Hillstone stworzył własny silnik Advaced Threat Detection, który przeanalizował prawie milion „znanych” próbek złośliwego oprogramowania. Każda próbka została sklasyfikowana i opisana na podstawie wielu zmiennych opisujących jej działania, zasoby i atrybuty. Moduł analizy stosowany jest również w przypadku napotkania „nieznanej” próbki. Jednocześnie porównuje próbkę „nieznaną” do bazy „znanych”, określając poziom korelacji. Wyrażany w procentach, wskazuje w jakim stopniu obiekt jest wariantem znanej próbki. Ta technika zwana jest „klastrowaniem statystycznym”. W dobie szybkich, acz polegających na przekopiowaniu kodu (z lekką modyfikacją) mutacjach złośliwych oprogramowań, ten moduł pozwala na szybkie ich zidentyfikowanie, w odróżnieniu od klasycznych sygnatur niewykrywających zmodyfikowanych wersji znanych wirusów.