NTM v24.9.26（核心代号“唐r6p3”）版本发布

cqh123

一.新增功能
1.1.系统告警态势感知大屏
1.1.1.功能介绍

序号	模块	功能介绍
1	告警等级	共四种告警等级“一般、次要、主要、严重”，对应系统告警策略中的告警等级配置
2	大屏标题	默认为“系统告警态势感知”，可自定义修改
3	系统告警	包含告警策略条件为“系统”分类中的7种告警内容统计
4	告警实例	当前命中告警策略类型与次数统计展示
5	告警趋势	告警事件的统计趋势图
6	告警详情	告警结束时间的展示，状态可点击进行“已读/未读”切换
7	IP告警用户TOP	产生告警事件的关联IP用户排名展示
8	告警网卡	与网卡相关告警事件次数统计展示
9	威胁情报	与威胁情报或奇安信情报相关告警事件统计展示
10	告警总数	结束的告警事件总数统计
11	今日告警数	今日产生的结束告警事件总数统计
12	今日已读数	今日状态为已读的告警事件总数统计
13	今日未读数	今日状态为未读的告警事件总数统计

1.1.2. 应用场景

1.    网络运维监控

在大型企业或机构中，网络运维人员需要实时监控网络状态。告警态势大屏提供直观的信息展示，帮助运维团队迅速识别并处理故障。

2.    安全事件响应

面对不断变化的网络安全威胁，告警大屏能够实时显示关键告警信息，助力安全团队快速响应潜在威胁，减少损失。

1.1.3.功能价值

1.    实时可视化展示

告警大屏以动态形式展示告警等级、趋势及详细信息，运维人员可以快速获取关键信息，提升处理效率。

2.    灵活的告警策略

用户可以自定义告警监控对象，针对特定内网IP、应用协议和威胁情报进行精准监控，确保重要事件不会被遗漏。

3.    提升运维效率

通过集中展示告警信息，减少了运维人员在不同系统之间切换的时间，从而提升整体工作效率和响应速度。

1.2. HTTP文件还原

1.2.1. 功能介绍

HTTP（HyperTextTransfer Protocol）传输文件是一种在客户端和服务器之间通过HTTP协议交换文件数据的常用方法。HTTP协议以其简单性和广泛应用性，在文件传输中扮演着重要角色。以下是关于HTTP传输文件的详细解释：

1.    HTTP传输文件的基本原理

HTTP传输文件的过程通常涉及以下几个步骤：

1)    客户端发起请求：客户端（如浏览器、移动应用等）通过HTTP协议向服务器发送一个请求，该请求中包含了要传输的文件信息（如文件名、类型、大小等）或请求服务器上的特定文件。

2)    服务器处理请求：服务器接收到客户端的请求后，根据请求的内容进行相应的处理。如果是文件上传请求，服务器会准备接收文件数据；如果是文件下载请求，服务器会将请求的文件作为响应体发送给客户端。

3)    文件数据传输：在文件上传的场景中，客户端将文件数据通过HTTP请求发送给服务器；在文件下载的场景中，服务器将文件数据作为HTTP响应发送给客户端。文件数据通常以字节流的形式在HTTP请求和响应中传输。

4)    客户端接收并处理文件：客户端接收到服务器发送的文件数据后，会将其保存到本地文件系统或其他存储介质中，并根据需要进行后续处理（如解码、解压缩等）。

2.    HTTP文件还原介绍

本功能旨在对HTTP类型会话中传输的文件进行还原，通过分析HTTP传输的文件，能够及时发现潜在的安全威胁。例如，安全人员可以捕获并下载可疑的HTTP传输文件，再利用沙箱等安全工具进一步分析，从而识别恶意软件；又如，可以分析通过网络钓鱼链接传输的文件，识别钓鱼攻击的模式，并迅速向用户发出警告，减少潜在的损失。

