Võrgukäitumise anomaaliate tuvastamine (NBAD) on turvatehnika, mida kasutatakse võrgu jälgimiseks ebatavalise tegevuse tunnuste suhtes. See tehnika on loodud ühilduma mitme turbekihiga, et pakkuda täielikku kaitset, ja see saavutatakse arvutiprogrammi abil, mis jälgib võrku pidevalt. Paljud ettevõtted toodavad programme, mis on loodud võrgu käitumise anomaaliate tuvastamiseks erinevates seadetes.
Programm loob esmalt lähtetaseme, vaadeldes tavapärast võrgu- ja kasutajakäitumist. Selle teabe abil saab ta hakata tuvastama kõrvalekaldeid, mis võivad viidata turvaohule. Turvaohtudeks võivad olla viirused ja ussid, tundliku teabe volitamata väljastamine ja sarnased probleemid. Võrgukäitumise anomaaliate tuvastamist saab kasutada ka kasutustingimuste rikkumiste tuvastamiseks. Näiteks kõrgkoolide võrgus võib autoriõigustega kaitstud materjalide allalaadimine olla keelatud ja programm suudab tuvastada kasutajad, kes laadivad alla suuri andmemahtusid, mis võib viidata sellele, et nad tegelevad tarkvara, muusika või filmide piraatlusega.
Võrgukäitumise anomaaliate tuvastamise üheks eeliseks on see, et seda saab kasutada nullpäevade ärakasutamiseks. Nullpäeva ärakasutamine toimub siis, kui viirus esmakordselt vabastatakse või kui inimesed tuvastavad esmakordselt turvaaugu. “Nullpäeval” ei ole viirusetõrje- ja turvatarkvaraprogrammid veel tuvastanud profiili, mida saaks selliste ärakasutamiste vältimiseks kasutada. Võrgukäitumise anomaaliate tuvastamine ei pea aga otsima kindlat profiili, vaid otsib lihtsalt ebatavalist tegevust, mis tähendab, et suudab tuvastada midagi viirusetaolist enne viirusetõrjeprogrammi värskendamist.
Kui võrgukäitumise anomaaliate tuvastamise programm tuvastab midagi, mis tema arvates on ebatavaline, saadab see administraatorile hoiatuse. Administraator saab otsustada, mis toimub, ja otsustada, kas võtta meetmeid või mitte. Näiteks võib väljamineva liikluse suurenemine olla tingitud suure projekti üleslaadimisest välisserverisse, mis tähendab, et midagi ei pea tegema. Ja vastupidi, ootamatult tuhandeid e-kirju välja saatva arvuti võib olla viirusega nakatunud, mistõttu on vaja tegutseda ülejäänud võrgu kaitsmiseks nakatumise eest.
Seda turvatehnikat saab kasutada igas suuruses võrkudes. Võrgukäitumise anomaaliate tuvastamiseks kasutatavat programmi saab tavaliselt kohandada vastavalt konkreetsetele vajadustele. Näiteks võib programmile käskida arvuti võrgust välja lülitada, kui sellel ilmnevad ilmsed märgid turvaprobleemidest või kasutustingimuste rikkumisest.