NTM v24.6.18(核心代号“唐r6p1”)版本发布
1. 产品概述派网NTM(全流量溯源分析系统)可基于元数据实现全流量溯源分析,具备数据留存、协议识别、数据溯源、文件还原、数据重放、离线分析、威胁情报、隐蔽隧道、流量分析、故障溯源、主机监控、实时告警等功能,能够满足用户对行为审计、业务性能感知、网络未知威胁发现、原始数据包溯源等功能。派网NTM是一款全新的、基于超级摘要的全流量分析溯源产品,具备网络全流量态势分析、异常流量监测、攻击流量溯源、安全事件分析等功能。专门为金融、能源、医疗、军队、政府、教育、运营商、集团企业等客户提供高性能、高可用性、功能丰富的全流量分析解决方案。能够满足用户对网络故障定位、网络未知威胁发现、原始数据包溯源等全方位需求,赋予用户细粒度的可视能力。
2. 版本信息
核心代号唐 TANG r6p1
版本类型正式版本
适用产品NTM(全流量溯源分析系统)
适用客户通用
发布日期2024年6月18日
新增功能1. 多分支链路管理;2. 多业务管理;3. 自定义拓扑图;4. 会话缝合;5. SYSLOG日志审计;6. 自动报表;7. IPv6主机监控;8. 网卡实时抓包
功能优化暂无
界面优化1. 解决ICMPv6流量的传输协议识别为undefined问题;2. 会话日志分析数据与查询条件新增SEQ与ipid(协议序列号);3. 会话日志分析数据与查询条件增加数据所属分支链路;
BUG修复1. 网络概况与系统信息CPU、内存使用率显示不一致;2. 应用协议大屏访问用户无法加载;3. 用户画像无法基于IP群组查询;4. 合法IP列表修改参数异常;
3. 新增功能3.1. 多分支链路管理3.1.1.功能介绍多分支链路管理功能通过在网络中部署多个探针(采集点),对流量数据包进行处理和标记后再转发给NTM设备进行实时解析,实现对流量的多点采集与统一分析。多分支链路管理采用多点采集技术,其主要以网络镜像流量为基础数据源,采用流量分析技术进行网络性能和服务质量监控。当发现异常上网行为和安全事件时,通过NTM的多分支链路管理功能能够及时掌握网络的业务流量特征,并据此对网络配置进行优化调整,及时解决网络故障风险和隐患,最终保障核心业务应用的稳定运行。
3.1.2.应用场景多点采集功能多用于金融,医疗等组网相对复杂,并对业务可靠性高的场景。下图是简易拓扑示意图,图中①②③④分别为四个网络探针向NTM传送数据的路径,通过这四个探针,网络管理员能够全方位了解内网中各个区域的网络概况,并且NTM将离线日志发送给WAF、NPM、态势感知系统,对网络流量中存在的安全威胁做进一步分析。
3.1.3.功能价值1) 基于用户需求,灵活的对指定的链路(含虚链路)进行监测2) 单个系统实现对重要业务/资产在链路中的流量监测3) 网络带宽测量4) 流量监控5) 网络故障检测6) 网络安全
3.2. 多业务管理3.2.1.功能介绍多业务管理即同时对企业网络环境中的多种业务应用进行监控与监管,将业务拆分,每个业务都有独立的可视化展示分析。多业务管理是以网络流量分析系统为工具,以多点采集数据为源头,通过对网络流量原始数据报文深度解析,与官方应用识别库的精准匹配,实现对IP流量、TCP连接、网络延迟等精细化的网络服务质量的监控分析,希望能与应用系统更紧密结合、围绕业务运行提供有益的网络分析能力和数据。业务区分后,例如医疗用户能对所属医院的HIS,电子医保,电子病历,医疗设备,无线终端等进行单独的流量监控与运维管理。
