Die vier Arten von netzwerkbasierten Beweise (Nbe)
Netzwerk Forensik beinhaltet die Überwachung und Analyse von digitalen Daten. Netzwerk Forensik schließt auch die Erfassung der Daten als Beweismittel in Gerichtsverfahren verwenden. Netzwerkbasierte Beweise sind: voller Content-Daten, Sitzungsdaten, statistische Daten und Alertdaten.
Vollständige Content-Daten
Vollständige Content-Daten ist eine Aufnahme aller Informationen, die über das Netzwerk zu einem bestimmten Zeitpunkt und Datum übergeben. Während offensichtlich die informativste Art von beweisen ist, ist es eine riesige Menge von Daten, Beweise zu analysieren. Voll-Inhalt Datenerfassung erfordert viel Speicher und Netzwerk-Ressourcen und daher möglicherweise nicht die praktischste Art von netzwerkbasierten beweisen.
Sitzungsdaten
Sitzungsdaten, auch bekannt als Gespräch oder Bewegungsdaten, ist eine Aufzeichnung des Streams von Daten zwischen zwei Systemen oder Benutzer. Diese Art von Beweis ist für das Überprüfen von Verbindungen auf bösartige oder nicht autorisierte Parteien wirksam. Sitzungsdaten gehören Beweise für die übertragenen Daten, Identifikation der Beteiligten, und die Dauer und Zeitpunkt des Übergangs. Sitzungsdaten können rote Fahnen wie z. B. Sitzungen anormale Frequenz oder Dauer, ungewöhnliche Datenmengen übertragen und Verbindungen von nicht-standard-Protokolle genau.
Statistische Daten
Statistischen Netzwerk Beweise unterstreicht die ungewöhnliche Muster der Datenübertragung und Protokolle, die zugegriffen werden. Im allgemeinen sieht die statistische Daten auf das gesamte Netzwerk statt einzelnen Sitzungsdaten. Statistische Evidenz gehört die Überwachung des gesamten Netzwerks über bestimmte Zeiträume zu Zeiten der übermäßigen Datentransfer abzulesen. Der Systemanalytiker können diese Informationen verwenden, um hohe Konzentrationen von eingehenden oder ausgehenden Daten herauszufiltern, die unangemessene Nutzung des Netzes zu schlagen. Das Überwachen von Analysten der Mischung von Protokollen, die während bestimmter Zeiträume, um ungewöhnliche Muster zu finden.
Um statistische Daten Sinn, müssen Netzwerk Analysten mit einem Host-Aktivitäts-Profil beginnen. Host Aktivität Profilerstellung schafft eine Basis für die typische Tätigkeit in einem bestimmten Netzwerk. Analysten können diese Grundwerte Netzwerks Verwendungsmuster zu vergleichen und ermitteln Abweichungen von der normalen Muster oder Profil.
Warnungsdaten
Netzwerk-Software kann so programmiert werden, reagieren auf bestimmte Schlüsselwörter oder bekannte schädliche IP-Adressen. Die Software löst das Netzwerk um Vorfälle dieser Schlüsselwörter oder unberechtigten Zugriff zu erfassen. Diese Informationen kann bestimmte Benutzer zu bestimmten Zeiten verfolgt werden. Alarmierung Software kann auch Zugriff auf oder von ungeeigneten Servern oder Websites blockieren. Allerdings kann dies zu "false Positives" führen oder Sperrung von Websites oder Servern, die harmlos sind, die die Software auslösen. Dies kann zu einer Verlangsamung des Netzwerkverkehrs führen.