[发明专利]数据交换层上的威胁情报

权利要求书

1.一种适用于在数据交换层(DXL)上使用的威胁情报装置，包括：

网络接口；

DXL客户端引擎，可操作以将所述装置通信地耦合至DXL企业安全总线 (ESB)；以及

一个或多个逻辑元件，所述一个或多个逻辑元件包括威胁情报引擎，所述 威胁情报引擎可操作以：

经由多个DXL消息来聚合网络对象的声誉数据；

计算所述网络对象的综合声誉；

从DXL端点接收对所述对象的声誉的DXL请求消息；以及

经由DXL消息来提供所述综合声誉。

2.如权利要求1所述的装置，其特征在于，所述用于提供所述综合声誉的 DXL消息是针对所述DXL端点的私有话题的DXL响应消息。

3.如权利要求1所述的装置，其特征在于，所述用于提供所述综合声誉的 DXL消息是具有对象声誉话题的DXL消息。

4.如权利要求3所述的装置，其特征在于，所述用于提供所述综合声誉的 DXL消息包括逾时。

5.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

确定DXL消息的源的许可；

确定所述源具有担当对象声誉数据的提供者的许可；以及

准许来自所述源的声誉数据被包括在所述聚合中。

6.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

确定DXL消息的源的许可；

确定所述源不具有担当对象声誉数据的提供者的许可；以及

阻止来自所述源的声誉数据被包括在所述聚合中。

7.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

确定DXL消息的源的加权的许可；

确定所述加权的许可足以使所述源担当对象声誉数据的提供者；以及

准许来自所述源的声誉数据被包括在所述聚合中，包括以下步骤：根据所 述加权的许可对由所述源提供的加权数据。

8.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

接收所述对象是可疑的但未被阻止的多个确定；以及

向所述综合声誉分派配置成在网络上阻止所述对象或使所述对象受制于 附加的详细审查或深入分析的得分。

9.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

接收指示所述网络对象已被DXL端点阻止的DXL消息；以及

发布指示应当由所述网络上所有的DXL端点阻止所述网络对象的DXL 消息。

10.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

接收指示所述网络对象已被DXL端点阻止的DXL消息；以及

发布指示应当由所述网络上的一类DXL端点阻止所述网络对象的DXL 消息。

11.如权利要求1-4中的任一项所述的装置，其特征在于，经由多个DXL 消息来聚合网络对象的声誉数据包括以下步骤：

确定所述网络对象是所述网络上的新对象且已在短跨度中多次遇到所述 新对象；以及

向所述综合声誉分配可疑的得分。

12.如权利要求1-4中的任一项所述的装置，进一步包括声誉存储。

13.如权利要求12所述的装置，其特征在于，所述声誉存储是自复制的 NoSQL数据库。