Identificare un comportamento non corretto dei dispositivi connessi alla rete risulta di fondamentale importanza per qualsiasi azienda che vuole difendersi dalle minacce Apt (Advanced Persistent Threat). Alla luce di un panorama in rapida evoluzione di questi attacchi malware mirati, Fortinet indica i cinque principali tipi di comportamento che potrebbero identificare un dispositivo infetto.  
Tentativi di connessione non riusciti - Il comportamento tipico del malware spesso include tentativi di connessione a host inesistenti su Internet. Mentre alcune connessioni non riuscite potrebbero essere dovute a errori dell'utente o a collegamenti non funzionanti, una serie di connessioni non riuscite può essere il sintomo di un'infezione da malware.  
Scelta dell'applicazione - Un host che installa un'applicazione di file sharing P2P può essere considerato più a rischio di unoche installa un gioco. Alcune aziende possono considerare problematiche entrambe le azioni.  
Posizione geografica - La visita a host in determinati paesi può essere classificata come un comportamento a rischio, specialmente con una quantità di traffico significativa. Questa azione può essere abbinata a un approccio basato su una white list che identifichi i siti legittimi nei diversi paesi per individuare più facilmente i client infetti.    
Informazioni sulla sessione - Quando un dispositivo inizia a rimanere collegato su una porta per ricevere una connessione dall'esterno, ma la connessione non viene avviata, la causa potrebbe essere un'infezione Apt.  
Destinazione - Anche la visita di determinati tipi di siti Web, quali siti di gioco o per adulti e quelli che contengono notoriamente codice dannoso, può essere un sintomo di infezione Apt.