[发明专利]受感染主机设备的跟踪和缓解

说明书

本申请的各实施例涉及受感染主机设备的跟踪和缓解。一种安全平台可以确定与多个主机标识符相关联的映射的属性信息。映射的属性信息可以包括标识一组相关属性的信息。安全平台可以基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联。安全平台可以基于至少两个主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息。安全平台可以基于聚合的威胁信息来将主机设备分类为受感染设备或可疑设备。

技术领域

本申请的各实施例涉及受感染主机设备的跟踪和缓解。

背景技术

基于由网络使用的标识符和/或通过对网络的访问控制(例如，因特网协议(IP)地址、媒体访问控制(MAC)地址、用户名等)，阻止可以防止主机设备与另一设备通信。例如，当主机设备被分类为受病毒感染、参与可疑活动(例如，下载恶意软件、访问恶意服务器等)时，阻止可以防止主机设备与另一主机设备通信。可以被用于这样的主机设备的其他安全措施包括：节制主机设备、使主机设备受到更严格的审查、介入主机设备以用于调查、对主机设备重定向、将主机设备置于防火墙防御地区中或者以某种方式限制主机设备。

发明内容

根据一些可能的实现方式，一种安全平台可以包括一个或多个处理器以：确定与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；基于至少两个主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及基于聚合的威胁信息来将主机设备分类为受感染设备或可疑设备。

根据一些可能的实现方式，一种非暂态计算机可读介质可以存储指令，这些指令在由一个或多个处理器执行时，使得一个或多个处理器：接收与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；基于至少两个主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及基于聚合威胁信息来执行动作。

根据一些可能的实现方式，一种方法可以包括：由安全平台确定与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；由安全平台基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；由安全平台基于两个至少主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及由安全平台基于聚合的威胁信息来将主机设备分类为受感染设备或可疑设备。

附图说明

图1A和图1B是本文中描述的示例实现方式的概述图；

图2是其中可以实现本文中描述的系统和/或方法的示例环境的示图；

图3是图2的一个或多个设备的示例组件的示图；

图4是用于基于将主机设备分类为受感染设备或可疑设备来提供与主机设备相关联的IP地址信息的示例过程的流程图；以及

图5是用于基于与主机设备相关联的至少两个IP地址来聚合与主机设备相关联的威胁信息并且基于聚合的威胁信息来对主机设备分类的示例过程的流程图。

具体实施方式

示例实现方式的以下详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元件。