3.2.2.应用场景多业务管理的应用场景非常广泛,其主要用于收集、处理和分析各种网络和应用数据,以支持业务决策、性能优化、安全监控等。多业务管理的应用场景涵盖了网络性能监测与优化、应用性能监测与管理、安全威胁检测与防护、物联网设备监测与管理以及云计算监测与管理等多个方面。通过部署探针并收集、处理和分析相关数据,可以为业务决策、性能优化、安全监控等提供有力支持,帮助企业和组织提升运营效率、降低风险并优化用户体验。1. 网络性能监测与优化1) 网络延迟测量:可以实时监测网络延迟情况,帮助管理员发现网络瓶颈,优化网络路径,确保网络服务的稳定性和高效性。2) 带宽监测:通过探针收集的数据,可以分析网络带宽的使用情况,优化资源分配,避免带宽浪费,提高网络使用效率。3) 流量分析:探针可以收集并分析网络中的流量数据,帮助管理员了解流量模式,及时发现异常流量和安全威胁,优化网络配置。2. 应用性能监测与管理1) 应用性能监测:通过在应用服务器上部署探针,可以实时监测应用的响应时间、吞吐量等性能指标,帮助开发人员进行性能优化,提升用户体验。2) 数据库性能监测:探针可以监测数据库的访问延迟、并发连接数等指标,帮助数据库管理员及时发现并解决性能问题,确保数据库的稳定运行。3) 服务器负载监测:探针可以实时监测服务器的负载情况,包括CPU利用率、内存使用情况等,帮助管理员进行资源调度和容量规划,避免服务器过载。3. 安全威胁检测与防护1) 入侵检测:探针可以实时监测网络中的入侵行为,如未授权访问、恶意代码传播等,及时发现并阻止潜在的安全威胁。2) 恶意软件检测:探针可以监测网络中的恶意软件传播行为,及时发现并隔离感染的主机,保护网络安全。3) 数据泄露检测:通过探针可以监测网络中的数据传输行为,及时发现潜在的数据泄露风险,保护敏感数据的安全。4. 物联网设备监测与管理1) 设备状态监测:通过在物联网设备上部署探针,可以实时监测设备的运行状态,包括温度、湿度、电量等指标,帮助提前预防设备故障。2) 设备定位追踪:探针可以实时获取设备的位置信息,帮助物联网平台进行设备定位追踪和管理。3) 设备数据采集:探针可以收集物联网设备产生的数据,包括传感器数据、设备状态等,帮助进行数据分析和应用开发。5. 云计算监测与管理1) 云服务性能监测:探针可以监测云服务的性能和可用性,确保云服务的高效稳定运行。2) 资源使用分析:通过探针收集的数据,可以分析云资源的使用情况,优化资源配置,提高资源使用效率。3) 安全监控:探针可以实时监测云环境中的安全威胁,如DDoS攻击、恶意流量等,及时发现并采取相应的防护措施。3.2.3.功能价值1)细化流量监控颗粒度。
3.3. 自定义拓扑3.3.1.功能介绍自定义拓扑是通过使用系统给定的各种网元元素,绘制出一张完整的网络拓扑图。自定义拓扑包含添加设备,填写设备IP、MAC、上联下联口等备注信息、添加设备互联链路三个步骤,并且链路可关联多点采集中的链路数据,实时监测与展示PPS、上下行速率、NPM信息。
3.3.2. 应用场景如下图,使用自定义拓扑图功能手动绘制企业内网拓扑。
3.3.3.功能价值1) 企业网络视图更清晰2) 业务监测更形象,数据一目了然
3.4. 会话缝合3.4.1.功能介绍会话缝合功能就是将会话日志与所属分支链路绑定,并展示该会话在每个节点的业务质量。会话缝合的关键在于提取数据包中的特征字段,目前TCP会话基于SEQ序列号,UDP和ICMP基于IPID字段来做缝合匹配,将具有相同序列号的数据包缝合在一起,最终形成链路级会话比对。
3.4.2. 应用场景会话缝合功能通过会话对比,会话级到原始数据包的溯源分析,提供更高精度,更细颗粒度的业务质量分析,业务故障分析。会话日志缝合的应用场景主要集中在需要确保网络会话完整性和连续性的网络监控、故障排查、安全分析等领域。以下是几个具体的应用场景:1. 网络故障排查会话中断分析:当网络中出现会话中断时,通过探针收集的日志信息,可以分析中断的原因,如网络拥塞、设备故障等。故障重现:利用探针日志缝合技术,可以将中断前后的日志信息拼接起来,重现故障发生时的网络状态,帮助管理员快速定位问题。2. 网络性能监控会话完整性分析:在网络性能监控中,需要确保会话的完整性,以便准确评估网络延迟、带宽使用等性能指标。探针日志缝合可以确保会话日志的连续性,为性能分析提供可靠数据。异常流量检测:通过缝合的会话日志,可以检测网络中的异常流量,如DDoS攻击、恶意流量等,及时发现并采取相应的防护措施。3. 安全威胁检测入侵检测:通过探针收集的日志信息,可以分析网络中的入侵行为,如未授权访问、恶意代码传播等。日志缝合技术可以确保会话日志的完整性,为入侵检测提供有力支持。