Il rilevamento delle anomalie del comportamento della rete (NBAD) è una tecnica di sicurezza utilizzata per monitorare una rete per segni di attività insolita.Questa tecnica è progettata per fare la coda con più livelli di sicurezza per fornire una protezione completa e viene realizzata con l'uso di un programma per computer che monitora la rete su base continua.Numerose aziende realizzano programmi progettati per il rilevamento di anomalie del comportamento della rete in varie impostazioni.

Il programma stabilisce prima una linea di base, osservando il normale comportamento di rete e utente.Con queste informazioni, può iniziare a identificare anomalie che potrebbero indicare una minaccia per la sicurezza.Le minacce alla sicurezza potrebbero includere virus e vermi, il rilascio non autorizzato di informazioni sensibili e problemi simili.Il rilevamento delle anomalie del comportamento della rete può anche essere utilizzato per identificare le violazioni delle condizioni d'uso.Su una rete universitaria, ad esempio, può essere proibito il download di materiale protetto da copyright e il programma può identificare gli utenti che stanno scaricando grandi quantità di dati, il che potrebbe sembrare che si stiano impegnando nella pirateria di software, musica o film.

Un vantaggio per il rilevamento dell'anomalia del comportamento della rete è che può essere utilizzato per affrontare gli exploit zero day.Gli exploit zero day si verificano quando un virus viene rilasciato per la prima volta o quando le persone identificano per la prima volta un buco di sicurezza.Nel "giorno zero", i programmi di software antivirus e di sicurezza non hanno ancora identificato un profilo che potrebbe essere utilizzato per prevenire tali exploit.Il rilevamento dell'anomalia del comportamento della rete, tuttavia, non deve cercare un profilo particolare, cerca solo un'attività insolita, il che significa che può identificare qualcosa come un virus prima che il programma antivirus sia stato aggiornato.

Quando un'anomalia del comportamento della reteIl programma di rilevamento identifica qualcosa che ritiene insolito, invierà un avviso a un amministratore.L'amministratore può determinare cosa sta succedendo e decidere se agire o meno.Ad esempio, un aumento del traffico in uscita potrebbe essere il risultato del caricamento di un grande progetto su un server esterno, il che significa che non è necessario intraprendere alcuna azione.Al contrario, un computer che invia improvvisamente migliaia di e -mail potrebbe essere infetto da un virus, rendendo necessaria le azioni per proteggere il resto della rete dalle infezioni.

Questa tecnica di sicurezza può essere utilizzata su reti di tutte le dimensioni.Il programma utilizzato per eseguire il rilevamento delle anomalie del comportamento della rete può di solito essere personalizzato per soddisfare le esigenze particolari.Ad esempio, il programma può essere detto di tagliare un computer da una rete se presenta evidenti segni di problemi di sicurezza o violazioni delle condizioni d'uso.