受感染主机设备的跟踪和缓解的制作方法

本申请的各实施例涉及受感染主机设备的跟踪和缓解。

背景技术

基于由网络使用的标识符和/或通过对网络的访问控制(例如，因特网协议(ip)地址、媒体访问控制(mac)地址、用户名等)，阻止可以防止主机设备与另一设备通信。例如，当主机设备被分类为受病毒感染、参与可疑活动(例如，下载恶意软件、访问恶意服务器等)时，阻止可以防止主机设备与另一主机设备通信。可以被用于这样的主机设备的其他安全措施包括：节制主机设备、使主机设备受到更严格的审查、介入主机设备以用于调查、对主机设备重定向、将主机设备置于防火墙防御地区中或者以某种方式限制主机设备。

技术实现要素：

根据一些可能的实现方式，一种安全平台可以包括一个或多个处理器以：确定与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；基于至少两个主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及基于聚合的威胁信息来将主机设备分类为受感染设备或可疑设备。

根据一些可能的实现方式，一种非暂态计算机可读介质可以存储指令，这些指令在由一个或多个处理器执行时，使得一个或多个处理器：接收与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；基于至少两个主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及基于聚合威胁信息来执行动作。

根据一些可能的实现方式，一种方法可以包括：由安全平台确定与多个主机标识符相关联的映射的属性信息，其中映射的属性信息可以包括标识一组相关属性的信息；由安全平台基于映射的属性信息来确定主机设备与多个主机标识符中的至少两个主机标识符相关联；由安全平台基于两个至少主机标识符来将威胁信息聚合为与主机设备相关联的聚合的威胁信息；以及由安全平台基于聚合的威胁信息来将主机设备分类为受感染设备或可疑设备。

附图说明

图1a和图1b是本文中描述的示例实现方式的概述图；

图2是其中可以实现本文中描述的系统和/或方法的示例环境的示图；

图3是图2的一个或多个设备的示例组件的示图；

图4是用于基于将主机设备分类为受感染设备或可疑设备来提供与主机设备相关联的ip地址信息的示例过程的流程图；以及

图5是用于基于与主机设备相关联的至少两个ip地址来聚合与主机设备相关联的威胁信息并且基于聚合的威胁信息来对主机设备分类的示例过程的流程图。

具体实施方式

示例实现方式的以下详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元件。

主机设备可能由于例如在受到危害时下载恶意软件而受到感染(例如，由于被盗的凭证、被远程控制，等等)。在减轻与感染相关联的威胁时，重要的问题是防止受感染的主机设备感染其他主机设备。安全平台(例如，托管威胁保护服务和/或一个或多个其他安全服务的一个或多个设备)可以被配置为通过在与受感染的主机设备相关联的网络设备处实现阻止技术来解决这个问题(例如，基于ip地址、mac地址、用户名等)。这里，在确定主机设备受感染时，安全平台可以确定与受感染的主机设备相关联的属性(例如，ip地址、mac地址、用户名等)，并且基于这些属性(例如，通过标识和阻止与属性相关联的通信)来防止受感染的主机设备与一个或多个其他主机设备通信。值得注意的是，虽然本文中描述的一些实现方式描述了抵抗受感染的主机设备的阻止技术的使用，但是可以采取另一种类型的动作。这样的动作包括但不限于：节制主机设备、使主机设备受到更严格的审查、介入主机设备以用于调查、对主机设备重定向、将主机设备置于防火墙防御地区中或者以某种方式限制主机设备。换言之，本文中描述的实现方式可以与使用除了阻止之外的一个或多个安全措施相关联地使用。

在一些实现方式中，属性可以是静态属性、半静态属性(例如，在不同情况下可以是静态或动态的属性)或动态属性。例如，属性可以是ip地址、主机名、mac地址、用户名(例如，轻量目录访问协议(ldap)用户名)、单点登录用户名等。

然而，例如，当阻止技术基于已经或可能改变的属性时，这样的阻止技术可能无法提供保护。例如，如果主机设备从一个ip地址切换到另一ip地址(即，稍后被指派不同的ip地址)，或者如果ip地址被欺骗，则使用ip地址作为阻止基础的阻止技术可能无法提供保护。通常，如果主机设备从一个属性切换到另一属性，则使用属性作为阻止基础的阻止技术可能无法提供保护。

此外，这样的阻止技术可能导致干净的主机设备(即，未受感染的主机设备)被阻止与其他主机设备通信。例如，在基于ip地址进行阻止的情况下，先前被指派给受感染的主机设备的ip地址可以被重新指派给干净的主机设备(例如，在受感染的主机设备离开与两个主机设备相关联的网络之后)。在这种情况下，由于ip地址先前与受感染的主机设备相关联，可能防止干净的主机设备与其他主机设备通信。

此外，在给定主机设备的属性改变的情况下，聚合与给定主机设备相关联的威胁信息(例如，与给定主机设备可以基于其被确定为受感染的一个或多个威胁事件相关联的信息)可能是困难的或不可能的。因此，给定主机设备的作为受感染或可疑的分类可以基于与属性的单个实例(例如，单个ip地址)相关联的威胁信息，这可能降低分类的准确性和/或置信度。

本文中描述的实现方式提供了一种安全平台，即使当主机设备具有已经或可能被改变的一个或多个属性时，其也能够聚合与主机设备相关联的威胁信息。在一些实现方式中，安全平台可以基于标识主机设备的至少两个属性之间的关联的、与主机设备相关联的映射的属性信息来聚合威胁信息。

在一些实现方式中，基于聚合的威胁信息，安全平台可以执行主机设备的作为受感染或可疑的改进的分类(例如，与基于与属性的单个实例相关联的威胁信息和/或与单个威胁事件相关联的威胁信息的分类相比)，由此提高了网络安全性。附加地或备选地，安全平台可以将先前与主机设备相关联的一个或多个属性解除优先化(deprioritize)(即，停止阻止)，由此防止其他主机设备的通信被不适当地阻止。

图1a和图1b是本文中描述的示例实现方式100的概述的示图。如图1a中所示，假定主机设备(例如，主机设备a(hda))被指派有第一属性(例如，第一ip地址(ip1))，并且正在经由网络设备(例如，路由器、网关、交换机等)与另一设备(例如，诸如被包括在诸如内联网、因特网等网络中的服务器)通信。

