在數據交換層上合并多個系統樹的制作方法
【專利說明】在數據交換層上合并多個系統樹
[0001]相關申請的交叉引用
[0002]本申請要求2013年9月28日提交的發明名稱為“Merging Multiple System TreesBased on Locat1n(基于位置來合并多個系統樹)”的美國臨時申請61/884,019的優先權，該臨時申請通過引用被結合在本申請中。
技術領域
[0003]本申請涉及企業安全領域，更具體涉及用于在數據交換層上合并多個系統樹的系統和方法。
【背景技術】
[0004]企業服務總線(ESB)是基于軟件的網絡架構，該網絡架構在面向服務的架構上提供數據交換的媒介。在一些實施例中，ESB是客戶機一服務器軟件架構的特殊情況，其中客戶機可通過服務器來路由消息。
[0005]提供給用戶的軟件、二進制文件、可執行檔、廣告、web頁、文檔、宏、可執行對象以及其它數據(統稱為“可執行對象”)可能包括被惡意軟件利用的安全缺陷和隱私泄漏。如本申請文件通篇中所使用，惡意軟件(“malware”)可包括病毒、木馬、僵尸程序(zombie)、隱匿程序(rootkit)、后門(backdoor)、婦蟲(worm)、間謀軟件(8口7?^6)、廣告軟件(8(1?^6)、勒索軟件(“瓜仙0111冊代”)、撥號器、有效載荷、惡意瀏覽器助手對象、網絡跟蹤器((3001^6)、記錄器或相似的應用或應用的部分，這些應用或應用的部分被設計成進行可能不希望有的動作，作為非限制性示例，這些可能不想要的動作包括數據損毀、隱蔽數據收集、隱蔽通信、瀏覽器劫持、網絡代理劫持或重定向、隱蔽跟蹤、數據記錄、鍵盤記錄、過度或有意妨礙刪除、聯系人收集、不希望有的對優質服務的使用、以及未經授權的自傳播。在一些情況下，惡意軟件還可包括包含導致或使能惡意軟件行為的無意安全缺陷的合法軟件。“惡意軟件行為”被定義為使應用合乎惡意軟件或灰色軟件的標準的任何行為。一些現有技術系統被配置成例如通過維持已知惡意軟件的數據庫來標識和阻擋惡意軟件。
[0006]除了可執行對象之外，計算設備可能遇到靜態對象，靜態對象并不意在改變計算機的操作狀態。作為類，可執行對象和靜態對象可被簡稱為“對象”。企業安全關注的問題是多個對象的惡意軟件狀態的分類。
【附圖說明】
[0007]在示例中，公開了用于在數據交換層上基于多個位置合并不同資源的多個系統樹的方法或系統。在一個實施例中，公開了一種用于合并在一個或多個基于樹的位置之內的不同類型的資產的系統。例如，端節點可在單個位置中被表示，單個消息中介可為多個位置提供服務并在多個位置中被表示。合并樹之內的資產一資產關系可用于確保服務的可用性和該系統的可視化以用于管理目的。
[0008]圖1是根據本說明書的一個或多個示例的具有DXL能力的上下文感知(context-aware)網絡的網絡圖。
[0009]圖1A是根據本說明書的一個或多個示例的其中域主站是聯合威脅情報(JTI)服務器的示例。
[0010]圖1B是根據本說明書的一個或多個示例的選擇元件和上下文感知網絡的網絡圖。
[0011]圖2是根據本說明書的一個或多個示例的公開分布式架構的網絡圖。
[0012]圖3是根據本說明書的一個或多個示例的跨越傳統企業邊界操作的示例DXL網絡的網絡圖。
[0013]圖4是根據本說明書的一個或多個示例的上下文感知網絡400的網絡圖。
[0014]圖5是根據本說明書的一個或多個示例的DXL中介的框圖。
[0015]圖6是根據本說明書的一個或多個示例的(ΠΜ服務器的框圖。
[0016]圖7是根據本說明書的一個或多個示例的域主站160的框圖。
