Vad är nätverksbeteende Anomaly Detection?
Nätverksbeteende anomali upptäckt (NBAD) är en säkerhetsteknik som används för att övervaka ett nätverk för tecken på ovanlig aktivitet. Denna teknik är utformad för att svävsvansa med flera lager av säkerhet för att ge fullständigt skydd, och den åstadkoms med användning av ett datorprogram som övervakar nätverket kontinuerligt. Många företag gör program utformade för att upptäcka avvikelser i nätverksbeteende i olika inställningar.
Programmet upprättar först en baslinje och ser på normalt nätverk och användarbeteende. Med denna information kan det börja identifiera avvikelser som kan indikera ett säkerhetshot. Säkerhetshot kan inkludera virus och maskar, obehörig utsläpp av känslig information och liknande problem. Nätverksbeteende avvikelse kan också användas för att identifiera villkor för användningsöverträdelser. I ett universitetsnätverk kan till exempel nedladdning av upphovsrättsskyddat material vara förbjudet, och programmet kan identifiera användare som laddar ner stora mängder data, vilket kan tyckas tyder på att de driver piratkopiering av programvara, musik eller film.
En fördel med att upptäcka avvikelser i nätverkets beteende är att det kan användas för att adressera nolldagar. Nolldagarutnyttjande inträffar när ett virus först släpps eller när människor först identifierar ett säkerhetshål. På "nolldag" har antivirusprogram och säkerhetsprogram ännu inte identifierat en profil som kan användas för att förhindra sådana utnyttjande. Nätverksbeteende avvikelse behöver dock inte leta efter en viss profil, det letar bara efter ovanlig aktivitet, vilket innebär att det kan identifiera något som ett virus innan antivirusprogrammet har uppdaterats.
När ett avvikelseprogram för nätverksbeteende identifierar något som det tycker är ovanligt, skickar det en varning till en administratör. Administratören kan bestämma vad som händer och besluta om man ska vidta åtgärder eller inte. Exempelvis kan en uppåtriktning i utgående trafik vara resultatet av att ett stort projekt laddas upp till en extern server, vilket innebär att inga åtgärder behöver vidtas. Omvänt kan en dator som plötsligt skickar ut tusentals e-postmeddelanden infekteras med ett virus, vilket gör åtgärder nödvändiga för att skydda resten av nätverket från infektion.
Denna säkerhetsteknik kan användas i nätverk i alla storlekar. Programmet som används för att utföra avvikelse i nätverkets beteende kan vanligtvis anpassas för att möta särskilda behov. Till exempel kan programmet få besked om att stänga av en dator från ett nätverk om det visar uppenbara tecken på säkerhetsproblem eller användningsvillkor.