HTTP文件还原支持如下后缀名重组（不在列表内的文件类型可能无法重组后缀名，但影响正常还原下载）：

序号	文件类型	后缀名	备注
1	视频类	avi	AVI文件类型是一种多媒体文件格式，具体属于数字音频与视频类型。AVI的英文全称是Audio Video Interleaved，即音频视频交错格式。这种格式最初由微软开发并于1992年推出，作为Windows视频软件的一部分，是Windows机器的标准视频格式，也是一种通用的多媒体文件格式。
		mp4	MP4文件类型，全称MPEG-4 Part 14，是一种广泛使用的多媒体容器格式，其扩展名为.mp4。这种格式由MPEG（运动图像专家组）标准化组织定义，旨在提供一种高效的方式来存储和传输高质量的音频和视频数据。
		mov	MOV文件类型是一种由苹果公司开发的多媒体容器格式，全称为QuickTime  Movie Format。
2	音频类	aiff	AIFF（Audio  Interchange File Format）是一种音频文件格式，由Apple Computer公司在1988年开发。它主要用于存储高质量的音频数据，尤其是无损音频数据。AIFF格式支持多种音频样本格式，包括PCM（脉冲编码调制）和压缩格式如MP3，尽管在实际应用中，AIFF更多地与未压缩的PCM音频相关联。
		mp3	MP3是一种广泛使用的音频压缩格式，它采用MPEG-1 Audio Layer 3编码技术，能够将音频文件压缩到很小的体积，同时保持相对较高的音质。
		mrnv
		mrvb
		wav	.wav 文件类型是一种广泛使用的音频文件格式，全称为“Waveform  Audio File Format”，波形音频文件格式。它是由微软（Microsoft）和IBM共同开发的一种标准数字音频格式，用于存储未压缩的音频数据
3	图片类	gif	gif 文件类型是一种图像文件格式，全称为“Graphics  Interchange Format”，图形交换格式。.gif 文件支持最多256色的图像，并特别擅长处理线条简单、色彩较少、文件大小较小的图像，如徽标、图标、卡通等。.gif 格式还支持动画和透明度，这使得它在网页设计中非常受欢迎。
		jpg	.jpg 文件类型，全称为“Joint Photographic Experts Group”格式，是一种广泛使用的图像压缩格式。它属于有损压缩格式，意味着在压缩过程中会丢失一些图像数据以减小文件大小
		png	PNG（Portable Network  Graphics）是一种无损压缩的位图图形格式，设计初衷是试图替代GIF和TIFF文件格式，同时增加一些GIF文件格式所不具备的特性。
		tiff	TIFF（Tagged Image File Format）是一种灵活且广泛支持的图像文件格式，用于存储高质量的图像数据。TIFF格式最初由Aldus公司和微软公司在1980年代共同开发，旨在解决不同应用程序之间图像文件交换的问题。
4	安装包类	apk	APK文件类型，全称Android  Package Kit，是Android操作系统使用的一种应用程序包文件格式，用于分发和安装移动应用及中间件。
		rpm	RPM文件类型是一种在Linux系统中广泛使用的软件包格式，全称是Red  Hat Package Manager（Red Hat软件包管理器）。
		dmg	DMG文件是苹果系统（Mac OS X）下的一种磁盘映像文件格式，全称为Disk Image，即磁盘影像。它类似于Windows系统中的ISO文件，是一种压缩文件格式，用于在Mac系统上创建一个虚拟磁盘。
		ipa	ipa文件类型是苹果应用程序文件格式，全称为iPhone  Application，是Apple程序应用文件的缩写。
5	可执行程序类	bat	BAT文件是一种批处理脚本文件，它是Windows操作系统下用于自动化执行任务的脚本文件格式。BAT文件的全称为“批处理命令文件”（Batch file），它包含一系列命令行指令，这些指令在Windows的命令提示符（Command Prompt）下可以手动输入，但通过BAT文件可以自动化执行，无需用户重复输入。
		com	COM文件类型是一种简单的可执行文件，通常与DOS（磁盘操作系统）或早期Windows系统相关联。COM文件在20世纪70年代由迪吉多公司推出，并在CP/M和MS-DOS等操作系统中广泛使用。
