下一代威胁感知系统是通过镜像现网流量来检测外部黑客发起的钓鱼邮件攻击或在内部子网间传播的恶意软件，利用软件虚拟运行、沙箱逃逸对抗等技术对恶意软件的真实意图进行深度剖析，能够发现常规手段无法检测的APT攻击等高级恶意威胁，并能与防火墙等设备进行安全联动，阻断威胁的进一步蔓延，为企业或组织机构的网络安全保驾护航。

下一代威胁感知系统可以部署在专用的X86体系架构的硬件服务器上，基于定制化、安全性高的Linux操作系统运行。

• 全面的流量检测，提供独立的流量还原能力，可以识别主流的网络协议 HTTP、SMTP、POP3、IMAP、FTP，从而确保识别所有通过网络传输的文件；

• 全面的威胁检测，既能对下一代威胁感知系统部署后新进入的威胁进行检测，也能对下一代威胁感知系统部署前已进入的威胁进行检测；

• 支持主流应用和系统，支持对主流的应用软件进行检测，包括Word、Excel、PPT、PDF、HTML、JS、EXE、JPG、GIF、PNG等软件及文档；支持对主流操作系统进行检测，包括Windows XP和Windows 7等操作系统；

• 支持环境感知，自动感知应用运行环境，更精准的进行威胁检测；

• 全球威胁情报网络，具备全球威胁情报网络，第一时间获取新型攻击情报；

• 全面细粒度的日志审计，包括网络会话日志、文件检测日志、邮件收发日志、网页访问日志、DNS请日志；

• 分层的防御体系，支持数据分析、基于特征的恶意检测方式及多引擎沙箱虚拟执行，并结合维系情报信息，大幅提高针对以APT为代表的下一代威胁的应对能力；

• 业内一流的性能，基于底层硬件调优和多样本动态并发检测能力，提供业内一流的分析性能，同时支持水平扩容；

• 超高的准确性：提供高达99%的检测准确性；

• 一流的反躲避能力：提供对基于虚拟机检测或基于用户交互的躲避手段等的反躲避能力；

• 基于网络数据包分析实现木马、后门程序检测与报警；

• 威胁溯源分析，基于大数据技术的全文检索引擎，能够对流量日志、应用访问日志、基础事件、安全事件等全维度数据进行检索；支持多维钻取的事件日志分析和查询功能；辅助安全管理人员开展威胁行为深入分析。

• 完善的售后维保体系和特征库升级，确保设备正常运行。

下一代威胁感知系统可以广泛应用于各类大型企事业机构内部网络的安全防御，为企业提供全威胁感知和防御能力。

单机独立部署

独立单机部署模式适用于物理位置相对集中的中等规模企业网络。这种场景下下一代威胁感知系统可以独立单机部署，同时开启管理中心和检测节点的功能，通过交换机流量镜像或分光等方式获取流量进行分析和检测，进而发现隐藏在流量中的高级恶意威胁。单机部署模式如下图所示：

分布式集群部署

分布式集群部署适用于流量较大、物理位置相对分散的中大规模企业网络。在这种场景下，一台下一代威胁感知系统作为管理节点，其余的作为检测节点，以集群方式协同工作，其中不同位置的下一代威胁感知系统可以根据需要配置不同的流量过滤和还原策略，更灵活、更高效的检测针对本企业的APT攻击。分布式集群部署模式如下图所示：

云场景部署

云部署适用于企业私有云或运营商、IDC公有云场景。由于下一代威胁感知系统对硬件资源的要求比较高，建议在云平台外部集群部署，通过核心交换机引流、vSwitch引流、agent引流等多种方式获取镜像流量和日志，通过service-chain来按需灵活配置和调度，满足多租户不同的安全需求。