如图1a中和由附图标记105所示，网络设备可以检测与主机设备a相关联的威胁事件。例如，威胁事件可以包括诸如恶意软件的实例被主机设备a下载，主机设备a的实例访问或试图访问被已知为恶意的服务器，主机设备a的实例展示指示受感染的行为等事件。

如由附图标记110所示，网络设备可以向与提供威胁保护服务相关联的安全平台提供与威胁事件相关联的威胁信息。例如，威胁信息可以包括与关联于主机设备a的一个或多个威胁事件相关联的信息，诸如与主机设备a相关联的属性信息(例如，与一个或多个属性相关联的信息，诸如ip地址(ip1))、与威胁事件相关联的信息(例如，时间戳、触发威胁事件的下载文件的散列值、与威胁事件相关联的得分或度量、标识威胁事件的名称和/或威胁事件的类型的信息)等。

如由附图标记115所示，安全平台(例如，被托管在安全平台上的威胁防护服务)可以基于威胁信息来将主机设备a分类为受感染设备或可疑设备。受感染设备可以包括由于被标识为是对其他设备(例如，其他主机设备、服务器、网络设备等)的威胁而被阻止与其他设备通信的主机设备。可疑设备可以包括被允许继续与其他设备通信、但是由于参与可疑活动而被监测的主机设备。在一些实现方式中，安全平台可以基于被配置在安全平台上的威胁评估算法来将主机设备a分类为受感染或可疑，如下所述。

如进一步所示，基于将主机设备a分类为受感染设备或可疑设备，安全平台可以将威胁信息与对应于属性信息的主机标识符(例如，标识号或名称)一起存储。例如，安全平台可以确定安全平台是否存储与关联于威胁事件的属性信息对应的主机标识符(例如，是否已经为ip1创建了主机标识符)。如果不存在主机标识符，则安全平台215可以创建新的主机标识符(例如，hid1)，并且将属性信息和威胁信息与新的主机标识符相关联。或者，如果属性信息存在主机标识符，则安全平台215可以将属性信息和威胁信息与现有主机标识符相关联。

如由附图标记120所示，安全平台可以向一个或多个安全服务(例如，由例如一个或多个安全设备、安全平台、网络设备等托管的安全服务1至m)提供与主机标识符相关联的属性信息(即，在威胁事件时与主机设备a相关联的属性信息)。以类似的方式，安全平台可以向一个或多个安全服务提供与一组(即，多个)主机标识符(例如，hid2至hidx)相关联的属性信息，这组主机标识符可以与主机设备a和/或一个或多个其他主机设备相关联。

如图1b中和由附图标记125所示，基于由安全平台提供的属性信息，一个或多个安全服务可以向安全平台提供与这组主机标识符相关联的映射的属性信息。

映射的属性信息可以包括标识两个或更多个相关属性的信息。例如，映射的属性信息可以包括标识与第一主机标识符相关联的第一属性(例如，与hid1相关联的ip1)和与第一属性相关的第二属性(例如，与ip1相关联的mac地址(mac1))的信息。继续这个示例，映射的属性信息可以包括标识与第二主机标识符相关联的第三属性(例如，与hid6相关联的ip6)的信息，并且可以包括将第二属性标识为与第三属性相关(例如，与ip6相关的mac1)的信息。值得注意的是，在这个示例中，同一属性(第二属性)与第一属性和第三属性两者相关联。下面描述映射的属性信息的其他示例。在一些实现方式中，一个或多个安全服务可以在各个服务的供应期间确定映射的属性信息。

如由附图标记130所示，基于映射的属性信息，安全平台可以确定主机设备a与这组主机标识符(例如，包括hid1和hid6，如图1b中所示)中的至少两个主机标识符相关联。例如，当映射的属性信息包括上述示例映射的属性信息时，安全平台可以确定主机设备a与第一属性(例如，ip1，当前ip地址)和第三属性(例如，ip6，先前指派的ip地址)相关联，因为第一属性和第三属性都与第二属性(例如，mac1)相关联。

如由附图标记135所示，基于确定主机设备a与至少两个主机标识符相关联，安全平台可以聚合与两个至少主机标识符相关联的威胁信息(例如，基于由安全平台存储或可访问的与hid1和hid6相关联的威胁信息)。如进一步所示，安全平台可以再次基于聚合的威胁信息(例如，以类似于上述的方式)来将主机设备a分类为受感染或可疑。以这种方式，安全平台可以基于与主机设备相关联的至少两个主机标识符来聚合与主机设备相关联的威胁信息。在一些实现方式中，基于聚合的威胁信息，安全平台可以执行主机设备的作为受感染或可疑的改进的分类(例如，相对于不聚合威胁信息)，由此提高了网络安全性。此外，在一些实现方式中，基于聚合的威胁信息，安全平台可以实现对未受感染和/或受危害的主机设备的改进的监测和/或跟踪。

附加地或备选地，安全平台可以将与至少两个主机标识符中的一个主机标识符相关联的一个或多个属性解除优先化。例如，如图1b中由附图标记135进一步所示，因为主机设备a当前被指派ip1，所以安全平台可以将先前被指派给主机设备a的ip地址(例如，ip6)解除优先化。因此，如由附图标记140所示，当另一设备(例如，主机设备b)被指派先前被指派给主机设备a的ip地址时，防止与先前被指派给主机设备a的属性相关联的不适当的阻止。在一些实现方式中，安全平台可以存储和/或提供这样的解除优先化以用于在分析、历史分析、取证或等中使用。

如上所述，图1a和图1b仅作为示例而被提供。其他示例是可能的，并且可以不同于关于图1a和图1b而被描述的示例。

图2是其中可以实现本文中描述的系统和/或方法的示例环境200的示图。如图2中所示，环境200可以包括一个或多个主机设备205-1至205-n(n≥1)(下文中被统称为主机设备205，并且被单独地称为主机设备205)、网络设备210、被托管在云计算环境220中的安全平台215、一个或多个安全设备225-1至225-m(m≥1)(下文中被统称为安全设备225，并且被单独地称为安全设备225)和网络230。环境200的设备可以经由有线连接、无线连接或有线连接和无线连接的组合来互连。

主机设备205包括能够经由网络设备210与另一设备(例如，另一主机设备205、服务器设备、网络设备等)通信的设备。例如，主机设备205可以包括用户设备，诸如移动电话(例如，智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机、台式计算机、游戏设备、可穿戴通信设备(例如，智能电话手表、一副智能眼镜等)或类似类型的设备。作为另一示例，主机设备205可以包括服务器或一组服务器。作为另一示例，主机设备205可以包括端点设备或边缘设备。

