本申請的各實施例涉及基于主機威脅的網絡地址來實施威脅策略動作。一種設備接收標識對網絡的特定主機威脅的信息，其中該信息包括與特定主機威脅相關聯的網絡地址列表。該設備標識網絡的與對網絡的特定主機威脅相關聯的網絡元件，并且確定與標識的網絡元件相關聯的網絡控制系統。該設備確定標識的網絡元件中映射到與特定主機威脅相關聯的網絡地址列表的網絡元件的策略實施組，其中網絡控制系統與網絡元件的策略實施組相關聯。該設備確定將針對特定主機威脅實施的威脅策略動作，并且經由網絡控制系統使得威脅策略動作由網絡元件的策略實施組實施。

相關申請的交叉引用

本申請根據35U.S.C.§119段要求于2018年3月23日提交的美國臨時專利申請號62/647,431和62/647,460的優先權，其內容通過引用整體并入本文。

技術領域

本申請的各實施例涉及基于主機威脅的網絡地址來實施威脅策略動作。

背景技術

隨著惡意軟件變得更加復雜，威脅防御解決方案可以提供足夠的威脅檢測以在網絡的周邊處實施受感染端點主機安全控制。但是，在從外部端點主機威脅和內部端點主機威脅都注入威脅的自適應網絡變化的情況下，網絡的周邊處的安全控制可能不足。例如，當端點主機威脅橫向移動到不同網絡分段、不同園區、不同站點等時，在特定網絡分段處被連接到網絡的在網絡周邊處被阻止的端點主機威脅可能會繞過安全控制，因為與端點主機威脅相關聯的網絡地址(例如，互聯網協議(IP)地址、媒體訪問控制(MAC)地址等)可能改變。

發明內容

根據一些實現，一種設備可以包括一個或多個存儲器和用于接收標識對網絡的特定主機威脅的信息的一個或多個處理器，其中該信息可以標識特定主機威脅，包括與特定主機威脅相關聯的網絡地址列表。該一個或多個處理器可以標識網絡的與對網絡的特定主機威脅相關聯的網絡元件，并且可以確定與標識的網絡元件相關聯的網絡控制系統。該一個或多個處理器可以確定標識的網絡元件中映射到與特定主機威脅相關聯的網絡地址列表的網絡元件的策略實施組，其中網絡控制系統可以與網絡元件的策略實施組相關聯。該一個或多個處理器可以確定將針對特定主機威脅實施的威脅策略動作，并且可以經由網絡控制系統使得威脅策略動作由網絡元件的策略實施組實施。

根據一些實現，一種非暫態計算機可讀介質可以存儲一個或多個指令，該一個或多個指令在由一個或多個處理器執行時，使得一個或多個處理器：接收關聯于與網絡通信的端點主機的主機威脅饋送信息。該一個或多個指令可以使得一個或多個處理器從主機威脅饋送信息標識對網絡的特定主機威脅，其中特定主機威脅可以是端點主機中的一個端點主機引起，并且特定主機威脅可以與網絡的網絡地址列表相關聯。該一個或多個指令可以使得一個或多個處理器標識網絡的與對網絡的特定主機威脅相關聯的網絡元件，并且確定與標識的網絡元件相關聯的網絡控制系統。該一個或多個指令可以使得一個或多個處理器確定標識的網絡元件中映射到與特定主機威脅相關聯的網絡地址列表的網絡元件的策略實施組，其中網絡控制系統可以與網絡元件的策略實施組相關聯。該一個或多個指令可以使得一個或多個處理器確定將針對特定主機威脅實施的威脅策略動作，并且經由網絡控制系統使得威脅策略動作由網絡元件的策略實施組實施。

根據一些實現，一種方法可以包括：接收與網絡相關聯的網絡拓撲信息，以及基于網絡拓撲信息來生成包括標識網絡的每個網絡元件的能力的信息的數據結構。該方法可以包括接收標識對網絡的特定主機威脅的信息，其中標識特定主機威脅的信息可以包括與特定主機威脅相關聯的網絡地址列表。該方法可以包括基于數據結構來標識與對網絡的特定主機威脅相關聯的網絡元件，以及確定與標識的網絡元件相關聯的網絡控制系統。該方法可以包括確定標識的網絡元件中映射到與特定主機威脅相關聯的網絡地址列表的網絡元件的策略實施組，其中網絡控制系統可以與網絡元件的策略實施組相關聯。該方法可以包括確定將針對特定主機威脅實施的威脅策略動作，并且經由網絡控制系統使得威脅策略動作由網絡元件的策略實施組實施。

附圖說明

圖1A至圖1K是本文中描述的示例實現的示圖；