Cato가 네트워크 애플리케이션을 분류하는 방법 설명

이 문서는 Cato가 애플리케이션을 분류하는 방법과 독점적인 DPI 엔진의 분석을 위한 자원과 트래픽 정보를 논의합니다.

애플리케이션 분류 개요

애플리케이션 인식은 네트워크 보안 및 트래픽 모니터링에 필요합니다. 네트워크에서 실행 중인 애플리케이션의 가시성과 애플리케이션 제어를 제공합니다. Cato Networks의 깊은 패킷 검사(DPI) 엔진은 애플리케이션 수준에서 네트워크 트래픽을 검사하고 포트와 프로토콜 뿐만 아니라 애플리케이션 계층을 기반으로 애플리케이션 트래픽 제어를 제공합니다.

Cato는 애플리케이션을 Cato 관리 애플리케이션 내 다른 정책에 사용되는 카테고리로 분류합니다. 예를 들어, 대역폭 관리 및 네트워크 규칙 섹션에서 트래픽을 관리하고 제어합니다. 또한 방화벽 규칙 섹션에서 보안을 제어할 수 있습니다. 그리고, 이벤트 발견 창에서 애플리케이션 이름을 식별하여 더 나은 가시성과 모니터링 기능을 제공합니다.

머신러닝 기법을 사용한 Cato의 애플리케이션 분류에 대한 자세한 내용은 Cato는 자동 애플리케이션 식별을 위한 혁신적인 방법을 개발했습니다를 참조하십시오.

애플리케이션 트래픽 분류

Cato의 DPI 엔진은 Cato의 보안 팀의 트래픽 분석과 외부 소스의 피드를 기반으로 애플리케이션을 분류합니다

다음 섹션에서는

  • 트래픽 검사

  • SaaS 애플리케이션 벤더의 피드 사용

트래픽 검사

Cato의 DPI 엔진은 Cato Cloud의 모든 PoP에서 실행되며 트래픽 콘텐츠를 검사합니다. 이 엔진은 패킷 흐름 메타데이터와 데이터 페이로드를 사용하여 분류합니다.

흐름 메타데이터 분석 설명

DPI 엔진은 애플리케이션 흐름에 포함된 다양한 데이터 유형을 검사한 후 이를 애플리케이션 및 각 애플리케이션을 카테고리에 할당하여 분류합니다. 아래 상관된 항목들을 흐름 메타데이터 분석에 사용합니다.

목적지 IP 주소 및 네트워크 포트 사용

DPI 엔진은 목적지 IP 주소와 포트 번호를 사용하여 트래픽을 분류합니다. 트래픽이 잘 알려진 포트를 사용할 때 애플리케이션 트래픽을 쉽게 카테고리로 분류합니다.

도메인 패턴 매칭

Cato는 애플리케이션을 분류하기 위해 도메인 이름에 패턴 매칭 기술을 사용합니다. DPI 엔진은 풍부한 와일드카드와 논리 표현식의 다양성을 사용하여 일치하는 패턴을 검색하고 애플리케이션을 식별합니다. 도메인 이름과 일치하는 패턴을 찾으면 애플리케이션을 적합한 카테고리로 분류합니다. 다음 예시는 와일드카드와 논리 표현식 패턴 매칭 기술을 보여줍니다:

  1. 와일드카드: *.google.com. 이 와일드카드와 일치하는 도메인 이름의 트래픽은 Google 애플리케이션으로 분류됩니다.

  2. 논리 표현식: "google.com" 또는 "googleadservices.com". 이 표현식과 일치하는 도메인 이름의 트래픽은 Google AdWords 애플리케이션으로 분류됩니다.

목적지 IP 주소의 IP 범위 멤버

Cato는 트래픽 목적지 IP 주소가 애플리케이션에 할당된 특정 IP 범위에 속하는지 확인합니다. 그런 다음 이 애플리케이션 트래픽을 카테고리로 분류합니다. 목적지 IP 주소가 ASN, CIDR, 서브넷 또는 IP-Set의 일부인 경우, 엔진은 이 정보를 기반으로 분류합니다. 애플리케이션을 올바르게 분류하기 위해 Cato는 정기적으로 IP 주소와 ASN 목록을 업데이트합니다.

