什么是网络取证（Network Forensics）

企业采用新技术来检查其网络安全是否存在零日漏洞，与立即指示问题的物理层不同，黑客攻击尝试可能会被忽视并变得严重，直到对网络流量有一个整体的可见性。通过实时监控来跟踪其源和目标的流量，以查明问题或潜在问题的根源。

什么是网络取证

网络取证（network forensics）是抓取、记录和分析网络事件以发现安全攻击或其他的问题事件的来源。

网络取证是数字取证的一个子集，可捕获和分析网络流量，以发现有助于调查安全漏洞的有用信息。组织中的网络攻击在影响主要数据源之前可能是未知的，但为了确保它不会再次发生，管理员可能需要收集过去的网络流量数据，确定问题的范围，并确定出了什么问题，尤其是任何安全漏洞和配置问题。

网络取证的重要性

网络取证对于捕获和分析网络流量以及审核带宽使用情况以检测任何异常或异常行为非常重要，除了通过监控用户活动来提高安全性外，网络取证还有助于找出任何带宽瓶颈的根本原因，并防止进一步的性能问题。

网络取证如何工作

网络取证遵循执行的一般工作，例如：获取带宽使用信息，制定战略，然后收集证据以分析流量峰值或行为，最后报告整个网络的性能。

网络取证是否比使用防火墙或 IDS 更好

作为网络管理员，知道防火墙和入侵检测系统 （IDS） 的安全工具是多么完善和有效。但是与网络取证分析工具（NFAT）相比，它如何降低它们的效率？答案涉及这两个安全系统遵循的基本工作原理。

理想的防火墙将根据管理员的预配置规则允许和限制进出特定 IP 地址、网络或端口号的流量。但是有些协议可以避开特定的端口。因此，黑客更容易违反基于端口的安全性，并允许他们访问您的网络。即使是内部用户也可以访问恶意网站。另一方面，理想的 IDS 通常通过阻止与预配置的安全策略不匹配的流量来工作。但并非每个入侵都能被检测到。

网络取证解决方案通过收集整个流量来发现异常，从而改进了这两种方法。这些工具仅关注检测问题和确定问题根本原因所需的信息。这是因为网络取证分析工具遵循两种基本方法：<