網路鑑識

elite

網路鑑識（Network Forensics）
近年來由於網路的風行，讓大多數的人都知道透過Internet來取存不同的資源，在網路使用的方便底下，卻引發一波波的犯罪現實，很多的心懷不軌的駭客正利用網路的方便在進行一些破壞的事宜。雖然，目前可以透過防火牆、入侵偵測或是防毒軟體來保護重要的資產不被破壞或者是入侵。然而，這樣的保護還是有其盲點存在，因為這些資安設備所防備的最主要的是以已知攻擊為主，而對一些未知型的攻擊或是一些合法使用者的犯罪行為就沒有辦法可以預防或偵測，舉例而言在Blaster還沒發現前、這些廠商並不會有偵測Blaster的特徵資料庫，因此一但發生了blaster的攻擊事件也只能覺得網路上有異常狀況而無法有效查出來源及攻擊的行為，這也就是為什麼在blaster一旦發生攻擊後可以迅速的擴散到數百萬台的主機上，這樣的行為是不是能有效的被查出來而不一定是要靠所謂的特徵資料庫的幫忙。另外，我們常常把入侵或攻擊的來源著重於網際網路的駭客上，卻忽略了所謂合法的使用者，例如台鐵訂票事件，利用合法的身份重覆訂票數百張，或是教師利用身份自行調校等事件，這些事件都在在曝露著合法使用者的非法行為管理，而要如何在網路的行為中找出屬於未知的非法行為，又或者是在網路中找到合法使用者的非法行為呢？這些就必需要靠著網路鑑識這項工具來協助我們來找到這些蛛絲馬跡。
自有犯罪以來，鑑識（Forensics）這項工具也隨著犯罪的手法而推陳出新，慢慢的也從一般的刑案鑑識延伸到數位鑑識，這是因為近十年來由於電腦的普及化及網路發展快速使得整個犯罪也漸漸電腦化、網路化。因此，為了有效的打擊犯罪，鑑識電腦學也因應而生。下面，就先針對一些鑑識名詞做一些介紹：
電腦鑑識(computer forensics)－指的是藉由電腦設備為媒介所執行的犯罪行為的鑑識工作。說的白話一點就是去鑑識那些做為犯罪工具的電腦設備。
網路鑑識(network forensics)－針對利用網路為媒介來進行犯罪的鑑識工作，也就是去鑑識那一些透過網路來從事犯罪行為。運用各種技術分析網路所有傳遞模式，透過收集、分析、過濾、比對等方法找出可疑的行為模式或是隱藏在正常行為模式中的異常行為，用以察覺、預防與還原某一時間的網路行為與內容, 以防止進一步的危害事件發生。這類應用技術漸漸開始廣泛被應用在電腦犯罪、資訊安全威脅評估與分析以及機密資料外洩等領域上。
數位鑑識(digital forensics)－指對於數位資料所做的鑑識工作。