售后服务_客户支持_服务与支持_绿盟科技

首页-> 服务与支持-> 客户支持-> 售后服务

服务与支持

绿盟智能安全运营平台（ISOP）攻击识别升级包列表

名称： attack_rule.1.0.0.1.1060707.dat	版本：1.0.0.1.1060707
MD5：31b0a29a876f15391be56ea97d7caab8	大小：32.94M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060707，规则总条数为859 条。【变更内容】 1、修改规则： 490001 内部主机发起RDP或SSH协议的扫描行为 490109 泛微 Ecology 存在登录绕过漏洞 490457 RichMail-用户密码泄露漏洞 490459 Smartbi token回调获取登录凭证漏洞 491044 发现Jenkins远程代码执行漏洞利用攻击 491135 通用可疑文件上传成功并访问行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-09-22 18:16:50

名称： attack_rule.1.0.0.1.1060674.dat	版本：1.0.0.1.1060674
MD5：1cf73ab9056f47f1b1a05389165a33c5	大小：32.92M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060674，规则总条数为859 条。【变更内容】 1、新增规则： 490459 Smartbi token回调获取登录凭证漏洞 491173 Jeecg-boot JDBC任意代码执行漏洞 491174 Smartbi RMIServlet 权限绕过漏洞 2、修改规则： 490439 Jenkins Java反序列化漏洞 491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞 497005 5G行为分析注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-09-11 09:52:57

名称： attack_rule.1.0.0.1.1060659.dat	版本：1.0.0.1.1060659
MD5：002b7367095c4a0e17981a54ea729e95	大小：32.89M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060659，规则总条数为856 条。【变更内容】 1、新增规则： 491172 宏景人力系统sql注入漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-25 16:28:34

名称： attack_rule.1.0.0.1.1060649.dat	版本：1.0.0.1.1060649
MD5：46df6b1a07414547a8da8b66fe6f3095	大小：32.89M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060649，规则总条数为855 条。【变更内容】 1、新增规则： 490458 jenkins配置文件路径改动导致管理员权限开放漏洞(CVE-2018-1999001) 491171 泛微E-cology 9 后台远程代码执行攻击 2、修改规则： 491168 汉得 SRM 一站式采购管理平台 tomcat.jsp 存在登录绕过漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-23 09:34:38

名称： attack_rule.1.0.0.1.1060641.dat	版本：1.0.0.1.1060641
MD5：0e87e388a0dfa25573a9ab03ec305254	大小：32.87M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060641，规则总条数为853 条。【变更内容】 1、新增规则： 490457 RichMail用户密码泄露漏洞 491167 契约锁电子签署平台文件上传漏洞 491168 汉得 SRM 一站式采购管理平台 tomcat.jsp 存在登录绕过漏洞 491169 GeoServer SQL注入漏洞 491170 泛微 E-Cology ifNewsCheckOutByCurrentUser SQL注入漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-22 10:40:24

名称： attack_rule.1.0.0.1.1060620.dat	版本：1.0.0.1.1060620
MD5：88ca41c6fc2ce5a30ffb5f46632e498e	大小：32.85M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060620，规则总条数为848 条。【变更内容】 1、新增规则： 491166 用友移动管理系统任意文件上传漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-21 10:29:10

名称： attack_rule.1.0.0.1.1060616.dat	版本：1.0.0.1.1060616
MD5：3c283e64f561ba3edef70be8b91ce6b1	大小：32.84M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060616，规则总条数为847 条。【变更内容】 1、新增规则： 491163 任我行CRM SQL 注入漏洞 491164 泛微 Ecology 后台SQL注入RCE漏洞 491165 启明 4A 统一安全管控平台 getMaster 信息泄露漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-17 22:35:15

名称： attack_rule.1.0.0.1.1060598.dat	版本：1.0.0.1.1060598
MD5：6b28265bf6521ad28e19bcab9626f964	大小：32.83M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060598，规则总条数为844 条。【变更内容】 1、新增规则： 491162 用友U8-Cloud upload文件上传漏洞 2、修改规则： 490002 泛微OA V9任意文件上传漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-16 20:55:59

名称： attack_rule.1.0.0.1.1060593.dat	版本：1.0.0.1.1060593
MD5：48b8af89b0f515b307bab6edf187fb6a	大小：32.82M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060593，规则总条数为843 条。【变更内容】 1、新增规则： 491156 金和 OA C6 GetTreeDate.aspx SQL 注入漏洞 491157 锐捷无线路由器密码重置漏洞(CVE-2023-4169) 491158 通用敏感配置文件读取 491159 大华智慧园区用户密码泄露漏洞 491160 金和OA C6 GetSqlData.aspx SQL注入漏洞 491161 Openfire 控制台身份认证绕过漏洞（CVE-2023-32315）注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-16 10:20:37

名称： attack_rule.1.0.0.1.1060574.dat	版本：1.0.0.1.1060574
MD5：1bcfe71e7b0f4b0e2b4284923010718a	大小：32.79M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060574，规则总条数为837 条。【变更内容】 1、新增规则： 491151 百卓 Smart S85F useratte 存在后台文件上传漏洞（CVE-2023-4121） 491152 金盘微信管理平台未授权访问漏洞 491153 用友NC wsncapplet.jsp信息泄漏洞 491154 用友U8-CRM客户关系管理系统文件上传漏洞 491155 大华智慧园区综合管理平台SQL注入漏洞 2、修改规则 491144-致远OA默认审计用户口令漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-15 10:12:02

名称： attack_rule.1.0.0.1.1060553.dat	版本：1.0.0.1.1060553
MD5：9c4d7b8868bb088f8385034985ed5733	大小：32.77M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060553，规则总条数为832 条。【变更内容】 1、新增规则： 491146 广联达OA系统文件上传漏洞 491147 企望制造 ERP 系统 comboxstore SQL 注入漏洞 491148 360 天擎终端安全管理系统 admin_log_conf 日志泄露漏洞 491149 广联达OA协同办公系统SQL注入漏洞攻击 491150 用友时空KSOA imagefield SQL注入漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-13 22:51:54

名称： attack_rule.1.0.0.1.1060537.dat	版本：1.0.0.1.1060537
MD5：e9873d907a722bec2c0620264bcca7a8	大小：32.74M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060537，规则总条数为827 条。【变更内容】 1、新增规则： 491145 迪普负载均衡设备 ADX3000-GA系统存在后台命令执行漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-12 19:06:11

名称： attack_rule.1.0.0.1.1060533.dat	版本：1.0.0.1.1060533
MD5：0407ce9e2953a17b9a5d0a62178a652f	大小：32.74M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060533，规则总条数为826 条。【变更内容】 1、新增规则： 491142 通达OA-反序列化漏洞攻击 491143 用友时空 KSOA QueryService SQL 注入漏洞 491144 致远 OA 默认审计用户口令漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-11 22:41:40

名称： attack_rule.1.0.0.1.1060510.dat	版本：1.0.0.1.1060510
MD5：7e509545086ac33b7e5a00c69e74b974	大小：32.72M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060510，规则总条数为823 条。【变更内容】 1、新增规则： 490456 泛微e-Office任意文件上传漏洞(CVE-2023-2523)攻击 491139 海康威视 iSecureCenter 综合安防管理平台文件上传 491140 网神防火墙任意文件上传漏洞攻击 491141 泛微 OA E-Office 9.5 敏感信息泄露漏洞 2、修改规则： 490018 WPS Office for Windows RCE 490280 DNSLog平台访问事件 491107 检测到致远OA wpsAssistServlet任意文件漏洞利用注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-11 14:10:17

名称： attack_rule.1.0.0.1.1060488.dat	版本：1.0.0.1.1060488
MD5：a9fb73d7752274daff63630594158285	大小：32.70M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060488，规则总条数为819 条。【变更内容】 1、新增规则： 491138 宏景eHR任意文件上传漏洞攻击 2、修改规则： 490142 Smartbi 内置用户登陆绕过漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-09 20:22:20

名称： attack_rule.1.0.0.1.1060455.dat	版本：1.0.0.1.1060455
MD5：de9119e9ea5c401d713e8f41e9e3ed3c	大小：32.69M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.3074及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060455，规则总条数为818 条。【变更内容】 1、新增规则： 490445 检测到Sliver工具HTTP Beacon Implant心跳通信 490451 检测到Havoc C2工具HTTP Demon上线通信行为 490452 检测到Havoc C2工具HTTPS Demon上线通信行为 490454 Metabase远程代码执行漏洞(CVE-2023-38646) 490455 检测到DanderSpiritz工具HTTP木马通信行为 2、修改规则： 490100 Jenkins 漏洞攻击成功 490232 Linux反弹shell成功 490328 DNS协议隧道工具dnscat连接通信成功 490340 Apache Log4j2 远程代码执行漏洞攻击尝试 490395 Siteserver远程模板下载Getshell漏洞攻击 491036 检测到GitLab任意文件读取漏洞攻击 491079 Spring Cloud Function远程命令执行后反弹shell 491098 检测到Spring Cloud Snake Yaml反序列化攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中任务名称以FLINK_NG_ENGINE为前缀的任务，其运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 > 引擎配置页面，选择启用对应的实例后点击应用配置。 5.若谛听引擎版本为V3.0R02F00及以下，并且平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4，如果没有实例3和4，可不关注。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-08-04 15:56:06

名称： attack_rule.1.0.0.1.1060370.dat	版本：1.0.0.1.1060370
MD5：ecf74a3adcf8ff4f164cf9dd2a2080fa	大小：32.35M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2972及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060370，规则总条数为813 条。【变更内容】 1、新增规则： 491137 Apache RocketMQ远程代码执行漏洞(CVE-2023-33246)利用后反弹shell 2、修改规则： 490106 检测到F5 BIGIP iControl REST未授权远程代码执行漏洞攻击 490134 ML算法检测web访问请求中存在Webshell，并请求成功 490137 Webshell、木马等后门程序上传，并访问行为 490162 Apache Jetspeed用户管理REST API未授权访问成功 490167 Drupal远程代码执行下载木马 490184 WebLogic任意文件上传漏洞利用成功后上传Webshell并访问 490185 安全设备被绕过或横向移动行为 490244 通过操作系统漏洞获取服务器权限 490305 SQL注入疑似成功后进行网页登陆行为 490326 Jackson-databind远程代码执行漏洞利用成功后连接dnslog 490351 发现CobaltStrike渗透攻击工具远程命令通信 490376 Spring Cloud Gateway远程代码执行漏洞攻击 490402 检测到用友任意文件上传攻击 490408 用友GRP-U8任意文件上传漏洞 491007 检测到Artica Proxy cyrus.php命令注入攻击 491022 基于iiop协议检测通用weblogic反序列化漏洞利用 491044 发现Jenkins远程代码执行漏洞利用攻击 491094 信呼OA任意文件上传漏洞攻击 491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接 491118 致远OA Session泄漏漏洞 493050 检测到windows中查看域管理器信息行为 495005 匿名文件共享网站访问注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-07-24 09:08:21

名称： attack_rule.1.0.0.1.1060264.dat	版本：1.0.0.1.1060264
MD5：05db99d8490e94fa615f8b6cb541c155	大小：32.35M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2972及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060264，规则总条数为812 条。【变更内容】 1、新增规则： 490450 Apache Shiro权限绕过漏洞 491136 检测到冰蝎3变形webshell连接 2、修改规则： 490009 僵尸网络 490422 Apereo CAS 远程代码执行漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-07-10 09:14:49

名称： attack_rule.1.0.0.1.1060217.dat	版本：1.0.0.1.1060217
MD5：f72e3db5256ffb7ffdc8d123c4d78c93	大小：32.34M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2972及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060217，规则总条数为810 条。【变更内容】 1、修改规则： 490002 泛微OA V9任意文件上传漏洞 490037 Elasticsearch未授权访问 490413 致远 OA ajax.do 任意文件上传漏洞 491135 通用可疑文件上传成功并访问行为 493103 检测到主机上存在反弹shell攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-07-03 08:50:11

名称： attack_rule.1.0.0.1.1060179.dat	版本：1.0.0.1.1060179
MD5：ce491b12b005fcad247ca498e48635b7	大小：32.33M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2972及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060179，规则总条数为810 条。【变更内容】 1、新增规则： 490449 WebLogic未授权命令执行漏洞 493103 检测到主机上存在反弹shell攻击 493104 检测到主机上存在webshell攻击 493105 检测到主机存在web命今执行下载敏感文件 2、修改规则： 490255 Zabbix jsrpc.php SQL 注入漏洞利用成功 490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击 490363 GoAhead Server 环境变量注入漏洞 490422 Apereo CAS 远程代码执行漏洞 491007 Web目录遍历攻击 491038 使用弱密码成功登录内网站点 491044 发现Jenkins远程代码执行漏洞利用攻击 491076 基于ldap协议检测通用Java反序列化代码执行 491081 基于rmi协议检测通用Java反序列化代码执行 491121 通用文件上传漏洞攻击 491135 通用可疑文件上传并访问行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-06-21 16:34:33

