传统的静态病毒检测方法主要有 MD5、病毒特征码和规则匹配这三大类。这些传统技术本质上都是对文件的字节信息进行匹配，这导致他们通常无法检测新变种、新家族等未知威胁。正是由于传统病毒检测方法存在无法调和的缺陷，深信服下一代防火墙应用机器学习技术检测未知病毒或新变种，提升病毒文件检测的准确率。

深信服下一代防火墙采用自研杀毒引擎SAVE（人工智能恶意文件检测引擎），该引擎利用深度学习技术对数亿维的原始特征进行分析和综合，结合安全专家的领域知识，最终挑选了数千维最有效的高维特征进行恶意文件的鉴定，相比基于病毒特征库的传统检测引擎，SAVE 的主要优势有：

1）具备强大的泛化能力，甚至能够做到在不更新模型的情况下识别新出现的未知病毒；

2）这对威胁最高的勒索病毒检测达到业界领先的检出率，包括影响广泛的 WannaCry、BadRabbit 等病毒；

3）云+端联动，依托于深信服安全云脑基于海量大数据的运营分析，SAVE 能够持续进化，不断更新模型并提升检测能力，从而形成本地传统引擎、人工智能检测引擎和云端查杀引擎的完美结合。

SAVE 的检测过程分为本地查杀和云端查杀两个阶段。本地查杀阶段会调用规则引擎，AI 引擎，变形对抗引擎，数字签名引擎。SAVE 通过规则引擎快速处理已知常见病毒，通过 AI 引擎应对新型未知攻击，变形对抗引擎能有效处理恶意文件的免杀手段，数签引擎可以有效处理可信白文件。云端查杀主要处理本地引擎判为可疑的文件。在用户允许的前提下，SAVE会上传文件的检测特征到云端进行更细粒度的检测。云端部署了检测能力更强同时需要更多计算资源的检测引擎，可以对文件进行更深入的分析，做出准确判断。

SAVE 引擎的检测模型在云端（安全云脑—深信服云端安全中心）会自动持续演进，包括机器学习特征集更新、AI 检测模型演进等。通过升级服务下发最新检测模型到终端或者防火墙产品上，不断提升本地防火墙的病毒检测能力。