Network Forensics ขั้นตอนแรก หลักฐานที่เก็บรวบรวมจะถูกประมวลผลล่วงหน้า และจะถูกเก็บไว้ในที่จัดเตรียมไว้ หลังจากนั้นจึงนำข้อมูลออก มาสร้าง evidence graph เพื่อส่งต่อให้นักวิเคราะห์ต่อไป
นิติวิทยาระบบเครือข่าย คือ sniffing recording acquisition และ analysis สำหรับจราจรระบบเครือข่ายและบันทึกเหตุการณ์ เพื่อที่จะวินิจฉัยเกี่ยวกับเหตุการณ์ด้านความปลอดภัยระบบเครือข่าย การดักจับจราจรระบบเครือข่ายผ่านเครือข่ายนั้นง่ายในทางทฤษฎี แต่ค่อนข้างซับซ้อนในทางปฏิบัติ
เนื่องจากเหตุผลทั่วไปเนื่องจากจำนวนของ data flows มีขนาดใหญ่ และ Internet protocols มีความซับซ้อนในตัวของมันเอง นิติวิทยาระบบเครือข่ายจึงมีความจำเป็นในการระบุประเภทการโจมตีที่เข้ามาในระบบเครือข่ายและติดตามผู้กระทำความผิด ขั้นตอนการวินิจฉัยจะต้องมีการรักษาหลักฐานเพื่อให้สามารถนำไปใช้ในการวินิจฉัยในชั้นศาลได้ในอนาคต
กลไกการวิเคราะห์นิติวิทยาระบบเครือข่าย มีขั้นตอนดังนี้
🔷Analyst Interface คือ การจัดทำหลักฐานในรูปแบบเชิงสถิติเพื่อนำมาวิเคราะห์ต่อไป
🔷Evidence Collection คือ การเก็บหลักฐานของการบุกรุกจากระบบเครือข่ายและต้นทาง เพื่อนำมาวินิจฉัย
🔷Evidence Preprocessing คือ การวิเคราะห์เพื่อแยกประเภทของหลักฐานให้อยู่ในรูปแบบที่เหมาะสม และลดความซ้ำซ้อนของหลักฐานที่มี
🔷Evidence Depository คือ หลักฐานที่ได้รับจะต้องมีการจัดเก็บในพื้นที่เหมาะสม
🔷Generation คือ ดำเนินการการจัดการหลักฐานความเชื่อมโยงและทบทวนหลักฐานให้เป็นปัจจุบัน
🔷Attack Reasoning คือ ดำเนินการ automated reasoning ตาม Evidence Grapที่ได้รับ
🔷Attack Knowledge Base คือ การรวบรวมข้อมูลก่อนดำเนินการ exploits
🔷Asset Knowledge Base คือ การรวบรวมข้อมูลเกี่ยวกับระบบเครือข่าย และ hosts ที่ได้รับการวินิจฉัยขั้นตอนแรก หลักฐานที่เก็บรวบรวมจะถูกประมวลผลล่วงหน้า และจะถูกเก็บไว้ในที่จัดเตรียมไว้ หลังจากนั้นจึงนำข้อมูลออกมาสร้าง evidence graph เพื่อส่งต่อให้นักวิเคราะห์ต่อไป
🔷 สรุปคือ นิติวิทยาระบบเครือข่าย คือการวินิจฉัยเหตุการณ์ที่ส่งผลกระทบระบบเครือข่าย ซึ่งทำให้ทราบว่าผู้ไม่ประสงค์ดี กำลังสร้างเส้นทาง การโจมตีมาจากที่ใด รวมถึงสามารถวิเคราะห์ข้อมูลที่น่าสงสัย จากระบบเครือข่าย เพื่อนำหลักฐานนั้นไปใช้ในการดำเนินคดีในชั้นศาลต่อไป
