网络安全分析方法、装置、通信设备及存储介质

技术领域

本申请涉及通信技术领域，特别是涉及一种网络安全方法、装置、通信设备及存储介质。

背景技术

随着通信技术的发展，网络安全技术对于保证通信网络的安全运行起着十分重要的作用，其中，对通信网络中各终端运行时所产生的镜像数据进行网络安全分析的方法，已经开始受到越来越广泛的关注。

传统技术中，通常是将通信网络中交换机内的所有数据都镜像到边缘安全设备上，以此来实现网络安全的分析，镜像数据计算负担较大，造成边缘安全设备的镜像端口带宽资源紧张。

发明内容

基于此，有必要针对上述技术问题，提供一种网络安全分析方法、装置、通信、计算机可读存储介质和计算机程序产品，能够有效提高边缘安全设备对镜像数据的处理效率。

第一方面，本申请提供了一种网络安全分析方法，包括：

接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；

当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

在其中一个实施例中，接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息，包括：

对目标报文数据的MAC地址、TCP端口号、UDP端口号、报文关键字以及应用协议类型字段进行扫描；

基于扫描得到的目标MAC地址、目标TCP端口号、目标UDP端口号、目标报文关键字以及目标应用协议类型字段，确定终端对应的终端类型信息以及所属生产厂商信息。

在其中一个实施例中，当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则，包括：

将目标报文数据的数据类型、目的网络地址与目标数据访问规则进行比对；

当比对结果一致时，确定目标报文数据符合目标数据访问规则；

当比对结果不一致时，确定目标报文数据不符合目标数据访问规则。

在其中一个实施例中，上述网络安全分析方法还包括：

当匹配失败时，根据目标报文数据生成对应的第二镜像数据，并将第二镜像数据发送至边缘安全设备。

在其中一个实施例中，上述网络安全分析方法还包括：

接收边缘安全设备发送的预设时间段内终端发送的报文数据的违规记录，违规记录用于表征终端发送的报文数据出现不符合目标数据访问规则的访问次数；

基于违规记录，更新目标数据访问规则。

在其中一个实施例中，基于违规记录，更新目标数据访问规则，包括：

当违规记录中显示终端发送的报文数据的违规访问次数超过预设阈值时，将违规访问次数超过预设阈值的报文数据对应的网络地址，确定为合法访问地址；

基于合法访问地址，生成对应的数据访问规则。

第二方面，一种网络安全分析装置，包括：

接收模块，用于接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

匹配模块，用于将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

判断模块，用于当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

第三方面，本申请还提供了一种通信设备，该通信设备包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

第四方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以下步骤：

接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

第五方面，本申请还提供了一种计算机程序产品。计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现以下步骤：

接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

上述网络安全分析方法、装置、通信设备和存储介质，通过对终端发送来的目标报文数据进行扫描，得到终端对应的目标设备信息，再根据该终端的目标设备信息在预设标准库中进行匹配，确定该终端对应的目标数据访问规则，再基于该目标数据访问规则判断该目标报文数据对应的网络访问行为是否符合目标数据访问规则，如符合则无需生成对应的镜像数据，如不符合则生成目标报文数据对应的镜像数据，并将该镜像数据发送至边缘安全设备，以使该边缘安全设备能够根据目标报文数据对应的镜像数据进行网络安全分析，相比于现有技术而言，本申请这种方法能够根据终端对应的数据访问规则，有效筛除无需进行网络安全监控的报文数据，有效减轻边缘安全设备的数据计算负担，提高边缘安全设备对镜像数据的处理效率。

附图说明

图1为一个实施例中网络安全分析方法的应用环境图；

图2为一个实施例中网络安全分析方法的流程示意图；

图3为一个实施例中确定终端对应的设备信息的流程示意图；

图4为一个实施例中判断目标报文数据是否符合目标数据访问规则的流程示意图；

图5为一个实施例中更新目标数据访问规则的流程示意图；

图6为一个实施例中生成对应的数据访问规则的流程示意图；

图7为一个实施例中基于终端类型设置镜像策略的框架示意图；

图8为一个实施例中基于终端类型设置镜像策略的数据流向示意图；

图9为一个实施例中处理镜像工作对应的交换机工作示意图；

图10为一个实施例中基于终端类型设置镜像策略的流程示意图；

图11为一个实施例中网络安全分析装置的结构框图；

图12为一个实施例中通信设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的网络安全分析方法，可以应用于如图1所示的应用环境中。如图1所示，该应用环境包括终端102、通信设备104以及边缘安全设备106。其中终端102通过网络与通信设备104进行通信，通信设备104通过网络与边缘安全设备106进行通信。终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、智能摄像机和便携式可穿戴设备等，但并不局限于此。通信设备104边缘安全设备106可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。

