• 基于静态签名技术检测发现已知网络威胁。
• 基于大数据分析网络攻击行为，并归类到不同的攻击行为族，通过匹配行为相似度，检测发现未知威胁。
• 基于机器学习技术学习主机及服务器的网络行为流量，通过数学建模算法建立主机及服务器的行为基线，以此检测发现主机及服务器的异常网络行为。
• 创新式融合欺骗式检测技术，集成本地蜜罐，模拟内网关键服务，检测发现高度可确信威胁。
• 采用Threat Hunting威胁追踪技术，持续采集网络威胁数据并定义存储，以进行威胁检测结果的威胁行为追踪和威胁行为证据信息的挖掘，从而提供更多的威胁行为证据信息。
• 深入攻击原理分析，基于威胁潜在关联性规则，通过源目的信息关联一定时间窗口内的威胁事件，主动还原多阶段的高级威胁攻击过程。

• 全局内网风险态势的实时动态监控。
• 提供风险态势、网络威胁、外部攻击地理分布的可视化呈现。
• 图形化内网核心资产分布，基于T2 Scope模型呈现服务器业务威胁及流量状态。
• 基于网络攻击链还原攻击细节，将威胁事件映射到不同的攻击阶段。
• 基于应用、源目的IP、源目的安全域等多维度监控统计内网业务应用流量。

可配置生成内网安全评估报告，全面掌控内网风险态势；支持一键式安全处置，联动边界NGFW，形成内网安全闭环，简单、快速、高效部署安全策略。使内网安全可控制，可预防。

• 详细的知识库信息及处置建议，助力安全运维分析。
• 基于风险资产导出风险评估报告。
• 基于全局内网风险态势导出内网安全评估报告。
• 支持记录事件日志、网络日志、配置日志和威胁日志，并可通过Syslog和Email外发日志。
• 联动Sysmon服务，网络侧威胁行为进行终端侧信息的关联溯源，从而定位到具体的终端进程、可执行程序、文件路径等关键信息。
• 联动山石NGFW，加密处理信息交互，确认威胁，一键完成处置策略下发，快速完成威胁处置。