名称： attack_rule.1.0.0.1.1060048.dat	版本：1.0.0.1.1060048
MD5：8e73ca81e6691783031f5e27f331843a	大小：32.29M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2925及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1060048，规则总条数为806 条。【变更内容】 1、新增规则： 490422 Apereo CAS 远程代码执行漏洞 490424 Spring-security 认证绕过漏洞 490439 Jenkins Java反序列化漏洞 490440 Alibaba Nacos 未授权访问漏洞 490441 Apache Spark REST API 未授权访问漏洞 490442 DedeCMS V5.7 SP2后台代码执行漏洞 490443 检测到利用致远OA thirdpartyController.do获取管理员Session 490444 Dedecms管理员密码重置漏洞 491134 通用文件上传提取内部事件 491135 通用可疑文件上传成功并访问行为 493102 主机频繁外联行为 495150 特权账号公用 495151 账号多地访问行为 2、修改规则： 490076 目录遍历漏洞攻击 490086 Nginx_漏洞攻击成功 490106 任意文件上传攻击 490268 Dede CMS 远程代码执行漏洞 490269 利用DedeCMS远程代码执行漏洞读取系统信息 490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台 491003 攻击者在尝试SQL注入 491025 致远OA_漏洞攻击 491044 发现Jenkins远程代码执行漏洞利用攻击 491067 Webshell上传连接活动 491112 检测到用友任意文件上传攻击 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-06-02 19:28:24

名称： attack_rule.1.0.0.1.1059937.dat	版本：1.0.0.1.1059937
MD5：04a76ffe33574735ca5a2fb917b9056a	大小：32.29M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2925及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1059937，规则总条数为793 条。【变更内容】 1、新增规则： 490411 Active MQ 反序列化漏洞 490413 致远 OA ajax.do 任意文件上传漏洞 490416 金山 V8 终端安全系统任意文件读取漏洞 490425 Apache Solr 远程命令执行漏洞 490429 Apache Dubbo 反序列化漏洞 490432 GitLab_Graphql 邮箱信息泄露漏洞 490438 契约锁电子签章系统SPEL表达式注入漏洞 491133 检测到Nexus-远程命令执行漏洞攻击（CVE-2020-10199）注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-05-15 17:43:35

名称： attack_rule.1.0.0.1.1059857.dat	版本：1.0.0.1.1059857
MD5：45ecad5d770f636b4d4d4ddb793cd225	大小：32.05M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2841及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1059857，规则总条数为785 条。【变更内容】 1、新增规则： 491132 检测到瑞友天翼应用虚拟化系统SQL注入漏洞攻击 2、修改规则： 490256 Axis2任意文件读取漏洞利用成功后上传文件 491122 帆软报表ReportServer接口任意文件读取漏洞攻击 491130 ChurchRota远程命令执行漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-05-03 21:23:42

名称： attack_rule.1.0.0.1.1059748.dat	版本：1.0.0.1.1059748
MD5：9c7193453f0daece57a81c5cb638e861	大小：31.88M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2841及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1059748，规则总条数为784 条。【变更内容】 1、新增规则： 490437 Apache Unomi远程代码执行漏洞-CVE-2020-13942 491128 检测到Nexus-远程命令执行漏洞攻击 491129 Flask服务端模板注入漏洞 491130 ChurchRota远程命令执行漏洞 491131 好视通视频会议系统任意文件下载漏洞-CNVD-2020-62437 2、修改规则： 490037 Elasticsearch未授权访问 490183 基于告警检测通用命令执行回显 490306 可疑webshell脚本上传 490344 Grafana未授权任意文件读取漏洞 490363 GoAhead Server环境变量注入漏洞 491081 基于rmi协议检测通用Java反序列化代码执行 491121 通用文件上传漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-04-23 09:53:04

名称： attack_rule.1.0.0.1.1059666.dat	版本：1.0.0.1.1059666
MD5：60e963bb0d917b341a6fd41608624e15	大小：31.84M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2841及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1059666，规则总条数为779 条。【变更内容】 1、新增规则： 491119-检测到Joomla未授权访问漏洞(CVE-2023-23752)攻击 491126-MinIO信息泄露漏洞-CVE-2023-28432攻击 491127-检测到疑似开源DNSLog平台Interactsh通信 2、修改规则 490280-DNSLog平台访问事件 490320-redis认证成功 490338-Metabase任意文件读取漏洞攻击 491078-检测到远程命令执行后使用Dnslog平台验证 493034-wmic远程执行命令 493085-检测到Windows系统MS7-010攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-04-03 10:31:57

名称： attack_rule.1.0.0.1.1059625.dat	版本：1.0.0.1.1059625
MD5：abb9bfdc0cacfb58f79e76ee1789cdb2	大小：31.82M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2827及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1059625，规则总条数为776 条。【变更内容】 1、新增规则： 491118 致远OA Session泄漏漏洞 491124 发现Sliver渗透攻击工具HTTP通信连接建立行为 491125 发现Sliver渗透攻击工具HTTP协议心跳通信行为 493090 检测到Windows域控SID History后门攻击 493091 检测到Windows域控DCSync攻击 493092 检测到Windows域控DCShadow攻击 493093 检测到Windows域控DSRM后门攻击 493094 检测到Windows域控AdminSDHolder对象修改 493095 检测到Windows域控Skeleton Key后门攻击 493096 针对Windows域内用户暴力破解攻击 493097 检测到Windows域控哈希传递攻击 493098 检测到Windows域控NTDS凭据转储攻击 493099 检测到Windows域控LSASS凭证窃取攻击 493100 针对Windows域内用户密码喷洒攻击 493101 检测到Windows域控黄金票据攻击 2、修改规则 490433 Windows系统bitsadmin远程下载命令执行行为 491077 Spring Framework命令执行写Webshell后连接注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-03-27 09:14:36

名称： attack_rule.1.0.0.1.1058534.dat	版本：1.0.0.1.1058534
MD5：309f7b3b4f7525bc7aa8885a18fefb63	大小：29.45M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1058534，规则总条数为761 条。【变更内容】 1、新增规则： 490398 检测到使用wget或curl工具下载PE文件 490436 Suo5-HTTP代理隧道通信 491123 远程加载执行恶意的Class字节码文件 2、修改规则 490038 Solr_漏洞攻击 490233 用友NC grouptemplet接口任意文件上传 490276 检测到jboss反序列化漏洞攻击 490318 通达OA前台任意用户登录漏洞利用成功 490331 Exchange远程代码执行 490433 Windows系统bitsadmin远程下载命令执行行为 491038 使用弱密码成功登录内网站点 493034 wmic远程执行命令注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-03-21 12:10:40

名称： attack_rule.1.0.0.1.1056401.dat	版本：1.0.0.1.1056401
MD5：0db893aec14a8e44cc1a6ed2b0689c35	大小：28.70M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1056401，规则总条数为758 条。【变更内容】 1、新增规则： 490433 Windows系统bitsadmin远程下载命令执行行为 490434 Windows系统regsvr32远程代码执行行为 491122 帆软报表ReportServer接口任意文件读取漏洞攻击 2、修改规则 490037 Elasticsearch_漏洞攻击 490072 SQL注入成功 490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行 490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道后进行端口扫描行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-03-06 10:13:19

名称： attack_rule.1.0.0.1.1055213.dat	版本：1.0.0.1.1055213
MD5：8f75e53221da62f6001d272650f3a99c	大小：28.41M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1055213，规则总条数为755 条。【变更内容】 1、新增规则： 490431 帆软报表FineReport任意文件覆盖漏洞 491121 通用文件上传漏洞攻击 2、修改规则 490074 安全设备发现Webshell告警，并且请求成功 490078 Struts2_漏洞攻击成功 490090 Tomcat_漏洞攻击成功 490092 Drupal_漏洞攻击成功 490098 phpMyAdmin_漏洞攻击成功 490205 基于命令回显检测通用java命令执行 490207 基于命令回显检测通用php命令执行 490415 Apache Solr ConfigSet 未授权上传漏洞 491022 基于iiop协议检测通用weblogic反序列化漏洞利用 491061 检测到蚁剑webshell通信行为 491061 检测到蚁剑webshell通信行为 491062 基于命令回显检测通用命令执行 491084 基于流量检测通用命令执行回显 491120 检测到禅道系统权限绕过后命令执行漏洞攻击 495144 服务器敏感信息外泄注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-02-21 15:45:26

名称： attack_rule.1.0.0.1.1053807.dat	版本：1.0.0.1.1053807
MD5：4a6f11d209ae2f2fe5945fcea25b7ddd	大小：28.37M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053807，规则总条数为753 条。【变更内容】 1、新增规则： 491117 检测到webshell三剑客下载行为 491120 检测到禅道系统权限绕过后命令执行漏洞攻击 2、修改规则 495001 数据库服务被执行Dump操作 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-01-17 10:36:49

名称： attack_rule.1.0.0.1.1053787.dat	版本：1.0.0.1.1053787
MD5：0d1155f1c2d7ac1a1b9919d8f692bd10	大小：28.35M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053787，规则总条数为751 条。【变更内容】 1、新增规则： 490430 针对ImageMagick-CVE-2020-29599的命令注入漏洞 491116 Cacti命令注入漏洞 2、修改规则 490183 ThinkPHP 5.X远程命令执行漏洞写入Webshell并访问 490220 高危端口访问异常 490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击 490378 Jenkins任意文件读取漏洞攻击 490383 基于指纹检测CobaltStrike HTTPS Beacon通信 490387 基于指纹检测Metasploit HTTPS Beacon通信 490409 Apache Flink任意文件上传漏洞 491061 检测到蚁剑webshell通信行为 491063 通达OA_尝试攻击成功 491102 检测到Spring Framework远程命令执行漏洞嗅探 491105 检测到畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞攻击 491109 检测到F5 BIG-IP iControl REST身份认证绕过漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2023-01-09 10:15:34

名称： attack_rule.1.0.0.1.1053689.dat	版本：1.0.0.1.1053689
MD5：f7b4ec9743ac2d8d10a5da18d95b6c18	大小：28.33M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053689，规则总条数为749 条。【变更内容】 1、新增规则： 491115 ThinkPHP多语言本地文件包含漏洞 2、修改规则 490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击 490340 Apache Log4j2 远程代码执行漏洞攻击尝试 491090 利用禅道SQL注入漏洞探测数据库信息注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-12-25 22:14:23

名称： attack_rule.1.0.0.1.1053645.dat	版本：1.0.0.1.1053645
MD5：5c9b0e2db5e1ae6fdaf19623f9db6c6f	大小：28.32M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053645，规则总条数为748 条。【变更内容】 1、新增规则： 491114 检测到菜刀webshell通信行为 495149 单IP多端口扫描 495148 对目标IP多端口扫描 495147 单IP发起扫描行为 495146 单IP对多IP发起扫描请求 495145 高危端口开放 495144 服务器敏感信息外泄 495143 境外控制业务系统 495142 获取内部轻微量级敏感信息 495141 内部泄露轻微量级敏感数据 495140 获取内部一般量级敏感数据 495139 内部泄露一般量级敏感数据 495138 获取内部较大量级敏感信息 495137 内部泄露较大量级敏感数据 495136 获取内部重大量级敏感信息 495135 内部泄露重大量级敏感数据 495134 获取内部特别重大量级敏感信息 495133 内部泄露特别重大量级敏感数据 495132 获取内部明文证件号信息 495131 内部泄露明文证件号信息 495130 获取内部明文位置信息 495129 内部泄露明文位置信息 2、修改规则： 490161 phpmyadmin弱口令认证 490356 发现使用frp代理工具 491104 Zabbix-CVE-2019-17382登录认证绕过成功 3、其他: 规则包中新增部分清洗规则注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。 6.此版本规则包升级完成后，会新增部分清洗规则以过滤对应规则id的设备日志，如需要这部分的日志进行分析运维，可在导航 > 配置 > 清洗规则，选择waf_clear_1、ips_clear_1进行手动关闭。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-12-16 17:23:20

名称： attack_rule.1.0.0.1.1053345.dat	版本：1.0.0.1.1053345
MD5：fd2f129a08964cae59402fe410779595	大小：26.30M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053345，规则总条数为726 条。【变更内容】 1、新增规则： 491112 检测到用友任意文件上传攻击 491113 检测到帆软报表反序列化漏洞攻击 2、修改规则： 490299 Apache Shiro 1.2.4反序列化漏洞攻击 490383 基于指纹检测CobaltStrike HTTPS Beacon通信 490387 基于指纹检测Metasploit HTTPS Beacon通信 490389 Web应用控制台部署恶意war包getshell 491113 检测到帆软报表反序列化漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-12-05 18:31:36

名称： attack_rule.1.0.0.1.1053187.dat	版本：1.0.0.1.1053187
MD5：cdf9d540f1ef961fe7df07816a1be80b	大小：26.29M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053187，规则总条数为724 条。【变更内容】 1、新增规则： 491104 针对Zabbix-CVE-2019-17382登录认证权限绕过漏洞攻击 493086 检测到PsLoggedOn信息收集 493088 检测到Windows系统NTLM中继攻击 493089 检测到Windows系统ACL修改 2、修改规则： 490340 Apache Log4j2 远程代码执行漏洞攻击尝试 490380 通用漏洞远程命令攻击后反弹shell成功 490382 通用漏洞攻击载荷提取内部事件 491090 利用禅道SQL注入漏洞探测数据库信息 491059 利用Jenkins远程代码执行漏洞查看系统信息 491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞 493080 检测到Windows系统注销注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-10-31 20:56:01

