1. 瞭解網路

    在收集資料之前，企業需要知道“正常”行為是什麼樣的。Larsen只從Blue Coat的K9網路獲取了5%的資料，因為這些是表現異常的行為。

託管安全供應商Dell Secureworks安全戰略主管Jeff Williams表示，企業也需要這樣做，透過分析其網路，企業就可以知道哪些行為屬於異常行為，找出他們需要注意的5%的資料。

    “如果你瞭解你的網路，知道哪些系統應該和哪些其他系統通訊，以及它們之間的通訊情況，應該發生的頻率等，都能夠幫助瞭解何為‘正常行為’，”他表示，“只有你瞭解何為正常行為，才能夠找出異常行為。”

    2. 收集所有資料

    企業還需要配置其防火牆和其他裝置來收集正確的資料。在很多情況下，企業只會儲存丟棄的流量，因為他們認為這些資料是最有趣的。但防火牆管理公司FireMon首席技術官Jody Brazil表示，最嚴重的攻擊往往能夠穿過防火牆。

    他表示，企業通常會禁用最常用的防火牆規則上的日誌，很多時候因為防火牆負擔過重。

    Brazil表示：“如果防火牆在做自己的工作以及丟棄流量，而你信任你購買的這個技術，那我們為什麼要將重點放在被丟棄的流量，而不是透過防火牆的流量?”

    3. 找出愚蠢的異常行為

    很多安全團隊試圖找出每個進入其網路的威脅，他們很快就會不堪重負。事實上，企業應該從簡單的入手，找出那些看似愚蠢的異常行為，首先弄清楚是怎麼回事。

    Blue Coat的Larsen只注重那些最“招搖”的異常流量來減少其團隊的工作量。在其RSA大會的展示中，他查看了訪問了被列為“可疑網站”的使用者，隨後設定了更高的標準，檢查點選超過30個可疑網站的10名使用者，其中一名使用者訪問了37次包含35個x的.com頂級域名。他試圖找出異常行為中的異常行為，這往往可能是真正的目標。

    4. 結合威脅情報

    很多時候，安全團隊並不需要大量流量來發現惡意活動，而是流量的來向或去向。免費的黑名單和威脅資料來源，再結合企業的防火牆日誌，往往就能夠找出惡意攻擊。

    Brazil表示，現在有很多像樣的威脅情報源，以及廉價的工具，企業可以結合這兩者與其防火牆資料來找出惡意活動。

    5.回過頭來檢查

    Blue Coat的Larsen表示，收集

　　首先確定網路是否暢通，其次是看網路裡的流量是否正常，最後看本機有無受到攻擊提示，有的話可能網路上有計算機中毒了。　　凡是用電腦上過網的人，都會遇到過網路不正常的現象，要麼是上不了網，要麼是時斷時連。遇到這種情況，或者是外接網路問題，或者是IP、DNS的配置問題，也可能是TCP/IP 協議問題。這時，我們可以先檢測一下網路是否正常，究竟是哪裡出了問題。　　檢測網路是否正常的方法步驟：　　

1、開始 - 執行（輸入CMD）- 確定或回車；　　

2、開啟管理員命令視窗；　　

3、在管理員命令視窗輸入：ipconfig /all，回車。檢查IP地址、子網掩碼、預設閘道器、DNS伺服器地址是否正確；　　

4、在管理員命令視窗再輸入：ping 127.0.0.1，檢查網絡卡是否能轉發資料（如果出現請求超時（Request timed out），則說明：配置可能出了差錯，也可能是網路有問題）。　　

5、再輸入nslookup，回車，檢測DNS解析是否正確。　　

6、透過上述三步檢測，沒有出現什麼問題，證明網路正常。　　

7、如果是TCP/IP協議出了問題，我們可以重新安裝TCP/IP協議，、；　　步驟是：開始 - 執行（輸入CMD）- 確定或回車；　　

8、開啟管理員命令視窗；　　

9、在管理員命令視窗再輸入：netsh int ip reset C:\resetlog.txt，回車，　　

10、重啟計算機，完成操作。