		exe	EXE（Executable）文件类型是可执行文件，是可在操作系统存储空间中浮动定位的可执行程序。
		msi	MSI文件是Microsoft  Windows Installer开发出来的程序安装文件，它是一种特殊的软件包文件，用于安装、修改和卸载Windows应用程序。MSI文件相当于一个数据包，将安装程序所需的所有信息、文件以及安装指令和数据封装在一起，以便于安装和管理。
6	文本类	doc	DOC文件类型 是一种由Microsoft  Word软件创建和编辑的文档文件格式。它是最早的Word文档格式之一
		docx	DOCX文件类型是一种由微软公司推出的文档格式，它是Office  2007及以上版本中的默认文件格式。具体来说，DOCX是Microsoft Word文档的默认保存格式
		ppt	PPT文件格式 是由Microsoft  PowerPoint软件创建和编辑的演示文稿文件格式。PPT代表“PowerPoint演示文稿”，是Microsoft Office套件中的一部分，广泛用于商业、教育、政府机构以及个人用户制作幻灯片展示。
		pptx	.pptx 文件类型是一种由Microsoft  PowerPoint软件创建的演示文稿文件格式。它是从早期版本的.ppt（PowerPoint 97-2003演示文稿）格式发展而来的，属于Office  Open XML标准的一部分
		pdf	PDF（Portable  Document Format）文件格式是一种由Adobe Systems开发的文件格式，旨在独立于应用程序、操作系统和硬件来呈现文档的内容和布局。
		rtf	RTF文件类型，全称为Rich Text Format，即富文本格式或多文本格式，是一种用于在不同的文本处理程序和应用程序之间交换格式化文本文档的文件格式。
		txt	.txt 文件类型是一种纯文本文件，它只包含基本的文本信息，而不包含任何格式化命令或元数据。这种文件类型是最简单的文本存储方式之一，广泛用于各种操作系统和环境中。
		vcf	VCF（vCard File）是一种常见的电子名片文件格式，用于存储和传输个人联系信息。它是Windows系统中Outlook等应用程序的名片存储格式，也可以被各种手机设备和联系管理软件所支持。
		xls	xls文件格式是Microsoft  Office Excel 2003版本及以下版本生成的电子表格文件格式。它是Excel表格的一种保存形式，全称为Excel spreadsheet，即电子表格。
		xlsx	xlsx文件类型是Microsoft  Office Excel 2007及以后版本（包括2010、2013、2016、2019、2021等）所使用的电子表格文件格式。它代表了“XML  Spreadsheet”的缩写
		dat	DAT文件是DATA的缩写，因为旧版WINDOWS和旧DOS操作系统最多只支持3位的后缀名，所以用DAT代表
7	代码文件类	js	js文件格式是指JavaScript语言的源代码文件，其扩展名为“.js”。JavaScript是一种直译式脚本语言，具有动态类型、弱类型、基于原型的特性，并且内置支持类型
		php	PHP文件格式通常是以.php为后缀的文本文件。PHP，全称Hypertext  Preprocessor（超文本预处理器），是一种开源的服务器端脚本语言，主要用于Web开发。
		sh	SH文件格式是Shell脚本文件的格式，文件后缀名为.sh。SH文件通常包含了一系列要在Unix/Linux系统上运行的命令，这些命令由操作系统的命令解释器（如Bash、Zsh等）执行。
		sys	sys文件格式是Windows系统文件的一种，它是驱动程序的可执行代码。sys文件是system（系统）的缩写，主要用于存储设备驱动程序和其他核心的Windows功能。
		c	.c 文件格式是C语言源程序文件的格式。这种文件包含了用C语言编写的程序代码，其扩展名为.c。
		h	.h  文件格式是C语言和C++等编程语言中用于定义头文件（Header File）的文件格式。
		java	.java文件格式是Java编程语言的标准源代码文件格式。它以“.java”作为文件扩展名，是程序员用于编写Java程序的文本文件。
