传统DPI防代理系统误报率高,主要包括:
基于多种算法和技术手段,精准识别各类代理行为,包括智能路由器代理、软件代理等多种形式。
误报率低于万分之三,相比传统DPI防代理系统误报率降低数十倍,大幅减少用户投诉。
从代理行为发生到发现代理时间短,快速响应并采取管控措施,防止损失扩大。
基于HTTPS证书特征无法修改的特点,实现不同品牌终端的精准识别,有效应对各种破解路由器。
支持账号白名单、网段白名单等多种白名单机制,满足特殊场景需求,减少误判。
代理日志有据可查,包含型号分析、品牌分析等多维度信息,便于追溯和分析。
传统防代理系统误报主要来源于模拟器、流氓软件、不规范UA编程等,我们的系统通过智能算法自动排除这些误报。
支持所有电脑手机游戏模拟器、加速器误报自动排除,无需人工干预,系统自动处理。
自动识别并排除不规范User-Agent编程导致的误报,如某些手机APP使用过时UA的问题。
自动排除流氓软件模拟不同终端刷广告、刷流量等行为导致的误报,无需人工干预。
应用距离相似度算法(常用于DNA分析、拼字检查等领域),自动处理手机型号等识别问题。
网络刷流量灰色产业催生了大量流氓软件,这些软件在后台模拟多终端刷流量、刷广告赚取收益,是传统防代理系统误报的重要来源。
市场上存在大量专门针对校园网的"破解路由器",这些路由器自动修改IP头中的IPID、TTL、User-Agent、TCP头中的MSS字段、TIMESTAMP字段、Window Size字段等,以逃避传统代理检测。
基于HTTPS证书特征无法修改的特点,实现不同品牌终端的精准识别。修改UA、ID、时间戳、DNS加密等均不能逃过检测。
综合分析型号、品牌、访问的网站等多种特征,提高识别准确性,有效应对各种破解路由器。
对于特殊账号,如菜鸟驿站、超市、部分办公室等,支持配置网段、账号白名单,允许使用代理上网。
大部分白名单场景不需要人工干预,系统会自动处理,大幅减少运维工作量。
旁路服务器作镜像流量分析。例如上行流量3G,只需要千兆网卡作镜像,镜像丢包2/3也不影响防代理效果。
保存代理判断的原始数据,个别误判不需要抓包、重现,直接在页面或者数据库中分析、导出。
处理代理时,调用强制下线接口,并调用无感知解绑MAC接口,使终端无法再无感知自动上线。同一账号所有在线设备都强制下线。
| 对比项 | 传统防代理系统 | SFP 2000-终端安全控制 |
|---|---|---|
| 误报率 | 5%左右(10000终端约500误报) | <0.03%(10000终端约3误报) |
| 对智能路由器效果 | 基本无效 | 有效识别和阻断 |
| 部署复杂度 | 较高,需串联部署 | 低,旁路镜像即可 |
| 维护工作量 | 高,需频繁调整规则 | 低,系统自动处理大部分场景 |
| 用户投诉率 | 高 | 极低 |
