Co to jest wykrywanie anomalii zachowań sieciowych?

Wykrywanie anomalii zachowań sieciowych (NBAD) to technika bezpieczeństwa stosowana do monitorowania sieci pod kątem oznak nietypowej aktywności. Ta technika jest zaprojektowana do łączenia się z wieloma warstwami bezpieczeństwa w celu zapewnienia pełnej ochrony, i odbywa się ją przy użyciu programu komputerowego, który monitoruje sieć w sposób ciągły. Wiele firm tworzy programy zaprojektowane do wykrywania anomalii zachowań sieciowych w różnych ustawieniach.

Program najpierw ustanawia linię podstawową, patrząc na normalne zachowanie sieci i użytkowników. Dzięki tym informacjom może zacząć identyfikować anomalie, które mogą wskazywać na zagrożenie bezpieczeństwa. Zagrożenia bezpieczeństwa mogą obejmować wirusy i robaki, nieautoryzowane wydanie poufnych informacji i podobne problemy. Wykrywanie anomalii zachowań sieciowych można również wykorzystać do identyfikacji warunków naruszeń użytkowania. Na przykład w sieci college'u pobieranie materiałów chronionych prawem autorskim może być zabronione, a program może zidentyfikować użytkowników, którzy pobierają dużą kwotęS danych, które mogą wydawać się sugerować, że angażują się w piractwo oprogramowania, muzyki lub filmu.

Jedną zaletą wykrywania anomalii zachowań sieciowych jest to, że można ją wykorzystać do rozwiązania wyczynów zerowych. Wykorzystanie zerowego dnia występują, gdy wirus jest po raz pierwszy zwolniony lub gdy ludzie najpierw identyfikują dziurę bezpieczeństwa. W „Zero Day” programy antywirusowe i bezpieczeństwa nie zidentyfikowały jeszcze profilu, który można wykorzystać do zapobiegania takich wyczynów. Wykrywanie anomalii zachowań sieciowych nie musi jednak szukać konkretnego profilu, po prostu szuka niezwykłej aktywności, co oznacza, że ​​może zidentyfikować coś w rodzaju wirusa przed zaktualizowaniem programu antywirusowego.

Gdy program wykrywania anomalii zachowań sieciowych identyfikuje coś, co według niego jest niezwykłe, wyśle ​​ostrzeżenie do administratora. Administrator może ustalić, co się dzieje, i zdecydować, czy lub nieT, aby podjąć działania. Na przykład wzrost ruchu wychodzącego może być wynikiem przesłania dużego projektu na serwer zewnętrzny, co oznacza, że ​​nie należy podjąć żadnych działań. I odwrotnie, komputer nagle wysyłanie tysięcy e -maili może zostać zainfekowany wirusem, dokonując działań niezbędnych do ochrony reszty sieci przed infekcją.

Ta technika bezpieczeństwa może być stosowana w sieciach wszystkich rozmiarów. Program wykorzystywany do wykrywania anomalii zachowań sieciowych można zwykle dostosować, aby zaspokoić określone potrzeby. Na przykład program można powiedzieć o odcięciu komputera z sieci, jeśli wykazuje oczywiste oznaki problemów bezpieczeństwa lub warunków naruszenia użytkowania.