예를 들어, 목적지 IP 주소가 다음 Amazon IP 범위 내의 서브넷에 속하면: 52.23.61.0/24 또는 54.244.46.0/24, Cato는 트래픽을 Amazon 애플리케이션으로 분류합니다.

또 다른 예는 목적지 IP 주소가 자율 시스템(AS)에 속하는 경우: AS == 62041(Telegram ASN), Cato가 이를 Telegram 애플리케이션으로 분류합니다.

트래픽 데이터 페이로드 분석

패킷 페이로드는 애플리케이션에 대한 정보를 포함하며, 이는 DPI 엔진이 이를 분류하는 데 도움을 줍니다. 다음은 Cato가 애플리케이션 분류에 사용하는 페이로드 데이터의 예입니다:

  • HTTP 트래픽의 경우, Cato는 User-Agent HTTP 헤더의 데이터를 사용합니다

  • TLS 트래픽의 경우, Cato는 TLS 속성을 사용합니다

Cato의 NGFW는 또한 HTTP, SSH, TLS 등 대부분의 서비스를 식별하기 위해 페이로드를 사용합니다. 우리는 RFC에 기반한 서비스 및 프로토콜 서명을 식별합니다. 예를 들어, Cato는 "ssh-1" 또는 "SSH-1"와 같은 패턴을 사용하여 SSH 애플리케이션을 식별합니다.

SaaS 애플리케이션 벤더 피드 사용

일부 SaaS 공급업체는 IP 주소 범위와 함께 애플리케이션을 위한 피드와 웹 콘텐츠를 게시합니다. Cato는 이러한 벤더를 정기적으로 추적하여 특정 애플리케이션 IP 범위(예: Office365, Google Apps 등) 및 ASN 데이터베이스를 업데이트하는 정보 시스템을 사용합니다. 이러한 피드와 웹 콘텐츠는 Cato Cloud를 동적으로 업데이트하고 애플리케이션을 분류하는 데 도움을 줍니다. 공급업체가 애플리케이션의 속성을 변경하고 업데이트할 때, Cato는 항상 정확한 데이터를 사용하기 위해 정의도 변경합니다. 다음 예시는 O365 애플리케이션의 피드 출처를 보여줍니다: Office365 URL 및 IP 주소 범위

애플리케이션 분류 프로세스 소개

이 섹션은 새로운 애플리케이션 분류 프로세스를 소개합니다.

새로운 애플리케이션 추가

Cato Networks는 언제 새로운 애플리케이션을 추가합니까? 다음 항목은 Cato가 새로운 애플리케이션을 추가할 때를 설명합니다:

  1. 고객 요청에 따라 – Cato의 보안 팀은 고객의 요청을 기반으로 애플리케이션을 쉽게 추가할 수 있습니다. Cato가 새로운 애플리케이션을 추가하길 원한다면, Cato Networks 지원 팀에 연락해 주세요.

  2. 분석되지 않은 트래픽 추적 – Cato의 보안 팀은 애플리케이션 동작을 분석하는 머신러닝 클러스터링 모델을 사용하여 분석되지 않은 트래픽을 정기적으로 추적하며, 이는 추가 분석을 위해 표시됩니다.

Cato의 보안 팀

Cato Networks는 네트워크 트래픽을 지속적으로 분석하여 데이터를 보호하는 전담 보안 팀을 보유하고 있습니다. 보안 팀은 분석되지 않은 애플리케이션 및 제대로 분류되지 않은 애플리케이션을 식별하기 위해 트래픽을 모니터링하는 보안 전문가와 분석가들로 구성되어 있습니다. 팀은 지능형 모니터링 시스템을 사용하여 24/7 트래픽을 모니터링합니다

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개