网络设备210包括能够在主机设备205与另一设备(例如，主机设备205将与之通信的设备)之间处理和/或传送业务的一个或多个设备(例如，一个或多个业务传送设备)。例如，网络设备210可以包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如，代理服务器)、安全设备、入侵检测设备、负载平衡器或类似的设备。

安全平台215包括即使当主机设备205具有已经或可能改变的一个或多个属性时也能够聚合与主机设备205相关联的威胁信息的一个或多个设备。在一些实现方式中，安全平台215可以能够基于聚合的威胁信息来确定主机设备205是否受感染或可疑。例如，安全平台215可以包括服务器或一组服务器。在一些实现方式中，安全平台215可以被托管在云计算环境220中。值得注意的是，虽然本文中描述的属性将安全平台215描述为被托管在云计算环境220中，但是在一些实现方式中，安全平台215可以不是基于云的，或者可以部分基于云。

云计算环境220包括将计算作为服务递送的环境，由此，共享资源、服务等可以被提供给主机安全平台215。云计算环境220可以提供不要求最终用户知道传送服务的系统和/或设备的物理位置和配置的计算、软件、数据访问、存储和/或其他服务。如所示，云计算环境220可以包括与托管安全平台215相关联的一组计算资源217。

计算资源217包括一个或多个个人计算机、工作站计算机、服务器设备或另一类型的计算和/或通信设备。在一些实现方式中，计算资源217可以托管安全平台215。云资源可以包括在计算资源217中执行的计算实例、在计算资源217中被提供的存储设备、由计算资源217提供的数据传输设备等。在一些实现方式中，资源217可以经由有线连接、无线连接或有线连接和无线连接的组合与其他计算资源217通信。

如图2中进一步所示，计算资源217可以包括一组云资源，诸如一个或多个应用(app)217-1、一个或多个虚拟机(vm)217-2、虚拟化存储装置(vs)217-3、一个或多个管理程序(hyp)217-4等。

应用217-1包括可以被提供给网络设备210或由网络设备210访问的一个或多个软件应用。应用217-1可以消除在网络设备210上安装和执行软件应用的需要。例如，应用217-1可以包括与安全平台215相关联的软件和/或能够经由云计算环境220而被提供的任何其他软件。在一些实现方式中，一个应用217-1可以经由虚拟机217-2向/从一个或多个其他应用217-1发送/接收信息。

虚拟机217-2包括像物理机器一样执行程序的机器(例如，计算机)的软件实现方式。虚拟机217-2可以是系统虚拟机或进程虚拟机，这取决于虚拟机217-2对任何真实机器的使用和对应程度。系统虚拟机可以提供支持完整操作系统(os)的完整系统平台。进程虚拟机可以执行单个程序，并且可以支持单个进程。在一些实现方式中，虚拟机217-2可以代表用户(例如，网络设备210)执行，并且可以管理云计算环境220的基础设施，诸如数据管理、同步或长持续时间数据传输。

虚拟化存储装置217-3包括在计算资源217的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实现方式中，在存储系统的上下文中，虚拟化类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指逻辑存储与物理存储的抽象(或分离)，从而使得可以访问存储系统而不考虑物理存储或异构结构。分离可以允许存储系统的管理员灵活地管理管理员如何管理最终用户的存储。文件虚拟化可以消除在文件级别访问的数据与物理地存储有文件的位置之间的依赖关系。这可以支持对存储使用、服务器整合和/或无中断文件迁移的性能的优化。

管理程序217-4提供允许多个操作系统(例如，客户操作系统)在诸如计算资源217等主机上并行执行的硬件虚拟化技术。管理程序217-4可以向客户操作系统呈现虚拟操作平台，并且可以管理客户操作系统的执行。多种操作系统的多个实例可以共享虚拟化硬件资源。

安全设备225包括与提供一个或多个安全服务(诸如防火墙服务、威胁检测服务、恶意软件阻止服务、入侵检测服务等)相关联的设备。例如，安全设备225可以包括服务器、一组服务器、网络设备(例如，防火墙、入侵检测设备等)等。在一些实现方式中，如本文中所述，安全设备225可以能够确定并且向安全平台215提供与一个或多个ip地址相关联的属性信息。在一些实现方式中，安全设备225可以被包括在网络设备210中。附加地或备选地，安全设备225可以被托管在安全平台215和/或云计算环境220中。

网络230包括一个或多个有线和/或无线网络。例如，网络230可以包括蜂窝网络(例如，长期演进(lte)网络、3g网络、码分多址(cdma)网络等)、公共陆地移动网络(plmn)、局域网(lan)、广域网(wan)、城域网(man)、电话网络(例如，公共交换电话网络(pstn))、专用网络、自组织网络、内联网、因特网、基于光纤的网络等和/或这些或其他类型的网络的组合。

图2中所示的设备和网络的数目和布置作为示例而被提供。实际上，可以存在与图2所示的那些相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者被不同地布置的设备和/或网络。此外，图2中所示的两个或更多个设备可以在单个设备内被实现，或者图2中所示的单个设备可以被实现为多个分布式设备。附加地或备选地，环境200的一组设备(例如，一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。

图3是设备300的示例组件的示图。设备300可以对应于主机设备205、网络设备210、安全平台215和/或计算资源217。在一些实现方式中，主机设备205、网络设备210、安全平台215和/或计算资源217可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中所示，设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。

总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或硬件和软件的组合而被实现。处理器320采用中央处理单元(cpu)、图形处理单元(gpu)、加速处理单元(apu)、微处理器、微控制器、数字信号处理器(dsp)、现场可编程门阵列(fpga)、专用集成电路(asic)或另一类型的处理组件的形式。在一些实现方式中，处理器320包括能够被编程为执行功能的一个或多个处理器。存储器330包括存储用于由处理器320使用的信息和/或指令的随机存取存储器(ram)、只读存储器(rom)和/或另一类型的动态或静态存储设备(例如，闪速存储器、磁存储器和/或光存储器)。

存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如，存储组件340可以包括硬盘(例如，磁盘、光盘、磁光盘和/或固态盘)、压缩盘(cd)、数字多功能盘(dvd)、软盘、盒式磁带、磁带和/或另一类型的非暂态计算机可读介质连同对应的驱动。

