WSG的入(ru)侵防御(yu)和(he)木馬檢(jian)測模(mo)塊(kuai)基于(yu)snort特征(zheng)庫，可以(yi)檢(jian)測和(he)阻止各類網絡(luo)攻(gong)擊，這兩個模(mo)塊(kuai)會對網絡(luo)中的數(shu)據通信(xin)進行檢(jian)測還原，匹配其中的木馬特征(zheng)，一旦匹配到(dao)特征(zheng)時就觸發告(gao)警和(he)阻斷。

WSG上(shang)網行為管理有(you)內置(zhi)的網址(zhi)庫、應用特征(zheng)(zheng)庫和入侵(qin)防御特征(zheng)(zheng)庫，其(qi)中入侵(qin)防御特征(zheng)(zheng)庫是基(ji)于snort的，木馬檢測分為以(yi)下幾個大類：

1.  indicator-compromise: 檢測內網被惡意軟件感染的終(zhong)端。

2.  indicator-obfuscation: 惡意軟件的模糊特征檢測。

3. indicator-scan： 檢測惡意軟件的掃描行(xing)為。

4. indicator-shellcode：檢測shellcode的執行特征(zheng)。

5. malware-backdoor：檢測后門端口的通訊特征。 如果某個惡意軟件打開一個端(duan)口并等待(dai)其控(kong)制(zhi)功能的傳入命令，則會出現此類檢測。

6. malware-cnc：此類(lei)別包含已識(shi)別的僵尸網(wang)絡流量的已知惡意(yi)命令和控制活動。

7. malware-tool：此類(lei)別包含(han)處理(li)本質上可(ke)被視為(wei)惡意工具(ju)的規則。

入侵防御模塊分為以(yi)下幾個大類(lei)：

1.  os-linux/windows/mobile/solaris: 檢測針對各種操作(zuo)系(xi)統的攻擊

2. protocol-services/rpc/dns/finger/ftp/imap...: 檢測針對各種協議(yi)漏洞的攻(gong)擊(ji)

3. server-apache/iis/mssql/mysql/oracle..: 檢測針對各種服務器軟件漏洞的攻擊