名称： attack_rule.1.0.0.1.1053090.dat	版本：1.0.0.1.1053090
MD5：92ea176802ac6c880d854d217dbf10ac	大小：26.26M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1053090，规则总条数为720 条。【变更内容】 1、新增规则： 490417 ThinkPHP6 任意文件写入 491103 针对Zabbix SAML SSO登录绕过漏洞 491105 检测到畅捷通T+ RecoverPassword.aspx 管理员密码修改漏洞攻击 491106 针对金蝶OA系统目录遍历漏洞攻击 491107 检测到致远OA wpsAssistServlet任意文件漏洞利用 491108 PhpCms type.php接口代码注入漏洞攻击 491109 检测到F5 BIG-IP iControl REST身份认证绕过漏洞攻击 491110 针对Apache Spark-CVE-2022-33891的命令注入漏洞 490418 用友畅捷通T+ DownloadProxy.aspx 任意文件读取漏洞 490419 Teleport堡垒机 do-login 任意用户登录漏洞 490420 H3C CVM 任意文件上传漏洞攻击 490421 GitLab SSRF漏洞 490423 Seacms 任意代码执行漏洞攻击 493078 检测到远程Dump域控密码 2、修改规则： 490074 安全设备发现Webshell告警，并且请求成功 490088 IIS_漏洞攻击成功 493050 检测到windows中查看域管理器信息行为 490311 通用Web漏洞利用成功后反弹shell 490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击 490324 Apache Shiro反序列化漏洞攻击成功后反弹shell 490417 ThinkPHP6 任意文件写入 491091 利用禅道任意文件读取漏洞探测敏感文件内容信息 493085 检测到Windows系统MS7-010攻击 497006 非法请求网元API 注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-10-14 19:28:28

名称： attack_rule.1.0.0.1.1052816.dat	版本：1.0.0.1.1052816
MD5：bc49a7964f508e1a91e73f61962107a6	大小：26.19M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.2266及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1052816，规则总条数为706 条。【变更内容】 1、新增规则： 490414 Axis远程代码执行漏洞 490415 Apache Solr ConfigSet 未授权上传漏洞 491101 Zabbix远程命令执行漏洞利用成功 491102 检测到Spring Framework远程命令执行漏洞嗅探 493073 检测到Windows系统中SAMR查询敏感用户 493074 检测到Windows系统ZeroLogon 493075 检测到Windows系统中新增组策略 493076 检测到Windows系统中SAMR查询敏感用户组 493077 检测到Windows系统新增用户 493079 检测到Windows系统删除帐户 493080 检测到Windows系统注销的检测 493081 检测到Windows系统修改帐户 493082 检测到Windows系统修改密码 493085 检测到Windows系统MS7-010攻击检测 493083 检测到Windows系统登录成功 493084 检测到Windows系统登录失败 2、修改规则： 490090 针对Tomcat的漏洞攻击行为逻辑 490300 疑似进行Apache Shiro反序列漏洞嗅探并爆破key 490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell 491070 针对MySQL数据库的SQL注入攻击成功 495008 文件或内容中含有手机号码 495009 文件或内容中含有邮箱地址 495010 文件或内容中含有银行卡号 495011 文件或内容中含有居民身份证ID 495012 文件或内容中含有电话号码注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-09-26 09:09:09

名称： attack_rule.1.0.0.1.1052548.dat	版本：1.0.0.1.1052548
MD5：0c5e82b81cb43e4cbc51e75019051e47	大小：26.11M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1052548，规则总条数为690 条。【变更内容】 1、新增规则： 491100 检测到用友畅捷通Tplus任意文件上传漏洞 2、修改规则： 490299 Apache Shiro 1.2.4反序列化漏洞攻击 490322 GitLab远程命令执行漏洞 490409 Apache link任意文件上传漏洞 491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接 495013 异常时段操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-09-14 17:08:22

名称： attack_rule.1.0.0.1.1052413.dat	版本：1.0.0.1.1052413
MD5：a2ffca4f04ec3b9d4d74ed538a59d8b1	大小：26.10M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1052413，规则总条数为689 条。【变更内容】 1、新增规则： 491097 利用Fastjson反序列化漏洞探测系统信息 491098 检测到Spring Cloud Snake Yaml反序列化攻击 491099 用友畅捷通Tplus任意文件上传漏洞上传webshell后连接 493069 Redis未授权利用向目标服务器写入ssh公钥后远程登录 493072 检测到主机上执行恶意远程命令的攻击 2、修改规则： 491078 检测到远程命令执行后使用Dnslog平台验证注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-08-30 20:58:55

名称： attack_rule.1.0.0.1.1051969.dat	版本：1.0.0.1.1051969
MD5：1554a7df97e3189a87a99d29d3e89c35	大小：26.05M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051969，规则总条数为684 条。【变更内容】 1、新增规则： 491096 Yii2反序列化漏洞利用执行系统命令 490409 Apache Flink任意文件上传漏洞 490410 Confluence 任意文件读取漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-08-22 12:03:22

名称： attack_rule.1.0.0.1.1051862.dat	版本：1.0.0.1.1051862
MD5：8df8fd0e3f6bc4e72612ef77651d340b	大小：26.04M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051862，规则总条数为681 条。【变更内容】 1、新增规则： 491095 用友NC ActionHandlerServlet反序列化漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-08-07 14:48:45

名称： attack_rule.1.0.0.1.1051722.dat	版本：1.0.0.1.1051722
MD5：6614947a6e92bd6a51c19078a61ed080	大小：26.03M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051722，规则总条数为680 条。【变更内容】 1、新增规则： 490401 利用禅道任意文件写入包含漏洞写入Webshell 2、修改规则： 490356 发现使用frp代理工具 491077 Spring Framework命令执行写Webshell后连接 491082 Thinkphp远程代码漏洞攻击后写入或下载webshell 注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-08-04 21:21:42

名称： attack_rule.1.0.0.1.1051588.dat	版本：1.0.0.1.1051588
MD5：a3d53c32268ce2486555e5b02552e221	大小：26.03M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051588，规则总条数为679 条。【变更内容】 1、修改规则： 490068-检测到H3C CAS虚拟化平台任意文件上传漏洞 490137-Webshell上传成功并访问 490389-Web应用控制台部署恶意war包getshell 注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-08-02 19:33:53

名称： attack_rule.1.0.0.1.1051553.dat	版本：1.0.0.1.1051553
MD5：75dc83dc4599188af915968e008849ef	大小：26.03M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051553.，规则总条数为679 条。【变更内容】 1、新增规则： 490407-用友时空KSOA任意文件上传漏洞 490408-用友GRP-U8任意文件上传漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-31 22:24:54

名称： attack_rule.1.0.0.1.1051544.dat	版本：1.0.0.1.1051544
MD5：05e2076efa0c94fee40f59488c1d7332	大小：26.01M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051544.，规则总条数为677 条。【变更内容】 1、新增规则： 490406-万户OA任意文件上传漏洞 491094-信呼OA任意文件上传漏洞攻击 2、修改规则： 490322 检测到GitLab远程命令执行漏洞攻击 490402 检测到用友任意文件上传攻击 491007 Web目录遍历攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-30 23:35:21

名称： attack_rule.1.0.0.1.1051387.dat	版本：1.0.0.1.1051387
MD5：2e5d56ee53fa4610895fc088f855d6f0	大小：26.00M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051387.，规则总条数为675 条。【变更内容】 1、新增规则： 490397 检测到拓尔思MAS 命令执行漏洞利用 490404 通用远程命令执行写入并连接Webshell攻击 490405 UBarangay管理系统文件上传漏洞getshell 491093 禅道任意文件上传漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-28 17:46:55

名称： attack_rule.1.0.0.1.1051285.dat	版本：1.0.0.1.1051285
MD5：6cdcaca4d284c6ccccdb63eb858b5a2f	大小：25.98M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051285.，规则总条数为671 条。【变更内容】 1、新增规则： 490402 检测到用友任意文件上传攻击 490403 检测到泛微E-cology任意文件上传攻击 491090 利用禅道SQL注入漏洞探测数据库信息 491091 利用禅道任意文件读取漏洞探测敏感文件内容信息注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-27 18:26:12

名称： attack_rule.1.0.0.1.1051239.dat	版本：1.0.0.1.1051239
MD5：f0c27f1ca98212f79834b16c0e21ba95	大小：25.96M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051239.，规则总条数为667 条。【变更内容】 1、新增规则： 490399 检测到致远OA JDBC接口反序列化漏洞利用 490400 通达OA后台上传绕过漏洞 491092 检测到冰蝎4.0Webshell连接注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-26 18:06:51

名称： attack_rule.1.0.0.1.1051201.dat	版本：1.0.0.1.1051201
MD5：c3c42608ecbd4dae65107529400f48bb	大小：25.94M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎 V3.0R01F03及以上版本或谛听 V3.0R02F00及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1879及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051201，规则总条数为664 条。【变更内容】 1、新增规则： 493070 针对SSH的暴力破解 2、修改规则： 490080 Spring_漏洞攻击成功 490232 反弹shell获取主机控制权 490343 Apache Log4j2 远程代码执行漏洞攻击利用 491007 Web目录遍历攻击 491076 基于ldap协议检测通用Java反序列化代码执行 491081 基于rmi协议检测通用Java反序列化代码执行注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-23 13:11:22

名称： attack_rule.1.0.0.1.1051120.dat	版本：1.0.0.1.1051120
MD5：e48baa4bd787e847161046f443b9cfd1	大小：25.81M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1794及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051120，规则总条数为663 条。【变更内容】 1、新增规则： 493071 针对RDP的暴力破解 2、修改规则： 490312 检测到WebLogic Server XMLDecoder 反序列化漏洞攻击 491081 基于rmi协议检测通用Java反序列化代码执行 491082 Thinkphp远程代码漏洞攻击后写入或下载webshell 注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-22 10:40:22

名称： attack_rule.1.0.0.1.1051086.dat	版本：1.0.0.1.1051086
MD5：5144d6f500a5ad634f82897591c102c0	大小：25.80M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1794及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051086，规则总条数为662 条。【变更内容】 1、新增规则： 490395 Siteserver远程模板下载Getshell漏洞攻击 491089 检测到Spring Boot端点未授权访问 2、修改规则： 491070 针对MySQL数据库的SQL注入攻击成功 495102 数据泄露 495103 行为分析API场景 495125 未报备对外接口 495126 对外接口中未脱敏数据注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-11 09:22:18

名称： attack_rule.1.0.0.1.1051025.dat	版本：1.0.0.1.1051025
MD5：def0d7c5b1628954a1ac26c04993617f	大小：25.74M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1710及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1051025，规则总条数为660 条。【变更内容】 1、新增规则： 490391 通用web反序列化漏洞利用内部事件 490392 Docker Remote API未授权访问漏洞 490393 通用漏洞攻击载荷提取内部事件 490394 PHPMyAdmin弱口令登录后执行SQL查询 491084 基于请求中的命令和响应内容检测远程代码执行漏洞攻击 491085 phpcms任意文件上传漏洞 491086 通用漏洞攻击载荷提取下载信息内部事件 491087 通用漏洞远程命令攻击后下载文件 2、修改规则： 490080 Spring_漏洞攻击成功 490081 Spring_漏洞攻击失败 490129 针对SSH的暴力破解成功 490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台 490311 Web漏洞利用成功后反弹shell 491022 基于iiop协议检测通用weblogic反序列化漏洞利用 491025 致远OA_漏洞攻击成功 491081 基于rmi协议检测通用Java反序列化代码执行注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-07-05 09:13:18

名称： attack_rule.1.0.0.1.1050917.dat	版本：1.0.0.1.1050917
MD5：982b537d596e771ff59e2cc4d9ae1ab0	大小：25.70M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1710及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050917，规则总条数为652 条。【变更内容】 1、新增规则： 490389 Web应用控制台部署恶意war包getshell 491083 mongo-express远程代码执行漏洞攻击成功 2、修改规则： 490312 检测到WebLogic Server XMLDecoder反序列化漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-06-28 18:08:48

名称： attack_rule.1.0.0.1.1050835.dat	版本：1.0.0.1.1050835
MD5：148bbbd7124815690ef5757a70bb8010	大小：25.69M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1593及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050835，规则总条数为650 条。【变更内容】 1、新增规则： 490390 检测到Confluence OGNL表达式注入命令执行漏洞（CVE-2022-26134）攻击 491082 Thinkphp远程代码漏洞攻击后写入或下载webshell 2、修改规则： 490053 检测到向日葵远程控制软件连接服务器 490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马 490204 ThinkPHP_漏洞攻击 490207 ThinkPHP_漏洞攻击成功 491023 ThinkPHP_漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-06-20 10:30:38

名称： attack_rule.1.0.0.1.1050695.dat	版本：1.0.0.1.1050695
MD5：00aaf5d28031afd0d4cbc7c9989c39c5	大小：25.67M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1593及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050695，规则总条数为648 条。【变更内容】 1、新增规则： 492051 检测到钓鱼邮件 2、修改规则： 490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台 490321 MYSQL爆破后写入Webshell 495002 数据库服务执行高危的数据删除操作 495125 未报备对外接口注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-06-09 17:04:21

名称： attack_rule.1.0.0.1.1050588.dat	版本：1.0.0.1.1050588
MD5：c22857a172372b3431fe38fb6d20e976	大小：25.67M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1593及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050588，规则总条数为647 条。【变更内容】 1、新增规则： 490380 通用漏洞远程命令攻击后反弹shell成功 491081 基于rmi协议检测通用Java反序列化代码执行 495127 MySQL_查询INFORMATION库表 495128 Oracle_访问DBA_USERS表的行为 2、修改规则： 490092 针对Drupal的漏洞攻击行为 490093 针对Drupal的漏洞攻击行为 490207 ThinkPHP_漏洞攻击成功 490295 ActiveMQ任意文件上传成功 490376 Spring Cloud Gateway远程代码执行漏洞攻击 491076 基于ldap协议检测通用Java反序列化代码执行 493050 检测到windows中查看域管理器信息行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-05-30 17:28:32

