Phát hiện bất thường hành vi mạng (NBAD) là một kỹ thuật bảo mật được sử dụng để giám sát một mạng cho các dấu hiệu của hoạt động bất thường.Kỹ thuật này được thiết kế để phù hợp với nhiều lớp bảo mật để bảo vệ hoàn toàn và nó được thực hiện với việc sử dụng chương trình máy tính theo dõi mạng liên tục.Nhiều công ty thực hiện các chương trình được thiết kế để phát hiện bất thường hành vi mạng trong các cài đặt khác nhau. Chương trình trước tiên thiết lập đường cơ sở, xem xét hành vi mạng và người dùng bình thường.Với thông tin này, nó có thể bắt đầu xác định sự bất thường có thể chỉ ra mối đe dọa bảo mật.Các mối đe dọa bảo mật có thể bao gồm virus và giun, việc phát hành trái phép thông tin nhạy cảm và các vấn đề tương tự.Hành vi mạng phát hiện dị thường cũng có thể được sử dụng để xác định các điều khoản vi phạm sử dụng.Ví dụ, trên một mạng lưới đại học, việc tải xuống tài liệu có bản quyền có thể bị cấm và chương trình có thể xác định người dùng đang tải xuống một lượng lớn dữ liệu, điều này dường như cho thấy rằng họ đang tham gia vào vi phạm bản quyền của phần mềm, âm nhạc hoặc phim.Một lợi thế cho phát hiện bất thường hành vi mạng là nó có thể được sử dụng để giải quyết các khai thác trong ngày.Khai thác trong ngày xảy ra khi virus được giải phóng lần đầu tiên hoặc khi mọi người lần đầu tiên xác định lỗ hổng bảo mật.Vào ngày Zero, các chương trình phần mềm bảo mật và chống vi-rút và chưa xác định được một hồ sơ có thể được sử dụng để ngăn chặn các khai thác đó.Tuy nhiên, phát hiện bất thường hành vi mạng không phải tìm một hồ sơ cụ thể, nó chỉ tìm kiếm hoạt động bất thường, điều đó có nghĩa là nó có thể xác định một cái gì đó giống như virus trước khi chương trình chống vi-rút được cập nhật.Chương trình phát hiện xác định một cái gì đó mà nó nghĩ là bất thường, nó sẽ gửi một cảnh báo cho một quản trị viên.Quản trị viên có thể xác định những gì đang diễn ra và quyết định có hành động hay không.Ví dụ, một sự gia tăng trong lưu lượng truy cập đi có thể là kết quả của việc tải lên một dự án lớn lên một máy chủ bên ngoài, điều đó có nghĩa là không cần phải thực hiện hành động.Ngược lại, một máy tính đột nhiên gửi hàng ngàn email có thể bị nhiễm vi -rút, thực hiện hành động cần thiết để bảo vệ phần còn lại của mạng khỏi bị nhiễm trùng. Kỹ thuật bảo mật này có thể được sử dụng trên các mạng thuộc mọi quy mô.Chương trình được sử dụng để thực hiện phát hiện bất thường hành vi mạng thường có thể được tùy chỉnh để đáp ứng các nhu cầu cụ thể.Ví dụ, chương trình có thể được yêu cầu cắt máy tính khỏi mạng nếu nó thể hiện các dấu hiệu rõ ràng về các vấn đề bảo mật hoặc các điều khoản vi phạm sử dụng.