WSG的入侵防御和木馬檢測模塊基于snort特征庫，可以檢測和阻止各類網(wǎng)絡攻擊，這兩個模塊會對網(wǎng)絡中的數(shù)據(jù)通信進行檢測還原，匹配其中的木馬特征，一旦匹配到特征時就觸發(fā)告警和阻斷。

WSG上網(wǎng)行為管理有內(nèi)置的網(wǎng)址庫、應用特征庫和入侵防御特征庫，其中入侵防御特征庫是基于snort的，木馬檢測分為以下幾個大類：

1. indicator-compromise: 檢測內(nèi)網(wǎng)被惡意軟件感染的終端。

2. indicator-obfuscation: 惡意軟件的模糊特征檢測。

3. indicator-scan： 檢測惡意軟件的掃描行為。

4. indicator-shellcode：檢測shellcode的執(zhí)行特征。

5. malware-backdoor：檢測后門端口的通訊特征。 如果某個惡意軟件打開一個端口并等待其控制功能的傳入命令，則會出現(xiàn)此類檢測。

6. malware-cnc：此類別包含已識別的僵尸網(wǎng)絡流量的已知惡意命令和控制活動。

7. malware-tool：此類別包含處理本質(zhì)上可被視為惡意工具的規(guī)則。

入侵防御模塊分為以下幾個大類：

1. os-linux/windows/mobile/solaris: 檢測針對各種操作系統(tǒng)的攻擊

2. protocol-services/rpc/dns/finger/ftp/imap...: 檢測針對各種協(xié)議漏洞的攻擊

3. server-apache/iis/mssql/mysql/oracle..: 檢測針對各種服務器軟件漏洞的攻擊