[发明专利]处理网络威胁的计算设备、方法和存储介质

权利要求书

1.一种非暂时性机器可读存储介质，所述机器可读存储介质编码有由计算设备的硬件处理器可执行以用于处理网络威胁的指令，所述机器可读存储介质包括使所述硬件处理器进行以下操作的指令：

从威胁检测器接收与多个网络设备中所包括的特定网络设备相关联的威胁数据；

基于所述威胁数据从多个预定义的指南中识别响应指南，所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令；

基于所述威胁数据，识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；

基于所述威胁数据，识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据；

使所述多个网络设备中的至少一个网络设备重新配置，所述重新配置使重新配置的网络设备中的每个网络设备：i）收集所述附加数据，以及ii）向分析设备提供所述附加数据；以及

从所述分析设备接收所述特定分析操作的特定分析结果，

其中，所述指令进一步使所述硬件处理器用于：

基于所述特定分析结果从所述多个预定义的指南中识别第二指南，所述第二指南不同于所述响应指南；

使所述多个网络设备中的至少一个网络设备重新配置，所述重新配置使重新配置的网络设备中的每个网络设备：i）收集由所述第二指南指定的辅助数据，以及ii）向所述分析设备提供所述辅助数据；

从所述分析设备接收第二分析结果；并且

基于所述特定分析结果和所述第二分析结果引起对所述威胁的补救。

2.根据权利要求1所述的机器可读存储介质，其中，所述重新配置的网络设备中的每个网络设备是软件定义的网络设备。

3.一种用于处理网络威胁的计算设备，所述计算设备包括：

硬件处理器；以及

数据存储设备，存储当由所述硬件处理器执行时使所述硬件处理器进行以下操作的指令：

从威胁检测器接收与在网络上操作的多个客户端设备中所包括的特定客户端设备相关联的威胁数据；

基于所述威胁数据从多个预定义的指南中识别响应指南，所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令；

基于所述威胁数据，识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；

基于所述威胁数据，识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据；

向收集设备提供使所述网络中所包括的多个软件定义的网络设备中的至少一个网络设备重新配置的指令，所述重新配置使重新配置的设备中的每个设备：i）收集所述附加数据，以及ii）向分析设备提供所述附加数据；以及

从所述分析设备接收来自所述特定分析操作的特定分析结果，

其中，所述指令进一步使所述硬件处理器用于：

基于所述特定分析结果从所述多个预定义的指南中识别第二指南，所述第二指南不同于所述响应指南；

向所述收集设备提供使所述多个软件定义的网络设备中的至少一个网络设备重新配置的指令，所述重新配置使所述重新配置的设备中的每个设备：i）收集由所述第二指南指定的辅助数据，以及ii）向所述分析设备提供所述辅助数据；

从所述分析设备接收第二分析结果；以及

基于所述特定分析结果和所述第二分析结果引起对所述威胁的补救。

4.一种由硬件处理器实施的用于处理网络威胁的方法，所述方法包括：

从威胁检测器接收与多个客户端设备中所包括的特定客户端设备相关联的威胁数据；

基于所述威胁数据从多个预定义的指南中识别响应指南，所述多个预定义的指南中的每个指南包括用于处理威胁数据的指令；

基于所述威胁数据，识别在所述响应指南中指定的用于帮助补救与所述威胁数据相关联的威胁的特定分析操作；

基于所述威胁数据来识别在所述响应指南中指定的用于执行所述特定分析操作的附加数据，所述附加数据是在接收所述威胁数据时未由多个网络设备收集的数据类型；

重新配置多个软件定义的网络设备中的至少一个网络设备，所述重新配置使每个重新配置的设备：i）收集所述附加数据，以及ii）向分析设备提供所述附加数据；以及

从所述分析设备接收由所述特定分析操作产生的特定分析结果，

其中，所述方法进一步包括：

基于所述特定分析结果从所述多个预定义的指南中识别第二指南，所述第二指南不同于所述响应指南；

重新配置所述多个软件定义的网络设备中的至少一个网络设备，所述重新配置使每个重新配置的设备：i）收集由所述第二指南指定的辅助数据，以及ii）向所述分析设备提供所述辅助数据；

从所述分析设备接收第二分析结果；以及

向补救设备提供用于补救所述威胁的指令，所述指令基于所述特定分析结果和所述第二分析结果。