Detekcija anomalija ponašanja mreže (NBAD) je sigurnosna tehnika koja se koristi za praćenje mreže na znakove neobične aktivnosti. Ova tehnika je osmišljena tako da prati više slojeva sigurnosti kako bi se osigurala potpuna zaštita, a postiže se korištenjem računalnog programa koji kontinuirano prati mrežu. Brojne tvrtke izrađuju programe dizajnirane za otkrivanje anomalija ponašanja mreže u različitim postavkama.
Program prvo uspostavlja osnovnu liniju, gledajući normalno ponašanje mreže i korisnika. S tim informacijama može početi identificirati anomalije koje bi mogle ukazivati na sigurnosnu prijetnju. Sigurnosne prijetnje mogu uključivati viruse i crve, neovlašteno objavljivanje osjetljivih informacija i slične probleme. Otkrivanje anomalija ponašanja mreže također se može koristiti za utvrđivanje kršenja uvjeta korištenja. Na fakultetskoj mreži, na primjer, preuzimanje materijala zaštićenog autorskim pravima može biti zabranjeno, a program može identificirati korisnike koji preuzimaju velike količine podataka, što bi moglo sugerirati da se bave piratstvom softvera, glazbe ili filma.
Jedna od prednosti otkrivanja anomalija ponašanja mreže je ta što se može koristiti za rješavanje eksploatacije nultog dana. Eksploatacije nultog dana događaju se kada je virus prvi put pušten ili kada ljudi prvi put identificiraju sigurnosnu rupu. Na “nulti dan” antivirusni i sigurnosni softverski programi još nisu identificirali profil koji bi se mogao koristiti za sprječavanje takvih eksploatacija. Otkrivanje anomalija ponašanja mreže, međutim, ne mora tražiti određeni profil, već samo traži neuobičajenu aktivnost, što znači da može identificirati nešto poput virusa prije nego što se antivirusni program ažurira.
Kada program za otkrivanje anomalija ponašanja mreže identificira nešto što misli da je neobično, poslat će upozorenje administratoru. Administrator može odrediti što se događa i odlučiti hoće li nešto poduzeti ili ne. Na primjer, porast odlaznog prometa može biti rezultat prijenosa velikog projekta na vanjski poslužitelj, što znači da nije potrebno poduzeti nikakve radnje. Suprotno tome, računalo koje iznenada šalje tisuće e-poruka moglo bi biti zaraženo virusom, zbog čega je potrebno djelovati kako bi se ostatak mreže zaštitio od infekcije.
Ova se sigurnosna tehnika može koristiti na mrežama svih veličina. Program koji se koristi za otkrivanje anomalija ponašanja mreže obično se može prilagoditi kako bi zadovoljio određene potrebe. Na primjer, programu se može reći da isključi računalo iz mreže ako pokazuje očite znakove sigurnosnih problema ili kršenja uvjeta korištenja.