输入组件350包括允许设备300诸如经由用户输入(例如，触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)来接收信息的组件。附加地或备选地，输入组件350可以包括用于感测信息的传感器(例如，全球定位系统(gps)组件、加速度计、陀螺仪和/或致动器)。输出组件360包括提供来自设备300的输出信息的组件(例如，显示器、扬声器和/或一个或多个发光二极管(led))。

通信接口370包括使得设备300能够诸如经由有线连接、无线连接或有线李恩杰和无线连接的组合来与其他设备通信的类似收发器的组件(例如，收发器和/或单独的接收器和发射器)。通信接口370可以允许设备300从另一设备接收信息和/或向另一设备提供信息。例如，通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、射频(rf)接口、通用串行总线(usb)接口、wi-fi接口、蜂窝网络接口等。

设备300可以执行本文中描述的一个或多个过程。设备300可以响应于处理器320执行由诸如存储器330和/或存储组件340等非暂态计算机可读介质存储的软件指令来执行这些处理。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备而被分布的存储器空间。

软件指令可以经由通信接口370从另一计算机可读介质或从另一设备被读取到存储器330和/或存储组件340中。当被执行时，被存储在存储器330和/或存储组件340中的软件指令可以使得处理器320以执行本文中描述的一个或多个过程。附加地或备选地，可以使用硬连线电路来代替软件指令或与软件指令相结合来执行本文中描述的一个或多个处理。因此，本文中描述的实现方式不限于硬件电路和软件的任何特定组合。

图3中所示的组件的数目和布置作为示例而被提供。实际上，设备300可以包括与图3中所示的那些相比更多的组件、更少的组件、不同的组件、或者被不同地布置的组件。附加地或备选地，设备300的一组组件(例如，一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。

图4是用于基于将主机设备分类为受感染设备或可疑设备来提供与主机设备相关联的属性信息的示例过程400的流程图。在一些实现方式中，图4的一个或多个过程框可以由安全平台215执行。在一些实现方式中，图4的一个或多个过程框可以由与安全平台215分离或包括安全平台215的另一设备或一组设备(诸如网络设备210)来执行。

如图4中所示，过程400可以包括确定与主机设备相关联的威胁信息(框410)。例如，安全平台215可以确定与主机设备205相关联的威胁信息。

威胁信息可以包括与关联于主机设备205的活动而被检测到的一个或多个威胁事件相关联的信息。例如，威胁事件可以包括诸如恶意软件的实例被主机设备205下载，主机设备205的实例访问或试图访问被已知为恶意的服务器，主机设备205的实例展示指示受感染的行为等事件。

在一些实现方式中，威胁信息可以包括标识主机设备205的一个或多个属性(诸如动态属性、静态属性、半静态属性等)的信息。例如，一个或多个属性可以包括主机设备205的ip地址、主机设备205的主机名、与主机设备205相关联的mac地址、用户名、与主机设备205相关联的ldap用户名、与主机设备205相关联的单点登录用户名等。

附加地，威胁信息可以包括与威胁事件相关联的信息，诸如与威胁事件相关联的时间戳、触发威胁事件的下载文件的散列值、与威胁事件相关联的得分或度量(例如，下载文件的恶意软件得分)、标识威胁事件的名称的信息、标识威胁事件的类型的信息、威胁事件的描述等。

在一些实现方式中，安全平台215可以基于由网络设备210和/或安全设备225提供的信息来确定威胁信息。例如，网络设备210和/或安全设备225可以被配置为检测一个或多个威胁事件，并且可以基于配置来检测与主机设备205相关联的威胁事件(例如，当主机设备205正在与另一设备通信时)。这里，网络设备210和/或安全设备225可以向安全平台215提供与检测到的威胁事件相关联的威胁信息，并且安全平台215可以相应地确定威胁信息。

在一些实现方式中，安全平台215可以自动确定威胁信息(例如，当网络设备210在检测到威胁事件时提供威胁信息时)。因此，在一些实现方式中，安全平台215可以实时或接近实时地确定威胁信息。附加地或备选地，安全平台215可以基于向网络设备210发送(例如，基于用户输入、周期性地自动地等)提供威胁信息的请求来确定威胁信息，并且可以根据对请求的响应来确定威胁信息。在一些实现方式中，安全平台215可以存储威胁信息(例如，以用于稍后分析，如稍后所述)。

在一些实现方式中，安全平台215可以基于属性信息来将威胁信息指派给主机标识符(例如，标识号、名称等)。例如，安全平台215可以管理与网络的主机设备205相关联的主机标识符的列表，其中每个主机标识符由至少一个属性定义(例如，被包括在作为威胁事件的结果而被接收的属性信息中)。这里，安全平台215可以基于属性信息来标识特定主机标识符(例如，当属性信息中的ip地址匹配与特定主机标识符相关联的ip地址时、当属性信息中的mac地址匹配与特定主机标识符相关联的mac地址时等等)，并且将威胁信息指派给特定主机标识符。备选地，安全平台215可以确定针对属性不存在主机标识符，并且可以创建新的主机标识符并且将属性信息与新的主机标识符相关联。以这种方式，安全平台215可以存储与每个主机标识符(即，每组属性)的一个或多个威胁事件相关联的威胁信息。

如图4中进一步所示，过程400可以包括基于威胁信息来将主机设备分类为受感染设备或可疑设备(框420)。例如，安全平台215可以基于威胁信息来将主机设备205分类为受感染设备或可疑设备。

受感染设备可以包括由于被标识为是对其他设备(例如，其他主机设备205、服务器、网络设备等)的威胁而被阻止与其他设备通信的主机设备205。例如，当安全平台215确定主机设备205已经被恶意软件感染时，主机设备205可以被确定为受感染设备。这里，安全平台215可以阻止受感染的主机设备205与其他设备通信，以便防止感染扩散到其他设备。

可疑设备可以包括被允许继续与其他设备通信、但是由于参与可疑活动而被监测的主机设备205。例如，当安全平台215确定主机设备205已经访问或企图访问被已知是恶意的服务器时，主机设备205可以被确定为可疑设备。这里，安全平台215可以监测可疑主机设备205的另外的可疑和/或恶意活动，以便允许对可疑主机设备205的另一分类。

在一些实现方式中，安全平台215可以基于威胁信息来将主机设备205分类为受感染设备或可疑设备。例如，安全平台215可以被配置有威胁评估算法，威胁评估算法接收与主机设备205相关联的威胁信息作为输入，并且提供主机设备205作为受感染设备或可疑设备的分类作为输出。