[0017]圖8是根據本說明書的一個或多個示例的客戶機的框圖。
[0018]圖9是示出根據本說明書的一個或多個示例的以分層方式來評估對象的流程圖。
[0019]圖10是根據本說明書的一個或多個示例的由客戶機120執行的方法的流程圖。
[0020]圖10A是根據本說明書的一個或多個示例實施例的與圖10的方法相關地由JTI月艮務器執行的方法的流程圖。
[0021]圖11是根據本說明書的一個或多個示例的JTI服務器服務于聲望請求的方法的流程圖。
[0022]圖12是根據本說明書的一個或多個示例的對圖10A的方法的增強的流程圖。
[0023]圖13是根據本說明書的一個或多個示例的資產樹管理器的框圖。
[0024]圖14是根據本說明書的一個或多個示例的由資產樹管理器執行的方法的框圖。
[0025]實施例的詳細描述
[0026]概覽
[0027]在示例中，公開了上下文感知網絡和在數據交換層(DXL)上提供的服務。該DXL可在企業服務總線上被提供，且可包括諸如威脅情報之類的服務和公共信息模型。一個或多個DXL中介可提供消息收發服務，包括例如發布一訂閱消息收發和請求一響應消息收發。有優勢的是，DXL端點設備必須作出的有關其它DXL端點設備的假定非常少。
[0028]本公開的多個示例
[0029]以下公開提供許多不同的實施例或示例，用于實現本公開的不同特征。以下描述了多個部件和安排的具體示例，以簡化本公開。當然，這些僅僅是示例，不是為了限制。此夕卜，本公開可在多個示例中重復參考標號和/或字母。該重復是出于簡單和清楚的目的，其本身并不規定所討論的各個實施例和/或配置之間的關系。
[0030]不同實施例可具有不同的優勢，沒有特定優勢是任何實施例必須有的。
[0031]在日益異構的軟件生態系統中，企業可能面臨新的和增強的安全挑戰和惡意軟件威脅。這產生了需要在原本自治的多個網絡元件之間實時交換威脅情報的情形。增加的共享可提高設備之間的安全性，這些設備原本在它們自己的安全“倉(silo)”中操作。
[0032]本說明書的系統和方法通過跨越多個數據源提供標準化的數據表示、并保護由異類的多個源共享的數據的質量，來解決這樣的挑戰。
[0033]上下文感知計算(CAC)是一種計算方式，其中使用與人、地點和事物有關的情況和環境信息來預料及時需要并主動地提供豐富的、情況感知的、以及可使用的功能和體驗。上下文感知計算依賴于捕獲在系統正在運行時的那個時刻時與世界有關的數據。
[0034]根據本說明書的一個或多個示例，“上下文感知網絡”是互連的多個服務的自適應系統(包括例如安全系統)，互連的這些服務通信并共享信息以通過個體產品和/或集體作出實時、準確的決定。根據示例，網絡、端點、數據庫、應用和其它安全解決方案不再作為單獨的“倉”而操作，而是作為一個同步的、實時的、上下文感知的和自適應的安全系統而操作。
[0035]在示例中，多個網絡元件經由數據交換層(DXL)彼此連接，數據交換層是一種類型的ESB，它適合在其它事物之間交換安全相關消息。如本申請中使用，“網絡元件”包括用于在網絡環境中交換信息的任何類型的客戶機或服務器(例如視頻服務器、web服務器等等)、路由器、交換機、網關、橋、負載均衡器、防火墻、內聯服務節點、代理服務器、網絡設備、處理器、模塊或任何其它合適的設備、部件、元件或對象。更具體地，DXL端點是在DXL ESB上交互的網絡元件。DXL端點可跨越顧客網絡分布，并以受信任的、安全和可靠的方式“實時地”通信。這可提供增強的自動化和改進的安全服務。
