análisis forense de redes implica el seguimiento y análisis de datos digitales. Forense de la red también incluye la captura de los datos para su uso como prueba en procedimientos judiciales . Tipos de pruebas basada en la red son: datos de contenido completo , datos de sesión , datos estadísticos y los datos de alerta. De datos completa de contenido
datos de contenido completa es una grabación de toda la información que pasa a través de la red en un punto y hora específicas . Si bien esto es , obviamente, el tipo más informativa de las pruebas , es una enorme cantidad de datos a analizar para pruebas . Captura de datos de contenido completa requiere una gran cantidad de memoria y recursos de la red , y por lo tanto , no puede ser la forma más práctica de pruebas basada en la red .
Sesión de datos
datos de la sesión , también conocidos como conversación o de flujo de datos , es una captura de la corriente de datos entre dos sistemas o usuarios . Este tipo de pruebas son eficaces para la verificación de las conexiones a las partes maliciosos o no autorizados. Los datos de sesión suele incluir evidencia de los datos que se transfieren , la identificación de las partes involucradas, así como la duración y el momento de la transferencia . Los datos de sesión se pueden identificar señales de alerta , tales como sesiones de frecuencia anormal o duración , cantidades inusuales de los datos transferidos y conexiones con protocolos no estándar.
Statistical Data
pruebas de red estadístico pone de relieve los patrones inusuales de transferencia y protocolos que se accede a los datos . En general, los datos estadísticos se ve en toda la red en lugar de los datos de sesión individuales. La evidencia estadística incluye la supervisión de toda la red durante períodos de tiempo específicos para espigar tiempos de transferencia de datos excesivo . El analista de sistemas puede utilizar esta información para determinar con precisión los altos niveles de los datos entrantes y salientes que sugieren que el uso inadecuado de la red. Los analistas también pueden supervisar la mezcla de los protocolos utilizados en períodos de tiempo específicos para localizar patrones inusuales .
Con el fin de dar sentido a los datos estadísticos , analistas de redes deben comenzar con un perfil de actividad de acogida. Perfiles de actividad Host crea una línea de base de la actividad típica de una red determinada . Los analistas utilizan esta línea de base para comparar los patrones de uso de la red e identificar las desviaciones del patrón normal o perfil.
Alerta Datos
software Network
puede ser programado para responder a las palabras clave específicas o conoce las direcciones IP maliciosas. El software se activa la red para capturar los incidentes de estas palabras clave o acceso no autorizado. Esta información se puede seguir a usuarios específicos y horarios específicos . Alerta de software también puede bloquear el acceso a, o desde los servidores o sitios inapropiados. Sin embargo , esto puede dar lugar a "falsos positivos" o el bloqueo de los sitios o servidores que son inofensivas que desencadenan el software. Esto puede conducir a una disminución del tráfico de red .