Network forensics to analiza ruchu sieciowego w celu zebrania informacji wykorzystywanych zarówno w wewnętrznych, jak i prawnych dochodzeniach. Oprócz wykorzystania do celów dochodzeniowych, kryminalistyka sieciowa jest również narzędziem do wykrywania i przechwytywania intruzów, wykorzystywanym do bezpieczeństwa systemu. Istnieje wiele technik służących do przechwytywania danych, wykorzystujących różne urządzenia do zbierania wszystkich danych przesyłanych przez sieć lub identyfikowania wybranych pakietów danych do dalszego badania. Do dokładnej i wydajnej analizy kryminalistycznej sieci potrzebne są komputery o dużej szybkości przetwarzania i dużej pojemności pamięci.
W miarę jak systemy komputerowe w latach 1990. coraz bardziej zbliżały się do sieci, a domowy Internet stał się wszechobecny w wielu społecznościach, wzrosło zainteresowanie kryminalistyki sieciowej, a wiele firm zaczęło wytwarzać produkty i oferować usługi w branży kryminalistyki sieciowej. Dostawcy usług internetowych, organy ścigania i firmy zajmujące się bezpieczeństwem używają tych narzędzi, a także są one wykorzystywane przez personel informatyczny w celu zapewnienia bezpieczeństwa w obiektach, w których przetwarzane są poufne informacje.
W kryminalistyce sieciowej dane przesyłane w sieci są przechwytywane i analizowane. Analitycy wyszukują wszelkie nietypowe i podejrzane działania i mogą zidentyfikować konkretne komputery lub osoby, które mogą być przedmiotem głębszego zbadania. W przypadku organów ścigania śledztwa mogą być prowadzone w celu zebrania materiału dowodowego do wykorzystania w sądzie, jak również dochodzenia w toku. Wewnętrzne dochodzenia mogą wykorzystywać analizy śledcze sieci w celu zidentyfikowania źródeł wycieków informacji i potencjalnych zagrożeń bezpieczeństwa w systemie.
Wykrywanie intruzów za pomocą kryminalistyki sieciowej może być częścią schematu bezpieczeństwa firmy. Zautomatyzowane systemy wyszukują podejrzany ruch i ostrzegają pracowników ochrony, aw niektórych przypadkach mogą automatycznie interweniować w celu zablokowania dostępu do poufnych informacji lub całkowitego wyrzucenia użytkowników z sieci. To proaktywne podejście do bezpieczeństwa umożliwia sieciom i systemom komputerowym dynamiczne reagowanie na zagrożenia.
W 2000 roku rządy zaczęły naciskać na zwiększenie dostępu do sieci komputerowych w celu uzyskania dostępu do danych i ich analizy. Rozwój urządzeń i systemów zgodnych z podsłuchem był popierany przez niektóre organy ścigania w celu wykorzystania kryminalistyki sieciowej do identyfikacji potencjalnych zagrożeń bezpieczeństwa, od działalności terrorystycznej w sieciach komputerowych po dowody działalności przestępczej. Przestępcy zwrócili się do Internetu w celu organizowania działań offline, a także przeprowadzania ataków na sieci w latach 1990., a wiele rządów czuło się bezsilne w zakresie blokowania informacji i reagowania bez posiadania szerokich ram przechwytywania informacji.