两种深层检测方法

    一是通过定义报文特征来实现对已知攻击及网络滥用的检测，其优势是技术上实现简单、迅速；但仅能识别已知攻击和应用。

    另一种是通过分析攻击产生原理，定义攻击类型的统一特征，能准确识别基于相同原理的各种攻击、不受攻击变种的影响，但技术门槛高、扩充复杂、应对新攻击速度有限。

    目前来看，将动态检测与静态检测有机结合，消除各自刚性，可以形成一种“柔性检测”的机制。在这种机制下，可以有效发挥两种检测技术各自的优势，从而进一步提高检测的覆盖面。换句话说，无论是黑客攻击、P2P软件还是病毒变种，在柔性检测机制下都可以做到最大程度的覆盖。

    其实，各种深层检测技术的初衷都是为了提升安全网关的精确识别能力。在这种思想的指导下，通过VFPR（快速协议识别）、基于原理的SQL注入检测、基于行为的关联分析算法等，都可以进一步增强一体化安全网关的精确检测能力。

    另外，一些安全厂商专门建立了面向网络攻防研究的积极防御实验室（AD-LAB），这可以在第一时间内获得各种安全事件信息，并对各类安全事件进行深入研究，从而确保用户在最短时间内获得对最新攻击的精确防御能力。