局域网内如果有电脑感染了木马病毒,是一件让人很头疼的事情。对成百上千台电脑一台一台的进行查杀,简直就和大海捞针一样,需要耗费大量的时间和人力。所以很多网管人员面对上级部门发来的整改函一筹莫展,大部分情况下最终只能一台一台的杀毒整理。
从技术原理上来说,上级部门是在网络上层部署了入侵检测系统,对网络流量进行分析,从中识别出木马病毒的特征;由于出口处做了网络地址转换,上级部门只能检测到公网IP,而无法知道实际中毒的电脑。所以,你只需要在本地局域网中部署了入侵检测,就可以检测到本地的中毒电脑的IP地址和MAC地址。然后就可以直接对电脑进行查杀了。
如下图,在WSG上网行为管理的“安全防护”-“入侵防御”中,点击“IPS检测项”,就可以看到入侵防御的各个选项。
木马病毒的检测主要在“木马检测”和“恶意软件攻击”这两个大分类下面,每个大类还有一些小类,点击小类可以查看每个小类中的特征库内容。
可以检测各种挖矿、后门、病毒等各种木马特征。
在“入侵防御”的“记录查询”中,会记录入侵防御的检测历史。您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。
