WSG的入侵防御和木馬檢測(cè)模塊基于snort特征庫(kù),可以檢測(cè)和阻止各類網(wǎng)絡(luò)攻擊,這兩個(gè)模塊會(huì)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)通信進(jìn)行檢測(cè)還原,匹配其中的木馬特征,一旦匹配到特征時(shí)就觸發(fā)告警和阻斷。
WSG上網(wǎng)行為管理有內(nèi)置的網(wǎng)址庫(kù)、應(yīng)用特征庫(kù)和入侵防御特征庫(kù),其中入侵防御特征庫(kù)是基于snort的,木馬檢測(cè)分為以下幾個(gè)大類:
-
indicator-compromise: 檢測(cè)內(nèi)網(wǎng)被惡意軟件感染的終端。
-
indicator-obfuscation: 惡意軟件的模糊特征檢測(cè)。
-
indicator-scan: 檢測(cè)惡意軟件的掃描行為。
-
indicator-shellcode:檢測(cè)shellcode的執(zhí)行特征。
-
malware-backdoor:檢測(cè)后門端口的通訊特征。 如果某個(gè)惡意軟件打開一個(gè)端口并等待其控制功能的傳入命令,則會(huì)出現(xiàn)此類檢測(cè)。
-
malware-cnc:此類別包含已識(shí)別的僵尸網(wǎng)絡(luò)流量的已知惡意命令和控制活動(dòng)。
-
malware-tool:此類別包含處理本質(zhì)上可被視為惡意工具的規(guī)則。
入侵防御模塊分為以下幾個(gè)大類:
-
os-linux/windows/mobile/solaris: 檢測(cè)針對(duì)各種操作系統(tǒng)的攻擊
-
protocol-services/rpc/dns/finger/ftp/imap...: 檢測(cè)針對(duì)各種協(xié)議漏洞的攻擊
-
server-apache/iis/mssql/mysql/oracle..: 檢測(cè)針對(duì)各種服務(wù)器軟件漏洞的攻擊