威胁情报联防阻断系统内置攻击监测双引擎，一旦在某一用户流量中监测到中高危的攻击行为，会实时和威胁情报中心、全网威胁情报联防阻断设备联动，实现“一点监测，全网阻断”的效果。

终端攻击入侵线索排查不依赖于特征匹配，着重于行为动作跟踪，在内存、CPU指令级别监控应用程序运行时的行为，基于内存监控技术，可以有效突破操作系统的各种限制，实现细粒度的监控程序的运行行为，提升威胁检出率，降低误报率，可有效应对二进制漏洞利用攻击。

对全网文件、IP、域名进行全息建档，发现恶意程序后，分析人员可通过关键信息进行全网排查，以确认其在其他终端上的影响范围、影响程度，从而判断是否为系统性安全事件，从而进一步了解攻击者的入侵指标。通过威胁样本行为分析系统自动化检测能力，可实现灰文件自动威胁判定，从而实现全网威胁可视化管理。

针对高级社工钓鱼邮件传统防守手法难以识别问题，采用针对性关键技术进行检测识别，甄别攻击者意图。