流量分析是网络运行管理的重要手段，网络运行维护人员往往需要借助流量分析了解网络的状况，即4w+1h(who, what, where, when, and how)。

　　对网络进行流量分析可以为网络规划、异常检测、流量工程、网络行为分析、以及QoS保证等提供参考数据。我们关注的用户行为包括：谁占了带宽、哪些站点和应用比较热门、用户体验评估等问题，也可以通过流量分析获得。

　　在IPv4环境下流量分析得到了较好的重视，现在IPv6的环境正在慢慢成熟，所谓兵马未动，粮草先行，对IPv6环境进行流量分析是现在就应该做的一个工作，以应对未来大规模IPv6的需求。

　　对IPv6环境做流量分析将面临一些不一样的情况和由此带来的挑战，包括：协议报文的改变、用户行为特征的变化、安全问题的演化以及流量导出手段的变化等。

　　IPv4与IPv6的一个重要差异来自于协议的包头结构的变化。IPv4的包头较复杂，有很多特殊用途的字段，且长度不定；而IPv6的包头结构相对简单，字段的数量较少，固定长度。IPv6去掉了一些IPv4的字段如IHL、identification、Fragment Offset等；修改了一些字段的名称和功能，如Type Of Service(TOS)字段被修改为Traffic Class，Time to Live 被命名为Hop Limit；另外IPv6增加了Flow label 字段来增强对流传输的支持。另外，IPv6通过引入扩展报头的概念，如逐个路程段选项报头，分段报头，路由报头，身份认证报头等，实现对不同协议、不同功能的支持。而IPv4和IPv6最直观的差异是地址长度由原来的32位扩展到了128位。这些差异自然对流量信息带来了一些改变。

　　一方面，由于IPv4和IPv6协议上的差异，使得IPv6环境下的网络行为有所不同。另一方面，由于目前IPv6环境尚在一个试运行推广应用的阶段，其上的网络行为和已经成熟的IPv4环境下的有较大区别。我们观察到，目前在IPv6的环境下，占据流量比例最大的是流媒体应用，P2P应用正在起步，如教育网中东北大学的“六维空间”，北京大学的ngMAZE等。除此之外的http流量仅局限于少数几个站点，而其他的IPv6应用较少，还没有发展出特殊的行为特征。可以预期在不久的将来，用户行为很可能发生改变。再加上其他现有IPv6环境下独有的一些情况，包括一个节点拥有多个地址、双栈环境等；如何将多个IP地址流量与节点（或用户）关联，混合环境下的用户特征如何等，也将是流量分析的挑战。

　　IPv6的安全形势也值得关注。在IPv6的环境下，一些网络攻击的方式会发生改变。例如由于地址空间的扩大，原有的地址扫描行为将不再有效；由于IPv6内含的IPSec特性，带来保密性能的增强也带来安全检测手段的问题；IPv6下的NS/NA技术，类似IPv4的ARP协议，目前还有不小的漏洞；IPv6下的隐蔽信道攻击[1][2]，即在正常的传输中不为人注意地隐秘地传送一些信息近些年也受到关注；另外一些由IPv4演进的攻击行为也将对IPv6造成威胁，如蠕虫、僵尸网络等。双栈环境下，由IPv4来的攻击者往往也会通过隧道、转换网关等发起对IPv6的攻击。