CN114070611A - 基于主机威胁的网络地址来实施威胁策略动作 - Google Patents
基于主机威胁的网络地址来实施威胁策略动作 Download PDFInfo
- Publication number
- CN114070611A CN114070611A CN202111345822.XA CN202111345822A CN114070611A CN 114070611 A CN114070611 A CN 114070611A CN 202111345822 A CN202111345822 A CN 202111345822A CN 114070611 A CN114070611 A CN 114070611A
- Authority
- CN
- China
- Prior art keywords
- network
- threat
- host
- host threat
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000009471 action Effects 0.000 title claims abstract description 69
- 238000000034 method Methods 0.000 claims description 86
- 238000004891 communication Methods 0.000 claims description 30
- 230000015654 memory Effects 0.000 claims description 24
- 230000002093 peripheral effect Effects 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000013507 mapping Methods 0.000 claims 1
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 description 136
- 230000008569 process Effects 0.000 description 63
- 238000007726 management method Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 11
- 210000002569 neuron Anatomy 0.000 description 10
- 230000007123 defense Effects 0.000 description 8
- 238000005065 mining Methods 0.000 description 7
- 238000013473 artificial intelligence Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000007418 data mining Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000005067 remediation Methods 0.000 description 4
- 238000012706 support-vector machine Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000010224 classification analysis Methods 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000036544 posture Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000000611 regression analysis Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Circuit Arrangement For Electric Light Sources In General (AREA)
Abstract
本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。一种设备接收标识对网络的特定主机威胁的信息,其中该信息包括与特定主机威胁相关联的网络地址列表。该设备标识网络的与对网络的特定主机威胁相关联的网络元件,并且确定与标识的网络元件相关联的网络控制系统。该设备确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统与网络元件的策略实施组相关联。该设备确定将针对特定主机威胁实施的威胁策略动作,并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
Description
本申请是国家申请号为201910193886.9、申请日为2019年3月14日、发明名称为“基于主机威胁的网络地址来实施威胁策略动作”的中国发明专利申请的分案申请。
相关申请的交叉引用
本申请根据35 U.S.C.§119段要求于2018年3月23日提交的美国临时专利申请号62/647,431和62/647,460的优先权,其内容通过引用整体并入本文。
技术领域
本申请的各实施例涉及基于主机威胁的网络地址来实施威胁策略动作。
背景技术
随着恶意软件变得更加复杂,威胁防御解决方案可以提供足够的威胁检测以在网络的周边处实施受感染端点主机安全控制。但是,在从外部端点主机威胁和内部端点主机威胁都注入威胁的自适应网络变化的情况下,网络的周边处的安全控制可能不足。例如,当端点主机威胁横向移动到不同网络分段、不同园区、不同站点等时,在特定网络分段处被连接到网络的在网络周边处被阻止的端点主机威胁可能会绕过安全控制,因为与端点主机威胁相关联的网络地址(例如,互联网协议(IP)地址、媒体访问控制(MAC)地址等)可能改变。
发明内容
根据一些实现,一种设备可以包括一个或多个存储器和用于接收标识对网络的特定主机威胁的信息的一个或多个处理器,其中该信息可以标识特定主机威胁,包括与特定主机威胁相关联的网络地址列表。该一个或多个处理器可以标识网络的与对网络的特定主机威胁相关联的网络元件,并且可以确定与标识的网络元件相关联的网络控制系统。该一个或多个处理器可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个处理器可以确定将针对特定主机威胁实施的威胁策略动作,并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
根据一些实现,一种非暂态计算机可读介质可以存储一个或多个指令,该一个或多个指令在由一个或多个处理器执行时,使得一个或多个处理器:接收关联于与网络通信的端点主机的主机威胁馈送信息。该一个或多个指令可以使得一个或多个处理器从主机威胁馈送信息标识对网络的特定主机威胁,其中特定主机威胁可以是端点主机中的一个端点主机引起,并且特定主机威胁可以与网络的网络地址列表相关联。该一个或多个指令可以使得一个或多个处理器标识网络的与对网络的特定主机威胁相关联的网络元件,并且确定与标识的网络元件相关联的网络控制系统。该一个或多个指令可以使得一个或多个处理器确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统可以与网络元件的策略实施组相关联。该一个或多个指令可以使得一个或多个处理器确定将针对特定主机威胁实施的威胁策略动作,并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
根据一些实现,一种方法可以包括:接收与网络相关联的网络拓扑信息,以及基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构。该方法可以包括接收标识对网络的特定主机威胁的信息,其中标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表。该方法可以包括基于数据结构来标识与对网络的特定主机威胁相关联的网络元件,以及确定与标识的网络元件相关联的网络控制系统。该方法可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统可以与网络元件的策略实施组相关联。该方法可以包括确定将针对特定主机威胁实施的威胁策略动作,并且经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
附图说明
图1A至图1K是本文中描述的示例实现的示图;
图2是其中可以实现本文中描述的系统和/或方法的示例环境的示图;
图3是图2的一个或多个设备的示例组件的示图;
图4是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图;
图5是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图;以及
图6是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程的流程图。
具体实施方式
以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的元素。
不了解网络中的潜在端点主机威胁的移动性的威胁补救系统引入了若干挑战。例如,威胁标识仅限于在通过周边网络设备与网络通信的端点主机威胁的数据路径中进行检测,网络内部的端点主机威胁的横向传播无法检测并且无法控制其进一步扩展,并且一旦端点主机威胁移动到不同的网络分段,端点主机威胁可能会获取附加的访问权限和特权,从而危及未受保护的网络分段。因此,威胁修复系统无法在整个网络中实时地一致地且有效地监测、标识和修复端点主机威胁。
本文中描述的一些实现提供了一种基于主机威胁的网络地址来实施威胁策略动作的策略实施方平台。例如,策略实施方平台可以接收标识对网络的特定主机威胁并且包括与特定主机威胁相关联的网络地址列表的信息。策略实施方平台可以标识网络的与对网络的特定主机威胁相关联的网络元件,并且可以确定与标识的网络元件相关联的网络控制系统。策略实施方平台可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,并且网络控制系统可以与网络元件的策略实施组相关联。策略实施方平台可以确定将针对特定主机威胁实施的威胁策略动作,并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
图1A至图1K是本文中描述的示例实现100的示图。如图1A中所示,用户设备(例如,端点主机)可以与网络、策略实施方平台和管理设备相关联。如图1A中进一步所示,网络可以包括可能由多个不同供应商提供的局域网(LAN)设备(例如,多供应商LAN设备)、可能由多个不同供应商提供的无线局域网(WLAN)设备(例如,多供应商WLAN设备)、可能由多个不同供应商提供的网络设备和/或可能由多个不同供应商提供的网络控制系统(例如,控制系统)。在一些实现中,每个控制系统可以控制和/或管理网络的网络分段。例如,与特定供应商相关联的控制系统可以利用与特定供应商相关联的设备来控制网络分段。
