네네... 좀더 첨언 드리자면 로우데이터를 그냥 검색하면 검색효율이 너무나 떨어지기 때문에 저장할때 패킷당 80여가지 정도의 메타데이터를 추출하여 따로 저장하는 것입니다. 메타데이터만 검색하면 빠른시간안에 많은 트래픽을 검색할수 있는 것이고 그 검색결과를 바탕으로 딱! 필요한 트래픽만 RAW데이터에서 추출하여 증거를 제출한다 뭐 이런 내용 입니다.
[질문] VM과 컨데어너의 가장 큰 차이점은 GUEST os의 유무인데 이 GUEST OS가 무겁고 이에 대한 화환성에 문제가 있어서 인것으로 생각되는데 컨테이너가 수만개 만들어서 그것은 관리하기가 어려운데 컨데이터의 구성요소를 좀 더 늘리고 그 수를 줄여서 관리를 좀 더 쉽게 할 수 있는 방안은 없는지요?
제가 이해한 바로는... 네트웍 포렌식 증거를 제출하기 위해 네트웍 로우 데이터에서 메타데이터의 실시간 분석을 통해 포렌식 대상의 증거파일을 걸러내기 위한 장비 인거 같습니다. 맞을런지 모르겠네요