Behavior blacklisting é um método de segurança baseado na detecção de acções suspeitas especificadas por parte de software ou agentes humanos e bloqueio de acesso em conformidade. Tal como a whitelisting de comportamento, a blacklisting de comportamento é usada para proteger os sistemas de e-mail contra spam e tentativas de phishing, para proteger sites, serviços e fóruns contra bots e hackers e para proteger os computadores contra malware e tentativas de hacking. Sistemas de detecção de violação (BDS) também dependem de listas negras de comportamento para manter a segurança da rede.
Filtragem baseada em conteúdo e listas negras baseadas em IP, os dois métodos mais comuns usados para bloquear spam, estão se tornando menos eficazes, uma vez que os spammers adaptaram suas próprias técnicas para enganá-los. As listas negras podem apanhar uma percentagem significativa de spam perdida por esses métodos. Em um filtro de spam baseado em comportamento, ao invés de um registro de endereços IP a serem bloqueados como criminosos conhecidos, o software rastreia comportamentos como padrões de envio. Os envios de emails em massa suspeitos são facilmente bloqueados. Web crawling bots que podem enviar spam ou vandalizar sites e fóruns também podem ser bloqueados por causa do seus comportamentos de script reconhecíveis. Antivírus sistemas são essencialmente uma forma de lista negra de comportamentos, ajudando a detectar novas ameaças e especialmente novas variantes de vírus existentes.
A lista negra de comportamentos é especialmente útil em máquinas que têm muitas funções necessárias e aquelas que estão em constante mudança; pode ser necessário mais trabalho para atualizar uma lista branca em tais ambientes variáveis. No entanto, a lista de comportamentos permitidos de software e rede, código executado e endereços de e-mail que poderiam ser especificados em uma lista branca é normalmente mais curta do que uma complicação semelhante para uma lista negra. O comportamento da lista negra garante mais recursos desbloqueados para começar, mas deve ser mantido atualizado, e isso pode exigir mais trabalho a longo prazo para acompanhar as mudanças de IPs, ambientes e ameaças.