Los cuatro tipos de pruebas basadas en la Red (NBE)

análisis forense de redes implica el seguimiento y análisis de datos digitales. análisis forense de red también incluye la captura de los datos para su uso como prueba en procedimientos judiciales. Tipos de pruebas basadas en la red son: datos de contenido completo, datos de sesión, datos estadísticos y datos de alerta.

Full-Contenido de Datos

datos contenido completo es un registro de toda la información que pasa a través de la red en un punto y hora específicas. Si bien esto es, obviamente, el tipo más informativa de las pruebas, es una enorme cantidad de datos para analizar la evidencia. captura de datos para todo el contenido requiere una gran cantidad de memoria y recursos de red, y por lo tanto, no puede ser el tipo más práctico de la evidencia basada en la red.

datos de sesión

datos de la sesión, también conocido como de conversación o de flujo de datos, es una captura de la corriente de datos entre dos sistemas o usuarios. Este tipo de pruebas es eficaz para la verificación de las conexiones a terceros malintencionados o no autorizados. Los datos de sesión suele incluir evidencia de los datos que se transfieren, la identificación de las partes involucradas, así como la duración y el momento de la transferencia. Los datos de sesión se pueden identificar señales de alerta, tales como sesiones de frecuencia o duración anormal, cantidades inusuales de datos transferidos y conexiones con protocolos no estándar.

Datos estadísticos

evidencia red estadística pone de relieve los patrones inusuales de transferencia y protocolos que se accede a los datos. En general, los datos estadísticos se ve en toda la red en lugar de los datos de sesión individuales. La evidencia estadística incluye el seguimiento de toda la red durante períodos de tiempo específicos a los tiempos de transferencia de datos excesiva recoger. El analista de sistemas puede utilizar esta información para identificar altos niveles de datos entrantes o salientes que sugieren que el uso inadecuado de la red. Los analistas también pueden monitorear la mezcla de los protocolos utilizados durante períodos de tiempo específicos para localizar patrones inusuales.

Con el fin de dar sentido a los datos estadísticos, los analistas de redes deben comenzar con un perfil de actividad de acogida. la actividad de acogida de perfiles crea una línea de base de la actividad típica en una red dada. Los analistas utilizan esta línea de base para comparar los patrones de uso de red e identificar las desviaciones del patrón o perfil normal.

Los datos de alerta

El software de red puede ser programado para responder a las palabras clave específicas o direcciones IP maliciosos conocidos. El software desencadena la red para capturar incidentes de estas palabras clave o acceso no autorizado. Esta información puede ser rastreado a usuarios específicos y tiempos específicos. alertando de software también puede bloquear el acceso hacia o desde los servidores o sitios inapropiados. Sin embargo, esto puede dar lugar a "falsos positivos" o bloqueo de sitios o servidores que son inofensivas que desencadenan el software. Esto puede dar lugar a una ralentización del tráfico de red.