一种网络分析方法、装置、设备及存储介质与流程

1.本技术涉及计算机技术领域，尤其涉及一种网络分析方法、装置、设备及存储介质。


背景技术：

2.当采用动态主机配置(dynamic host configuration protocol，dhcp)协议配置网络地址或者网络架构发生变化时，局域网内各终端设备的网络地址会动态变化，导致对象所使用终端设备的网络地址动态变化。现有方案中，网络分析设备可以通过分析dhcp日志的方式或者在终端设备部署网络安全监测装置数据采集软件的方式确定网络地址的变化情况，这两种方式的执行要求高，执行过程复杂，工作量较大。


技术实现要素：

3.本技术实施例提供了一种网络分析方法、装置、设备及存储介质，基于网络数据确定对象使用网络地址的变化情况，执行要求低，无需额外人工操作，执行过程简单，工作量较低。
4.一方面，本技术实施例提供了一种网络分析方法，该网络分析方法包括：
5.响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
6.获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
7.从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
8.基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
9.另一方面，本技术实施例提供了一种网络分析装置，该网络分析装置包括：
10.获取单元，用于响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
11.获取单元还用于获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
12.查找单元，用于从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
13.确定单元，用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
14.再一方面，本技术实施例提供了一种网络分析设备，该网络分析设备包括输入接口、输出接口，该网络分析设备还包括：
15.处理器，适于实现一条或多条指令；以及，
16.计算机存储介质，计算机存储介质存储有一条或多条指令，一条或多条指令适于由处理器加载并执行如下步骤：
17.响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
18.获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
19.从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
20.基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
21.再一方面，本技术提供了一种计算机程序产品，该计算机程序产品包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备实现如下步骤：
22.响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
23.获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
24.从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
25.基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
26.再一方面，本技术实施例提供了一种计算机存储介质，计算机存储介质存储有一条或多条指令，一条或多条指令适于由处理器加载并执行如下步骤：
27.响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
28.获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
29.从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
30.基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
31.在本技术实施例中，网络分析设备可以获取目标局域网在第一时间内基于目标网络协议传输的至少一个流量数据包，以及获取每个流量数据包包括的标识信息和网络地址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。由于本技术确定对象使用网络地址的变化情况是基于网络数据完成的，无需在局域网的终端设备中部署网络安全监测装置数据采集软件或者运行dhcp日志分析脚本，执行要求低，无需额外的人工操作，执行过程简单，工作量较低，可以有效提升网络分析的效率。并且，本技术所提及的网络协议是常见的网络协议，基于目标网络协议传输的流量
数据包易抓取，本技术的网络分析方法可以适用于各类场景，兼容性强。
附图说明
