持续威胁检测，实时预警APT攻击

APT攻击的杀伤链共7个阶段，iSlot官方网站高级威胁检测系统选取新一代行为分析检测技术等多种检测伎俩，多阶段检测APT攻击，总有一环射中“靶心”，全方位预警APT攻击。选取动静态检测技术，检测兵器投递阶段，如邮件垂钓攻击或水坑攻击等APT典型的植入伎俩；检测恶意代码的缝隙利用和装置植入阶段，检测文德粪恶意代码和0day及Nday缝隙利用攻击行为。通过木马流量特点库和木马通讯行为技术定位失陷主机中已知和未知的木马，检测号令节造阶段。

沙箱引擎和反逃逸技术，更强的未知恶意文件发现能力

沙箱引擎可仿照一个运行环境和通过监测文件的行为如件操作、缝隙利用方式、API挪用序劣注网络行为等来鉴别恶意文件，但在攻防的博弈中，现阶段高级的恶意软件除了选取免杀技术来逃避杀软检测表，也会判断是否运行在沙箱引擎中，若是是，则进行正常的行为操作，以此来躲避沙箱引擎的检测，这类判断运行环境与真实系统之间差距来躲避沙箱检测的技术被称沙箱逃逸。因而，判断沙箱的检测能力之一，就是反逃逸技术能力。检测系统的沙箱引擎从用户交互差距性、运行环境差距性、业务逻辑差距性三方面实现了200种以上的反逃逸技术，如代替操作系统所有和虚构机有关的指纹、仿照网络、仿照用户对系统的使用痕迹等。选取反逃逸的沙箱引擎，相比通常沙箱，不仅能提升发现未知恶意的能力，还能鉴别出高级恶意软件的逃逸行为。

多种木马通讯鉴别技术，更强的木马检测和追踪能力

木马是一种基于远程节造的黑客工具，通常蕴含客户端和节造中心两部门，客户端运行在受害者的主机上，节造中心运行在攻击者的节造主机上，可能是服务器也可能是PC主机？突Ф撕徒谠熘行耐ü缤ㄑ兜姆绞嚼创淝匀∈荨⒔谠炱聊坏炔僮。检测系统选取了木马通讯特点、威胁谍报、DGA域名、荫蔽信路和异常通讯行为共五种技术伎俩来鉴别木马的通讯流量并定位失陷主机，这五种技术技术中木马通讯特点、威胁谍报用于鉴别已知木马通讯，DGA域名、荫蔽信路和异常通讯行为用于鉴别未知木马通讯。因而，相比当前大无数选取单一的木马通讯特点检测技术的安全设备，检测拥有更强的的木马检测和追踪能力，不仅可检测已知木马通讯，也可检测新型攻击中未知的木马通讯。

安全可视化，提升用户的分析效能

产品检测选取的Kill chain分析、功夫序列分析、沉点资产监控等安全可视化技术，将大量的告警进行可视化分析展示，并辅助以搜索和筛选职能，可援手用户急剧鉴别攻击产生的过程、攻击当前所处的阶段，提升分析效能。