12
2024
03

WSG的入侵防御系统可以防范哪些网络攻击?

WSG的入侵防御和木马检测模块基于snort特征库,可以检测和阻止各类网络攻击,这两个模块会对网络中的数据通信进行检测还原,匹配其中的木马特征,一旦匹配到特征时就触发告警和阻断。

202212151671085711364298.png

WSG上网行为管理有内置的网址库、应用特征库和入侵防御特征库,其中入侵防御特征库是基于snort的,木马检测分为以下几个大类:

  1. indicator-compromise: 检测内网被恶意软件感染的终端。

  2. indicator-obfuscation: 恶意软件的模糊特征检测。

  3. indicator-scan: 检测恶意软件的扫描行为。

  4. indicator-shellcode:检测shellcode的执行特征。

  5. malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。

  6. malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。

  7. malware-tool:此类别包含处理本质上可被视为恶意工具的规则。

202212151671086404473521.png

入侵防御模块分为以下几个大类:

  1. os-linux/windows/mobile/solaris: 检测针对各种操作系统的攻击

  2. protocol-services/rpc/dns/finger/ftp/imap...: 检测针对各种协议漏洞的攻击

  3. server-apache/iis/mssql/mysql/oracle..: 检测针对各种服务器软件漏洞的攻击

202403121710224584499575.png



« 上一篇 下一篇 »