跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作制造技术

本申请的各实施例涉及跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作。一种设备接收标识与网络相关联的网络分段的网络分段信息，并且接收标识关联于与网络通信的端点主机的会话的端点主机会话信息。该设备基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该设备基于与端点主机相关联的会话的变化标签基于端点主机在网络分段内的位置的变化来更新数据结构，并且基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该设备确定将针对特定端点主机实施的威胁策略动作，并且使得威胁策略动作由网络针对特定端点主机实施。

Tracking Host Threats in Network and Implementing Threat Strategies for Host Threats

【技术实现步骤摘要】
跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作相关申请的交叉引用本申请根据35U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权，其内容通过引用整体并入本文。
本申请的各实施例涉及跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作。
技术介绍
随着恶意软件变得更加复杂，威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是，在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下，网络的周边处的安全控制可能不足。例如，当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时，在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制，因为与端点主机威胁相关联的网络地址(例如，互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。
技术实现思路
根据一些实现，一种设备可以包括一个或多个存储器和一个或多个处理器，该一个或多个处理器用于接收标识与网络相关联的网络分段的网络分段信息，并且接收标识关联于与网络通信的端点主机的会话的端点主机会话信息。该一个或多个处理器可以基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该一个或多个处理器可以基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，并且可以基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该一个或多个处理器可以确定将针对特定端点主机实施的威胁策略动作，并且可以使得实施威胁策略动作由网络针对特定端点主机。根据一些实现，一种非暂态计算机可读介质可以存储指令，这些指令包括一个或多个指令，该一个或多个指令在由设备的一个或多个处理器执行时，使得一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息，并且接收标识与网络相关联的网络分段的网络分段信息。该一个或多个指令可以使得一个或多个处理器接收标识与端点主机相关联的会话的端点主机会话信息，并且基于主机威胁馈送信息、网络分段信息和端点主机会话信息来生成包括标识与端点主机相关联的主机威胁馈送的信息和将网络分段与关联于端点主机的会话相关联的信息的数据结构。该一个或多个指令可以使得一个或多个处理器基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，并且基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该一个或多个指令可以使得一个或多个处理器确定将针对特定端点主机实施的威胁策略动作，并且使得威胁策略动作由网络针对特定端点主机实施。根据一些实现，一种方法可以包括：接收标识网络的网络元件的能力的网络拓扑信息，以及接收标识与网络相关联的网络分段的网络分段信息。该方法可以包括：接收标识关联于与网络通信的端点主机的会话的端点主机会话信息，以及基于网络拓扑信息、网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。该方法可以包括：基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，以及基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。该方法可以包括：确定将针对特定端点主机实施的威胁策略动作，并且使得威胁策略动作由网络的一个或多个网络元件针对特定端点主机实施。附图说明图1A至图1K是本文中描述的示例实现的示图；图2是其中可以实现本文中描述的系统和/或方法的示例环境的示图；图3是图2的一个或多个设备的示例组件的示图；图4是用于跟踪网络中的主机威胁并且针对主机威胁实施威胁策略动作的示例过程的流程图；图5是用于跟踪网络中的主机威胁并且针对主机威胁实施威胁策略动作的示例过程的流程图；以及图6是用于跟踪网络中的主机威胁并且针对主机威胁实施威胁策略动作的示例过程的流程图。具体实施方式以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。不了解网络中的潜在端点主机威胁的移动性的威胁补救系统引入了若干挑战。例如，威胁标识仅限于在通过周边网络设备与网络通信的端点主机威胁的数据路径中进行检测，网络内部的端点主机威胁的横向传播无法检测并且无法控制其进一步扩展，并且一旦端点主机威胁移动到不同的网络分段，端点主机威胁可能会获取附加的访问权限和特权，从而危及未受保护的网络分段。因此，威胁修复系统无法在整个网络中实时地一致地且有效地监测、标识和修复端点主机威胁。本文中描述的一些实现提供了一种跟踪网络中的主机威胁并且针对主机威胁实施威胁策略动作的策略实施方平台。例如，策略实施方平台可以接收标识与网络相关联的网络分段的网络分段信息，并且可以接收标识与关联于网络通信的端点主机的会话的端点主机会话信息。策略实施方平台可以基于网络分段信息和端点主机会话信息来生成包括将网络分段与关联于端点主机的会话相关联的信息的数据结构。策略实施方平台可以基于与端点主机相关联的会话的变化并且基于端点主机在网络分段内的位置的变化来更新数据结构，并且可以基于数据结构来标识端点主机中的改变了网络分段内的位置的特定端点主机。策略实施方平台可以确定将针对特定端点主机实施的威胁策略动作，并且可以使得威胁策略动作由网络针对特定端点主机实施。图1A至图1K是本文中描述的示例实现100的示图。如图1A中所示，用户设备(例如，端点主机)可以与网络、策略实施方平台和管理设备相关联。如图1A中进一步所示，网络可以包括可能由多个不同供应商提供的局域网(LAN)设备(例如，多供应商LAN设备)、可能由多个不同供应商提供的无线局域网(WLAN)设备(例如，多供应商WLAN设备)、可能由多个不同供应商提供的网络设备和/或可能由多个不同供应商提供的网络控制系统(例如，控制系统)。在一些实现中，每个控制系统可以控制和/或管理网络的网络分段。例如，与特定供应商相关联的控制系统可以利用与特定供应商相关联的设备来控制网络分段。如图1A中和由附图标记105进一步所示，策略实施方平台可以从一个或多个控制系统接收与网络相关联的网络拓扑信息。在一些实现中，网络拓扑信息可以包括标识与网络相关联的设备(例如，多供应商LAN设备、多供应商WLAN设备、网络设备、控制系统、端点主机等)的信息。例如，网络拓扑信息可以包括标识与网络相关联的设备的制造商、模型、设备标识符、吞吐量、带宽、网络地址等的信息、标识与网络相关联的设备中提供的硬件的信息、标识与网络相关联的设备中提供的软件的信息等。如图1A中和由附图标记110进一步所示，策略实施方平台可以从管理设备接收与网络相关联的主机威胁馈送信息。在一些实现中，管理设备可以包括组合安全信息管理(SIM)和安全事件管理(SEM)并且提供由与网络相关联的应用和设备生成的安全警报的实时分析的安全信息和事件管理(SIEM)设备。在一些实现中，主机威胁馈送信息可以包括标识与网络相关联的威胁馈送(例如，由端点主机提供并且包括威胁的馈送)的信息。在一些实现中，主机威胁馈送信息可以包括标识与威胁馈送相关联的网络地址(例如，IP地址)的信息。如图1B中和由附图标记115所示，本文档来自技高网...