如图1A中和由附图标记105进一步所示,策略实施方平台可以从一个或多个控制系统接收与网络相关联的网络拓扑信息。在一些实现中,网络拓扑信息可以包括标识与网络相关联的设备(例如,多供应商LAN设备、多供应商WLAN设备、网络设备、控制系统、端点主机等)的信息。例如,网络拓扑信息可以包括标识与网络相关联的设备的制造商、模型、设备标识符、吞吐量、带宽、网络地址等的信息、标识与网络相关联的设备中提供的硬件的信息、标识与网络相关联的设备中提供的软件的信息等。
如图1A中和由附图标记110进一步所示,策略实施方平台可以从管理设备接收与网络相关联的主机威胁馈送信息。在一些实现中,管理设备可以包括组合安全信息管理(SIM)和安全事件管理(SEM)并且提供由与网络相关联的应用和设备生成的安全警报的实时分析的安全信息和事件管理(SIEM)设备。在一些实现中,主机威胁馈送信息可以包括标识与网络相关联的威胁馈送(例如,由端点主机提供并且包括威胁的馈送)的信息。在一些实现中,主机威胁馈送信息可以包括标识与威胁馈送相关联的网络地址(例如,IP地址)的信息。
如图1B中和由附图标记115所示,策略实施方平台可以基于网络拓扑信息来生成数据结构(例如,数据库、表、列表等),该数据结构包括标识与网络相关联的网络元件(例如,多供应商LAN设备、多供应商WLAN设备、网络设备、控制系统、端点主机等)的信息。在一些实现中,数据结构可以包括与网络元件相关联的网络拓扑信息,如上所述。在一些实现中,策略实施方平台可以利用网络拓扑信息来确定与网络元件相关联的能力,并且可以将标识与网络元件相关联的能力的信息存储在数据结构中。例如,如图1B中进一步所示,数据结构可以包括标识网络元件(例如,路由器、交换机、防火墙、LAN设备、WLAN设备等)的信息、标识网络元件的能力(例如,路由业务,交换业务,威胁防御,路由LAN业务,路由WLAN业务等)的信息等。在一些实现中,本文中描述的数据结构可以存储在与策略实施方平台相关联的存储器中。
在一些实现中,策略实施方平台可以通过以下方式利用网络拓扑信息来确定与网络元件相关联的能力:分析网络拓扑信息并且基于分析网络拓扑信息来确定与网络相关联的设备的硬件、软件、模型、吞吐量、带宽、网络地址等。策略实施方平台可以基于与网络相关联的设备的硬件、软件、模型、吞吐量、带宽、网络地址等来确定与网络元件相关联的能力。
在一些实现中,策略实施方平台可以利用一个或多个人工智能模型来处理网络拓扑信息以确定与网络元件相关联的能力。在一些实现中,一个或多个人工智能模型可以包括支持向量机模型、人工神经网络模型、数据挖掘模型、模式发现模型等中的一个或多个。
支持向量机模型可以包括具有分析用于分类和回归分析的数据的一个或多个相关联的学习算法的监督学习模型。给定一组训练示例,每个训练示例被标记为属于两个类别中的一个类别或另一类别,支持向量机模型的训练方法构建将新示例分配给一个类别或另一类别的模型。支持向量机模型是作为空间中的点的示例的表示,被映射使得单独类别的示例被尽可能宽的明确间隙划分。然后将新的示例映射到相同的空间中,并且基于它们落在间隙的哪一边来预测属于哪个类别。
人工神经网络模型可以包括使用人工神经网络(例如,以确定与网络元件相关联的能力)的模型。人工神经网络利用被称为人工神经元的连接单元或节点的集合。人工神经元之间的每个连接可以从一个人工神经元向另一人工神经元传输信号。接收信号的人工神经元可以处理信号,并且然后向与其连接的人工神经元提供信号。人工神经元和连接通常具有随着学习进行而调节的权重。权重可以增加或减少连接处的信号的强度。另外,人工神经元可以具有阈值,使得如果聚合信号满足阈值,则人工神经元仅发送信号。通常,人工神经元以层的形式组织,并且不同的层可以对其输入执行不同类型的变换。
数据挖掘模型可以包括如下模型:该模型执行异常检测(例如,异常值、变化和/或偏差检测)以标识需要进一步调查的感兴趣的异常数据记录或数据错误,执行关联规则学习(例如,依赖性建模)以搜索变量之间的关系,执行聚类以发现相似数据中的组和/或结构,而不使用数据中的已知结构,执行分类以概括应用于新数据的已知结构,执行回归以标识以最小错误对数据进行建模的函数,执行汇总以提供数据集的更紧凑的表示,包括可视化和报告生成等。
模式发现模型可以包括数据挖掘技术,诸如顺序模式挖掘。顺序模式挖掘是一种结构化数据挖掘,其旨在标识数据示例之间的统计相关模式,其中值按顺序传递。顺序模式挖掘可以被分类为字符串挖掘(例如,其基于字符串处理模型)和/或项集挖掘(例如,其基于关联规则学习)。字符串挖掘处理在序列中出现的项目的有限字母表,但序列本身可能很长。项集挖掘处理发现频繁项集以及频繁项集出现的顺序。
在一些实现中,策略实施方平台可以利用一个或多个人工智能模型,并且可以利用由人工智能模型之一确定的最佳结果。在一些实现中,策略实施方平台可以利用多个人工智能模型,并且可以聚合由多个人工智能模型确定的结果。
如图1B中和由附图标记120进一步所示,策略实施方平台可以基于网络拓扑信息和/或主机威胁馈送信息来生成包括标识连接到网络的端点主机(例如,用户设备)的信息的数据结构(例如,数据库、表、列表等)。在一些实现中,数据结构可以包括与端点主机相关联的网络拓扑信息,如上所述。在一些实现中,策略实施方平台可以利用网络拓扑信息和/或主机威胁馈送信息来确定与端点主机相关联的会话,并且可以将标识与端点主机相关联的会话的信息存储在数据结构中。例如,如图1B中进一步所示,数据结构可以包括标识端点主机(例如,计算机、智能电话、膝上型计算机、平板计算机、可穿戴设备等)的信息、标识端点主机的会话(例如,活动的、不活动的等)的信息、标识与会话相关联的威胁得分的信息(例如,基于从0到10的威胁等级,其中零指示没有威胁而10指示最大威胁)等。在一些实现中,威胁得分可以由主机威胁馈送信息提供。
如图1C中和由附图标记125所示,策略实施方平台可以标识与数据结构的端点主机相关联的包括标识端点主机的信息的控制系统(例如,如图1B中所示)。在一些实现中,策略实施方平台可以利用端点主机的网络地址(例如,IP地址)来将每个端点主机与特定网络分段进行匹配。在这样的实现中,策略实施方平台可以确定(例如,基于网络拓扑信息)哪个控制系统与每个特定网络分段相关联(例如,管理其),并且因此可以标识与端点主机相关联的控制系统。在一些实现中,策略实施方平台可以向数据结构添加标识相关联的控制系统的信息,该信息包括标识端点主机的信息。例如,如图1C中进一步所示,控制系统1可以与计算机和智能电话相关联,控制系统2可以与平板计算机相关联,控制系统3可以与膝上型计算机相关联,并且控制系统4可以是与可穿戴设备相关联。
参考图1D,在一些实现中并且基于主机威胁馈送信息(例如,基于与主机威胁馈送相关联的威胁得分),策略实施方可以通过针对在LAN设备和/或WLAN设备、网络设备和端点主机之间提供的外部主机威胁业务(例如,南北通信)在网络的周边网络设备(例如,防火墙)处阻止端点主机业务来协调威胁实施动作。另外地或替代地,策略实施方可以通过针对在LAN设备之间和/或在WLAN设备之间提供的内部主机威胁业务(例如,东西通信)在网络的交换层处阻止端点主机业务来协调威胁实施动作。
如图1D中和由附图标记130所示,策略实施方平台可以使得在网络的周边网络设备处阻止外部主机威胁业务。在一些实现中,策略实施方平台可以向与周边网络设备相关联的控制系统提供指示周边网络设备将阻止外部主机威胁业务的信息。在这样的实现中,控制系统可以向周边网络设备提供阻止外部主机威胁业务的指令。周边网络设备可以接收该指令,并且可以基于该指令来阻止外部主机威胁业务。例如,由于平板计算机和可穿戴设备分别具有威胁得分为8和9的活动会话(例如,如图1C中所示),所以策略实施方平台可以确定平板计算机和可穿戴设备表示外部主机威胁业务,并且可以使得与平板计算机和可穿戴设备相关联的周边网络设备阻止从平板计算机和可穿戴设备接收的业务,如图1D中进一步所示。
如图1D中和由附图标记135进一步所示,策略实施方平台可以使得在网络的交换层处阻止内部主机威胁业务。在一些实现中,策略实施方平台可以向与切换层相关联的控制系统(例如,LAN设备和/或WLAN设备之间的通信)提供指示LAN设备和/或WLAN设备将阻止内部主机威胁业务的信息。在这样的实现中,控制系统可以向LAN设备和/或WLAN设备提供阻止内部主机威胁业务的指令。LAN设备和/或WLAN设备可以接收该指令,并且可以基于该指令来阻止内部主机威胁业务。例如,策略实施方平台可以确定平板计算机和可穿戴设备在LAN和/或WLAN中生成内部主机威胁业务,并且可以使得与LAN和/或WLAN相关联的LAN设备和/或WLAN设备阻止这样的业务。
如图1E中和由附图标记140所示,策略实施方平台可以利用唯一标识(ID)标记主机威胁。在一些实现中,每个唯一ID可以包括与关联于表示威胁的端点主机的网络接口卡(NIC)相关联的MAC地址、与表示威胁的端点主机相关联的会话信息(例如,用户登录会话细节)、与表示威胁的端点主机相关联的设备标识符(例如,型号、序列号等)、前述的组合等。以这种方式,策略实施方平台也可以跟踪表示威胁的端点主机,即使当端点主机基于在迁移(例如,横向迁移)通过网络之后端点主机重新附接到新的网络分段的位置和方式而被分配不同的网络地址(例如,IP地址)时。
在一些实现中,如图1E中进一步所示,策略实施方平台可以仅标记利用唯一ID表示威胁的那些端点主机。例如,由于平板计算机和可穿戴设备分别具有威胁得分为8和9的活动会话(例如,如图1C中所示),所以策略实施方平台可以利用唯一ID(例如,分别为唯一ID 1和唯一ID 2)标记平板计算机和可穿戴设备。这样,策略实施方平台可以跟踪平板计算机和可穿戴设备通过网络的移动。在一些实现中,策略实施方平台可以向数据结构添加标识唯一ID的信息,该信息包括标识端点主机和与端点主机相关联的会话的信息(例如,如图1B中所示)。
如图1F中和由附图标记145所示,策略实施方平台可以基于唯一ID来监测跨网络的主机威胁业务。在一些实现中,策略实施方可以对表示跨网络的威胁的端点主机的横向传播的监测和跟踪进行自动化,并且可以继续针对表示威胁的端点主机实施动作(例如,可以关于有线到无线到有线会话迁移和/或多供应商网络分段来监测和/或执行动作)。在一些实现中,策略实施方可以基于利用唯一ID对表示威胁的端点主机进行标记来执行与表示威胁的端点主机的跟踪和/或策略编排相关的动作。唯一ID可以使得策略实施方平台能够跟踪表示威胁的端点主机,即使当端点主机基于在迁移通过网络之后端点主机重新附接到新的网络分段的位置和方式而被分配不同的网络地址(例如,IP地址)时。
如图1G中和由附图标记150所示,策略实施方平台可以向管理设备提供主机威胁信息以减轻管理设备的重复分析,减少管理设备将端点主机误报标识为威胁,针对整个网络提供一致的安全状态(posture)等。在一些实现中,由于管理设备可以监测网络并且针对网络实施安全策略,因此策略实施方平台可以向管理设备提供由策略实施方平台确定的主机威胁信息。在一些实现中,主机威胁信息可以包括以基于唯一ID监测跨网络的主机威胁业务为基础而被确定的信息,如上面结合图1F所述。
如图1H中和由附图标记155所示,策略实施方平台可以接收标识与特定端点主机相关联的特定主机威胁的信息。在一些实现中,策略实施方平台可以为由特定端点主机生成的特定主机威胁提供安全策略编排,以便针对网络提供一致的安全状态。在一些实现中,标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址(例如,IP地址)列表,因为特定主机威胁可以在特定主机威胁迁移通过网络时接收多个网络地址。