		pl	.pl文件格式是Linux系统中常见的一种文件格式，它代表Perl脚本文件。Perl是一种流行的脚本语言，被广泛应用于Web开发、系统管理、网络编程等多个领域。
		pm	在  Perl 编程语言中，.pm 文件通常用于保存 Perl 模块（Perl Module）。Perl 模块是包含 Perl 函数、子程序、变量等，可以被其他  Perl 程序引用和使用的代码库。
		py	.py 文件格式是 Python 编程语言的源代码文件。Python 是一种广泛使用的高级编程语言，以其简洁的语法、丰富的标准库和强大的扩展性而著称。
		htm	.htm文件格式是HTML（HyperText  Markup Language，超文本标记语言）文档的一种保存格式，它与.html格式在本质上没有区别，都是用于创建网页的标记语言文件。
		html	.html 文件格式是超文本标记语言（HyperText  Markup Language）的文档格式，用于创建网页和网页应用程序。HTML 是一种标准标记语言，它通过一系列的元素（elements）来构建网页的结构和内容。
8	压缩文件类	pages	.pages文件格式是Mac系统下Pages文稿应用所生成的文件格式。
		rar	RAR是一种文件压缩与归档的私有文件格式，RAR文件主要用于数据压缩与归档打包，通过压缩多个文件以减小尺寸和提高传输效率。
		zip	ZIP文件格式是一种数据压缩和文档归档的实用程序文件格式。目的是将磁盘上的多个文件和目录打包成一个文件，以便更容易地传输和存储。
		7z	7z文件格式是一种高效的主流压缩格式，由7-Zip软件创建并采用。
		tar	tar文件格式是Unix和类Unix系统（如Linux）中用于打包和压缩文件的一种文件格式。
		bz2	bz2文件格式是一种数据压缩格式，常用于存储大型文件或数据集。它基于Burrows-Wheeler变换和霍夫曼编码算法，能够高效地减小文件大小，有助于节省存储空间和加快文件传输速度。
		iso	ISO文件格式是光盘镜像文件的一种存储格式，其全称来源于ISO 9660，
9	数据文件类	data	DATA文件格式并不是一个固定或标准化的文件格式，而是可以指代多种类型的数据文件，这些文件的具体格式和内容取决于它们被用于何种系统、程序或应用中。
		xml	XML（Extensible  Markup Language）即可扩展标记语言，是一种用于描述数据的标记语言。XML文件是纯文本文件，具有可读性强、易于解析和扩展的特点，广泛应用于数据交换、数据存储和互联网应用等领域。
10	数据库文件类	sql	SQL文件通常包含了一系列的SQL语句，这些语句可以执行数据库的创建、修改、查询和删除等操作。
		bak	.bak文件格式是一种备份文件格式，其扩展名“bak”通常表示“backup”（备份）的缩写。这种文件格式主要用于存储原始文件的备份副本，以防止数据丢失或损坏。
		mdb	MDB（Microsoft  Database）是一种由微软公司开发的数据库文件格式，主要用于存储和管理关系数据库。
11	动态库文件类	dll	DLL文件格式，全称是Dynamic  Link Library（动态链接库），是Windows操作系统下一种非常重要的可执行文件格式。这种文件包含了可以被多个程序同时使用的代码、数据和资源，允许程序共享执行特殊任务所必需的代码，从而提高了程序的运行效率和可维护性。
12	密钥类	key	.key文件通常用于存储加密密钥，如SSL证书的私钥文件或SSH密钥文件。
		pem	PEM（Privacy-Enhanced  Mail）文件格式是一种广泛用于存储和交换安全信息的文件格式，特别是在计算机安全和加密领域。PEM文件主要用于数字证书和私钥的管理，是信息安全领域中的重要组成部分。
		der	DER（Distinguished  Encoding Rules）文件格式是一种用于存储和传输密钥、证书等安全信息的二进制编码格式。
		crt	CRT文件格式，即“Certificate”的缩写，通常是指X.509证书，是一种包含公钥和相关证书信息的文件。这种文件主要用于在网络通信中验证和加密信息。CRT文件通常采用PEM（Privacy-Enhanced  Mail）或DER（Distinguished Encoding Rules）等编码格式进行存储。

