Active Protectionは、Webサイトなどから入手したファイルが「疑わしい」と判断されると、シグネチャ（定義ファイル）に存在しないファイルであってもリアルタイムで同社のサーバに問い合わせ、そのファイルがマルウェアかどうかを確認するというもの。これにより従来定義ファイルだけで保護してきたセキュリティリスクを飛躍的に減少できるという。

Active Protectionのポイントは定義ファイルの更新間隔に左右されずにマルウェアを検出できる点だ。例えば、シマンテックの「ノートンインターネットセキュリティ2009」では、新たに実装された「パルスアップデート」によって15分に1回定義ファイルの更新を行うが、それでも「無防備な時間は存在する」と葛原氏は強調する。

Active Protectionでは、シグネチャにない“不審なファイル”を検知してサーバに問い合わせを行い、実際にマルウェアと確認して隔離を行うまでに、わずか0.1秒しかかからない。“疑わしい”と判断する基準は非公開とのことだが、サーバに送信する“疑わしいファイル”のフィンガープリント（特徴）は32バイトで、全体の通信としても4〜500バイトに収まっており、ネットワークへの負荷はほとんどないという。