Odkrivanje anomalij vedenja omrežja (NBAD) je varnostna tehnika, ki se uporablja za spremljanje omrežja glede znakov nenavadne dejavnosti. Ta tehnika je zasnovana tako, da se dopolnjuje z več plastmi varnosti, da zagotovi popolno zaščito, in je dosežena z uporabo računalniškega programa, ki nenehno spremlja omrežje. Številna podjetja izdelujejo programe, zasnovane za odkrivanje anomalij vedenja omrežja v različnih nastavitvah.
Program najprej vzpostavi izhodišče, gleda na normalno omrežje in obnašanje uporabnikov. S temi informacijami lahko začne ugotavljati anomalije, ki bi lahko kazale na varnostno grožnjo. Varnostne grožnje lahko vključujejo viruse in črve, nepooblaščeno objavo občutljivih informacij in podobne težave. Odkrivanje anomalij vedenja omrežja se lahko uporablja tudi za prepoznavanje kršitev pogojev uporabe. V visokošolskem omrežju je na primer nalaganje avtorsko zaščitenega gradiva morda prepovedano, program pa lahko identificira uporabnike, ki prenašajo velike količine podatkov, kar bi lahko namigovalo, da se ukvarjajo s piratstvom programske opreme, glasbe ali filma.
Ena od prednosti zaznavanja anomalij vedenja omrežja je, da se lahko uporablja za obravnavanje izkoriščanja ničelnega dne. Do izkoriščanja nič dneva pride, ko se virus prvič sprosti ali ko ljudje prvič prepoznajo varnostno luknjo. Na »ničelni dan« protivirusni in varnostni programi še niso identificirali profila, ki bi ga lahko uporabili za preprečevanje takšnih izkoriščanj. Za odkrivanje anomalij vedenja omrežja pa ni treba iskati določenega profila, temveč le nenavadno dejavnost, kar pomeni, da lahko prepozna nekaj podobnega virusu, preden je protivirusni program posodobljen.
Ko program za odkrivanje anomalij vedenja omrežja prepozna nekaj, kar meni, da je nenavadno, bo poslal opozorilo skrbniku. Skrbnik lahko ugotovi, kaj se dogaja, in se odloči, ali bo ukrepal ali ne. Na primer, povečanje odhodnega prometa je lahko posledica nalaganja velikega projekta na zunanji strežnik, kar pomeni, da ni treba ukrepati. Nasprotno pa bi lahko bil računalnik, ki nenadoma pošilja na tisoče e-poštnih sporočil, okužen z virusom, zaradi česar je potrebno ukrepanje za zaščito preostalega omrežja pred okužbo.
Ta varnostna tehnika se lahko uporablja v omrežjih vseh velikosti. Program, ki se uporablja za odkrivanje anomalij vedenja omrežja, je običajno mogoče prilagoditi posebnim potrebam. Programu se lahko na primer naroči, naj računalnik izklopi iz omrežja, če kaže očitne znake varnostnih težav ali kršitev pogojev uporabe.