所謂網路數據監控即對於網上流動的數據，首先按事先設定的截獲原則完成有效截取，然後對截獲下的數據進行數據還原，最後對還原後的數據進行分析並作出某種控制決定。可見網路監控需分三個階段，先完成數據截獲，然後是數據的還原，最後才是進行控制。而網路監控的困難之處即如何完成第一，第二階段的工作。
1．硬體
儘管有一些產品需要特殊的硬體，但大多數的產品工作在標準的網路適配器上。如果用的是特殊的網路適配器，就能分析例如CRC錯誤，電壓錯誤，電纜問題，協商錯誤等。
2．捕包驅動
這是最重要的部分，它從線路上捕獲網路通信，並根據你的需要進行過濾，接下來將它存儲在緩衝區中。
3．緩衝區
一旦從網路上捕獲數據幀，它們被存在緩衝區中。存在幾種的捕獲方式：捕獲通信，直到緩衝區被添滿，或用循環的緩衝區，就是用新的數據替代老的數據。有一些產品（就像BlackICE的Sentry IDS）能以100兆比特秒的速度在硬碟上維持一個循環捕包的緩衝區。這將允許你擁有數百個成G的緩衝區而不是基於記憶體的不足1G的緩衝區。
4．實時分析
這個特性是網路監控所倡導的，就是在數據幀離線進行一定的分析。這能發現網路性能問題和在通信捕獲中的錯誤。一些廠家正沿著這條路線在它們的產品中加入一些新的功能。網路入侵檢測系統就是這樣做的，但是它們是對於通信中黑客的行為標記進行詳細的審核而不是對錯誤/性能問題進行處理。
5．解碼
就是顯示網路通信的內容，這樣一名分析者將會十分容易地獲得相關信息並依據這些信息分析出網路上究竟發生了什麼。
6．包編輯/轉發
有一些產品具有這樣的特性，就是使你能編輯自己的網路包，再轉發出去。可見，數據捕獲部分又可以分為硬體實現部分和軟體實現部分，硬體部分就是相應的計算機的網路接口設備，軟體部分有許多的開放源碼，例如著名的libpcap以及其在Windows平台上的套用版本winpcap等。
協定分析是對於獲取的數據按照TCP/IP的標準進行重組和解剖，將滿足套用功能的數據交給套用功能部分。例如，在為了記錄WWW通信中的URL，必須將獲取的數據解析到套用層。套用功能部分則是根據監控目的的不同，具有不同的實現，在內容監控中，對於不同套用協定監控的實現功能是不同的。
總之，實施網路監控首先需要收集網路中的通信數據。收集通信信息的工具很多，例如嗅探器、信息包捕獲器（如tcpdump）等。與同樣基於網路監聽技術的入侵檢測系統相同，網路監控系統在收集網路數據時本著只收集有用信息的原則，這樣就能減輕其通信分析的負擔。收集網路中的通信數據時，要著重明確一點：只收集有用的信息，且信息量要儘可能少。但是在實際套用中除非網路通
信量很小否則這種方式的實現十分不易。在網路監控系統中可以通過對於網路數據的多層過濾來實現數據處理量的精簡。譬如在內容監控系統中如果僅僅需要監控基於TCP的套用，則可以首先過濾掉其他無須處理的數據包。
加強網路監控的功能不僅需要減少網路監控系統的數據處理數量提高其處理的效率，而且由於監控的目標範圍不同，其所要收集的網路通信中數據範圍自然也就不同。例如，對於某一指定的伺服器進行監控，則將監控系統放到離該伺服器越近越好，這樣網路監控系統儘可能不遺漏與該服務相關的一切通信數據，提高監控的效果。對於一段區域網路進行監控的時候，關注網路邊界的情況很重要，但網路內部的通信也不容忽視，特別是當內部網的主機為內部提供未經授權服務的時候。這時網路監控系統的放置位置需根據實際情況而定。因此，網路監控系統的功能的強弱不僅僅和其實現直接相關，而且和網路監控系統的布置密切相關。
網路監控和防火牆這類訪問控制軟體不同，它是作為網路上的監視者而存在的，因此它不應該阻止網路的通信，因此網路監控和入侵檢測系統一樣，採用的是網路監聽技術（也可以稱為是網路嗅探技術）來獲取基本的網路通信的數據，並在此基礎上實現對於數據的進一步的分析。