过去十年，互联网用户数量猛增。在美国，每三人中就有三人使用互联网进行活动或商业目的。几乎每天，使用互联网的人数都在增加，这意味着身份盗窃、欺诈和数据盗窃等非法活动的数量也在增加。 

网络取证涉及捕获、记录和分析网络数据包以确定安全攻击的来源。网络取证调查还包括入侵模式的检测和攻击活动的调查。分析网络流量需要从各个站点和各种网络设备（例如防火墙和入侵检测系统）收集数据。此外，网络取证还可用于监视、预防和分析潜在的攻击。

网络取证调查在识别网络上的泄漏、盗窃或可疑流量时非常有用。此类调查旨在识别和分析涉嫌受到网络犯罪分子危害的网络流量。

网络取证的需要

许多组织增加了网络上的设备数量并安装了高速端口。在企业网络的早期，计算机占主导地位。如今，由于智能手机和互联网连接设备的出现，网络允许比以前更多的设备连接到网络。网络上设备数量的增加增加了攻击面。当今的威胁也更加复杂和微妙。如今，攻击者花费大量时间来逃避现代攻击中的检测。大多数情况下，数据泄露不会触发警报，因为它发生的数量有限并且是加密的。由于这些问题，法医调查变得更加困难和复杂，训练有素的调查人员和先进的工具对于充分调查攻击至关重要。 

通过网络取证，组织可以深入了解其流量如何流经网络。在这种情况下，调查人员可以选择搜索网络并深入挖掘细节。通常，这是一个两步过程。第一步是收集数据。各种搜索工具应根据从网络收集的数据以及从中索引和提取的元数据来搜索特定信息。收集完感兴趣的信息后，下一步就是搜索数据。 

网络取证的重要性

通过网络捕获网络流量在理论上相对简单，但由于许多固有因素，在实践中极具挑战性。 Internet协议非常复杂，网络中存在大量的数据流。记录网络流量的过程是资源密集型的。由于网络上流动的数据量很大，可能无法记录所有数据。将这些记录的数据备份到免费介质上以供将来分析非常重要。

分析记录的数据是最重要且耗时的。出于取证目的，有许多自动化分析工具，但没有一个是万无一失的。如果工具编程不正确，攻击者可以轻松地将恶意流量伪装成真实流量。使用人类判断也很重要，因为自动流量分析工具可能会产生误报。

网络取证对于确定攻击如何发生并追踪其来源是必要的。调查员必须遵循适当的调查程序，在法庭上出示调查员获得的证据。

网络取证的类型

TCP/IP：网络层协议（例如 Internet 协议 (IP)）负责通过组合源信息和目标信息来引导 TCP 数据包通过网络（例如 Internet），然后将其传递到网络上的路由器。 IP 方法也适用于蜂窝分组网络，例如 GPRS，因为它们使用类似的协议。

互联网：可以从互联网获取多种类型的数字证据，包括网页浏览、电子邮件、新闻组、同步聊天和点对点通信。对网络服务器日志的检查可以显示嫌疑人哪些实例（或是否）访问了犯罪相关信息。通过电子邮件取证来证明犯罪材料的确切来源是可行的，因为电子邮件标头很容易伪造，因此可以包含有价值的证据。通过网络取证，可以根据网络服务上的流量提取有关用户帐户的信息，以确定谁在使用特定计算机。

以太网：用户可以根据该层的数据过滤事件。只有在传输或接收过程中未加密的情况下，才可以重建网站页面、电子邮件附件和其他网络流量。此级别上的数据收集是有利的，因为数据直接连接到主机。

加密流量分析：加密流量分析通过检测可疑的 TLS 特征（例如源自不常见网络或服务器的特征）来检查流量，以确定其是否包含恶意流量（例如恶意软件或其他威胁）。分析加密流量的另一种方法是根据生成的数据创建指纹数据库，但这因容易被黑客绕过且不准确而受到批评。

网络取证：市场概述

预计 2021 年至 2027 年预测期内，全球网络取证市场将以 18.9% 的复合年增长率增长。 

区域分析：全球网络取证市场

该报告按地区（包括北美、欧洲、亚太地区（APAC）、中东和非洲（MEA）以及拉丁美洲）对全球网络取证市场进行了区域分析。预计北美和欧洲将为网络取证解决方案供应商带来最多的收入。这主要是全球关注研发（R&D）和安全技术的结果，特别是在美国和加拿大等发达经济体。亚太地区可能会以市场上最快的速度增长。组织内越来越多地采用物联网设备和自带设备政策，以推动该地区的增长。

细分分析：网络取证市场

全球网络取证市场根据应用程序、解决方案、组织规模、部署模型和垂直领域进行细分。 

根据解决方案进行细分：

• 解决方案
• 入侵检测系统（IDS）/入侵防御系统（IPS）
• 安全信息和事件管理 (SIEM)
• 威胁情报
• 抓包分析
• 分析
• 日志管理
• 防火墙
• 服务
• 专业服务咨询服务
• 培训和教育
• 设计与集成
• 支持与维护
• 事件响应服务
• 托管服务

根据应用领域细分：

• 端点安全
• 网络安全
• 数据中心安全
• 应用安全
• 其他（网络安全和数据库安全）

根据部署模式进行细分:

• 云
• 本地

根据组织规模细分：

• 中小企业 (SME)
• 大型企业

基于垂直方向的细分：

• 制造业
• 卫生保健
• 能源和公用事业
• 银行、金融服务和保险 (BFSI)
• 政府
• 教育
• 电信和信息技术
• 零售
• 其他（媒体和娱乐、航空航天和国防以及酒店业）

主要市场参与者及其发展：全球网络取证市场

全球网络取证市场的主要参与者及其发展：

关键人物：

• 思科系统公司
• 火眼
• IBM公司
• 赛门铁克公司
• 网络侦察系统
• 电磁兼容RSA

该领域的主要发展：  

2017 年 2 月：Dell Technologies 公司的 RSA 业务驱动安全架构为客户提供了一种管理网络风险和保护其最有价值资产的新方法。使用此架构和提供的多种解决方案，任何规模的组织都可以更快、更有效地更好地控制其风险状况。除了RSA业务驱动的安全解决方案外，还宣布了RSA解决方案包括威胁检测、身份保证、消费者欺诈预防和业务风险管理功能。