Huis Veiligheid Wat is anomalie-detectie van netwerkgedrag (nbad)? - definitie van techopedia

Wat is anomalie-detectie van netwerkgedrag (nbad)? - definitie van techopedia

Inhoudsopgave:

Anonim

Definitie - Wat betekent Network Behaviour Anomaly Detection (NBAD)?

Detectie van netwerkgedraganomalie (NBAD) is de realtime monitoring van een netwerk op ongebruikelijke activiteiten, trends of gebeurtenissen. De hulpprogramma's voor het detecteren van netwerkgedrag worden gebruikt als extra hulpprogramma's voor het detecteren van bedreigingen om netwerkactiviteiten te controleren en algemene waarschuwingen te genereren die vaak door het IT-team verder moeten worden geëvalueerd.

De systemen kunnen bedreigingen detecteren en verdachte activiteiten stoppen in situaties waarin traditionele beveiligingssoftware niet effectief is. Bovendien suggereren de tools welke verdachte activiteiten of gebeurtenissen verdere analyse vereisen.

Techopedia verklaart Network Behaviour Anomaly Detection (NBAD)

De hulpprogramma's voor het detecteren van netwerkgedrag worden gebruikt in combinatie met traditionele perimeterbeveiligingssystemen, zoals antivirussoftware, om een ​​extra beveiligingsmechanisme te bieden. In tegenstelling tot het antivirusprogramma dat het netwerk beschermt tegen bekende bedreigingen, controleert de NBAD op verdachte activiteiten die waarschijnlijk de werking van het netwerk in gevaar kunnen brengen, hetzij door het systeem te infecteren, hetzij door gegevensdiefstal.

Het controleert het netwerkverkeer op afwijkingen van het verwachte volume van een gemeten netwerkparameter zoals de pakketten, bytes, flow en protocolgebruik. Zodra een activiteit vermoed wordt als een bedreiging, worden de details van een gebeurtenis, waaronder de dader en doel-IP's, de poort, het protocol, het tijdstip van aanval en meer, gegenereerd.

De tools gebruiken een combinatie van handtekening- en anomaliedetectiemethoden om ongebruikelijke netwerkactiviteit te controleren en de beveiliging en netwerkbeheerders te waarschuwen zodat ze de activiteit kunnen analyseren en stoppen of reageren voordat een bedreiging het systeem en de gegevens beïnvloedt.

De drie belangrijkste componenten van netwerkgedragscontrole zijn de verkeersstroompatronen, de netwerkprestatiegegevens en de passieve verkeersanalyse. Hiermee kan een organisatie bedreigingen detecteren zoals:

  • Ongepast netwerkgedrag - De tools detecteren niet-geautoriseerde applicaties, abnormale netwerkactiviteit of applicaties die ongebruikelijke poorten gebruiken. Eenmaal gedetecteerd, kan het beveiligingssysteem worden gebruikt om de gebruikersaccount die is gekoppeld aan de netwerkactiviteit te identificeren en automatisch uit te schakelen.
  • Gegevensexfiltratie - bewaakt uitgaande communicatiegegevens en activeert een alarm wanneer verdacht grote hoeveelheden gegevensoverdracht worden gedetecteerd. Het systeem kan verder de bestemmingstoepassing identificeren als deze op de cloud is gebaseerd om te bepalen of deze legitiem is of een geval van gegevensdiefstal is.
  • Verborgen malware - Detecteert geavanceerde malware die mogelijk de perimeterbeveiliging heeft omzeild en het organisatie- / bedrijfsnetwerk is geïnfiltreerd.
Wat is anomalie-detectie van netwerkgedrag (nbad)? - definitie van techopedia