dati full- content è una registrazione di tutte le informazioni passate attraverso la rete in un punto e il tempo specifico . Mentre questo è ovviamente il tipo più informativo di prova, è una quantità enorme di dati da analizzare per prove . Full- contenuto acquisizione di dati necessita di una grande quantità di memoria e risorse di rete , e di conseguenza , non può essere il tipo più pratico di prova basato sulla rete .
Sessione dati
I dati della sessione , noto anche come conversazione o dati di flusso , è una cattura del flusso di dati tra due sistemi o utenti . Questo tipo di prova è efficace per verificare le connessioni ai partiti dannosi o non autorizzati . I dati della sessione in genere include evidenza dei dati che vengono trasferiti , identificazione dei soggetti coinvolti , nonché la durata e il momento del trasferimento . I dati di sessione possono individuare le bandiere rosse , come le sessioni di frequenza anomala o durata , quantità insolite di dati trasferiti e le connessioni con protocolli non standard .
Statistical Data
statistico evidenza rete mette in luce gli schemi insoliti di trasferimento e protocolli a cui si accede dati . In generale , i dati statistici guarda l' intera rete , piuttosto che dati di sessione individuale . Evidenza statistica include il monitoraggio dell'intera rete nel corso di determinati periodi di tempo per raccogliere i tempi di trasferimento dei dati eccessivo. L' analista di sistemi in grado di utilizzare queste informazioni per individuare livelli elevati di dati in entrata o in uscita che suggeriscono un uso improprio della rete . Gli analisti possono anche monitorare la miscela dei protocolli utilizzati durante periodi di tempo specifici per individuare modelli insoliti .
Al fine di dare un senso di dati statistici , gli analisti di rete devono iniziare con un profilo di attività di accoglienza. Attività Host profilazione crea una linea di base dell'attività tipica di una data rete . Gli analisti utilizzano questa linea di base per confrontare i modelli di utilizzo della rete e identificare le deviazioni dal modello o profilo normale .
Alert
software Network
dati può essere programmato per rispondere a specifiche parole chiave o noto indirizzi IP dannosi. Il software attiva la rete per catturare episodi di queste parole chiave o accessi non autorizzati. Queste informazioni possono essere monitorati a utenti specifici e orari specifici . Alerting software può anche bloccare l'accesso da e verso server o siti inappropriati. Tuttavia, questo può portare a "falsi positivi" o il blocco dei siti o server che sono innocui che attivano il software. Questo può portare a un rallentamento del traffico di rete .
networking © www.354353.com