動作ルールは、正当な動作のプロファイルを定義します。動作がプロファイルと一致しないと、イベントが発生します。たとえば、Web ファイルにアクセスできるのは Web サーバ プロセスのみであると規定するルールを設定できます。別のプロセスが Web ファイルにアクセス使用とすると、この動作ルールによりイベントが発生します。
Host Intrusion Prevention は、シグネチャ ルールとハードウェアに組み込まれた動作ルールを組み合わせて使用します。攻撃を識別するためのこのハイブリッドな方法では、ほとんどの既知の攻撃だけでなく、これまでに知られていない攻撃やゼロデイ攻撃も検出できます。