查看“Indicator”的源代码

{{DISPLAYTITLE:木马检测}}
== 木马检测模块 ==

“木马检测”模块基于入侵检测，可以检测内网感染了木马病毒的终端，触发告警并且封锁IP地址。

== 木马检测配置项 ==
如下图，木马检测包括如下配置：

* 检测处理：配置检测到木马病毒时采用的策略。
** 仅记录日志，只记录相应的攻击日志。
** 记录日志并封锁IP，记录攻击的日志，并在指定时间段内自动禁止来自该IP的访问。
* 事件告警：是否把攻击事件记录到“事件查看器”模块。
* IPS检测项：配置要启用的检测规则集，以及检测选项。
* 例外的IP地址：对来自例外的IP地址和网段不进行检测，格式支持IP或者IP段，如：192.168.1.20，192.168.1.20/24。

[[文件:indicator01.png|900px]]

== IPS检测项配置 ==

如下图所示，点击状态图标可以切换是否启用该检测项，点击放大镜图标可以查看该检测项包含的检测条目。

[[文件:indicator02.png|900px]]


[[文件:indicator03.png|900px]]

= 相关链接 =
* [http://www.imfirewall.com/blog/post/581.html 接到上级部门通告有挖矿木马如何处理？]
* [http://www.imfirewall.com/blog/post/577.html 接到上级部门通知局域网内有僵尸木马怎么处置？]
* [https://www.bilibili.com/video/BV18c411t7yx/ 怎样定位查找局域网内中了木马病毒的电脑？检测到失陷主机怎么解决？]

[[Category:安全防护]]