краткий ответ; Все это зависит.
При работе с сетевыми потоками существует множество факторов и переменных, будь то формат Cisco Netflow (в различных версиях), IPFIX IETF или другие подобные форматы. Если мы возьмем очень распространенный формат, Netflow v5, поток будет определяться 5 или 7 кортежами (в зависимости от того, насколько подробным является определение). Эти кортежи есть; IP-адрес источника и получателя, порт и протокол источника и получателя (дополнительно тип сервиса и индекс входного интерфейса). Кроме того, Netflow v5 является протоколом однонаправленного сетевого потока, что означает, что он будет обрабатывать соединения, поступающие с сервера, отдельно от соединений, идущих на сервер. Таким образом, любой IP-пакет, соответствующий этому определению кортежа 5/7 в одном направлении, будет представлять собой сетевой поток и приведет к записи Netflow. Все это необходимо учитывать при изучении данных Netflow и сравнении их с сеансами сетевого взаимодействия (которые сами по себе также могут иметь различные определения в зависимости от контекста).
И, как будто этого недостаточно, существуют также переменные и ограничения, специфичные для реализации, которые могут разбить сеанс на несколько записей. Обычно потоковые протоколы реализуют различные тайм-ауты, чтобы иметь возможность эффективно собирать и хранить данные. Сеансы TCP могут иметь соединения, открытые в течение длительного периода времени, и это затрудняет для генератора потока сохранение и поддержание потока в памяти. Некоторые форматы сетевых потоков имеют возможность находить такие разделенные записи и объединять их в одну запись потока.
Итак, подведем итог: сетевые аналитики, начинающие работать с сетевыми потоками, легко попадают в ловушку, полагая, что одна запись равна одной сессии. Это предположение может быть правдой иногда, но не всегда.