La lista negra de comportamientos es un método de seguridad que se basa en la detección de acciones sospechosas específicas por parte del software o agentes humanos y el bloqueo del acceso en consecuencia. Al igual que las listas blancas de comportamiento, las listas negras de comportamiento se utilizan para proteger los sistemas de correo electrónico contra el spam y los intentos de phishing, para proteger sitios web, servicios y foros de bots y piratas informáticos y para proteger las computadoras de malware e intentos de piratería. Los sistemas de detección de infracciones (BDS) también se basan en listas negras de comportamiento para mantener la seguridad de la red.
El filtrado basado en contenido y las listas negras basadas en IP, los dos métodos más comunes utilizados para bloquear el spam, se están volviendo menos efectivos a medida que los spammers han adaptado sus propias técnicas para frustrarlos. La creación de listas negras puede detectar un porcentaje significativo de correo no deseado que estos métodos no detectan. En un filtro de spam basado en el comportamiento, en lugar de un registro de direcciones IP que se deben bloquear como delincuentes conocidos, el software rastrea comportamientos como patrones de envío. Los correos masivos sospechosos enviados de manera similar se bloquean fácilmente. Los robots de rastreo web que pueden enviar spam o vandalizar sitios web y foros también pueden bloquearse debido a sus comportamientos reconocibles con secuencias de comandos. Los sistemas antivirus basados en heurística son esencialmente una forma de listas negras de comportamiento que ayudan a detectar nuevas amenazas y, especialmente, nuevas variantes de virus existentes.
La creación de listas negras de comportamiento es especialmente útil en máquinas que tienen muchas funciones requeridas y aquellas que cambian constantemente; Puede llevar más trabajo actualizar una lista blanca en entornos tan variables. No obstante, la lista de software y comportamientos de red permitidos, el código ejecutado y las direcciones de correo electrónico que podrían especificarse en una lista blanca suele ser más corta que una conformidad similar para una lista negra. El comportamiento de la lista negra asegura más capacidades desbloqueadas para empezar, pero debe mantenerse actualizado, y eso puede requerir más trabajo a largo plazo para mantenerse al día con los cambios de IP, entornos y amenazas.