Captures de Real-Time
Les moniteurs reçoivent les trames réseau capturées en temps réel. Les trames sont capturées par un fournisseur de paquets réseau (NPP) à l’aide de l’interface com IRTC du fournisseur et transmises à l’analyse dans l’un des deux threads d’exécution de l’analyse.
Les analyses peuvent limiter le nombre d’images qu’elles doivent traiter en passant un filtre de capture au NPP qui fournit les frames. En règle générale, une analyse spécifique est conçue pour surveiller des types spécifiques de trafic, tels que HTTP, RIPX ou SMB. À la différence des experts qui utilisent des analyseurs sophistiqués pour sélectionner les informations à analyser, un moniteur doit examiner chaque cadre pour déterminer les conditions qu’il a été prévu de détecter. La raison de cette approche Frame-by-frame est la performance. Une analyse doit traiter ses frames suffisamment rapidement pour ne pas se trouver derrière le pilote qui fournit les frames au NPP. Dans le cas contraire, les données seront perdues.