多锚点实时监测异常登录、可疑帐号、异常进程、病毒木马、敏感文件篡改等入侵行为，第一时间发出告警信息。

异常登录检测

实时检测主机的登录地、登录IP和登录帐号，如果发现非常用登录地、非指定登录IP、非指定登录帐号等行为时，第一时间进行告警。

文件完整性检测

对黑客经常篡改的ps、lsof、开机启动项、定时任务等文件进行完整性检测，识别入侵后的篡改行为。

可疑帐号检测

实时检测系统帐号，识别出新增帐号、UID为0的帐号、影子帐号等可疑帐号进行预警。

异常进程检测

监控系统的进程行为，检测出木马进程、挖矿进程、隐藏进程、反弹Shell等恶意进程并进行实时告警。

病毒木马检测

提供二进制查杀引擎、WebShell查杀引擎、云查杀引擎，可以检测出常见的网页后门和二进制病毒。

微蜜罐检测

微蜜罐技术灵活复用HIDS这一基础设施实现低交互蜜罐，在agent上启动监听端口，能够精准捕获内网横向攻击。无需额外部署专门的蜜罐设备，使蜜罐部署更容易，覆盖面更广。
通过合理的灵活部署一些蜜罐服务或陷阱文件，让主机对各端口进行监听，扩大监控范围，提前发现黑客的攻击意图和动机，主动积极的进行安全防御。