Anomalidetektering är en dynamisk metod för drift av antivirus , nätverksövervakningssystem , värd- och nätverksintrångsdetekteringssystem .
Ett program som använder denna metod observerar vissa aktiviteter (program-/ processaktivitet , nätverkstrafik , användaraktivitet) som letar efter ovanliga och misstänkta händelser eller trender.
Antivirus som använder metoden för att upptäcka misstänkt beteende hos program försöker inte identifiera kända virus . Istället spårar de beteendet hos alla program. Detta hjälper till att eliminera risken för viruspolymorfism . Om ett program försöker skriva vissa data till en körbar fil ( exe-fil ), kan antivirusprogrammet flagga denna fil, varna användaren och fråga vad som ska göras.
Till skillnad från metoden att matcha definitionen av ett virus i en ordbok , ger metoden för misstänkt beteende skydd mot helt nya virus och nätverksattacker som ännu inte finns i någon virus- eller attackdatabas. Men program som bygger på denna metod kan också generera ett stort antal felaktiga varningar, vilket gör användaren mindre mottaglig för varningar. Om användaren klickar på "Acceptera"-rutan varje gång denna varning visas, är antivirusprogrammet till ingen nytta. På senare tid har detta problem förvärrats ytterligare, eftersom fler och fler icke-skadliga program har dykt upp som modifierar andra exe-filer, trots det befintliga problemet med felaktiga varningar.