Głównym celem działania antywirusa w tym modelu pracy jest eliminacja nieuchwytnego, złośliwego oprogramowania, które wykorzystuje wieloetapowy proces pobierania składników, z których dopiero składa się finalny kod. Ponieważ sam pobrany program nie wykonuje żadnych podejrzanych akcji, nie modyfikuje systemu, nie próbuje dokonać jakichkolwiek zmian w uprawnieniach itd., większość modułów HIPS nie podnosi alarmu przy próbie jego uruchomienia. Program ten pobiera z różnych serwisów niezależne składniki, z których składa gotowy kod i go wykonuje. Proces składania bywa dość skomplikowany, niektórzy twórcy stosują techniki deszyfrowania fragmentów i łączenia w trudno przewidywalny sposób. Nowy program może już posiadać opcje typowe dla malware, takie jak mechanizmy roznoszenia spamu lub łączenia się z komputerami zarządzającymi siecią botnet, ale wcale nie musi.

Niektórzy twórcy idą krok dalej i zakładają, że dopiero ten program pobierze z Internetu właściwe składniki malware i je zainstaluje w zarażonej stacji roboczej. Ponieważ do czasu pobrania właściwych składników malware, na komputerze nie ma żadnych akcji, które mógłby wychwycić tradycyjny moduł HIPS, jedynym składnikiem, który mógłby wychwycić program antywirusowy, są łącza URL, z których pobierano poszczególne pliki.

Co dostarcza serwer

Twórcy malware zazwyczaj przygotowują proces dystrybucji plików w ten sposób, że rzeczywiście aktywne składniki są dystrybuowane z innych serwerów niż te, które uruchomią później ich instalację. Antywirus działający w modelu cloud analizuje linki, z których pobierane są pliki. Jeśli link jest nieznany, ale aplikacja pobiera także jakiś obiekt z lokalizacji, która jest już znana jako dostawca złośliwego oprogramowania, oznacza to, że należy poddać dokładnej analizie wszystkie linki z nim związane.

W środowisku cloud uruchamia się narzędzia, które pobiorą całą zawartość i dokonają wstępnej automatycznej analizy. Jeśli pliki, które się tam znajdują, są znane serwisowi jako malware, linki zostaną oznaczone jako nośnik złośliwego oprogramowania. Moduł cloud otaguje również w ten sposób linki wiodące do serwisu i jeśli jakikolwiek program będzie chciał z nich skorzystać, również zostanie oznaczony jako malware. Antywirus analizujący linki w modelu cloud znacznie sprawniej radzi sobie z bardzo szybko zmiennym zagrożeniem, gdyż śledzi wektory zarażenia i nie musi koncentrować się na zawartości poszczególnych plików.

Dobra i zła reputacja witryn

Ważną częścią ochrony firmy jest kontrola treści WWW, pobieranej przez standardowe połączenie HTTP. W ten sposób chroni się firmę przed treściami szkodliwymi dla organizacji lub niezwiązanymi z pracą. Model ochrony jest podobny do antywirusa realizowanego z użyciem chmury, przy czym analizowane są łącza odwiedzane przez przeglądarkę, operator otrzymuje jedynie skrót kryptograficzny.

Dzięki temu, że operator usługi otrzymuje szeroki strumień informacji na temat odwiedzin stron, wychwycenie niepożądanych treści jest stosunkowo łatwe. W wielu przypadkach wystarczy automatyczna analiza wyglądu strony (np. duże napisy "WIN!" połączone z pewnymi elementami graficznymi sugerują stronę związaną z grami losowymi), przeważnie analizuje się całą jej zawartość. Niekiedy automatyczne rozpoznawanie stron nie daje rozstrzygającej odpowiedzi, wtedy do pracy przystępują specjaliści.

Chociaż wiele serwisów oferuje taką usługę także dla polskojęzycznej części Internetu, podział funkcjonalny witryn nadal nie jest doskonały. Tempo wzrostu lokalizowanych serwisów oraz złożoność leksykalna naszego języka są trudną barierą, którą muszą pokonać twórcy oprogramowania do kategoryzacji stron WWW. Mimo to, usługa taka oferowana w modelu cloud jest znacznie lepszej jakości od usługi statycznej, która była świadczona w formie oprogramowania na stacji roboczej lub bramce.