Table des matières:
- Définition - Que signifie la détection des anomalies du comportement du réseau (NBAD)?
- Techopedia explique la détection des anomalies du comportement du réseau (NBAD)
Définition - Que signifie la détection des anomalies du comportement du réseau (NBAD)?
La détection d'anomalies de comportement de réseau (NBAD) est la surveillance en temps réel d'un réseau pour toute activité, tendance ou événement inhabituel. Les outils de détection des anomalies du comportement du réseau sont utilisés comme des outils de détection des menaces supplémentaires pour surveiller les activités du réseau et générer des alertes générales qui nécessitent souvent une évaluation plus approfondie par l'équipe informatique.
Les systèmes ont la capacité de détecter les menaces et d'arrêter les activités suspectes dans les situations où les logiciels de sécurité traditionnels sont inefficaces. De plus, les outils suggèrent quelles activités ou événements suspects nécessitent une analyse plus approfondie.
Techopedia explique la détection des anomalies du comportement du réseau (NBAD)
Les outils de détection des anomalies du comportement du réseau sont utilisés conjointement avec les systèmes de sécurité de périmètre traditionnels, tels que les logiciels antivirus, pour fournir un mécanisme de sécurité supplémentaire. Cependant, contrairement à l'antivirus qui protège le réseau contre les menaces connues, le NBAD vérifie les activités suspectes susceptibles de compromettre les opérations du réseau soit en infectant le système soit par le vol de données.
Il surveille le trafic réseau pour tout écart par rapport au volume attendu d'un paramètre réseau mesuré, comme les paquets, les octets, le flux et l'utilisation du protocole. Lorsqu'une activité est soupçonnée d'être une menace, les détails d'un événement, y compris le délinquant et les adresses IP cibles, le port, le protocole, l'heure de l'attaque, etc., sont générés.
Les outils utilisent une combinaison de méthodes de détection des signatures et des anomalies pour vérifier toute activité réseau inhabituelle et alerter les responsables de la sécurité et du réseau afin qu'ils puissent analyser l'activité et l'arrêter ou répondre avant qu'une menace n'affecte le système et les données.
Les trois principaux composants de la surveillance du comportement du réseau sont les modèles de flux de trafic, les données de performances du réseau et l'analyse passive du trafic. Cela permet à une organisation de détecter des menaces telles que:
- Comportement inapproprié du réseau - Les outils détectent les applications non autorisées, les activités réseau anormales ou les applications utilisant des ports inhabituels. Une fois détecté, le système de protection peut être utilisé pour identifier et désactiver automatiquement le compte utilisateur associé à l'activité réseau.
- Exfiltration de données - Surveille les données des communications sortantes et déclenche une alarme lorsque des quantités de transfert de données suspectes sont détectées. Le système pourrait en outre identifier l'application de destination si elle est basée sur le cloud pour déterminer si elle est légitime ou en cas de vol de données.
- Malwares cachés - Détecte les malwares avancés qui peuvent avoir échappé à la protection de sécurité du périmètre et infiltré le réseau de l'organisation / entreprise.
