El análisis forense de la red es el análisis del tráfico de la red para recopilar información utilizada en investigaciones internas y legales. Además de utilizarse con fines de investigación, el análisis forense de redes también es una herramienta para la detección e intercepción de intrusos utilizada para la seguridad del sistema. Hay una serie de técnicas en uso para interceptar datos, utilizando una variedad de dispositivos para recopilar todos los datos que se mueven a través de una red o identificar paquetes de datos seleccionados para una mayor investigación. Se necesitan computadoras con velocidades de procesamiento rápidas y grandes volúmenes de espacio de almacenamiento para un análisis forense preciso y productivo de una red.

A medida que los sistemas informáticos se movieron cada vez más hacia las redes en la década de 1990 y la Internet doméstica se volvió omnipresente en muchas comunidades, aumentó el interés en el análisis forense de redes y numerosas compañías comenzaron a fabricar productos y ofrecer servicios en la industria forense de redes. Los proveedores de servicios de Internet, las fuerzas del orden y las compañías de seguridad usan todas estas herramientas, y también es empleado por el personal de tecnología de la información para la seguridad en instalaciones donde se maneja información confidencial.

En forense de redes, a medida que los datos se mueven a través de una red, se capturan y analizan. Los analistas buscan cualquier actividad inusual y sospechosa y pueden identificar computadoras particulares o personas de interés para una investigación más profunda. En el caso de la aplicación de la ley, las investigaciones pueden llevarse a cabo con el fin de reunir pruebas para ser utilizadas en los tribunales, así como las investigaciones en curso. Las investigaciones internas pueden utilizar el análisis forense de la red para identificar fuentes de fugas de información y posibles compromisos de seguridad en un sistema.

La detección de intrusos con análisis forense de red puede ser parte de un esquema de seguridad para una empresa. Los sistemas automatizados buscan tráfico sospechoso y alertan al personal de seguridad, y en algunos casos, dichos sistemas pueden intervenir automáticamente para bloquear el acceso a información confidencial o expulsar a las personas de la red por completo. Este enfoque proactivo de la seguridad permite que las redes y sistemas informáticos respondan dinámicamente a las amenazas.

Los gobiernos comenzaron a presionar para aumentar el acceso a las redes de computadoras con el propósito de acceder y analizar datos en la década de 2000. El desarrollo de dispositivos y sistemas que cumplen con los requisitos de escuchas telefónicas fue propugnado por algunas agencias de aplicación de la ley con el objetivo de utilizar el análisis forense de la red para identificar posibles amenazas de seguridad, que van desde actividades terroristas a través de redes informáticas hasta evidencia de actividad criminal. Los delincuentes recurrieron a Internet para organizar actividades fuera de línea, así como para realizar ataques a través de redes en la década de 1990, y muchos gobiernos se sintieron impotentes para interceptar información y responder sin un marco amplio para la interceptación de información.