Un antivirus tradicional analiza los datos en reposo y los datos en tránsito en busca de firmas de virus conocidas. (Donde "virus" incluye troyanos, rootkits, etc.)
Esto no ayuda cuando se defiende contra días cero e intrusiones activas. Por definición no tienen firma conocida. ¿Cómo se llama un antivirus que responde a actividad sospechosa (en lugar de firmas conocidas )?