criminalistique de réseau implique le suivi et l'analyse des données numériques. Criminalistique réseau comprend également capturer les données à utiliser comme éléments de preuve dans les procédures judiciaires . Types de données en réseau sont les suivantes: données complète contenu, les données de session , des données statistiques et des données d'alerte. Full- données de contenu
données Full- contenu est un enregistrement de toutes les informations transmises via le réseau à un point et une heure spécifiques . Bien que ce soit évidemment le type le plus instructif de preuve, il ya une énorme quantité de données à analyser des preuves. Full- content capture de données nécessite beaucoup de mémoire et des ressources du réseau et, par conséquent , peut ne pas être le type le plus pratique fondée sur des preuves réseau .
Session données
les données de session , aussi connu comme la conversation ou des données de flux , est une capture du flux de données entre deux systèmes ou les utilisateurs. Ce type de preuve est efficace pour vérifier les connexions aux parties malveillants ou non autorisés . Les données de session comprend généralement preuve des données qui sont transférées , l'identification des parties concernées , ainsi que la durée et l'heure du transfert. Les données de session peuvent repérer les drapeaux rouges comme des séances de fréquence anormale ou la durée , les montants inhabituels de données transférées et les connexions à des protocoles non standard.
Statistical Data
une preuve de réseau statistique met en évidence les types inhabituels de transfert et les protocoles qui sont accessibles données. En général , les données statistiques se penche sur l' ensemble du réseau plutôt que les données de session individuelles. La preuve statistique comprend la surveillance l'ensemble du réseau sur des périodes de temps spécifiques pour glaner des temps de transfert de données excessive. L'analyste des systèmes peut utiliser cette information pour identifier des niveaux élevés de données entrantes ou sortantes qui suggèrent l'utilisation inappropriée du réseau. Les analystes peuvent également surveiller le mélange de protocoles utilisés durant des périodes de temps spécifiques pour localiser les types inhabituels .
Afin de donner un sens à des données statistiques , les analystes de réseaux doivent commencer par un profil d'activité d'accueil. Activité Host profilage crée une base d'activité typique sur un réseau donné . Les analystes utilisent cette base de référence pour comparer les profils d'utilisation du réseau et d'identifier les écarts par rapport au modèle ou profil normal
Alerte données
logiciel de réseau.
Peut être programmé pour répondre à des mots clés spécifiques ou adresses IP malveillantes connues. Le logiciel déclenche le réseau pour capturer les incidents de ces mots-clés ou accès non autorisé. Cette information peut être suivi à des utilisateurs spécifiques et à certaines heures . Alerte logiciel peut également bloquer l'accès à ou depuis des serveurs ou des sites inappropriés. Toutefois, cela peut conduire à des «faux positifs» ou le blocage des sites ou serveurs qui sont inoffensifs qui déclenchent le logiciel. Cela peut conduire à un ralentissement du trafic sur le réseau .