La detección de anomalías en el comportamiento de la red ( NBAD ) proporciona un enfoque para la detección de amenazas a la seguridad de la red . Es una tecnología complementaria a los sistemas que detectan amenazas a la seguridad basadas en firmas de paquetes .
NBAD es el monitoreo continuo de una red en busca de eventos o tendencias inusuales. NBAD es una parte integral del análisis del comportamiento de la red (NBA), que ofrece seguridad además de la proporcionada por las aplicaciones tradicionales anti-amenazas como firewalls, sistemas de detección de intrusos, software antivirus y software de detección de software espía .
La mayoría de los sistemas de monitoreo de seguridad utilizan un enfoque basado en firmas para detectar amenazas. Por lo general, monitorean los paquetes en la red y buscan patrones en los paquetes que coincidan con su base de datos de firmas que representan amenazas de seguridad conocidas previamente identificadas. Los sistemas basados en NBAD son particularmente útiles para detectar vectores de amenazas a la seguridad en 2 casos en los que los sistemas basados en firmas no pueden: (i) nuevos ataques de día cero y (ii) cuando el tráfico de amenazas está encriptado, como el canal de comando y control para ciertos Botnets.
Un programa NBAD rastrea las características críticas de la red en tiempo real y genera una alarma si se detecta un evento o tendencia extraña que podría indicar la presencia de una amenaza. Los ejemplos a gran escala de tales características incluyen el volumen de tráfico, el uso del ancho de banda y el uso del protocolo. [1]
Las soluciones NBAD también pueden monitorear el comportamiento de suscriptores de red individuales. Para que NBAD sea óptimamente efectivo, se debe establecer una línea de base del comportamiento normal de la red o del usuario durante un período de tiempo. Una vez que ciertos parámetros se han definido como normales, cualquier desviación de uno o más de ellos se marca como anómala.
NBAD debe usarse además de los firewalls y aplicaciones convencionales para la detección de malware . Algunos proveedores han comenzado a reconocer este hecho al incluir programas NBA / NBAD como partes integrales de sus paquetes de seguridad de red.