本文解释了 Cato 如何分类应用程序,并讨论了用于专有 DPI 引擎分析的资源和流量信息。
应用程序感知是网络安全和流量监控所必需的。 它提供你网络上正在运行的应用程序的可见性和应用控制。 Cato Networks 的深度包检测 (DPI) 引擎检查应用程序级别的网络流量,并基于应用层而不仅仅是端口和协议提供应用流量控制。
Cato 将应用程序分类为在 Cato 管理应用程序中用于不同策略的类别。 例如,在带宽管理和网络规则部分管理和控制流量。 它还允许你在防火墙规则部分控制安全。 此外,它帮助在事件发现窗口中识别应用程序名称,从而提高可见性和监控能力。
有关 Cato 通过机器学习技术进行应用程序分类的更多信息,请参见 Cato 开发了一种革命性的方法来自动识别应用程序。
Cato 的 DPI 引擎根据 Cato 安全团队的流量分析和来自外部来源的 feeds 对应用程序进行分类
以下部分描述
-
检查流量
-
使用 SaaS 应用程序供应商 feeds
Cato 的 DPI 引擎在 Cato Cloud 的每个 PoP 上运行并检查流量内容。 它使用包流元数据和数据负载进行分类。
DPI 引擎检查应用流中的各种类型数据,然后将其分类为应用程序,每个应用程序分配到一个类别。 它使用以下相关项目进行流元数据分析。
Cato 使用域名的模式匹配技术来分类应用程序。 DPI 引擎使用丰富的通配符和逻辑表达式来搜索匹配模式并识别应用程序。 当它找到与域名相符的模式时,便将应用程序分类至相应类别。 以下示例展示了通配符和逻辑表达式模式匹配技术:
-
通配符: *.google.com. 匹配此通配符的域名流量被分类为Google 应用程序。
-
逻辑表达式: "google.com" 或 "googleadservices.com" 匹配此表达式的域名流量被分类为 Google AdWords 应用程序。
Cato 检查流量目标 IP 地址是否属于为一个应用程序分配的特定 IP 范围。 然后将该应用程序流量分类为一个类别。 如果目标 IP 地址是 ASN、CIDR、子网或 IP-Set 的一部分,引擎则基于此信息对其进行分类。 为正确分类应用程序,Cato 定期更新 IP 地址和 ASN 列表。
例如,如果目标 IP 地址属于这些 Amazon IP 范围的子网:52.23.61.0/24 或 54.244.46.0/24,Cato 将流量分类为 Amazon 应用程序。
另一个例子是如果目标 IP 地址属于自治系统 (AS):AS == 62041 (Telegram ASN),Cato 将其分类为 Telegram 应用程序。
一些 SaaS 供应商会发布 feeds 和其 IP 范围的 web 内容用于应用程序。 Cato 使用一个智能化系统定期跟踪这些供应商以更新特定应用程序的 IP 范围(例如 Office365,Google 应用程序等)和 ASN 数据库。 这些 feeds 和 web 内容动态更新 Cato 云并帮助分类应用程序。 当提供商更改和更新应用程序的属性时,Cato 也会更改定义以始终使用正确的数据。 以下示例显示 O365 应用程序的来源:Office365 URL 和 IP 地址范围。
本节介绍新的应用程序分类过程。
0 条评论
请登录写评论。