失陷主机通常是指网络攻击者以某种方式获得控制权的主机，在获得控制权后，攻击者通过建立C&C隐蔽通道并对失陷主机发送恶意指令，甚至以该主机为跳板继续攻击内网的其他主机。另外，失陷主机往往具有无规律性、高隐蔽性的特点，很多入侵动作本身难以识别或无法确认攻击是否成功。

针对办公网或者生产网场景中存在的失陷主机安全隐患，深信服下一代防火墙采用本地特征库+云端NTA检测技术准确定位各种失陷主机的高危行为。深信服防火墙本地具备130万的僵尸网络特征库，里面包含主流恶意URL、C&C IP地址等，通过对比风险主机的非法外联行为，确认并定位失陷主机。由于攻击者经常使用恶意软件隐秘通信检测，包括使用DGA通信、DNS隐蔽通道通信、字典拼接通信、硬编码通信等，增加了非法外联行为的检测难度。深信服下一代防火墙采用NTA异常流量行为分析引擎，基于AI+规则的闭环迭代发现异常流量，定位未知威胁。