基于主机威胁的网络地址来实施威胁策略动作制造技术

本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。一种设备接收标识对网络的特定主机威胁的信息，其中该信息包括与特定主机威胁相关联的网络地址列表。该设备标识网络的与对网络的特定主机威胁相关联的网络元件，并且确定与标识的网络元件相关联的网络控制系统。该设备确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统与网络元件的策略实施组相关联。该设备确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。

Implementing Threat Strategy Action Based on Network Address of Host Threat

【技术实现步骤摘要】
基于主机威胁的网络地址来实施威胁策略动作相关申请的交叉引用本申请根据35U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权，其内容通过引用整体并入本文。
本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。
技术介绍
随着恶意软件变得更加复杂，威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是，在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下，网络的周边处的安全控制可能不足。例如，当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时，在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制，因为与端点主机威胁相关联的网络地址(例如，互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。
技术实现思路
根据一些实现，一种设备可以包括一个或多个存储器和用于接收标识对网络的特定主机威胁的信息的一个或多个处理器，其中该信息可以标识特定主机威胁，包括与特定主机威胁相关联的网络地址列表。该一个或多个处理器可以标识网络的与对网络的特定主机威胁相关联的网络元件，并且可以确定与标识的网络元件相关联的网络控制系统。该一个或多个处理器可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个处理器可以确定将针对特定主机威胁实施的威胁策略动作，并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。根据一些实现，一种非暂态计算机可读介质可以存储一个或多个指令，该一个或多个指令在由一个或多个处理器执行时，使得一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息。该一个或多个指令可以使得一个或多个处理器从主机威胁馈送信息标识对网络的特定主机威胁，其中特定主机威胁可以是端点主机中的一个端点主机引起，并且特定主机威胁可以与网络的网络地址列表相关联。该一个或多个指令可以使得一个或多个处理器标识网络的与对网络的特定主机威胁相关联的网络元件，并且确定与标识的网络元件相关联的网络控制系统。该一个或多个指令可以使得一个或多个处理器确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个指令可以使得一个或多个处理器确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。根据一些实现，一种方法可以包括：接收与网络相关联的网络拓扑信息，以及基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构。该方法可以包括接收标识对网络的特定主机威胁的信息，其中标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表。该方法可以包括基于数据结构来标识与对网络的特定主机威胁相关联的网络元件，以及确定与标识的网络元件相关联的网络控制系统。该方法可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，其中网络控制系统可以与网络元件的策略实施组相关联。该方法可以包括确定将针对特定主机威胁实施的威胁策略动作，并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。附图说明图1A至图1K是本文中描述的示例实现的示图；图2是其中可以实现本文中描述的系统和/或方法的示例环境的示图；图3是图2的一个或多个设备的示例组件的示图；图4是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图；图5是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图；以及图6是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图。具体实施方式以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。不了解网络中的潜在端点主机威胁的移动性的威胁补救系统引入了若干挑战。例如，威胁标识仅限于在通过周边网络设备与网络通信的端点主机威胁的数据路径中进行检测，网络内部的端点主机威胁的横向传播无法检测并且无法控制其进一步扩展，并且一旦端点主机威胁移动到不同的网络分段，端点主机威胁可能会获取附加的访问权限和特权，从而危及未受保护的网络分段。因此，威胁修复系统无法在整个网络中实时地一致地且有效地监测、标识和修复端点主机威胁。本文中描述的一些实现提供了一种基于主机威胁的网络地址来实施威胁策略动作的策略实施方平台。例如，策略实施方平台可以接收标识对网络的特定主机威胁并且包括与特定主机威胁相关联的网络地址列表的信息。策略实施方平台可以标识网络的与对网络的特定主机威胁相关联的网络元件，并且可以确定与标识的网络元件相关联的网络控制系统。策略实施方平台可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组，并且网络控制系统可以与网络元件的策略实施组相关联。策略实施方平台可以确定将针对特定主机威胁实施的威胁策略动作，并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。图1A至图1K是本文中描述的示例实现100的示图。如图1A中所示，用户设备(例如，端点主机)可以与网络、策略实施方平台和管理设备相关联。如图1A中进一步所示，网络可以包括可能由多个不同供应商提供的局域网(LAN)设备(例如，多供应商LAN设备)、可能由多个不同供应商提供的无线局域网(WLAN)设备(例如，多供应商WLAN设备)、可能由多个不同供应商提供的网络设备和/或可能由多个不同供应商提供的网络控制系统(例如，控制系统)。在一些实现中，每个控制系统可以控制和/或管理网络的网络分段。例如，与特定供应商相关联的控制系统可以利用与特定供应商相关联的设备来控制网络分段。如图1A中和由附图标记105进一步所示，策略实施方平台可以从一个或多个控制系统接收与网络相关联的网络拓扑信息。在一些实现中，网络拓扑信息可以包括标识与网络相关联的设备(例如，多供应商LAN设备、多供应商WLAN设备、网络设备、控制系统、端点主机等)的信息。例如，网络拓扑信息可以包括标识与网络相关联的设备的制造商、模型、设备标识符、吞吐量、带宽、网络地址等的信息、标识与网络相关联的设备中提供的硬件的信息、标识与网络相关联的设备中提供的软件的信息等。如图1A中和由附图标记110进一步所示，策略实施方平台可以从管理设备接收与网络相关联的主机威胁馈送信息。在一些实现中，管理设备可以包括组合安全信息管理(SIM)和安全事件管理(SEM)并且提供由与网络相关联的应用和设备生成的安全警报的实时分析的安全信息和事件管理(SIEM)设备。在一些实现中，主机威胁馈送信息可以包括标识与网络相关联的威胁馈送(例如，由端点主机提供并且包括威胁的馈送)的信息。在一些实现中，主机威胁馈送信息可以包括标识与威胁馈送相关联的网络地址(例如，IP地址)的信息。如图1B中和由附图标记115所示，策略实施方平台可以基于网络拓扑信息来生成数据结构(例如，数据库、表、列表等)，该数据结构包括标识与网络相关联的网络元件(例如，多供应商LAN设备、本文档来自技高网...

