[发明专利]跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作

权利要求书

1.一种方法，包括：

由设备生成端点主机的数据结构，所述端点主机各自被连接到网络以及所述网络的多个网络分段中的至少一个网络分段；

由所述设备基于与所述端点主机中的至少一个端点主机相关联的会话中的变化来更新所述数据结构；

由所述设备基于所述数据结构来标识所述端点主机中改变所述至少一个网络分段内的位置的特定端点主机；

由所述设备确定针对所述特定端点主机要实施的动作；

由所述设备标识网络控制系统，所述网络控制系统控制与所述特定端点主机相关联的所述至少一个网络分段；以及

由所述设备引起由所述网络控制系统针对所述特定端点主机实施所述动作。

2.根据权利要求1所述的方法，其中所述数据结构基于网络拓扑信息而被生成。

3.根据权利要求2所述的方法，还包括：

处理所述网络拓扑信息，以确定与所述端点主机相关联的能力；以及

在所述数据结构中存储标识与所述端点主机相关联的所述能力的信息。

4.根据权利要求3所述的方法，其中所述网络拓扑信息利用一个或多个人工智能模型被处理。

5.根据权利要求1所述的方法，其中标识所述网络控制系统包括：

基于将所述特定端点主机与特定网络元件匹配来标识所述网络控制系统。

6.根据权利要求1所述的方法，其中所述动作包括以下至少一项：

针对外部主机威胁业务，在所述网络的周边网络设备处阻止端点主机业务，或者

针对内部主机威胁业务，在所述网络的交换层处阻止端点主机业务。

7.根据权利要求1所述的方法，还包括：

接收与所述端点主机相关联的主机威胁馈送信息；以及

利用特定标识标记由所述主机威胁馈送信息标识的主机威胁，并且

其中确定要被实施的所述动作包括：

基于所述特定标识中与所述特定端点主机相关联的特定标识来确定要被实施的所述动作。

8.一种设备，包括：

一个或多个存储器；以及

被通信地耦合到所述一个或多个存储器的一个或多个处理器，所述一个或多个处理器被配置为：

基于主机威胁馈送信息、网络分段信息以及与网络相关联的端点主机会话信息来生成数据结构，所述数据结构包括：

标识被关联于与所述网络通信的端点主机的主机威胁馈送的信息，以及

将所述网络分段信息中所标识的多个网络分段与被关联于所述端点主机的会话相关联的信息；

基于与所述端点主机中的至少一个端点主机相关联的会话中的变化来更新所述数据结构；

基于所述数据结构来标识所述端点主机中改变所述多个网络分段中的至少一个网络分段内的位置的特定端点主机；

确定针对所述特定端点主机要实施的威胁策略动作；以及

引起由所述网络针对所述特定端点主机实施所述威胁策略动作。

9.根据权利要求8所述的设备，其中所述一个或多个处理器还用于：

基于与端点主机相关联的位置的变化来触发新威胁策略变化的自动实施。

10.根据权利要求8所述的设备，其中所述一个或多个处理器还用于：

向管理设备提供标识端点主机威胁的信息，用于利用当前独特主机标识符更新威胁馈送。

11.根据权利要求8所述的设备，其中所述一个或多个处理器还用于：

基于与所述网络相关联的网络拓扑信息来生成网络元件的另一数据结构；

基于所述网络拓扑信息来确定与所述网络元件相关联的能力；以及

在所述另一数据结构中存储标识与所述网络元件相关联的所述能力的信息。