消息中介和监听请求的能力。因此,例如,客户机120可发送请求并且永远不接收响应。为了适配该可能性,客户机120可指定任意的“超时”值,如果在该“超时”值之后未接收到响应,则请求将被视为失败。
[0137]在示例中,公开了在发布一订阅架构之上操作的消息类型的层次结构。作为非限制性的示例,消息类型可包括请求、响应、导出的错误一响应类型、以及事件类型。事件类型可等价于默认的发布一订阅中间件消息类型。
[0138]可增强发布一订阅框架以检测请求一响应交互并优化它们的递送。例如,如果服务在DXL ESB 130不可用,则DXL中介110可返回“服务不可用”消息。这可立即通过“错误”响应被发送。这可消除客户机设置超时或使用其它相似的错误检测的需要。
[0139]可将请求立即被引导并递送至服务,而不要求对消息递送搜索(诸如通配符)的昂贵处理。可将路由相关信息嵌入在多个消息中,以流线化请求一响应消息交互的操作。例如,“中介网络”情形中的目标“中介”被DXL中介110包含并充分利用,以确保使用通过多个DXL中介160的最优路径来递送消息。
[0140]图13是根据本说明书的一个或多个示例的在DXLESB130上注册服务的示例方法的流程图。在一示例中,例如,客户机120可在DXL ESB上发送DXL请求消息。在框1310,DXL中介110接收该请求消息。在框1320,DXL中介110检查以查明该服务在DXL ESB 130上是否可用。这可包括查询本地数据库以确定所请求的服务是否已经在DXL ESB 130上注册。例如,如果被配置成提供该服务的域主站160已经在DXL ESB 130上注册,则该服务可被注册。
[0141]在框1330,如果该服务不可用,则域主站110可向客户机120发送DXL响应消息以指示该服务不可用,或发布DXL通知以指示该服务不可用。在框1340,如果该服务可用,则DXL中介110可标识诸如DXL域主站160之类的提供该服务的设备。在框1350,DXL中介110可解析至提供该服务的DXL域主站160的路由信息。在框1