用户行为分析:通过缝合的会话日志,可以分析用户的网络行为,发现异常或可疑行为,如内部人员泄露敏感信息、非法访问等。4. 服务质量保障服务连续性监控:对于需要保持持续服务的应用,如在线交易、实时通信等,探针日志缝合可以确保服务会话的连续性,及时发现并解决潜在的服务中断问题。用户体验优化:通过分析缝合的会话日志,可以了解用户在使用服务过程中的网络体验,如加载速度、响应时间等,从而优化服务策略,提升用户体验。5. 法规遵从与审计日志审计:在法规遵从和审计要求下,需要保留完整的网络会话日志作为证据。探针日志缝合可以确保日志的完整性和连续性,满足审计需求。数据追溯:当发生安全事件或需要追溯数据时,通过缝合的会话日志,可以快速定位到相关数据和会话,为事件调查提供有力支持。
3.4.3.实现会话对比2) 会话级到原始数据包的溯源分析3) 业务系统全路径的网络会话级关联追踪分析
3.5. 自动报表3.5.1.功能介绍自动报表功能就是NTM通过安装一款“自动报表”APP插件,定期生成安全审计报告。自动报表支持周报,月报,并且报告内容模版支持自定义修改。生成的报告目前不支持设备端下载,可以通过 Ctrl+P 打印功能来下载安全报告;还可以通过绑定SAAS平台,在SAAS上获取安全报告。自动报表包含以下内容
3.5.2. 应用场景IT运维人员的定期网络分析和可视化总结。
3.5.3. 功能价值网络流量监控软件的自动化分析与报告功能在信息安全领域具有重要的作用。通过对流量数据的实时监测和深入分析,它可以帮助用户及时发现和处理安全威胁,并生成相应的报告,用于管理决策和安全评估。网络流量监控软件的自动化分析与报告功能的应用,将有助于提高网络的安全性和性能。
3.6. SYSLOG日志审计Syslog是一种标准的日志协议,用于网络设备、服务器和应用程序向中央Syslog服务器发送日志消息。这些日志消息包含有关系统事件、错误、用户活动和安全事件的宝贵信息。通过分析syslog日志,组织可以深入了解其IT基础设施,检测异常,调查安全漏洞,并确保遵守行业法规。
3.7. IPv6主机监控原“主机监控”功能只支持配置针对IPv4地址类型主机,现增加支持配置IPv6地址主机监控。
3.8. 网卡实时抓包通过配置策略,可选择数据口实时抓取数据包。策略条件丰富,可针对指定Vlan,指定内外网地址或针对指定传输协议进行抓包。当网络出现问题时,通过实时抓包可以捕获和分析数据包,以确定问题的根本原因。可以检查数据包的源和目标地址、协议、端口等信息,找出网络中的错误或异常。
4. 功能优化暂无
5. 界面优化
5.1. 增加ICMPv6传输协议解决ICMPv6流量传输协议被识别为undefined问题
5.2. 会话日志分析数据与查询条件新增SEQ与ipid(协议序列号)会话流量增加SEQ与ipid两列数据展示,并增加相应查询条件。SEQ:TCP SEQ是一个32位的无符号数,用于标识从TCP源端向目的端发送的字节流。它表示在这个报文段中的第一个数据字节的编号。它的作用是保证数据的有序性:通过为TCP连接中发送的每一个字节分配一个唯一的序列号,TCP协议能够确保接收端按照正确的顺序重组数据流。保证数据的完整性:接收端通过检查序列号的连续性,可以检测出数据包的丢失或乱序,从而采取相应的措施进行修复(如请求重传)。Ipid:是一种用于在因特网通信中对IP包进行标识的字段。 IP包是在网络中传输数据的基本单位,每个IP包都包含一个唯一的标识符,即IPID。 IPID字段是一个16位的无符号整数,在一个IP包的头部中的第9-16个字节。
5.3. 会话日志分析数据与查询条件增加数据所属分支链路会话流量新增一列展示日志所属分支链路
6. BUG修复
序号问题描述解决进度
1网络概况与系统信息CPU、内存使用率显示不一致已解决
2应用协议大屏访问用户无法加载已解决
3用户画像无法基于IP群组查询已解决
4合法IP列表修改参数异常已解决
7.下载地址标准版:Linux:
FreeBSD:
专业版:
Linux:
FreeBSD:
NTM--Lite:
页:
[1]