Pomocí pokročilých infiltračních technik a neustálých změn škodlivého kódu se útočníci snaží obejít detekční mechanismy a skrýt svoji aktivitu v napadené infrastruktuře. V síťovém provozu však přesto zanechávají stopy. Flowmon skládá dohromady všechny známky nekalé aktivity, prezentuje je v jejich celistvosti a umožňuje tak zhodnotit rozsah i dopad rizika již v jeho počátečních fázích.
Neznámá kybernetická hrozba, někdy též označována jako hrozba nultého dne, je takový škodlivý kód, který doposud nebyl popsán a neexistuje pro něj signatura, na základě které jej lze detekovat antivirem, IDS systémem apod. Jedná se typicky o hrozbu z kategorie APT (Advanced Persistent Threat, neboli přetrvávající pokročilá hrozba) nebo cílený útok zneužívající neznámé zranitelnosti systému, který je vytvářen za účelem proniknutí obrany konkrétní oběti.
K odhalení neznámé hrozby je třeba sledovat tzv. indikátory kompromitace (IoC, Indicators of Compromise). Tyto typické znaky útoku je možné identifikovat v každém stádiu infiltrace, od průzkumu infrastruktury oběti, přes šíření škodlivého kódu až k exfiltraci dat.
Flowmon využívá k detekci neznámých hrozeb kombinaci různých přístupů zaměřující se na indikátory kompromitace. Umožňuje škodlivou aktivitu nejen detekovat, ale také rozhodnout o adekvátních protiopatřeních a získat podklady pro pozdější forenzní analýzu.