[发明专利]跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作

说明书

本申请的各实施例涉及跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作。一种设备接收标识与网络相关联的网络分段的网络分段信息，并且接收标识关联于与网络通信的端点主机的会话的端点主机会话信息。该设备基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该设备基于与端点主机相关联的会话的变化标签基于端点主机在网络分段内的位置的变化来更新数据结构，并且基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该设备确定将针对特定端点主机实施的威胁策略动作，并且使得威胁策略动作由网络针对特定端点主机实施。

分案申请说明

本申请是申请日为2019年3月14日、优先权日为2018年3月23日和2018年6月29日、申请号为201910194546.8、名称为“跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作”的中国发明专利申请的分案申请。

相关申请的交叉引用

本申请根据35U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权，其内容通过引用整体并入本文。

技术领域

本申请的各实施例涉及跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作。

背景技术

随着恶意软件变得更加复杂，威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是，在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下，网络的周边处的安全控制可能不足。例如，当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时，在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制，因为与端点主机威胁相关联的网络地址(例如，互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。

发明内容

根据一些实现，一种设备可以包括一个或多个存储器和一个或多个处理器，该一个或多个处理器用于接收标识与网络相关联的网络分段的网络分段信息，并且接收标识关联于与网络通信的端点主机的会话的端点主机会话信息。该一个或多个处理器可以基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该一个或多个处理器可以基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，并且可以基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该一个或多个处理器可以确定将针对特定端点主机实施的威胁策略动作，并且可以使得实施威胁策略动作由网络针对特定端点主机。

根据一些实现，一种非暂态计算机可读介质可以存储指令，这些指令包括一个或多个指令，该一个或多个指令在由设备的一个或多个处理器执行时，使得一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息，并且接收标识与网络相关联的网络分段的网络分段信息。该一个或多个指令可以使得一个或多个处理器接收标识与端点主机相关联的会话的端点主机会话信息，并且基于主机威胁馈送信息、网络分段信息和端点主机会话信息来生成包括标识与端点主机相关联的主机威胁馈送的信息和将网络分段与关联于端点主机的会话相关联的信息的数据结构。该一个或多个指令可以使得一个或多个处理器基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，并且基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该一个或多个指令可以使得一个或多个处理器确定将针对特定端点主机实施的威胁策略动作，并且使得威胁策略动作由网络针对特定端点主机实施。