Detectarea anomaliilor este o metodă dinamică de funcționare a antivirusurilor , a sistemelor de monitorizare a rețelei, a sistemelor de detectare a intruziunilor în rețea și gazdă .
Un program care utilizează această metodă observă anumite activități (activitate de program/ proces , trafic de rețea , activitate utilizator) căutând evenimente sau tendințe neobișnuite și suspecte.
Antivirusurile care folosesc metoda de detectare a comportamentului suspect al programelor nu încearcă să identifice viruși cunoscuți . În schimb, urmăresc comportamentul tuturor programelor. Acest lucru ajută la eliminarea pericolului polimorfismului viral . Dacă un program încearcă să scrie unele date într-un fișier executabil ( fișier exe ), programul antivirus poate semnaliza acest fișier, avertiza utilizatorul și poate întreba ce ar trebui făcut.
Spre deosebire de metoda de potrivire a definiției unui virus într-un dicționar , metoda comportamentului suspect oferă protecție împotriva virușilor complet noi și a atacurilor de rețea care nu se află încă în nicio bază de date de viruși sau atacuri. Totuși, programele construite pe această metodă pot genera și un număr mare de avertismente eronate, făcând utilizatorul mai puțin receptiv la avertismente. Dacă utilizatorul face clic pe caseta „Accept” de fiecare dată când apare acest avertisment, programul antivirus nu este de nici un folos. Recent, această problemă s-a agravat și mai mult, întrucât au apărut tot mai multe programe non-răușitoare care modifică alte fișiere exe, în ciuda problemei existente a avertismentelor eronate.