【技术实现步骤摘要】
跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作相关申请的交叉引用本申请根据35U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权,其内容通过引用整体并入本文。
本申请的各实施例涉及跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作。
技术介绍
随着恶意软件变得更加复杂,威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是,在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下,网络的周边处的安全控制可能不足。例如,当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时,在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制,因为与端点主机威胁相关联的网络地址(例如,互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。
技术实现思路
根据一些实现,一种设备可以包括一个或多个存储器和一个或多个处理器,该一个或多个处理器用于接收标识与网络相关联的网络分段的网络分段信息,并且接收标识关联于与网络通信的端点主机的会话的端点主机会话信息。该一个或多个处理器可以基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该一个或多个处理器可以基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构,并且可以基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该一个或多个处理器可以确定将针对特定端点主机实施的威胁策略动作, ...
【技术保护点】
1.一种设备,包括:一个或多个存储器;以及一个或多个处理器,用于:接收标识与网络相关联的网络分段的网络分段信息;接收标识关联于与所述网络通信的端点主机的会话的端点主机会话信息;基于所述网络分段信息和所述端点主机会话信息来生成包括将所述网络分段与关联于所述端点主机的所述会话相关联的信息的数据结构;基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构;基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机;确定将针对所述特定端点主机实施的威胁策略动作;以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。
【技术特征摘要】
2018.03.23 US 62/647,460;2018.06.29 US 16/024,3191.一种设备,包括:一个或多个存储器;以及一个或多个处理器,用于:接收标识与网络相关联的网络分段的网络分段信息;接收标识关联于与所述网络通信的端点主机的会话的端点主机会话信息;基于所述网络分段信息和所述端点主机会话信息来生成包括将所述网络分段与关联于所述端点主机的所述会话相关联的信息的数据结构;基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构;基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机;确定将针对所述特定端点主机实施的威胁策略动作;以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。2.根据权利要求1所述的设备,其中所述一个或多个处理器还用于:接收与所述网络相关联的网络拓扑信息;以及基于所述网络拓扑信息来生成包括标识所述网络的每个网络元件的能力的信息的另一数据结构,并且其中所述一个或多个处理器在使得所述威胁策略动作被实施时,用于:使得所述威胁策略动作由所述网络的所述网络元件中的一个或多个网络元件基于所述另一数据结构实施。3.根据权利要求1所述的设备,其中所述一个或多个处理器还用于:接收与所述端点主机相关联的主机威胁馈送信息;以及基于所述主机威胁馈送信息向所述数据结构添加标识与所述端点主机相关联的主机威胁馈送的信息。4.根据权利要求1所述的设备,其中所述一个或多个处理器还用于:标识与所述端点主机相关联的网络控制系统;以及向所述数据结构添加标识与所述端点主机相关联的所述网络控制系统的信息,并且其中所述一个或多个处理器在使得所述威胁策略动作被实施时,用于:使得所述威胁策略动作由所述网络控制系统中的一个或多个网络控制系统基于所述数据结构实施。5.根据权利要求1所述的设备,其中所述一个或多个处理器还用于:接收与所述端点主机相关联的主机威胁馈送信息;基于所述主机威胁馈送信息并且基于所述威胁策略动作来使得所述网络外部的主机威胁业务在所述网络的周边网络元件处被阻止;以及基于所述主机威胁馈送信息并且基于所述威胁策略动作来使得所述网络内部的主机威胁业务在所述网络的交换层处被阻止。6.根据权利要求1所述的设备,其中所述一个或多个处理器还用于:接收与所述端点主机相关联的主机威胁馈送信息;以及利用特定标识来标记由所述主机威胁馈送信息标识的主机威胁,并且其中所述一个或多个处理器在确定所述威胁策略动作时,用于:基于所述特定标识中的与所述特定端点主机相关联的特定标识来确定所述威胁策略动作。7.根据权利要求6所述的设备,其中所述一个或多个处理器还用于:基于所述特定标识来监测跨所述网络的主机威胁业务。8.一种存储指令的非暂态计算机可读介质,所述指令包括:一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时,使得所述一个或多个处理器:接收关联于与网络通信的端点主机的主机威胁馈送信息;接收标识与网络相关联的网络分段的网络分段信息;接收标识与所述端点主机相关联的会话的端点主机会话信息;基于所述主机威胁馈送信息、所述网络分段信息和所述端点主机会话信息来生成数据结构,所述数据结构包括:标识与所述端点主机相关联的主机威胁馈送的信息,以及将所述网络分段与关联于所述端点主机的所述会话相关联的信息;基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构;基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机;确定将针对所述特定端点主机实施的威胁策略动作;以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。9.根据权利要求8所述的非暂态计算机可读介质,其中所述主机威胁馈送信息包括与恶意软件相关联的信息。10.根据权利要求8所述的非暂态计算机可读介质,其中所述指令还包括:一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时,使得所述一个或多个处理器:接收与所述网络相关联的网络拓扑信息;以及基于所述网络拓扑信息来生成包括标识所述网络的每个网络元件的能力的信息的另一数据结构,并且其...
【专利技术属性】
技术研发人员:P·T·塞沙德里,B·P·勒,S·尼玛加德达,J·S·马歇尔,K·K·S·伊耶,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。