ネットワーク動作異常検出とは何ですか?
ネットワーク動作異常検出(NBAD)は、異常なアクティビティの兆候がないかネットワークを監視するために使用されるセキュリティ技術です。 この技術は、完全な保護を提供するために複数のセキュリティ層に対応するように設計されており、ネットワークを継続的に監視するコンピュータープログラムを使用して実現されます。 多くの企業が、さまざまな設定でネットワーク動作の異常を検出するためのプログラムを作成しています。
プログラムは最初にベースラインを確立し、通常のネットワークとユーザーの行動を調べます。 この情報を使用して、セキュリティの脅威を示す可能性のある異常の特定を開始できます。 セキュリティの脅威には、ウイルスやワーム、機密情報の不正なリリースなどが含まれます。 ネットワーク動作の異常検出は、使用条件違反の特定にも使用できます。 たとえば、大学のネットワークでは、著作権で保護された素材のダウンロードが禁止されている可能性があり、プログラムは大量のデータをダウンロードしているユーザーを識別できます。
ネットワーク動作の異常検出の利点の1つは、ゼロデイ攻撃の対処に使用できることです。 ゼロデイエクスプロイトは、ウイルスが最初にリリースされたとき、または人々が最初にセキュリティホールを特定したときに発生します。 「ゼロデイ」では、アンチウイルスおよびセキュリティソフトウェアプログラムは、そのようなエクスプロイトを防止するために使用できるプロファイルをまだ特定していません。 ただし、ネットワーク動作の異常検出では、特定のプロファイルを探す必要はなく、異常なアクティビティを探すだけです。つまり、ウイルス対策プログラムが更新される前に、ウイルスのようなものを特定できます。
ネットワーク動作異常検出プログラムは、異常と思われる何かを識別すると、管理者にアラートを送信します。 管理者は、何が起こっているかを判断し、アクションを実行するかどうかを決定できます。 たとえば、送信トラフィックの増加は、大きなプロジェクトを外部サーバーにアップロードした結果である可能性があります。つまり、アクションを実行する必要はありません。 逆に、突然何千もの電子メールを送信するコンピューターがウイルスに感染する可能性があり、ネットワークの残りの部分を感染から保護するために必要な措置を講じます。
このセキュリティ手法は、あらゆる規模のネットワークで使用できます。 通常、ネットワーク動作の異常検出の実行に使用されるプログラムは、特定のニーズに合わせてカスタマイズできます。 たとえば、セキュリティの問題や使用条件の違反の明らかな兆候が見られる場合、プログラムをネットワークから切断するようにプログラムに指示することができます。