Hvad er detektion af netværksadfærdsanomali?
Network Behaviour Anomaly Detection (NBAD) er en sikkerhedsteknik, der bruges til at overvåge et netværk for tegn på usædvanlig aktivitet. Denne teknik er designet til at svale med flere lag af sikkerhed for at give fuldstændig beskyttelse, og den opnås ved brug af et computerprogram, der overvåger netværket kontinuerligt. Talrige virksomheder foretager programmer designet til netværksadfærdsanomali -detektion i forskellige indstillinger.
Programmet etablerer først en baseline, der ser på normalt netværk og brugeradfærd. Med disse oplysninger kan det begynde at identificere afvigelser, der kan indikere en sikkerhedstrussel. Sikkerhedstrusler kan omfatte vira og orme, den uautoriserede frigivelse af følsomme oplysninger og lignende problemer. Netværksadfærdsanomali -detektion kan også bruges til at identificere overtrædelser af brug. På et college -netværk kan for eksempel download af ophavsretligt beskyttet materiale være forbudt, og programmet kan identificere brugere, der downloader stort beløbS af data, som kan synes at antyde, at de deltager i piratkopiering af software, musik eller film.
En fordel ved detektion af netværksadfærdsanomali er, at den kan bruges til at tackle nul dagudnyttelse. Nul dagudnyttelse forekommer, når en virus først frigøres, eller når folk først identificerer et sikkerhedshul. På "Zero Day" har programmerne anti-virus og sikkerhedssoftware endnu ikke identificeret en profil, der kunne bruges til at forhindre sådanne udnyttelser. Netværksadfærd Anomali-detektion behøver imidlertid ikke at se efter en bestemt profil, det ser bare efter usædvanlig aktivitet, hvilket betyder, at det kan identificere noget som en virus, før antivirusprogrammet er blevet opdateret.
Når en netværksadfærdsanomali -detektionsprogram identificerer noget, som det mener er usædvanligt, vil det sende en advarsel til en administrator. Administratoren kan bestemme, hvad der foregår, og beslutte, om der ikke er nogett At gribe ind. For eksempel kan en uptick i udgående trafik være resultatet af upload af et stort projekt på en ekstern server, hvilket betyder, at der ikke skal tages handling. Omvendt kunne en computer pludselig sende tusinder af e -mails inficeret med en virus, hvilket gør handlingen nødvendig for at beskytte resten af netværket mod infektion.
Denne sikkerhedsteknik kan bruges på netværk i alle størrelser. Programmet, der bruges til at udføre netværksadfærdsanomali -detektion, kan normalt tilpasses til at imødekomme særlige behov. For eksempel kan programmet få besked om at afskære en computer fra et netværk, hvis det udviser åbenlyse tegn på sikkerhedsproblemer eller overtrædelsesbetingelser.