灵活的网络流量分析并不多。但是,网络流量分析确实能够启动一个直接缓存,实际捕捉每一个数据包的前几百个字节。捕捉的数据随后发送到一个数据包分析器或者入侵检测系统。然而,这种直接缓存的方法也有一个问题:在NetFlow第五版和或者第九版中通常没有足够的信息来检测许多蠕虫传播。因此,厂商必须要创造性地处理如何以及何时使用灵活的网络流量分析工具启动一个直接的缓存。这个问题仍待解决。
下图是思科IOS Flexible NetFlow的流量监视和收集的输出数据
![[图文]网络行为与拒绝服务攻击详细分析](/uploads/allimg/200609/06011214H_0.jpg)
5.sFlow的情况如何
这个采样技术通常设置用来捕捉亿台交换机的每个接口的百分之一或者千分之一的数据包。可以设置更详细的采样,不过,这样一来会很快吞没多数采集器。由于是采样的性质,一些人认为,对于许多基于IP的网络行为分析算法来说,sFlow固定地就没有网络流量分析那样有用。有人会建议把sFlow交换机与一个网络流量探测功能结合起来以便扩大这个投资。
6.如何使用当前的网络流量分析技术发现哪一个端点系统正在缓慢地传播感染
简言之,最流行的NetFlow第五版提供了TCP标记,对于识别正在进行之中的分布式拒绝服务攻击是非常有用的。但是,没有某种类型的流量分析,使用NetFlow软件缓存僵尸电脑的实际传播数据是很困难的。