Són eines que s’utilitzen en ciberseguretat per identificar activitats anòmales i sospitoses en una xarxa o sistema informàtic. Aquests sistemes utilitzen algorismes d’aprenentatge automàtic per analitzar el comportament dels usuaris, els dispositius i les aplicacions per detectar possibles amenaces de seguretat.

El funcionament dels sistemes de seguretat basats en comportament es divideix en tres fases. La primera i segona fase serien igual als IDS i IPS. La tercera fase consisteix en alertes i resposta, a on si es detecta una activitat anòmala que indica una amenaça, el sistema envia una alerta als responsables de seguretat. Això inclou la identificació d’usuaris que estan utilitzant comptes desactivats o inactius, o l’accés a aplicacions o recursos que normalment no es visiten. El sistema també pren mesures per prevenir l’amenaça, com el bloqueig de l’usuari o el dispositiu, la limitació d’accés als recursos o la realització d’una anàlisi de malware.

Hi ha diversos tipus de sistemes de seguretat basats en comportament, entre els quals es destaquen els següents:

• Sistemes de seguretat basats en comportament de l’usuari: s’utilitzen per monitoritzar el comportament dels usuaris i detectar activitats anòmales, com un accés no autoritzat a recursos o l’ús de comptes inactius o desactivats.

• Sistemes de seguretat basats en comportament de l’aplicació: s’utilitzen per monitoritzar el comportament de les aplicacions i detectar activitats anòmales, com un accés no autoritzat a bases de dades o la transferència de dades sensibles.

• Sistemes de seguretat basats en comportament del dispositiu: s’utilitzen per monitoritzar el comportament dels dispositius i detectar activitats anòmales, com un accés no autoritzat a la xarxa o la transferència de dades no segures.