振る舞いのアンチウイルスがどのように機能するかの詳細についての情報？

私はセキュリティソフトウェアを調べていますが、Next Big Thingは行動的なウイルス対策のようです。自分のしわくちゃな「次世代の行動型AV」を作ってみて、その内部の仕組みをよりよく理解できるようにして、偽陰性の点で既存の製品にどれだけ近づくことができるかを確認したいと思います。と偽陽性率。ビッグプレーヤーが持っているデータや労働力、専門知識へのアクセスが不足しているために大企業が達成できる結果はおそらく達成できないと思いますが、少なくともどれだけ近づくことができるかを見たいと思います。

ビヘイビアAVのしくみ（AVがオペレーティングシステムのAPIを監視し、ファイルシステムの変更を監視するためにフィルタードライバーをインストールすること）の要点は理解していますが、これらのウイルス対策が求めるものの種類を正確に把握することに興味があります。頭に浮かぶのはいくつかあります-プロセスインジェクション、評判の悪いまたは存在しないサーバーへの接続、起動時に実行するようにソフトウェア自体を設定する、C：/ Systemディレクトリ内の多数のファイルとやり取りするソフトウェアなど- -しかし、私が何を探すべきかについて他のアイデアがあるかどうか知りたいです。

これまでのところ、私はこれを見つけました：

https://pdfs.semanticscholar.org/8d9f/ed95412be6472c06f844029583862e4d4098.pdf

しかし、それはいくつかのアクションのみを調べます。他の何を私が自分の無愛想な、それほどエンタープライズではないAVに含めるべきかについて誰かが何か情報を持っていますか？