32.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1是本技术实施例提供的一种网络分析系统的结构示意图；
34.图2是本技术实施例提供的一种网络分析设备的结构示意图；
35.图3是本技术实施例提供的一种网络分析方法的流程示意图；
36.图4是本技术实施例提供的另一种网络分析方法的流程示意图；
37.图5是本技术实施例提供的排序处理的流程示意图；
38.图6是本技术实施例提供的一种网络分析装置的结构示意图；
39.图7是本技术实施例提供的另一种网络分析设备的结构示意图。
具体实施方式
40.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
41.与常见的服务器网络环境不同，局域网具有不对局域网外的终端设备提供服务、支持局域网内终端设备访问内部服务系统、存在域控制器等特点，局域网的网络架构更简单，传输速度更快，性能更稳定。当局域网采用动态主机配置(dynamic host configuration protocol，dhcp)协议配置网络地址或者局域网的网络架构发生变化时，局域网内各终端设备的网络地址会动态变化，导致对象所使用终端设备的网络地址也会动态变化。因此，如何确定对象使用终端设备的网络地址的变化情况是一个亟需解决的问题。
42.基于此，本技术实施例提供了一种网络分析方法，网络分析设备可以获取网络数据的每个流量数据包包括的标识信息和网络地址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。每种标识信息指示的对象的网络分析结果包括每种标识信息指示的对象在不同时间使用的网络地址。网络分析设备仅基于网络数据就可以确定对象使用网络地址的变化情况，该网络分析方法执行要求低，无需额外的人工操作，执行过程简单，工作量较低。
43.在一个实施例中，该网络分析方法可应用在如图1所示的网络分析系统中，如图1所示，该网络分析系统可至少包括：网络分析设备101和局域网。其中，网络分析设备101是具有数据分析能力的任意设备，例如，网络分析设备101可以是如图1所示的服务器，该服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、内容分发网络(content delivery network，cdn)、中间件服务、域名服务、安全服务以及大数据和人
工智能平台等基础云计算服务的云服务器，等等。其中，局域网包括多个终端设备102。其中，终端设备102可以包括但不限于智能手机、平板电脑、笔记本电脑、台式计算机、智能家电、智能语音交互设备、可穿戴设备、车载终端、飞行器等。进一步的，终端设备102可以是上述物理终端设备，在一些其他实施例中，终端设备102还可以是虚拟终端设备，如虚拟终端机等。
44.一个实施例中，图2示出了一种网络分析设备的结构示意图。如图2所示，该网络分析设备包括配置模块201、触发调度模块202、流量数据包传输模块203、网络分析模块204、异常分析模块205以及数据存储模块206。
45.其中，配置模块201用于获取配置信息，该配置信息中包括但不限于非标准认证协议的格式信息、目标字段名、域环境指示信息、标识数据库、系统标识与域标识的对应关系中的一种或多种。其中，该配置模块201是面向操作对象的，该配置模块201可以响应操作对象的操作指令获取配置信息。一个实施例中，配置信息可以是预先存储的。具体的，配置模块201可以接收来自操作对象的第一操作指令，并响应第一操作指令从存储设备中获取预先存储的配置信息。另一个实施例中，配置信息可以是基于操作对象的操作指令生成的。具体的，该配置模块201可以接收来自操作对象的第二操作指令，并响应第二操作指令生成对应的配置信息，从而配置模块201可以获取到生成的配置信息。其中，该第二操作指令包括操作对象对该配置信息的创建操作。
46.其中，触发调度模块202用于检测网络分析的触发操作，并响应网络分析的触发操作从流量数据包传输模块203获取第一时间内产生的网络数据。其中，触发操作包括实时触发操作和定时触发操作。一个实施例中，针对实时触发操作，当局域网的终端设备产生网络数据时，触发调度模块202确定检测到网络分析的触发操作。另一个实施例中，针对定时触发操作，当满足定时触发条件时，触发调度模块202确定检测到网络分析的触发操作。可选的，定时触发条件可以包括预设时长。具体的，当距离上一次触发操作的时长达到预设时长时，确定满足定时触发条件。可选的，定时触发条件还可以包括预设时间，当处于预设时间内时，确定满足定时触发条件。需要说明，触发调度模块202可以是内部执行模块，可以无需面向操作对象。
47.其中，流量数据包传输模块203用于获取局域网的终端设备产生的网络数据。需要说明，流量数据包传输模块203也可以是内部执行模块，可以无需面向操作对象。
48.其中，网络分析模块204用于获取每个流量数据包包括的标识信息和网络地址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，以及基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。需要说明，网络分析模块204可以是面向操作对象的，例如，网络分析模块204可以输出网络分析结果，以便操作对象基于网络分析结果执行网络管理。
