在病毒与反病毒技术“道高一尺，魔高一丈”的攻防战中，基于行为的系统能够阻止那些表面看起来很友好的恶意代码，这项新技术正被越来越多的企业接受、采纳。
　　传统的安全软件广泛采用基于签名的技术进行入侵检测和防毒杀毒，尽管这种方法的执行效率很高，但是存在相当大的局限性。首先这种技术对于新病毒的反应迟钝，特征代码库的更新则依赖于软件供应商搜集最新病毒信息并分析提取特征码，这样导致反病毒技术总是滞后于病毒的产生。另外现在攻击方法的越来越复杂化，而传统基于签名的检测分析方法单一，难以检测到复杂型攻击。
　　基于行为的安全系统步入台前
　　现在，基于行为分析的安全系统逐步开始走向普及应用。美国系统网络安全协会(SANS)的研究主管Allan Paller认为“基于行为的系统能够阻止那些表面看起来很友好的恶意代码”。更为重要的是，基于行为分析的安全软件具备自我学习功能，能够自动扩展提高自身的防护能力。
　　基于行为分析的安全软件密切跟踪所在系统的行为模式，确定并记录下系统的正常模式。当实际系统行为发生的变化超过设定的阈值时候，安全软件就会分析发生异常的原因以判断是否遭到恶意攻击或病毒感染，并根据情况采取相应措施。基于行为分析的安全系统的实现方式主要有三种，分别为基于阈值探测，基于统计分析和基于智能学习的系统。三类实现方式中基于学习的行为分析方式功能最强大，它采用神经网络、遗传算法、模糊技术等方法进行入侵特征的辨识与泛化，具有很强的自学能力，能够不断更新与扩展自己的知识库，是今后基于行为的系统的发展方向。
　　但是早期的基于行为分析的安全系统价格极其昂贵，只有少数大型的和对安全有特殊要求的组织例如美国国防部门部署了这一类系统。现在，这种安全系统部署成本开始降低，使得越来越多企业能够接触到这项新技术。而另一方面，日益复杂的安全问题也迫使企业和组织采用这项先进的安全方案。
　　主流厂商聚焦行为分析系统
　　由于基于行为分析的安全系统存在诸多优势，各主要安全厂商开始纷纷推出基于行为分析的安全产品。其中著名的系统有Lancope公司的入侵检测系统StealthWatch。StealthWatch在 2006年Interop展览上获得“最佳展品奖”，目前已经在全球2000多家组织机构中部署，用户包括企业、大学和政府部门。而McAfee公司推出的入侵防护系统Entercept，则是一款结合行为规则分析技术与签名技术的综合入侵防护系统。通过技术组合，Entercep为企业提供更全面高效的安全方案。
　　信息安全供应商不仅仅在安全软件产品中采用行为分析技术，他们也开始开发基于行为分析功能的硬件产品。例如，赛门铁克公司开发的Symantec Network Security 7100 系列设备，就是一套具有代表性的使用基于行为安全策略的硬件系统。同样，惠普公司也将其开发的基于行为分析的病毒防治软件 Virus Throttler嵌入到它的交换机和Proliant服务器中，Virus Throttler能够使服务器、网络交换机洞悉网络流量是否异常，继而通过隔离受影响的服务器和交换机来限制病毒在公司网络上的传播，使系统管理员能够应对恶意代码的大爆发。
　　面临的挑战和发展前景
　　基于行为分析系统的应用面临的问题主要是误报率过高。“误报”是指将合法的善意流量当作恶意攻击而发出错误警报。另外相对于传统的安全系统而言，部署基于行为的系统对于处理器的要求更高，需要占用更多系统资源，也耗费更多时间。这些因素在一定程度上妨碍了基于行为分析的系统的推广和应用。
　　现代互联网存在的网络安全问题日益复杂化。网络不安全因素由“单一型”转化为“混合型”，网络安全事件的爆发周期急剧缩短，其影响面和破坏力越来越大。可以预测，基于行为分析的系统将成为未来安全领域得主流，前景看好。随着技术进步，基于行为分析的系统也将发展得更为成熟，易于被用户接收，能够更有效地应对未来安全挑战。