所谓网路数据监控即对于网上流动的数据，首先按事先设定的截获原则完成有效截取，然后对截获下的数据进行数据还原，最后对 还原后的数据进行分析并作出某种控制决定。可见网路监控需分三个阶段，先完成数据截获，然后是数据的还原，最后才是进行控制。而网路监控的困难之处即如何完成第一，第二阶段的工作。

儘管有一些产品需要特殊的硬体，但大多数的产品工作在标準的网路适配器上。如果用的是特殊的网路适配器，就能分析例如CRC错误，电压错误，电缆问题，协商错误等。

这是最重要的部分，它从线路上捕获网路通信，并根据你的需要进行过滤，接下来将它存储在缓冲区中。

一旦从网路上捕获数据帧，它们被存在缓冲区中。存在几种的捕获方式：捕获通信，直到缓冲区被添满，或用循环的缓冲区，就是用新的数据替代老的数据。有一些产品（就像BlackIce的Sentry IDS）能以100兆比特秒的速度在硬碟上维持一个循环捕包的缓冲区。这将允许你拥有数百个成G的缓冲区而不是基于记忆体的不足1G的缓冲区。

这个特性是网路监控所倡导的，就是在数据帧离线进行一定的分析。这能发现网路性能问题和在通信捕获中的错误。一些厂家正沿着这条路线在它们的产品中加入一些新的功能。网路入侵检测系统就是这样做的，但是它们是对于通信中黑客的行为标记进行详细的审核而不是对错误/性能问题进行处理。

就是显示网路通信的内容，这样一名分析者将会十分容易地获得相关信息并依据这些信息分析出网路上究竟发生了什幺。

有一些产品具有这样的特性，就是使你能编辑自己的网路包，再转发出去。可见，数据捕获部分又可以分为硬体实现部分和软体实现部分，硬体部分就是相应的计算机的网路接口设备，软体部分有许多的开放源码，例如着名的libpcap以及其在Windows平台上的套用版本Winpcap等。

协定分析是对于获取的数据按照TCP/IP的标準进行重组和解剖，将满足套用功能的数据交给套用功能部分。例如，在为了记录WWW通信中的URL，必须将获取的数据解析到套用层。套用功能部分则是根据监控目的的不同，具有不同的实现，在内容监控中，对于不同套用协定监控的实现功能是不同的。

总之，实施网路监控首先需要收集网路中的通信数据。收集通信信息的工具很多，例如嗅探器、信息包捕获器（如tcpdump）等。与同样基于网路监听技术的入侵检测系统相同，网路监控系统在收集网路数据时本着只收集有用信息的原则，这样就能减轻其通信分析的负担。收集网路中的通信数据时，要着重明确一点：只收集有用的信息，且信息量要儘可能少。但是在实际套用中除非网路通

信量很小否则这种方式的实现十分不易。在网路监控系统中可以通过对于网路数据的多层过滤来实现数据处理量的精简。譬如在内容监控系统中如果仅仅需要监控基于TCP的套用，则可以首先过滤掉其他无须处理的数据包。

加强网路监控的功能不仅需要减少网路监控系统的数据处理数量提高其处理的效率，而且由于监控的目标範围不同，其所要收集的网路通信中数据範围自然也就不同。例如，对于某一指定的伺服器进行监控，则将监控系统放到离该伺服器越近越好，这样网路监控系统儘可能不遗漏与该服务相关的一切通信数据，提高监控的效果。对于一段区域网路进行监控的时候，关注网路边界的情况很重要，但网路内部的通信也不容忽视，特别是当内部网的主机为内部提供未经授权服务的时候。这时网路监控系统的放置位置需根据实际情况而定。因此，网路监控系统的功能的强弱不仅仅和其实现直接相关，而且和网路监控系统的布置密切相关。

网路监控和防火墙这类访问控制软体不同，它是作为网路上的监视者而存在的，因此它不应该阻止网路的通信，因此网路监控和入侵检测系统一样，採用的是网路监听技术（也可以称为是网路嗅探技术）来获取基本的网路通信的数据，并在此基础上实现对于数据的进一步的分析。