在一个实施例中，如图2所示，提供了一种网络安全分析方法，以该方法应用于图1中的通信设备104为例进行说明，包括以下步骤：

步骤S202，接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息。

其中，目标报文数据为终端与目标访问设备之间的进行网络通信的数据报文，目标设备信息用于表征对应终端的终端类型以及生产厂家等信息。

具体地，通信设备接收从终端发送过来的目标报文数据，对目标报文数据的各个目标字段进行字段扫描，得到扫描结果，其中该扫描结果包括目标字段的字段类型，根据该扫描得到的字段类型确定该目标报文数据对应的终端的目标设备信息。

步骤S204，将目标设备信息与预设特征库进行匹配。

其中，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系。

具体地，通信设备将上述步骤中确定的目标设备信息与预设特征库中的设备信息进行匹配，进行匹配的目的是判断目标设备信息是否为预设特征库中已备案的设备信息，该预设特征库中所有已备案的设备信息均具有对应的数据访问规则，若目标设备信息为已备案的设备信息，则表示该目标设备信息对应的终端为通信设备熟悉的终端设备，因此，该终端设备的网络访问行为被通信设备所熟知，其网络访问的安全性的可识别性高，否则该终端设备为通行设备不熟悉的设备（即陌生终端），因此其网络访问的安全性未知，需要进行镜像分析的数据更多。

步骤S206，当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则。

具体地，通信设备根据前述步骤将目标设备信息与预设特征库进行匹配，若匹配成功则得到该目标设备信息对应的目标数据访问规则，并将该目标数据访问规则作为判断标准，具体为是判断目标报文数据的数据类型与发送的对象是否符合目标数据访问规则。

步骤S208，当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备。

其中，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

具体地，当目标报文数据不符合目标数据访问规则时，表示该终端设备为通行设备不熟悉的设备（即陌生终端），因此其网络访问的安全性未知，需要将该目标报文数据进行镜像，生成第一镜像数据并发送至边缘安全设备。

本实施例中，通过对终端发送来的目标报文数据进行扫描，得到终端对应的目标设备信息，再根据该终端的目标设备信息在预设标准库中进行匹配，确定该终端对应的目标数据访问规则，再基于该目标数据访问规则判断该目标报文数据对应的网络访问行为是否符合目标数据访问规则，如符合则无需生成对应的镜像数据，如不符合则生成目标报文数据对应的镜像数据，并将该镜像数据发送至边缘安全设备，以使该边缘安全设备能够根据目标报文数据对应的镜像数据进行网络安全分析，相比于现有技术而言，本申请这种方法能够根据终端对应的数据访问规则，有效筛除无需进行网络安全监控的报文数据，有效减轻边缘安全设备的数据计算负担，提高边缘安全设备对镜像数据的处理效率。

在一个实施例中，如图3所示，接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息，包括：

步骤S302，对目标报文数据的MAC地址、TCP端口号、UDP端口号、报文关键字以及应用协议类型字段进行扫描。

具体地，通信设备将目标报文数据的MAC地址、TCP端口号、UDP端口号、报文关键字以及应用协议类型字段，与预设字段类型进行比较，得到该目标报文数据的各字段类型。

步骤S304，基于扫描得到的目标MAC地址、目标TCP端口号、目标UDP端口号、目标报文关键字以及目标应用协议类型字段，确定终端对应的终端类型信息以及所属生产厂商信息。

具体地，通信设备根据MAC地址确定对应终端的终端类型信息，再获取目标报文数据中MAC地址的预设数量的字符（例如可以取MAC地址的前三位），再将该预设数量的字符与厂家OUI进行比对，从而确定该终端所属厂商的信息，还可以由中央处理器通过终端上的应用所开启的TCP服务端口进行TCP连接，与应答报文关键字段进行匹对，识别终端的类型，还可以是通过与终端上的应用所开启的UDP服务端口进行通信连接，与应答报文关键字段进行匹对，用于识别终端的类型，或者通过一些标准协议，如Ws-discovery、Onvif、RTSP、ICMP协议等识别出终端的类型。

本实施例中，通过对目标报文数据中的MAC地址、端口信息及报文关键字进行扫描，再根据扫描结果确定终端对应的终端类型信息以及生产信息，从而有效根据目标报文数据确定其对应终端的类型信息以及生产信息，提高确定终端类型信息以及生产信息的准确性。

在一个实施例中，如图4所示，当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则，包括：

步骤S402，将目标报文数据的数据类型、目的网络地址与目标数据访问规则进行比对。

步骤S404，当比对结果一致时，确定目标报文数据符合目标数据访问规则。

步骤S406，当比对结果不一致时，确定目标报文数据不符合目标数据访问规则。

具体地，通信设备将目标报文数据的数据类型、目的网络地址以及目标数据访问规则进行比对，根据比对结果确定当前的目标报文数据对应的网络访问行为是否相符目标数据访问规则。

本实施例中，通过将目标报文数据的数据类型、目的网络地址与目标数据访问规则进行比对，再根据比对结果确定当前的目标报文数据对应的网络访问行为是否相符目标数据访问规则，从而能够准确并快速地确定目标报文数据对应的网络访问行为是否存在异常，提高网络访问行为判断的准确性。

在一个实施例中，上述网络安全分析方法还包括：

当匹配失败时，根据目标报文数据生成对应的第二镜像数据，并将第二镜像数据发送至边缘安全设备。

需要说明的是，当目标设备信息与预设特征库匹配失败时，表明该目标报文数据对应的终端设备对于通信设备而言，是未备份的陌生设备，因此其网络访问行为的安全性无法根据已有的历史网络访问数据进行推测，故通信设备需要根据该目标报文数据生成对应的第二镜像数据，并将该第二镜像数据发送至边缘安全设备。

本实施例中，当匹配失败时，根据目标报文数据生成对应的第二镜像数据，并将第二镜像数据发送至边缘安全设备，有效保证网络安全分析的可靠性。

在一个实施例中，如图5所示，上述网络安全分析方法还包括：

步骤S502，接收边缘安全设备发送的预设时间段内终端发送的报文数据的违规记录。

其中，违规记录用于表征终端发送的报文数据出现不符合目标数据访问规则的访问次数。

具体地，通信设备接收边缘安全设备发送的对应终端报文数据的违规记录，并分析该违规记录。

步骤S504，基于违规记录，更新目标数据访问规则。

具体地，通信设备对该违规记录进行分析，根据分析结果更新目标数据访问规则，例如，当A设备在预设时间段内出现N次违规记录，且当N大于预设阈值时，表明A设备对应的数据访问规则不符合正常的网络访问行为，应该对A设备对应的数据访问规则进行更新。

本实施例中，通过接收边缘安全设备发送的预设时间段内终端发送的报文数据的违规记录，基于违规记录，更新目标数据访问规则，从而能够根据终端的实际网络访问行为及时并准确地更新对应的数据访问规则，提高数据访问规则的可靠性。

在一个实施例中，如图6所示，基于违规记录，更新目标数据访问规则，包括：

步骤S602，当违规记录中显示终端发送的报文数据的违规访问次数超过预设阈值时，将违规访问次数超过预设阈值的报文数据对应的网络地址，确定为合法访问地址。

其中，预设阈值可以由技术人员根据实际需要而设定；合法访问地址指的是符合数据访问规则的访问对象的网络地址。

步骤S604，基于合法访问地址，生成对应的数据访问规则。

具体地，通信设备将对应终端与合法访问地址之间的网络通信行为，确定为合法的访问行为，将该合法访问地址作为新的目标访问对象的网络地址，生成对应的数据访问规则。

本实施例中，当违规记录中显示终端发送的报文数据的违规访问次数超过预设阈值时，将违规访问次数超过预设阈值的报文数据对应的网络地址，确定为合法访问地址，基于合法访问地址，生成对应的数据访问规则，从而能够根据终端的实际网络访问行为及时并准确地更新对应的数据访问规则，提高数据访问规则的可靠性。

本申请还提供了一种应用场景，该应用场景应用上述的网络安全分析方法，该方法应用于交换机根据终端类型设置镜像策略的场景。具体地，该网络安全分析方法在该应用场景的应用如下所示：

目前，基于物联网边缘安全解决方案已经逐步在很多关键行业进行部署，比如：金融、学校等；对于边缘安全解决方案的厂家而言，为了分析出安全隐患，需要从多方面收集物联网络内的各终端运行时所产生数据，而这些数据最好来源之一就是来自交换机的镜像数据。如果把交换机内所有数据都镜像到边缘安全设备，如图7所示，一方面，会对边缘安全设备的性能提出较高的要求，从而增加了边缘安全设备成本负担；另一方面，镜像端口往往只有一个，对于数据量较大的物联网络，很容易造成镜像端口带宽不够，从而造成镜像数据不全，安全隐患分析不到位的问题。

由于物联网本身的特殊性，对于每一台物联网终端设备来说，其主要的网络的行为基本都是可以预知的，其一般只会与之对应的服务器进行通信，而且其通信的TCP|UDP应用端口通常也是确定的，对边缘安全设备来说，发现网络安全隐患，只需要分析这些正常应用以外的数据。以摄像机为例，其所产生数据主要是上报视频信息给服务器，而这个上报的数据对物联网络本身不会造成破坏性影响，因而边缘安全设备就无需对这些数据进行安全隐患分析。

本实施例是主要通过在交换机上基于不同的终端类型，把明确对应终端合法性的数据进行正常的数据转发，把不确定是否有安全隐患的数据镜像给边缘安全设备，从而减少边缘安全设备的性能压力，以及镜像端口带宽不够的问题，如图8所示。

如图9所示，交换机的CPU上设置有预设特征库，该特征库用于识别终端类型，以及该终端类型在网络中合法的数据行为对应的ACL（Access Control List，访问控制列表）规则A。当CPU通过ARP、TCP|UDP扫描等手段获取终端类型后，将下发ACL规则A到交换芯片。

交换芯片通过ACL镜像策略，对于来自终端的输入报文，对满足ACL规则A的报文直接转发，对不满足ACL规则A的报文在进行转发的同时拷贝一份到镜像端口，具体为：开启ARP扫描和ARP侦听，当发现新的终端出现后，针对该终端开启TCP|UDP和协议扫描，把扫描的结果与本地特征库进行对比，识别出终端类型和所属生产厂商信息，其过程如图10所示。

另外，在网络运行期间，初始化预设的ACL规则A可能无法满足实际网络中所有情况，因此，交换机还需要为网络管理员提供一些工具便于手工编辑ACL规则A，以便ACL规则A能够满足更好的应用效果。

所以，交换机还需要收集终端所有数据流运行情况，例如，建立如下表1提供给网络管理员：

表1

其中，摄像机10.1.1.10的ACL规则A命中的次数为0，表示ACL规则A实际上是无效的，网络管理员可以通过上表清楚的看到摄像机的应用端口8000才是常用合法的应用的数据，因此可以把本地应用端口8000、目的IP 10.1.1.2设置为ACL规则A。

本实施例中，通过对终端发送来的目标报文数据进行扫描，得到终端对应的终端类型信息，再根据该终端的终端类型信息在预设标准库中进行匹配，交换机为不同的终端类型预设对应的ACL规则A，当交换机识别出终端类型后，会根据该终端类型下发对应ACL规则A到交换芯片，并设置对满足ACL规则A的报文进行正常转发，对不满足该ACL规则A的报文进行镜像。并将该镜像数据发送至边缘安全设备，以使该边缘安全设备能够根据目标报文数据对应的镜像数据进行网络安全分析，相比于现有技术而言，本实施例这种方法能够根据终端对应的ACL规则，有效筛除无需进行网络安全监控的报文数据，有效减轻边缘安全设备的数据计算负担，提高边缘安全设备对镜像数据的处理效率。

应该理解的是，虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图11所示，提供了一种网络安全分析装置，该装置可以采用软件模块或硬件模块，或者是二者的结合成为通信设备的一部分，该装置具体包括：接收模块1102、匹配模块1104、判断模块1106，其中：

接收模块1102，用于接收终端发送的目标报文数据，并对目标报文数据的目标字段进行扫描，得到终端对应的目标设备信息；

匹配模块1104，用于将目标设备信息与预设特征库进行匹配，预设标准库包括各个终端的设备信息及对应的数据访问规则的对应关系；

判断模块1106，用于当匹配成功时，根据目标设备信息确定对应的目标数据访问规则，并判断目标报文数据是否符合目标数据访问规则；当目标报文数据不符合目标数据访问规则时，根据目标报文数据，生成第一镜像数据，并将第一镜像数据发送至边缘安全设备，边缘安全设备用于根据接收到的镜像数据对对应终端的网络访问行为进行网络安全分析。

在一个实施例中，接收模块1102还用于对目标报文数据的MAC地址、TCP端口号、UDP端口号、报文关键字以及应用协议类型字段进行扫描；基于扫描得到的目标MAC地址、目标TCP端口号、目标UDP端口号、目标报文关键字以及目标应用协议类型字段，确定终端对应的终端类型信息以及所属生产厂商信息。

在一个实施例中，判断模块1106还用于将目标报文数据的数据类型、目的网络地址与目标数据访问规则进行比对；当比对结果一致时，确定目标报文数据符合目标数据访问规则；当比对结果不一致时，确定目标报文数据不符合目标数据访问规则。

在一个实施例中，判断模块1106还用于接收边缘安全设备发送的预设时间段内终端发送的报文数据的违规记录，违规记录用于表征终端发送的报文数据出现不符合目标数据访问规则的访问次数；基于违规记录，更新目标数据访问规则。

在一个实施例中，判断模块1106还用于当匹配失败时，根据目标报文数据生成对应的第二镜像数据，并将第二镜像数据发送至边缘安全设备。

在一个实施例中，判断模块1106还用于接收边缘安全设备发送的预设时间段内终端发送的报文数据的违规记录，违规记录用于表征终端发送的报文数据出现不符合目标数据访问规则的访问次数；基于违规记录，更新目标数据访问规则。

在一个实施例中，判断模块1106还用于当违规记录中显示终端发送的报文数据的违规访问次数超过预设阈值时，将违规访问次数超过预设阈值的报文数据对应的网络地址，确定为合法访问地址；基于合法访问地址，生成对应的数据访问规则。

上述网络安全分析装置，通过对终端发送来的目标报文数据进行扫描，得到终端对应的目标设备信息，再根据该终端的目标设备信息在预设标准库中进行匹配，确定该终端对应的目标数据访问规则，再基于该目标数据访问规则判断该目标报文数据对应的网络访问行为是否符合目标数据访问规则，如符合则无需生成对应的镜像数据，如不符合则生成目标报文数据对应的镜像数据，并将该镜像数据发送至边缘安全设备，以使该边缘安全设备能够根据目标报文数据对应的镜像数据进行网络安全分析，相比于现有技术而言，本申请这种方法能够根据终端对应的数据访问规则，有效筛除无需进行网络安全监控的报文数据，有效减轻边缘安全设备的数据计算负担，提高边缘安全设备对镜像数据的处理效率。

关于网络安全分析装置的具体限定可以参见上文中对于网络安全分析方法的限定，在此不再赘述。上述网络安全分析装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于通信设备中的处理器中，也可以以软件形式存储于通信设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种通信设备，该通信设备可以是交换机，其内部结构图可以如图12所示。该通信包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该通信设备的处理器用于提供计算和控制能力。该通信设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该通信设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、移动蜂窝网络、NFC（近场通信）或其他技术实现。该计算机程序被处理器执行时以实现一种网络安全分析方法。该通信设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该通信设备的输入装置可以是显示屏上覆盖的触摸层，也可以是通信设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图12中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的通信设备的限定，具体的通信设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，还提供了一种通信设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现上述各方法实施例中的步骤。

在一个实施例中，提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。通信设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该通信设备执行上述各方法实施例中的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器（Read-OnlyMemory，ROM）、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器（ReRAM）、磁变存储器（Magnetoresistive Random Access Memory，MRAM）、铁电存储器（Ferroelectric Random Access Memory，FRAM）、相变存储器（Phase Change Memory，PCM）、石墨烯存储器等。易失性存储器可包括随机存取存储器（Random Access Memory，RAM）或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器（Static Random Access Memory，SRAM）或动态随机存取存储器（Dynamic RandomAccess Memory，DRAM）等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。