【技术保护点】
1.一种设备，包括：一个或多个存储器；以及一个或多个处理器，用于：接收标识与网络相关联的网络分段的网络分段信息；接收标识关联于与所述网络通信的端点主机的会话的端点主机会话信息；基于所述网络分段信息和所述端点主机会话信息来生成包括将所述网络分段与关联于所述端点主机的所述会话相关联的信息的数据结构；基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构；基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机；确定将针对所述特定端点主机实施的威胁策略动作；以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。

【技术特征摘要】
2018.03.23 US 62/647,460;2018.06.29 US 16/024,3191.一种设备，包括：一个或多个存储器；以及一个或多个处理器，用于：接收标识与网络相关联的网络分段的网络分段信息；接收标识关联于与所述网络通信的端点主机的会话的端点主机会话信息；基于所述网络分段信息和所述端点主机会话信息来生成包括将所述网络分段与关联于所述端点主机的所述会话相关联的信息的数据结构；基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构；基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机；确定将针对所述特定端点主机实施的威胁策略动作；以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。2.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收与所述网络相关联的网络拓扑信息；以及基于所述网络拓扑信息来生成包括标识所述网络的每个网络元件的能力的信息的另一数据结构，并且其中所述一个或多个处理器在使得所述威胁策略动作被实施时，用于：使得所述威胁策略动作由所述网络的所述网络元件中的一个或多个网络元件基于所述另一数据结构实施。3.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收与所述端点主机相关联的主机威胁馈送信息；以及基于所述主机威胁馈送信息向所述数据结构添加标识与所述端点主机相关联的主机威胁馈送的信息。4.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：标识与所述端点主机相关联的网络控制系统；以及向所述数据结构添加标识与所述端点主机相关联的所述网络控制系统的信息，并且其中所述一个或多个处理器在使得所述威胁策略动作被实施时，用于：使得所述威胁策略动作由所述网络控制系统中的一个或多个网络控制系统基于所述数据结构实施。5.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收与所述端点主机相关联的主机威胁馈送信息；基于所述主机威胁馈送信息并且基于所述威胁策略动作来使得所述网络外部的主机威胁业务在所述网络的周边网络元件处被阻止；以及基于所述主机威胁馈送信息并且基于所述威胁策略动作来使得所述网络内部的主机威胁业务在所述网络的交换层处被阻止。6.根据权利要求1所述的设备，其中所述一个或多个处理器还用于：接收与所述端点主机相关联的主机威胁馈送信息；以及利用特定标识来标记由所述主机威胁馈送信息标识的主机威胁，并且其中所述一个或多个处理器在确定所述威胁策略动作时，用于：基于所述特定标识中的与所述特定端点主机相关联的特定标识来确定所述威胁策略动作。7.根据权利要求6所述的设备，其中所述一个或多个处理器还用于：基于所述特定标识来监测跨所述网络的主机威胁业务。8.一种存储指令的非暂态计算机可读介质，所述指令包括：一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：接收关联于与网络通信的端点主机的主机威胁馈送信息；接收标识与网络相关联的网络分段的网络分段信息；接收标识与所述端点主机相关联的会话的端点主机会话信息；基于所述主机威胁馈送信息、所述网络分段信息和所述端点主机会话信息来生成数据结构，所述数据结构包括：标识与所述端点主机相关联的主机威胁馈送的信息，以及将所述网络分段与关联于所述端点主机的所述会话相关联的信息；基于与所述端点主机相关联的所述会话的变化并且基于所述端点主机在所述网络分段内的位置的变化来更新所述数据结构；基于所述数据结构来标识所述端点主机中的改变了所述网络分段内的位置的特定端点主机；确定将针对所述特定端点主机实施的威胁策略动作；以及使得所述威胁策略动作由所述网络针对所述特定端点主机实施。9.根据权利要求8所述的非暂态计算机可读介质，其中所述主机威胁馈送信息包括与恶意软件相关联的信息。10.根据权利要求8所述的非暂态计算机可读介质，其中所述指令还包括：一个或多个指令，所述一个或多个指令在由所述一个或多个处理器执行时，使得所述一个或多个处理器：接收与所述网络相关联的网络拓扑信息；以及基于所述网络拓扑信息来生成包括标识所述网络的每个网络元件的能力的信息的另一数据结构，并且其...

【专利技术属性】
技术研发人员：P·T·塞沙德里，B·P·勒，S·尼玛加德达，J·S·马歇尔，K·K·S·伊耶，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国,US