Definisjon av Network Forensics

Definisjon av Network Forensics


Som du kanskje forventer, er datamaskinen begrepet "nettverksanalyse" lånt fra feltet av kriminologi. Det innebærer å oppsøke og finne sikkerhetsproblemer og andre problemer innenfor datanettverk. I hovedsak er det opptak og analyse av nettverkshendelser å avdekke kilden til sikkerhets knebukser eller andre problemer. Og spesielt, det krever evne til å fritte ut uvanlige mønstre skjult i tilsynelatende uskyldig nettverkstrafikk. Marcus Ranum, kjent brannmur ekspert, sies å ha gitt begrepet "nettverksanalyse," ifølge SearchSecurity.com.

Identifikasjon

Marcus Ranum, forfatter av "Database Nation: The Death of Personvern i det 21. århundre" blant andre datamaskinen sikkerhetsrelaterte titler, forklarer at nettverksrettssystemer faller innenfor to hovedkategorier: "ta det som du kan" og "stopp, se og lytte "systemer. I begge typene, er pakker med data som er registrert langs en utpekt trafikkstrøm og undersøkt meget nøye.

En pakke er en del av informasjonen som er rutet fra et punkt A til en destinasjon B på Internett eller lignende nettverk. Transmission Control Protocol (TCP) delen av initialism "TCP / IP" skjærer filen i håndterbare "biter" for ruting. Hver av disse pakkene er nummerert og bærer Internett-adressen til destinasjonen, potensielt reise forskjellige ruter over eteren.

Catch det som du kan

"Catch det som du kan" nettverk rettssystemer ta pakker som flyr gjennom målrettede trafikkpunkter i et nettverk og fange dem. Med andre ord, blir datapakkene skrevet til lagring. Selve undersøkelsen og dyp analyse av disse data er gjort på et senere tidspunkt i en serie av grupper. Ikke overraskende, betyr det at du trenger store mengder lagringskapasitet, ofte funnet i et system kalt RAID, som står for "Redundant Array of Independent Disks." Med RAID, er de samme data som er lagret på forskjellige steder, og dermed effektivisere og påskynde dataanalyseprosessen.

Stopp, se og lytte

"Stopp, se og lytte" nettverksanalyse tar hver pakke og undersøker det i det som kan kalles en overfladisk måte, i minnet, luke ut noen spesielt saftige biter av informasjon og lagre dem for fremtidig analyse. Mindre lagringsplass er nødvendig med "stopp, se og lytte"; men denne tilnærmingen betyr ofte at du trenger en raskere prosessor å holde seg à jour med de mengder innkommende trafikk.

Lagring

Både "ta det som du kan" og "stopp, se og lytte" nettverksrettsmedisinske systemer krever kapasitet til å lagre enorme hauger av data og behovet for å gjøre plass til ny informasjon ved å dumpe foreldet biter av data. Det finnes programmer som er spesielt utviklet for å fange opp og analysere data for nettverksetterforskning. Et par av åpen kildekode-versjoner er tcpdump og windump, forklarer SearchSecurity.com. Kommersielle programmer er også tilgjengelig for datafangst og analyse.

betraktninger

Ifølge Marcus Ranum, den "ta det som du kan" protokoll spesielt bærer med seg problemet med personvernet. Hver datapakke av informasjon - inkludert data generert av brukeren - fanges og lagres, slik at denne informasjonen sårbare for nysgjerrige øyne og lekkasjer. Selv om Electronic Communications Privacy Act helt forbyr avlytting av Internett-leverandører - bortsett operasjoner overvåking under rettskjennelse eller etter tillatelse fra brukere - det ville synes at jo mer informasjon som blir hamstret, jo mer sannsynlig er det at sikkerhets knebukser vil skje. En kontroversiell nettverk rettsmedisinske analyser verktøy, eller NFAT, for eksempel, er Carnivore, drevet av FBI.