融合引擎的技術(shù)原理如上圖。數(shù)據(jù)在進(jìn)入設(shè)備后,除協(xié)議異常的流量流向異常檢測(cè)模塊外。主要的流量都交給PSE預(yù)檢引擎。PSE預(yù)檢引擎能夠極高速的分離出清白流量和可疑流量,再將可疑流量交由特征優(yōu)化匹配引擎進(jìn)行進(jìn)一步處理。
PSE預(yù)檢技術(shù)時(shí)一種將現(xiàn)有特征庫(kù)進(jìn)行數(shù)據(jù)抽象,形成體積遠(yuǎn)小于原特征的PSE庫(kù),然后利用這個(gè)PSE庫(kù)的預(yù)檢來加速網(wǎng)絡(luò)處理的技術(shù)。PSE 預(yù)檢技術(shù)利用經(jīng)過抽象處理的PSE庫(kù),所需檢測(cè)時(shí)間不到常規(guī)的10%。當(dāng)網(wǎng)絡(luò)中可疑流量只占到20%時(shí)(這在實(shí)際中已經(jīng)很高了),采用PSE預(yù)檢處理可以 將性能提升高達(dá)70%。
在PSE預(yù)檢完成后,對(duì)于可疑流量再進(jìn)一步的交給特征優(yōu)化匹配引擎進(jìn)行處理。這種優(yōu)化匹配的技術(shù)原理是不斷根據(jù)處理過的數(shù)據(jù)包進(jìn)行狀態(tài)置位,當(dāng)這個(gè)狀態(tài)位被置于某個(gè)事先定好的值時(shí),則觸發(fā)相應(yīng)處理。
可以類比于警察在高速公路上對(duì)過往車輛進(jìn)行檢查,每查完一輛就放行一輛。而匪徒將槍支拆成零件分散在若干輛車中帶入。當(dāng)警察看到某一個(gè)零件 時(shí),由于無法確定,并不立刻扣留車輛,以免造成交通堵塞,而只是在心里做了個(gè)記錄。直到檢查到后面某輛車的零件時(shí),跟心里的記錄比對(duì),發(fā)現(xiàn)這些零件能夠組 合成槍支,才對(duì)這輛車予以扣留。盡管前面已經(jīng)放過了部分零件,但是由于零件不齊,最終無法組合槍支造成破壞。
聯(lián)想網(wǎng)御采用了融合引擎+PSE預(yù)檢技術(shù)和優(yōu)化匹配技術(shù)后的新一代UTM產(chǎn)品,已經(jīng)可以做到防火墻+入侵防護(hù)+防病毒功能全開,其性能對(duì)比單項(xiàng)性能時(shí),下降10%~20%的程度,可以在用戶的網(wǎng)絡(luò)實(shí)用過程中,真正的打開全部功能,為用戶提供真正的綜合防護(hù)。