La detección de anomalías en el comportamiento de la red (NBAD) es una técnica de seguridad utilizada para monitorear una red en busca de signos de actividad inusual. Esta técnica está diseñada para combinarse con múltiples capas de seguridad para proporcionar una protección completa, y se logra con el uso de un programa de computadora que monitorea la red de manera continua. Numerosas empresas realizan programas diseñados para la detección de anomalías de comportamiento de la red en diversos entornos.

El programa primero establece una línea de base, observando la red normal y el comportamiento del usuario. Con esta información, puede comenzar a identificar anomalías que podrían indicar una amenaza a la seguridad. Las amenazas a la seguridad pueden incluir virus y gusanos, la liberación no autorizada de información confidencial y problemas similares. La detección de anomalías en el comportamiento de la red también se puede utilizar para identificar infracciones de los términos de uso. En una red universitaria, por ejemplo, puede estar prohibida la descarga de material protegido por derechos de autor, y el programa puede identificar a los usuarios que descargan grandes cantidades de datos, lo que podría sugerir que están pirateando software, música o películas.

Una ventaja de la detección de anomalías en el comportamiento de la red es que se puede utilizar para abordar exploits de día cero. Las vulnerabilidades de día cero se producen cuando se lanza un virus por primera vez o cuando las personas identifican por primera vez un agujero de seguridad. En el "día cero", los programas antivirus y de software de seguridad aún no han identificado un perfil que pueda usarse para prevenir tales ataques. Sin embargo, la detección de anomalías en el comportamiento de la red no tiene que buscar un perfil en particular, solo busca actividad inusual, lo que significa que puede identificar algo como un virus antes de que se actualice el programa antivirus.

Cuando un programa de detección de anomalías de comportamiento de la red identifica algo que considera inusual, enviará una alerta a un administrador. El administrador puede determinar qué está sucediendo y decidir si tomar medidas o no. Por ejemplo, un aumento en el tráfico saliente podría ser el resultado de la carga de un proyecto grande en un servidor externo, lo que significa que no es necesario tomar ninguna medida. Por el contrario, una computadora que envía de repente miles de correos electrónicos puede infectarse con un virus, lo que hace que sea necesario actuar para proteger al resto de la red de la infección.

Esta técnica de seguridad se puede utilizar en redes de todos los tamaños. El programa utilizado para realizar la detección de anomalías en el comportamiento de la red generalmente se puede personalizar para satisfacer necesidades particulares. Por ejemplo, se le puede decir al programa que corte una computadora de una red si presenta signos obvios de problemas de seguridad o violaciones de los términos de uso.