高级威胁检测系统整机，最大处理能力为1Gbps流量，RG-APT 1000

持续威胁检测，及时预警APT攻击

APT攻击的杀伤链共7个阶段，锐捷高级威胁检测系统采用新一代行为分析检测技术等多种检测手段，多阶段检测APT攻击，总有一环射中“靶心”，全方位预警APT攻击。采用动静态检测技术，检测武器投递阶段，如邮件钓鱼攻击或水坑攻击等APT典型的植入手段；检测恶意代码的漏洞利用和安装植入阶段，检测文档类恶意代码和0day及Nday漏洞利用攻击行为。通过木马流量特征库和木马通信行为技术定位失陷主机中已知和未知的木马，检测命令控制阶段。

沙箱引擎和反逃逸技术，更强的未知恶意文件发现能力

沙箱引擎可模拟一个运行环境和通过监测文件的行为如件操作、漏洞利用方式、API调用序列、网络行为等来识别恶意文件，但在攻防的博弈中，现阶段高级的恶意软件除了采用免杀技术来逃避杀软检测外，也会判断是否运行在沙箱引擎中，如果是，则进行正常的行为操作，以此来躲避沙箱引擎的检测，这类判断运行环境与真实系统之间差异来躲避沙箱检测的技术被称沙箱逃逸。因此，判断沙箱的检测能力之一，便是反逃逸技术能力。检测系统的沙箱引擎从用户交互差异性、运行环境差异性、业务逻辑差异性三方面实现了200种以上的反逃逸技术，如替换操作系统所有和虚拟机有关的指纹、模拟网络、模拟用户对系统的使用痕迹等。采用反逃逸的沙箱引擎，相比普通沙箱，不仅能提升发现未知恶意的能力，还能识别出高级恶意软件的逃逸行为。

多种木马通信识别技术，更强的木马检测和追踪能力

木马是一种基于远程控制的黑客工具，通常包括客户端和控制中心两部分，客户端运行在受害者的主机上，控制中心运行在攻击者的控制主机上，可能是服务器也可能是PC主机。客户端和控制中心通过网络通信的方式来传输窃取数据、控制屏幕等操作。检测系统采用了木马通信特征、威胁情报、DGA域名、隐蔽信道和异常通信行为共五种技术手段来识别木马的通信流量并定位失陷主机，这五种技术技术中木马通信特征、威胁情报用于识别已知木马通信，DGA域名、隐蔽信道和异常通信行为用于识别未知木马通信。因此，相比当前大多数采用单一的木马通信特征检测技术的安全设备，检测具有更强的的木马检测和追踪能力，不仅可检测已知木马通信，也可检测新型攻击中未知的木马通信。

安全可视化，提升用户的分析效率

产品检测采用的Kill chain分析、时间序列分析、重点资产监控等安全可视化技术，将大量的告警进行可视化分析展示，并辅助以搜索和筛选功能，可帮助用户快速识别攻击发生的过程、攻击当前所处的阶段，提升分析效率。