Detectarea anomaliilor comportamentului rețelei (NBAD) este o tehnică de securitate utilizată pentru a monitoriza o rețea pentru semne de activitate neobișnuită. Această tehnică este concepută pentru a se potrivi cu mai multe straturi de securitate pentru a oferi o protecție completă și este realizată prin utilizarea unui program de calculator care monitorizează rețeaua în mod continuu. Numeroase companii realizează programe concepute pentru detectarea anomaliilor de comportament ale rețelei în diferite setări.
Programul stabilește mai întâi o linie de bază, analizând comportamentul normal al rețelei și al utilizatorului. Cu aceste informații, poate începe să identifice anomalii care ar putea indica o amenințare de securitate. Amenințările de securitate pot include viruși și viermi, eliberarea neautorizată de informații sensibile și probleme similare. Detectarea anomaliilor de comportament al rețelei poate fi utilizată și pentru a identifica încălcările termenilor de utilizare. Într-o rețea de colegiu, de exemplu, descărcarea de materiale protejate prin drepturi de autor poate fi interzisă, iar programul poate identifica utilizatorii care descarcă cantități mari de date, ceea ce ar putea părea să sugereze că se implică în piraterie de software, muzică sau film.
Un avantaj al detectării anomaliilor de comportament al rețelei este că poate fi utilizat pentru a rezolva exploatările zero day. Exploatările zero day apar atunci când un virus este lansat pentru prima dată sau când oamenii identifică pentru prima dată o gaură de securitate. În „ziua zero”, programele software antivirus și de securitate nu au identificat încă un profil care ar putea fi utilizat pentru a preveni astfel de exploatări. Totuși, detectarea anomaliilor de comportament în rețea nu trebuie să caute un anumit profil, ci doar caută o activitate neobișnuită, ceea ce înseamnă că poate identifica ceva ca un virus înainte ca programul antivirus să fie actualizat.
Când un program de detectare a anomaliilor de comportament al rețelei identifică ceva despre care consideră că este neobișnuit, va trimite o alertă unui administrator. Administratorul poate determina ce se întâmplă și poate decide dacă să ia măsuri sau nu. De exemplu, o creștere a traficului de ieșire ar putea fi rezultatul încărcării unui proiect mare pe un server extern, ceea ce înseamnă că nu trebuie luată nicio acțiune. În schimb, un computer care trimite brusc mii de e-mailuri ar putea fi infectat cu un virus, ceea ce face necesară acțiunile pentru a proteja restul rețelei de infecție.
Această tehnică de securitate poate fi utilizată pe rețele de toate dimensiunile. Programul utilizat pentru detectarea anomaliilor de comportament al rețelei poate fi de obicei personalizat pentru a satisface nevoi specifice. De exemplu, programului i se poate spune să întrerupă un computer de la o rețea dacă prezintă semne evidente de probleme de securitate sau încălcări ale condițiilor de utilizare.