而使得能够通 过较大的网络(包括因特网)来交换数据��。
[0化4] D化代理110可配置成增强DXL ESB 130的效率���。例如��,每一个D)(L代理110可维护每 一个被连接的〇化端点120的所订阅话题的列表��。随后���,D化代理110自身订阅那些话题���。每一 个ML代理110还维护每一个其他的ML代理110订阅哪些话题的列表���。当ML代理110从其 D化端点120中的任何一个端点接收到消息时����,此D)(L代理110确定其他代理中的哪些代理订 阅了此DXL消息的话题�,并且将此消息仅转发给那些代理�。
[005日]例如�����,D)(L端点120-42可W是反病毒定义更新服务器�。D)(L端点120-52����、120-54�����、 120-56����、120-34��、120-36和120-22可W是已将反病毒引擎安装于其上的客户端���,所述反病毒 引擎需要来自反病毒定义更新服务器120-42的反病毒更新����。由此����,客户端120-52����、120-36和 120-22通过通知它们各自的D化代理110它们希望订阅话题ANTIVIRUS_DEFN_UPDATES(反病 毒_定义_更新)来订阅那个话题����。D化代理110-5��、110-3和110-2在轮到它们时����,通过向其他 D化代理110发布它们现在订阅话题ANTIVIRUS_DEFN_UPDATES来订阅那个话题�。当反病毒定 义更新服务器120-42具有可用的新更新时�,它可对ANTIVIWS_DEFN_UPDATES话题发布消 息����,从而指示新的反病毒更新是可用的�。此消息还可包括其他信息�����,诸如�����,下载更新的指令�, 或指示某个时间之后��,此消息应当被忽略为期满的期满日期����。
[0056] D化代理110-4从反病毒定义更新服务器120-42接收消息�����,并且在其自身的D)(L路 由表中查找 D)(L 代理 110 订阅 了话题 ANTIVIWS_DEFN_UPDATESdD)(L 代理 110-2�、110-3和110-5订阅了此话题�����,因此D)(L代理110-4将此消息的副本发送到那些代理中的每一个��。它不将副 本发送到未订阅此话题的D)(L代理110-1���。
[0化7] 接着��,D化代理110-2���、110-3和110-5各自都将此消息分配给它们各自的���、已订阅此 话题的DXL端点�。有利的是���,节省了网络带宽��。对于用于单独地通知每一个客户端的反病毒 定义更新服务器120-42,它可能将不得不向外发送留个单独的此消息的副本(向每一个订 阅的客户端发送一个副本)����。但是��,在运种情况下�,通过DXL ESB 130组织结构仅发送了S个 副本���,并且〇化代理随后根据需要在本地分配副本���。运降低了对于DXL ESB130的总带宽要 求���。
[0058]图3是根据本说明书的一个或多个示例的ML端点120的框图�����。ML端点120可W是 任何合适的计算设备����。在各种实施例中�����,作为非限制性示例�����,"计算设备"可W是或可包括计 算机����、嵌入式计算机��、嵌入式控制器��、嵌入式传感器�、个人数字主力(PDA)���、膝上型计算机�、蜂 窝电话���、IP电话��、智能电话�、平板计算机����、转换式平板计算机�����、手持式计算机���、服务器�����、防火 墙����、反病毒或反恶意软件装置�����、路由器�、交换机或用于处理并传递数据的任何电子�����、微电子 或微机电设备�����。
[0化9] D化端点120包括处理器310�,该处理器310连接至存储器320��,该存储器320在其中 存储了用于提供操作系统322和ML客户端324的可执行指令���。ML端点120的其他组件包括 存储设备350���、网络接口 360和外围接口 340���。
[0060]在示例中�,处理器310经由存储器总线370-3通信地禪合至存储器320,作为示例��, 所述存储器总线370-3可W是例如直接存储器访问(DMA)总线�����,但是其他存储器架构是可能 的���,包括在其中存储器320经由系统总线370-1或某个其他总线来与处理器310通信的存储 器架构����。处理器310可经由系统总线370-1通信地禪合至其他设备�����。如贯穿本说明书所使用���, "总线'包括任何有限或无线的互连线��、网络����、连接�、线束�����、单总线�、多总线���、交叉网络����、单级网 络��、多级网络或操作W在计算设备的多个部分之间或在多个计算设备之间携载数据�����、信号 或功率的其他传导介质��。应当注意�,仅作为非限制性示例公开了运些使用��,并且一些实施例 可省略上述总线中的一种或多种���,而其他实施例可采用附加的或不同的总线��。
