Ağ davranışı anormalliği tespiti (NBAD), olağandışı faaliyet belirtileri için bir ağı izlemek için kullanılan bir güvenlik tekniğidir. Bu teknik, tam koruma sağlamak için çoklu güvenlik katmanları ile birlikte kullanılmak üzere tasarlanmıştır ve ağı sürekli olarak izleyen bir bilgisayar programının kullanılmasıyla gerçekleştirilir. Çok sayıda şirket çeşitli ortamlarda ağ davranışı anormalliği tespiti için tasarlanmış programlar yapar.
Program ilk önce normal ağ ve kullanıcı davranışına bakarak bir temel oluşturur. Bu bilgi ile bir güvenlik tehdidi belirtebilecek anomalileri tanımlamaya başlayabilir. Güvenlik tehditleri virüs ve solucanlar, hassas bilgilerin yetkisiz salıverilmesi ve benzer sorunları içerebilir. Ağ davranışı anomalisi tespiti, kullanım ihlallerini tanımlamak için de kullanılabilir. Örneğin, bir kolej ağında telif hakkıyla korunan malzemelerin indirilmesi yasaklanabilir ve program, büyük miktarda veri indiren kullanıcıları belirleyebilir; bu da yazılım, müzik veya film korsanlığıyla meşgul olduklarını iddia ediyor gibi görünebilir.
Ağ davranışı anomalisi tespitine bir avantaj, sıfır günlük istismarları ele almak için kullanılabilmesidir. Sıfır gün kullanımları bir virüs ilk salındığında veya insanlar ilk olarak bir güvenlik deliği tanımladığında meydana gelir. “Sıfır günde” anti-virüs ve güvenlik yazılımı programları henüz bu tür istismarları önlemek için kullanılabilecek bir profil belirlememiştir. Bununla birlikte, ağ davranışı anomalisi tespiti, belirli bir profile bakmak zorunda değildir, sadece olağandışı faaliyetler arar, bu, virüsten koruma programı güncellenmeden önce virüs gibi bir şeyi tanımlayabileceği anlamına gelir.
Bir ağ davranışı anormalliği algılama programı olağandışı olduğunu düşündüğü bir şeyi tanımladığında, yöneticiye bir uyarı gönderir. Yönetici ne olup bittiğini belirleyebilir ve işlem yapıp yapmamaya karar verebilir. Örneğin, giden trafikteki yükseliş büyük bir projenin harici bir sunucuya yüklenmesinin bir sonucu olabilir; bu, hiçbir işlem yapılması gerekmediği anlamına gelir. Bunun tersine, birden fazla e-posta gönderen bir bilgisayara virüs bulaşabilir, bu da ağın geri kalanını enfeksiyondan korumak için gerekli önlemleri alabilir.
Bu güvenlik tekniği her ölçekteki ağlarda kullanılabilir. Ağ davranışı anomali tespitini gerçekleştirmek için kullanılan program genellikle belirli ihtiyaçları karşılayacak şekilde özelleştirilebilir. Örneğin, güvenlik sorunları veya kullanım şartları ihlali bariz belirtileri göstermesi durumunda, programın bir bilgisayarı ağdan kesmesi söylenebilir.
