Netzwerk -Forensik umfasst die Überwachung und Analyse von digitalen Daten . Netzwerk Forensik beinhaltet auch die Erfassung der Daten, die als Beweismittel in Gerichtsverfahren verwendet werden. Arten von Netzwerk-basierte Beweise sind: Full- Content-Daten , Session-Daten , statistische Daten und Alert-Daten . Voll -Content Daten
Voll - Content-Daten ist eine Aufnahme aller Informationen über das Netzwerk an einem bestimmten Punkt und die Zeit verging . Zwar ist dies natürlich die informative Art von Beweisen , ist es eine riesige Menge an Daten nach Beweisen zu analysieren. Vollzeit- Gehalt Datenerfassung erfordert ein hohes Maß an Speicher -und Netzwerk- Ressourcen und kann daher nicht die praktischste Art von Netzwerk -basierten Beweis sein .
Session Data
Session -Daten , auch als Unterhaltung oder Fluss Daten bekannt, ist eine Erfassung der Strom von Daten zwischen zwei Systemen oder Benutzern . Diese Art des Nachweises ist für die Überprüfung Verbindungen zu bösartige oder nicht autorisierte Parteien . Session Daten typischerweise Beweise für die Daten, die übertragen wird , die Identifizierung der Beteiligten , sowie die Dauer und Zeitpunkt der Übertragung . Session -Daten können kleine rote Fahnen , wie Sitzungen der anormalen Häufigkeit oder Dauer , ungewöhnliche Mengen an Daten übertragen und Verbindungen zu Nicht-Standard- Protokolle .
Statistical Data
Statistische Netzwerk Beweis hebt die ungewöhnliche Muster der Datenübertragung und Protokolle, die zugegriffen wird. Im Allgemeinen sieht statistischen Daten auf das gesamte Netzwerk anstatt einzelne Session-Daten . Statistische Beweise beinhaltet die Überwachung des gesamten Netzwerks über bestimmte Zeiträume zu Zeiten des übermäßigen Datentransfer aufzulesen . Der Systemanalytiker können diese Informationen verwenden , um ein hohes Maß an eingehende oder ausgehende Daten , die unangemessene Verwendung des Netzwerks vorschlagen lokalisieren. Analysten können überwachen auch die Mischung von Protokollen während bestimmter Zeiträume verwendet werden, um ungewöhnliche Muster zu finden.
Um Sinne der statistischen Daten zu machen, müssen Sie die Netzwerk -Analysten mit einem Host- Wirkprofil beginnen. Aufnahmeaktivitäten Profilierung schafft eine Grundlinie der typische Aktivität in einem bestimmten Netz . Analysten verwenden diese Baseline Netzwerk Nutzungsmuster vergleichen und Abweichungen vom normalen Muster oder Profil.
Alarm Daten
Netzwerk-Software kann so programmiert werden , um bestimmte Schlüsselwörter reagieren oder bekannten bösartigen IP-Adressen. Die Software löst das Netzwerk, um Vorfälle dieser Schlüsselwörter oder unberechtigten Zugriff zu erfassen. Diese Informationen können zu bestimmten Benutzern und bestimmten Zeiten verfolgt werden. Alerting -Software kann auch den Zugriff auf oder von Servern oder anstößige Websites. Dies kann jedoch auf "false positives" oder Sperrung von Websites oder Server, die harmlos , dass Auslöser der Software sind zu führen. Dies kann zu einer Verlangsamung des Datenverkehrs im Netzwerk führen .