49.其中，异常分析模块205用于对网络分析结果包括的每个对象使用的网络地址进行异常检测。需要说明，异常分析模块205可以是面向操作对象的，例如，异常分析模块205可以输出异常检测结果，以便操作对象基于异常检测结果执行网络管理。
50.其中，数据存储模块206用于存储网络分析结果和异常分析结果，以使得第三方系统调用该网络分析结果和异常分析结果中的一种或两种执行相应的任务。其中，第三方系统包括但不限于与数据存储模块206建立通信连接的资源管理系统、运维系统以及安全系
统中的一种或多种。例如，当第三方系统包括资源管理系统时，资源管理系统可以基于网络分析结果执行资源管理(如配置资源)。又例如，当第三方系统包括运维系统时，运维系统可以基于网络分析结果进行运维处理。再例如，当第三方系统为安全系统时，安全系统可以基于网络分析结果进行安全风控处理。
51.请参见图3，图3是本技术实施例提供的一种网络分析方法的流程示意图。该网络分析方法可以由上述所提及的网络分析设备执行。如图3所示，该网络分析方法可包括s301-s304：
52.s301：响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，该网络数据包括基于目标网络协议传输的至少一个流量数据包。
53.可选的，目标局域网可以包括与网络分析设备建立有通信连接的任意局域网。其中，局域网可以为任意环境的局域网，该局域网可以包括但不限于办公网、校园网、家庭网、车内网中的一种或多种。其中，办公网是指基于办公设备搭建的局域网，该办公设备是指处于办公环境的终端设备，如办公电脑、办公平板等等。其中，校园网是指基于教学设备搭建的局域网，该教学设备是指处于教学环境的终端设备，如智能黑板等等。其中，家庭网是指基于家庭设备搭建的局域网，该家庭设备是指处于家庭环境的终端设备，如智能家居、可穿戴设备等等。其中，校园网是指基于车载设备搭建的局域网，该车载设备是指处于车内环境的终端设备，如车载终端等等。
54.一个实施例中，网络协议包括标准认证协议，可以包括但不限于网络授权协议(kerberos协议)，问询应答身份认证(nt lan manager，ntlm)协议，轻型目录访问协议(lightweight directory access protocol，ldap)中的一种或多种。其中，kerberos协议用于在不安全的网络环境中以安全方式执行身份认证，可以适用于windows系统的域环境。其中，ntlm协议适用于windows nt系统和windows 2000系统。其中，ldap协议是指通过互联网协议提供访问控制和维护分布式信息的目录信息访问协议。ldap协议可以适用于windows系统的域环境或者非域环境，还可以适用于其他系统，如安卓系统等等。另一个实施例中，网络协议还包括非标准认证协议，如超文本传输协议(hyper text transfer protocol，http)、简单邮件传输协议(simple mail transfer protocol，smtp)等等。需要说明，当网络协议为非标准认证协议时，需要配置非标准认证协议的格式信息以及目标字段名，其中，针对以非标准认证协议传输的流量数据包，该格式信息可以用于解析浏览数据包，目标字段名用于指示流量数据包中包括标识信息和网络地址的字段。因此，配置信息中可以包括非标准认证协议的格式信息以及目标字段名。例如，当非标准认证协议为http协议时，格式信息中包括目标系统的访问地址，目标系统的登录接口，目标字段名包括登录接口或者访问地址中用于指示对象标识和网络地址的字段名。本技术的目标网络协议可以为上述网络协议中的一种或多种。
55.一个实施例中，网络分析设备可以根据触发时间以及第一时长确定第一时间。其中，触发时间是指检测到触发操作的时间。其中，对触发操作的具体描述可以参见图2触发调度模块202的相关描述。可选的，当第一时间为触发时间之前的一段时间时，若，触发时间为2022年2月28日12点，第一时长为1小时，第一时间为2022年2月28日11点-2022年2月28日12点。可选的，当第一时间为触发时间之后的一段时间时，若，触发时间为2022年2月28日12点，第一时长为1小时，第一时间为2022年2月28日12点-2022年2月28日13点。其中，第一时
长可以是预先设置的，也可以网络分析设备根据局域网指标确定的，该局域网指标包括但不限于局域网内的流量数据包的数量，流量数据包的大小和终端设备的数量中的一种或多种。
56.需要说明，不同的网络协议的第一时长可以相同，也可以不同。可选的，网络分析设备可以针对不同的网络协议设置相同的第一时长。例如，可以将所有网络协议的第一时长均设置为固定时长(如1小时、30分钟、10分钟等)。可选的，由于不同网络协议的认证过程不同，所以网络分析设备可以针对不同的网络协议设置不同的第一时长。例如，kerberos协议中，客户端执行过一次身份认证后，该客户端可以复用身份校验信息。ntlm协议中，客户端每次访问服务端均要执行身份认证。相同条件下，基于kerberos协议传输的流量数据包的数量小于基于ntlm协议传输的流量数据包的数量，因此，网络分析设备可以设置kerberos协议对应的第一时长大于ntlm协议的第一时长。
57.s302：获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种。