名称： attack_rule.1.0.0.1.1050245.dat	版本：1.0.0.1.1050245
MD5：9b83852c0f62a2567f6923e8891eb680	大小：25.61M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1080及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050245，规则总条数为640 条。【变更内容】 1、新增规则： 491080 Fastjson反序列化漏洞利用加载执行恶意字节码文件成功 495123 未知数据资产访问 495124 敏感数据明文传输 495125 未报备对外接口 495126 对外接口中未脱敏数据 2、修改规则： 490013 挖矿 490078 Struts2_漏洞攻击成功 490144 Struts2漏洞攻击载荷提取内部事件 490177 可信Struts2漏洞攻击 490255 Zabbix jsrpc.php SQL 注入漏洞利用成功 490311 Web漏洞利用成功后反弹shell 491055 利用Jenkins远程代码执行漏洞读取敏感配置文件 491059 利用Jenkins远程代码执行漏洞查看系统信息 492044 WannaRen勒索病毒活动 495101 SQL注入 495103 行为分析API场景 495104 行为分析数据库场景 495105 风险操作 495106 口令攻击 495107 账号滥用 495108 数据库漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-05-18 15:00:50

名称： attack_rule.1.0.0.1.1050010.dat	版本：1.0.0.1.1050010
MD5：9107419d06d93d8369f98477e19fdd55	大小：25.53M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1080及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1050010，规则总条数为635 条。【变更内容】 1、修改规则： 490101 Jenkins_漏洞攻击失败 490333 检测到sockscap64代理工具启动 491062 基于请求中的命令和响应内容检测远程代码执行成功注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-04-18 12:36:57

名称： attack_rule.1.0.0.1.1049929.dat	版本：1.0.0.1.1049929
MD5：1d4f2dc2cbdad4c77de37d16eef9b35c	大小：25.51M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.1080及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049929，规则总条数为635 条。【变更内容】 1、新增规则： 490378 Jenkins任意文件读取漏洞攻击 491076 基于关联分析检测Java反序列化代码执行 491078 检测到远程命令执行后使用Dnslog平台验证 491079 Spring Cloud Function远程命令执行后反弹shell 2、修改规则： 491062 基于请求中的命令和响应内容检测远程代码执行成功 495109 疑似网络聊天数据泄露 490201 针对SMB服务的暴力破解成功注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-03-31 18:05:10

名称： attack_rule.1.0.0.1.1049650.dat	版本：1.0.0.1.1049650
MD5：40a84bf6ae8732f738b0014baab736a9	大小：25.43M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.746及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049650，规则总条数为630 条。【变更内容】 1、新增2条规则： 490376 Spring Cloud Gateway 远程代码执行漏洞攻击 490377 icmptunnel工具隧道通信 2、修改1条规则： 490205 WebLogic_漏洞攻击成功注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-03-14 09:58:59

名称： attack_rule.1.0.0.1.1049470.dat	版本：1.0.0.1.1049470
MD5：5a1d6e386c67ef452ca81841db8f1f99	大小：25.42M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.648及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049470，规则总条数为628 条。【变更内容】 1、新增5条规则： 490371 pingtunnel工具隧道通信 490372 检测到使用ngrok工具建立隧道 490373 Webmin远程代码执行漏洞利用内部事件 490374 Webmin远程代码执行漏洞利用后反弹shell 490375 检测到远程控制软件向日葵命令执行漏洞攻击注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-02-28 14:03:31

名称： attack_rule.1.0.0.1.1049315.dat	版本：1.0.0.1.1049315
MD5：21983f95929d25e13c9fa72fe495c7ed	大小：25.39M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.648及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049315，规则总条数为623 条。【变更内容】 1、新增3条规则： 490369 内网扫描工具Perun使用 490368 Gitlab服务器端请求伪造(SSRF)漏洞攻击后连接dnslog 490370 Jenkins CLI-RMI反序列化远程代码执行漏洞 2、修改1条规则： 490185 安全设备被绕过或横向移动行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-02-14 10:04:53

名称： attack_rule.1.0.0.1.1049259.dat	版本：1.0.0.1.1049259
MD5：3f5208447904c289807bb0f8a7296c83	大小：25.38M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.648及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049259，规则总条数为620 条。【变更内容】 1、新增7条规则： 491075 UEditor编辑器任意文件上传漏洞 490362 Apache HTTP Server 路径穿越漏洞 490363 GoAhead Server 环境变量注入漏洞 490364 Apache Solr SSRF漏洞利用后连接dnslog 490366 xstream漏洞攻击内部事件 490367 XStream反序列化漏洞利用后反弹shell 490365 shiro721反序列化漏洞攻击 2、修改4条规则： 490254 WebSphere漏洞攻击利用后反弹shell 490167 Drupal远程执行漏洞攻击利用后下载木马 490236 JBoss反序列化漏洞攻击后下载木马 495003 客户端从网站资产下载敏感文件注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-01-24 11:08:43

名称： attack_rule.1.0.0.1.1049055.dat	版本：1.0.0.1.1049055
MD5：d989a1f3b351846c37db1c173e7dfdd1	大小：25.21M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.8.393及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1049055，规则总条数为613 条。【变更内容】 1、新增7条规则： 490355 内网隧道工具Neo-reGeorg连接 490356 发现使用frp代理工具 490357 Apache SkyWalking SQL注入漏洞 490358 Apache Unomi 远程代码执行漏洞利用后连接dnslog 490359 Apache Unomi 远程代码执行漏洞内部事件 490360 Apache Unomi 远程代码执行漏洞利用后反弹shell 490361 Jetty信息泄漏漏洞 2、修改4条规则： 490325 Jackson-databind漏洞攻击内部事件 490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件 490343 Apache Log4j2 远程代码执行漏洞攻击利用 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2022-01-10 13:02:18

名称： attack_rule.1.0.0.1.1048839.dat	版本：1.0.0.1.1048839
MD5：2986eff58b7b9ec1febf72601bdddab8	大小：25.18M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.7.48630及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1048839，规则总条数为606 条。【变更内容】 1、新增8条规则： 490347 哥斯拉Godzilla Webshell脚本上传 490348 哥斯拉Godzilla Webshell连接 490349 发现内网渗透工具Termite通信行为 490350 检测到sockscap64代理工具连通性测试行为 490351 发现CobaltStrike渗透攻击工具远程命令通信 490352 Lanproxy 任意文件读取漏洞 490353 Node-RED-Dashboard任意文件读取漏洞 490354 ntopng权限绕过漏洞 2、修改3条规则： 490322 GitLab远程命令执行漏洞 490288 检测到黑客工具Burp Suite通信活动 490272 发现Cobalt Strike渗透攻击工具Beacon通信行为注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-12-31 16:20:06

名称： attack_rule.1.0.0.1.1048748.dat	版本：1.0.0.1.1048748
MD5：23d35ac400f0663ac22c77c75d3ed1ae	大小：25.14M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.7.48630及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1048748，规则总条数为598 条。【变更内容】 1、新增6条规则： 490341 Apache Log4j2远程代码执行漏洞攻击并反弹shell 490342 Apache Log4j2远程代码执行漏洞攻击后使用curl或wget下载文件 490343 Apache Log4j2 远程代码执行漏洞攻击利用 490344 Grafana未授权任意文件读取漏洞 490345 Apache ShenYu Admin身份验证绕过漏洞 490346 phpMyAdmin写入Webshell并访问 2、修改1条规则： 490340 Apache Log4j2 远程代码执行漏洞注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-12-20 10:19:43

名称： attack_rule.1.0.0.1.1048648.dat	版本：1.0.0.1.1048648
MD5：fac63a395ef222d22bfd0716d5c9baa0	大小：25.09M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、依赖的解析规则版本为3.0.7.48265及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1048648，规则总条数为592 条。【变更内容】 1、新增9条规则： 490340 Apache Log4j2 远程代码执行漏洞 490332 泛微云桥任意文件读取漏洞 490333检测到sockscap64代理工具启动 490334 Apache Druid漏洞攻击内部事件 490335 Apache Druid漏洞利用成功后连接dnglog 490336 Apache Druid远程代码执行漏洞利用成功后反弹shell 490337 Apache Druid 任意文件读取漏洞攻击 490338 Metabase 任意文件读取漏洞攻击 490339 利用泛微云桥任意文件读取漏洞访问敏感文件注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-12-10 09:59:52

名称： attack_rule.1.0.0.1.1048459.dat	版本：1.0.0.1.1048459
MD5：347e5d0ae8d80639bd937f207de338cc	大小：25.05M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.48265及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1048459，规则总条数为583 条。【变更内容】 1、新增4条规则： 490330 WordPress 5.0.0 - Image远程代码执行漏洞 490331 Exchange_ssrf命令执行 491073 针对Oracle数据库的SQL注入攻击成功 491074 针对MSSQL的盲注类SQL注入攻击成功 2、修改11条规则： 490122 Redis未授权访问漏洞利用成功后ssh尝试 490137 Webshell、木马等后门程序上传，并访问行为 490162 Apache Jetspeed用户管理REST API未授权访问成功 490205 针对WebLogic的漏洞攻击行为 490226 远程代码执行漏洞攻击 490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行 490242 Docker Remote API未授权漏洞成功后ssh登录 490280 DNSLog平台访问事件 490285 账号口令暴力破解行为 490325 Jackson-databind漏洞攻击内部事件 491072 针对MSSQL数据库的SQL注入攻击成功注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-12-06 11:11:10

名称： attack_rule.1.0.0.1.1048012.dat	版本：1.0.0.1.1048012
MD5：7542848e976c47257c89f20128391860	大小：25.00M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.47582及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1048012，规则总条数为579 条。【变更内容】 1、新增9条规则： 491071 针对PG数据库的SQL注入攻击成功 491072 针对MSSQL数据库的SQL注入攻击成功 490323 MySQL注入点写入WebShell 490324 Apache Shiro反序列化漏洞攻击成功后反弹shell 490325 Jackson-databind漏洞攻击内部事件 490326 Jackson-databind远程代码执行漏洞利用成功后连接dnslog 490327 Jackson-databind远程代码执行漏洞利用成功反弹shell 490328 DNS协议隧道工具dnscat连接通信成功 490329 Tomcat重定向漏洞攻击 2、修改5条规则： 490305 SQL注入疑似成功后进行网页登陆行为 490106 任意文件上传攻击成功 490129 针对SSH的暴力破解成功 490201 针对SMB服务的暴力破解 490308 Tomcat后台部署war木马getshell 注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-11-22 09:58:45

名称： attack_rule.1.0.0.1.1047484.dat	版本：1.0.0.1.1047484
MD5：cef15d5bcbbe4412f1c0e777647bdbe7	大小：24.95M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.47170及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1047484，规则总条数为570 条。【变更内容】 1、新增7条规则： 490318 通达OA前台任意用户登录漏洞利用成功 490319 反序列化漏洞攻击 490320 针对Redis未授权访问远程获得服务器权限漏洞的攻击行为 490321 MYSQL爆破成功后写入Webshell 490322 GitLab远程命令执行漏洞 491070 针对MySQL数据库的SQL注入攻击成功 492050 检测到Pinkbot僵尸网络攻击 2、修改2条规则： 490207 ThinkPHP_漏洞攻击成功 490283 针对RDP的暴力破解注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-11-08 16:31:05

名称： attack_rule.1.0.0.1.1047025.dat	版本：1.0.0.1.1047025
MD5：2fcd34e3f1d6a4b2326782290a1f9fad	大小：24.90M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.46875及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1047025，规则总条数为563 条。【变更内容】 1、新增5条规则： 490314 phpmyadmin弱口令认证成功 490315 SMTP弱口令认证成功 490316 tomcat弱口令认证成功 490317 ActiveMQ弱口令认证成功 491069 检测到疑似冰蝎3连接 2、修改8条规则： 490102 HTTPBasic_弱口令认证成功 490104 WebLogic_弱口令认证成功 490233 HTTPBasic弱口令登录成功后进行攻击活动 490241 泛微e-cology或用友NC OA系统BeanShell组件未授权访问后远程代码执行 490311 Web漏洞利用成功后反弹shell 493037 ML算法检测当前运行进程中存在恶意伪装进程 495001 数据库服务被执行Dump操作 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-10-29 09:29:17

名称： attack_rule.1.0.0.1.1046686.dat	版本：1.0.0.1.1046686
MD5：2f9a1a6b3f7e8c4b915f6b6bdb0bb116	大小：24.87M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.46158及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1046686，规则总条数为558条。【变更内容】 1、新增6条规则： 490308 tomcat后台部署war木马getshell 490309 phpMyAdmin跨站请求伪造漏洞 490310 WebLogic漏洞利用上传webshell并访问成功 490311 Web漏洞利用成功后反弹shell 490312 Weblogic UniversalExtractor反序列化漏洞利用执行命令成功 490313 Jboss反序列化漏洞利用后连接dnslog 2、修改5条规则： 490205 WebLogic_漏洞攻击成功 490296 检测到WebLogic漏洞攻击成功后进行dnslog连接 491008 Web插件漏洞攻击行为 491040 5min内WAF检测到大量攻击告警 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-10-11 09:09:50

名称： attack_rule.1.0.0.1.1046414.dat	版本：1.0.0.1.1046414
MD5：3bf7b7cdda74c4accb264416b7fa9972	大小：24.84M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.46158及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1046414，规则总条数为552条。【变更内容】 1、新增1条规则： 493068 检测到微软MSHTML漏洞攻击(CVE-2021-40444) 2、修改5条规则： 490090 Tomcat_漏洞攻击成功 491003 WebSQL注入 497002 异常终端频繁开关机 497012 异常终端频繁发起网络接入或断开的用户 497017 信令攻击HTTP2请求URL超长注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-09-30 13:32:11

