KSN собирает сведения о поведении ПО на компьютерах клиентов и на основании этой информации более точно детектирует вредоносные программы. Каждый исследуемый файл проходит четыре этапа проверки. На первом для файла генерируется хэш, наличие которого проверяется в белом списке легальных программ — с их производителями у «Лаборатории Касперского» заключен соответствующий договор. Второй этап — репутационный фильтр, который как раз и использует сведения из KSN. На репутацию файла могут повлиять самые разнообразные параметры: адрес, с которого он загружен, вредоносная активность файла на других машинах, имя, дата создания, место сохранения и другие. Если облачная служба подтвердила хорошую репутацию файла, то в дело вступает сигнатурный фильтр, который проверяет программу по базе вредоносных программ. Последним этапом проверки является контроль поведения, который проводится уже при запуске приложений.
Важным компонентом всей защиты является поведенческий анализ программ, он влияет на репутацию файлов. Для подобного анализа записывается вся история поведения программы: источник, откуда она получена, расположение в системе, наиболее критичные системные вызовы при ее работе и масса других событий, связанных с программой. Все эти данные собираются в поведенческом анализаторе и проверяются по шаблонам опасных действий. На основе полученных данных вредоносная активность блокируется. Как только срабатывает данная система, сведения о программе пересылаются в KSN, а изменения, сделанные ею в операционной системе, аннулируются. Версия 2012 характерна тем, что она сохраняет очень подробные сведения о поведении программы — практически все модули антивируса вносят свою лепту в эту работу. В предыдущей версии база наполнялась только двумя модулями.
Для пользователя поведение Kaspersky Internet Security мало изменилось. Новые функции есть в меню Windows Explorer, где по нажатию правой кнопки мыши можно проверить репутацию файла до его запуска. Изменения также затронули модуль родительского контроля. Теперь он может проверять активность детей в ICQ и даже блокировать передачу по этому протоколу конфиденциальных сведений. Из дополнительных компонентов в новой версии появился хранитель экрана, который визуализирует собранные антивирусом данные о защищенности компьютера.
В комплекте поставки есть также модуль для браузера, анализирующий выдачу поисковых систем и показывающий репутацию найденных ресурсов. Пользователь еще до перехода по ссылке может увидеть мнение о ней облака KSN. На репутацию ссылок также влияют самые разнообразные факторы — от репутации всего домена до сведений об обнаруженных на сайтах домена вредоносных программах. При этом также используются сведения, полученные от участников KSN, но не только. «Лаборатория Касперского» построила собственную поисковую машину Интернета, но, в отличие от «Яндекса», ищет она вредоносные программы. Причем роботы данной поисковой системы изучают, наряду с известными веб-страницами, еще и новые — создаваемые. Как только новый домен регистрируется в DNS, он начинает проверяться на наличие на его сайтах вредоносного программного обеспечения или ссылок на него. Тем не менее по-прежнему остается «серая зона» — это сайты, про репутацию которых KSN ничего не знает. Александр Гостев, старший вирусный аналитик «Лаборатории Касперского», считает, что «серая зона» Интернета должна сокращаться, но так ли это будет в действительности, покажет время.