加密技术为使用互联网进行在线通信和事务处理的企业提供更大的隐私和安全性，例如移动、云和Web应用程序依靠使用密钥和证书来确保安全性和信任的良好实施的加密机制。然而，企业并不是唯一受益于加密的一方，攻击者也开始利用加密流量来逃避检测并隐藏其恶意活动，据估计有超过70%的恶意软件的通信流量都采用了加密技术。当前恶意流量检测主流方案都是基于通信过程中的明文payload进行关键字匹配、分析的手段来实现，出于性能和硬件资源的限制，该技术无法应用在网络安全产品中，并且解密流量并检测的行为实际上违背了加密流量的初衷。

深信服下一代防火墙创新采用免解密技术，，在不影响流量吞吐速率的情况下对加密后的威胁流量进行检测与防护。产品内置恶意加密流量检测引擎，该检测引擎主要包括AI引擎、规则引擎和异常检测引擎等几个子引擎，其主要工作原理如下：

在AI引擎中，首先采用基于多特征模型的方法将加密流量向量化，多特征模型包括时空特征、握手特征、证书特征和域名特征等，得到高维特征后，输入AI算法进行训练，得到分类模型，帮助对加密流量进行恶意性判定；
规则引擎包括两部分，一是基于TLS指纹的模型（JA3/JA3S/JOY/JARM等），还有一种是基于情报的规则，借助深信服威胁情报沙箱提取出的与恶意软件加密流量相关的证书、域名和IP的情报信息，通过构建黑白名单，对于恶意加密流量进行准确识别和分类；
异常检测引擎针对加密流量的异常特征，通过建立设备加密网络行为基线，挑选出异常的、可疑的行为，如异常的网络设备JA3、异常的访问时间和访问频率、异常的上下行数据包比率、异常的证书签发机构等等，结合安全专家分析，无需使用规则即可检测到正在出现的威胁（包括以前未知的威胁）的最早迹象。