[发明专利]基于主机威胁的网络地址来实施威胁策略动作

说明书

本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。一种设备接收标识对网络的特定主机威胁的信息，其中该信息包括与特定主机威胁相关联的网络地址列表。该设备标识网络的与对网络的特定主机威胁相关联的网络元件，并且确定与标识的网络元件相关联的网络控制系统。该设备确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统与网络元件的策略实施组相关联。该设备确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。

相关申请的交叉引用

本申请根据35U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权，其内容通过引用整体并入本文。

技术领域

本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。

背景技术

随着恶意软件变得更加复杂，威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是，在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下，网络的周边处的安全控制可能不足。例如，当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时，在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制，因为与端点主机威胁相关联的网络地址(例如，互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。

发明内容

根据一些实现，一种设备可以包括一个或多个存储器和用于接收标识对网络的特定主机威胁的信息的一个或多个处理器，其中该信息可以标识特定主机威胁，包括与特定主机威胁相关联的网络地址列表。该一个或多个处理器可以标识网络的与对网络的特定主机威胁相关联的网络元件，并且可以确定与标识的网络元件相关联的网络控制系统。该一个或多个处理器可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个处理器可以确定将针对特定主机威胁实施的威胁策略动作，并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。

根据一些实现，一种非暂态计算机可读介质可以存储一个或多个指令，该一个或多个指令在由一个或多个处理器执行时，使得一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息。该一个或多个指令可以使得一个或多个处理器从主机威胁馈送信息标识对网络的特定主机威胁，其中特定主机威胁可以是端点主机中的一个端点主机引起，并且特定主机威胁可以与网络的网络地址列表相关联。该一个或多个指令可以使得一个或多个处理器标识网络的与对网络的特定主机威胁相关联的网络元件，并且确定与标识的网络元件相关联的网络控制系统。该一个或多个指令可以使得一个或多个处理器确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个指令可以使得一个或多个处理器确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。

根据一些实现，一种方法可以包括：接收与网络相关联的网络拓扑信息，以及基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构。该方法可以包括接收标识对网络的特定主机威胁的信息，其中标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表。该方法可以包括基于数据结构来标识与对网络的特定主机威胁相关联的网络元件，以及确定与标识的网络元件相关联的网络控制系统。该方法可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该方法可以包括确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。

附图说明

图1A至图1K是本文中描述的示例实现的示图；