[0061 ]在各种示例中����,"处理器"可包括硬件�、软件或提供可编程逻辑的固件的任何组合����, 作为非限制性示例��,包括微处理器�����、数字信号处理器��、现场可编程口阵列�����、可编程逻辑阵列��、 专用集成电路或虚拟机处理器�。
[0062] 处理器310可按DMA配置���,经由DMA总线370-3而连接至存储器320���。为使本公开简 化����,存储器320被公开为单个的逻辑块�����,但是在物理实施例中可包括任何一种或多种合适的 易失性或非易失性存储器技术的一个或多个块���,包括例如��,DDR 341��、51?41�、01?41�����、高速缓存�、 Ll或L2存储器���、忍片上存储器��、寄存器��、闪存�、ROM��、光介质����、虚拟存储器区���、磁或带存储器��、或 类似物�����。在某些实施例中���,存储器320可包括相对低等待时间的主存储器���,而存储设备350可 包括相对较高等待时间的非易失性存储器����。然而��,存储器320和存储设备350不必是物理上 分开的设备���,并且在一些示例中可仅表示逻辑上的功能分离�����?��;褂Φ弊⒁?����,虽然通过非限制 性示例公开了 DMA,但是DMA不是符合本说明书的唯一的协议�,并且其他存储器架构也是可 用的���。
[0063] 存储设备350可W是任何种类的存储器320或可W是分开的设备�,诸如����,硬驱动器��、 固态驱动器�、外部存储设备����、独立盘冗余阵列(RAID)�����、网络附连的存储设备�、光存储设备�、带 驱动器����、备用系统�����、云存储设备或上述各项的任何组合�。存储设备350可W是或在其中可包 括一个或多个数据库或按其他配置存储的数据����,并且可包括操作软件的存储的副本��,所述 操作软件诸如�����,操作系统322 W及DXL客户端324的软件部分��。许多其他配置也是可能的����,并 且旨在被涵盖在本说明书的广泛的范围内�����。
[0064] 可提供网络接口360, W便将D)(L端点120通信地禪合至有线或无线网络�����。如贯穿本 说明书所使用����,"网络"可包括操作W在计算设备之内或之间交换数据的任何可通信平台�, 作为非限制性示例���,包括:专设本地网络;将电子式交互能力提供给计算设备的网际架构��; 老式电话系统(POTS)����,计算设备可使用此POTS来执行事务�,在所述事务中�����,可由人类操作者 辅助所述计算设备�,或他们可手动地将数据键入到电话或其他合适的电子装备中���;在系统 中的任何两个节点之间提供通信接口或交换的任何分组数据网络(PDN);或任何局域网 (LAN);城域网(MAN);广域网(WAN);无线局域网(WLAN);虚拟专用网络(VPN);内联网�;或促 进网络或电话环境中的通信的任何其他合适的架构或系统�����。
[00化]网络接口 360可配置成将D)(L端点120通信地禪合至D)(L代理110��。
[0066] 可提供口化客户端引擎324,该口化客户端引擎324可提供用于连接至DXL ESB 130 的必需的API和服务��。
[0067] 在一些情况下���,还可提供应用软件326,此应用软件326可W类似地是跨一个或多 个设备的硬件��、软件和/或固件的任何合适的组合��?�;箍商峁┯τ萌砑?26W允许D)(L端点 120来执行其计划的功能����,无论是作为客户端设备���、服务器设备����、安全装置�����、网络装置�,还是 任何其他功能��。
