La detección de anomalías en el comportamiento de la red (NBAD) es una técnica de seguridad utilizada para monitorear una red en busca de signos de actividad inusual. Esta técnica está diseñada para acoplarse con múltiples capas de seguridad para brindar una protección completa, y se logra con el uso de un programa de computadora que monitorea la red de manera continua. Numerosas empresas crean programas diseñados para la detección de anomalías en el comportamiento de la red en varios entornos.
El programa primero establece una línea de base, observando el comportamiento normal de la red y del usuario. Con esta información, puede comenzar a identificar anomalías que podrían indicar una amenaza a la seguridad. Las amenazas a la seguridad pueden incluir virus y gusanos, la divulgación no autorizada de información confidencial y problemas similares. La detección de anomalías en el comportamiento de la red también se puede utilizar para identificar violaciones de los términos de uso. En una red universitaria, por ejemplo, la descarga de material con derechos de autor puede estar prohibida y el programa puede identificar a los usuarios que están descargando grandes cantidades de datos, lo que podría parecer sugerir que están participando en la piratería de software, música o películas.
Una ventaja de la detección de anomalías en el comportamiento de la red es que se puede utilizar para abordar los exploits de día cero. Las vulnerabilidades de día cero ocurren cuando se lanza un virus por primera vez o cuando las personas identifican por primera vez un agujero de seguridad. En el “día cero”, los programas de software de seguridad y antivirus aún no han identificado un perfil que pueda usarse para prevenir tales vulnerabilidades. Sin embargo, la detección de anomalías en el comportamiento de la red no tiene que buscar un perfil en particular, solo busca actividad inusual, lo que significa que puede identificar algo como un virus antes de que el programa antivirus se haya actualizado.
Cuando un programa de detección de anomalías en el comportamiento de la red identifica algo que cree que es inusual, enviará una alerta a un administrador. El administrador puede determinar lo que está sucediendo y decidir si tomar medidas o no. Por ejemplo, un aumento en el tráfico saliente podría ser el resultado de la carga de un gran proyecto en un servidor externo, lo que significa que no es necesario realizar ninguna acción. Por el contrario, una computadora que envíe repentinamente miles de correos electrónicos podría estar infectada con un virus, por lo que es necesario tomar medidas para proteger al resto de la red de la infección.
Esta técnica de seguridad se puede utilizar en redes de todos los tamaños. El programa utilizado para realizar la detección de anomalías en el comportamiento de la red generalmente se puede personalizar para satisfacer necesidades particulares. Por ejemplo, se le puede decir al programa que desconecte una computadora de la red si presenta signos obvios de problemas de seguridad o violaciones de los términos de uso.