如图1H中和由附图标记160进一步所示,策略实施方平台可以标识与特定主机威胁相关联的网络元件。在一些实现中,策略实施方平台可以利用网络拓扑信息来标识与特定主机威胁相关联的网络元件。例如,基于网络拓扑信息和与特定主机威胁相关联的唯一ID,策略实施方平台可以将网络元件(例如,路由器3、交换机1、交换机5、交换机7、防火墙2和防火墙3)标识为与唯一ID和特定主机威胁相关联的网络元件。在一些实现中,策略实施方平台可以利用与特定主机威胁相关联的唯一ID以通过确定哪些网络元件处理了唯一ID来标识与特定主机威胁相关联的网络元件。
如图1I中和由附图标记165所示,策略实施方平台可以确定与被标识为与特定主机威胁相关联的网络元件相关联的控制系统。在一些实现中,与标识的网络元件相关联的控制系统可以实施主机威胁策略(例如,威胁策略动作)以对抗特定主机威胁。在一些实现中,策略实施方平台可以利用网络拓扑信息来确定与标识的网络元件相关联的控制系统。例如,如图1I中进一步所示并且基于网络拓扑信息,策略实施方平台可以确定控制系统1与路由器3、交换机1、交换机5、交换机7、防火墙2和防火墙3相关联。在一些实现中,特定主机威胁可以与关联于其他控制系统的其他网络元件相关联。在这样的实现中,策略实施方平台可以确定与被标识为与特定主机威胁相关联的网络元件相关联的多个控制系统。
如图1I中和由附图标记170进一步所示,策略实施方平台可以从标识的网络元件中确定映射到与特定主机威胁相关联的网络地址(例如,IP地址)列表的网络元件的策略实施组。在一些实现中,策略实施方平台可以针对列表中的IP地址和针对基于IP子网的策略实施组来确定网络子网掩码内的IP地址(例如,为标识的控制系统而发现的IP地址)。在这样的实现中,策略实施方平台可以将网络子网掩码映射到(例如,开源互连(OSI)模型的)层3网络设备(例如,配置有集成的路由和桥接(IRB)和/或虚拟LAN(VLAN)扩展)。在一些实现中,策略实施方平台可以确定网络子网掩码是否具有可用的策略。在一些实现中,对于基于位置的策略实施组,策略实施方平台可以确定标识的网络元件是否具有可用的策略。例如,如图1I中进一步所示,策略实施方平台可以将路由器3、交换机1、交换机7和防火墙2确定为网络元件的策略实施组。
如图1J中和由附图标记175所示,策略实施方平台可以确定将针对特定主机威胁实施的威胁策略动作。在一些实现中,策略实施方平台可以从网络元件的策略实施组中标识是否存在威胁防御策略,并且可以标识与威胁防御策略相关联的任何威胁简档。在这样的实现中,策略实施方平台可以针对与特定主机威胁相关联的威胁简档来标识要实施的相应的威胁策略动作。在一些实现中,如果存在威胁防御策略,则策略实施方平台可以标识与威胁防御策略相关联的一个或多个威胁策略动作。在一些实现中,如果不存在威胁防御策略,则策略实施方平台可以创建新的威胁防御策略(例如,利用威胁策略动作)以对抗特定主机威胁。
如图1K中和由附图标记180所示,策略实施方平台可以使得威胁策略动作由策略实施组的网络元件实施。在一些实现中,策略实施方平台可以向与策略实施组的网络元件相关联的控制系统提供指示策略实施组的网络元件将实施威胁策略动作以对抗特定主机威胁的信息。在这样的实现中,控制系统可以向策略实施组的网络元件提供实施威胁策略动作以对抗特定主机威胁的指令。策略实施组的网络元件可以接收该指令,并且可以基于该指令实施威胁策略动作。例如,策略实施方平台可以向控制系统1提供指示路由器3、交换机1、交换机7和防火墙2将实施威胁策略动作以对抗特定主机威胁的信息。在这样的实现中,控制系统1可以向路由器3、交换机1、交换机7和防火墙2提供实施威胁策略动作以对抗特定主机威胁的指令。路由器3、交换机1、交换机7和防火墙2可以接收该指令,并且可以基于该指令实施威胁策略动作。在一些实现中,威胁策略动作可以包括从特定主机威胁中丢弃业务,隔离来自特定主机威胁的业务,记录来自特定主机威胁的业务以进行进一步分析,将来自特定主机威胁的业务重定向到可以执行对特定主机威胁的更深入分析的设备等。
本文中描述的一些实现可以涉及多供应商网络中的主机威胁移动问题。另外地或替代地,本文中描述的一些实现可以涉及由端点主机生成的给定IP馈送的主机威胁策略编排。另外地或替代地,本文中描述的一些实现可以提供一种用于唯一地标识网络中的端点主机的方式,诸如当主机威胁馈送通过IP地址来标识与潜在风险具有相同IP地址的多个端点主机时(例如,这可能是威胁补救所需要的)。
本文中描述的一些实现可以标识特定网络分段中的特定端点主机会话(例如,基于威胁馈送中的IP地址)。另外地或替代地,本文中描述的一些实现可以将特定策略动作针对端点主机组相关联,并且可以在特定控制系统上实施策略动作。例如,威胁馈送可以将IP地址标识为威胁,并且基于该IP地址,本文中描述的一些实现可以基于端点主机的唯一ID来标识用于实施策略动作的正确的端点主机。以这种方式,本文中描述的一些实现能够针对端点主机实施策略动作,而不管端点主机的IP地址是否已经改变或将改变(例如,由于从网络断开连接并且重新连接到网络,迁移通过网络等)。
另外地或替代地,在企业网络或园区分支部署中(例如,其中分支网络配置有具有交叠IP地址的类似IP寻址方案),策略实施方平台可以创建一组安全的网络元件以唯一地与分支网络相关联,并且可以动态地确定正确的端点主机以实施与特定的一组安全的网络元件的威胁主机馈送的IP地址相匹配的威胁补救动作。这在针对同一IP地址存在多个端点会话处于活动状态的情况下,可以阻止策略实施方平台针对不正确的端点会话实施策略操作。
以这种方式,用于基于主机威胁的网络地址来实施威胁策略动作的过程的若干不同阶段可以被自动化,这可以消除过程中的人为主观性和浪费,并且可以提高过程的速度和效率并且节省计算资源(例如,处理器资源、存储器资源等)。此外,本文中描述的实现使用严格的计算机化过程来执行先前未执行或先前使用主观人类直觉或输入执行的任务或角色。例如,目前,不存在用于基于主机威胁的网络地址来实施威胁策略动作的技术。最后,用于基于主机威胁的网络地址来实施威胁策略动作的过程的自动化节省了否则将在试图抵抗跨网络的主机威胁时浪费的计算资源(例如,处理器资源、存储器资源等)。
如上所述,图1A至图1K仅作为示例提供。其他示例是可能的,并且可以与关于图1A至图1K描述的示例不同。
图2是其中可以实现本文中描述的系统和/或方法的示例环境200的示图。如图2中所示,环境200可以包括用户设备210、策略实施方平台220、网络230、管理设备240、LAN设备250、WLAN设备260、控制系统270和网络设备280。环境200的设备可以经由有线连接、无线连接或有线和无线连接的组合进行互连。
用户设备210包括能够接收、生成、存储、处理和/或提供信息(诸如本文中描述的信息)的一个或多个设备。例如,用户设备210可以包括移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、台式计算机、手持式计算机、游戏设备、可穿戴通信设备(例如,智能手表、智能眼镜等)或类似类型的设备。在一些实现中,用户设备210可以从环境200的一个或多个其他设备接收信息和/或向其传输信息。
策略实施方平台220包括能够基于主机威胁的网络地址来实施威胁策略动作的一个或多个设备。在一些实现中,策略实施方平台220可以被设计为模块化的,使得某些软件组件可以根据特定需要而被换入或换出。这样,可以容易地和/或快速地重新配置策略实施方平台220以用于不同的用途。在一些实现中,策略实施方平台220可以从环境200的一个或多个其他设备接收信息和/或向其传输信息。
在一些实现中,如所示,策略实施方平台220可以被托管在云计算环境222中。值得注意的是,虽然本文中描述的实现将策略实施方平台220描述为托管在云计算环境222中,但是在一些实现中,策略实施方平台220可以不是基于云的(即,可以在云计算环境之外实现,诸如在一个或多个服务器设备之内),或者可以是部分基于云的。
云计算环境222包括托管策略实施方平台220的环境。云计算环境222可以提供计算、软件、数据访问、存储等服务,这些服务不需要最终用户对托管策略实施方平台220的系统和/或设备的物理位置和配置的知识。如所示,云计算环境222可以包括一组计算资源224(统称为“计算资源224”并且单独称为“计算资源224”)。
计算资源224包括一个或多个个人计算机、工作站计算机、服务器设备或其他类型的计算和/或通信设备。在一些实现中,计算资源224可以托管策略实施方平台220。云资源可以包括在计算资源224中执行的计算实例、在计算资源224中提供的存储设备、由计算资源224提供的数据传输设备等。在一些实现中,计算资源224可以经由有线连接、无线连接或有线和无线连接的组合与其他计算资源224通信。
如图2中进一步所示,计算资源224包括一组云资源,诸如一个或多个应用(“APP”)224-1、一个或多个虚拟机(“VM”)224-2、虚拟化存储装置(“VS”)224-3、一个或多个管理程序(“HYP”)224-4等。
应用224-1包括可以提供给用户设备210或由用户设备210访问的一个或多个软件应用。应用224-1可以消除在用户设备210上安装和执行软件应用的需要。例如,应用224-1可以包括与策略实施方平台220相关联的软件和/或能够经由云计算环境222提供的任何其他软件。在一些实现中,一个应用224-1可以经由虚拟机224-2向/从一个或多个其他应用224-1发送/接收信息。
虚拟机224-2包括执行诸如物理机器等程序的机器(例如,计算机)的软件实现。虚拟机224-2可以是系统虚拟机或过程虚拟机,这取决于虚拟机224-2对任何真实机器的使用和对应程度。系统虚拟机可以提供支持完整操作系统(“OS”)的执行的完整系统平台。过程虚拟机可以执行单个程序,并且可以支持单个过程。在一些实现中,虚拟机224-2可以代表用户(例如,用户设备210的用户或策略实施方平台220的运营商)执行,并且可以管理云计算环境222的基础设施,诸如数据管理、同步或长时间数据传输。
虚拟化存储装置224-3包括在计算资源224的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实现中,在存储系统的上下文中,虚拟化类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指逻辑存储从物理存储的抽象(或分离),使得可以访问存储系统而不考虑物理存储或异构结构。分离可以允许存储系统的管理员灵活地管理最终用户的存储。文件虚拟化可以消除在文件级访问的数据与文件物理存储的位置之间的依赖性。这可以实现存储使用、服务器整合和/或无中断文件迁移性能的优化。
管理程序224-4可以提供允许多个操作系统(例如,“客户操作系统”)在主计算机(诸如计算资源224)上同时执行的硬件虚拟化技术。管理程序224-4可以向客户操作系统呈现虚拟操作平台,并且可以管理客户操作系统的执行。各种操作系统的多个实例可以共享虚拟化硬件资源。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括蜂窝网络(例如,第五代(5G)网络、长期演进(LTE)网络、第三代(3G)网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网(PSTN))、专用网络、自组织网络、内联网、因特网、基于光纤的网络等、和/或这些或其他类型的网络的组合。
