Erkennung von Netzwerkverhaltensanomalien (NBAD)

Video: ?Was ist die Erkennung von Netzwerkverhaltensanomalien?

Inhalt

Definition - Was bedeutet Network Behavior Anomaly Detection (NBAD)?
Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.
Techopedia erklärt Network Behavior Anomaly Detection (NBAD)

Definition - Was bedeutet Network Behavior Anomaly Detection (NBAD)?

Network Behaviour Anomaly Detection (NBAD) ist die Echtzeitüberwachung eines Netzwerks auf ungewöhnliche Aktivitäten, Trends oder Ereignisse. Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden als zusätzliche Tools zur Erkennung von Bedrohungen verwendet, um Netzwerkaktivitäten zu überwachen und allgemeine Warnungen zu generieren, die häufig eine weitere Bewertung durch das IT-Team erfordern.

Die Systeme können Bedrohungen erkennen und verdächtige Aktivitäten in Situationen stoppen, in denen herkömmliche Sicherheitssoftware unwirksam ist. Darüber hinaus schlagen die Tools vor, welche verdächtigen Aktivitäten oder Ereignisse eine weitere Analyse erfordern.

Eine Einführung in Microsoft Azure und die Microsoft Cloud | In diesem Handbuch erfahren Sie, worum es beim Cloud-Computing geht und wie Microsoft Azure Sie bei der Migration und Ausführung Ihres Unternehmens aus der Cloud unterstützen kann.

Techopedia erklärt Network Behavior Anomaly Detection (NBAD)

Die Tools zur Erkennung von Netzwerkverhaltensanomalien werden in Verbindung mit herkömmlichen Perimeter-Sicherheitssystemen wie Antivirensoftware verwendet, um einen zusätzlichen Sicherheitsmechanismus bereitzustellen. Im Gegensatz zu Antivirenprogrammen, die das Netzwerk vor bekannten Bedrohungen schützen, überprüft der NBAD verdächtige Aktivitäten, die den Netzwerkbetrieb beeinträchtigen können, indem sie entweder das System infizieren oder Daten stehlen.

Es überwacht den Netzwerkverkehr auf Abweichungen vom erwarteten Volumen eines gemessenen Netzwerkparameters wie Pakete, Bytes, Fluss und Protokollnutzung. Sobald der Verdacht besteht, dass eine Aktivität eine Bedrohung darstellt, werden die Details eines Ereignisses einschließlich der IP-Adressen des Täters und des Ziels, des Ports, des Protokolls, des Zeitpunkts des Angriffs usw. generiert.

Die Tools verwenden eine Kombination aus Signatur- und Anomalieerkennungsmethoden, um ungewöhnliche Netzwerkaktivitäten zu überprüfen und die Sicherheits- und Netzwerkmanager zu alarmieren, damit sie die Aktivität analysieren und stoppen oder reagieren können, bevor eine Bedrohung das System und die Daten beeinträchtigt.

Die drei Hauptkomponenten der Überwachung des Netzwerkverhaltens sind die Verkehrsflussmuster, die Netzwerkleistungsdaten und die passive Verkehrsanalyse. Auf diese Weise kann eine Organisation Bedrohungen wie die folgenden erkennen:

Unangemessenes Netzwerkverhalten - Die Tools erkennen nicht autorisierte Anwendungen, anormale Netzwerkaktivitäten oder Anwendungen, die ungewöhnliche Ports verwenden. Sobald es erkannt wurde, kann das Schutzsystem verwendet werden, um das mit der Netzwerkaktivität verknüpfte Benutzerkonto zu identifizieren und automatisch zu deaktivieren.
Datenexfiltration - Überwacht ausgehende Kommunikationsdaten und löst einen Alarm aus, wenn verdächtig große Datenübertragungsmengen erkannt werden. Das System könnte ferner die Zielanwendung identifizieren, wenn diese Cloud-basiert ist, um festzustellen, ob sie legitim ist oder ob es sich um einen Datendiebstahl handelt.
Verborgene Malware - Erkennt fortgeschrittene Malware, die möglicherweise den Perimeter-Sicherheitsschutz umgangen und das Unternehmensnetzwerk infiltriert hat.