La detección de anomalías es un método dinámico de operación de antivirus , sistemas de monitoreo de red, sistemas de detección de intrusos de host y red .
Un programa que usa este método observa ciertas actividades (actividad del programa/ proceso , tráfico de red , actividad del usuario) en busca de eventos o tendencias inusuales y sospechosas.
Los antivirus que utilizan el método de detección de comportamientos sospechosos de programas no intentan identificar virus conocidos . En su lugar, rastrean el comportamiento de todos los programas. Esto ayuda a eliminar el peligro del polimorfismo del virus . Si un programa intenta escribir algunos datos en un archivo ejecutable ( archivo exe ), el programa antivirus puede marcar este archivo, advertir al usuario y preguntar qué se debe hacer.
En contraste con el método de hacer coincidir la definición de virus en un diccionario , el método de comportamiento sospechoso brinda protección contra virus completamente nuevos y ataques de red que aún no están en ninguna base de datos de virus o ataques. Sin embargo, los programas basados en este método también pueden generar una gran cantidad de advertencias erróneas, lo que hace que el usuario sea menos receptivo a las advertencias. Si el usuario hace clic en el cuadro "Aceptar" cada vez que aparece esta advertencia, el programa antivirus no sirve de nada. Recientemente, este problema se ha agudizado aún más, ya que han aparecido más y más programas no maliciosos que modifican otros archivos exe, a pesar del problema existente de advertencias erróneas.