Функция контроля активности программ в антивирусных программах работает следующим образом: она регистрирует активность, совершаемую программами в системе, и регулирует их деятельность в зависимости от статуса. 2

Главная задача функции — определение вредоносных программ. 3 Для этого антивирус ведёт учёт действий программ и сравнивает их с шаблонами опасного поведения — Behavior Stream Signatures (BSS). 3 База BSS обновляема, но обновления для неё выходят достаточно редко, и эффективность мониторинга активности практически не зависит от регулярности обновления баз. 3

Сбор данных об активности программ для мониторинга активности выполняется разными компонентами. 3 Основным источником информации является драйвер перехвата файловых операций, который передаёт данные о файловых операциях и изменениях, внесённых в системный реестр. 3 Также сетевой экран предоставляет информацию о сетевой активности программ. 3

При обнаружении программы с подозрительной активностью антивирус выполняет действие, указанное в настройках. 3 Например, удаляет приложение или завершает все процессы программы. 4