Verkon käyttäytymisen poikkeavuuksien havaitseminen (NBAD) on tietoturvatekniikka, jota käytetään verkon tarkkailuun epätavallisen toiminnan merkkien varalta. Tämä tekniikka on suunniteltu yhdistämään useita suojakerroksia täydellisen suojan tarjoamiseksi, ja se saavutetaan käyttämällä tietokoneohjelmaa, joka valvoo verkkoa jatkuvasti. Lukuisat yritykset tekevät ohjelmia, jotka on suunniteltu verkkokäyttäytymisen poikkeavuuksien havaitsemiseen eri asetuksissa.
Ohjelma määrittää ensin perusviivan tarkastellen normaalia verkko- ja käyttäjäkäyttäytymistä. Näiden tietojen perusteella se voi alkaa havaita poikkeavuuksia, jotka voivat viitata tietoturvauhaan. Tietoturvauhkia voivat olla virukset ja madot, arkaluonteisten tietojen luvaton luovuttaminen ja vastaavat ongelmat. Verkon käyttäytymisen poikkeavuuksien havaitsemista voidaan käyttää myös käyttöehtojen rikkomusten tunnistamiseen. Esimerkiksi korkeakouluverkossa tekijänoikeuksilla suojatun materiaalin lataaminen voi olla kiellettyä, ja ohjelma voi tunnistaa käyttäjät, jotka lataavat suuria tietomääriä, mikä saattaa näyttää viittaavan siihen, että he harjoittavat ohjelmistojen, musiikin tai elokuvien piratismia.
Eräs etu verkkokäyttäytymisen poikkeavuuksien havaitsemisessa on, että sitä voidaan käyttää nollapäivän hyväksikäyttöön. Nollapäivän hyväksikäyttöä tapahtuu, kun virus ensimmäisen kerran vapautetaan tai kun ihmiset tunnistavat ensin suoja -aukon. Nollapäivänä virustorjunta- ja tietoturvaohjelmistot eivät ole vielä tunnistaneet profiilia, jota voitaisiin käyttää tällaisen hyväksikäytön estämiseen. Verkon käyttäytymishäiriöiden havaitsemisen ei kuitenkaan tarvitse etsiä tiettyä profiilia, se etsii vain epätavallista toimintaa, mikä tarkoittaa, että se voi tunnistaa jotain viruksen kaltaista ennen virustorjuntaohjelman päivittämistä.
Kun verkon käyttäytymishäiriöiden tunnistusohjelma havaitsee jotain, mikä on mielestäsi epätavallista, se lähettää hälytyksen järjestelmänvalvojalle. Järjestelmänvalvoja voi määrittää, mitä tapahtuu, ja päättää, ryhtyykö toimenpiteisiin vai ei. Esimerkiksi lähtevän liikenteen kasvu voi johtua suuren projektin lataamisesta ulkoiselle palvelimelle, mikä tarkoittaa, että mitään ei tarvitse tehdä. Päinvastoin, tietokone, joka yhtäkkiä lähettää tuhansia sähköpostiviestejä, voi saada virustartunnan, mikä edellyttää toimenpiteitä muun verkon suojaamiseksi tartunnalta.
Tätä suojaustekniikkaa voidaan käyttää kaikenkokoisissa verkoissa. Ohjelma, jota käytetään verkon käyttäytymishäiriöiden havaitsemiseen, voidaan yleensä räätälöidä vastaamaan tiettyjä tarpeita. Ohjelmaa voidaan esimerkiksi kehottaa katkaisemaan tietokone verkosta, jos siinä on ilmeisiä merkkejä turvallisuusongelmista tai käyttöehtojen rikkomisesta.