- Erkennen von Aktivitäten zum Ausspähen von Netzwerken, die von Angreifern für TCP- und UDP-Portscans auf mehreren Hosts initiiert werden
- Identifizieren von Mustern, wenn ein befallener interner Host mit einem externen C&C-Server (Command und Control) kommuniziert
- Erkennen von ungewöhnlichem Datenverkehr, wenn von einem Host bei Angriffen falsch formatierte Fragmente gesendet werden
- Ermitteln von Datenausschleusungen, wenn umfangreiche ausgehende Dateiübertragungen oberhalb der Basisauslastung Ihres Netzwerks erfolgen
