Tinklo elgesio anomalijų aptikimas (NBAD) yra saugos metodas, naudojamas stebėti, ar tinkle nėra neįprastos veiklos požymių. Šis metodas sukurtas taip, kad būtų suderintas su keliais saugumo lygiais, kad būtų užtikrinta visapusiška apsauga, ir tai pasiekiama naudojant kompiuterinę programą, kuri nuolat stebi tinklą. Daugelis įmonių kuria programas, skirtas tinklo elgesio anomalijų aptikimui įvairiuose nustatymuose.
Programa pirmiausia nustato bazinę liniją, atsižvelgdama į įprastą tinklo ir vartotojo elgesį. Turėdamas šią informaciją, jis gali pradėti nustatyti anomalijas, kurios gali reikšti grėsmę saugumui. Saugumo grėsmės gali būti virusai ir kirminai, neteisėtas neskelbtinos informacijos išleidimas ir panašios problemos. Tinklo elgesio anomalijų aptikimas taip pat gali būti naudojamas norint nustatyti naudojimo sąlygų pažeidimus. Pavyzdžiui, kolegijos tinkle gali būti draudžiamas autorių teisių saugomos medžiagos atsisiuntimas, o programa gali atpažinti vartotojus, kurie atsisiunčia didelius duomenų kiekius, o tai gali reikšti, kad jie piratuoja programinę įrangą, muziką ar filmus.
Vienas iš tinklo elgsenos anomalijų aptikimo pranašumų yra tai, kad jį galima naudoti sprendžiant nulinės dienos išnaudojimus. Nulinės dienos išnaudojimai įvyksta pirmą kartą paleidus virusą arba kai žmonės pirmą kartą nustato saugumo spragą. „Nulinę dieną“ antivirusinės ir saugos programinės įrangos programos dar nenustatė profilio, kurį būtų galima naudoti siekiant užkirsti kelią tokiems išnaudojimams. Tačiau tinklo elgsenos anomalijų aptikimui nereikia ieškoti konkretaus profilio, ji tiesiog ieško neįprastos veiklos, o tai reiškia, kad gali atpažinti kažką panašaus į virusą prieš atnaujinant antivirusinę programą.
Kai tinklo elgesio anomalijų aptikimo programa nustato kažką, kas, jos nuomone, yra neįprasta, ji išsiųs įspėjimą administratoriui. Administratorius gali nustatyti, kas vyksta, ir nuspręsti, ar imtis veiksmų. Pavyzdžiui, išeinančio srauto padidėjimas gali būti didelio projekto įkėlimas į išorinį serverį, o tai reiškia, kad nereikia imtis jokių veiksmų. Ir atvirkščiai, kompiuteris, staiga siunčiantis tūkstančius el. laiškų, gali būti užkrėstas virusu, todėl reikia imtis veiksmų, kad likusi tinklo dalis būtų apsaugota nuo užkrėtimo.
Ši saugos technika gali būti naudojama bet kokio dydžio tinkluose. Programa, naudojama tinklo elgesio anomalijų aptikimui, paprastai gali būti pritaikyta, kad atitiktų konkrečius poreikius. Pavyzdžiui, programai gali būti nurodyta atjungti kompiuterį nuo tinklo, jei jame yra akivaizdžių saugumo problemų ar naudojimo sąlygų pažeidimų.