高级持续性威胁检测系统（APT）

检测引擎：虚拟沙箱引擎、启发式文件检测引擎、恶意文件情报库检测引擎、威胁情报检测引擎、恶意代码流量特征检测引擎、DNS隐蔽信道检测、Web攻击检测引擎。

我们在很多部署的现网环境中，做流量的解析的过程中，还原出很多如邮件附件、excel里面的宏文件等，后期都通过安全分析检测出了恶意文件或者恶意程序。 像https协议虽然是加密协议，但是method字段可以看出其请求行为是POST还是GET，是在取东西还是上传东西。

漏报复核及未知威胁复检，数据回放

性能和吞吐、溯源和取证。流量透视

事后联动配置，增强防护

在攻击者的视角来描述攻击中各阶段用到的技术的模型。2013年，MITRE公司为了解决防守方面临的困境，基于现实中发生的真实攻击事件，创建了一个对抗战术和技术知识库 killchain高维度的过程和攻击者目标很有帮助，但这类模型无法有效描述对手在单个行动 抽象层次比较低(或几乎没有抽象)的一些概念，诸如具体的漏洞利用数据集，缺乏有效的上下文 Att&ck将合法和不合法的步骤，战术和技术，有效连接起来，TTPs（战术、技术、程序） 举例：河北一所高校，设备内部扫描行为（探索发现）、加密回连通讯行为（命令和控制）