網(wǎng)絡(luò)通信的監(jiān)視常被人們稱為是企業(yè)滿足性能、安全和遵循策略要求的一種方法。但是，實施網(wǎng)絡(luò)通信的監(jiān)視工具也可以引起一系列的挑戰(zhàn)，這包括創(chuàng)建網(wǎng)絡(luò)標(biāo)準(zhǔn)的一些困難，以及找到適當(dāng)?shù)墓ぞ吆筒呗詮亩诖憝h(huán)境中監(jiān)視內(nèi)容的麻煩。
挑戰(zhàn)之一：網(wǎng)絡(luò)基準(zhǔn)。網(wǎng)絡(luò)和安全從業(yè)人員經(jīng)常聽說這樣一句話：任何以網(wǎng)絡(luò)為中心的項目，其起點都是為網(wǎng)絡(luò)制定標(biāo)準(zhǔn)。這意味著什么呢?簡單的方法會重點關(guān)注隨時間而變化的帶寬利用，一般情況下也就是重視峰值流量和最低流量。有人設(shè)法根據(jù)協(xié)議和端口數(shù)量來描述通信。更加高級的方法試圖根據(jù)數(shù)據(jù)流甚至是內(nèi)容來對通信進行分類。無論怎樣，對于創(chuàng)建網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)來說，并沒有什么可被人們廣泛接受的簡單分類方法。
挑戰(zhàn)之二：拓?fù)渑c定位問題。如果網(wǎng)絡(luò)標(biāo)準(zhǔn)的困難與經(jīng)過單個監(jiān)視節(jié)點的通信有關(guān)，那么，問題必然會涉及到多個位置。通過將儀器設(shè)備放置到足夠多的位置，就有可能根據(jù)所觀察到的通信模式，從而可視化地、形象地表述網(wǎng)絡(luò)。以一種自動化的方式完成這項任務(wù)，對于網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全人員來說，都是極為有用的。
挑戰(zhàn)之三：大型網(wǎng)絡(luò)的可視化。如果所涉及到的網(wǎng)絡(luò)是中小型網(wǎng)絡(luò)，那么，在設(shè)法應(yīng)對前面兩個挑戰(zhàn)時還是可能的。但是，在大型網(wǎng)絡(luò)中，分析人員有可能到達那些析取網(wǎng)絡(luò)數(shù)據(jù)的網(wǎng)絡(luò)工具的極限。有些工具在應(yīng)對幾十或幾百個網(wǎng)絡(luò)節(jié)點時，可能還能勝任，但是如果這些工具面臨的是成千上萬的節(jié)點，它就會面臨嚴(yán)峻的挑戰(zhàn)。
挑戰(zhàn)之四：知識管理。由于所有的技術(shù)和工具都是從網(wǎng)絡(luò)數(shù)據(jù)中抽取信息的，所以從信息中析取知識往往是分析人員的責(zé)任。但是，分析人員應(yīng)當(dāng)如何捕獲這種知識呢?不妨考慮下面的這個簡單問題：將控制標(biāo)記應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)流。根據(jù)數(shù)據(jù)集和所使用的分類的不同，給數(shù)據(jù)包中或數(shù)據(jù)流記錄中的不同項目加上控制標(biāo)記可能很困難。此外，分析人員還要有一種給網(wǎng)絡(luò)信息作出注釋的方法，這樣做既利于自己又利于其團隊。
挑戰(zhàn)之五：私密性?，F(xiàn)在的大數(shù)網(wǎng)絡(luò)工具都假定用戶擁有完全的特權(quán)。換句話說，幾乎沒有哪種工具認(rèn)為，為了滿足私密性或其它規(guī)范，分析人員應(yīng)當(dāng)限制其活動。從歷史上看，合法的數(shù)據(jù)截獲工具通過應(yīng)用過濾器，從而將某些通信包括進去或排除出去，進而實施了一些限制。但是，這種方法對于處理現(xiàn)代的協(xié)議來說，顯得過于粗糙，特別是在通過使用HTTP協(xié)議而傳輸大量通信時更是這樣。企業(yè)需要滿足私密要求的完整方法。
挑戰(zhàn)之六：混合及匹配記錄類型。IP地址是網(wǎng)絡(luò)通信的一種重要因素，但是，內(nèi)容正變得日益重要。在大量使用代理服務(wù)器的企業(yè)中工作的任何人都會認(rèn)識到這個問題。代理服務(wù)器之間的網(wǎng)絡(luò)數(shù)據(jù)流幾乎毫無用處。由于“云中的代理服務(wù)器”的興起，網(wǎng)絡(luò)工具將需要花費更多的時間來查看通信中傳送給代理服務(wù)器的的HTTP請求。把不同的記錄關(guān)聯(lián)到一起將會使分析更加復(fù)雜化。
挑戰(zhàn)之七：平臺問題。最后一個障礙涉及到如何從網(wǎng)絡(luò)通信中抽取價值。讀了我的這篇文章，許多廠商會這樣回答：將我們的設(shè)備安裝到你的網(wǎng)絡(luò)中吧。不幸的是，這種回答反應(yīng)了許多IT組織對于部署新設(shè)備的限制條件缺乏認(rèn)識。通常，IT工作人員必須為部署監(jiān)視網(wǎng)絡(luò)連接的硬件作出承諾。有些同樣的部署還要求簽定完善的協(xié)議，其內(nèi)容涉及到在這些地方進行工作的性質(zhì)。最終，簡單地增加另外一種設(shè)備可能是很不切合實際的。網(wǎng)絡(luò)團隊?wèi)?yīng)當(dāng)考慮將其工具和技術(shù)部署到開放性的平臺，從而可以設(shè)計并部署團隊自己的網(wǎng)絡(luò)設(shè)備。事實上，網(wǎng)絡(luò)團隊不應(yīng)當(dāng)將其努力花費到封閉的平臺中。