在一些实现方式中，威胁评估算法可以包括基于历史威胁信息(即，在较早时间被接收的威胁信息)而被训练的模型。例如，安全平台215可以基于机器学习算法、人工智能方法等来训练模型。可以基于历史威胁信息和指示与历史威胁信息相关联的主机设备205是否受感染或可疑的信息的训练集合来训练模型，并且模型可以标识历史威胁信息与指示相关联主机设备205是否受感染或可疑的信息之间的关系。基于这些关系，并且基于威胁信息，安全平台215可以将主机设备205分类为受感染设备或可疑设备。以这种方式，安全平台215训练预测模型以基于威胁信息来对主机设备205分类，这使得安全平台215能够标识和阻止受感染设备，并且监测可疑设备，由此提高了网络安全性。

附加地或备选地，安全平台215可以基于被配置在安全平台215上的威胁阈值来将主机设备205分类为受感染设备或可疑设备。例如，在一些实现方式中，安全平台215可以确定(例如，作为威胁评估算法的输出)与主机设备205相关联的威胁得分，诸如数值(例如，从1到10)、字母等级(例如，从a到f)、颜色等级(例如，红色、黄色或绿色)等。这里，安全平台215可以将威胁得分与安全平台215可访问的一个或多个威胁阈值比较，并且基于这个比较来将主机设备205分类为受感染设备或可疑设备。例如，如果威胁得分满足第一威胁阈值(例如，当威胁得分大于或等于第一威胁阈值时)，则安全平台215可以将主机设备205分类为受感染设备。类似地，如果威胁得分不满足第一威胁阈值(例如，当威胁得分小于威胁阈值时)、但是满足第二威胁阈值，则安全平台215可以将主机设备205分类为可疑设备。类似地，如果威胁得分不满足第二威胁阈值，则安全平台215可以将主机设备205分类为干净设备(例如，不是受感染或可疑的设备)。

在一些实现方式中，安全平台215可以基于与一个或多个威胁得分(例如，与一个或多个威胁事件相关联的威胁得分)相关联的威胁信息来对主机设备205分类。例如，安全平台215可以基于一个或多个威胁得分的总和、一个或多个威胁得分的平均值、一个或多个威胁得分的加权平均值、一个或多个威胁得分的中值等来对主机设备205分类。在一些实现方式中，安全平台215可以确定指示与将主机设备205分类为受感染设备或可疑设备相关联的置信度水平的置信度度量。

在一些实现方式中，安全平台215可以按照另一种方式将主机设备205分类为受感染设备或可疑设备，诸如基于由一个或多个其他设备提供的信息(例如，当网络设备210被配置为确定威胁得分时，当安全设备225被配置为确定威胁得分时，等等)。

在一些实现方式中，当安全平台215将主机设备205分类为受感染设备时，安全平台215可以基于主机设备205的属性来实现阻止技术，以便防止主机设备205与其他设备通信。

如图4中进一步所示，过程400可以包括基于将主机设备分类为受感染设备或可疑设备来提供与主机设备相关联的属性信息(框430)。例如，安全平台215可以基于将主机设备205分类为受感染设备或可疑设备来提供与主机设备205相关联的属性信息。

在一些实现方式中，安全平台215可以提供与主机设备205相关联的属性信息，以便向一个或多个其他安全服务(例如，由一个或多个安全设备225、安全平台215、云计算环境220、网络设备210等托管的)提供对主机设备205的属性信息的访问(例如，从而使得可以向一个或多个安全服务通知认为主机设备205的状态是受感染或可疑的)。

在一些实现方式中，属性信息可以包括标识已经被分类为受感染或可疑的多个主机设备205的一个或多个属性的信息。例如，安全平台215可以将属性信息提供为包括与被分类为受感染或可疑的主机设备205相关联的属性列表的馈送，并且一个或多个安全服务可以预订以接收馈送。在一些实现方式中，安全平台215可以利用已更新的和/或附加的属性信息来更新馈送(例如，当安全平台215基于附加的威胁信息来将另一主机设备205分类为受感染或恶意的时)。

在一些实现方式中，当安全平台215将主机设备205分类为受感染设备或可疑设备(例如，实时或接近实时地)时，安全平台215可以(例如，自动)提供属性信息。例如，如上所述，安全平台215可以更新包括属性列表的馈送。附加地或备选地，安全平台215可以基于由安全服务提供的请求来提供属性信息。在一些实现方式中，安全服务可以经由与安全平台215相关联的应用程序接口(api)来访问属性信息。

尽管图4示出了过程400的示例框，但是在一些实现方式中，过程400可以包括与图4描绘的那些相比更多的框、更少的框、不同框、或者被不同地布置的框。附加地或备选地，过程400的两个或更多个框可以被并行执行。

图5是用于基于与主机设备相关联的至少两个主机标识符来聚合与主机设备相关联的威胁信息并且基于聚合的威胁信息来对主机设备进行分类的示例过程500的流程图。在一些实现方式中，图5的一个或多个过程框可以由安全平台215执行。在一些实现方式中，图5的一个或多个过程框可以由与安全平台215分离或包括安全平台215的另一设备或一组设备(诸如网络设备210)执行。

如图5中所示，过程500可以包括确定与一组主机标识符相关联的映射的属性信息(框510)。例如，安全平台215可以确定与一组主机标识符相关联的映射的属性信息。

在一些实现方式中，映射的属性信息可以包括标识两个或更多个相关属性的信息。例如，映射的属性信息可以包括标识第一属性(例如，ip地址)和与第一属性相关的第二属性(例如，mac地址)的信息。作为另一示例，映射的属性信息可以包括标识第一属性(例如，第一ip地址)、第二属性(例如，主机名)以及与第一属性和第二属性相关的第三属性(例如，mac地址)的信息。

在一些实现方式中，安全平台215可以基于由一个或多个安全服务提供的信息来确定映射的属性信息。例如，安全服务(例如，被订阅以接收由安全平台215提供的属性信息馈送，如上所述)可以接收由安全平台215提供的属性信息。安全服务可以在安全服务的提供期间监测、接收、获取和/或确定与主机设备205的属性相关联的信息，并且基于在安全服务的提供期间被确定的信息和由安全平台215提供的属性信息来确定映射的属性信息。

