Les règles comportementales codées en dur définissent un profil des activités légitimes. Les activités qui ne correspondent pas au profil sont considérées comme suspectes et déclenchent une réponse. Par exemple, une règle comportementale peut éventuellement définir que seul un processus de serveur Web peut accéder à des fichiers HTML. Si tout autre processus tente d’accéder aux fichiers HTML, une action s’exécute. Ces règles protègent des attaques inconnues précédemment (de type zero-day) et des attaques par débordement de mémoire tampon.