[0036]在示例中，DXL端點被部署在網絡內的多個戰略位置處，以用于截取正在進行的業務活動、檢查并解釋該業務活動、并最終確定它是否經過授權(例如，它是否與企業安全策略一致)。在一些情況下，網絡元件必須“在帶內(in-band)”作出這些決定，暫時掛起該業務活動，并“在機器實際時間”中的等待時間足夠低，以避免該業務活動中的顯著的用戶可感知的延遲。
[0037]在一些情況下，網絡元件可能僅通過它們自己的獨立分析和觀測和經由定期的定義更新而獲得對安全數據的獨立訪問，定期的定義更新例如可按周進行以作為更新的惡意軟件定義。
[0038]因為網絡元件通常是異構的并且可能以臨時或自組織方式被部署(尤其在現代網絡中)，所以實時情報成為挑戰(尤其在“帶內”決定是必須的時候)。此外，企業可能以零碎方式實現安全解決方案，因此一個產品不能總是假定另一產品的存在。例如，可能沒有供網絡元件咨詢的單個預定義的威脅情報庫，并且定期的惡意軟件定義更新可能不包括最近發現的威脅。數據的表示和解釋帶來了另一挑戰。網絡元件可能使用全異的、專用的數據表示。因此，例如，即便是反病毒掃描器也可能未配置成與基于網絡的安全設備共享新發現的惡意軟件信息。在其它上下文中，信息的可信性可能是又一挑戰。換言之，即使反病毒掃描器和基于網絡的安全性設備被配置成共享安全情報，每個設備也可能不具有驗證從另一設備接收的情報的手段。
[0039]在示例中，本說明書提供數據交換層(DXL)，該數據交換層可在輕量的基于消息收發的通信基礎設施(諸如ESB)上操作，且可被配置成允許多個端點共享上下文數據。DXL可以是更大的安全連接框架的一個元件，該安全連接框架是互連的多個設備的自適應系統，諸如安全性系統，互連的多個設備通信并共享信息以通過個體安全產品和/或集體作出實時、準確的安全決定。根據示例，網絡、端點、數據庫、應用和其它安全解決方案不需要作為單獨的“倉”而操作，而是作為一個同步的、實時的、上下文感知的和自適應的安全系統而操作。
[0040]圖1是具有DXL能力的上下文感知網絡100的網絡圖。根據該示例，多個客戶機120連接至DXL企業服務總線(ESBHSOdXL ESB 130是DXL結構的示例，并且可在諸如局域網(LAN)之類的現有網絡之上被提供。客戶機120可以是任何合適的計算設備，作為非限制性示例，包括計算機、個人數字助理(PDA)、膝上計算機或電子筆記本、蜂窩電話、IP電話、iPhone?、iPad?、Microsoft Surface?、Android?手機、Google Nexus?、或能夠在通信系統內發起語音、音頻或數據交換的任何其它設備、部件、元件或對象，包括提供給終端用戶的合適的接口(諸如話筒、顯示器、或鍵盤或其它終端設備)。在圖1的示例中，客戶機120-1是諸如網絡安全傳感器之類的嵌入式設備。客戶機120-2是虛擬機。客戶機120-3是膝上計算機或筆記本計算機。客戶機120-4是桌面計算機。
[0041 ] DXL ESB 130可以是任何類型的物理或虛擬網絡連接，適當的數據可在該物理或虛擬網絡連接上通過。目前沒有用于ESB的固定或全球標準，且如本申請中所使用的該術語旨在廣泛地涵蓋適用于消息交換的任何網絡技術或布局。在一個實施例中，在端口 8883上交換消息隊列遙測傳輸(MQTT)消息。在一些情況下，客戶機120、DXL中介110、域主站160、數據庫162、JTI服務器(圖1A)、代理服務器170(圖1A)以及威脅情報服務180(圖1A)(均作為非限制性示例)可被稱為“網絡元件”。
[0042]被配置成在DXL ESB 130上操作或與DXL ESB 130—起操作的網絡元件可被稱為“DXL端點”。在一示例中，這些端點可包括客戶機120、DXL中介110以及域主站160。
[0043]DXL中介110可被配置成在