La détection des anomalies de comportement réseau (NBAD) est une technique de sécurité utilisé pour surveiller un réseau de signes d'activité inhabituelle. Cette technique est destinée à s'articuler avec plusieurs niveaux de sécurité pour assurer une protection complète, et il est réalisé avec l'utilisation d'un programme d'ordinateur qui contrôle le réseau, sur une base continue. De nombreuses entreprises fabriquent des programmes conçus pour la détection des anomalies de comportement du réseau dans divers milieux.
Le programme établit d'abord une base de référence, en regardant réseau normal et le comportement des utilisateurs. Avec cette information, il peut commencer à identifier les anomalies pouvant révéler une menace pour la sécurité. Les menaces de sécurité peuvent contenir des virus et des vers, la divulgation non autorisée d'informations sensibles, et des questions similaires. La détection des anomalies de comportement du réseau peut également être utilisée pour identifier les termes de violations d'utilisation. Sur un réseau collégial, par exemple, le téléchargement de matériel protégé peut être interdite, et le programme peut identifier les utilisateurs qui téléchargent de grandes quantités de données, ce qui peut paraître à penser qu'ils se livrent à la piraterie de logiciels, de la musique ou un film.
Un avantage de réseau de détection d'anomalie de comportement est qu'il peut être utilisé pour traiter exploits de jours zéro. Zero day exploite se produire quand un virus est d'abord libéré ou lorsque les gens s'identifient d'abord un trou de sécurité. Sur le «jour zéro», anti-virus et les logiciels de sécurité des programmes n'ont pas encore identifié un profil qui pourrait être utilisé pour prévenir de tels exploits. La détection des anomalies de comportement réseau, cependant, n'a pas à chercher un profil particulier, il semble juste pour activité inhabituelle, ce qui signifie qu'il peut identifier quelque chose comme un virus avant que le programme anti-virus a été mis à jour.
Quand un programme de détection d'anomalie de comportement du réseau identifie quelque chose qu'il pense est inhabituel, il enverra une alerte à un administrateur. L'administrateur peut déterminer ce qui se passe, et de décider si oui ou non de prendre des mesures. Par exemple, une légère hausse du trafic sortant pourrait être le résultat de l'ajout d'un grand projet sur un serveur externe, ce qui signifie qu'aucune action ne doit être prise. Inversement, un ordinateur qui envoie soudainement des milliers d'e-mails pourrait être infecté par un virus, ce qui rend les mesures nécessaires pour protéger le reste du réseau de l'infection.
Cette technique de sécurité peut être utilisée sur des réseaux de toutes tailles. Le programme utilisé pour effectuer une détection d'anomalie de comportement du réseau peut généralement être personnalisé pour répondre aux besoins particuliers. Par exemple, le programme peut être dit de couper un ordinateur hors tension d'un réseau si elle présente des signes évidents de problèmes ou violations des conditions d'utilisation sécurité.