名称： attack_rule.1.0.0.1.1045785.dat	版本：1.0.0.1.1045785
MD5：b8155ebaa749d370b5c70f2493db8084	大小：24.83M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.45486及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1045785，规则总条数为551条。【变更内容】 1、新增2条规则： 490307 泛微OA BeanShell组件命令执行写入webshell后连接 491068 http请求访问敏感配置文件成功 2、修改2条规则： 490004 攻击者在尝试SQL注入 490301 行为分析通用注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-09-15 10:01:17

名称： attack_rule.1.0.0.1.1045126.dat	版本：1.0.0.1.1045126
MD5：d109427304071482bdd0d1ccd240507e	大小：24.80M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.44674及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1045126，规则总条数为549条。【变更内容】 1、新增1条规则： 490306 可疑webshell脚本上传成功 2、修改2条规则： 490074 安全设备发现Webshell告警，并且请求成功 490151 ThinkPHP远程代码执行漏洞攻击成功后下载木马注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-08-30 11:46:07

名称： attack_rule.1.0.0.1.1044412.dat	版本：1.0.0.1.1044412
MD5：3056b981ed013d7a05526ab2318e5c42	大小：24.80M
描述：【升级说明】 1、本升级包为攻击识别规则升级包，基于BSA V2.0R01F03(38130)和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.44092及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1044412，规则总条数为548条。【变更内容】 1、新增11条规则： 490302 内网资产FRP外连通信后发起攻击 490305 SQL注入疑似成功后进行网页登陆行为 497009 信令风暴大量注册或注销请求 497010 信令风暴大量服务请求 497011 信令风暴大量PDU建立请求 497012 异常终端频繁发起网络接入或断开的用户 497013 异常终端频繁发起连接服务的用户 497014 异常终端频繁发起PDU建立连接的用户 497015 异常终端终端频繁切换网络的用户 497016 异常终端信令交互量过大 497017 信令攻击HTTP2请求URL超长 2、修改11条规则： 490098 phpMyAdmin_漏洞攻击成功 490203 WebLogic_漏洞攻击 490205 WebLogic_漏洞攻击成功 495018 操作被防泄漏设备阻断 497001 UE多次鉴权失败 497002 异常终端频繁开关机 497003 UE疑似大量发送短信 497004 信令风暴 497006 非法请求网元API 497007 通过AUSF网元API获取SUPI信息 497008 信令攻击网元大量DELETE请求注意事项： 1.进入平台,选择导航系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入平台，选择导航组件 > 攻击识别引擎 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果平台为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-08-16 10:34:20

名称： attack_rule.1.0.0.1.1043823.dat	版本：1.0.0.1.1043823
MD5：32829cbff245271961f84252af031b32	大小：24.57M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F03(38130）和攻击识别引擎V3.0R01F03版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F03，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.43295及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1043823，规则总条数为537条。【变更内容】 1、新增1条规则： 495122 终端DLP行为分析通用注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F03，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-08-02 13:28:17

名称： attack_rule.1.0.0.1.1043090.dat	版本：1.0.0.1.1043090
MD5：29aa26fe5947717a434e7fe917e28697	大小：24.65M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F02SP02及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP02及以上，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.42090及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1043090，规则总条数为510条。【变更内容】 1、新增1条规则： 490302 内网资产FRP外连通信后发起攻击 2、修改2条规则： 490233 HTTPBasic弱口令登录成功后进行攻击活动 490205 WebLogic_漏洞攻击成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F02SP02及以上，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-08-02 13:27:34

名称： attack_rule.1.0.0.1.1041940.dat	版本：1.0.0.1.1041940
MD5：1fd7ce8b92e1b0f181d112c19884d1d6	大小：27.29M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01及以上，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效。 3、依赖的解析规则版本为3.0.7.40958及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1041940，规则总条数为509条。【变更内容】 1、新增3条规则： 497006 非法请求网元API 497007 通过AUSF网元API获取SUPI信息 497008 信令攻击网元大量DELETE请求 2、修改7条规则： 490019 针对FTP服务的暴力破解成功 490078 Struts2_漏洞攻击成功 490100 Jenkins_漏洞攻击成功 490122 Redis未授权访问漏洞利用成功后ssh尝试 490184 WebLogic任意文件上传漏洞利用成功后上传Webshell并访问 490201 针对SMB服务的暴力破解成功 491043 LDAP协议暴力破解注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若攻击识别引擎版本为V3.0R01F02SP01及以上，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-07-05 11:59:01

名称： attack_rule.1.0.0.1.1041225.dat	版本：1.0.0.1.1041225
MD5：3c913b8c267a4ca5b314acf2b8256571	大小：24.10M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01及以上，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.40958及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1041225，规则总条数为506条。如果引擎版本为V3.0R01F01，则升级后规则总条数为504条。【变更内容】 1、修改4条规则： 490080 Spring_漏洞攻击成功 490092 Drupal_漏洞攻击成功 490100 针对持续集成工具Jenkins的漏洞攻击 491056 http请求访问敏感配置文件注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-06-21 11:22:08

名称： attack_rule.1.0.0.1.1040669.dat	版本：1.0.0.1.1040669
MD5：3fd4bba6736138dba9aebfea0e612b05	大小：24.07M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01及以上，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.40379及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1040669，规则总条数为506条。如果引擎版本为V3.0R01F01，则升级后规则总条数为504条。【变更内容】 1、修改7条规则： 490053 检测到远控通信活动 490088 IIS_漏洞攻击成功 490127 针对邮件服务器的暴力破解成功 490128 针对数据库服务的暴力破解成功 490130 针对MySql的暴力破解成功 490131 账号口令暴力破解行为 491043 利用LDAP协议登录认证暴力破解成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-06-11 10:22:02

名称： attack_rule.1.0.0.1.1039736.dat	版本：1.0.0.1.1039736
MD5：a23e8769c28f3b9becf34688fb2340b4	大小：23.62M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.38911及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1039736，规则总条数为506条。如果引擎版本为V3.0R01F01，则升级后规则总条数为504条。【变更内容】 1、修改3条规则： 490102 HTTPBasic_弱口令认证成功 490104 WebLogic_弱口令认证成功 490161 phpmyadmin弱口令认证注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-05-28 09:41:59

名称： attack_rule.1.0.0.1.1039462.dat	版本：1.0.0.1.1039462
MD5：0fea50d83c7d4efaab7c7d5e53db5fb6	大小：23.51M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.37682及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1039462，规则总条数为506条。如果引擎版本为V3.0R01F01，则升级后规则总条数为504条。【变更内容】 1、新增1条规则： 493065 检测到ExifTool组件代码执行漏洞攻击 1、修改4条规则： 490181 主机被植入恶意挖矿程序 490255 Zabbix jsrpc.php SQL 注入漏洞利用成功 490272 发现Cobalt Strike渗透攻击工具Beacon HTTP通信 492045 暗云木马通信注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-05-18 07:19:03

名称： attack_rule.1.0.0.1.1038349.dat	版本：1.0.0.1.1038349.dat
MD5：d3ab3eb04bd4c23496c23fed51d9a7bc	大小：23.07M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.37682及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1038349.dat，规则总条数为505条。如果引擎版本为V3.0R01F01，则升级后规则总条数为503条。【变更内容】 1、修改3条规则： 490134 ML算法检测web访问请求中存在Webshell，并请求成功 490220 高危端口访问异常 490285 针对网段轮询类暴力破解注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-05-10 09:47:23

名称： attack_rule.1.0.0.1.1037656.dat	版本：1.0.0.1.1037656
MD5：12d5b54e685d6a7a51e6fea77923d494	大小：21.40M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.37064及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1037656.dat，规则总条数为505条。如果引擎版本为V3.0R01F01，则升级后规则总条数为503条。【变更内容】 1、修改3条规则： 490280 DNSLog平台访问事件 491038 使用弱密码成功登录内网站点 493058 检测到wannamine挖矿进程活动行为注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-04-19 12:11:17

名称： attack_rule.1.0.0.1.1037350.dat	版本：1.0.0.1.1037350
MD5：a1a2da9d96dce80dd6c3b6c4267e2056	大小：22.46M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.37064及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1037350.dat，规则总条数为505条。如果引擎版本为V3.0R01F01，则升级后规则总条数为503条。【变更内容】 1、新增1条规则： 491067 Webshell上传连接活动 2、修改2条规则： 490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件 490210 phpMyAdmin远程代码执行漏洞攻击成功后下载木马注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-04-09 18:29:45

名称： attack_rule.1.0.0.1.1036887.dat	版本：1.0.0.1.1036887
MD5：476c0c1c07dd8a735869f93cd316826a	大小：22.41M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.35676及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1036887.dat，规则总条数为504条。新增Apache Shiro 1.2.4反序列化漏洞攻击、可疑的Apache Shiro 1.2.4反序列化漏洞攻击场景依赖引擎V3.0R01F02SP01，如果引擎版本为V3.0R01F01，则升级后规则总条数为502条。【变更内容】 1、新增4条规则： 490296 检测到WebLogic漏洞攻击成功后进行dnslog连接 490298 检测到Netlogon特权提升漏洞扫描行为 490299 Apache Shiro 1.2.4反序列化漏洞攻击 490300 可疑的Apache Shiro 1.2.4反序列化漏洞攻击注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-04-07 09:57:19

名称： attack_rule.1.0.0.1.1035609.dat	版本：1.0.0.1.1035609
MD5：5a1c3905ff960f27b8ba6cd801ce6316	大小：20.76M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSA V2.0R01F02SP02(28529）和攻击识别引擎 V3.0R01F01及以上版本平台上升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.34525及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1035609.dat，规则总条数为500条。【变更内容】 1、新增5条规则： 490292 检测到利用Fastjson漏洞加载base64编码的Java序列化内容 490293 检测到Fastjson漏洞攻击成功后进行dnslog连接 490294 WebLogic漏洞攻击提取内部事件 490295 WebLogic漏洞攻击攻击成功后反弹shell 490297 检测到Weblogic权限绕过漏洞利用成功后访问管理员后台 2、修改23条规则： 490096 Nodejs_漏洞攻击成功 490098 phpMyAdmin_漏洞攻击成功 490100 Jenkins_漏洞攻击成功 490106 任意文件上传攻击成功 490199 内网隧道工具reGeorg连接成功 490200 针对SMTP服务的暴力破解成功 490201 针对SMB服务的暴力破解成功 490202 SMTP用户枚举成功 490205 WebLogic_漏洞攻击成功 490207 ThinkPHP_漏洞攻击成功 490232 Linux反弹shell成功 490245 Fastjson漏洞攻击提取内部事件 490251 PhpStudy后门远程代码执行漏洞攻击成功 490247 Fastjson漏洞攻击攻击成功后反弹shell 490248 Tunna工具连接成功 490274 联软NAC任意文件上传漏洞攻击内部事件 490275 联软NAC任意文件上传漏洞攻击成功 490276 JBOSS_漏洞攻击成功 490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击 491025 致远OA_漏洞攻击 491043 利用LDAP协议登录认证暴力破解成功 491062 基于请求中的命令和响应内容检测远程代码执行成功 495020 同一地址在短时间内被下载大量敏感数据成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.如果当前攻击识别引擎版本为V3.0R01F01，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击后保存。若攻击识别引擎版本为V3.0R01F02SP01，则进入威胁管理 > 规则场景配置 > 攻击识别 >引擎配置页面，选择启用对应的实例后点击应用配置。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-03-23 16:33:33

名称： attack_rule.1.0.0.1.1034330.dat	版本：1.0.0.1.1034330
MD5：1795bbda8f0a076e1b94062c7ad1a4a3	大小：20.74M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02SP01(28516）和攻击识别引擎V3.0R01F01及以上版本升级。 2、若攻击识别引擎版本为V3.0R01F02SP01，规则包升级后需要在攻击识别引擎规则配置界面点击应用配置，规则才能生效，如果引擎版本为V3.0R01F01，规则包升级后无需点击应用配置。 3、依赖的解析规则版本为3.0.7.28686及以上。 4、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1034330，规则总条数为495条。【变更内容】 1、新增14条规则： 492047 检测到疑似APT32的恶意样本传输 492049 检测到疑似APT32的CC通信行为 493058 检测到wannamine挖矿进程活动行为 493059 检测到Linux主机利用file命令探测文件类型 493060 检测Windows系统利用net命令探测文件共享信息信息 493061 检测到Svchost目录下注册表新增 493062 检测到Windows系统上利用certutil命令探测文件类型 493063 检测Windows系统利用systeminfo命令探测系统信息并写入文件 493064 检测Windows系统利用netstat命令探测网络连接信息并写入文件 496001 UE多次鉴权失败 496002 UE频繁注册与去注册 496003 UE疑似大量发送短信 496004 信令风暴 496005 5G行为分析 2、修改43条规则： 490019 针对FTP服务的暴力破解成功 490022 SMB_永恒之蓝利用成功 490072 SQL注入成功 490073 SQL注入失败 490074 webshell成功 490075 webshell失败 490076 目录遍历攻击成功 490077 目录遍历攻击失败 490078 STRUTS2_漏洞攻击成功 490079 STRUTS2_漏洞攻击失败 490080 SPRING_漏洞攻击成功 490081 SPRING_漏洞攻击失败 490082 APACHE_HTTP_SERVER_漏洞攻击成功 490083 APACHE_HTTP_SERVER_漏洞攻击失败 490084 LIGHT_HTTP_漏洞攻击成功 490086 NGINX_漏洞攻击成功 490088 IIS_漏洞攻击成功 490089 IIS_漏洞攻击失败 490090 TOMCAT_漏洞攻击成功 490091 TOMCAT_漏洞攻击失败 490092 DRUPAL_漏洞攻击成功 490093 DRUPAL_漏洞攻击失败 490094 YARN_漏洞攻击成功 490095 YARN_漏洞攻击失败 490099 PHPMYADMIN_漏洞攻击失败 490107 任意文件上传攻击失败 490206 WEBLOGIC_漏洞攻击失败 490229 SaltStack漏洞攻击失败 490281 检测到冰蝎3.0恶意活动内部事件 490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件 490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道 490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为 491042 VNC远程登录工具暴力破解 493012 检测到端口复用后门 493013 检测到用户权限变动 493045 检测到windows中运行黑客工具Burp Suite 493050 检测到windows中查看域管理器信息行为 493051 检测到windows中rundll32进程注入行为 493053 检测Windows系统利用systeminfo命令探测系统信息 493054 检测Windows系统利用netstat命令探测网络连接信息 493055 检测Windows系统利用net命令探测本地用户组信息 493056 检测Windows系统利用net命令探测域控用户相关信息 493057 检测Windows系统利用net命令探测系统已开启服务列表信息注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-03-12 11:27:35

