網絡流量檢測對于企業網絡管理員來說算是必要的技術之一，通過網絡流量檢測可以使得網絡安全管理員監控企業網絡存在的異常與威脅。本篇文章就主要分析常見的幾種網絡流量檢測方法。

網絡流量監測之基于流量鏡像協議分析

流量鏡像（在線TAP）協議分析方式是把網絡設備的某個端口（鏈路）流量鏡像給協議分析儀，通過7層協議解碼對網絡流量進行監測。與其他3種方式相比，協議分析是網絡測試的最基本手段，特別適合網絡故障分析。缺點是流量鏡像（在線TAP）協議分析方式只針對單條鏈路，不適合全網監測。

網絡流量監測之基于硬件探針的監測技術

硬件探針是一種用來獲取網絡流量的硬件設備，使用時將它串接在需要捕捉流量的鏈路中，通過分流鏈路上的數字信號而獲取流量信息。 一個硬件探針監視一個子網(通常是一條鏈路)的流量信息。對于全網流量的監測需要采用分布式方案，在每條鏈路部署一個探針，再通過后臺服務器和數據庫，收集所有探針的數據，做全網的流量分析和長期報告。與其他的3種方式相比，基于硬件探針的***特點是能夠提供豐富的從物理層到應用層的詳細信息。但是硬件探針的監測方式受限于探針的接口速率，一般只針對1000M以下的速率。而且探針方式重點是單條鏈路的流量分析，Netflow更偏重全網流量的分析。

網絡流量監測之基于SNMP的流量監測技術

基于SNMP的流量信息采集，實質上是測試儀表通過提取網絡設備Agent提供的MIB（管理對象信息庫）中收集一些具體設備及流量信息有關的變量。基于SNMP收集的網絡流量信息包括：輸入字節數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出字節數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。相似的方式還包括RMON。與其他的方式相比，基于SNMP的流量監測技術受到設備廠家的廣泛支持，使用方便，缺點是信息不夠豐富和準確，分析集中在網絡的2、3層的信息和設備的消息。SNMP方式經常集成在其他的3種方案中，如果單純采用SNMP做長期的、大型的網絡流量監控，在測試儀表的基礎上，需要使用后臺數據庫。

網絡流量監測之基于Netflow的流量監測技術

Netflow流量信息采集是基于網絡設備（Cisco）提供的Netflow機制實現的網絡流量信息采集。Netflow為Cisco之專屬協議，已經標準化，并且Juniper、extreme、華為等廠家也逐漸支持，Netflow由路由器、交換機自身對網絡流量進行統計，并且把結果發送到第3方流量報告生成器和長期數據庫。一旦收集到路由器、交換機上的詳細流量數據后，便可為網絡流量統計、網絡使用量計價、網絡規劃、病毒流量分析，網絡監測等應用提供計數根據。同時，Netflow也提供針對QoS（Quality of Service）的測量基準，能夠捕捉到每筆數據流的流量分類或優先性特性，而能夠進一步根據QoS進行分級收費。與其他的方式相比，基于Netflow的流量監測技術屬于中央部署級方案，部署簡單、升級方便，重點是全網流量的采集，而不是某條具體鏈路；Netflow流量信息采集效率高，網絡規模越大，成本越低，擁有很好的性價比和投資回報。缺點是沒有分析網絡物理層和數據鏈路層信息。Netflow方式是網絡流量統計方式的發展趨勢。