管理设备240包括能够接收、生成、存储、处理和/或提供本文中描述的信息的一个或多个设备。例如,管理设备240可以包括服务器(例如,在数据中心或云计算环境中)、数据中心(例如,多服务器微数据中心)、工作站计算机、在云计算环境中提供的VM或类似类型的设备。在一些实现中,管理设备240可以从环境200的一个或多个其他设备接收信息和/或向其提供信息。在一些实现中,管理设备240可以是在诸如机箱等外壳内实现的物理设备。在一些实现中,管理设备240可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,管理设备240可以标识由端点主机(例如,用户设备210)生成的主机威胁馈送,并且可以分析和/或管理主机威胁馈送。
LAN设备250包括能够接收、生成、存储、处理和/或提供本文中描述的信息的一个或多个设备。例如,LAN设备250可以包括网络设备(例如,如本文所述)、用户设备(例如,如本文所述)、服务器设备等。在一些实现中,LAN设备250可以从环境200的一个或多个其他设备接收信息和/或向其提供信息。在一些实现中,LAN设备250可以是在诸如机箱等外壳内实现的物理设备。在一些实现中,LAN设备250可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
WLAN设备260包括能够接收、生成、存储、处理和/或提供本文中描述的信息的一个或多个设备。例如,WLAN设备260可以包括网络设备(例如,如本文所述)、用户设备(例如,如本文所述)、服务器设备等。在一些实现中,WLAN设备260可以从环境200的一个或多个其他设备接收信息和/或向其提供信息。在一些实现中,WLAN设备260可以是在诸如机箱等外壳内实现的物理设备。在一些实现中,WLAN设备260可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
控制系统270包括能够接收、生成、存储、处理和/或提供本文中描述的信息的一个或多个设备。例如,控制系统270可以包括服务器(例如,在数据中心或云计算环境中)、数据中心(例如,多服务器微数据中心)、工作站计算机、在云计算环境中提供的VM或类似类型的设备。在一些实现中,控制系统270可以从环境200的一个或多个其他设备接收信息和/或向其提供信息。在一些实现中,控制系统270可以是在诸如机箱等外壳内实现的物理设备。在一些实现中,控制系统270可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中,控制系统270可以包括管理网络元件(例如,LAN设备250、WLAN设备260、网络设备280等)并且执行故障管理、配置、计费、性能和安全等的元件管理系统(EMS)。
网络设备280包括能够接收、提供、存储、生成和/或处理本文中描述的信息的一个或多个设备(例如,一个或多个业务传输设备)。例如,网络设备280可以包括防火墙、路由器、策略实施方、网关、交换机、集线器、网桥、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载平衡器或类似设备。在一些实现中,网络设备280可以从环境200的一个或多个其他设备接收信息和/或向其提供信息。在一些实现中,网络设备280可以是在诸如机箱等外壳内实现的物理设备。在一些实现中,网络设备280可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
图2所示的设备和网络的数目和布置作为示例提供。实际上,可以存在与图2所示的相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者不同地布置的设备和/或网络。此外,图2所示的两个或更多个设备可以在单个设备中实现,或者图2所示的单个设备可以实现为多个分布式设备。另外地或替代地,环境200的一组设备(例如,一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
图3是设备300的示例组件的示图。设备300可以对应于用户设备210、策略实施方平台220、计算资源224、管理设备240、LAN设备250、WLAN设备260、控制系统270和/或网络设备280。在一些实现中,用户设备210、策略实施方平台220、计算资源224、管理设备240、LAN设备250、WLAN设备260、控制系统270和/或网络设备280可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许设备300的组件之间的通信的组件。处理器320用硬件、固件或硬件和软件的组合来实现。处理器320是中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其他类型的处理组件。在一些实现中,处理器320包括能够被编程为执行功能的一个或多个处理器。存储器330包括随机存取存储器(RAM)、只读存储器(ROM)和/或存储用于由处理器320使用的信息和/或指令的其他类型的动态或静态存储设备(例如,闪存、磁存储器和/或光存储器)。
存储组件340存储与设备300的操作和使用有关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁光盘和/或固态盘)、光盘(CD)、数字通用光盘(DVD)、软盘、盒式磁带、磁带和/或其他类型的非暂态计算机可读介质、以及相应的驱动器。
输入组件350包括允许设备300接收信息的组件,诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。另外地或替代地,输入组件350可以包括用于感测信息的传感器(例如,全球定位系统(GPS)组件、加速计、陀螺仪和/或致动器)。输出组件360包括从设备300提供输出信息的组件(例如,显示器、扬声器和/或一个或多个发光二极管(LED))。
通信接口370包括使得设备300能够与其他设备进行通信(诸如经由有线连接、无线连接或有线和无线连接的组合)的类似收发器的组件(例如,收发器和/或单独的接收器和发射器)。通信接口370可以允许设备300从另一设备接收信息,和/或向另一设备提供信息。例如,通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、无线局域网接口、蜂窝网络接口等。
设备300可以执行本文中描述的一个或多个过程。设备300可以基于处理器320执行由诸如存储器330和/或存储组件340等非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或跨多个物理存储设备而分布的存储器空间。
软件指令可以经由通信接口370从另一计算机可读介质或从另一设备读取到存储器330和/或存储组件340中。当被执行时,存储在存储器330和/或存储组件340中的软件指令可以使得处理器320执行本文中描述的一个或多个过程。另外地或替代地,可以使用硬连线电路代替软件指令或与软件指令组合以执行本文中描述的一个或多个过程。因此,本文中描述的实现不限于硬件电路和软件的任何特定组合。
图3所示的组件的数目和布置作为示例提供。实际上,设备300可以包括与图3所示的相比更多的组件、更少的组件、不同的组件、或者不同地布置的组件。另外地或替代地,设备300的一组组件(例如,一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
图4是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程400的流程图。在一些实现中,图4的一个或多个过程框可以由策略实施方平台(例如,策略实施方平台220)执行。在一些实现中,图4的一个或多个过程框可以由与策略实施方平台220分离或包括策略实施方平台220的另一设备或一组设备(诸如管理设备240和/或控制系统270)执行。
如图4中所示,过程400可以包括接收标识对网络的特定主机威胁的信息,其中标识特定主机威胁的信息包括与特定主机威胁相关联的网络地址列表(框410)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收标识对网络的特定主机威胁的信息,如上面结合图1A至图2所述。在一些实现中,标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表。
如图4中进一步所示,过程400可以包括标识网络的与对网络的特定主机威胁相关联的网络元件(框420)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以标识网络的与对网络的特定主机威胁相关联的网络元件,如上面结合图1A至图2所述。
如图4中进一步所示,过程400可以包括确定与标识的网络元件相关联的网络控制系统(框430)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以确定与标识的网络元件相关联的网络控制系统,如上面结合图1A至图2所述。
如图4中进一步所示,过程400可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统与网络元件的策略实施组相关联(框440)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,如上面结合图1A至图2所述。在一些实现中,网络控制系统可以与网络元件的策略实施组相关联。
如图4中进一步所示,过程400可以包括确定将针对特定主机威胁实施的威胁策略动作(框450)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以确定将针对特定主机威胁实施的威胁策略动作,如上面结合图1A至图2所述。
如图4中进一步所示,过程400可以包括经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施(框460)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施,如上面结合图1A至图2所述。
过程400可以包括另外的实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而描述的任何单个实现或任何实现的组合。
在一些实现中,策略实施方平台可以接收与网络相关联的网络拓扑信息,并且可以基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构。在一些实现中,在标识网络元件时,策略实施方平台可以基于数据结构来标识与对网络的特定主机威胁相关联的网络元件。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,并且可以基于主机威胁馈送信息来生成包括标识与端点主机相关联的会话的信息的数据结构,其中特定主机威胁可以由端点主机中的一个端点主机引起。在一些实现中,在标识网络元件时,策略实施方平台可以基于数据结构来标识与对网络的特定主机威胁相关联的网络元件。在一些实现中,策略实施方平台可以标识与端点主机相关联的网络控制系统,并且可以向数据结构添加标识与端点主机相关联的网络控制系统的信息。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,其中特定主机威胁可以由端点主机中的一个端点主机引起。策略实施方平台可以基于主机威胁馈送信息来使得网络外部的主机威胁业务在网络的周边网络元件处被阻止,和/或可以基于主机威胁馈送信息来使得网络内部的主机威胁业务在网络的交换层处被阻止。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,并且可以利用特定标识来标记由主机威胁馈送信息标识的主机威胁。在一些实现中,标识特定主机威胁的信息可以基于特定标识中与特定主机威胁相关联的特定标识来标识特定主机威胁。在一些实现中,策略实施方平台可以基于特定标识来监测跨网络的主机威胁业务。
