Technika ta ma na celu ustalenie, czy dana aplikacja jest szkodliwa czy nie, na podstawie jej zachowania. Jeśli aplikacja wykonuje operację, która nie mieści się w zakresie czynności "akceptowalnych", operacja ta jest ograniczana. Na przykład próba zapisywania do pewnych części rejestru systemowego lub predefiniowanych folderów może zostać zdefiniowana jako zagrożenie. Czynność taka będzie zablokowana lub użytkownik zostanie powiadomiony o próbie jej wykonania. To dość proste podejście można dalej "rozbudować". Można na przykład ograniczyć dostęp jednej aplikacji (przykładowo zezwalając przeglądarce internetowej na dostęp tylko do odczytu do ograniczonych elementów rejestru systemowego), udzielając jednocześnie nieograniczonego dostępu do innych programów, które nie wykorzystują Internetu.

Alternatywną metodą behawioralną jest "zawinięcie" pobranej aplikacji i ograniczenie jej działania w lokalnym systemie. Aplikacja działa w tzw. chronionej "piaskownicy" (ang. sandbox) nazywanej czasem także "placem zabaw" lub "bezpiecznym buforem", która ogranicza jej działanie zgodnie z predefiniowaną polityką. Operacje programu porównywane są z zestawem reguł. W zależności od polityki, czynności wykonywane przez program mogą zostać uznane za naruszenie polityki. W takim przypadku niepożądana operacja zostanie zablokowana.