sFlowやNetFlowを使うそうですね。一回見てみたいなぁ。

StealthWatchは，日々の運用で企業ネットワークのトラフィック分析情報を収集し，トラフィックに日常とは異なる傾向（トレンド）を検知するセキュリティ機器である。トラフィック分析情報は，Cisco NetFlow形式か，sFlow（RFC3176）形式で収集する。セキュリティ上の脅威となるトラフィックを検知した際などに，こうしたイベントに応じて，スクリプトで定義した任意のアクションを実行する。例えば，スイッチやルーターに遠隔ログインしてリアルタイムにアクセス制御リストを更新する，といった具合だ。