58.其中，该标识信息包括对象标识、域标识和设备标识中的一种或多种。其中，该对象标识可以用于标识对象，该对象标识为用户姓名、用户账号等等。其中，域标识包括域环境内的域信息。域环境是指微软公司针对旗下的windows系统所设计的一套管理域信息的组件。其中，域标识可以包括但不限于用户组名称、组织单位、域名称等等。可选的，针对小型的局域网，无需引入域标识，可以直接用对象标识指示对象。可选的，针对大型的局域网，还可以结合域标识指示对象，即用对象标识 域标识的形式指示对象。其中，设备标识可以用于标识局域网内的终端设备，该设备标识可以包括但不限于主机名称等等。可选的，对象所使用的终端设备可能会改变，还可以利用设备标识指示对象，如使用对象标识 设备标识的形式指示对象或者使用对象标识 域标识 设备标识的形式指示对象。综上，网络分析设备可以采用对象标识、域标识和设备标识中的一种或多种指示对象。
59.其中，网络地址可以为局域网内终端设备的网络地址。可选的，当传输的流量数据包为终端设备发送至服务端的流量数据包时，该网络地址为源网络地址。可选的，当传输的流量数据包为服务端发送至终端设备的流量数据包时，该网络地址为目的网络地址。进一步的，该网络地址可以包括互联网协议(internet protocol，ip)地址、媒体存取控制(media access control，mac)地址、统一资源定位(uniform resource locator，url)地址中的一种或多种。
60.当网络协议不同时，网络分析设备获取到的流量数据包包括的标识信息不同，以及网络分析设备获取流量数据包包括的标识信息和网络地址的方式不同。
61.一个实施例中，当目标网络协议包括网络授权协议时，针对基于网络授权协议传输的流量数据包，网络分析设备可以基于网络授权协议的格式从流量数据包中获取客户端到身份认证服务端的第一认证数据。其中，网络授权协议包括kerberos协议。具体的，当网络分析设备响应于网络分析的触发操作，网络分析设备获取目标局域网在第一时间内基于kerberos协议传输的流量数据包。基于kerberos协议的格式从流量数据包中获取认证过程的认证数据。其中，认证过程包括多个认证阶段。网络分析设备可以将认证过程中客户端到身份认证服务端的认证数据作为第一认证数据，从第一认证数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。可选的，由于kerberos协议适用于域环境，只有当
局域网中包括域环境时，目标网络协议才可以包括kerberos协议。具体的，网络分析设备可以配置域环境指示信息(即配置信息包括域环境指示信息)，该域环境指示信息用于指示目标局域网是否包括域环境。
62.一个实施例中，当目标网络协议包括问询应答身份认证协议时，针对基于问询应答身份认证协议传输的流量数据包，网络分析设备基于问询应答身份认证协议的格式从流量数据包中获取客户端和服务端对应的第二认证数据，从第二认证数据中获取标识信息和网络地址，该标识信息包括对象标识、域标识和设备标识。其中，问询应答身份认证协议包括ntlm协议。具体的，当网络分析设备响应于网络分析的触发操作，网络分析设备获取目标局域网在第一时间内基于ntlm协议传输的流量数据包。基于ntlm协议的格式从流量数据包中获取认证过程的认证数据。其中，认证过程包括多个认证阶段。网络分析设备可以将认证过程中客户端到服务端的认证数据作为第二认证数据，从第二认证数据中获取标识信息和网络地址，该标识信息包括对象标识、域标识和设备标识。
63.一个实施例中，当目标网络协议包括轻型目录访问协议时，针对基于轻型目录访问协议传输的流量数据包，网络分析设备可以基于轻型目录访问协议的格式从流量数据包中获取认证过程的第一请求数据，从第一请求数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。其中，轻型目录访问协议包括ldap协议。具体的，当网络分析设备响应于网络分析的触发操作，网络分析设备获取目标局域网在第一时间内基于ldap协议传输的流量数据包。基于ldap协议的格式从流量数据包中获取认证过程的第一请求数据，并从第一请求数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。其中，第一请求数据包括但不限于查询请求报文的请求数据、查询请求响应报文的响应数据以及绑定请求报文的请求数据中的一种或多种。
64.一个实施例中，网络分析设备还可以读取配置信息，当配置信息指示目标网络协议包括非标准认证协议(即配置信息中包括非标准认证协议的格式信息和目标字段名)时，可以针对基于非标准认证协议传输的流量数据包进行分析。可选的，非标准认证协议包括超文本传输协议。可选的，当网络分析设备确定检测到网络分析的触发操作，且网络数据对应的流量数据包的目的网络地址为配置的目标系统的访问地址时，网络分析设备确定该对应的流量数据包为基于超文本传输协议传输的流量数据包。网络分析设备可以根据登录接口或者访问地址从对应的流量数据包中提取出访问目标系统的第二请求数据，并基于配置的目标字段名从第二请求数据中获取标识信息和网络地址，该标识信息包括对象标识和目标系统的系统标识中的一种或多种。
