结合奇安信强大的威胁情报数据，有效提升威胁邮件的检出能力。威胁情报模块的设计目标是通过提供持续稳健输出威胁情报的云端系统，将来自云端自动化分析系统或安全研究人员的威胁情报，实时推送给用户，帮助用户发现隐藏在其网络中的安全威胁，使用户有能力对安全威胁采取相应的处理手段，并对内部的攻击事件进行溯源，从根本上提高安全防护水平。

采用在大量数据训练基础上自研的基于机器学习的钓鱼邮件检测模型。该模型主要针对链接式和仿冒式钓鱼邮件进行检测，发送者通过仿冒发件人或者在邮件中嵌入链接，试图骗取或盗取企业内部人员的电子邮箱、服务器、电子支付、电子商务等系统或平台的账号、密码、证书等敏感信息。
模型通过对邮件网关或者流量探针还原出的邮件原文进行分析，提炼出基于邮件头部信息、主题、正文、链接、脚本等多维度特征，然后输入到机器学习检测模块的“异常邮件检测模块”和“钓鱼邮件检测模块”中。机器学习检测模块利用随机森林、GBDT等机器学习集成算法，对钓鱼邮件进行检测，整体误报率控制在1%左右。

附件检测模块通过多种检测引擎互为补充增强检测能力，引擎设置包括人工智能引擎、云查杀引擎、虚拟执行外链。人工智能引擎是基于支持向量机技术的杀毒引擎，具有“自学习、自进化”、引擎断网也能防御大部分病毒等优点。“云查杀引擎”不仅扫描速度比传统杀毒引擎快10倍以上，而且不再需要频繁升级木马库。只要用户上网，就能实时与奇安信云安全数据中心无缝对接，利用服务器端的最新特征库检测文件。

异常场景包括发件异常、收件异常、暴力破解、单个IP登录多个邮箱、异地登录等，并可根据需求自定义异常场景的检测条件，且支持从SPF、DKIM、DMARC、Mail from 和from一致性4个维度全面分析仿冒邮件场景。

提供基于联系人之间的收发关系的多维分析模块以及基于恶意文件/URL的传输路径的多维分析模块。用户根据通过关键信息进行检索，实现数据之间的多维关系网。所有复杂的关系通过多维分析展现，数据一目了然。

采用AC自动机-多模式匹配算法和Elasticseatch全文检索引擎，快速检索匹配邮件主题或者正文中的关键字，结合统计学相关理论，快速精准地进行内容过滤和关键字分析。使用ElasticSearch检索平台做为平台基础，并进行定制化修改，还配套了大量的检索和分析软件，对数据做到高效分析。