稱空間,網(wǎng)絡狀態(tài)域可使用“狀態(tài)(STATUS)”名稱空間,且設備維護域可使用“MAINT”名稱空間。因此,如果域主站160是聲望域的主站,則它知道處理惡意軟件名稱空間之內(nèi)的消息,并忽略所有其它的消息。這允許每個域的設計者分配消息的集合,而不必咨詢現(xiàn)有的域來避免消息的名稱沖突。
[0070]例如,聲望域和設備維護域二者可使用諸如D0WNL0ADJJPDATES之類的消息。在聲望域的情況下,該消息可以是用于從JTI服務器150檢索現(xiàn)在更新的定義的指令。在設備維護域中,這可以是用于從供應商下載操作系統(tǒng)更新的指令。
[0071]客戶機120可被配置成交換來自若干DXL域的數(shù)據(jù),且可訂閱聲望域和設備維護域二者上的消息。因此,例如客戶機120-1用于通過請求批量聲望更新來解析和響應于DXL消息D0WNL0AD_UroATES。在一個實施例中,消息請求惡意軟件更新自身可以是DXL消息。在例如更新很大并且不是實時需要的一些情況下,可在DXL架構的外部完成更新的遞送,以預留DXL以實現(xiàn)輕量、高速的消息收發(fā)。
[0072]客戶機120還可通過聯(lián)系零售商的服務器并請求更新來了解它應當解析和響應于MAINT:D0WNL0ADJJPDATES。
[0073]在域主站160被配置為聲望域的主站的情況下,它可能知道忽略不在惡意軟件名稱空間中的所有DXL消息。然而,應注意單個物理設備可被配置成充當多個域的域主站,在該情況下,可使不同名稱空間中的業(yè)務量經(jīng)過兩個不同的子例程。在一些實施例中,DXL中介110可被配置成合成來自諸如DXL ESB130上的客戶機120之類的被給予更少特權(例如“建議”特權)的多個DXL網(wǎng)絡設備的報告。
[0074]進一步增加可擴展性,可通過將新的或更好的數(shù)據(jù)源與域主站160集成來包含新的或更好的數(shù)據(jù)源。這對于客戶機120和其它DXL端點可以是完全透明的。
[0075]作為非限制性的示例,DXL中介110的附加特征可包括:服務和位置注冊表,用于查找已注冊的端點、可用的服務和它們的位置;發(fā)布/訂閱(1:N)、請求/響應(1:1)、設備至設備(1:1)以及推送通知消息收發(fā)接口;中介之間的經(jīng)優(yōu)化的消息傳遞;目的地感知的消息路由;以及中介一中介故障轉移。
[0076]有優(yōu)勢地,域主站160不需要關心每個DXL端點如何對待已發(fā)布的消息。確切而言,那是企業(yè)安全策略的問題。
[0077]作為非限制性的示例,客戶機120的附加DXL特征可包括:本地消息總線集成API,用于發(fā)現(xiàn)中介、認證至DXL、以及發(fā)送和接收分類的消息。
[0078]作為非限制性的示例,上下文感知的網(wǎng)絡100的附加一般特征可包括:DXL中介和客戶機配置、域主站160的管理;端點在DXL ESB 130上的基于策略的授權;基于SSL的安全通信;對于外部部署的通信的代理服務器支持;以及預先配置有DXL中介功能的域主站應用(由此將域主站160和DXL中介110加入到一個設備中)。
[0079]圖1A是根據(jù)本說明書的一個或多個示例的其中域主站160是聯(lián)合威脅情報(JTI)服務器150的示例,該服務器在“聲望”域上提供例如對象聲望服務。JTI服務器150可通信地耦合至DXL中介IlOtJTI服務器150可以是中間件設備,該中間件設備被配置成提供聲望服務、維持與網(wǎng)絡對象有關的元數(shù)據(jù)(作為非限制性示例,諸如聲望、流行度以及情報)、呼出至外部掃描器以獲得對象的聲望分類、并向威脅情報服務180提供遙測數(shù)據(jù)。JTI服務器150可經(jīng)由代理服務器170與全局威脅情報服務180通信,該通信可包括在DXL ESB 130上的通信或在更傳統(tǒng)的IP網(wǎng)絡上的通信。
