目录:
定义-网络行为异常检测(NBAD)是什么意思?
网络行为异常检测(NBAD)是对网络的实时监视,以发现任何异常活动,趋势或事件。 网络行为异常检测工具用作其他威胁检测工具,用于监视网络活动并生成通常需要IT团队进行进一步评估的常规警报。
在传统安全软件无效的情况下,该系统具有检测威胁并阻止可疑活动的能力。 此外,这些工具还建议需要进一步分析哪些可疑活动或事件。
Techopedia解释了网络行为异常检测(NBAD)
网络行为异常检测工具与传统的外围安全系统(例如防病毒软件)结合使用,以提供附加的安全机制。 但是,与保护网络免受已知威胁的防病毒软件不同,NBAD会检查可疑活动,这些活动可能通过感染系统或通过数据盗窃来破坏网络的运行。
它监视网络流量中是否存在与测量的网络参数的预期量(例如数据包,字节,流量和协议使用情况)之间的偏差。 一旦怀疑活动是威胁,便会生成事件的详细信息,包括违规者和目标IP,端口,协议,攻击时间等。
这些工具使用签名和异常检测方法的组合来检查任何异常的网络活动,并向安全和网络管理员发出警报,以便他们可以在威胁影响系统和数据之前分析活动,停止活动或做出响应。
网络行为监控的三个主要组成部分是流量流模式,网络性能数据和被动流量分析。 这使组织可以检测到以下威胁:
- 网络行为不当-这些工具会检测未经授权的应用程序,异常的网络活动或使用异常端口的应用程序。 一旦检测到,保护系统可用于识别并自动禁用与网络活动关联的用户帐户。
- 数据渗透-监视出站通信数据并在检测到可疑的大量数据传输时触发警报。 如果基于云,则该系统可以进一步标识目标应用程序,以确定它是否合法或是否存在数据盗用情况。
- 隐藏的恶意软件-检测可能逃避外围安全保护并渗透到组织/企业网络的高级恶意软件。
