Ze względu na szybką zmienność kodu niektórych obiektów, analiza hiperłącz przynosi lepsze efekty od badania skrótów kryptograficznych plików. Wynika to stąd, że najnowsze malware wykorzystuje wieloetapowy proces pobierania składników, z których dopiero składa się finalny kod. Pierwszy z pobranych programów jest bardzo często rekompilowany, nie wykonuje żadnych podejrzanych akcji i pozostaje nieuchwytny dla tradycyjnych antywirusów, bazujących na sygnaturach. Dopiero pobierane przez niego składniki, po skomplikowanych zabiegach deszyfrowania kodu i łączenia z fragmentów, działają jako malware. Mogą roznosić spam, służyć jako serwer proxy, łączyć się z komputerami zarządzającymi siecią botnet. W niektórych realizacjach dopiero na następnym etapie następuje pobranie właściwego złośliwego kodu na przejętym komputerze. Ponieważ w zarażonym systemie nie ma żadnych podejrzanych akcji do czasu pobrania i uruchomienia właściwych składników malware, tradycyjny moduł HIPS nie działa. Jedyny obiekt, który może wprost świadczyć o infekcji to właśnie hiperłącza pobieranych plików.

Co jest na tym serwerze?

Ta sama zasada działania motoru może być wykorzystana przy kontroli treści. Wtedy obiektami mogą być fragmenty adresów URL, domena lub poddomena, a nawet konkretna strona WWW na badanym serwerze. W tradycyjnym modelu analizatora treści sprawdza się reputację serwera, serwisu tam hostowanego, a nawet publikowaną treść. Przy tym sporządzane są listy oraz reguły kwalifikacji do danej grupy - na podstawie takich zasobów wiedzy działa tradycyjne oprogramowanie kontroli treści, powszechnie używane w korporacjach. Poważną wadą takiego modelu jest wolna aktualizacja. Motor działający w modelu cloud pracuje znacznie szybciej.

Do operatora usługi docierają informacje na temat obiektów, jeśli skróty są znane, decyzja następuje natychmiast. Czasami niezbędna jest jednak analiza danej treści, wiążąca się z pobraniem zawartości serwera i próbą jego renderowania. Czasami automatyczna analiza wyglądu strony, elementów graficznych i widocznych napisów może być bardzo dobrą sugestią (na przykład w przypadku stron związanych z hazardem lub pornografią). Niekiedy jednak automatyczne rozpoznawanie stron zawodzi i wtedy do pracy musi przystąpić człowiek. Analiza wyglądu strony wymaga dość dużych zasobów, dlatego w modelu cloud działa znacznie sprawniej.