در دهه اخیر با توجه به بالا رفتن سرعت شبکه های کامپیوتری، روش های نظارت و شناسایی مبتنی به جریان شبکه بسیار مورد توجه قرار گرفته اند. به طوری که تولید کنندگان قطعات و توسعه دهندگان شبکه های کامپیوتری، به استفاده از قطعاتی که استاندارد جریان شبکه را پشتیبانی می کنند تاکید دارند[6]
2-3-1. تعریف جریان شبکه
در حوزه شبکه های کامپیوتری، تعریفات متفاوتی از جریان شبکه وجود دارد. بر اساس استاندارد IETF جریان شبکه عبارت است از مجموعه ای از بسته های داده در شبکه می باشد که در یک بازه زمانی تعریف شده از محل مورد بررسی عبور می کند. تمامی بسته های مرتبط با یک جریان شبکه دارای یک سری ویژگی های مشترک می باشند [7 و 8]. این ویژگی ها که به آنها شاخص های جریان نیز گفته می شود به طور عمومی شامل موارد زیر می باشند[3]:
آدرس مبدا
آدرس مقصد
پورت مبدا
پورت مقصد
پروتکل مورد استفاده
البته شاخص های جریان شبکه دیگری نیز مطرح می شوند[9] که مدیر شبکه بر مبنای نیاز شبکه خود می توانند از شاخص های مناسب استفاده کند. نظارت بر جریان شبکه یک پردازش دو مرحله ای می باشد:
صادر کردن جریان
این کار توسط جز صادرکننده در شبکه انجام می شود که به آن نقطه نظارت نیز گفته می شود. به طور معمول یک مسیریاب و یا یک قطعه سخت افزاری است که قابلیت پشتیبانی از جریان شبکه را دارا می باشد. جز صادرکننده وظیفه ساخت جریان شبکه را از ترافیک عبوری شبکه بر عهده دارد که به آن عملیات اندازه گیری نیز می گویند. در این عملیات عنوان بسته های عبوری از نقطه نظارت ضبط شده و بر مبنای پیکربندی شبکه نمونه برداری و فیلتر کردن عنوان ها صورت می گیرد. در نهایت عملیات بروز رسانی بانک داده ای مربوط به جریانات شبکه انجام می گیرد.
جمع آوری جریان
مرحلهجمع آوری جریانات شبکه توسط جزء جمع کننده انجام می پذیرد. وظیفه جمع کننده، دریافت جریان شبکه ضبط شده توسط صادرکننده و ذخیره آن به فرمی مناسب جهت نظارت و تحلیل می باشد.
در شکل شماره 2 زیر می توانید معماری مرتبط با عملیات صدور و جمع آوری جریان شبکه از ترافیک عبوری را مشاهده کنید[10و 12].