Netværk retsvidenskab indebærer overvågning og analyse af digitale data . Netværk retsvidenskab omfatter også opfange de data, der anvendes som bevismateriale i retssager. Typer af net-baserede beviser er: full- content data , session data , statistiske data og alarm data. Full- indholdsdata
Full- indhold data er en registrering af alle de oplysninger, der videregives gennem netværket på et bestemt punkt og tid. Mens dette er naturligvis den mest informative form for dokumentation , er det en enorm mængde data til at analysere for beviser. Full- indhold datafangst kræver en stor hukommelse og netværksressourcer , og kan derfor ikke være den mest praktiske form for net-baserede beviser.
Session Information
Session data , også kendt som samtale eller flow data , er en opsamling af strøm af data mellem to systemer eller brugere. Denne type beviser er effektiv til at kontrollere forbindelser til ondsindede eller uautoriserede parter. Session data omfatter typisk bevis for de data, der overføres , identifikation af de involverede parter , og varighed og tidspunkt for overførslen . Session data kan lokalisere røde flag såsom sessioner af unormal hyppighed eller varighed , usædvanlige mængder af overførte data og forbindelser til ikke-standardiserede protokoller.
Statistical Data
Statistisk netværk beviser fremhæver de usædvanlige mønstre af dataoverførsel og protokoller , der er adgang . Generelt ser statistiske data på hele netværket i stedet for enkelte session data. Statistisk dokumentation omfatter tilsyn med hele netværket over bestemte tidsperioder at indsamle tilfælde af ekstra dataoverførsel. Den systemanalytiker kan bruge disse oplysninger til at lokalisere høje niveauer af indgående eller udgående data som tyder på uhensigtsmæssig brug af netværket . Analytikere kan også overvåge blandingen af protokoller, der anvendes i bestemte tidsperioder for at finde usædvanlige mønstre .
For at gøre følelse af statistiske data, skal netværks analytikere begynde med et væld aktivitet profil. Host aktivitet profilering skaber en baseline på typiske aktivitet på et givet net . Analytikere bruge denne baseline til at sammenligne netværk brugsmønstre og identificere afvigelser fra det normale mønster eller profil.
Alert Information
Network software kan programmeres til at reagere på bestemte søgeord eller kendte ondsindede IP-adresser. Den software udløser netværket til at fange hændelser af disse søgeord eller uautoriseret adgang . Denne information kan spores til bestemte brugere og bestemte tidspunkter. Alarmering software kan også blokere adgangen til eller fra uhensigtsmæssige servere eller websteder. Dog kan det føre til " falske positiver " eller blokering af websteder eller servere , der er uskadelige , der udløser softwaren. Dette kan føre til en opbremsning af netværkstrafik.