过去十年间，互联网用户数量呈爆炸式增长。在美国，每三个人中就有三个人使用互联网进行日常活动或商务活动。几乎每天，互联网用户数量都在增加，这意味着身份盗窃、欺诈和数据窃取等非法活动的数量也在上升。 

网络取证涉及捕获、记录和分析网络数据包，以确定安全攻击的来源。网络取证调查还包括检测入侵模式和调查攻击活动。分析网络流量需要从各种站点和各种网络设备（例如防火墙和入侵检测系统）收集数据。此外，网络取证还可用于监控、预防和分析潜在攻击。

网络取证调查有助于识别网络上的泄露、盗窃或可疑流量。这类调查旨在识别和分析疑似被网络犯罪分子入侵的网络上的流量。

网络取证的必要性

许多组织增加了网络中的设备数量并安装了高速端口。在企业网络发展的早期，计算机占据主导地位。如今，由于智能手机和联网设备的普及，网络可以连接比以往更多的设备。网络中设备数量的增加也扩大了攻击面。如今的威胁也更加复杂和隐蔽。攻击者现在花费大量时间来逃避现代攻击的检测。大多数情况下，数据泄露不会触发警报，因为泄露的数据量有限且经过加密。由于这些问题，取证调查变得更加困难和复杂，训练有素的调查人员和先进的工具对于充分调查攻击至关重要。 

网络取证能够帮助组织深入了解其网络流量的流动方式。在这种情况下，调查人员可以选择搜索网络并深入挖掘具体细节。通常，这是一个两步流程。第一步是收集数据。各种搜索工具应基于从网络中收集的数据以及从中提取和索引的元数据，搜索特定信息。收集到所需信息后，下一步就是搜索这些数据。 

网络取证的重要性

理论上，捕获网络流量相对简单，但由于诸多固有因素，实践中却极具挑战性。互联网协议非常复杂，网络中的数据流量巨大。网络流量记录过程需要消耗大量资源。由于网络数据量庞大，可能无法记录所有数据。因此，必须将记录的数据备份到可用存储介质上，以便日后进行分析。

分析记录的数据至关重要，但也极其耗时。虽然有很多用于取证的自动化分析工具，但没有一种是万无一失的。如果工具程序编写不当，攻击者很容易将恶意流量伪装成正常流量。此外，由于自动化流量分析工具可能会产生误报，因此人工判断也至关重要。

网络取证对于确定攻击发生的方式和追溯攻击源头至关重要。调查人员必须遵循正当的调查程序，才能将调查人员获得的证据呈堂作证。

网络取证的类型

TCP/IP：网络层协议（例如互联网协议 (IP)）负责通过组合源地址和目标地址信息，将 TCP 数据包定向到网络（例如互联网）中的各个路由器。由于蜂窝分组网络（例如 GPRS）也使用类似的协议，因此 IP 方法同样适用。

互联网：可以从互联网上获取多种类型的数字证据，包括网页浏览、电子邮件、新闻组、同步聊天和点对点通信。检查网络服务器日志可以显示嫌疑人是否访问过与犯罪相关的信息。由于电子邮件标头很容易伪造，因此可能包含有价值的证据，利用电子邮件取证可以证明犯罪材料的确切来源。通过网络取证，可以根据网络服务的流量提取用户帐户信息，从而确定谁在使用特定的计算机。

以太网：用户可以根据此层的数据过滤事件。只有在传输或接收过程中未加密的情况下，才能重建网页、电子邮件附件和其他网络流量。在此层收集数据具有优势，因为数据直接连接到主机。

加密流量分析：加密流量分析通过检测可疑的TLS特征（例如来自不常见网络或服务器的流量），来检查流量是否包含恶意软件或其他威胁等恶意流量。另一种分析加密流量的方法是基于生成的数据创建指纹数据库，但这种方法因容易被黑客绕过且不够准确而受到批评。

网络取证：市场概览

全球网络取证市场预计在 2021 年至 2027 年的预测期内将以约 18.9% 的复合年增长率增长。 

区域分析：全球网络取证市场

该报告基于北美、欧洲、亚太地区、中东和非洲以及拉丁美洲等区域，对全球网络取证市场进行了区域分析。预计北美和欧洲将为网络取证解决方案供应商带来最大的收入。这主要是由于全球对研发和安全技术的重视，尤其是在美国和加拿大等发达经济体。亚太地区有望成为市场增长最快的地区。物联网设备和企业自带设备办公（BYOD）策略的日益普及将推动该地区的增长。

细分市场分析：网络取证市场

全球网络取证市场按应用、解决方案、组织规模、部署模式和垂直行业进行细分。 

基于解决方案的细分：

• 解决方案
• 入侵检测系统（IDS）/入侵防御系统（IPS）
• 安全信息和事件管理 (SIEM)
• 威胁情报
• 数据包捕获分析
• 分析
• 日志管理
• 防火墙
• 服务
• 专业服务咨询服务
• 培训和教育
• 设计与集成
• 支持与维护
• 事件响应服务
• 托管服务

基于应用领域的细分：

• 端点安全
• 网络安全
• 数据中心安全
• 应用安全
• 其他（网络安全和数据库安全）

基于部署模式的细分:

• 云
• 本地

按组织规模进行细分：

• 中小企业 (SME)
• 大型企业

基于垂直方向的细分：

• 制造业
• 卫生保健
• 能源和公用事业
• 银行、金融服务和保险 (BFSI)
• 政府
• 教育
• 电信和信息技术
• 零售
• 其他（媒体与娱乐、航空航天与国防、酒店业）

主要市场参与者及其发展动态：全球网络取证市场

全球网络取证市场的主要参与者及其发展动态：

主要参与者：

• 思科系统公司
• 火眼
• IBM公司
• 赛门铁克公司
• Netscout 系统
• EMC RSA

该领域的主要发展动态：  

2017年2月：戴尔科技集团旗下的RSA推出业务驱动型安全架构，为客户提供了一种管理网络风险并保护其最宝贵资产的新方法。借助该架构及其提供的多种解决方案，各种规模的组织都能更快速、更高效地控制其风险状况。除了RSA业务驱动型安全解决方案外，RSA还发布了威胁检测、身份认证、消费者欺诈预防和业务风险管理等解决方案。