尽管图4示出了过程400的示例框,但是在一些实现中,过程400可以包括与图4中描绘的相比更多的框、更少的框、不同的框、或者不同地布置的框。另外地或替代地,过程400的两个或更多个框可以并行执行。
图5是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由策略实施方平台(例如,策略实施方平台220)执行。在一些实现中,图5的一个或多个过程框可以由与策略实施方平台220分离或包括策略实施方平台220的另一设备或一组设备(诸如管理设备240和/或控制系统270)执行。
如图5中所示,过程500可以包括接收关联于与网络通信的端点主机的主机威胁馈送信息(框510)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收关联于与网络通信的端点主机的主机威胁馈送信息,如上面结合图1A至图2所述。
如图5中进一步所示,过程500可以包括从主机威胁馈送信息标识对网络的特定主机威胁,其中特定主机威胁可以由端点主机中的一个端点主机引起,并且特定主机威胁可以与网络的网络地址列表相关联(框520)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以从主机威胁馈送信息标识对网络的特定主机威胁,如上面结合图1A至图2所述。在一些实现中,特定主机威胁可以由端点主机中的一个端点主机引起,并且特定主机威胁可以与网络的网络地址列表相关联。
如图5中进一步所示,过程500可以包括标识网络的与对网络的特定主机威胁相关联的网络元件(框530)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以标识网络的与对网络的特定主机威胁相关联的网络元件,如上面结合图1A至图2所述。
如图5中进一步所示,过程500可以包括确定与标识的网络元件相关联的网络控制系统(框540)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以确定与标识的网络元件相关联的网络控制系统,如上面结合图1A至图2所述。
如图5中进一步所示,过程500可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统可以与网络元件的策略实施组相关联(框550)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,如上面结合图1A至图2所述。在一些实现中,网络控制系统可以与网络元件的策略实施组相关联。
如图5中进一步所示,过程500可以包括确定将针对特定主机威胁实施的威胁策略动作(框560)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以确定将针对特定主机威胁实施的威胁策略动作,如上面结合图1A至图2所述。
如图5中进一步所示,过程500可以包括经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施(框570)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施,如上面结合图1A至图2所述。
过程500可以包括另外的实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而描述的任何单个实现或任何实现的组合。
在一些实现中,策略实施方平台可以基于主机威胁馈送信息来生成包括标识与端点主机相关联的会话的信息的数据结构。在一些实现中,在标识网络元件时,策略实施方平台可以基于数据结构来标识与对网络的特定主机威胁相关联的网络元件。
在一些实现中,策略实施方平台可以接收与网络相关联的网络拓扑信息,并且可以基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构。在一些实现中,在标识网络元件时,策略实施方平台可以基于数据结构来标识与对网络的特定主机威胁相关联的网络元件。
在一些实现中,策略实施方平台可以标识与端点主机相关联的网络控制系统,并且可以基于标识网络控制系统来生成包括标识与端点主机相关联的网络控制系统的信息的数据结构。在一些实现中,策略实施方平台可以基于主机威胁馈送信息来使得网络外部的主机威胁业务在网络的周边网络元件处被阻止,和/或可以基于主机威胁馈送信息来使得网络内部的主机威胁业务在网络的交换层处被阻止。
在一些实现中,策略实施方平台可以利用特定标识来标记由主机威胁馈送信息标识的主机威胁。在一些实现中,每个特定标识可以基于媒体访问控制(MAC)地址、会话信息和/或与端点主机之一相关联的硬件标识符。在一些实现中,在标识特定主机威胁时,策略实施方平台可以基于特定标识中与特定主机威胁相关联的特定标识来标识特定主机威胁。
在一些实现中,策略实施方平台可以基于特定标识来监测跨网络的主机威胁业务,并且可以向管理设备提供与主机威胁业务相关联的信息以允许管理设备分析主机威胁业务。
尽管图5示出了过程500的示例框,但是在一些实现中,过程500可以包括与图5中描绘的相比更多的框、更少的框、不同的框、或者不同地布置的框。另外地或替代地,过程500的两个或更多个框可以并行执行。
图6是用于基于主机威胁的网络地址来实施威胁策略动作的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以由策略实施方平台(例如,策略实施方平台220)执行。在一些实现中,图6的一个或多个过程框可以由与策略实施方平台220分离或包括策略实施方平台220的另一设备或一组设备(诸如管理设备240和/或控制系统270)执行。
如图6中所示,过程600可以包括接收与网络相关联的网络拓扑信息(框610)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收与网络相关联的网络拓扑信息,如上面结合图1A至图2所述。
如图6中进一步所示,过程600可以包括基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构(框620)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以基于网络拓扑信息来生成包括标识网络的每个网络元件的能力的信息的数据结构,如上面结合图1A至图2所述。
如图6中进一步所示,过程600可以包括接收标识对网络的特定主机威胁的信息,其中标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表(框630)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收标识对网络的特定主机威胁的信息,如上面结合图1A至图2所述。在一些实现中,可以标识特定主机威胁的信息可以包括与特定主机威胁相关联的网络地址列表。
如图6中进一步所示,过程600可以包括基于数据结构来标识与对网络的特定主机威胁相关联的网络元件(框640)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以基于数据结构来标识与对网络的特定主机威胁相关联的网络元件,如上面结合图1A至图2所述。
如图6中进一步所示,过程600可以包括确定与标识的网络元件相关联的网络控制系统(框650)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以确定与标识的网络元件相关联的网络控制系统,如上面结合图1A至图2所述。
如图6中进一步所示,过程600可以包括确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,其中网络控制系统可以与网络元件的策略实施组相关联(框660)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储器330等)可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,如上面结合图1A至图2所述。在一些实现中,网络控制系统可以与网络元件的策略实施组相关联。
如图6中进一步所示,过程600可以包括确定将针对特定主机威胁实施的威胁策略动作(框670)。例如,策略实施方平台(例如,使用计算资源224、处理器320、存储组件340等)可以确定将针对特定主机威胁实施的威胁策略动作,如上面结合图1A至图2所述。
如图6中进一步所示,过程600可以包括经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施(框680)。例如,策略实施方平台(例如,使用计算资源224、处理器320、通信接口370等)可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施,如上面结合图1A至图2所述。
过程600可以包括另外的实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而描述的任何单个实现或任何实现的组合。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,并且可以基于主机威胁馈送信息来生成包括标识与端点主机相关联的会话的信息的另一数据结构,其中特定主机威胁可以由端点主机中的一个端点主机引起。在一些实现中,在标识网络元件时,策略实施方平台可以基于数据结构和另一数据结构来标识与对网络的特定主机威胁相关联的网络元件。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,其中特定主机威胁可以由端点主机中的一个端点主机引起。在一些实现中,策略实施方平台可以基于主机威胁馈送信息来使得网络外部的主机威胁业务在网络的周边网络元件处被阻止,和/或可以基于主机威胁馈送信息来使得网络内部的主机威胁业务在网络的交换层处被阻止。
在一些实现中,策略实施方平台可以接收关联于与网络通信的端点主机的主机威胁馈送信息,并且可以利用特定标识来标记由主机威胁馈送信息标识的主机威胁。在一些实现中,标识特定主机威胁的信息可以基于特定标识中与特定主机威胁相关联的特定标识来标识特定主机威胁。
在一些实现中,策略实施方平台可以基于特定标识来监测跨网络的主机威胁业务。在一些实现中,策略实施方平台可以向管理设备提供与主机威胁业务相关联的信息以防止管理设备对主机威胁业务进行重复分析。
尽管图6示出了过程600的示例框,但是在一些实现中,过程600可以包括与图6中描绘的相比更多的框、更少的框、不同的框、或者不同地布置的框。另外地或替代地,过程600的两个或更多个框可以并行执行。
本文中描述的一些实现提供了一种基于主机威胁的网络地址来实施威胁策略动作的策略实施方平台。例如,策略实施方平台可以接收标识对网络的特定主机威胁并且包括与特定主机威胁相关联的网络地址列表的信息。策略实施方平台可以标识网络的与对网络的特定主机威胁相关联的网络元件,并且可以确定与标识的网络元件相关联的网络控制系统。策略实施方平台可以确定标识的网络元件中映射到与特定主机威胁相关联的网络地址列表的网络元件的策略实施组,并且网络控制系统可以与网络元件的策略实施组相关联。策略实施方平台可以确定将针对特定主机威胁实施的威胁策略动作,并且可以经由网络控制系统使得威胁策略动作由网络元件的策略实施组实施。
