内容安全前言：

华为中 IAE引擎 的运行流程：

是一种并联检测系统，类似于统一威胁网关（UTM），但是在共享部分是串联部署，之后采用的是并联部署，效率更高。而这个引擎的核心则是DPI和DFI技术。

DFI和DPI技术 --- 深度行为检测技术

DPI --- 深度包检测技术

深度包检测技术包括以下三种类型：

主要针对完整的数据包（数据包分片，分段需要重组，也就是加强检测的可靠性），之后对数据包的内容进行识别（主要用于应用层中）

• 基于"特征字"的检测技术：是最常用的识别手段，基于一些协议的字段来识别特征（可以基于一些特殊的字段来进行检测，如：Host，UA）。以下是用wireshark抓取的HTTP数据包，因为是明文传输，所以可以很清楚的看到UA字段及浏览器和平台信息
  
• 基于应用网关的检测技术：有些应用控制和数据传输是分离的，比如一些视频流。一开始需要TCP建立连接，协商参数，这一部分称为信令部分。之后，正式传输数据后，可能就通过UDP协议来传输，流量缺少可以识别的特征。所以，该技术就是基于前面信令部分的信息进行识别和控制。因为后面的UDP传输一般是纯流量传输，无法识别。
• 基于行为模式的检测技术：比如我们需要拦截一些垃圾邮件，但是从特征字中很难区分垃圾邮件和正常邮件，所以可以基于行为来进行判断。垃圾邮件可能存在高频，群发等特性，如果出现就可以将其认定为垃圾邮件，进行拦截，并对IP进行封锁。

DFI --- 深度流检测技术

结论：