隐蔽隧道最为常见的用途可以分为以下三类：

这些隐蔽隧道技术的出现，一方面触犯了相关的法律法规，另一方面也让攻击者有了更隐蔽的途径来窃取信息、攻击网络和盗窃财产，侧面助长了互联网黑灰色产业链的犯罪行为，对个人和组织的信息安全和财产安全构成了严重的威胁。因此，需要加强对隐蔽隧道的防范和管控，保护网络的安全和稳定，从而维护社会公共安全和市场经济秩序。  

之所以开头说隐蔽隧道是一种特殊的网络威胁，是因为隐蔽隧道的发现是一个复杂的过程，它面临着多种技术难点和挑战。

隐蔽隧道，正如其名，匿影藏形在正常流量之中，通常使用各种协议、端口、加密算法等方式来进行伪装，传统安全设备难以发现。此外，隧道的设计者还会不断优化和改进隧道技术，以避免被发现与拦截。

隐蔽隧道的发现之所以困难，究其原因，是因为传统的安全产品，坚持的安全理念是“抓坏人”。就像在一栋大楼门口，安排多名保安，凡是进出门口的人员必须经过保安检查，凡是黑名单上的人不允许通过。然而黑名单的模式总有死角和滞后性，隐蔽隧道的伪装和动态更新，会让这种靠病毒库“抓坏人”的方法显得捉襟见肘。

即便面临诸多挑战，但知难不难，隐蔽隧道的发现仍然有迹可循。

其中，1和2可以通过Panalog来实现，实现基于DPI的全量日志留存，便于针对隐蔽隧道进行会话级别的分析与溯源。第3点则需要NTM来实现，在我们今日发布的NTM新版本中，增加了“网络穿透”功能，能够有效帮助大家对隐蔽隧道进行监测。

新版本NTM的“敏感应用”模块，我们重新对敏感应用进行分类，并实现实时分析与历史数据回溯。

敏感应用具体的分类如下：

• 敏感协议类：Telnet、SSH、SSL、Socks4/5、ISAKMP 等

• VPN协议类：PPTP、L2TP、GRE、IPSec 等

• VPN应用类：OpenVPN、V2ray、DroidVPN、Wireguard、FastVPN 等

• 远程控制类：向日葵、TeamViewer、Pcanywhere 等

• 代理应用类：花生壳、FRP、shadowsocks-R、SocksOnline 等

基于DPI的分析能力，对敏感应用/协议的流量识别，这是监测的第一步；更重要的是，在识别的基础上，引入AI流量分析模型进行分析。这就需要用到我们的另一个功能模块——“网络穿透”*。

*注：标准版（免费版）不支持该功能。

系统目前内置十种模型，后续将不断迭代和增加。用户可以根据自己的需求，选择自己所需的分析模型进行监测。

开启监测后，NTM能够对命中模型的流量进行分析和溯源。

01 实时概况

针对网内疑似的穿透行为进行实时总览，快速筛选出高疑似度IP。

02 历史概况

针对网内疑似的穿透行为进行溯源回查，快速筛选出高疑似度IP。

03 详细会话

详细展示疑似行为的具体会话，并提供原始数据包做进一步分析，帮助判断是否存在异常。

通过DPI+AI流量模型，NTM能够快速锁定需要重点关注的数据，监测更高效；另一方面，通过会话与原始数据的留存，可以帮助实现隐蔽隧道行为的溯源。

道高一尺，魔高一丈，不管怎么说，隐蔽隧道的发现仍然是一件极为困难的事情。我们也将在之后不断保持对相关应用协议的识别，并不断优化与丰富流量分析模型，加强对隐蔽隧道的了解和应对，构建一个更加安全稳定的网络环境。

除了对隐蔽隧道的分析和溯源，新版本还为大家带来了干货满满的更新。

数据包查询页面，支持设置查询数据包的个数，默认显示前100个数据包。