流检测
传统的威胁检测是基于文件的。这种方法是基于主机的安全解决方案实现的,并且旧一代网关内容安全解决方案也继承这一方法。使用这种方法,首先需要下载整个文件,然后开始扫描,最后再将文件发送出去。从发送者发送出文件到接收者完成文件接收,会经历长时间延迟。对于大文件,用户应用程序可能出现超时。而且,缓存的数据占用大量的内存,系统无法同时对大量的数据流进行扫描。
图 6 基于文件检测图
7 基于流检测
基于流的技术要求系统所有处理环节都是基于流的处理。一个系统如果有一个基于流的TCP代理,基于流的协议分析,但安全描却是基于文件的。所带来的效果只能是基于文件的。在处理流水线中最差的环节决定了系统的性能。Hillstone山石网科在多个层面上运用了流引擎技术,为用户带来了完全的基于流引擎技术的数据平面。