1.2.2. 应用场景

1. 恶意软件捕获

网络安全团队通过监控HTTP流量，利用HTTP文件还原技术捕获传输中的可疑文件。在发现网络中存在异常流量或根据情报提示某URL托管恶意文件时，团队可以使用HTTP文件还原功能快速定位和下载样本，随后在隔离环境中进行分析。

2. 钓鱼攻击识别

通过分析通过欺诈性电子邮件或网站链接传输的文件，识别潜在的网络钓鱼攻击。当员工报告可疑链接或附件时，安全团队可以利用HTTP文件还原功能提取并分析这些文件，确定是否为钓鱼攻击，并采取预警措施。

1.2.3. 功能价值

1. 加强安全监控

通过自动化的HTTP文件还原，安全团队能够扩展其监控范围，覆盖更多潜在的威胁载体。这项功能为团队提供了一个强大的工具，用于收集和分析可能被传统安全解决方案遗漏的威胁情报。

2. 快速响应提升

在检测到可疑活动时，快速还原和分析文件，从而加快了对安全事件的响应和处理。及时的文件还原能力意味着可以迅速确定威胁性质，制定应对措施，减少潜在损害。

1.3.系统PCAP文件下载

展示系统硬盘内存储的所有数据包，每个大小为128M，用户可以下载后上传第三方进行分析

也可以用来查看数据包落盘时间范围

二.功能优化

2.1.  奇安信威胁情报离线导入

将原来必须在线更新的奇安信威胁情报源增加离线导入功能，适配部分涉密用户环境无法与外网互通情况。

说明:

• 离线情报库请联系派网官方技术人员获取。
• 离线情报导入前须将奇安信威胁情报APP升级至20240925及其之后版本。
  

2.2.  IPV6流量诊断分析

增加支持基于IPv6地址的流量诊断分析能力

2.3.  拓扑图链路趋势增加质量诊断跳转方式

2.4.  告警日志记录容量扩展至64K

告警日志记录容量由原2048条扩容至64K。

2.5.  奇安信威胁情报命中日志写入硬盘

奇安信威胁情报命中日志写入硬盘，重启后不会丢失。

三. 界面优化

3.1. 未落盘数据包按钮置灰

由于数据包落盘非实时，需要达到存储块大小才可写入硬盘，因此经常出现用户查看当前会话日志时无法查看关联数据包问题，因此本次版本将该按钮优化，未落盘数据包按钮将置灰，用户无法点击，也便于分辨该会话数据包是否落盘。

3.2. 系统告警事件增加已读/未读状态

四.BUG修复

序号	问题描述	解决进度
1	部分HTTP日志域名显示NULL问题	已解决
2	应用商店概率性无法在线安装APP问题	已解决
3	会话流量指定IPv4地址查询概率性结果显示不全问题	已解决
4	主机监控历史日志概率性无法查询对应结果	已解决

五.下载地址

标准版：

Linux: PanaNTMFree_TANGr6p3_20240926_Linux3.tar.gz (18.15 MB, 下载次数: 48)

2024-9-26 17:57 上传

点击文件名下载附件

FreeBSD: PanaNTMFree_TANGr6p3_20240926_FreeBSD12.tar.gz (17.75 MB, 下载次数: 29)

2024-9-26 17:56 上传

点击文件名下载附件

专业版:

Linux:   PanaNTMOEM_TANGr6p3_20240926_Linux3.tar.gz (18.16 MB, 下载次数: 14)

2024-9-26 17:58 上传

点击文件名下载附件

FreeBSD: PanaNTMOEM_TANGr6p3_20240926_FreeBSD12.tar.gz (17.75 MB, 下载次数: 9)

2024-9-26 17:57 上传

点击文件名下载附件

NTM--Lite: PanaNTMLite_TANGr6p3_20240926_arm64.tar.gz (16.23 MB, 下载次数: 14)

2024-9-26 17:57 上传

点击文件名下载附件