什么是网络取证（Network Forensics）

企业采用新技术来检查其网络安全是否存在零日漏洞，与立即指示问题的物理层不同，黑客攻击尝试可能会被忽视并变得严重，直到对网络流量有一个整体的可见性。通过实时监控来跟踪其源和目标的流量，以查明问题或潜在问题的根源。

什么是网络取证

网络取证（network forensics）是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源。

网络取证是数字取证的一个子集，可捕获和分析网络流量，以发现有助于调查安全漏洞的有用信息。组织中的网络攻击在影响主要数据源之前可能是未知的，但为了确保它不会再次发生，管理员可能需要收集过去的网络流量数据，确定问题的范围，并确定出了什么问题，尤其是任何安全漏洞和配置问题。

网络取证的重要性

网络取证对于捕获和分析网络流量以及审核带宽使用情况以检测任何异常或异常行为非常重要，除了通过监控用户活动来提高安全性外，网络取证还有助于找出任何带宽瓶颈的根本原因，并防止进一步的性能问题。

网络取证如何工作

网络取证遵循执行的一般工作，例如：获取带宽使用信息，制定战略，然后收集证据以分析流量峰值或行为，最后报告整个网络的性能。

网络取证是否比使用防火墙或 IDS 更好

作为网络管理员，知道防火墙和入侵检测系统（IDS）的安全工具是多么完善和有效。但是与网络取证分析工具（NFAT）相比，它如何降低它们的效率？答案涉及这两个安全系统遵循的基本工作原理。

理想的防火墙将根据管理员的预配置规则允许和限制进出特定 IP 地址、网络或端口号的流量。但是有些协议可以避开特定的端口。因此，黑客更容易违反基于端口的安全性，并允许他们访问您的网络。即使是内部用户也可以访问恶意网站。另一方面，理想的 IDS 通常通过阻止与预配置的安全策略不匹配的流量来工作。但并非每个入侵都能被检测到。

网络取证解决方案通过收集整个流量来发现异常，从而改进了这两种方法。这些工具仅关注检测问题和确定问题根本原因所需的信息。这是因为网络取证分析工具遵循两种基本方法：

第一种方法是接收流量的完整图片，以维护记录并找到潜在问题。
第二种方法是快速分析感兴趣的流量，并共享有关它的相关信息。

网络取证工具用例

安全
流量分析
性能

安全

由于网络取证过程取决于证据的收集，因此可以使用原始数据查找恶意域、URL 并检测威胁，可以发现流量的来源以及可疑流量背后的人。通过精细的详细信息，可以跟踪增长模式，以确定异常情况是由过度使用带宽还是黑客攻击造成的。

流量分析

尽管安全性是选择网络取证的必然原因之一，但它也可以通过深入的流量分析来帮助解决问题。借助取证，可以了解工作时间以外出现流量高峰的原因、导致流量高峰的协议，并了解源计算机和目标计算机，以便排查问题。可以按协议、设备和用户找到与带宽使用相关的信息。

性能

网络取证技术主要基于将流量数据存储更长时间，以了解趋势如何变化。假设组织的应用程序服务器无响应，并且许多消息或流量已丢失，取证通过提供有关一段时间内流量负载的信息来帮助您调查此问题，以便您可以检测未注意到的异常或应用程序错误。由于网络取证收集网络流量的全貌，因此您可以查明来源，或查看瓶颈的迹象，以确定这是黑客攻击还是持续的拥塞问题。