这样，IDS、SNMP和其它类似的工具就能利用故障自动检测和报告机制，帮助工程人员清除网络传输流中的故障。对于某类特定故障，这的确是行之有效的工具，因为工程人员可凭此推断网络中实际发生的情况。这些工具可以通知网络工程人员当前网络存在故障，但无法提供充分的信息以使工程人员了解实际发生的情况并采取适当的措施解决问题。此外，模式识别产品(如IDS)只能报告特征已被识别的攻击，正如通过观察后视镜进行驾驶一样。

一、协议分析器的优势

利用协议分析器，工程人员可监控并分析网络活动，从而主动检测并定位故障。协议分析器的优势在于可在分组级上精确地分析正在网络上传输的数据，但用户必须理解分组级上的网络操作。从根本上说，协议分析所需的自动操作的复杂度和直观度往往难以或不可能实现。例如，故障通常会周期性出现，而攻击则通常会产生周期性传输流(例如，像蠕虫病毒那样试图“打电话回家”或扫描子网以感染工作站)。为了处理这类故障，工程人员必须分析重复出现的事件并分析事件是否正常或者可能出现的故障。

为了理解协议分析器提供的分组级信息，工程人员必须了解网络上正在运行的应用程序、这些应用程序的常规行为模式、何时用户期望运行这些应用程序、用户和应用程序对性能降低的容忍度，等等。找到重复出现的传输流并判断其正常与否与其说是一门技术，不如说是一门艺术。不妨考虑一下这个问题：“工作站试图每30秒钟开启TCP会话，但连接总被拒绝。这是攻击问题、性能问题、无恶意的低效问题，还是一种正常行为？”目前，只有人才能有效地做出上述判断。

二、协议分析所需解决的其它问题

协议分析所需解决的其它问题包括在现有高速网络单个分段上承载的巨量传输流。在100Mbps线路速率下，一般很难从不相关的传输流中手动检测并分离不相关的传输流；而在千兆或万兆比特数据率下，效率上完全不可能。协议分析器必须具有鲁棒的分组过滤功能，从而帮助IT工程人员处理这种数量级的容量。例如，一旦检测到来自特定工作站的可疑传输流，工程人员可以使用基于地址的过滤器检测来自该工作站的所有传输流并检测该异常是否重复出现。其它的典型过滤器标准则包括协议和TCP或UDP端口号。

协议分析器支持的过滤器种类繁多，而这也是需要重点考虑的一个因素，因为过滤功能或许是工程人员希望分析器应具有的最常用也最有效的功能。此外，过滤器应能便捷地创建并应用，因为那些要求用户操纵复杂接口的过滤器通常将降低分析效率。理想情况下，分析器将有助于创建并应用过滤器，就像在特定分组包或协议上右键点击一下一样。最后，分析器接口还是有效检测故障的主要途径。设计良好的接口不仅能被初学者迅速掌握，而且还有助于资深用户提高效率。接口需要考虑的因素包括：

1. 同时预发送传输流汇总和分组解码视图以简化两种视图间的相关性。

2.开辟多个捕获缓存并提供充分的视窗管理功能，这样用户就能并排比较两次捕获的结果。将“已知正确”的情形与“存 在问题”的情形进行比较是应具备的基本技术。

3. 能通过右键菜单、按钮、命令键或上述操作的组合，迅速地执行一些常用功能(如过滤和进入工作站名)。

4. 快速过滤捕获的信息，而无须因为构造真正的过滤器而耗费时间。

5. 每个视窗的通用统计信息全部就绪，并能采用与过滤分组数据相同的方式过滤这些统计信息。

6. 远程代理的透明捕获----理想情况下，远程捕获应完全类似于局域网接口卡上的捕获。

随着网络速度越来越快以及网络结构越来越复杂，在协议分析器中集成某些专家系统功能也是大势所趋。例如，专家系统可识别故障的网络会话并利用分析器确定故障原因。这种自动帮助装置将促使协议分析器成为主流IT工具，而不仅仅是只有少数专家才能使用的工具。随着IT部门广泛采用分布式分析功能，带有专家系统的协议分析器还能广泛监控网络活动、提供更快速的故障识别功能并减小网络故障时间。

协议分析工具同集成的高级故障自动检测系统(或专家系统)相结合，就能提供理想的网络故障检测工具。专家系统有助于快速定位故障并检测快速分布式网络上的入侵，而分组级设计则能迅速发现故障就立即排除。虽然自动故障排除正越来越重要(而且协议分析器中的专家系统也相应地更为复杂)，但分组级分析仍然是重要的分析工具。