高级威胁检测系统的组成分为三大模块：流量采集探针、沙箱分析系统以及数据分析平台，分别对应不同硬件规格。在小流量场景下，高级威胁检测系统也支持单机部署模式（包含流量采集探针模块、沙箱分析模块、数据平台模块）。

与高级威胁检测系统探针部署的位置相关，若将汇聚层流量镜像到高级威胁检测系统界探针，高级威胁检测系统即能感知东西向流量。

支持，高级威胁检测系统支持离线包升级，可以在隔离网中正常工作。

高级威胁检测系统支持一键化简易部署，用户只需要将流量镜像到高级威胁检测系统探针，高级威胁检测系统即能对网络流量进行分析感知，无需做复杂配置。

高级威胁检测系统定位为检测产品，不能直接进行拦截。高级威胁检测系统可以通过 syslog 发送告警信息，如果第三方设备（如网关、防火墙等网络入侵防护设备（IPS））支持接收 syslog 并执行阻断功能，高级威胁检测系统即可与之进行联动。

高级威胁检测系统解析网络流量并存储全流量日志，将会占用较大的存储资源，按经验值，1G/s 流量每三个月需要消耗40TB 存储空间。

高级威胁检测系统支持单机部署与分布式部署两种模式。