[0080]有優(yōu)勢地,JTI服務器150可與威脅情報服務180相關地提供眾包的對象聲望。JTI服務器150還可提供管理員超越(override)。這些可包括來自若干企業(yè)的、關于對象是否應當在網(wǎng)絡上運行以及是否將證書視為“干凈”的管理員超越策略的聚集。這些還可包括客戶機側的結果,諸如關于是否允許或阻止對象的終端用戶決定的聚集。
[0081]在另一示例中,JTI服務器150可跟蹤流行度數(shù)據(jù),包括對象在上下文感知網(wǎng)絡100上的流行度。
[0082]在另一示例中,JTI服務器150可作為遙測聚集器/代理服務器,以用于將來自不與威脅情報服務180直接交互的端點的遙測結果聚集并發(fā)送至威脅情報服務ISOtJTI服務器150也可向威脅情報服務180貢獻文件元數(shù)據(jù),諸如散列值、數(shù)字簽名數(shù)據(jù)以及文件屬性。
[0083]JTI服務器150可接收來自不同客戶機120的若干這樣的消息,且在一些情況下,這些消息可能彼此沖突。當接收到來自客戶機120的將對象標識為惡意軟件的初始報告時,域主站160可發(fā)布其它客戶機應當對該對象進行附加的仔細檢查的警告,諸如在執(zhí)行該對象之前的深度掃描或請求用戶驗證。在其它實施例中,域主站160可響應于來自客戶機120的對于對象聲望的請求來提供此類信息。
[0084]如果另外的客戶機120將該對象標識為惡意軟件,則信心指數(shù)可能越過閾值。然后JTI服務器150可發(fā)布諸如命令級別之類的更高級別的消息,將該對象標識為惡意軟件。如果JTI服務器150接收到來自不同客戶機的多個沖突的報告,則合成算法可提供適當?shù)膭幼鳌@?,如果一個或幾個客戶機被發(fā)現(xiàn)是報告與其它客戶機中的大部分不同的狀態(tài)的離群者,則離群者可被丟棄。該合成算法還可考慮特定客戶的過去聲望或基于安裝的硬件或軟件而分配的聲望以進行準確的報告。
[0085]在域主站160是JTI服務器150的示例中,該示例示出了指定用于分配DXL端點特權的層次結構或其它方案的值。例如,關于將對象指定為惡意軟件,客戶機120可具有“建議”特權。例如,這可能意味著客戶機120可標識它們認為是惡意軟件的對象,并且可將特定消息指引至JTI服務器150,或可發(fā)布將該對象標識為惡意軟件的一般消息。因為客戶機在DXLESB 130上僅具有“建議”特權,所以訂閱聲望更新的其它DXL端點可將該標識視為比來自具有更高特權(諸如“分配”特權)的DXL網(wǎng)絡元件的標識權威性更低。特權(尤其是諸如“分配”特權之類的更高的特權)可通過被提供作為DXL消息的部分的安全證書來認證。
[0086]圖1B是根據(jù)本說明書的一個或多個示例的選擇元件和上下文感知網(wǎng)絡100的網(wǎng)絡圖。如圖1B中可見,可將附加的DXL中介110-2添加至服務端點120-3和120-4 AXL中介110-2可與第二域主站160-2通信,第二域主站160-2可與域主站160-1共享域數(shù)據(jù)庫162。
[0087]圖2是根據(jù)本說明書的一個或多個示例的公開分布式架構的網(wǎng)絡圖。在該示例中,DXL中介110-1可被指定為“中樞(hub)”,而DXL中介110-2、110-3、110-4和110-5可被指定為“輻(spoke)”。在一示例中,通過輻的所有DXL業(yè)務量將被轉發(fā)至中樞,該中樞將該業(yè)務量分發(fā)至其它輻??赏ㄟ^任何合適的手段將DXL中介110指定為中樞,諸如基于MAC ID、IP地址或與域主站160的網(wǎng)絡接近程度來選擇中樞。
[0088]如果DXL中介110-1離線,則可能至少臨時地需要另一中樞。在該情況下,可選擇另一中樞。當DXL中介110-1恢復在線時,取決于網(wǎng)絡布局和設計考慮,它可恢復其作為中樞的職責,或可充當輻。