前述公开内容提供说明和描述,而非旨在穷举或将实现限于所公开的精确形式。鉴于以上公开内容,修改和变化是可能的,或者可以从实现的实践中获取。
如本文中使用的,术语“组件”旨在广义地解释为硬件、固件或硬件和软件的组合。
很清楚的是,本文中描述的系统和/或方法可以以不同形式的硬件、固件或硬件和软件的组合来实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。因此,本文中描述了系统和/或方法的操作和行为,而没有参考特定的软件代码——应当理解,软件和硬件可以被设计为基于本文中的描述来实现系统和/或方法。
即使特定的特征组合在权利要求中陈述和/或在说明书中公开,但是这些组合并不旨在限制可能的实现的公开。实际上,很多这些特征可以以未在权利要求中具体陈述和/或在说明书中公开的方式进行组合。尽管下面列出的每个从属权利要求可以直接仅依赖于一个权利要求,但是可能的实现的公开包括每个从属权利要求与权利要求集合中的每个其他权利要的组合。
除非明确地如此描述,否则本文中使用的元件、动作或指令都不应当被解释为是关键或必要的。此外,如本文中使用的,冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关项目和不相关项目的组合等),并且可以与“一个或多个”可互换地使用。在仅有一个项目的情况下,使用术语“一个(one)”或类似的语言。此外,如本文中使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等意图是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分基于”。
Claims (20)
1.一种方法,包括:
由设备接收与端点主机相关联的主机威胁馈送信息,所述端点主机与网络通信;
由所述设备利用多个特定标识中的至少一个特定标识来标记由所述主机威胁馈送信息标识的多个主机威胁中的至少一个主机威胁,
所述至少一个特定标识基于以下中的一项:
媒体访问控制MAC地址,
会话信息,或者
与所述端点主机中的一个端点主机相关联的硬件标识符;以及
由所述设备基于所述至少一个特定标识来监测跨所述网络的主机威胁业务。
2.根据权利要求1所述的方法,还包括:
向管理设备提供与所述主机威胁业务相关联的信息,以防止所述管理设备对所述主机威胁业务的重复分析。
3.根据权利要求1所述的方法,还包括:
基于多个特定标识中的、与所述多个主机威胁中的特定主机威胁相关联的特定标识,标识所述特定主机威胁,
其中标识所述特定主机威胁的信息包括与所述特定主机威胁相关联的网络地址列表。
4.根据权利要求3所述的方法,还包括:
基于所述主机威胁馈送信息,使所述网络外部的主机威胁业务在所述网络的周边网络元件处被阻止;以及
基于所述主机威胁馈送信息,使所述网络内部的主机威胁业务在所述网络的交换层处被阻止。
5.根据权利要求3所述的方法,还包括:
标识所述网络的多个网络元件中的至少一个网络元件,所述至少一个网络元件与对所述网络的所述特定主机威胁相关联;
确定与所标识的所述至少一个网络元件相关联的网络控制系统;
确定至少一个网络元件的策略实施组,所述策略实施组映射到与所述特定主机威胁相关联的所述网络地址列表;
确定要针对所述特定主机威胁实施的威胁策略动作;以及
经由所述网络控制系统使所述威胁策略动作由所述至少一个网络元件的所述策略实施组实施。
6.根据权利要求3所述的方法,还包括:
基于所述主机威胁馈送信息来生成数据结构,所述数据结构包括标识与所述端点主机相关联的会话的信息,
所述特定主机威胁由所述端点主机中的一个端点主机引起;并且
其中标识所述至少一个网络元件包括:
基于所述数据结构来标识与对所述网络的所述特定主机威胁相关联的所述至少一个网络元件。
7.根据权利要求1所述的方法,还包括:
标识与所述端点主机相关联的网络控制系统;以及
向数据结构添加标识与所述端点主机相关联的所述网络控制系统的信息。
8.一种设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
接收与端点主机相关联的主机威胁馈送信息,所述端点主机与网络通信,
其中所述主机威胁馈送信息包括标识与威胁馈送相关联的网络地址的信息;
利用多个特定标识中的至少一个特定标识来标记由所述主机威胁馈送信息标识的多个主机威胁中的至少一个主机威胁,
其中所述至少一个特定标识基于以下中的一项:
媒体访问控制MAC地址,
会话信息,或者
与所述端点主机中的一个端点主机相关联的硬件标识符,并且
其中表示威胁的所述端点主机的子集利用所述至少一个特定标识而被标记;以及
基于所述至少一个特定标识来监测跨所述网络的主机威胁业务。
9.根据权利要求8所述的设备,其中所述一个或多个处理器还用以:
向管理设备提供与所述主机威胁业务相关联的信息,以许可所述管理设备分析所述主机威胁业务。
10.根据权利要求8所述的设备,其中所述一个或多个处理器还用以:
向管理设备提供与所述主机威胁业务相关联的信息,以防止所述管理设备对所述主机威胁业务的重复分析。
11.根据权利要求8所述的设备,其中所述一个或多个处理器还用以:
向数据结构添加标识所述多个特定标识的信息,
其中所述数据结构包括标识端点主机和与所述端点主机相关联的会话的信息。
12.根据权利要求8所述的设备,其中所述一个或多个处理器还用以:
基于所述多个特定标识中的、与所述多个主机威胁中的特定主机威胁相关联的特定标识,标识所述特定主机威胁,
其中标识所述特定主机威胁的所述信息包括与所述特定主机威胁相关联的网络地址列表。
13.根据权利要求12所述的设备,其中所述一个或多个处理器还用以:
基于所述主机威胁馈送信息,使所述网络外部的主机威胁业务在所述网络的周边网络元件处被阻止;以及
基于所述主机威胁馈送信息,使所述网络内部的主机威胁业务在所述网络的交换层处被阻止。
14.根据权利要求12所述的设备,其中所述一个或多个处理器还用以:
基于所述至少一个特定标识来接收所述特定主机威胁;
基于网络拓扑信息和所述至少一个特定标识来标识与所述特定主机威胁相关联的至少一个网络元件;以及
标识与所述至少一个网络元件相关联的网络控制系统。
15.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在由一个或多个处理器执行时使所述一个或多个处理器:
接收与端点主机相关联的主机威胁馈送信息,所述端点主机与网络通信,
其中所述主机威胁馈送信息包括标识与威胁馈送相关联的网络地址的信息;
利用多个特定标识中的至少一个特定标识来标记由所述主机威胁馈送信息标识的多个主机威胁中的至少一个主机威胁,
其中所述至少一个特定标识基于以下中的一项:
媒体访问控制MAC地址,
会话信息,或者
与所述端点主机中的一个端点主机相关联的硬件标识符,并且
其中表示威胁的所述端点主机的子集利用所述至少一个特定标识而被标记;
基于所述多个特定标识中的、与所述多个主机威胁中的特定主机威胁相关联的特定标识,标识所述特定主机威胁;
确定要针对所述特定主机威胁实施的威胁策略动作;以及
使所述威胁策略动作被实施。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述指令还包括:
一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
基于网络拓扑信息和所述至少一个特定标识来标识与所述特定主机威胁相关联的至少一个网络元件;
标识与所述至少一个网络元件相关联的网络控制系统;以及
经由所述网络控制系统,使所述威胁策略动作由与所述至少一个网络元件相关联的策略实施组实施。
17.根据权利要求16所述的非瞬态计算机可读介质,其中所述指令还包括:
一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
基于所述主机威胁馈送信息来生成数据结构,所述数据结构包括标识与所述端点主机相关联的会话的信息,以及
其中使所述一个或多个处理器标识所述至少一个网络元件的所述一个或多个指令使所述一个或多个处理器:
基于所述数据结构来标识与对所述网络的所述特定主机威胁相关联的所述至少一个网络元件。
18.根据权利要求15所述的非瞬态计算机可读介质,其中所述指令还包括:
一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
基于所述多个特定标识来监测跨所述网络的主机威胁业务;以及
向管理设备提供与所述主机威胁业务相关联的信息,以许可所述管理设备分析所述主机威胁业务。
19.根据权利要求15所述的非瞬态计算机可读介质,其中所述指令还包括:
一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
标识与所述端点主机相关联的网络控制系统;以及
基于标识所述网络控制系统来生成数据结构,所述数据结构包括标识与所述端点主机相关联的所述网络控制系统的信息。
20.根据权利要求15所述的非瞬态计算机可读介质,其中所述指令还包括:
一个或多个指令,所述一个或多个指令在由所述一个或多个处理器执行时使所述一个或多个处理器:
基于所述多个特定标识来监测跨所述网络的主机威胁业务;以及
向管理设备提供与所述主机威胁业务相关联的信息,以防止所述管理设备对所述主机威胁业务的重复分析。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862647431P | 2018-03-23 | 2018-03-23 | |
US62/647,431 | 2018-03-23 | ||
US16/024,308 US10887327B2 (en) | 2018-03-23 | 2018-06-29 | Enforcing threat policy actions based on network addresses of host threats |
US16/024,308 | 2018-06-29 | ||
CN201910193886.9A CN110300090B (zh) | 2018-03-23 | 2019-03-14 | 基于主机威胁的网络地址来实施威胁策略动作 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910193886.9A Division CN110300090B (zh) | 2018-03-23 | 2019-03-14 | 基于主机威胁的网络地址来实施威胁策略动作 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114070611A true CN114070611A (zh) | 2022-02-18 |
Family
ID=65818204
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111345822.XA Pending CN114070611A (zh) | 2018-03-23 | 2019-03-14 | 基于主机威胁的网络地址来实施威胁策略动作 |
