Vad är nätverksbeteendeanomalidetektering?
Nätverksavenomaldetektering (NBAD) är en säkerhetsteknik som används för att övervaka ett nätverk för tecken på ovanlig aktivitet. Denna teknik är utformad för att svika med flera lager av säkerhet för att ge fullständigt skydd, och den åstadkommes med användning av ett datorprogram som övervakar nätverket kontinuerligt. Många företag tillverkar program utformade för nätverksbeteende -anomalidetektering i olika inställningar.
Programmet upprättar först en baslinje och tittar på normalt nätverk och användarbeteende. Med denna information kan det börja identifiera avvikelser som kan indikera ett säkerhetshot. Säkerhetshot kan inkludera virus och maskar, obehörig frisättning av känslig information och liknande problem. Nätverksbeteende Anomaly detektion kan också användas för att identifiera överträdelser av användningsvillkor. I ett college -nätverk kan till exempel nedladdning av upphovsrättsskyddat material vara förbjudet och programmet kan identifiera användare som laddar ner stort beloppS av data, som kan tyckas tyder på att de deltar i piratkopiering av programvara, musik eller film.
En fördel med nätverksuppförande av anomali är att den kan användas för att ta itu med nolldagsutnyttjanden. Nolldagsutnyttjande inträffar när ett virus först släpps eller när människor först identifierar ett säkerhetshål. På "Zero Day" har antivirus- och säkerhetsprogramprogram ännu inte identifierat en profil som kan användas för att förhindra sådana exploater. Nätverksuppträdande anomalidetektering behöver emellertid inte leta efter en viss profil, den letar bara efter ovanlig aktivitet, vilket innebär att det kan identifiera något som ett virus innan antivirusprogrammet har uppdaterats.
När ett nätverksavvikelseprogram för nätverksbeteende identifierar något som det tycker är ovanligt, kommer det att skicka en varning till en administratör. Administratören kan avgöra vad som händer och bestämma om intet för att vidta åtgärder. Till exempel kan en upptick i utgående trafik vara resultatet av uppladdningen av ett stort projekt till en extern server, vilket innebär att ingen åtgärd behöver vidtas. Omvänt kan en dator som plötsligt skicka ut tusentals e -postmeddelanden infekteras med ett virus, vilket gör åtgärder nödvändiga för att skydda resten av nätverket från infektion.
Denna säkerhetsteknik kan användas på nätverk i alla storlekar. Programmet som används för att utföra nätverksbeteende Anomali detektering kan vanligtvis anpassas för att tillgodose särskilda behov. Till exempel kan programmet få höra att avbryta en dator från ett nätverk om det visar uppenbara tecken på säkerhetsproblem eller överträdelser av användningsområden.