Эта статья объясняет, как Cato классифицирует приложения, и обсуждает ресурсы и информацию о трафике, используемые для анализа проприетарного движка DPI.
Информированность о приложениях необходима для безопасности сети и мониторинга трафика. Она предоставляет видимость и контроль приложений, работающих в вашей сети. Движок глубокого анализа пакетов (DPI) от Cato анализирует сетевой трафик на уровне приложений и предоставляет контроль трафика приложений на уровне приложения, а не только по порту и протоколу.
Cato классифицирует приложения в категории, которые используются в разных политиках в Приложении Управления Cato. Например, управление и контроль трафиком в разделах управления пропускной способностью и сетевых правил. Также это позволяет вам контролировать безопасность в разделе правил файервола. Кроме того, это помогает идентифицировать название приложения в окне Обнаружение событий для улучшения видимости и возможностей мониторинга.
Для получения дополнительной информации о классификации приложений Cato с использованием техники машинного обучения, см. Cato разрабатывает революционный метод автоматической идентификации приложений.
Движок DPI от Cato классифицирует приложения согласно анализу трафика командой безопасности Cato и на основе данных от внешних источников
Следующие разделы описывают
-
Инспектирование трафика
-
Использование данных от поставщиков SaaS приложений
Движок DPI от Cato работает на каждом PoP в облаке Cato и инспектирует содержимое трафика. Он использует метаданные потока пакетов и полезную нагрузку данных для классификации.
Движок DPI инспектирует различные типы данных, содержащихся в потоке приложений, и затем классифицирует их как приложения, посвящая каждое приложение к определенной категории. Он использует следующие коррелированные элементы для анализа метаданных потока.
Движок DPI использует адрес назначения IP и номер порта для классификации трафика. Он легко классифицирует трафик приложений по категориям, если трафик использует общеизвестные порты.
Cato использует техники соответствия шаблонов на именах доменов для классификации приложений. Движок DPI использует богатое разнообразие подстановочных знаков и логических выражений для поиска соответствующего шаблона и идентификации приложения. Когда он находит шаблон, который соответствует имени домена, он классифицирует приложение в соответствующую категорию. Следующие примеры демонстрируют техники соответствия подстановочных знаков и логические выражения:
-
Подстановочный знак: *.google.com. Трафик с именем домена, которое соответствует этому подстановочному знаку, классифицируется как приложение Гугл.
-
Логическое выражение: "google.com" или "googleadservices.com". Трафик с именем домена, который соответствует этому выражению, классифицируется как приложение Google AdWords.
Cato проверяет, принадлежит ли IP-адрес назначения трафика к определенному диапазону IP, выделенному для приложения. Затем он классифицирует этот трафик приложения в категорию. Если адрес назначения IP входит в ASN, CIDR, подсеть или IP-Set, движок классифицирует его, исходя из этой информации. Для правильной классификации приложений Cato регулярно обновляет списки IP-адресов и ASN.
Например, если IP-адрес назначения принадлежит к подсетям в этих диапазонах IP Amazon: 52.23.61.0/24 ИЛИ 54.244.46.0/24, Cato классифицирует трафик как приложение Amazon.
Другой пример: если IP-адрес назначения принадлежит к автономной системе (AS): AS == 62041(ASN Telegram), Cato классифицирует его как приложение Telegram.
Полезная нагрузка пакета содержит информацию о приложении, которая помогает движку DPI его классифицировать. Вот некоторые примеры полезной нагрузки данных, которые Cato использует для классификации приложений:
-
Для трафика HTTP Cato использует данные в заголовке HTTP User-Agent
-
Для трафика TLS Cato использует атрибуты TLS
NGFW Cato также использует полезную нагрузку для идентификации большинства сервисов, таких как HTTP, SSH, TLS и другие. Мы определяем сигнатуры сервисов и протоколов, основанные на их RFC. Например, Cato использует шаблоны, такие как "ssh-1" ИЛИ "SSH-1" для идентификации приложения SSH.
Некоторые поставщики SaaS публикуют потоки и веб-контент с диапазонами своих IP-адресов для приложений. Cato использует интеллектуальную систему, которая регулярно отслеживает этих поставщиков для обновления специфических диапазонов IP-адресов для приложений (например, Office365, Google Apps и т. д.) и базы данных ASN. Эти потоки и веб-контент динамически обновляют Cato Cloud и помогают классифицировать приложения. Когда поставщики изменяют и обновляют свойства приложения, Cato также изменяет определения, чтобы всегда использовать правильные данные. Следующий пример показывает источник потоков для приложения O365: Диапазоны IP-адресов и URL-адресов Office365.
Этот раздел вводит новый процесс классификации приложений.
Когда Cato Networks добавляет новые приложения? Следующие объекты описывают, когда Cato добавляет новое приложение:
-
По запросу клиента – команда безопасности Cato может легко добавить приложения на основе запросов клиентов. Если вы хотите, чтобы Cato добавила новое приложение, пожалуйста, свяжитесь с командой поддержки Cato Networks.
-
Отслеживание неклассифицированного трафика – команда безопасности Cato регулярно отслеживает неклассифицированный трафик, используя модель кластеризации машинного обучения, которая анализирует поведение приложения и затем помечает его для дальнейшего анализа.
Cato Networks имеет выделенную команду безопасности, которая постоянно анализирует сетевой трафик для защиты ваших данных. Команда безопасности включает в себя экспертов по безопасности и аналитиков, которые контролируют трафик, чтобы идентифицировать неклассифицированные приложения и любые приложения, которые классифицированы неправильно. Команда осуществляет мониторинг трафика 24/7, используя интеллектуальные и мониторинговые системы
0 комментариев
Войдите в службу, чтобы оставить комментарий.