[0089]在另一示例中,多個輻在有效使用時可與DXL中介110-1形成臨時的網(wǎng)狀網(wǎng)絡。在其它實施例中,DXL中介110可被配置成全時地以網(wǎng)狀配置操作。
[0090]通過跨越全異的網(wǎng)絡橋接DXLESB 130來提供附加的可擴展性,從而使數(shù)據(jù)能在更大的網(wǎng)絡(包括因特網(wǎng))上交換。圖3是根據(jù)本說明書的一個或多個示例的跨越傳統(tǒng)企業(yè)邊界操作的示例DXL網(wǎng)絡的網(wǎng)絡圖。在該示例中,第一企業(yè)302包括DXL中介110-2,該DXL中介110-2通信地耦合至域主站160和企業(yè)交換主站(ESM)330。在一個實施例中,域主站160和ESM 330可在傳統(tǒng)的(非DXL)網(wǎng)絡接口312上耦合。域主站160可連接至IP網(wǎng)絡310。IP網(wǎng)絡310可以是用于交換從多個端點發(fā)出的數(shù)據(jù)或信息的任何通信平臺,作為非限制性的示例,多個端點包括:給終端用戶提供電子交互能力的因特網(wǎng)架構;簡易老式電話系統(tǒng)(POTS)j#端用戶可使用該系統(tǒng)來執(zhí)行事務,其中終端用戶可由人工接線員輔助或者可手動地向電話或其它合適的電子設備中鍵入數(shù)據(jù);任何分組數(shù)據(jù)網(wǎng)絡(PDN),在系統(tǒng)中的任何兩個節(jié)點之間提供通信接口或交換;或任何局域網(wǎng)(LAN)、城域網(wǎng)(MAN)、廣域網(wǎng)(WAN)、無線局域網(wǎng)(WLAN)、虛擬專用網(wǎng)絡(VPN)、內(nèi)聯(lián)網(wǎng)、或便于網(wǎng)絡或電話環(huán)境中的通信的任何其它合適的架構或系統(tǒng)。
[0091]第二企業(yè)304也包括DXL中介110-1 AXL中介110可在DXL ESB 130上彼此通信。在該示例中,DXL ESB 130由IP網(wǎng)絡310物理地提供,但DXL業(yè)務量可與諸如http和其它以用戶為中心的網(wǎng)絡業(yè)務量之類的其它類型的因特網(wǎng)業(yè)務量不同,其原因例如因為它是在不同的端口或協(xié)議上被提供。
[0092]DXL中介110-1也可耦合至例如網(wǎng)絡服務提供方(NSP)340、反病毒代理350、企業(yè)防火墻360以及高級威脅檢測設備(ATD)370。
[0093]ATD 370可以是運行該高級檢測軟件的專用設備或通用計算機。在一個示例中,ATD 370被配置成分析不具有現(xiàn)有聲望的對象,并基于該分析向那些對象分配威脅等級。
[0094]如該圖所證實,DXLESB 130可用于集成異構或其它不相關(甚至跨越不同企業(yè))的網(wǎng)絡架構。在示例中,第二企業(yè)304可以是第三方JTI服務提供方,向第一企業(yè)302遞送ATD服務。
[0095]圖4是根據(jù)本說明書的一個或多個示例的上下文感知網(wǎng)絡400的網(wǎng)絡圖。在示例中,上下文感知網(wǎng)絡400與上下文感知網(wǎng)絡100基本相似。然而,在上下文感知網(wǎng)絡400中,域主站160是公共信息模型(QM)服務器410。
[0096]根據(jù)本說明書的一個或多個示例,CIM是開放和可擴展的邏輯數(shù)據(jù)庫方案,被設計成主控不同類型的情況和環(huán)境信息。CIM可提供新對象、構建塊以及數(shù)據(jù)類型的強健表示。作為非限制性的示例,(ΠΜ的核心實體包括資產(chǎn)、身份、應用和位置。
[0097](ΠΜ可提供多對多關系和驅動多種使用情況的構建塊。(ΠΜ還可支持高級數(shù)據(jù)可視化。有優(yōu)勢地,根據(jù)本說明書的