[006引D化客户端引擎324和应用软件326是"引擎"的示例��。如贯穿本说明书所使用�����,"引 擎"包括配置成执行或可操作W执行此引擎的功能的一个或多个逻辑元件����,包括硬件�����、软件 和/或固件���。引擎可W是在单个设备上自含的�����,或可跨越多个设备��。此外��,单个设备可包括多 个引擎��。为了易于讨论�,仅作为示例��,本文中公开的引擎仅示出为从存储器运行的软件子例 程�����。在一个示例中�,引擎是将用于执行特定功能的必要的API和接口提供给其主机设备的实 用程序或程序����。在其他示例中����,引擎可被具体化在硬件�����、软件或硬件和软件的某种组合中�。 例如�,在一些情况下�����,引擎可包括设计成执行方法或方法的部分的特殊的集成电路�,并且还 可包括可操作W指示处理器执行此方法的软件指令��。在一些情况下��,引擎可运行为 "daemon"("守护")进程�。"daemon"可包括运行为后台进程�、终止并驻留程序�、服务�����、系统扩 展��、控制面板�����、启动过程����、BIOS子例程或在没有直接用户交互的情况下操作的任何类似的程 序的任何程序或多个系列的可执行指令(无论在硬件�����、软件��、固件还是它们的任何组合中实 现)�。在其他示例中���,引擎可包括结合�����、附加于或替代于引擎而提供W执行根据本说明书的 方法的其他硬件和软件�,包括交互式或用户模式软件����。
[0069] 在一个示例中�,引擎包括存储在非暂态计算机可读介质上的可执行指令�����,运些可 执行指令在被执行时用于执行此引擎的方法�。在合适的时刻(诸如����,在引导(boot)主机设备 时����,或在来自操作系统或用户的命令时)�����,处理器可从存储设备检索引擎的副本��,并将它加 载到存储器中���。随后�����,处理器可迭代地执行此引擎的指令��。
[0070] 外围接口 340可配置成与连接至D)(L端点120但不一定是D)(L端点120的核屯�����、架构的 部分的任何辅助设备相连����。外围设备可W是可操作地将扩展的功能提供给DXL端点120,并 且可W或可W不完全依赖于D)(L端点120�。在一些情况下�����,外围设备凭借其自身可W是计算 设备���。外围设备可包括输入和输出设备�����,作为非限制性示例���,诸如��,显示器�、终端����、打印机�����、键 盘���、鼠标��、调制解调器�、网络控制器�����、传感器����、换能器���、致动器�、数据采集总线����、相机�、话筒����、扬 声器或外部存储设备��。
[0071] 图4是根据本说明书的一个或多个示例的情报威胁控制器140的框图���。威胁情报控 制器140可W是如结合图3所描述的任何合适的计算设备���。一般而言�,除非另外专口陈述���,否 则图3的定义和示例也视为同等地适用于图4����。然而��,分开对待威胁情报控制器140,因为在 一个示例中�,它是专口配置成通过DXL EXB 130来提供威胁情报服务的D)(L端点的特殊情 况�。
[0072] 威胁情报控制器140包括连接至存储器420的处理器410,存储器420在其中存储了 用于提供操作系统422��、0化客户端引擎424和威胁情报引擎426的可执行指令�。威胁情报控 制器140的其他组件包括存储设备450���、网络接口 460和外围接口 440��。
[0073] 在示例中��,处理器410经由存储器总线470-3而通信地禪合至存储器420,存储器总 线470-3可W是例如直接存储器访问(DMA)总线�����。处理器410可经由系统总线470-1通信地禪 合至其他设备�。
[0074] 处理器410可按DMA配置�����,经由DMA总线470-3而连接至存储器420���。为了使本公开简 化�,存储器420被公开为单个的逻辑块����,但是在物理实施例中可包括如结合图3的存储器320 所述的任何一种或多种适当的易失性或非易失性存储器技术的一个或多个块��。在某些实施 例中�����,存储器420可包括相对低等待时间的主存储器����,而存储设备450可包括相对较高等待 时间的非易失性存储器��。然而����,如结合图3进一步所述���,存储器420和存储设备450不必是物 理上分开的设备��。
[0075] 如结合图3的存储设备350所述��,存储设备450可W是任何种类的存储器420,或可 W是分开的设备����。存储设备450可W是或在其中可包括一个或多个数据库或按其他配置存 储的数据�����,并且可包括操作软件的存储的副本�����,所述操作软件诸如�,操作系统422W及D)(L代 理引擎424的软件部分����。许多其他配置也是可能的��,并且旨在被涵盖在本说明书的广泛的范 围内�����。
[0076] 在示例中���,