El análisis forense de redes es el análisis del tráfico de la red para recopilar información utilizada en investigaciones internas y legales. Además de utilizarse con fines de investigación, el análisis forense de redes también es una herramienta para la detección e interceptación de intrusos que se utiliza para la seguridad del sistema. Hay una serie de técnicas en uso para interceptar datos, utilizando una variedad de dispositivos para recopilar todos los datos que se mueven a través de una red o identificar paquetes de datos seleccionados para una mayor investigación. Se necesitan computadoras con velocidades de procesamiento rápidas y grandes volúmenes de espacio de almacenamiento para un análisis forense preciso y productivo de una red.
A medida que los sistemas informáticos se movieron cada vez más hacia las redes en la década de 1990 y la Internet doméstica se volvió omnipresente en muchas comunidades, aumentó el interés en el análisis forense de redes y numerosas empresas comenzaron a fabricar productos y ofrecer servicios en la industria forense de redes. Los proveedores de servicios de Internet, las fuerzas del orden y las empresas de seguridad utilizan estas herramientas, y también las emplea el personal de tecnología de la información para la seguridad en las instalaciones donde se maneja información confidencial.
En el análisis forense de redes, a medida que los datos se mueven a través de una red, se capturan y analizan. Los analistas buscan cualquier actividad inusual y sospechosa y pueden identificar computadoras particulares o personas de interés para una investigación más profunda. En el caso de la aplicación de la ley, las investigaciones pueden llevarse a cabo con el fin de reunir pruebas para su uso en el tribunal, así como las investigaciones en curso. Las investigaciones internas pueden utilizar el análisis forense de la red para identificar fuentes de fugas de información y posibles compromisos de seguridad en un sistema.
La detección de intrusos con análisis forense de redes puede ser parte de un esquema de seguridad para una empresa. Los sistemas automatizados buscan tráfico sospechoso y alertan al personal de seguridad y, en algunos casos, dichos sistemas pueden intervenir automáticamente para bloquear el acceso a información confidencial o expulsar a las personas de la red por completo. Este enfoque proactivo de la seguridad permite que las redes y los sistemas informáticos respondan dinámicamente a las amenazas.
Los gobiernos comenzaron a presionar para aumentar el acceso a las redes de computadoras con el propósito de acceder y analizar datos en la década de 2000. Algunas agencias de aplicación de la ley defendieron el desarrollo de dispositivos y sistemas compatibles con escuchas telefónicas con el objetivo de utilizar análisis forense de redes para identificar posibles amenazas a la seguridad, que van desde actividades terroristas en redes informáticas hasta pruebas de actividades delictivas. Los delincuentes recurrieron a Internet para organizar actividades fuera de línea, así como para realizar ataques a través de redes en la década de 1990 y muchos gobiernos se sintieron impotentes para interceptar información y responder sin un marco amplio para la interceptación de información.