例如，安全服务可以接收由上述安全平台215提供的包括ip地址的属性信息。这里，安全服务可以在安全服务的供应期间确定与ip地址相关(例如，与同一主机设备205相关联)的mac地址。在这个示例中，映射的属性信息包括标识ip地址和与ip地址相关联的mac地址的信息。安全服务可以将映射的属性信息提供给安全平台215。

在一些实现方式中，安全平台215可以基于请求映射的属性信息来确定映射的属性信息。例如，安全平台215可以(例如，周期性地自动地，基于用户输入)向一个或多个安全服务发送提供与被包括在属性信息馈送中的任何属性对应的任何映射的属性信息的请求，并且可以基于对请求的响应来确定映射的属性信息。附加地或备选地，安全平台215可以自动确定映射的属性信息(例如，当安全服务被配置为自动提供针对被包括在属性馈送中的属性的映射的属性信息时)。

以这种方式，当特定主机设备205与属性的不同实例相关联时(例如，当主机设备205已经在一段时间内被指派了多个ip地址时)，安全平台215可以确定标识与属性相关(即，映射到属性)的一个或多个其他属性(例如，mac地址)的映射的属性信息。

如图5中进一步所示，过程500可以包括基于映射的属性信息来确定至少两个主机标识符与同一主机设备相关联(框520)。例如，安全平台215可以基于映射的属性信息来确定至少两个主机标识符与同一主机设备205相关联。

在一些实现方式中，安全平台215可以基于映射的属性信息和由安全平台215管理的主机标识符来确定至少两个主机标识符与同一主机设备205相关联。例如，安全平台215可以确定当映射的属性信息指示与第一主机标识符相关联的第一属性(例如，第一ip地址)与第二属性(例如，特定mac地址)相关联、并且与第二主机标识符相关联的第三属性(例如，第二ip地址)也与第二属性相关联时，同一主机设备205与这两个主机标识符相关联。

作为另一示例，当映射的属性信息指示与第一主机标识符相关联的第一属性(例如，第一ip地址)与第二属性(例如，特定mac地址)相关联、与第二主机标识符相关联的第三属性(例如，第二ip地址)与第二属性相关联、并且与第三主机标识符相关联的第四属性(例如，主机名)与第二属性相关联时，安全平台215可以确定同一主机设备205与这三个主机标识符相关联。

作为另一示例，当映射的属性信息指示与第一主机标识符相关联的第一属性(例如，ip地址)与第二属性(例如，特定mac地址)相关联、并且与第二主机标识符相关联的第三属性(例如，主机名)也与第二属性相关联时，安全平台215可以确定同一主机设备205与这两个主机标识符相关联。

作为又一示例，当映射的属性信息指示与第一主机标识符相关联的第一属性(例如，第一ip地址)与第二属性(例如，ldap用户名)相关联、第二属性与第三属性(例如，mac地址)相关联、并且与第二主机标识符相关联的第四属性(例如，第二ip地址)与第三属性相关联时，安全平台215可以确定同一主机设备205与这两个主机标识符相关联。

在一些实现方式中，安全平台215可以生成指示至少两个主机标识符与同一主机设备205相关联的概率或可能性的、与至少两个主机标识符相关联的属性匹配得分。属性匹配得分可以包括例如数值、百分比、字母等级、颜色等。在一些实现方式中，属性匹配得分可以基于被用于确定至少两个主机标识符与同一主机设备205相关联的属性的数目和/或类型而被确定(例如，其中得分随着匹配属性的数目的增加而增加)。在一些实现方式中，属性匹配得分被加权以有利于特定属性。例如，属性匹配得分的生成可以被加权以有利于与通常为静态或半静态的属性相关联的属性匹配，诸如与至少两个主机标识符相关联的mac地址匹配(例如，当匹配的mac地址可以比另一属性(诸如单点登录用户名)更多地指示与同一主机设备205的关联时)。

相反，可以对属性匹配得分的生成加权以不利于(例如，提供相对较小的权重或不提供权重)与相对动态的属性相关联的属性匹配，诸如与至少两个主机标识符相关联的ip地址匹配(例如，当匹配的ip地址可以比另一属性(诸如mac地址)更少地指示与同一主机设备205的关联时)。在这种情况下，安全平台215可以被配置为需要一个或多个附加属性匹配(例如，至少两个属性匹配、属性匹配的特定组合等)，以便在确定至少两个主机标识符与同一主机设备205相关联之前提升属性匹配得分。

在一些实现方式中，安全平台215可以基于被配置在安全平台215上的属性阈值来确定主机设备205与至少两个主机标识符相关联。例如，在一些实现方式中，安全平台215可以确定与至少两个主机标识符相关联的属性的属性匹配得分。这里，安全平台215可以将属性匹配得分与安全平台215可访问的属性匹配阈值比较，并且基于比较来确定主机设备205与至少两个主机标识符相关联。例如，如果属性匹配得分满足属性匹配阈值(例如，当属性匹配得分大于或等于属性匹配阈值时)，则安全平台215可以确定主机设备205与关联于属性匹配得分的至少两个主机标识符相关联。相反，如果属性匹配得分不满足属性匹配阈值(例如，当属性匹配得分小于属性匹配阈值时)，则安全平台215可以确定主机设备205不与关联于这个属性匹配得分的至少两个主机标识符相关联。

在一些实现方式中，安全平台215可以确定指示与确定主机设备205是否与至少两个主机标识符相关联的置信度水平的置信度度量(例如，从0％到100％的百分比、概率等)。在一些实现方式中，置信度度量可以基于被用于确定至少两个主机标识符与同一主机设备205相关联的属性的数目、被用于确定至少两个主机标识符与同一主机设备205相关联的属性的类型等。

如图5中进一步所示，过程500可以包括基于至少两个主机标识符来聚合与主机设备相关联的威胁信息(框530)。例如，安全平台215可以基于至少两个主机标识符来聚合与主机设备205相关联的威胁信息。

在一些实现方式中，安全平台215可以基于由安全平台215存储或可访问的威胁信息来聚合威胁信息。例如，如上所述，在将主机设备205分类为受感染设备或可疑设备之后，安全平台215可以存储与主机设备205相关联的威胁信息，从而使得威胁信息与主机标识符相关联。在这个示例中，安全平台215可以基于由安全平台215存储或可访问的威胁信息来确定与至少两个主机标识符对应的威胁信息(例如，通过在存储的威胁信息中搜索与至少两个主机标识符对应的条目)。在一些实现方式中，聚合的威胁信息可以包括与至少两个(例如，2、10、100等)主机标识符相关联的威胁信息。在一些实现方式中，安全平台215可以通过例如将威胁信息与至少两个主机标识符中的一个主机标识符相关联(例如，而不是继续将威胁信息与不同主机标识符相关联)来在单个主机标识符下聚合威胁信息。

