数据交换层上的威胁情报的制作方法
【专利说明】
[0001] 相关申请的交叉引用
[0002] 本申请要求2013年9月23日提交的���、题为"零管理No SQL声誉"("Zero-Adminis化ation NoSQL Reputation")的美国临时申请61/884,100的优先权���,该美国临时 申请通过引用被结合在本文中�����。共同待定的PCT申请(2014年9月28日提交的���、题为巧全连 接框架"("Se州rit厂Connected Framework")的PCT申请PCT/US2014/057934W及2013年 12 月19日提交的�����、题为"数据交换层上的上下文知晓的网络"r'Context-Aware化twork on a Da化Exchange Layer")的PCT申请PCT/US2013/07657)也通过引用被结合在本文中����。
技术领域
[0003] 本申请设及企业安全领域�,更具体而言���,本申请设及数据交换层上的威胁情报服 务�����。
【背景技术】
[0004] 企业服务总线巧SB)是在面向服务的架构上提供数据交换介质的基于软件的网络 架构�。在一些实施例中��,ESB是客户端-服务器软件架构的特殊情况���,在客户端-服务器软件 架构中��,客户端可通过服务器来路由消息����。
[0005] 提供给用户的软件����、二进制文件��、可执行文件���、广告����、web页�����、文档���、宏��、可执行对象 和其他数据(共同地称为"可执行对象")可包括受到恶意软件的滥用的安全缺陷和隐私泄 露�。如贯穿本说明书所使用���,恶意的软件("恶意软件")可包括病毒���、木马����、僵尸病毒�、隐藏程 序(rootkit)����、后口��、蠕虫�����、间碟软件���、广告软件����、勒索软件����、拨号器��、有效载荷�、恶意浏览器助 手对象�、缓存(cookie)�����、登录器�、或设计成用于采取潜在地不需要的动作的类似的应用或应 用的部分����,作为非限制性示例��,所述潜在地不需要的动作包括数据破坏�����、隐蔽的数据收集���、 隐蔽的通信�、浏览器劫持�、网络代理设备(proxy)劫持或重定向���、隐蔽的跟踪�、数据记录��、键 盘记录�、对于删除的过多的或故意的障碍��、联系人收获���、对高价服务的不需要的使用W及未 经授权的自传播���。在一些情况下�����,恶意软件还可能包括含有导致或允许恶意软件行为的疏 忽的安全缺陷的合法软件�����。"恶意软件行为"被定义为将应用鉴定为恶意软件或灰色软件 (grayware)的任何行为�。一些现有的系统配置为例如通过维护已知的恶意软件的数据库来 标识并阻止恶意软件����。
【附图说明】
[0006] 当与所附附图一起阅读时���,通过W下【具体实施方式】可最好地理解本公开����。要强调 的是�����,根据行业内的标准惯例����,各种特征不是按比例绘制的���,并且仅用于说明目的���。事实上��, 为了使讨论清楚�,可任意地增大或减小各种特征����。
[0007] 图1是根据本说明书的一个或多个示例的上下文知晓的网络的框图��。
[000引图2是根据本说明书的一个或多个示例的数据交换层的框图���。
[0009]图3是根据本说明书的一个或多个示例的DXL端点的框图����。
[0010] 图4是根据本说明书的一个或多个示例的威胁情报控制器的框图��。
[0011] 图5是根据本说明书的一个或多个示例的提供者-消费者架构的框图�。
[0012] 图6是根据本说明书的一个或多个示例的方法的流程图����。
【具体实施方式】 [001引概述
[0014] 在示例中���,威胁情报控制器配置成在数据交换层(D化)上操作����。此威胁情报控制器 担当网络对象的声誉数据的DXL消费者�,所述网络对象的声誉数据能W各种不同的类型来 报告�����,并且可来自各种不同的源�。在经授权W担当声誉数据生产者的设备中���,每一个设备都 可具有其自身的可信度�����。当威胁情报控制器聚合来自各种提供者的数据时����,它可根据可信 度来对声誉报告加权�。威胁情报引擎由此建立对象的综合声誉��。当它接收到请求此对象的 声誉的D)(L消息时�����,它在D)(L总线上发布此综合声誉����。
[0015] 本公开的示例实施例
