NFAT

　　Network forensics是抓取，记录和分析网络事件以发现安全攻击或其他的问题事件的来源。（ 这个术语是防火墙专家Marcus Ranum从法律的和犯罪学领域引进的。）依照Simson Garfinkel的观点，Network forensics系统是下面二个类型之一: "尽可能的捕捉"系统，在这个系统里面所有的包都经过一定的节点来捕获并把分析的结果按照批量方式写入存储器。这方式需要大量的储藏空间，通常都会用到RAID系统。"停、看、听"系统，在这个系统里面每个包都经过基本的分析，只为将来的分析留下一些基本的信息。这方式对存储的需要比较小但是需要一个较快的处理器一边能够跟得上输入的数据流。两种方法都需要重要储藏和偶然对旧数据进行删除让出空间给新的数据。开放资源程序tcpdump和windump同一些商务程序一样可以用户数据的捕捉和分析。涉及到尽可能捕捉方法相关的东西都是保密的，因为整个包的信息（包括用户数据）都捕捉下来了。电子通信保密法禁止因特网服务提供商（ISP）蓄意侦听或者透露未经用户同意的信息。美国FBI的Carnivore是Network Forensic分析工具（NFATS）的一个有争议的例子。Network Forensic产品有时也叫Network Forensic分析工具.(NFATs）。