Tinklo kriminalistika yra tinklo srauto analizė, siekiant surinkti informaciją, naudojamą vidiniuose ir teisiniuose tyrimuose. Be to, kad tinklo ekspertizė naudojama tyrimo tikslais, ji taip pat yra įsibrovėlių aptikimo ir perėmimo įrankis, naudojamas sistemos saugumui užtikrinti. Duomenims perimti naudojama daugybė metodų, naudojant įvairius įrenginius, kad būtų renkami visi tinkle judantys duomenys arba identifikuojami pasirinkti duomenų paketai tolesniam tyrimui. Norint atlikti tikslią ir produktyvią tinklo analizę, reikalingi kompiuteriai su dideliu apdorojimo greičiu ir dideliu atminties kiekiu.
Dešimtajame dešimtmetyje kompiuterių sistemoms vis labiau pereinant prie tinklų, o namų internetas tapo visur paplitęs daugelyje bendruomenių, susidomėjimas tinklo kriminalistika išaugo ir daugelis įmonių pradėjo gaminti produktus ir siūlyti paslaugas tinklo kriminalistikos pramonėje. Interneto paslaugų teikėjai, teisėsaugos ir saugos įmonės naudoja šias priemones, o informacinių technologijų darbuotojai taip pat naudojasi saugumui objektuose, kuriuose tvarkoma jautri informacija.
Tinklo kriminalistikoje, kai duomenys juda tinkle, jie fiksuojami ir analizuojami. Analitikai ieško bet kokios neįprastos ir įtartinos veiklos ir gali nustatyti konkrečius kompiuterius ar dominančius žmones, kad galėtų atlikti išsamesnį tyrimą. Teisėsaugos atveju tyrimai gali būti atliekami siekiant surinkti įrodymus, kurie bus naudojami teisme, taip pat atliekami tyrimai. Vidiniams tyrimams gali būti naudojama tinklo ekspertizė, siekiant nustatyti informacijos nutekėjimo šaltinius ir galimus sistemos saugumo pažeidimus.
Įsibrovėlių aptikimas naudojant tinklo ekspertizę gali būti įmonės saugumo schemos dalis. Automatizuotos sistemos ieško įtartinų srautų ir įspėja apsaugos darbuotojus, o kai kuriais atvejais tokios sistemos gali automatiškai įsikišti, kad blokuotų prieigą prie jautrios informacijos arba iš viso pašalintų žmones iš tinklo. Šis iniciatyvus požiūris į saugumą leidžia kompiuterių tinklams ir sistemoms dinamiškai reaguoti į grėsmes.
2000-aisiais vyriausybės pradėjo siekti padidinti prieigą prie kompiuterių tinklų, kad būtų galima pasiekti ir analizuoti duomenis. Kai kurios teisėsaugos institucijos pritarė tam, kad būtų kuriami su skambučiais suderinami įrenginiai ir sistemos, siekdamos naudoti tinklo ekspertizę, siekiant nustatyti galimas grėsmes saugumui, pradedant teroristine veikla kompiuterių tinklais ir baigiant nusikalstamos veiklos įrodymais. Dešimtajame dešimtmetyje nusikaltėliai kreipėsi į internetą, norėdami organizuoti veiklą neprisijungus, taip pat vykdyti atakas per tinklus, o daugelis vyriausybių jautėsi bejėgės uždrausti informaciją ir reaguoti be plačios informacijos perėmimo sistemos.