随着网络攻击技术和工具越来越先进，攻击者和网络犯罪组织变得越来越嚣张，而作为防守方的组织机构想要检测是否发生了入侵却变得越来越困难。整个网络环境变得愈发复杂，传统基于特征值的被动检测技术效果变得越来越差，没有哪个组织机构能够100%检测到恶意活动。被动等待获取入侵证据已经不能发挥很大价值，组织机构不能"坐等"明显入侵特征出现再进行响应，而是要主动出击寻找入侵者，进行"威胁狩猎"。

威胁狩猎是指在服务器和终端追踪异常活动，包括数据被窃取、入侵或泄露的迹象。尽管威胁狩猎的概念并不新鲜，但是对于许多组织来说，如何有效执行威胁狩猎依然是个难题。以前，针对入侵的普遍心态是被动等待。不过，这种方法通常意味着，从入侵开始到真正被发现或检测出来要等待1-6个月的时间，这足以让攻击者收集足够信息，对组织机构造成巨大危害。

开展威胁狩猎时，组织机构就要像丛林里的猎豹一样去寻找猎物，通过人主动去寻找入侵痕迹，而不是被动等待技术告警，希望通过主动寻找入侵者存在或不存在的迹象。威胁狩猎就是寻找那些"异常现象"，也就是平时不会发生的非常规现象。在这个过程，需要从人员、技术和流程三个方面着手。