Detekce anomálií je dynamická metoda provozu antivirů , systémů monitorování sítě, systémů detekce narušení hostitele a sítě .
Program využívající tuto metodu sleduje určité aktivity ( aktivitu programu/procesu , síťový provoz , aktivitu uživatele) a hledá neobvyklé a podezřelé události nebo trendy.
Antiviry, které používají metodu detekce podezřelého chování programů, se nesnaží identifikovat známé viry . Místo toho sledují chování všech programů. To pomáhá eliminovat nebezpečí polymorfismu viru . Pokud se program pokusí zapsat nějaká data do spustitelného souboru ( exe soubor ), antivirový program může tento soubor označit, varovat uživatele a zeptat se, co má dělat.
Na rozdíl od metody porovnání definice viru ve slovníku poskytuje metoda podezřelého chování ochranu proti zcela novým virům a síťovým útokům, které ještě nejsou v žádné databázi virů nebo útoků. Programy postavené na této metodě však mohou také generovat velké množství chybných varování, díky čemuž je uživatel na varování méně vnímavý. Pokud uživatel při každém zobrazení tohoto varování klikne na políčko „Přijmout“, antivirový program je k ničemu. V poslední době se tento problém dále prohlubuje, protože se objevuje stále více neškodlivých programů, které upravují jiné exe soubory, a to i přes existující problém s chybnými varováními.