名称： attack_rule.1.0.0.1.1032994.dat	版本：1.0.0.1.1032994
MD5：597f84b748c17218fda19e3565970d54	大小：20.70M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02SP01(28516）和ISOP V3.0R01F02（29771）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1032994，规则总条数为481条。【变更内容】 1、新增8条规则： 493050 检测到windows中查看域管理器信息行为 493051 检测到windows中rundll32进程注入行为 493052 检测到自启动目录RUN下注册表访问 493053 检测Windows系统利用systeminfo命令探测系统信息 493054 检测Windows系统利用netstat命令探测网络连接信息 493055 检测Windows系统利用net命令探测系统服务列表信息 493056 检测Windows系统利用net命令探测域控用户相关信息 493057 检测Windows系统利用net命令探测系统已开启服务列表信息 2、修改6条规则： 490074 安全设备发现Webshell告警，并且请求成功 490078 Struts2_漏洞攻击成功 490249 帆软FineReport漏洞攻击提取内部事件 492040 疑似Conficker蠕虫活动 493009 检测到主机上利用系统命令创建计划任务行为 493037 ML算法检测当前运行进程中存在恶意伪装进程注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-02-22 10:30:43

名称： attack_rule.1.0.0.1.1032292.dat	版本：1.0.0.1.1032292
MD5：cff95ccc69d8f20c813558c06e6bb8a1	大小：20.68M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02SP01(28516）和ISOP V3.0R01F02（29771）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1032292，规则总条数为473条。【变更内容】 1、新增8条规则： 491066 xp_cmdshell执行命令内部事件 490289 攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道内部事件 490290 检测到攻击者进行xp_cmdshell漏洞攻击随后建立隐蔽隧道 490291 检测到攻击者进行xp_cmdshell漏洞攻击并建立隐蔽隧道通信后进行端口扫描行为 493046 检测到Windows系统中安全日志被清空 493047 检测到Windows系统中日志服务被关闭 493048 检测到Windows系统中新增系统服务 493049 检测到Windows系统中新增计划任务 2、修改7条规则： 490090 Tomcat_漏洞攻击成功 490181 主机被植入恶意挖矿程序 490197 SMTP用户枚举 490199 内网隧道工具reGeorg连接成功 490202 SMTP用户枚举成功 490283 针对RDP的暴力破解 490284 针对SMB的暴力破解注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-01-18 09:59:12

名称： attack_rule.1.0.0.1.1032075.dat	版本：1.0.0.1.1032075
MD5：259f47454a10522a3394b066ef3b2308	大小：20.67M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02SP01(28516）和ISOP V3.0R01F02（29771）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1032075，规则总条数为465条。【变更内容】 1、新增6条规则： 490283 针对RDP的暴力破解 490284 针对SMB的暴力破解 490285 针对网段轮询类暴力破解 490286 SMB远程代码执行漏洞攻击载荷提取内部事件 490287 SMB远程代码执行漏洞攻击反弹shell 490288 检测到黑客工具Burp Suite通信活动 2、修改64条规则： 490004 SQL注入 490016 目录遍历攻击 490021 Spring_漏洞攻击 490053 检测到远控通信活动 490068 任意文件上传攻击 490074 安全设备发现Webshell告警，并且请求成功 490080 Spring_漏洞攻击成功 490090 Tomcat_漏洞攻击成功 490094 Yarn_漏洞攻击成功 490095 Yarn_漏洞攻击失败 490106 任意文件上传攻击成功 490107 任意文件上传攻击失败 490134 ML算法检测web访问请求中存在Webshell，并请求成功 490137 Webshell、木马等后门程序上传，并访问行为 490144 Struts2漏洞攻击载荷提取内部事件 490147 Yarn_漏洞攻击载荷提取内部事件 490150 ThinkPHP远程代码执行漏洞攻击载荷提取内部事件 490153 WordPress远程代码执行漏洞攻击载荷提取内部事件 490156 Bash远程代码执行漏洞攻击载荷提取内部事件 490159 Redis未授权漏洞攻击载荷提取内部事件 490163 WebLogic WLS组件漏洞载荷提取内部事件 490168 Drupal漏洞攻击载荷提取内部事件 490171 Spring漏洞攻击载荷提取内部事件 490174 Elasticsearch漏洞攻击载荷提取内部事件 490176 利用Netcore后门下载恶意程序 490178 XSS跨站脚本攻击窃取网站账号 490180 可信目录遍历攻击 490186 Flink_漏洞攻击载荷提取内部事件 490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件 490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件 490197 SMTP用户枚举 490201 针对SMB服务的暴力破解成功 490202 SMTP用户枚举成功 490205 WebLogic_漏洞攻击成功 490207 ThinkPHP_漏洞攻击成功 490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件 490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件 490216 Joomla远程代码执行漏洞攻击载荷提取内部事件 490234 JBoss反序列化漏洞提取内部事件 490238 Confluence远程代码执行漏洞提取内部事件 490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行 490243 RDP爆破成功后远程桌面登录 490245 Fastjson漏洞攻击提取内部事件 490249 帆软FineReport漏洞攻击提取内部事件 490251 PhpStudy后门远程代码执行漏洞攻击成功 490252 WebSphere漏洞提取内部事件 490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件 490263 Tomcat文件上传漏洞攻击提取内部事件 490265 利用Drupal远程代码执行漏洞下载Webshell并访问 490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件 490269 利用DedeCMS远程代码执行漏洞读取系统信息 490270 DedeCMS远程代码执行漏洞利用内部事件 490274 联软NAC任意文件上传漏洞攻击内部事件 491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件 491050 MSSQL数据库xp_cmdshell执行命令内部事件 491055 利用Jenkins远程代码执行漏洞读取敏感配置文件 491056 http请求访问敏感配置文件 491058 利用xp_cmdshell远程命令执行查看系统信息 491059 利用Jenkins远程代码执行漏洞查看系统信息 493030 检测到远程控制工具进程活动 493038 检测到linux主机清除历史命令 493045 检测到windows中运行黑客工具Burp Suite 495001 数据库服务被执行Dump操作 495002 数据库服务执行高危的数据删除操作 3、删除1条规则： 493031 检测到向日葵连接活动注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2021-01-12 16:38:25

名称： attack_rule.1.0.0.1.1031346.dat	版本：1.0.0.1.1031346
MD5：8d2f1d9a9f864f5fdbfaeab5e4b38b90	大小：20.66M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02SP01(28516）和ISOP V3.0R01F02（29771）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1031346，规则总条数为460条。【变更内容】 1、新增2条规则： 490281 检测到冰蝎3.0恶意活动内部事件 490282 检测到冰蝎3.0恶意活动 2、修改54条规则： 490005 木马 490008 蠕虫 490009 僵尸网络 490010 勒索软件 490012 隐蔽信道通信 490014 广告软件通信 490015 钓鱼攻击 490053 TeamViewer_通信 490063 代理_通信 490066 SATAN.LUCKY病毒通信 490126 DNS隐蔽信道 490181 主机被植入恶意挖矿程序 490198 内网隧道工具reGeorg连接 490268 利用DedeCMS远程代码执行漏洞读取敏感配置文件 490279 DNS子域名爆破 491058 利用xp_cmdshell远程命令执行查看系统信息 492001 老裁缝病毒 492002 Xmrig挖矿通信 492038 挖矿程序Kworkerds下载恶意文件 492039 APT索伦之眼攻击 492040 疑似Conficker蠕虫活动 492044 WannaRen勒索病毒活动 493005 检测Windows系统利用tree命令探测目录和文件信息行为 493006 检测Windows系统利用net命令探测系统服务信息行为 493007 检测windows系统利用net命令探测系统时间信息行为 493008 检测Windows系统利用net命令创建用户组行为 493009 检测到主机上利用系统命令创建计划任务行为 493010 检测到清除主机日志行为 493012 检测到端口复用后门 493014 检测到office宏调用cmd/powershell命令 493016 检测到windows系统中dump lsass进程内存的行为 493017 检测到windows系统中利用tasklist命令探测运行进程信息行为 493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为 493019 检测到windows中探测系统网络共享行为 493020 检测到windows中探测主机防火墙信息行为 493021 检测到windows中删除系统卷影或备份行为 493029 windows下利用mstsc远程登录成功 493030 检测到teamviewer远程连接活动 493031 检测到向日葵连接活动 493032 windows下Psexec远程命令执行 493037 ML算法检测当前运行进程中存在恶意伪装进程 493038 检测到linux主机清除历史命令 493039 检测到linux中利用screen命令保存会话 493040 检测到linux中使用nc的会话连接 493041 检测到Windows中新增注册表活动 493042 检测到Windows中使用echo命令读取注册表行为 493043 检测到windows下TortoiseSVN文件在短时间内被大量下载 493044 检测到LCX端口转发工具活动 493045 检测到黑客工具burp运行 495008 文件或内容中含有手机号码 495009 文件或内容中含有邮箱地址 495011 文件或内容中含有居民身份证ID 495012 文件或内容中含有电话号码 495013 异常时段操作注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持
发布时间：2020-12-21 10:44:39

名称： attack_rule.1.0.0.1.1030956.dat	版本：1.0.0.1.1030956
MD5：a8ac288bf7e53e2073775a7d6f7586ec	大小：20.64M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1030956，规则总条数为458条。【变更内容】 1、新增7条规则： 493042 检测到Windows中使用echo命令读取注册表行为 493044 检测到LCX端口转发工具活动 490278 AppWeb认证绕过漏洞(CVE-2018-8715)攻击 493043 检测到windows下TortoiseSVN文件在短时间内被大量下载 493045 检测到windows中运行黑客工具Burp Suite 490288 DNS子域名爆破 490289 DNSLog平台访问事件 2、修改3条规则： 491049 Jenkins远程代码执行漏洞利用成功后下载恶意文件 493012 检测到端口复用后门 493024 检测到windows WScript 或 CScript 脚本执行注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-12-07 11:41:07

名称： attack_rule.1.0.0.1.1030480.dat	版本：1.0.0.1.1030480
MD5：e3560ef8a212a792cedb053514bbfff5	大小：20.63M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1030480，规则总条数为451条。【变更内容】 1、新增5条规则： 493037 ML算法检测当前运行进程中存在恶意伪装进程 493038 检测到linux主机清除历史命令 493039 检测到利用screen命令保存会话 493040 检测到linux中使用nc的会话连接 493041 检测到Windows中新增注册表活动 2、修改4条规则： 490019 针对FTP服务的暴力破解成功 490136 Tomcat弱口令爆破 490138 Tomcat弱口令爆破成功后上传Webshell并访问 495006 FTP服务账号被爆破后导致数据被下载注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-11-23 03:22:51

名称： attack_rule.1.0.0.1.1030161.dat	版本：1.0.0.1.1030161
MD5：6710ed36d401391565f3f9ba74a6a7c8	大小：15.64M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1030161，规则总条数为446条。【变更内容】 1、修改4条规则： 490205 WebLogic_漏洞攻击成功 490203 WebLogic_漏洞攻击 490264 Tomcat任意文件上传漏洞getshell 493004 检测Windows系统利用net命令创建用户账户行为注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-11-09 09:34:27

名称： attack_rule.1.0.0.1.1029968.dat	版本：1.0.0.1.1029968
MD5：e60859bedd19c1414b5cd4d665945f38	大小：15.63M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1029968，规则总条数为446条。【变更内容】 1、新增2条规则： 490276 JBOSS_漏洞攻击成功 490277 JBOSS_漏洞攻击失败 2、修改4条规则： 490076 目录遍历攻击成功 490129 针对SSH的暴力破解成功 491056 http请求访问敏感配置文件 493012 检测到端口复用后门注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-10-26 11:44:07

名称： attack_rule.1.0.0.1.1029585.dat	版本：1.0.0.1.1029585
MD5：38c7a53cbc4faff2646ae15b7f7f8088	大小：15.63M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1029585，规则总条数为444条。【变更内容】 1、修改2条规则： 490142 远程命令执行漏洞攻击 490207 ThinkPHP_漏洞攻击成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-10-12 10:06:51

名称： attack_rule.1.0.0.1.1029119.dat	版本：1.0.0.1.1029119
MD5：176b13d24e98e10440a703126ff5313b	大小：15.63M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1029119，规则总条数为444条。【变更内容】 1、新增2条规则： 490274 联软NAC任意文件上传漏洞攻击内部事件 490275 联软NAC任意文件上传漏洞攻击成功 2、修改3条规则： 490244 通过操作系统漏洞获取服务器权限 491063 通达OA_尝试攻击成功 491064 通达OA_尝试攻击失败注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-09-28 10:58:01

