Detekcia anomálie správania v sieti (NBAD)

Obsah

• Definícia - Čo znamená detekcia anomálie v správaní siete (NBAD)?
• Úvod do programu Microsoft Azure a Microsoft Cloud V tejto príručke sa dozviete, o čom všetko je cloud computing a ako vám môže Microsoft Azure pomôcť migrovať a podnikať z cloudu.
• Techopedia vysvetľuje detekciu anomálie v správaní siete (NBAD)

Definícia - Čo znamená detekcia anomálie v správaní siete (NBAD)?

Detekcia anomálie správania v sieti (NBAD) je monitorovanie siete v reálnom čase kvôli akejkoľvek neobvyklej činnosti, trendom alebo udalostiam. Nástroje na zisťovanie anomálie správania v sieti sa používajú ako ďalšie nástroje na zisťovanie hrozieb na monitorovanie sieťových aktivít a generovanie všeobecných varovaní, ktoré si často vyžadujú IT tím.

Systémy majú schopnosť odhaliť hrozby a zastaviť podozrivé činnosti v situáciách, keď je tradičný bezpečnostný softvér neúčinný. Nástroje navyše naznačujú, ktoré podozrivé činnosti alebo udalosti si vyžadujú ďalšiu analýzu.

Úvod do programu Microsoft Azure a Microsoft Cloud V tejto príručke sa dozviete, o čom všetko je cloud computing a ako vám môže Microsoft Azure pomôcť migrovať a podnikať z cloudu.

Techopedia vysvetľuje detekciu anomálie v správaní siete (NBAD)

Nástroje na zisťovanie anomálie správania v sieti sa používajú v spojení s tradičnými obvodovými bezpečnostnými systémami, ako je antivírusový softvér, na zabezpečenie dodatočného bezpečnostného mechanizmu. Na rozdiel od antivírusu, ktorý chráni sieť pred známymi hrozbami, NBAD kontroluje podozrivé činnosti, ktoré pravdepodobne ohrozia fungovanie siete buď infikovaním systému alebo krádežou údajov.

Monitoruje sieťovú prevádzku na akékoľvek odchýlky od očakávaného objemu meraného sieťového parametra, ako sú pakety, bajty, tok a využitie protokolu. Keď je podozrenie, že aktivita predstavuje hrozbu, vygenerujú sa podrobnosti udalosti vrátane priestupku a cieľovej adresy IP, portu, protokolu, času útoku a ďalších.

Nástroje používajú kombináciu metód detekcie podpisov a anomálií na kontrolu akejkoľvek neobvyklej sieťovej aktivity a na upozornenie správcov bezpečnosti a sietí, aby mohli analyzovať aktivitu a zastaviť ju alebo reagovať skôr, ako hrozba ovplyvní systém a údaje.

Tri hlavné súčasti monitorovania sieťového správania sú vzorce toku prevádzky, údaje o výkone siete a pasívna analýza prenosu. To umožňuje organizácii zistiť hrozby, ako napríklad:

• Nevhodné správanie v sieti - Nástroje zisťujú neoprávnené aplikácie, neobvyklú aktivitu v sieti alebo aplikácie využívajúce nezvyčajné porty. Po zistení možno ochranný systém použiť na identifikáciu a automatické zablokovanie užívateľského účtu spojeného s aktivitou siete.
• Exfiltrácia dát - Monitoruje odchádzajúce komunikačné údaje a spustí alarm, keď sa zistí podozrivé veľké množstvo prenosu údajov. Systém by mohol ďalej identifikovať cieľovú aplikáciu, ak je založená na cloude, aby sa určilo, či je legitímna alebo či ide o krádež údajov.
• Skrytý malware - detekuje pokročilý malware, ktorý mohol obísť ochranu obvodového zabezpečenia a prenikol do organizácie / podnikovej siete.