Network forensics là gì?

Từ pháp y (forensics) có nghĩa là việc sử dụng khoa học và công nghệ để điều tra và xác lập sự thật trong các tòa án hình sự hoặc dân sự. Pháp y là thủ tục áp dụng kiến ​​thức khoa học nhằm mục đích phân tích bằng chứng và trình bày chúng trước tòa.

Pháp y mạng (network forensics) là một danh mục con của pháp y kỹ thuật số (digital forensic) về cơ bản đề cập đến việc giám sát và phân tích lưu lượng truy cập (traffic) của nó đi qua một mạng bị nghi ngờ có liên quan đến các hoạt động độc hại chẳng hạn như một mạng đang phát tán phần mềm độc hại để lấy cắp thông tin nhận dạng người dùng (credential). Các công cụ được sử dụng ở đây là hệ thống phát hiện xâm nhập mạng (network intrusion detection system) và các công cụ tự động khác.

Với sự trợ giúp của pháp y mạng (network forensics), toàn bộ dữ liệu có thể được truy xuất bao gồm tin nhắn (message), truyền tải tập tin (file transfer), e-mail, lịch sử duyệt web (web browsing history).Để xác định các cuộc tấn công, các nhà điều tra phải hiểu các giao thức mạng (network protocol) như giao thức web (web protocol), giao thức email (email protocol), giao thức truyền tập tin (file transfer protocol), v.v.