【技术保护点】
1.一种设备，包括：一个或多个存储器；以及一个或多个处理器，用于：接收标识对网络的特定主机威胁的信息，标识所述特定主机威胁的所述信息包括与所述特定主机威胁相关联的网络地址列表；标识所述网络的与对所述网络的所述特定主机威胁相关联的网络元件；确定与标识的所述网络元件相关联的网络控制系统；确定标识的所述网络元件中映射到与所述特定主机威胁相关联的所述网络地址列表的网络元件的策略实施组，所述网络控制系统与网络元件的所述策略实施组相关联；确定将针对所述特定主机威胁实施的威胁策略动作；以及经由所述网络控制系统使得所述威胁策略动作由网络元件的所述策略实施组实施。

【技术特征摘要】
2018.03.23 US 62/647,431;2018.06.29 US 16/024,3081.一种设备，包括：一个或多个存储器；以及一个或多个处理器，用于：接收标识对网络的特定主机威胁的信息，标识所述特定主机威胁的所述信息包括与所述特定主机威胁相关联的网络地址列表；标识所述网络的与对所述网络的所述特定主机威胁相关联的网络元件；确定与标识的所述网络元件相关联的网络控制系统；确定标识的所述网络元件中映射到与所述特定主机威胁相关联的所述网络地址列表的网络元件的策略实施组，所述网络控制系统与网络元件的所述策略实施组相关联；确定将针对所述特定主机威胁实施的威胁策略动作；以及经由所述网络控制系统使得所述威胁策略动作由网络元件的所述策略实施组实施。2.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收与所述网络相关联的网络拓扑信息；以及基于所述网络拓扑信息来生成包括标识所述网络的每个网络元件的能力的信息的数据结构，并且其中所述一个或多个处理器在标识所述网络元件时，用于：基于所述数据结构来标识与对所述网络的所述特定主机威胁相关联的所述网络元件。3.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收关联于与所述网络通信的端点主机的主机威胁馈送信息；以及基于所述主机威胁馈送信息来生成包括标识与所述端点主机相关联的会话的信息的数据结构，所述特定主机威胁由所述端点主机中的一个端点主机引起，并且其中所述一个或多个处理器在标识所述网络元件时，用于：基于所述数据结构来标识与对所述网络的所述特定主机威胁相关联的所述网络元件。4.根据权利要求3所述的设备，其中所述一个或多个处理器还用于：标识与所述端点主机相关联的网络控制系统；以及向所述数据结构添加标识与所述端点主机相关联的所述网络控制系统的信息。5.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收关联于与所述网络通信的端点主机的主机威胁馈送信息，所述特定主机威胁由所述端点主机中的一个端点主机引起；基于所述主机威胁馈送信息来使得所述网络外部的主机威胁业务在所述网络的周边网络元件处被阻止；以及基于所述主机威胁馈送信息来使得所述网络内部的主机威胁业务在所述网络的交换层处被阻止。6.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收关联于与所述网络通信的端点主机的主机威胁馈送信息；以及利用特定标识来标记由所述主机威胁馈送信息标识的主机威胁，其中标识所述特定主机威胁的所述信息基于所述特定标识中的与所述特定主机威胁相关联的特定标识来标识所述特定主机威胁。7.根据权利要求6所述的设备，其中所述一个或多个处理器还用于：基于所述特定标识来监测跨所述网络的主机威胁业务。8.一种存储指令的非暂态计算机可读介质，所述指令包括：一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息；从所述主机威胁馈送信息标识对所述网络的特定主机威胁，所述特定主机威胁由所述端点主机中的一个端点主机引起，以及所述特定主机威胁与所述网络的网络地址列表相关联；标识所述网络的与对所述网络的所述特定主机威胁相关联的网络元件；确定与标识的所述网络元件相关联的网络控制系统；确定标识的所述网络元件中映射到与所述特定主机威胁相关联的所述网络地址列表的网络元件的策略实施组，所述网络控制系统与网络元件的所述策略实施组相关联；确定将针对所述特定主机威胁实施的威胁策略动作；以及经由所述网络控制系统使得所述威胁策略动作由网络元件的所述策略实施组实施。9.根据权利要求8所述的非暂态计算机可读介质，其中所述指令还包括：一个或多个指令，所述一个或多个指令在由所述一个或多个处理器执行时，使得所述一个或多个处理器：基于所述主机威胁馈送信息来生成包括标识与所述端点主机相关联的会话的信息的数据结构，并且其中使得所述一个或多个处理器标识所述网络元件的所述一个或多个指令使得所述一个或多个处理器：基于所述数据结构来标识与对所述网络的所述特定主机威胁相关联的所述网络元件。10.根据权利要求8所述的非暂态计算机可读介质，其中所述指令还包括：一个或多个指令，所述一个或多个指令在由所述一个或多个处理器执行时，使得所述一个...

【专利技术属性】
技术研发人员：S·尼玛加德达，J·S·马歇尔，S·G·拉乌卡尔，S·维拉拉加万，P·T·塞沙德里，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国,US