[0016] W下公开内容提供用于实现本公开的不同特征的许多不同的实施例或示例�。在下 文中描述组件和布置的特定示例W简化本公开�。当然����,运些内容仅是示例����,并且不旨在是限 制性的�����。此外����,本公开可在各种示例中重复参考编号和/或字母����。此重复仅出于简化和清楚 的目的�,并且自身并不指定所讨论的各种实施例和/或配置之间的关系�����。
[0017] 不同的实施例可具有不同的优点��,并且没有特定的优点对于任何实施例一定是必 雨的���。
[0018] 除了可执行对象之外�����,网络可能遇到许多其他对象�����,包括作为非限制性示例的文 件��、证书�、网际协议(IP)地址����、域名�、用户��、实体�����、企业和应用����,上述所有的项可统称为"网络 对象"���。企业的实质性的担忧是分派对象声誉(reputation)��,此对象声誉可影响对象在网络 上运行����、访问网络资源或与其他网络对象交互的能力��。
[0019] 在示例中�����,多个网络元件经由数据交换层(ML)彼此连接��,所述口化是适于安全相 关的消息等的交换的一种类型的ESB�。如本文中所使用���,"网络元件"包括任何类型的客户端 或服务器(例如����,视频服务器��、web服务器等)���、路由器���、交换机�、网管���、桥�、负载平衡器����、防火 墙���、内联服务节点��、代理设备�、网络装置��、处理器�、?��??�、或可操作W在网络环境中交换信息 的任何其他合适的设备���、组件�、元件或对象���。更具体而言��,D化端点是通过DXL ESB进行交互 的网络元件�。ML端点可跨客户网络而分布�,并且能W受信����、安全且可靠的方式"实时"地通 信�����。运可提供增加的自动化和改善的安全服务�。
[0020] 在示例中�,D化端点部署在网络内的多个战略位置处W拦截持续的业务活动�����,检查 并解释它�,并且最终确定它是否被授权;运意味着例如它符合企业安全策略�����。在一些情况 下����,网络元件必须巧带内"("in-band")作出此类决策�,从而W足够低的等待时间����,"机器实 时地"("machine-real-time")瞬时挂起业务活动W避免业务活动中显著的用户可感知延 迟����。
[0021 ]在一些情况下�����,网络元件可仅通过它们自身的独立的分析和观察且经由经调度的 定义更新而具有对安全数据的独立的访问权�����,所述经调度的定义更新可例如随着经更新的 恶意软件定义每周到来��。
[0022]由于网络元件经常是异构的��,并且可能W临时或专设(ad hoc)的方式来部署(特 别是在现代网络中)���,因此�����,实时的情报成为挑战����,当"带内"决策是必要的时候尤其如此�����。此 夕h企业可能W零碎的方式来获取安全解决方案��,使得一个产品不能够总是假设另一产品 的存在�����。例如����,可能没有供网络元件咨询的单个预定义的威胁情报的储存库�,并且定期的恶 意软件定义更行可能不包括最近发现的威胁���。数据的表示和解释产生了另一挑战�。网络元 件可使用不同的��、专有的数据表示�。由此�,例如甚至反病毒扫描器可能也无法配置成与基于 网络的安全设备共享新发现的恶意软件信息�����。在其他上下文中�,信息的可信度可能是又一 挑战��?�;谎灾?�,即便反病毒扫描器和基于网络的安全设备配置成共享安全情报���,每一者可能 也不具有验证从另一者接收到的情报的手段����。
[0023] 在示例中���,本说明书提供数据交换层(ML)�,此口化可在轻量的基于消息收发的通 信基础设施(诸如����,ESB)上操作��,并且可配置成允许端点共享上下文数据����。D化可W是经互连 的服务的较大的安全连接的框架中的一个元件�,所述较大的安全连接的框架是自适应系 统���,诸如����,安全系统�����,所述经互连的服务传递并共享信息�,W便由多个单独的安全产品和/或 由作为集合体的安全产品进行实时�����、准确的安全决策����。根据示例��,网络���、端点���、数据库����、应用 和其他安全解决方案不必操作为分开的"筒仓"("silo")����,而操作为一个经同步的����、实时的�����、 上下文知晓的自适应安全系统����。