名称： attack_rule.1.0.0.1.1028704.dat	版本：1.0.0.1.1028704
MD5：d8055049526e4bde63a39d6230ed50eb	大小：15.62M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F02(27144）和ISOPV3.0R01F01SP02（27673）平台上升级。 2、依赖的解析规则版本为3.0.7.28686及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1028704，规则总条数为442条。【变更内容】 1、新增1条规则： 490273 联软NAC任意文件上传漏洞攻击 2、修改3条规则： 490233 HTTPBasic弱口令登录成功后进行攻击活动 491065 通达OA_尝试攻击 491057 利用xp_cmdshell远程命令执行读取敏感配置文件注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-09-17 19:34:06

名称： attack_rule.1.0.0.1.1028243.dat	版本：1.0.0.1.1028243
MD5：36489dde6c1d62aa59b1c7219a6eb344	大小：15.62M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.27883及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1028243，规则总条数为441条。【变更内容】 1、修改6条规则： 490076 目录遍历攻击成功 490074 安全设备发现Webshell告警，并且请求成功 490207 ThinkPHP_漏洞攻击成功 490231 MsSQL爆破成功后执行系统命令 490221 扫描行为 491056 http请求访问敏感配置文件注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-09-14 10:01:33

名称： attack_rule.1.0.0.1.1027917.dat	版本：1.0.0.1.1027917
MD5：b468fb8eb4c427d128079e384382820a	大小：15.61M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.27883及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1027917，规则总条数为441条。【变更内容】 1、修改4条规则： 490013 挖矿 490072 SQL注入成功 490205 WebLogic_漏洞攻击成功 490233 HTTPBasic弱口令登录成功后进行攻击活动注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-09-07 09:59:25

名称： attack_rule.1.0.0.1.1027593.dat	版本：1.0.0.1.1027593
MD5：b21757779bba9283a273211208f8fa13	大小：15.61M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.26477及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1027593，规则总条数为441条。【变更内容】 1、修改2条规则： 490198 内网隧道工具reGeorg连接 491006 数据泄露注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-31 09:59:10

名称： attack_rule.1.0.0.1.1027279.dat	版本：1.0.0.1.1027279
MD5：2660ae3f0c445c55c33bf5b824d8bf64	大小：15.61M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.26477及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1027279，规则总条数为441条。【变更内容】 1、修改2条规则： 495001 数据库服务被执行Dump操作 495002 数据库服务执行高危的数据删除操作注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-24 09:57:27

名称： attack_rule.1.0.0.1.1027148.dat	版本：1.0.0.1.1027148
MD5：d9bf1faabedf4312cfe7551fb23a820a	大小：15.61M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.26477及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1027148，规则总条数为441条。【变更内容】 1、修改3条规则： 491063 通达OA_尝试攻击成功 491064 通达OA_尝试攻击失败 491065 通达OA_尝试攻击注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-19 17:55:00

名称： attack_rule.1.0.0.1.1027067.dat	版本：1.0.0.1.1027067
MD5：62e1e436166abea730e527d6a8cb77db	大小：15.61M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.26477及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1027067，规则总条数为441条。【变更内容】 1、新增3条规则： 491063 通达OA_尝试攻击成功 491064 通达OA_尝试攻击失败 491065 通达OA_尝试攻击注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-18 10:56:13

名称： attack_rule.1.0.0.1.1026870.dat	版本：1.0.0.1.1026870
MD5：8eeb5bd27343bd2e080a0ae1c5e89d52	大小：15.60M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01SP01（26112）平台上升级。 2、依赖的解析规则版本为3.0.7.26477及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1026870，规则总条数为438条。【变更内容】 1、新增2条规则： 490271 SMBv3远程代码执行漏洞尝试攻击 490272 发现Cobalt Strike渗透攻击工具Beacon通信行为 2、修改2条规则： 490039 FTP_漏洞攻击 490068 任意文件上传攻击注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-17 09:54:11

名称： attack_rule.1.0.0.1.1026508.dat	版本：1.0.0.1.1026508
MD5：0f3518f6a93fa7bd052a940a416121a2	大小：15.60M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.25497及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1026508，规则总条数为436条。【变更内容】 1、新增1条规则： 491062 基于请求中的命令和响应内容检测远程代码执行成功 2、修改7条规则： 490129 针对SSH的暴力破解成功 490144 Struts2漏洞攻击载荷提取内部事件 490226 远程代码执行漏洞攻击 490237 通达OA任意文件上传成功后执行远程命令 490247 Fastjson漏洞攻击攻击成功后反弹shell 491003 WebSQL注入 491056 http请求访问敏感配置文件注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-10 10:01:42

名称： attack_rule.1.0.0.1.1026169.dat	版本：1.0.0.1.1026169
MD5：d9a6080da4f71f93298cdae323d5ee3c	大小：15.59M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.25497及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1026169，规则总条数为435条。【变更内容】 1、修改6条规则： 490090 Tomcat_漏洞攻击成功 490145 Struts2_攻击成功后下载木马 490167 Drupal远程代码执行下载木马 490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件 491056 http请求访问敏感配置文件 495016 多次认证失败注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-08-03 10:21:10

名称： attack_rule.1.0.0.1.1025600.dat	版本：1.0.0.1.1025600
MD5：06a7a97182e5424e0159825ea6212e72	大小：15.56M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.25497及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1025600，规则总条数为435条。【变更内容】 1、新增2条规则： 491060 冰蝎Webshell连接成功 491061 检测到蚁剑webshell通信行为 2、修改4条规则： 490243 RDP爆破成功后远程桌面登录 491044 发现Jenkins远程代码执行漏洞利用攻击 491055 利用Jenkins远程代码执行漏洞读取敏感配置文件 491059 利用Jenkins远程代码执行漏洞查看系统信息注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-07-24 20:10:02

名称： attack_rule.1.0.0.1.1025165.dat	版本：1.0.0.1.1025165
MD5：d35ff74578832c846072846c25872361	大小：15.54M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01SP01（23905）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.25121及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1025165，规则总条数为433条。【变更内容】 1、新增2条规则： 493035 Windows下利用ntdsutil.exe进行Active Directory管理操作 493036 检测Windows系统利用w32tm命令探测系统时间信息行为 2、修改7条规则： 490068 任意文件上传攻击 490106 任意文件上传攻击成功 490107 任意文件上传攻击失败 491056 http请求访问敏感配置文件 491057 利用xp_cmdshell远程命令执行读取敏感文件 491042 VNC远程登录工具暴力破解 491043 利用LDAP协议登录认证暴力破解成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-07-24 20:02:51

名称： attack_rule.1.0.0.1.1024660.dat	版本：1.0.0.1.1024660
MD5：3d74f4377fd3201f08d0529efecb5e53	大小：15.53M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.23810及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1024660，规则总条数为431条。【变更内容】 1、新增6条规则： 493029 windows下利用mstsc远程登录成功 493030 windows下利用TeamViewer远程登录成功 493031 windows下向日葵远程被登录成功 493032 windows下Psexec远程命令执行 493033 检测到windows中利用ipconfig探测主机网络配置信息 493034 wmic远程执行命令 2、修改5条规则： 490004 SQL注入 490190 ImageMagick远程命令执行漏洞攻击载荷提取内部事件 490192 ImageMagick远程命令执行漏洞攻击成功后反弹shell 490200 针对SMTP服务的暴力破解成功 490202 SMTP用户枚举成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-07-14 12:25:46

名称： attack_rule.1.0.0.1.1024184.dat	版本：1.0.0.1.1024184
MD5：044a5c5e8bec83ef10c342b8bbdedbf3	大小：15.51M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.23810及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1024184，规则总条数为 425 条。【变更内容】 1、新增5条规则： 493024 检测到windows WScript 或 CScript 脚本执行 493025 利用whoami探测系统用户和组信息 493026 检测到windows中利用route探测路由表信息 493027 windows中敏感路径下文件创建行为 493028 windows下敏感文件创建行为注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-07-07 11:22:05

名称： attack_rule.1.0.0.1.1023865.dat	版本：1.0.0.1.1023865
MD5：a4ae30502791cbf9a2e367aa506fa483	大小：15.49M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.23810及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1023865，规则总条数为420条。【变更内容】 1、新增2条规则： 493022 检测到windows中查看arp缓存行为 493023 检测到windows中查看网络配置行为 2、修改2条规则： 493012 检测到端口复用后门 491003 WEBSQL注入注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-06-30 17:24:51

名称： attack_rule.1.0.0.1.1023298.dat	版本：1.0.0.1.1023298
MD5：f7c2a61322917c554e059ec8cfbfd079	大小：15.48M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.22176及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1023298，规则总条数为418条。【变更内容】 1、新增12条规则： 490265 利用Drupal远程代码执行漏洞下载Webshell并访问 490266 DedeCMS远程代码执行漏洞利用成功后下载恶意文件 490267 利用DedeCMS远程代码执行漏洞利用成功后反弹shell 490268 利用DedeCMS远程代码执行漏洞读取敏感文件 490269 利用DedeCMS远程代码执行漏洞读取系统信息 490270 DedeCMS远程代码执行漏洞利用内部事件 493016 检测到windows系统dump lsass进程内存的行为 493017 检测到windows系统利用tasklist命令探测运行进程信息行为 493018 检测到windows系统利用cacls命令修改目录或文件访问控制权限行为 493019 检测到windows中探测系统网络共享行为 493020 检测到windows中探测主机防火墙信息行为 493021 检测到windows中删除系统卷影或备份行为 2、修改4条规则： 491055 利用Jenkins远程代码执行漏洞读取敏感文件 491057 利用xp_cmdshell远程命令执行读取敏感文件 491058 利用xp_cmdshell远程命令执行查看系统信息 491059 利用Jenkins远程代码执行漏洞查看系统信息注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-06-22 10:18:35

名称： attack_rule.1.0.0.1.1022840.dat	版本：1.0.0.1.1022840
MD5：41a81d19b77ac3800b86e854959b03f3	大小：15.45M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.22176及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1022840，规则总条数为406条。【变更内容】 1、新增19条规则： 490258 Tomcat文件包含漏洞利用 490259 ActiveMQ弱口令登陆成功后任意文件上传getshell 490260 JAVA RMI反序列化漏洞攻击载荷提取内部事件 490261 JAVA RMI反序列化漏洞攻击成功后反弹shell 490262 phpMyAdmin_弱口令认证暴力破解 490263 Tomcat文件上传漏洞攻击提取内部事件 490264 Tomcat任意文件上传漏洞getshell 491053 Jenkins远程代码执行漏洞攻击载荷加载远程代码内部事件 491054 Jenkins远程代码执行漏洞利用成功调用远程代码 491055 利用Jenkins远程代码执行漏洞读取敏感文件 491056 http请求访问敏感文件 491057 利用xp_cmdshell远程命令执行读取敏感文件 491058 利用xp_cmdshell远程命令执行查看系统信息 491059 利用Jenkins远程代码执行漏洞查看系统信息 493009 检测到主机上利用系统命令创建计划任务行为 493010 检测到清除主机日志行为 493011 检测到新增后门账号并添加Administrators或RDP组 493014 检测到office宏调用cmd/powershell命令 493015 检测到利用系统命令下载文件行为（linux/windows）注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-06-15 09:36:48

名称： attack_rule.1.0.0.1.1022329.dat	版本：1.0.0.1.1022329
MD5：482444fae8e13049e4b3b3f70314b7dd	大小：15.37M
描述：【升级说明】 1、本升级包为攻击识别升级包，基于BSAV2.0R01F01（21314）和ISOPV3.0R01F01（22496）平台上升级。 2、依赖的解析规则版本为3.0.7.22176及以上。 3、升级包为全量升级包，升级后攻击识别版本变更为1.0.0.1.1022329，规则总条数为387条。【变更内容】 1、新增49条规则： 490231 mssql爆破成功后执行系统命令 490232 Linux反弹shell成功 490233 web应用弱口令登录成功后进行攻击活动 490234 Jboss反序列化漏洞提取内部事件 490235 Jboss反序列化漏洞攻击成功后反弹shell 490236 Jboss反序列化漏洞攻击成功后下载木马 490237 通达OA任意文件上传成功后执行远程命令 490238 confluence远程代码执行漏洞提取内部事件 490239 confluence远程代码执行漏洞攻击成功后反弹shell 490240 confluence远程代码执行漏洞攻击成功后下载木马 490241 泛微e-cology OA系统BeanShell组件未授权访问后远程代码执行 490242 docker remote api未授权漏洞成功后ssh登录 490243 RDP爆破成功后远程桌面登录 490244 通过操作系统漏洞获取服务器权限 490245 Fastjson漏洞攻击提取内部事件 490246 Fastjson漏洞攻击攻击成功后下载木马 490247 Fastjson漏洞攻击攻击成功后反弹shell 490248 tunna工具连接成功 490249 帆软报表FineReport漏洞攻击提取内部事件 490250 利用FineReport插件管理功能上传webshell并访问 490251 PHPStudy后门远程代码执行漏洞攻击成功 490252 Websphere漏洞提取内部事件 490253 Websphere漏洞攻击成功后下载木马 490254 Websphere漏洞攻击成功后反弹shell 490255 Zabbix jsrpc.php SQL 注入漏洞利用成功 490256 Axis2任意文件读取漏洞利用成功后上传文件] 490257 Mongodb未授权访问漏洞利用 491042 VNC爆破后远程桌面登录 491043 LDAP爆破后远程桌面登录 491044 发现Jenkins远程代码执行漏洞利用攻击 491045 Jenkins远程代码执行漏洞攻击载荷提取内部事件 491046 Jenkins远程代码执行漏洞利用成功后反弹shell 491047 Open_ssl心跳扩展协议包远程信息泄露漏洞利用 491048 xp_cmdshell命令执行危险操作 491049 Jenkins远程代码执行漏洞利用成功下载恶意文件 491050 MSSQL数据库xp_cmdshell命令执行内部事件 491051 MsSQL数据库xp_cmdshell命令执行后下载木马 491052 MsSQL数据库xp_cmdshell命令执行后反弹shell 491053 检测到端口复用后门 491054 检测到用户权限变动 492046 发现APT恶意样本 492048 APT_水坑攻击 492054 暗云木马通信 493003 检测windows系统利用net命令探测用户账户和组信息行为 493004 检测windows系统利用net命令创建用户账户行为 493005 检测windows系统利用tree命令探测目录和文件信息行为 493006 检测windows系统利用net命令探测系统服务信息行为 493007 检测windows系统利用net命令探测系统时间信息行为 493008 检测windows系统利用net命令创建用户组行为 2、修改21条规则 490008 蠕虫 490019 针对FTP服务的暴力破解成功 490021 SPRING_漏洞攻击 490022 SMB_永恒之蓝利用成功 490041 REDIS_漏洞攻击 490080 SPRING_漏洞攻击成功 490081 SPRING_漏洞攻击失败 490122 Redis未授权访问漏洞利用成功后ssh尝试 490124 Webshell未知 490127 针对邮件服务器的暴力破解成功 490128 针对数据库服务的暴力破解成功 490129 针对SSH的暴力破解成功 490131 账号口令爆破成功 490134 Webshell成功 490135 Webshell失败 490136 Tomcat弱口令爆破 490161 Juniper NetScreenOS后门漏洞利用成功 490193 Apache Solr远程代码执行漏洞攻击载荷提取内部事件 490195 Apache Solr远程代码执行漏洞攻击成功后反弹shell 492043 境外APT组织利用深信服SSL VPN下发恶意代码 495007 FTP服务账号被爆破后导致数据外泄注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。若升级过程中遇到问题，请联系绿盟400支持。
发布时间：2020-06-10 18:35:13

