图2 主干链路流量及应用分布

图3 主干链路流量及应用百分比

　　使用NetFlow Analyzer软件对校园网内一条主干链路的流量和协议分布进行分析，由图2和图3可以清楚地看到不同应用所占的带宽及其所占百分比，其中没有镜像到任何应用程序的应用被归类为TCP_App，经查其目的和本地端口均为高位端口，可在明确其应用类型后通过自定义的方式确定应用类别，这也体现了NetFlow分析技术良好的适应性和扩展性。

　　利用NetFlow采集和输出网络流量的统计信息，我们可以发现单个主机发出的超过正常数量的连接请求，这种不正常的大量的数据流往往是蠕虫爆发或网络滥用的迹象。虽然NetFlow不能对数据包做出深层分析，但是已经有足够的信息来发现可疑流量。如果分析和利用得当，NetFlow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。只要了解常见蠕虫病毒的NetFlow特征，就能快速定位感染病毒的IP地址，在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。