【天堤探针】【对象配置】如何添加间谍软件签名?

颜采蘋发表于:2020年10月10日 14:33:55更新于:2020年10月16日 16:11:29

答:步骤如下:

步骤 1     选择“对象配置 > 自定义签名 > 间谍软件”。

步骤 2     单击“添加”。

步骤 3     设置间谍软件签名的名称和描述

 步骤 4     设置间谍软件签名的基本参数。

参数

说明

严重性

选择间谍软件的严重性。

协议

选择间谍软件的协议类型。

BGP、DB2数据库、MONGO数据库、MSSQL数据库、MYSQL数据库、ORACLE数据库、PGSQL数据库、REDIS数据库、FTP、HTTP、IMAP、KERBEROS、LDAP、NFS、POP3、SMB、SMTP、SSH、SSL、TCP、TELNET、TFTP、UDP。

动作

选择检测出该间谍软件后采取的动作。默认为日志。

l 日志:只记录报警日志,不采取任何动作。

l 放行:直接放行,不记录日志。

l 重置:记录报警日志,丢弃数据包,并重置连接。

 步骤 5     配置间谍软件规则。

1.设置是否开启按顺序检测。

开启按顺序检测后,报文的特征必须按顺序配置间谍软件的规则。不开启按顺序检测时,报文的特征只要匹配签名的所有规则,不一定顺序一致。

2.单击“添加”,添加漏洞规则,添加完成后,单击“确定”。

参数

说明

操作

操作支持匹配、大于、小于和等于。

l 匹配操作对指定字段的字符串与用户设置的值进行匹配。

l 大于、小于或等于操作对指定字段的数值与用户设置的值进行比较。

匹配模式

操作为匹配时,可设置匹配模式。匹配模式支持“文本匹配”和“正则匹配”。

文本匹配是直接对指定字段的字符串与值指定的字符串进行匹配;正则匹配则是对字符串与指定字符串按照正则表达式进行计算后再进行匹配。

字段

上下文的选项跟协议有关系。

l 协议为HTTP时,上下文选项包括:HTTP.req_uri_path、HTTP.rsp_headers、HTTP.req_headers、HTTP.req_host、HTTP.req_method、HTTP.req_referer、HTTP.req_user_agent、HTTP.req_cookie、HTTP.req_content_type、HTTP.rsp_body、HTTP.req_body。

l 协议为TCP时,上下文选项包括:TCP.unknown_tcp_req、TCP.unknown_tcp_res。

l 协议为UDP时,上下文选项包括:UDP.unknown_udp_req、UDP.unknown_udp_res。

操作为匹配时,值的取值范围为除中文以外的3~63个字符。

正则表达式需要专业的规则语言来书写,例如16进制ascii码或者and、or关系符。

操作为大于、小于或等于时,值的取值范围为0~65535的数值。

 3.设置源端口和目的端口。

步骤 6     规则配置完成后,单击“确定”。

配置好的间谍软件签名在间谍软件列表中显示。

步骤 7     选中配置好的签名,单击“提交”。

只有提交后,签名才生效。