名称： attack_rule.1.0.0.0.213186.dat	版本：1.0.0.0.213186
MD5：db7d155c3a7c92ab74b00e9895b4b6c7	大小：15.05M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共338条）。升级后攻击识别规则版本变更为1.0.0.0.213186。变更内容：本次新增3条规则，优化13条规则，具体内容如下： 1.优化了Adobe漏洞攻击相关规则，包括Adobe LiveCycle Data Services XML外部实体注入(XXE)漏洞(CVE-2015-3269)。 2.新增了SaltStack漏洞攻击相关规则，包括SaltStack远程命令执行漏洞(CVE-2020-11651)和SaltStack目录遍历漏洞(CVE-2020-11652)。 3.基于前场反馈优化了部分规则。新增规则： 490228 SaltStack漏洞攻击成功 490229 SaltStack漏洞攻击失败 490230 SaltStack漏洞攻击修改规则： 490144 STRUTS2漏洞攻击载荷提取内部事件 490145 STRUTS2_攻击成功后下载木马 490147 YARN_漏洞攻击载荷提取内部事件 490148 YARN_漏洞攻击成功后下载木马 490150 THINKPHP远程代码执行漏洞攻击载荷提取内部事件 490151 THINKPHP远程代码执行漏洞攻击成功后下载木马 490163 Weblogic WLS组件漏洞载荷提取内部事件 490167 Drupal远程代码执行下载木马 490168 Drupal漏洞攻击载荷提取内部事件 490170 Spring远程代码执行下载木马 490171 Spring漏洞攻击载荷提取内部事件 491038 使用弱密码成功登录内网站点 490047 ADOBE_漏洞攻击注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-05-10 11:31:13

名称： attack_rule.1.0.0.0.211249.dat	版本：1.0.0.0.211249
MD5：2bd811709bdb6b0ebc23c1aebeb7d515	大小：15.03M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共335条）。升级后攻击识别规则版本变更为1.0.0.0.211249。变更内容：本次优化4条规则，禁用2条规则，具体内容如下： 1.基于前场反馈优化了部分规则。 2.禁用了部分异常时段相关规则。修改规则： 492044 WannaRen勒索病毒活动 492043 境外APT组织利用深信服SSL VPN下发恶意代码 491040 超量WAF攻击告警 491041 WAF同源多种类攻击告警禁用规则： 495013 异常时段操作 495017 异常时段尝试登录注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-04-27 10:54:01

名称： attack_rule.1.0.0.0.210052.dat	版本：1.0.0.0.210052
MD5：9ce6e7110eccb02f9235ac58b000d2d1	大小：15.03M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共335条）。升级后攻击识别规则版本变更为1.0.0.0.210052。变更内容：本次新增3条规则，优化4条规则，具体内容如下： 1.新增针对WannaRen的新型勒索病毒活动的检测规则。 2.新增针对境外APT组织利用深信服SSL VPN下发恶意代码的检测规则。 3.基于前场反馈优化和新增了部分规则。新增规则： 490227 未授权访问漏洞攻击 492043 境外APT组织利用深信服SSL VPN下发恶意代码 492044 WannaRen勒索病毒活动修改规则： 490136 Tomcat弱口令爆破 490185 安全设备被绕过或横向移动行为 492042 绿盟TAC设备发现可疑的病毒样本 495017 异常时段尝试登录注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-04-15 16:25:11

名称： attack_rule.1.0.0.0.208483.dat	版本：1.0.0.0.208483
MD5：71c69e4a7861034ea2546bc1b46802d2	大小：15.02M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共332条）。升级后攻击识别规则版本变更为1.0.0.0.208483。变更内容：本次新增1条规则，具体内容如下： 1.新增绿盟TAC设备发现可疑的病毒样本。新增规则： 492042 绿盟TAC设备发现可疑的病毒样本注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-03-30 09:08:31

名称： attack_rule.1.0.0.0.207104.dat	版本：1.0.0.0.207104
MD5：23541544b080894cd0cbf9e7f45e4af0	大小：15.02M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共331条）。升级后攻击识别规则版本变更为1.0.0.0.207104。变更内容：本次新增1条规则，优化3条规则，具体内容如下： 1.新增远程代码执行漏洞攻击，加入了Microsoft SMBv3远程代码执行漏洞(CVE-2020-0796)。 2.基于前场反馈优化了部分规则。新增规则： 490226 远程代码执行漏洞攻击修改规则： 490178 XSS跨站脚本攻击窃取网站账号 490225 VPN用户登录地点异常 495019 在零信任环境疑似暴力破解成功注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-03-13 22:57:57

名称： attack_rule.1.0.0.0.205297.dat	版本：1.0.0.0.205297
MD5：703694d2963fe24e4374f9ea0270b65d	大小：15.02M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共330条）。升级后攻击识别规则版本变更为1.0.0.0.205297。变更内容：本次新增2条规则，优化1条规则，具体内容如下： 1.新增VPN异常登录相关场景。 2.基于前场反馈优化了XSS跨站脚本攻击场景规则。新增规则： 490224 VPN用户多IP登陆 490225 VPN用户登录地点异常修改规则： 490178 XSS跨站脚本攻击窃取网站账号注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-03-03 11:05:46

名称： attack_rule.1.0.0.0.204825.dat	版本：1.0.0.0.204825
MD5：61f47d2cf6cb267111fac7ec6a634626	大小：15.02M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共328条）。升级后攻击识别规则版本变更为1.0.0.0.204825。变更内容：本次新增4条规则，优化4条规则，具体内容如下： 1.优化了Tomcat漏洞攻击相关规则，加入了Apache Tomcat AJP协议文件包含漏洞(CVE-2020-1938)。 2.基于前场反馈优化和新增了部分规则。新增规则： 491041 WAF同源多种类攻击告警 491040 超量WAF攻击告警 490222 针对同一VPN账号的暴力破解失败 490223 同一IP针对VPN的暴力破解失败修改规则： 490027 TOMCAT_漏洞攻击 490090 TOMCAT_漏洞攻击成功 490091 TOMCAT_漏洞攻击失败 490120 行为分析_上传文件到非公司FTP服务器注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-02-21 23:19:09

名称： attack_rule.1.0.0.0.204159.dat	版本：1.0.0.0.204159
MD5：46d24b02336e86057e32a2fef1b23cf6	大小：15.01M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共324条）。升级后攻击识别规则版本变更为1.0.0.0.204159。变更内容：本次优化1条规则，具体内容如下： 1.基于前场反馈优化了Webshell上传成功并访问规则。附变更规则： 490137 Webshell上传成功并访问注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-02-17 10:19:42

名称： attack_rule.1.0.0.0.203289.dat	版本：1.0.0.0.203289
MD5：4c05336b7bdf4bf6565a83f4a0b8276b	大小：15.00M
描述：描述：本升级包为攻击识别规则升级包，支持在 ISOP-V3.0R01F00SP01版本（13833）上升级。升级包为全量升级包（升级后规则共324条）。升级后攻击识别规则版本变更为1.0.0.0.203289。变更内容：本次优化10条规则，具体内容如下： 1.优化了部分MDR规则。 2.优化了weblogic漏洞攻击相关规则，加入了Weblogic WLS 组件 IIOP 协议远程代码执行漏洞(CVE-2020-2551)。 3.基于前场反馈优化了部分规则。附变更规则： 490209 phpMyAdmin远程代码执行漏洞攻击载荷提取内部事件 490212 PHP-CGI远程代码执行漏洞攻击载荷提取内部事件 490216 Joomla远程代码执行漏洞攻击载荷提取内部事件 490136 Tomcat弱口令爆破 490168 Drupal漏洞攻击载荷提取内部事件 490144 STRUTS2漏洞攻击载荷提取内部事件 490203 WEBLOGIC_漏洞攻击 490205 WEBLOGIC_漏洞攻击成功 490206 WEBLOGIC_漏洞攻击失败 490163 Weblogic WLS组件漏洞载荷提取内部事件注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-01-19 16:44:04

名称： attack_rule.1.0.0.0.202125.dat	版本：1.0.0.0.202125
MD5：e3d5dda3a8784be831a3e4380edbba6d	大小：15.00M
描述：描述：本升级包为攻击识别规则升级包，支持在ISOP-V3.0R01F00版本（11389）上升级。升级包为全量升级包（升级后规则共324条）。升级后攻击识别规则版本变更为1.0.0.0.202125。变更内容：本次新增14条规则，优化14条规则，具体内容如下： 1.新增MDR规则。 2.新增基于IPS告警分析的规则。 3.优化了机器学习相关规则。 4.基于前场反馈优化了部分规则。注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2020-01-03 20:58:17

名称： attack_rule.1.0.0.0.201028.dat	版本：1.0.0.0.201028
MD5：9b49da1a5a6badb6b7b1c537efe177b8	大小：14.96M
描述：描述：本升级包为攻击识别规则升级包，支持在ISOP-V3.0R01F00版本（11389）上升级。升级包为全量升级包（升级后规则共310条）。升级后攻击识别规则版本变更为1.0.0.0.201028。变更内容：本次新增21条规则，优化5条规则，具体内容如下： 1.新增MDR规则。 2.新增基于IPS告警的WEBLOGIC和THINKPHP漏洞攻击相关规则。注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2019-12-24 10:33:13

名称： attack_rule.1.0.0.0.200108.dat	版本：1.0.0.0.200108
MD5：62d03a81ad73fae9f841f3cbb1b19b4e	大小：14.90M
描述：描述：本升级包为攻击识别规则升级包，支持在ISOP-V3.0R01F00版本（11389）上升级。升级包为全量升级包（升级后规则共289条）。升级后攻击识别规则版本变更为1.0.0.0.200108。变更内容：本次新增13条规则，优化41条规则，具体内容如下： 1.新增终端型安全规则。 2.新增基于审计日志的数据安全型规则。 3.优化事件模板的威胁等级、优先级和可信度等信息。注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2019-12-10 09:15:36

名称： attack_rule.1.0.0.0.199321.dat	版本：1.0.0.0.199321
MD5：313b5f520ce4b81f080a16d82615bfe5	大小：14.86M
描述：描述：本升级包为攻击识别规则升级包，支持在ISOP-V3.0R01F00版本（11389）上升级。升级包为全量升级包（升级后规则共276条）。升级后攻击识别规则版本变更为1.0.0.0.199321。变更内容：本次新增6条规则，优化43条规则，具体内容如下： 1.增加多步攻击场景规则。 2.新增基于时序、原始流量进行综合判断的规则。 3.通过新增限制条件来修改部分规则。 4.细化部分规则的攻击结果判断。注意事项： 1.进入ISOP,选择菜单系统 > 系统控制 > 系统升级 > 统一规则库升级，进入统一规则库升级页面。 2.选择攻击识别规则包，上传升级包。 3.升级成功后，进入任务管理，查看FLINK任务中FLINK_NG_ENGINE_1、FLINK_NG_ENGINE_2、FLINK_NG_ENGINE_3的运行状态为运行，任务状态为启动。 4.若FLINK_ENGINE_1~3不为启动状态，则进入威胁管理 > 规则场景配置 > 攻击识别 > 实例配置页面，编辑未启用的实例，在编辑页面选择启用，点击保存。 5.如果ISOP为单机场景，建议只开启实例1~3，如果为集群场景，可按照步骤4开启实例4。如果对以上操作有任何问题，请联系绿盟400支持。
发布时间：2019-11-26 14:13:36