comportamento della rete rilevamento delle anomalie (NBAD) è una tecnica di protezione utilizzata per monitorare una rete di segni di attività insolite. Questa tecnica è stato progettato a combinarsi con più livelli di sicurezza per offrire una protezione completa, ed è realizzata con l'uso di un programma per computer che controlla la rete su base continua. Numerose società fanno programmi progettati per il rilevamento di anomalie nel comportamento della rete le varie impostazioni.

Il programma prevede prima una base di riferimento, guardando normale rete e il comportamento degli utenti. Con queste informazioni, è possibile iniziare a individuare le anomalie che potrebbero indicare una minaccia per la sicurezza. Le minacce alla sicurezza potrebbe includere virus e worm, il rilascio non autorizzato di informazioni sensibili, e questioni simili. Comportamento della rete rilevamento delle anomalie può essere utilizzato anche per individuare termini di violazioni uso. Su una rete di college, per esempio, il download di materiale protetto da copyright può essere vietata, e il programma in grado di identificare gli utenti che stanno scaricando grandi quantità di dati, che potrebbero sembrano suggerire che essi sono impegnati in pirateria del software, musica o film.

Un vantaggio per il comportamento della rete di rilevamento anomalia è che essa può essere utilizzata per affrontare zero day exploit. Zero day exploit si verificano quando un virus viene prima rilasciato o quando la gente prima di identificare un buco di sicurezza. Il "giorno zero", anti-virus e programmi software per la sicurezza non hanno ancora individuato un profilo che potrebbe essere utilizzato per prevenire questi abusi. Comportamento della rete di rilevamento anomalia, tuttavia, non ha bisogno di cercare un determinato profilo, appare solo per attività insolite, il che significa che si possano individuare qualcosa di simile a un virus prima che il programma antivirus è stato aggiornato.

Quando un comportamento della rete programma di rilevamento delle anomalie identifica qualcosa che si pensa è insolito, invierà un avviso per un amministratore. L'amministratore può definire quello che sta succedendo, e decidere se fare o di non agire. Ad esempio, un incremento nell'adozione di traffico in uscita potrebbe essere il risultato del caricamento di un grande progetto su un server esterno, il che significa che nessuna azione deve essere presa. Al contrario, un computer improvvisamente l'invio di migliaia di e-mail potrebbe essere infettato da un virus, rendendo le azioni necessarie per proteggere il resto della rete dalle infezioni.

Questa tecnica di sicurezza può essere utilizzato su reti di tutte le dimensioni. Il programma utilizzato per eseguire il comportamento della rete rilevamento delle anomalie di solito può essere personalizzato per soddisfare le esigenze particolari. Ad esempio, il programma può essere detto di tagliare un computer fuori da una rete se essa presenta evidenti segni di problemi di sicurezza o violazioni dei termini di utilizzo.