在一些实现方式中，基于确定主机设备205与至少两个主机标识符相关联，安全平台215可以(例如，自动地)聚合威胁信息。附加地或备选地，安全平台215可以基于用户输入和/或基于由另一设备(例如，网络设备210)提供的信息来聚合威胁信息。

如图5中进一步所示，过程500可以包括基于聚合的威胁信息来对主机设备分类(框540)。例如，安全平台215可以基于聚合的威胁信息来对主机设备205分类。

在一些实现方式中，安全平台215可以按照与上面关于图4而被描述的方式类似的方式来对主机设备205分类。在一些实现方式中，基于聚合的威胁信息，主机设备205作为受感染或可疑的分类可以得到改善(例如，与基于与单个威胁事件和/或属性的单个实例关联的威胁信息的分类相比)，由此改善了网络安全性。

附加地或备选地，安全平台215可以将与至少两个主机标识符中的至少一个相关联的一个或多个属性解除优先化。例如，如果安全平台215将主机设备205分类为受感染设备，则安全平台215可以被配置为发起或继续与主机设备205相关联的阻止。在这个示例中，安全平台215可以标识当前被指派给主机设备205的ip地址，并且可以将先前被指派给主机设备205的一个或多个ip地址解除优先化(即，停止阻止或抑制阻止)。以这种方式，安全平台215可以防止其他主机设备205的通信(例如，在稍后时间被指派一个或多个ip地址的主机设备205)被不适当地阻止。

在一些实现方式中，安全平台215可以基于聚合威胁信息来执行动作。例如，安全平台215可以基于聚合的威胁信息来对主机设备分类，如上所述。作为另一示例，安全平台215可以(例如，自动地、周期性地、基于用户输入等)报告聚合的威胁信息(例如，向例如网络管理员提供包括聚合的威胁信息的报告)、提供聚合的威胁信息以用于向用户显示、将聚合的威胁信息存储在数据库中，等等。

尽管图5示出了过程500的示例框，但是在一些实现方式中，过程500可以包括与图5描绘的那些相比更多的框、更少的框、不同框、或者被不同地布置的框。附加地或备选地，过程500的两个或更多个框可以被并行执行。

本文中描述的实现方式提供了一种安全平台，即使当主机设备具有已经或可能改变的一个或多个属性时，其也能够聚合与主机设备相关联的威胁信息。在一些实现方式中，安全平台可以基于标识主机设备的至少两个属性之间的关联的、与主机设备相关联的映射的属性信息来聚合威胁信息。

在一些实现方式中，基于聚合的威胁信息，安全平台可以执行主机设备的作为受感染或可疑的改进的分类(例如，与基于与属性的单个实例相关联的威胁信息和/或与单个威胁事件相关联的威胁信息的分类相比)，由此提高了网络安全性。附加地或备选地，安全平台可以将先前与主机设备相关联的一个或多个属性解除优先化(即，停止阻止)，由此防止其他主机设备的通信被不适当地阻止。

根据本公开内容的一个实施例，提供了一种安全平台，包括：一个或多个处理器，用于：确定与多个主机标识符相关联的映射的属性信息，所述映射的属性信息包括标识一组相关属性的信息；基于所述映射的属性信息来确定主机设备与所述多个主机标识符中的至少两个主机标识符相关联；基于所述至少两个主机标识符来将威胁信息聚合为与所述主机设备相关联的聚合的威胁信息；以及基于所述聚合的威胁信息来将所述主机设备分类为受感染设备或可疑设备。

在该安全平台中，其中所述一组属性包括以下各项中的至少一项：与所述多个主机标识符中的主机标识符相关联的因特网协议(ip)地址，与所述多个主机标识符中的所述主机标识符相关联的主机名，与所述多个主机标识符中的主机标识符相关联的媒体访问控制(mac)地址，与所述多个主机标识符中的所述主机标识符相关联的用户名，或者与所述多个主机标识符中的所述主机标识符相关联的单点登录用户名。

在该安全平台中，其中所述一个或多个处理器在聚合所述威胁信息时用于：在所述至少两个主机标识符中的单个主机标识符下聚合所述威胁信息。

在该安全平台中，其中所述一个或多个处理器还用于：向一个或多个安全服务提供与主机标识符相关联的属性信息项，所述属性信息项基于所述主机设备的作为受感染设备或可疑设备的先前分类而被提供，所述主机标识符是所述多个主机标识符之一；并且其中所述一个或多个处理器在确定所述映射的属性信息时用于：基于向所述一个或多个安全服务提供所述属性信息项来确定所述映射的属性信息。

在该安全平台中，其中所述一个或多个处理器还用于：将与所述至少两个主机标识符中的一个主机标识符相关联的第一属性标识为与所述主机设备相关联的当前属性；以及在将所述第一属性标识为与所述主机设备相关联的所述当前属性之后，基于与所述至少两个主机标识符中的另一主机标识符相关联的第二属性来防止与另一主机设备相关联的通信被阻止。

在该安全平台中，其中所述一个或多个处理器还用于：基于所述至少两个主机标识符中的第一主机标识符来确定与所述主机设备相关联的第一威胁信息；基于所述至少两个主机标识符中的第二主机标识符来确定与所述主机设备相关联的第二威胁信息；并且其中所述一个或多个处理器在聚合所述威胁信息时用于：基于所述第一威胁信息和所述第二威胁信息来聚合所述威胁信息。

在该安全平台中，其中所述一个或多个处理器还用于：确定与所述至少两个主机标识符的属性相关联的属性匹配得分满足阈值；并且其中所述一个或多个处理器在确定所述主机设备与所述至少两个主机标识符相关联时用于：基于所述属性匹配得分满足所述阈值来确定所述主机设备与所述至少两个主机标识符相关联。

根据本公开内容的另一实施例，提供了一种存储指令的非暂态计算机可读介质，所述指令包括：一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：接收与多个主机标识符相关联的映射的属性信息，所述映射的属性信息包括标识一组相关属性的信息；基于所述映射的属性信息来确定主机设备与所述多个主机标识符中的至少两个主机标识符相关联；基于所述至少两个主机标识符来将威胁信息聚合为与所述主机设备相关联的聚合的威胁信息；以及基于所述聚合的威胁信息来执行动作。

