Prawdziwy trzon inteligentnej zapory, który ciągle się uczy i adaptuje. Już po około tygodniu wpięcia w naszą sieć, silnik ma spore pojęcie o tym jak wygląda w niej codzienny ruch, w zależności od pory czasowej. Używa do tego aż 50-wymiarowej tablicy do obliczania i analizowania normalnego ruchu sieciowego z warstw 4-7. Co bardzo ważne i imponujące, wiedzę tę wykorzystuje do sprawdzania zachowania i ruchu z zewnątrz (external), ale też z wewnątrz (internal). Jeśli wektor ataku jest z wnętrza naszej sieci (np. poprzez zainfekowany pendrive) i wykonuje ruch w sieci (np. próbuje połączyć się z serwerem Command&Control), zostanie to również wykryte i zaoferuje granuralne opcje przeciwdziałania, które w najbardziej optymalny sposób uniemożliwią kolejne fazy ataku. Dodatkowo silnik jest ciągle doposażany w wiedzę dot. najnowszych narzędzi hakerskich (dostępnych m. in. w darknecie) i metod zaciemniania ataków. Wszystko to po to, aby w dobie dynamicznie mutujących wirusów i migrujących serwerów C&C, móc wykorzystywać aktualne zasoby do ciągłej nauki w wykrywaniu anomalii.