[0024] ML被建立在消息收发技术(诸如�,ESB)的顶部�,所述消息收发技术允许多种不同 的使用情况和能力(通过在多个不同的产品之间共享上下文而实现的上下文知晓和自适应 安全�����,从而允许多个安全组件操作为一个组件W便立即在端点���、网关W及允许安全情报和 自适应安全的其他安全产品之间共享相关的数据(根据你正在获得的信息立即改变行为)�����; 对端点和许多其他使用情况的上级命令和控制)���。
[0025] 通过使用用于安全和管理目的的ESB消息收发使运些有利的能力成为可能�。D化消 息收发允许实时�����、双向的通信基础设施��,从而允许产品和解决方案使用单个的应用编程接 口(API)来彼此整合����。每一个设备可通过D)(L组织结构来共享它喜欢的基本上任何数据�����,而 运些设备本身仅被松散地禪合����,并且不必按共同的或标准化的协议操作����。
[0026] ML消息类型的示例包括发布-订阅通知��、查询响应W及推送通知�����。设备还可共享 事件�����,作为非限制性示例����,事件包括安全相关的事件�、上下文信息(关于节点���、其用户的身 份�、所使用的应用���、它们被发现的位置等等)���、命令����、任务和策略�����。
[0027] 在安全连接框架的第一示例中���,消息收发技术用于维持并增强企业安全�。通过安 全连接框架共享的安全信息可包括不止上下文���,并且作为非限制性示例还包括命令��、任务���、 策略和软件更新����。由此�����,利用安全连接框架�����,基础设施能够担当命令和控制管理基础设施�。 此基础设施还可与安全管理软件(SMS)(诸如��,M.C Afee.趣冲01 ixy化che S trator)-起使用�����。 SMS可连接至DXL ESB����,从而使SMS能够提供跨整个网络的命令和控制功能���。
[0028] 消息收发允许W松散地禪合的方式的产品之间的整合����,从而降低两个或更多个产 品为了整合而作出的关于彼此的假设的量��。本实现使用嵌入有McAfee代理(Agent)且作为 软件库来提供的单个API����。
[0029] 本说明书的安全连接框架还解决了对操作安全的状态的控制问题�����。某些现有的安 全管理解决方案不能够随意地发起与例如坐落在网络地址转换(NAT)边界的另一侧上的被 管理的设备之间的通信�。随着变化的业务需求(作为非限制性示例��,诸如�,云�����、可动化和消费 化)���,此挑战可能变得更复杂����。
[0030] 在运些情况下���,被管理的设备可能在不可预知的时刻发起通信����,从而保持打开窗 口���,在此窗口期间�,企业被暴露于由于其不能够立即将策略变化���、内容部署和程序更新推送 到所有的节点而导致的增加的风险�����。
[0031] 在运种挑战的一个示例中�,需要安全防御的编配作为对安全事件的立即反应�。如 贯穿本说明书所使用���,"安全事件"包括具有个人和/或企业安全的实质性分支的设备或网 络上的任何事件��。安全事件的非限制性示例包括实际的或潜在的入侵事件��、用户或设备认 证事件���、审计事件����、恶意软件事件�、反恶意软件更新����、用户或设备声誉更新����、物理入侵事件�����、 数据丢失��、大量或显著的数据的输入��、或企业安全策略的变化�。
[0032] 在安全连接框架的第二示例中��,提供实时的双向通信组织结构W允许实时的安全 管理�����。具体而言�,某些现有的消息收发基础设施基于一对多通信(发布-订阅)����。在本说明书 的此示例中����,显著地增强了发布-订阅能力�,使得那种通信可W是一对一的(例如����,对等式 (peer-to-peer))或双向的(例如�����,查询-响应)����。有利的是�,框架可按比例缩放至数百万并发 连接的客户端����,使得无论经连接的客户端的物理位置如何��,任何经连接的客户端都可实时 地或接近实时地到达任何其他经连接的客户端����。为此����,在不同类型的被连接的客户端之间 提供D)(L抽象层��,并且此D)(L抽象层充当中间通信介质��。
[0033] 在此示例中�����,能W各种方式将客户端设备分类为消息的"生产者"或"消费者"����,其 中���,生产者提供相关的安全消息���,而消费者接收那些消息���。设备作为生产者或消费者的角色 不需要是静态的���,并且取