CN201910193886.9A Active CN110300090B (zh) | 2018-03-23 | 2019-03-14 | 基于主机威胁的网络地址来实施威胁策略动作 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910193886.9A Active CN110300090B (zh) | 2018-03-23 | 2019-03-14 | 基于主机威胁的网络地址来实施威胁策略动作 |
Country Status (3)
Country | Link |
---|---|
US (2) | US10887327B2 (zh) |
EP (2) | EP4221089A1 (zh) |
CN (2) | CN114070611A (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10862912B2 (en) | 2018-03-23 | 2020-12-08 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
US10887327B2 (en) | 2018-03-23 | 2021-01-05 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
US11509534B2 (en) * | 2019-10-23 | 2022-11-22 | Juniper Networks, Inc. | Collection of error packet information for network policy enforcement |
CN112968891B (zh) * | 2021-02-19 | 2022-07-08 | 山东英信计算机技术有限公司 | 网络攻击防御方法、装置及计算机可读存储介质 |
CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101068168A (zh) * | 2007-04-23 | 2007-11-07 | 北京启明星辰信息技术有限公司 | 主机入侵检测方法及系统 |
CN101453363A (zh) * | 2007-11-28 | 2009-06-10 | 英业达股份有限公司 | 网络入侵检测系统 |
CN101488855A (zh) * | 2008-01-16 | 2009-07-22 | 上海摩波彼克半导体有限公司 | 无线网络中移动设备实现持续鉴权联合入侵检测的方法 |
CN105580023A (zh) * | 2013-10-24 | 2016-05-11 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
US20170063920A1 (en) * | 2013-10-03 | 2017-03-02 | Bernard THOMAS | Dynamic adaptive defense for cyber-security threats |
US20170142144A1 (en) * | 2015-11-17 | 2017-05-18 | Cyber Adapt, Inc. | Cyber Threat Attenuation Using Multi-source Threat Data Analysis |
US20170171235A1 (en) * | 2015-12-09 | 2017-06-15 | Accenture Global Solutions Limited | Connected security system |
US20170201533A1 (en) * | 2016-01-12 | 2017-07-13 | T-Mobile Usa, Inc. | Mobile aware intrusion detection system |
Family Cites Families (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US8819285B1 (en) * | 2002-10-01 | 2014-08-26 | Trustwave Holdings, Inc. | System and method for managing network communications |
US7483437B1 (en) | 2003-11-20 | 2009-01-27 | Juniper Networks, Inc. | Method of communicating packet multimedia to restricted endpoints |
US7930734B2 (en) | 2006-04-28 | 2011-04-19 | Cisco Technology, Inc. | Method and system for creating and tracking network sessions |
US8018883B2 (en) * | 2007-03-26 | 2011-09-13 | Cisco Technology, Inc. | Wireless transmitter identity validation in a wireless network |
WO2009029606A2 (en) | 2007-08-27 | 2009-03-05 | Zensys Inc. | Audio-visual system control using a mesh network |
US20090265786A1 (en) * | 2008-04-17 | 2009-10-22 | Microsoft Corporation | Automatic botnet spam signature generation |
US8516576B2 (en) * | 2010-01-13 | 2013-08-20 | Microsoft Corporation | Network intrusion detection with distributed correlation |
US8443435B1 (en) | 2010-12-02 | 2013-05-14 | Juniper Networks, Inc. | VPN resource connectivity in large-scale enterprise networks |
JP5229343B2 (ja) | 2011-03-15 | 2013-07-03 | オムロン株式会社 | 接続異常検出方法、ネットワークシステムおよびマスター装置 |
US20130074143A1 (en) | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
US9083741B2 (en) * | 2011-12-29 | 2015-07-14 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
US20140180870A1 (en) | 2012-12-21 | 2014-06-26 | Medtronic, Inc. | Methods, systems, and devices for authorizing performance of a medical task by an implantable medical device |
US9106693B2 (en) * | 2013-03-15 | 2015-08-11 | Juniper Networks, Inc. | Attack detection and prevention using global device fingerprinting |
US9392007B2 (en) * | 2013-11-04 | 2016-07-12 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
US10223530B2 (en) * | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
WO2015103338A1 (en) * | 2013-12-31 | 2015-07-09 | Lookout, Inc. | Cloud-based network security |
US20150264073A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective |
US10382455B2 (en) * | 2014-03-13 | 2019-08-13 | Nippon Telegraph And Telephone Corporation | Identifying apparatus, identifying method, and identifying program |
US10142353B2 (en) * | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US10193919B2 (en) * | 2015-08-24 | 2019-01-29 | Empow Cyber Security, Ltd | Risk-chain generation of cyber-threats |
US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
US10225351B2 (en) | 2015-12-14 | 2019-03-05 | Facebook, Inc. | Intersession communications |
US10333948B2 (en) * | 2016-02-29 | 2019-06-25 | Palo Alto Networks, Inc. | Alerting and tagging using a malware analysis platform for threat intelligence made actionable |
US10375089B2 (en) | 2016-03-15 | 2019-08-06 | Carbon Black, Inc. | Multi-host threat tracking |
US9954881B1 (en) * | 2016-03-29 | 2018-04-24 | Microsoft Technology Licensing, Llc | ATO threat visualization system |
CN105791311A (zh) | 2016-04-14 | 2016-07-20 | 汉柏科技有限公司 | 云平台防火墙的安全防护方法和装置 |
US10372910B2 (en) * | 2016-06-20 | 2019-08-06 | Jask Labs Inc. | Method for predicting and characterizing cyber attacks |
US10516672B2 (en) | 2016-08-05 | 2019-12-24 | Oracle International Corporation | Service discovery for a multi-tenant identity and data security management cloud service |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
