为何加入弱规则判断呢?弱特征就是所有扫描器都会具有的流量行为特征，包含：不常见的方法、扫描目录频率、http请求频率、被拦截的sid频率等扫描行为。深信服NGAF的防扫描功能通过制定强特征和弱特征进行有效识别，如果某些特征匹配强特征就直接予以阻止，对SIP+DIP+DPORT进行封锁;若属于弱特征，就会考察其他弱特征与之的关联性程度，如果关联性高就会形成强规则予以阻止。并且弱特征通过流量加权运算，*终保证识别效果并且降低误判。

那么，深信服NGAF的防扫描功能整体工作流程是怎样的呢?我们一起来看看下面这张流程图：