持續威脅檢測，及時預警APT攻擊

APT攻擊的殺傷鏈共7個階段，銳捷高級威脅檢測系統采用新一代行為分析檢測技術等多種檢測手段，多階段檢測APT攻擊，總有一環射中“靶心”，全方位預警APT攻擊。采用動靜態檢測技術，檢測武器投遞階段，如郵件釣魚攻擊或水坑攻擊等APT典型的植入手段；檢測惡意代碼的漏洞利用和安裝植入階段，檢測文檔類惡意代碼和0day及Nday漏洞利用攻擊行為。通過木馬流量特征庫和木馬通信行為技術定位失陷主機中已知和未知的木馬，檢測命令控制階段。

沙箱引擎和反逃逸技術，更強的未知惡意文件發現能力

沙箱引擎可模擬一個運行環境和通過監測文件的行為如件操作、漏洞利用方式、API調用序列、網絡行為等來識別惡意文件，但在攻防的博弈中，現階段高級的惡意軟件除了采用免殺技術來逃避殺軟檢測外，也會判斷是否運行在沙箱引擎中，如果是，則進行正常的行為操作，以此來躲避沙箱引擎的檢測，這類判斷運行環境與真實系統之間差異來躲避沙箱檢測的技術被稱沙箱逃逸。因此，判斷沙箱的檢測能力之一，便是反逃逸技術能力。檢測系統的沙箱引擎從用戶交互差異性、運行環境差異性、業務邏輯差異性三方面實現了200種以上的反逃逸技術，如替換操作系統所有和虛擬機有關的指紋、模擬網絡、模擬用戶對系統的使用痕跡等。采用反逃逸的沙箱引擎，相比普通沙箱，不僅能提升發現未知惡意的能力，還能識別出高級惡意軟件的逃逸行為。

多種木馬通信識別技術，更強的木馬檢測和追蹤能力

木馬是一種基于遠程控制的黑客工具，通常包括客戶端和控制中心兩部分，客戶端運行在受害者的主機上，控制中心運行在攻擊者的控制主機上，可能是服務器也可能是PC主機。客戶端和控制中心通過網絡通信的方式來傳輸竊取數據、控制屏幕等操作。檢測系統采用了木馬通信特征、威脅情報、DGA域名、隱蔽信道和異常通信行為共五種技術手段來識別木馬的通信流量并定位失陷主機，這五種技術技術中木馬通信特征、威脅情報用于識別已知木馬通信，DGA域名、隱蔽信道和異常通信行為用于識別未知木馬通信。因此，相比當前大多數采用單一的木馬通信特征檢測技術的安全設備，檢測具有更強的的木馬檢測和追蹤能力，不僅可檢測已知木馬通信，也可檢測新型攻擊中未知的木馬通信。

安全可視化，提升用戶的分析效率

產品檢測采用的Kill chain分析、時間序列分析、重點資產監控等安全可視化技術，將大量的告警進行可視化分析展示，并輔助以搜索和篩選功能，可幫助用戶快速識別攻擊發生的過程、攻擊當前所處的階段，提升分析效率。

企業網/辦公網出口

旁路部署在各單位網絡出口，通過鏡像口抓取進出口網絡流量，檢測對各單位內網發起的惡意代碼入侵攻擊；發現正潛伏在單位內各服務器和終端主機中的各種特種木馬行為，定位出失陷的主機，找到了業務系統異常的根源。 

郵箱/文件/視頻服務器前

旁路部署在各單位郵件及文件服務器前：

1)    對利用郵件服務器進行文件捆綁攻擊、掛馬攻擊、溢出攻擊等進行檢測

2)    對重要文件的存儲和傳輸環節進行監控，防止攻擊者利用文件替換方式進行攻擊。

數據中心區

旁路部署在數據中心/云中心/生產網服務側，可以檢測被黑客遠程控制的僵木蠕主機及其行為，發現針對應用、系統的各類入侵，檢測業務中被植入惡意代碼的文件。

城域骨干網出口

旁路部署在城域網等骨干網出口，針對骨干網出口DPI檢測分析后的流量，進行網站攻擊檢測、僵木蠕檢測、流行漏洞攻擊檢測，以及對應用層還原的文件進行沙箱的虛擬化檢測。幫助運營商對城域網的僵木蠕進行檢測和治理；幫助相關部門發現轄區內木馬和僵尸網絡的案情線索，結合高級人工分析，進行攻擊溯源分析。