在该非暂态计算机可读介质中，其中使得所述一个或多个处理器执行所述动作的所述一个或多个指令使得所述一个或多个处理器：基于所述聚合的威胁信息来将所述主机设备分类为受感染设备或可疑设备，报告所述聚合的威胁信息，或者提供所述聚合的威胁信息以用于向用户显示。

在该非暂态计算机可读介质中，其中所述一组相关属性包括以下各项中的至少一项：与所述多个主机标识符中的主机标识符相关联的因特网协议(ip)地址，与所述多个主机标识符中的所述主机标识符相关联的主机名，与所述多个主机标识符中的主机标识符相关联的媒体访问控制(mac)地址，与所述多个主机标识符中的所述主机标识符相关联的用户名，或者与所述多个主机标识符中的所述主机标识符相关联的单点登录用户名。

在该非暂态计算机可读介质中，其中使得所述一个或多个处理器聚合所述威胁信息的所述一个或多个指令使得所述一个或多个处理器：在所述至少两个主机标识符中的单个主机标识符下聚合所述威胁信息。

在该非暂态计算机可读介质中，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：向一个或多个安全服务提供与主机标识符相关联的属性信息项，所述属性信息项基于所述主机设备的作为受感染设备或可疑设备的先前分类而被提供，所述主机标识符是所述多个主机标识符之一；并且其中使得所述一个或多个处理器接收所述映射的属性信息的所述一个或多个指令使得所述一个或多个处理器：基于向所述一个或多个安全服务提供所述属性信息项来接收所述映射的属性信息。

在该非暂态计算机可读介质中，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：将与所述至少两个主机标识符中的一个主机标识符相关联的第一属性标识为与所述主机设备相关联的当前属性；以及在将所述第一属性标识为与所述主机设备相关联的所述当前属性之后，基于与所述至少两个主机标识符中的另一主机标识符相关联的第二属性来防止通信被阻止。

在该非暂态计算机可读介质中，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：基于所述至少两个主机标识符中的第一主机标识符来确定与所述主机设备相关联的第一威胁信息；基于所述至少两个主机标识符中的第二主机标识符来确定与所述主机设备相关联的第二威胁信息；并且其中使得所述一个或多个处理器聚合所述威胁信息的所述一个或多个指令使得所述一个或多个处理器：基于所述第一威胁信息和所述第二威胁信息来聚合所述威胁信息。

在该非暂态计算机可读介质中，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：确定与所述至少两个主机标识符的属性相关联的属性匹配得分满足阈值；并且其中使得所述一个或多个处理器确定所述主机设备与所述至少两个主机标识符相关联的所述一个或多个指令使得所述一个或多个处理器：基于所述属性匹配得分满足所述阈值来确定所述主机设备与所述至少两个主机标识符相关联。

根据本公开内容的又一实施例，公开了一种方法，包括：由安全平台确定与多个主机标识符相关联的映射的属性信息，所述映射的属性信息包括标识一组相关属性的信息；由所述安全平台基于所述映射的属性信息来确定主机设备与所述多个主机标识符中的至少两个主机标识符相关联；由所述安全平台基于所述两个至少主机标识符来将威胁信息聚合为与所述主机设备相关联的聚合的威胁信息；以及由所述安全平台基于所述聚合的威胁信息来将所述主机设备分类为受感染设备或可疑设备。

在该方法中，其中聚合所述威胁信息包括：在所述至少两个主机标识符中的单个主机标识符下聚合所述威胁信息。

在该方法中，还包括：向一个或多个安全服务提供与主机标识符相关联的属性信息项，所述属性信息项基于所述主机设备的作为受感染设备或可疑设备的先前分类而被提供，所述主机标识符是所述多个主机标识符之一；并且其中确定所述映射的属性信息包括：基于向所述一个或多个安全服务提供所述属性信息项来确定所述映射的属性信息。

在该方法中，还包括：将与所述至少两个主机标识符中的一个主机标识符相关联的第一属性标识为与所述主机设备相关联的当前属性；以及在将所述第一属性标识为与所述主机设备相关联的所述当前属性之后，基于与所述至少两个主机标识符中的另一主机标识符相关联的第二属性来防止与另一主机设备相关联的通信被阻止。

在该方法中，还包括：基于所述至少两个主机标识符中的第一主机标识符来确定与所述主机设备相关联的第一威胁信息；基于所述至少两个主机标识符中的第二主机标识符来确定与所述主机设备相关联的第二威胁信息；并且其中聚合所述威胁信息包括：基于所述第一威胁信息和所述第二威胁信息来聚合所述威胁信息。

前述公开内容提供了说明和描述，而非旨在穷举或将实现方式限制为所公开的精确形式。鉴于上述公开，修改和变化是可能的，或者可以从实现方式的实践被获取。

如本文中使用的，术语“组件”旨在被广义地解释为硬件、固件和/或硬件和软件的组合。

本文中结合阈值描述了一些实现方式。如本文中使用的，满足阈值可以是指值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值等等。

将清楚的是，本文中描述的系统和/或方法可以按照不同形式的硬件、固件或硬件和软件的组合而被实现。用于实现这些系统和/或方法的实际的专用控制硬件或软件代码不是对实现方式的限制。因此，本文中在没有参考具体的软件代码的情况下描述了系统和/或方法的操作和行为，应当理解，软件和硬件可以被设计为基于本文中的描述来实现系统和/或方法。

尽管在权利要求中列举和/或在说明书中公开了特征的特定组合，但是这些组合不意图限制可能的实现方式的公开内容。实际上，这些特征中的很多特征可以按照未在权利要求中被具体记载和/或在说明书中被公开的方式而被组合。尽管下面列出的每个从属权利要求可以仅直接依赖于一项权利要求，但是可能的实现方式的公开内容包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。

除非被明确地如此描述，否则本文中使用的任何元素、动作或指令都不应当被解释为是关键或必要的。而且，如本文中使用的，冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目，并且可以与“一个或多个”可互换地被使用。此外，如本文中使用的，术语“集合”旨在包括一个或多个项目(例如，相关项目、不相关项目、相关项目和不相关项目的组合等)，并且可以与“一个或多个”可互换地被使用。如果预期只有一个项目，则使用术语“一个”或类似的语言。而且，如本文中使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等意图是开放式术语。此外，除非另有明确说明，否则短语“基于”旨在表示“至少部分基于”。