Chinasec（安元）高级持续性威胁检测系统是基于动态行为检测的高级威胁和恶意文件分析系统，其引入了沙箱技术来模拟真实的硬件、操作系统及应用软件环境来检测未知的恶意文件攻击行为。沙箱技术能够对最新的恶意文件攻击提供更全面的动态分析行为检测，是实现整体安全解决方案的重要组成部分，并能够有效应对从网络端、邮件端、办公终端而来的 APT 攻击。

• 基于虚拟沙盒的动态检测技术，可以检测未知的漏洞及威胁攻击。不同于大多数厂商基于静态特征码针对已知威胁的检测技术。
• 开放的检测平台，可以同企业内部安全类系统进行集成，如同 NDLP、终端 DLP 进行集成，实现邮件、终端的威胁发现、威胁共享、威胁处理的闭环及联动防御管理过程。
• 报告信息包括进程间信息调用、网络行为等详实易懂，同时可以监控文件、进程、网络、注册表等2000多个系统和内核 API ，并支持运行时动态截屏。
• 恶意文件类型支持能力，PE 类包括【 EXE 可执行文件、 DLL 库文件、 SYS 驱动文件、 SCR 屏保文件、 CPL 控制面板文件等】； Microsoft Office 及 WPS包括【 Office 类的、 .doc/.docx/.xls/.xlsx/.ppt/.pptx/.rtf 等，wps类的.wps/.dps/.et等】、 PDF 、脚本类【 .js/.vbs/.bat等】、压缩类【 .RAR/.ZIP/.7Z/.TAR/.GZIP 等】、 FLASH 类、JAR包类、网页类【 .html/.hta/.chm 】。
• 可自动生成样本文件动态行为逻辑关系图。
• 虚拟机内支持环境敏感的用户模拟操作，可根据窗体内容智能完成虚拟机内部的用户界面交互，可模拟鼠标移动、鼠标点击、键盘输入、U 盘插拔等用户操作。
• 健全的产品线，实现网络、邮件、终端的威胁发现、威胁共享、威胁处理的闭环及联动防御管理过程。

• 如图所示“鱼叉”及“水坑”的攻击过程，除了恶意程序投入方式不同，其攻击的过程都是通过引诱攻击目标下载并打开相应的恶意文件，释放恶意代码来完成攻击过程。 
• 水坑攻击是通过网络侧进入公司内网，并达到办公电脑终端；而钓鱼邮件是通过邮件侧进入公司内网，并到达办公电脑终端，引发攻击过程。
• 传播的途径主要包括邮件、网络入口、电脑终端，该系统可以分别部署在网络侧、邮件侧及终端侧，对进入公司内部网络的可疑文件进行检测，对终端下载文件、U 盘文件、邮件附件进行检测，并详细记录其传播途径。当检测到相应的威胁时，可以直接通过部署在终端的 APT 组件进行威胁查找、威胁隔离、威胁删除等处理操作，完成对 APT 攻击的检测及防御处理。