Thu thập số liệu thông kê luồng lưu lượng ( không nên nhầm với các luồng nghi ngờ) trên BNG đưa ra một phương pháp để hiểu được lưu lượng ở mức độ chi tiết hơn. Luồng được thu thập dựa trên mẫu của lưu lượng được chuyển tiếp.
Chương II: Bảo mật trong mạng băng rộng
Một luồng thông thường bao gồm các thông tin từ các tiêu đề IP và tiêu đề lớp vận chuyển, như địa chỉ IP nguồn, địa chỉ IP đích, giao thức, cổng nguồn, cổng đích, và đôi khi, giao diện router. Một ghi chép luông hoặc ghi chép nhiều luồng được gửi đến máy chủ bộ thu thập cấu hình cho mỗi luồng được lấy mẫu. Luồng được cho một định danh trong ghi chép luồng để cho phép sự tương quan trên hệ thống để xác định một dòng duy nhất trong ghi chép nhiều luồng.
Các bản ghi luồng dữ liệu thô sau đó có thể được biên dịch thành các công cụ gián tiếp hữu ích tạo ra các đồ thị chi tiết và mô hình lưu lượng mạng ngẫu nhiên với một chút hiểu biết. Lợi ích của việc sử dụng NetFlow thay vì, kết hợp với giao diện đồ họa tiêu chuẩn có thể tạo ra các đồ thị cho thấy các bộ giao nhận gói tin đầu, các giao thức xảy ra thường xuyên, phát hiện các tấn công bằng từ chối dịch vụ (DDoS), và chi tiết pháp lý để theo dõi các cuộc tấn công đã xảy ra.
Ngay sau khi thông tin được thu thập từ các bộ định tuyến trong mạng, các luồng lưu lượng có thể được lưu trữ trong cơ sở dữ liệu và bộ lưu trữ trên máy chủ. Ở đây, thông tin liên quan có thể được thu thập bằng cách phân tích các thông tin thành biểu đồ dễ đọc và thống kê. Nếu các cuộc tấn công hay thư rác có nguồn gốc từ mạng của nhà cung cấp dịch vụ và các bản ghi được cung cấp từ hệ thống thông tin báo cáo, thao tác viên có thể tìm kiếm luồng lưu lượng tương ứng với phía báo cáo. Sau đó, thao tác viên có thể xác định khi các lưu lượng thực tế bắt nguồn từ phía gây ra.
Các lợi ích khác liên quan đến bảo mật là khả năng giám sát, khuynh hướng, và khả năng đáp ứng những bất thường của mạng mới. Ở đây có thể bao gồm một sâu hay virus mới làm lây nhiễm các máy trên Internet và, lần lượt, lây nhiễm thêm các máy chủ. Nếu toàn bộ dung lượng của lưu lượng vẫn ổn định, thật khó để nhận ra rằng sâu đang hoạt động tràn lan qua mạng. Nói cách khác nếu các số liệu thống kê lưu lượng cho thấy một cổng mới (có thể được sử dụng bởi các loại sâu lây lan) ngày càng tăng sử dụng với tốc độ rất lớn.