持续威胁检测，及时预警APT攻击

APT攻击的杀伤链共7个阶段，锐捷高级威胁检测系统采用新一代行为分析检测技术等多种检测手段，多阶段检测APT攻击，总有一环射中“靶心”，全方位预警APT攻击。采用动静态检测技术，检测武器投递阶段，如邮件钓鱼攻击或水坑攻击等APT典型的植入手段；检测恶意代码的漏洞利用和安装植入阶段，检测文档类恶意代码和0day及Nday漏洞利用攻击行为。通过木马流量特征库和木马通信行为技术定位失陷主机中已知和未知的木马，检测命令控制阶段。

沙箱引擎和反逃逸技术，更强的未知恶意文件发现能力

沙箱引擎可模拟一个运行环境和通过监测文件的行为如件操作、漏洞利用方式、API调用序列、网络行为等来识别恶意文件，但在攻防的博弈中，现阶段高级的恶意软件除了采用免杀技术来逃避杀软检测外，也会判断是否运行在沙箱引擎中，如果是，则进行正常的行为操作，以此来躲避沙箱引擎的检测，这类判断运行环境与真实系统之间差异来躲避沙箱检测的技术被称沙箱逃逸。因此，判断沙箱的检测能力之一，便是反逃逸技术能力。检测系统的沙箱引擎从用户交互差异性、运行环境差异性、业务逻辑差异性三方面实现了200种以上的反逃逸技术，如替换操作系统所有和虚拟机有关的指纹、模拟网络、模拟用户对系统的使用痕迹等。采用反逃逸的沙箱引擎，相比普通沙箱，不仅能提升发现未知恶意的能力，还能识别出高级恶意软件的逃逸行为。

多种木马通信识别技术，更强的木马检测和追踪能力

木马是一种基于远程控制的黑客工具，通常包括客户端和控制中心两部分，客户端运行在受害者的主机上，控制中心运行在攻击者的控制主机上，可能是服务器也可能是PC主机。客户端和控制中心通过网络通信的方式来传输窃取数据、控制屏幕等操作。检测系统采用了木马通信特征、威胁情报、DGA域名、隐蔽信道和异常通信行为共五种技术手段来识别木马的通信流量并定位失陷主机，这五种技术技术中木马通信特征、威胁情报用于识别已知木马通信，DGA域名、隐蔽信道和异常通信行为用于识别未知木马通信。因此，相比当前大多数采用单一的木马通信特征检测技术的安全设备，检测具有更强的的木马检测和追踪能力，不仅可检测已知木马通信，也可检测新型攻击中未知的木马通信。

安全可视化，提升用户的分析效率

产品检测采用的Kill chain分析、时间序列分析、重点资产监控等安全可视化技术，将大量的告警进行可视化分析展示，并辅助以搜索和筛选功能，可帮助用户快速识别攻击发生的过程、攻击当前所处的阶段，提升分析效率。

企业网/办公网出口

旁路部署在各单位网络出口，通过镜像口抓取进出口网络流量，检测对各单位内网发起的恶意代码入侵攻击；发现正潜伏在单位内各服务器和终端主机中的各种特种木马行为，定位出失陷的主机，找到了业务系统异常的根源。 

邮箱/文件/视频服务器前

旁路部署在各单位邮件及文件服务器前：

1)    对利用邮件服务器进行文件捆绑攻击、挂马攻击、溢出攻击等进行检测

2)    对重要文件的存储和传输环节进行监控，防止攻击者利用文件替换方式进行攻击。

数据中心区

旁路部署在数据中心/云中心/生产网服务侧，可以检测被黑客远程控制的僵木蠕主机及其行为，发现针对应用、系统的各类入侵，检测业务中被植入恶意代码的文件。

城域骨干网出口

旁路部署在城域网等骨干网出口，针对骨干网出口DPI检测分析后的流量，进行网站攻击检测、僵木蠕检测、流行漏洞攻击检测，以及对应用层还原的文件进行沙箱的虚拟化检测。帮助运营商对城域网的僵木蠕进行检测和治理；帮助相关部门发现辖区内木马和僵尸网络的案情线索，结合高级人工分析，进行攻击溯源分析。