Qu'est-ce que la détection des anomalies du comportement du réseau?
La détection des anomalies du comportement du réseau (NBAD) est une technique de sécurité utilisée pour surveiller un réseau pour des signes d'activité inhabituelle. Cette technique est conçue pour concrétiser avec plusieurs couches de sécurité pour offrir une protection complète, et elle est accomplie avec l'utilisation d'un programme informatique qui surveille le réseau sur une base continue. De nombreuses entreprises créent des programmes conçus pour la détection des anomalies du comportement du réseau dans divers paramètres.
Le programme établit d'abord une base de référence, en examinant le réseau normal et le comportement des utilisateurs. Avec ces informations, il peut commencer à identifier les anomalies qui pourraient indiquer une menace de sécurité. Les menaces de sécurité pourraient inclure des virus et des vers, la libération non autorisée d'informations sensibles et des problèmes similaires. La détection des anomalies du comportement du réseau peut également être utilisée pour identifier les conditions d'utilisation. Sur un réseau universitaire, par exemple, le téléchargement du matériel protégé par le droit d'auteur peut être interdit, et le programme peut identifier les utilisateurs qui téléchargent un grand montants de données, ce qui peut sembler suggérer qu'ils se livrent à une piratage de logiciels, de musique ou de film.
L'un des avantages de la détection des anomalies du comportement du réseau est qu'il peut être utilisé pour traiter les exploits de jour zéro. Les exploits de jour zéro se produisent lorsqu'un virus est libéré ou lorsque les gens identifient pour la première fois un trou de sécurité. Le «jour zéro», les logiciels antivirus et de sécurité n'ont pas encore identifié de profil qui pourrait être utilisé pour empêcher de tels exploits. La détection des anomalies du comportement du réseau, cependant, n'a pas à rechercher un profil particulier, il cherche simplement une activité inhabituelle, ce qui signifie qu'il peut identifier quelque chose comme un virus avant que le programme antivirus n'ait été mis à jour.
Lorsqu'un programme de détection d'anomalie de comportement du réseau identifie quelque chose qui, selon elle, est inhabituel, il enverra une alerte à un administrateur. L'administrateur peut déterminer ce qui se passe et décider si ou nont to take action. Par exemple, une augmentation du trafic sortant pourrait être le résultat du téléchargement d'un grand projet sur un serveur externe, ce qui signifie qu'aucune action ne doit être prise. À l'inverse, un ordinateur envoyant soudainement des milliers d'e-mails pourrait être infecté par un virus, ce qui rend les mesures nécessaires pour protéger le reste du réseau contre l'infection.
This security technique can be used on networks of all sizes. The program used to perform network behavior anomaly detection can usually be customized to meet particular needs. Par exemple, le programme peut être invité à couper un ordinateur d'un réseau s'il présente des signes évidents de problèmes de sécurité ou de conditions d'utilisation.