WSG的入侵防御和木马检测模块基于snort特征库,可以检测和阻止各类网络攻击,这两个模块会对网络中的数据通信进行检测还原,匹配其中的木马特征,一旦匹配到特征时就触发告警和阻断。
WSG上网行为管理有内置的网址库、应用特征库和入侵防御特征库,其中入侵防御特征库是基于snort的,木马检测分为以下几个大类:
-
indicator-compromise: 检测内网被恶意软件感染的终端。
-
indicator-obfuscation: 恶意软件的模糊特征检测。
-
indicator-scan: 检测恶意软件的扫描行为。
-
indicator-shellcode:检测shellcode的执行特征。
-
malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。
-
malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。
-
malware-tool:此类别包含处理本质上可被视为恶意工具的规则。
入侵防御模块分为以下几个大类:
-
os-linux/windows/mobile/solaris: 检测针对各种操作系统的攻击
-
protocol-services/rpc/dns/finger/ftp/imap...: 检测针对各种协议漏洞的攻击
-
server-apache/iis/mssql/mysql/oracle..: 检测针对各种服务器软件漏洞的攻击
