某些网络行为具备实时性检测要求，或与负载内容高度相关，无法基于日志进行分析；此时，就需要实时检测模块基于实时的网络流量进行即时分析，得到分析结果，生成检测日志并采集相关流量。目前实时监测包括DDOS检测（包括TCP-SYN Flood、UDP Flood、DNS Flood、ICMP Flood），异常协议检测（基于RFC标准的协议异常检测，包括IP、TCP、ICMP、SSL/TLS、DNS等协议），隐蔽信道检测（包括DNS隐蔽信道、SSL隐蔽信道）。

实时检测

规则匹配指基于规则对流量进行匹配，并给予匹配结果及预定的采集方案将特定流量保存为Pcap文件进行留存。目前规则匹配支持多种规则类型、多种数据留存模式，支持单包命中多个规则（最多能够同时命中16个规则），命中多规则时数据包留存多份。规则类型包括：IPv4/6规则（支持IP、端口范围、端口类型、IP-Pro正/反选）、协议规则（支持协议类型、协议所在端口范围及类型）、特征字规则、正则表达式规则、动态库规则、域名规则。

规则匹配

规则匹配引擎的匹配结果，能够设置9种流量筛选模式，实现网络流量精确采集。

网络流量筛选

网络探针的持续监测和信息分析，可以广泛检测各种攻击，能够识别零日恶意软件、内部威胁、高级持久性威胁 (APT)、分布式拒绝服务 (DDoS) 统计以及其他威胁。

检测攻击

网络探针能够产生流量日志、还原负载文件、筛选网络流量；

网络探针能够在不解密的情况下，检测出SSL/TLS流量中的恶意威胁；

网络探针能够不依赖规则发现网络中潜伏的恶意威胁；

网络探针能够从多个层面展示网络流量的整体态势；

网络探针能够提供可视化技术、机器学习平台，便于用户进行恶意威胁分析；

网络探针不仅可以监控传入和传出网络的流量，还可以监控网络内部的横向或东-西流量，识别网络滥用和内部威胁；