Network Forensics er analysen af netværkstrafik til indsamling af oplysninger, der bruges i internt såvel som juridiske undersøgelser.Ud over at blive brugt til efterforskningsformål er netværksforensik også et værktøj til indtrængende detektion og aflytning, der bruges til systemsikkerhed.Der er en række teknikker, der bruges til at aflytte data, ved hjælp af en række enheder til enten at indsamle alle data, der bevæger sig gennem et netværk eller identificerer valgte datapakker til yderligere undersøgelse.Computere med hurtige behandlingshastigheder og store mængder lagerplads er nødvendige for nøjagtig og produktiv retsmedicinsk analyse af et netværk.

Da computersystemer bevægede sig i stigende grad mod netværk i 1990'erne, og hjemmeinternettet blev allestedsnærværende i mange samfund, steg interessen for netværksforensik og steg, ogTalrige virksomheder begyndte at fremstille produkter og tilbyde tjenester i netværkets kriminaltekniske industri.Udbydere af internetudbydere, retshåndhævelse og sikkerhedsselskaber bruger alle disse værktøjer, og det er også ansat af informationsteknologipersonale til sikkerhed i faciliteter, hvor følsomme oplysninger håndteres.

I netværksforensik, når data bevæger sig på tværs af et netværk, indfanges detog analyseret.Analytikere ser efter enhver usædvanlig og mistænksom aktivitet og kan identificere bestemte computere eller mennesker af interesse for dybere undersøgelse.I tilfælde af retshåndhævelse kan der gennemføres undersøgelser med det formål at indsamle beviser, der skal bruges i retten, samt løbende undersøgelser.Interne undersøgelser kan anvende netværksforensik til at identificere kilder til informationslækager og potentielle sikkerhedskompromiser i et system.

Indtrængende detektion med netværksforensik kan være en del af en sikkerhedsordning for en virksomhed.Automatiske systemer ser efter mistænksom trafik og alarmsikkerhedspersonale, og i nogle tilfælde kan sådanne systemer automatisk gribe ind for at blokere adgangen til følsomme oplysninger eller for at sparke folk helt ud af netværket.Denne proaktive tilgang til sikkerhed giver computernetværk og systemer mulighed for at reagere dynamisk på trusler.

Regeringer begyndte at presse på for at øge adgangen til computernetværk med det formål at få adgang til og analysere data i 2000'erne.Udviklingen af trådtap-kompatible enheder og systemer blev forfulgt af nogle retshåndhævende myndigheder med det mål at bruge netværksforensik til at identificere potentielle sikkerhedstrusler, lige fra terroraktivitet over computernetværk til bevis for kriminel aktivitet.Kriminelle vendte sig mod internettet for at organisere offline aktiviteter såvel som at gennemføre angreb over netværk i 1990'erne, og mange regeringer følte sig magtesløse til at interdikere information og reagere uden en bred ramme for informationsinterception på plads.