Co je detekce anomálie chování?

Detekce anomálie chování (NBAD) je bezpečnostní technika používaná ke sledování sítě pro známky neobvyklé aktivity. Tato technika je navržena tak, aby se spojila s více vrstvami zabezpečení, aby byla zajištěna úplná ochrana, a je dosažena pomocí počítačového programu, který sítí nepřetržitě monitoruje. Četné společnosti vytvářejí programy určené pro detekci anomálie chování v síti v různých nastaveních. S těmito informacemi může začít identifikovat anomálie, které by mohly naznačovat bezpečnostní hrozbu. Bezpečnostní hrozby mohou zahrnovat viry a červy, neoprávněné uvolňování citlivých informací a podobné problémy. Detekce anomálie v síti lze také použít k identifikaci podmínek porušení použití. Například na vysokoškolské síti může být zakázáno stahování materiálu chráněného autorským právem a program může identifikovat uživatele, kteří stahují velké množstvíS dat, která by se mohla naznačovat, že se zapojují do pirátství softwaru, hudby nebo filmu.

Jednou z výhod detekce anomálie chování sítě je to, že ji lze použít k řešení vykořisťování nulového dne. Využití nulového dne se objevuje, když je virus poprvé uvolněn nebo když lidé poprvé identifikují bezpečnostní díru. V „Zero Day“ antivirové a bezpečnostní softwarové programy dosud neidentifikovaly profil, který by mohl být použit k zabránění takovým vykořisťováním. Detekce anomálie v síti však nemusí hledat konkrétní profil, jen hledá neobvyklou aktivitu, což znamená, že může identifikovat něco jako virus před aktualizací antivirového programu.

Když program detekce anomálie chování identifikuje něco, o čem si myslí, že je neobvyklé, pošle správce upozornění. Správce může určit, co se děje, a rozhodnout se, zda nebo neT podniknout kroky. Například nárůst odchozího provozu může být výsledkem nahrávání velkého projektu na externí server, což znamená, že není třeba podniknout žádnou akci. Naopak, počítač, který najednou rozesílá tisíce e -mailů, by mohl být infikován virem, což by mělo být nutné k ochraně zbytku sítě před infekcí.

Tuto bezpečnostní techniku ​​lze použít na sítích všech velikostí. Program použitý k provádění detekce anomálií chování sítě může být obvykle přizpůsoben tak, aby vyhovoval konkrétním potřebám. Program může být například řekl, aby odřízl počítač ze sítě, pokud vykazuje zjevné známky bezpečnostních problémů nebo podmínek porušení používání.