对于特征库中并未收录的未知威胁，网康下一代防火墙可通过主动防御的功能，基于网络流量的行为特征判别可疑的攻击行为，并通过直观的可视化界面向用户呈现行为异常及安全建议。

　　例如，网络中某IP地址中午12时的流量通常情况下为1Mbps，但某天中午12时其流量却激增至10Mbps，网康下一代防火墙将利用基线的形式提示管理者该IP的行为特征发生了显著变化，并提供了便捷的数据下钻功能，帮助管理者通过一系列的鼠标点击挖掘到新增流量的具体信息。

　　以基线形式呈现对比统计

　　又如，当网络中某用户长时间保持IRC(僵尸网络惯用的通讯协议)连接，频繁访问恶意网址、动态域名，或执行扫描、泛洪攻击时，网康下一代防火墙则认为该用户的行为与僵尸主机受控或发起攻击时的行为相似，将此类可疑的僵尸主机用户在日志中呈现，并根据其特征的符合程度提供“置信度”，帮助管理者分析并加以干预。

　　判别僵尸主机的行为规则(图左)及异常呈现(图右)

　　网康科技CEO袁沈钢先生曾经形象的将下一代防火墙比作“CT+雷达”，“CT”实现应用层的深度检测，做到快速识别已知的威胁，而“雷达”则是下一代防火墙的创新，可通过多种探测技术掌握网络中的异常行为，从而对未知的威胁做到主动的预警和防御。对于仍在使用Windows XP的企业或政府部门而言，在网络边界部署网康下一代防火墙，有助于建立纵深防御的安全体系，并提升针对Windows XP系统网络攻击的防御能力。