Proces kryminalistyki sieci można podzielić na trzy główne fazy.
Faza 1: Dane sieciowe / przechwytywanie ruchu przez monitorowanie sieci
Można to przedstawić jako zbiór dowodów z sieci do analizy. Pozyskiwanie dowodów może odbywać się w trybie offline lub online/na żywo. Istnieje wiele narzędzi i systemów, które można wykorzystać do monitorowania i przechwytywania pakietów. TCPDump i WireShark to dwa najczęściej używane narzędzia do monitorowania. Wykrywanie ataków sieciowych jest podstawowym celem monitorowania sieci. Jest to bardzo trudne zadanie w dzisiejszej technologii internetowej. Bardzo trudno było upewnić się, że atak jest prawdziwie pozytywny, ponieważ wiele ataków jest przeprowadzanych w przebraniu za pomocą narzędzi i technik antyforensycznych. Znaczną ilość pracy wykonano w obszarze wykrywania ataków sieciowych. Niedawne prace nad autonomicznym zabezpieczeniem sieci w celu wykrywania ataków sieciowych to próba wdrożenia niezależnego systemu, który automatycznie identyfikuje włamania bez uczenia statystycznego, wykorzystując metodę klastrowania do nienadzorowanego wykrywania anomalii. Większość systemów IDS wykorzystuje algorytmy eksploracji danych, sieci neuronowe, maszynę wektorów nośnych (SVM), algorytm genetyczny i logikę rozmytą do metod wykrywania behawioralnego i opartego na anomaliach . Algorytmy te pomagają w wykrywaniu nieudanych ataków i fałszywych alarmów . Aby zabezpieczyć sieć przed atakami z zewnątrz, konieczne jest zrozumienie przepływu ruchu sieciowego i zawartości pakietów sieciowych. Monitorowanie treści i kontekstu to kolejne skuteczne podejście do monitorowania sieci i wykrywania ataków, które obejmuje techniki eksploracji danych i audytu baz danych . Techniki eksploracji danych wykorzystywane w IDS pomagają w analizie wzorców , analizie sekwencji i identyfikacji ataków w skuteczny sposób . Dane wyjściowe z różnych narzędzi do monitorowania sieci to pakiety ruchu sieciowego, takie jak pliki z rozszerzeniem .pcap, które można analizować za pomocą narzędzi kryminalistycznych.
Faza 2: Network Forensics and Analysis
Dowody obejmują pakiety sieciowe, dzienniki zapory, dzienniki IDS, dzienniki systemowe, dzienniki routerów i dzienniki audytu. Zebrane informacje należy udokumentować za pomocą technik, takich jak subwersja OpenSVN . Po przechwyceniu pakietów można je analizować za pomocą różnych narzędzi kryminalistycznych, takich jak WireShark, Encase, Network Miner i Net Detector. Narzędzia kryminalistyczne obejmują również IDS i IPS. System wykrywania włamań sieciowych (NIDS), taki jak SNORT, wykorzystuje algorytmy i techniki dopasowywania wzorców do analizy pakietów sieciowych i wykrywania ataków. Wizualizator ruchu sieciowego na podstawie czasu (TNV) to kolejne narzędzie używane do analizy ruchu sieciowego na przestrzeni czasu. Mechanizmy filtrowania i analiza ID pomagają w identyfikacji zachowań anomalnych . Głównymi dowodami analizowanymi w kryminalistyce sieci są dzienniki uwierzytelniania, dzienniki systemu operacyjnego, dzienniki aplikacji i dzienniki urządzeń sieciowych, które stanowią znaczniki daty i czasu adresu IP i błędów rozruchowych. Jak wspomnieliśmy wcześniej, za pomocą technik antyforensycznych napastnik może usunąć dzienniki dowodów.
Faza 3: Opracowanie wykresów ataku
Aby zbadać ataki sieciowe, znaleźć źródło ataku i napastników, należy prześledzić całą ścieżkę ataku. Ścieżkę ataku można rozwiązać za pomocą inżynierii odwrotnej ataku z miejsca docelowego za pomocą techniki grafu ataku. Korzystając z podatności i konfiguracji systemu jako danych wejściowych, można tworzyć wykresy ataków przy użyciu różnych narzędzi. Ze względu na obecny scenariusz wysokiego prawdopodobieństwa zastosowania technik antykryminalistycznych normalna konstrukcja grafów ataków z konfiguracją systemu i informacjami o podatnościach nie może pomóc w zebraniu wystarczających dowodów i prześledzeniu ścieżki. Dzieje się tak, ponieważ wykres utworzony bez węzłów techniki antyforenologicznej może zaciemniać badacza. Oprócz tych atrybutów, integracja nowego atrybutu, takiego jak baza danych antyforensycznych, która obejmuje wszystkie techniki, może okazać się pomocna w skutecznym generowaniu precyzyjnych i dokładnych ścieżek ataku. Techniki antykryminalistyczne, takie jak technika obstrukcji ścieżki śledzenia, utrudniają tworzenie grafów ataku . Wszystkie fazy muszą być odpowiednio udokumentowane i powinny przedstawiać motyw, strategię, środki zapobiegawcze i zapobiegawcze ataków.