JP7018437B2 (ja) | 2016-09-16 | 2022-02-10 | オラクル・インターナショナル・コーポレイション | マルチテナントアイデンティティおよびデータセキュリティ管理クラウドサービスのためのテナントおよびサービス管理 |
US20180131624A1 (en) * | 2016-11-10 | 2018-05-10 | Qualcomm Incorporated | Managing Network Traffic |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10148684B2 (en) * | 2017-01-27 | 2018-12-04 | Oracle International Corporation | Method and system for placing a workload on one of a plurality of hosts |
US10565372B1 (en) * | 2017-08-03 | 2020-02-18 | Amazon Technologies, Inc. | Subscription-based multi-tenant threat intelligence service |
US10834137B2 (en) | 2017-09-28 | 2020-11-10 | Oracle International Corporation | Rest-based declarative policy management |
CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
US11457030B2 (en) | 2018-02-20 | 2022-09-27 | Darktrace Holdings Limited | Artificial intelligence researcher assistant for cybersecurity analysis |
US10887327B2 (en) | 2018-03-23 | 2021-01-05 | Juniper Networks, Inc. | Enforcing threat policy actions based on network addresses of host threats |
US10862912B2 (en) | 2018-03-23 | 2020-12-08 | Juniper Networks, Inc. | Tracking host threats in a network and enforcing threat policy actions for the host threats |
US11012476B2 (en) * | 2018-11-20 | 2021-05-18 | Microsoft Technology Licensing, Llc | Protecting IOT devices by behavioural analysis of their file system |
-
2018
- 2018-06-29 US US16/024,308 patent/US10887327B2/en active Active
-
2019
- 2019-03-14 CN CN202111345822.XA patent/CN114070611A/zh active Pending
- 2019-03-14 CN CN201910193886.9A patent/CN110300090B/zh active Active
- 2019-03-15 EP EP23162944.5A patent/EP4221089A1/en active Pending
- 2019-03-15 EP EP19163066.4A patent/EP3544258B1/en active Active
-
2020
- 2020-12-11 US US17/247,461 patent/US11979415B2/en active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101068168A (zh) * | 2007-04-23 | 2007-11-07 | 北京启明星辰信息技术有限公司 | 主机入侵检测方法及系统 |
CN101453363A (zh) * | 2007-11-28 | 2009-06-10 | 英业达股份有限公司 | 网络入侵检测系统 |
CN101488855A (zh) * | 2008-01-16 | 2009-07-22 | 上海摩波彼克半导体有限公司 | 无线网络中移动设备实现持续鉴权联合入侵检测的方法 |
US20170063920A1 (en) * | 2013-10-03 | 2017-03-02 | Bernard THOMAS | Dynamic adaptive defense for cyber-security threats |
CN105580023A (zh) * | 2013-10-24 | 2016-05-11 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
CN105991595A (zh) * | 2015-02-15 | 2016-10-05 | 华为技术有限公司 | 网络安全防护方法及装置 |
US20170142144A1 (en) * | 2015-11-17 | 2017-05-18 | Cyber Adapt, Inc. | Cyber Threat Attenuation Using Multi-source Threat Data Analysis |
US20170171235A1 (en) * | 2015-12-09 | 2017-06-15 | Accenture Global Solutions Limited | Connected security system |
US20170201533A1 (en) * | 2016-01-12 | 2017-07-13 | T-Mobile Usa, Inc. | Mobile aware intrusion detection system |
Also Published As
Publication number | Publication date |
---|---|
US20210099472A1 (en) | 2021-04-01 |
EP3544258B1 (en) | 2023-05-31 |
US20190297094A1 (en) | 2019-09-26 |
EP4221089A1 (en) | 2023-08-02 |
EP3544258A1 (en) | 2019-09-25 |
US11979415B2 (en) | 2024-05-07 |
CN110300090A (zh) | 2019-10-01 |
CN110300090B (zh) | 2022-01-04 |
US10887327B2 (en) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110300090B (zh) | 基于主机威胁的网络地址来实施威胁策略动作 | |
CN110300091B (zh) | 跟踪网络中的主机威胁并针对主机威胁实施威胁策略动作 | |
US11700190B2 (en) | Technologies for annotating process and user information for network flows | |
US10972508B1 (en) | Generating a network security policy based on behavior detected after identification of malicious behavior | |
US10834103B2 (en) | Tracking and mitigation of an infected host device | |
Wang et al. | DDoS attack protection in the era of cloud computing and software-defined networking | |
CN104023034A (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
CN110875847B (zh) | 网络基础设施的动态的、基于端点配置的部署 | |
CN110808944B (zh) | 用于网络监控的方法、电子设备和计算机可读介质 | |
CN109218280B (zh) | 实施数据中心中的物理和虚拟应用组件的微分段策略 | |
Patel et al. | Taxonomy and proposed architecture of intrusion detection and prevention systems for cloud computing | |
CN110661642B (zh) | 确定和实现用于网络中的目的地的出口对等工程和/或入口对等工程 | |
Garg et al. | Review on architecture and security issues in SDN | |
US20240106849A1 (en) | Tracking host threats in a network and enforcing threat policy actions for the host threats | |
US11922204B1 (en) | Dynamic asset inventory | |
US11848948B2 (en) | Correlation-based security threat analysis | |
US20210367830A1 (en) | Dynamic event processing for network diagnosis | |
Manosperta | A Quantitative Analysis of a novel Network based Intrusion Detection System over Raspberry Pi | |
Keeriyattil et al. | NSX Service Composer and Third-Party Integration | |
Huang et al. | Intrusion Detection Based on Active Networks. | |
Walker et al. | Cyber security concerns for ubiquitous/pervasive computing environments | |
CN117527394A (zh) | 一种基于大数据挖掘的通信漏洞检测系统 | |
WO2022174218A1 (en) | Systems and methods for dynamic zone protection of networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |