报文处理方法、装置、电子设备及可读存储介质与流程

1.本技术涉及网络安全技术领域，具体而言，涉及一种报文处理方法、装置、电子设备及可读存储介质。


背景技术：

2.为了确保网络安全，一般在网络中设置安全设备(如入侵防御设备)，安全设备可以对流经网络的每一个数据报文进行安全检查，这种安全检查需要消耗的时间对不同协议不同长度的报文、甚至在不同安全策略下都不相同。如果没有有效的技术手段保障，安全设备在遭遇特定报文或网络高峰期时，极易造成因安全检查耗时较长而阻塞报文处理导致网络丢包，影响网络业务的情况。
3.现有的解决方案是在安全设备中配置软件bapass功能，在bapass功能开启之后，安全设备可以在报文处理不过来的时候放弃对报文进行安全检查而是优先转发报文，以保障网络通畅。
4.目前开启bapass功能的条件一般是基于cpu利用率，如果cpu利用率超过一个阈值则直接转发报文(bypass)，当cpu利用率低于一个阈值时再恢复安全检查。但是这个阈值是个固定值，虽然可以预先设置和调整，但在整个报文处理过程中是固定的，这个固定值很难精确反映设备的实际处理能力，如阈值高了会导致设备处理不过来而丢包影响网络业务，阈值低了则无法发货设备的性能，不能对更多的报文进行安全检查。


技术实现要素：

5.本技术实施例的目的在于提供一种报文处理方法、装置、电子设备及可读存储介质，用以改善现有技术中决定开启设备bapass功能的阈值是固定值，而导致无法难精确反映设备的实际处理能力，不能充分发挥设备的性能的问题。
6.第一方面，本技术实施例提供了一种报文处理方法，所述方法包括：
7.获取网络安全设备中网卡的丢包情况；
8.根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，其中，流量限速阈值用于限制在设定时间段内所述网络安全设备对报文进行安全检查的数量；
9.获取在所述设定时间段内可安全检查的剩余报文数量，其中，在所述设定时间段达到前，所述剩余报文数量的初始值为调整前的所述当前流量限速阈值，在所述设定时间段达到后，所述剩余报文数量的初始值更新为调整后的所述目标流量限速阈值；
10.根据所述剩余报文数量确定对当前待处理报文的处理方式。
11.在上述实现过程中，通过获取网络安全设备中网络的丢包情况，然后根据丢包情况对流量限速阈值进行动态调整，以调整设备在设定时间段内对报文进行安全检查的数量，从而可以根据设定时间段内可安全检查的剩余报文数量来确定对当前待处理报文的处理方式，由于网卡的丢包情况能够更好地反应设备的真实处理能力，所以，本技术的方法可
以根据设备的真实处理能力来动态调整安全检查的报文数量，不会造成安全检查功能的频繁开关，达到充分发挥设备性能的目的。
12.可选地，所述根据所述剩余报文数量确定对当前待处理报文的处理方式，包括：
13.若所述剩余报文数量等于或小于0，则对当前待处理报文进行转发；
14.若所述剩余报文数量大于0，则对当前待处理报文进行安全检查。
15.在上述实现过程中，通过剩余报文数量可灵活决定对当前待处理报文的处理方式。
16.可选地，所述根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，包括：
17.若所述丢包情况为所述网卡的丢包数量增加，则降低所述当前流量限速阈值，获得降低后的目标流量限速阈值；
18.若所述丢包情况为所述网卡的丢包数量未增加，则获取所述网卡的流量变化趋势，并根据所述网卡的流量变化趋势对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值。
19.在上述实现过程中，在网卡的丢包数量增加时，降低当前流量限速阈值，这样可以降低网卡的负载，避免网卡因为负载过多而丢包，影响网络业务的问题，在网卡的丢包数量未增加时，根据流量变化趋势来调整流量限速阈值，这样可以综合考虑网卡在短时间内的负载情况，使得调整的流量限速阈值更贴近设备的真实处理能力。
20.可选地，所述根据所述网卡的流量变化趋势对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，包括：
21.若所述网卡的流量变化趋势为下降趋势，则将表征网卡空闲程度的网卡闲指数的值加1，并获取当前网卡闲指数；
22.若所述当前网卡闲指数大于设定值，则增加所述当前流量限速阈值，获得增加后的目标流量限速阈值。
23.在上述实现过程中，在上述实现过程中，只有在网卡闲指数大于设定值时，才增加当前流量限速阈值，这样只有在网卡有足够的处理能力才增加流量限速阈值，使得在短时间内不会对流量限速阈值进行快速调整，也就不会对剩余报文数量进行频繁更新，以确保网络业务正常进行。
24.可选地，所述获取在所述设定时间段内可安全检查的剩余报文数量，包括：
25.获取当前时间以及上次更新所述剩余报文数量的时间之间的时间间隔；
26.若所述时间间隔小于所述设定时间段，则获取在所述设定时间段内可安全检查的剩余报文数量。
27.在上述实现过程中，在时间间隔小于设定时间段时，不对剩余报文数量进行更新，这样可以避免频繁对剩余报文数量进行更新而导致网络业务时断时续的问题。
28.可选地，所述获取当前时间以及上次更新所述剩余报文数量的时间之间的时间间隔之后，还包括：
29.若所述时间间隔大于或等于所述设定时间段，则将所述剩余报文数量的初始值更新为所述目标流量限速阈值，并将所述上次更新所述剩余报文数量的时间更新为所述当前时间。这样使得对后续报文进行处理时，便于判断剩余报文数量的更新时间。
30.可选地，所述剩余报文数量为采用令牌桶算法进行统计的令牌数量，所述根据所述剩余报文数量确定对当前待处理报文的处理方式，包括：
31.若令牌桶中的令牌数量等于0，则对当前待处理报文进行转发；
32.若令牌桶中的令牌数量大于0，则对当前待处理报文进行安全检查。
33.在上述实现过程中，由于令牌桶可以方便的改变速度，即可以按需提高放入令牌桶中令牌的速率，也可以按照任意速率从令牌桶中取出令牌，如网络安全设备对报文进行安全检查的速率较高时，则可以快速从令牌桶中取出令牌进行计数，这个过程对网络安全设备来说，资源消耗较少。
34.第二方面，本技术实施例提供了一种报文处理装置，所述装置包括：
35.丢包情况获取模块，用于获取网络安全设备中网卡的丢包情况；
36.阈值调整模块，用于根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，其中，流量限速阈值用于限制在设定时间段内所述网络安全设备对报文进行安全检查的数量；
37.剩余数量获取模块，用于获取在所述设定时间段内可安全检查的剩余报文数量，其中，在所述设定时间段达到前，所述剩余报文数量的初始值为调整前的所述当前流量限速阈值，在所述设定时间段达到后，所述剩余报文数量的初始值更新为调整后的所述目标流量限速阈值；
38.报文处理模块，用于根据所述剩余报文数量确定对当前待处理报文的处理方式。
39.可选地，所述报文处理模块，用于若所述剩余报文数量等于或小于0，则对当前待处理报文进行转发；若所述剩余报文数量大于0，则对当前待处理报文进行安全检查。
40.可选地，所述阈值调整模块，用于若所述丢包情况为所述网卡的丢包数量增加，则降低所述当前流量限速阈值，获得降低后的目标流量限速阈值；若所述丢包情况为所述网卡的丢包数量未增加，则获取所述网卡的流量变化趋势，并根据所述网卡的流量变化趋势对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值。
41.可选地，所述阈值调整模块，用于若所述网卡的流量变化趋势为下降趋势，则将表征网卡空闲程度的网卡闲指数的值加1，并获取当前网卡闲指数；若所述当前网卡闲指数大于设定值，则增加所述当前流量限速阈值，获得增加后的目标流量限速阈值。
42.可选地，所述剩余数量获取模块，用于获取当前时间以及上次更新所述剩余报文数量的时间之间的时间间隔；若所述时间间隔小于所述设定时间段，则获取在所述设定时间段内可安全检查的剩余报文数量。
43.可选地，所述装置还包括：
44.更新模块，用于若所述时间间隔大于或等于所述设定时间段，则将所述剩余报文数量的初始值更新为所述目标流量限速阈值，并将所述上次更新所述剩余报文数量的时间更新为所述当前时间。
45.可选地，所述剩余报文数量为采用令牌桶算法进行统计的令牌数量，所述报文处理模块，用于若令牌桶中的令牌数量等于0，则对当前待处理报文进行转发；若令牌桶中的令牌数量大于0，则对当前待处理报文进行安全检查。
46.第三方面，本技术实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第
一方面提供的所述方法中的步骤。
47.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
48.本技术的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本技术实施例了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
49.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
50.图1为本技术实施例提供的一种报文处理方法的流程图；
51.图2为本技术实施例提供的一种报文处理方法的完整流程图；
52.图3为本技术实施例提供的一种报文处理装置的结构框图；
53.图4为本技术实施例提供的一种用于执行报文处理方法的电子设备的结构示意图。
具体实施方式
54.下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述。
55.需要说明的是，本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上，鉴于此，本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，字符“/”，如无特殊说明，一般表示前后关联对象是一种“或”的关系。
56.本技术实施例提供一种报文处理方法，该方法通过获取网络安全设备中网络的丢包情况，然后根据丢包情况对流量限速阈值进行动态调整，以调整设备在设定时间段内对报文进行安全检查的数量，从而可以根据设定时间段内可安全检查的剩余报文数量来确定对当前待处理报文的处理方式，由于网卡的丢包情况能够更好地反应设备的真实处理能力，所以，本技术的方法可以根据设备的真实处理能力来动态调整安全检查的报文数量，不会造成安全检查功能的频繁开关，达到充分发挥设备性能的目的。
57.请参照图1，图1为本技术实施例提供的一种报文处理方法的流程图，该方法包括如下步骤：
58.步骤s110：获取网络安全设备中网卡的丢包情况。
59.网络安全设备在对报文进行处理时，可以从网卡的报文队列中取出一个报文，当然，网络安全设备也可以一次性从报文队列中取出多个报文，但是一次只能对一个报文进行处理，所以为了便于描述，本技术实施例中将当前要处理的报文称为当前待处理报文，为了确定对当前待处理报文的处理方式，如是直接转发还是进行安全检查，还需要先获取网
卡的丢包情况。
60.网卡的丢包情况可以通过网卡自身统计的一些数据来确定，如网卡可以自己统计收包数量(指网络正确收取的数据包数量)、丢包数量(指由于延迟问题导致网卡无法及时收取的数据包数量)、收取字节数(指网卡正确收取的数据包字节数)等。网络安全设备可以从网卡处获取网络自身统计的信息，然后根据这些信息来确定网卡的丢包情况，如丢包数量是否增加、丢包数量多少等。
61.步骤s120：根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值。
62.其中，流量限速阈值用于限制在设定时间段内网络安全设备对报文进行安全检查的数量，如10000表示限制网络安全设备每秒安全检查10000个报文，超出该数量的报文则直接进行转发，而不进行安全检查。该流量限速阈值的初始值可以设置得高一些，后续可根据丢包情况进行动态调整。在上述示例中，设定时间段可以为1s，或者也可以根据实际需求灵活设置。
63.如当前流量限速阈值为10000，其是初始值，若丢包数量增加，则表示网卡负载较大，应该降低当前流量限速阈值，使得网络安全设备对报文进行快速转发，以降低网卡的负载，反之，则增加当前流量限速阈值。调整后的流量限速阈值可称为目标流量限速阈值，如此可以实时根据网卡的丢包情况来对流量限速阈值进行动态调整，使得对报文的处理可以更好地匹配设备的真实处理能力。
64.步骤s130：获取在设定时间段内可安全检查的剩余报文数量。
65.其中，在设定时间段到达前，剩余报文数量的初始值为调整前的当前流量限速阈值，在设定时间段到达后，剩余报文数量的初始值更新为调整后的目标流量限速阈值。
66.举例来说，假如流量限速阈值的初始值为10000，该初始值为当前限速流量阈值，初始时剩余报文数量即为10000，若网络安全设备在当前时间已经安全检查了5000个报文，当前时间还没有达到1s，通过根据丢包情况对当前流量限速阈值进行调整，如调整为8000，即目标流量限速阈值为8000，那么剩余报文数量的初始值还是为10000，并不会更新，此时当前时间的剩余报文数量即为5000，表示在剩余时间内还可以安全检查5000个报文。假如当前时间达到了1s，而根据丢包情况将当前流量限速阈值调整为8000，那么此时剩余报文数量的初始值则调整为8000，表示在下个1s内，只有8000个报文能够被安全检查。这样就可以根据网卡的实际处理能力来动态调整设备可安全检查的报文数量。
67.步骤s140：根据所述剩余报文数量确定对当前待处理报文的处理方式。
68.剩余报文数量用于统计网络安全设备在设定时间段内可安全检查的报文数量，如剩余报文数量的初始值为10000，则网络安全设备在每次对一个报文进行安全检查后，则剩余报文数量减1，这样可以实时统计剩余可安全检查的报文数量。
69.在一些实施方式中，剩余报文数量可以采用计数器实现，如计数器的初始值为10000，网络安全设备每安全检查一个报文后，计数器自动减1，这样网络安全设备在获得当前处理报文后，可获取剩余报文数量，若剩余报文数量小于或等于0，表示网络安全设备不能再对报文进行安全检查了，则对当前待处理报文进行直接转发。若剩余报文数量大于0，则表示还可以对报文进行安全检查，则网络安全设备可对当前待处理报文进行安全检查，安全检查后再对报文进行处理，如检查不通过，可将该报文拦截，然后对报文进行追踪溯源
等操作，若检查通过，可将报文进行转发。
70.在另一些实施方式中，剩余报文数量可以为采用令牌桶算法进行统计的令牌数量，在对当前待处理报文进行处理时，若令牌桶中的令牌数量等于0，则表示网络安全设备不能对当前待处理报文进行安全检查了，则对当前待处理报文进行转发，若令牌桶中的令牌数量大于0，则表示网络安全设备还可以对当前待处理报文进行安全检查，所以可以先对当前待处理报文进行安全检查后再进行后续处理。
71.其中，令牌桶可以是指用于存放令牌的容器，网络安全设备可以根据流量限速阈值的调整，在令牌桶中添加或减少对应的令牌，而每次安全检查完一个报文后，从令牌桶中取出一个令牌，这样可以根据剩余的令牌数量来确定是否对当前待处理报文进行安全检查。由于令牌桶可以方便的改变速度，即可以按需提高放入令牌桶中令牌的速率，也可以按照任意速率从令牌桶中取出令牌，如网络安全设备对报文进行安全检查的速率较高时，则可以快速从令牌桶中取出令牌进行计数，这个过程对网络安全设备来说，资源消耗较少。
72.在上述实现过程中，通过获取网络安全设备中网络的丢包情况，然后根据丢包情况对流量限速阈值进行动态调整，以调整设备在设定时间段内对报文进行安全检查的数量，从而可以根据设定时间段内可安全检查的剩余报文数量来确定对当前待处理报文的处理方式，由于网卡的丢包情况能够更好地反应设备的真实处理能力，所以，本技术的方法可以根据设备的真实处理能力来动态调整安全检查的报文数量，不会造成安全检查功能的频繁开关，达到充分发挥设备性能的目的。
73.在上述实施例的基础上，在对当前流量限速阈值进行调整时，获取网卡的丢包情况，若丢包情况为网卡的丢包数量增加，则降低当前流量限速阈值，获得降低后的目标流量限速阈值，若丢包情况为网卡的丢包数量未增加，则获取网卡的流量变化趋势，并根据网卡的流量变化趋势对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值。
74.例如，网络完全设备可以从网卡处获取网卡自身统计的丢包数量，可以理解地，网络安全设备在每处理一个报文时，都可以从网卡处获取网卡当前的丢包数量，然后将当前获取的丢包数量与上一次获取的丢包数量进行比较，若丢包数量增加，即当前获取的丢包数量大于上一次获取的丢包数量，丢包数量增加则表示网卡当前的负载降低，应该降低网络安全设备安全检查报文的数量，所以可以降低当前流量限速阈值。具体降低的数值可以根据实际需求灵活设置，如可以将降低当前流量限速阈值的10％，即降低后的目标流量限速阈值＝当前流量限速阈值
‑
当前流量限速阈值*10％。
75.若当前获取的丢包数量小于或等于上一次获取的丢包数量，则表示网卡的丢包数量未增加，说明网卡当前的负载不大，可以适当增加当前流量限速阈值，具体增加的数值可以根据实际需求灵活设置，如将当前流量限速阈值增加10％，即目标流量限速阈值＝当前流量限速阈值 当前流量限速阈值*10％。
76.或者，若网卡的丢包数量未增加，可能只是表示网卡短时间内负载不大，所以，还可以获取网卡的流量变化趋势，然后根据网卡的流量变化趋势对当前流量限速阈值进行调整。
77.其中，网卡的流量变化趋势可以是根据网卡在一段时间内的流量变化情况来确定的，如可以获取网卡每秒收包数量(pps)和每秒接收流量大小(bps)，如当前获取的pps与上一次获取的pps的差值超过10％，和/或当前获取的bps与上一次获取的bps的差值超过
10％，此时可认为网卡的流量变化趋势为下降趋势，反之，则为上升趋势或没有变化。或者，也可以统计网卡在当前时间以前的一段时间内的流量，然后根据每次获得的流量生成流量变化曲线，若曲线整体呈下降趋势，则认为网卡的流量变化趋势为下降趋势，反之，若曲线整体呈上升趋势，则认为网卡的流量变化趋势为上升趋势，若曲线整体呈平缓趋势，则认为网卡的流量变化趋势为没变化或平缓趋势。
78.在网卡的流量变化趋势为下降趋势时，表示网卡的负载正在变小，此时可以适当增加当前流量限速阈值，如增加当前流量限速阈值的5％。若网卡的流量变化趋势为上升趋势，表示网卡的负载增加，但是若网卡没有丢包，则也不对当前流量限速阈值进行调整。若网卡的流量变化趋势为平缓趋势，则可以不对当前流量限速阈值进行调整，保持当前流量限速阈值不变，等待下一次调整的时机。
79.在上述实现过程中，在网卡的丢包数量增加时，降低当前流量限速阈值，这样可以降低网卡的负载，避免网卡因为负载过多而丢包，影响网络业务的问题，在网卡的丢包数量未增加时，根据流量变化趋势来调整流量限速阈值，这样可以综合考虑网卡在短时间内的负载情况，使得调整的流量限速阈值更贴近设备的真实处理能力。
80.在上述实施例的基础上，还可以通过一个网卡闲指数来表征网卡的负载情况，具体实现方式为：若网卡的流量变化趋势为下降趋势，则将表征网卡空闲程度的网卡闲指数的值加1，并获取当前网卡闲指数，若当前网卡闲指数大于设定值，则增加当前流量限速阈值，获得增加后的目标流量限速阈值。
81.其中，网卡闲指数越大，表明网卡的负载越小，网卡空闲程度越大，反之，网卡闲指数越小，表明网卡的负载越大，网卡空闲程度越小。在网卡的流量变化趋势为下降趋势时，表明网卡空闲程度越来越大，记录网卡的流量变化趋势为下降趋势，并将网卡闲指数加1，并获取网卡的当前网卡闲指数，在当前网卡闲指数大于设定值(设定值的大小可以根据实际情况灵活设置)时，才增加当前流量限速阈值，如增加当前流量限速阈值的10％，即目标流量限速阈值＝当前流量限速阈值 当前流量限速阈值*10％。反之，若网卡闲指数小于或等于设定值，则不对当前流量限速阈值进行调整。
82.在上述实现过程中，只有在网卡闲指数大于设定值时，才增加当前流量限速阈值，这样可以避免如果网卡流量趋势一呈下降趋势就增加当前流量限速阈值，而造成网卡可能会迅速处于繁忙状态然后又会再次降低当前流量限速阈值，使得对流量限速阈值不断进行调整而导致网络业务时断时续的问题。该方式只有在网卡闲指数大于设定值时，才进行调整，这样只有在网卡有足够的处理能力才增加流量限速阈值，使得在短时间内不会对流量限速阈值进行快速调整，也就不会对剩余报文数量进行频繁更新，以确保网络业务正常进行。
83.而若网卡的丢包数量增加，则表示网卡比较繁忙，则可降低当前流量限速阈值，如降低5％等，再降低当前流量限速阈值后，可将网卡闲指数减1，或者将网卡闲指数清零。若网卡的流量变化趋势为平缓，则记录流量变化趋势，不对当前流量限速阈值进行调整，然后获取剩余报文数量对当前待处理报文进行处理。
84.在上述实现过程中，在上述实现过程中，只有在网卡闲指数大于设定值时，才增加当前流量限速阈值，这样只有在网卡有足够的处理能力才增加流量限速阈值，使得在短时间内不会对流量限速阈值进行快速调整，也就不会对剩余报文数量进行频繁更新，以确保
网络业务正常进行。
85.在上述实施例的基础上，在调整当前流量限速阈值，获得目标流量限速阈值后，获取剩余报文数量时，可先判断是否需要对剩余报文数量进行更新，具体实现方式如：获取当前时间以及上次更新剩余报文数量的时间之间的时间间隔，若时间间隔小于设定时间段，表示不需要对剩余报文数量进行更新，则获取剩余报文数量。
86.例如，设定时间段设置为5s，若上次更新剩余报文数量的时间为2分3s，而当前时间为2分5s，两个时间的时间间隔为2s，小于设定时间段，表示还没有到达需要更新剩余报文数量的时间，此时可直接获取当前的剩余报文数量，检查剩余报文数量是否小于0，若否，则对当前待处理报文进行安全检查，若是，则对当前待处理报文进行转发，然后继续从网卡中获取下一个待处理报文，并按照上述同样的方式进行处理。
87.若上述的时间间隔大于或等于设定时间段，如上次更新剩余报文数量的时间为2分3s，而当前时间为2分8s，两个时间的时间间隔为5s，等于设定时间段，表示需要对剩余报文数量进行更新，如更新剩余报文数量为上述调整后的目标流量限速阈值，并将上次更新剩余报文数量的时间更新为当前时间，这样使得对后续报文进行处理时，便于判断剩余报文数量的更新时间。
88.需要说明的是，设定时间段可以理解为是剩余报文数量的更新时间，其可以与流量限速阈值的单位相同，若流量限速阈值的单位为1s，如10000表示设备每秒内可安全检查10000个报文，此时设定时间段则为1s，若流量限速阈值的单位是5s，如10000表示设备每5秒内可安全检查10000个报文，此时设定时间段则为5s。也就是说，设定时间段可以根据时间需求灵活设置。
89.在上述实现过程中，在时间间隔小于设定时间段时，不对剩余报文数量进行更新，这样可以避免频繁对剩余报文数量进行更新而导致网络业务时断时续的问题。
90.下面通过一个完整流程图对上述实施例所介绍的过程进行描述，如图2所示，其包括步骤：
91.步骤s201：获取当前待处理报文；
92.步骤s202：获取网卡的丢包数量，若网卡的丢包数量未增加，执行步骤s203：检查流量变化趋势，若网卡的丢包数量增加，则执行步骤s204：降低当前流量限速阈值；
93.若流量下降，执行步骤s205：记录流量变化趋势为下降趋势，若流量增加，执行步骤s206：记录流量变化趋势为上升趋势；
94.若流量变化趋势为下降趋势，则执行步骤s207：将网卡闲指数加1；
95.步骤s208：判断当前网卡闲指数是否大于设定值，若是，执行步骤s209：增加当前流量限速阈值，若否，执行步骤s210：获取当前时间；
96.步骤s211：获取上次更新令牌的时间，即上次更新剩余报文数量的时间；
97.步骤s212：检查令牌到期情况，即检测当前时间与上次更新令牌的时间之间的时间间隔是否小于设定时间段，若到期，执行步骤s213：更新令牌数量，并更新上次更新令牌的时间，即更新令牌数量为目标流量限速阈值，更新上次更新令牌的时间为当前时间，若没有到期，执行步骤s214：获取令牌数量；
98.若令牌数量等于或小于0，执行步骤s215：对当前待处理报文直接转发，若令牌数量大于0，执行步骤s216：将令牌数量减1；
99.步骤s217：对当前待处理报文进行安全检查；
100.步骤s218：获取下一个待处理报文，并按照上述流程继续处理。
101.所以，本技术的报文处理方法可以利用流量限速机制来实现报文的安全检查功能，通过对网卡的丢包情况以及流量变化情况进行统计，进而动态调整流量限速阈值，既保障了网络安全设备的处理状态的温度，不会造成对报文在安全检查和直接转发之间频繁切换，又能在安全检查开始之后将流量限速阈值动态调整至最佳值，以更好地匹配网络安全设备的实际处理能力，充分发挥设备的性能。
102.请参照图3，图3为本技术实施例提供的一种报文处理装置300的结构框图，该装置300可以是电子设备上的模块、程序段或代码。应理解，该装置300与上述图1方法实施例对应，能够执行图1方法实施例涉及的各个步骤，该装置300具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。
103.可选地，所述装置300包括：
104.丢包情况获取模块310，用于获取网络安全设备中网卡的丢包情况；
105.阈值调整模块320，用于根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，其中，流量限速阈值用于限制在设定时间段内所述网络安全设备对报文进行安全检查的数量；
106.剩余数量获取模块330，用于获取在所述设定时间段内可安全检查的剩余报文数量，其中，在所述设定时间段达到前，所述剩余报文数量的初始值为调整前的所述当前流量限速阈值，在所述设定时间段达到后，所述剩余报文数量的初始值更新为调整后的所述目标流量限速阈值；
107.报文处理模块340，用于根据所述剩余报文数量确定对当前待处理报文的处理方式。
108.可选地，所述报文处理模块340，用于若所述剩余报文数量等于或小于0，则对当前待处理报文进行转发；若所述剩余报文数量大于0，则对当前待处理报文进行安全检查。
109.可选地，所述阈值调整模块320，用于若所述丢包情况为所述网卡的丢包数量增加，则降低所述当前流量限速阈值，获得降低后的目标流量限速阈值；若所述丢包情况为所述网卡的丢包数量未增加，则获取所述网卡的流量变化趋势，并根据所述网卡的流量变化趋势对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值。
110.可选地，所述阈值调整模块320，用于若所述网卡的流量变化趋势为下降趋势，则将表征网卡空闲程度的网卡闲指数的值加1，并获取当前网卡闲指数；若所述当前网卡闲指数大于设定值，则增加所述当前流量限速阈值，获得增加后的目标流量限速阈值。
111.可选地，所述剩余数量获取模块330，用于获取当前时间以及上次更新所述剩余报文数量的时间之间的时间间隔；若所述时间间隔小于所述设定时间段，则获取在所述设定时间段内可安全检查的剩余报文数量。
112.可选地，所述装置300还包括：
113.更新模块，用于若所述时间间隔大于或等于所述设定时间段，则将所述剩余报文数量的初始值更新为所述目标流量限速阈值，并将所述上次更新所述剩余报文数量的时间更新为所述当前时间。
114.可选地，所述剩余报文数量为采用令牌桶算法进行统计的令牌数量，所述报文处
理模块340，用于若令牌桶中的令牌数量等于0，则对当前待处理报文进行转发；若令牌桶中的令牌数量大于0，则对当前待处理报文进行安全检查。
115.需要说明的是，本领域技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再重复描述。
116.请参照图4，图4为本技术实施例提供的一种用于执行报文处理方法的电子设备的结构示意图，该电子设备可以是上述的网络安全设备，所述电子设备可以包括：至少一个处理器410，例如cpu，至少一个通信接口420，至少一个存储器430和至少一个通信总线440。其中，通信总线440用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口420用于与其他节点设备进行信令或数据的通信。存储器430可以是高速ram存储器，也可以是非易失性的存储器(non
‑
volatile memory)，例如至少一个磁盘存储器。存储器430可选的还可以是至少一个位于远离前述处理器的存储装置。存储器430中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器410执行时，电子设备执行上述图1所示方法过程。
117.可以理解，图4所示的结构仅为示意，所述电子设备还可包括比图4中所示更多或者更少的组件，或者具有与图4所示不同的配置。图4中所示的各组件可以采用硬件、软件或其组合实现。
118.本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，执行如图1所示方法实施例中电子设备所执行的方法过程。
119.本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，包括：获取网络安全设备中网卡的丢包情况；根据所述丢包情况对当前流量限速阈值进行调整，获得调整后的目标流量限速阈值，其中，流量限速阈值用于限制在设定时间段内所述网络安全设备对报文进行安全检查的数量；获取在所述设定时间段内可安全检查的剩余报文数量，其中，在所述设定时间段达到前，所述剩余报文数量的初始值为调整前的所述当前流量限速阈值，在所述设定时间段达到后，所述剩余报文数量的初始值更新为调整后的所述目标流量限速阈值；根据所述剩余报文数量确定对当前待处理报文的处理方式。
120.综上所述，本技术实施例提供一种报文处理方法、装置、电子设备及可读存储介质，该方法通过获取网络安全设备中网络的丢包情况，然后根据丢包情况对流量限速阈值进行动态调整，以调整设备在设定时间段内对报文进行安全检查的数量，从而可以根据设定时间段内可安全检查的剩余报文数量来确定对当前待处理报文的处理方式，由于网卡的丢包情况能够更好地反应设备的真实处理能力，所以，本技术的方法可以根据设备的真实处理能力来动态调整安全检查的报文数量，不会造成安全检查功能的频繁开关，达到充分发挥设备性能的目的。
121.在本技术所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连
接，可以是电性，机械或其它的形式。
122.另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
123.再者，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
124.在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
125.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。