65.其中，登录接口或者访问地址均可以用于访问目标系统。例如，网络分析设备可以根据登录接口从对应的流量数据包中提取出登录接口的第二请求数据，基于目标字段名从登录接口的第二请求数据中获取标识信息和网络地址。如登录接口的第二请求数据包括key-value形式的数据，如u＝xxxx&p＝yyyyy，第二请求数据中用于指示对象标识的目标字段名为u，则可以将u字段名指示的字段值“xxxx”确定为标识信息。一些实施例中，目标字段名的字段值可能是系统账号标识，不是对象标识。网络分析设备可以在标识数据库中查找目标系统的系统账号标识对应的对象标识，该标识数据库中包括多个系统的系统账号标识与对象标识的对应关系。例如，在系统a中，系统账号标识“x”与对象标识“张三”对应，在系统b中，系统账号标识“y”也与对象标识“张三”对应。当目标系统为系统a时，网络分析设备
可以从目标字段名中获取到系统账号标识“x”，并将系统账号标识“x”转换为对象标识“张三”。当目标系统为系统b时，网络分析设备可以从目标字段名中获取到系统账号标识“y”，并将系统账号标识“y”转换为对象标识“张三”。其中，该标识数据库也可以是预先配置的，即配置信息包括标识数据库。
66.s303：从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址。
67.一个实施例中，网络分析设备可以从每个流量数据包包括的标识信息中确定多种标识信息，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址。
68.另一个实施例中，网络分析设备可以基于标识信息中各个标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录。对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表，以及对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录，从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。
69.s304：基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
70.一个实施例中，针对任一种标识信息，获取任一种标识信息相关的至少一个网络地址的时间信息；该时间信息包括使用时间，基于至少一个网络地址的使用时间的先后顺序对任一种标识信息相关的至少一个网络地址进行排序处理，得到初始分析结果，并将初始分析结果中连续的网络地址的使用时间进行合并处理，得到网络分析结果。其中，时间信息包括使用时间，即时间信息用于指示对象使用网络地址的时间。
71.可选的，为了清晰指示对象使用网络地址的变化情况，分析结果中可以包括用于指示对象的标识信息、对象使用的网络地址，对象使用网络地址的时间中的一种或多种。具体的，该分析结果中可以包括标识信息栏，网络地址栏和时间信息栏中的一种或多种。其中，标识信息栏用于存储用于指示对象的标识信息，时间信息栏用于存储对象使用的网络地址，时间信息栏用于存储对象使用网络地址的时间。其中，分析结果包括初始分析结果和网络分析结果。
72.例如，假设一种标识信息用于指示对象a，该标识信息相关的至少一个网络地址包括以下三个网络地址：ip1、ip2和ip3。网络分析设备可以获取这三个网络地址的使用时间。例如，ip1的时间信息包括：2022年1月18日09:00、2022年1月18日10:00和2022年1月18日14:00；ip2的时间信息包括2022年1月18日11:00；ip3的时间信息包括2022年1月18日12:00。基于上述三个网络地址的使用时间的先后顺序对上述三个网络地址进行排序处理，得到初始分析结果，包括：“对象a、ip1、2022年1月18日09:00；”“对象a、ip1、2022年1月18日10:00；”“对象a、ip2、2022年1月18日11:00；”“对象a、ip3、2022年1月18日12:00”“对象a、ip1、2022年1月18日14:00”。其中，ip1对应的使用时间“2022年1月18日09:00”和“2022年1月18日10:00”为连续的使用时间，可以对这两个使用时间进行合并处理，得到网络分析结果，即该网络分析结果包括：“对象a、ip1、2022年1月18日09:00-2022年1月18日10:00；”“对象a、ip2、2022年1月18日11:00；”“对象a、ip3、2022年1月18日12:00”“对象a、ip1、2022年1
月18日14:00”。
73.基于此，基于使用时间对任一种标识信息相关的至少一个网络地址进行处理得到网络分析结果，该网络分析结果显示了标识信息指示的对象在不同时间内使用网络地址的情况。并且，由于按照了使用时间的先后顺序对任一种标识信息相关的至少一个网络地址进行排序处理得到初始分析结果，并将初始分析结果中连续的网络地址的使用时间进行合并处理，得到网络分析结果。网络分析结果可以更清晰的显示标识信息指示的对象在不同时间内使用网络地址的情况。
74.在本技术实施例中，网络分析设备可以获取目标局域网在第一时间内基于目标网络协议传输的至少一个流量数据包，以及获取每个流量数据包包括的标识信息和网络地址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。由于本技术确定对象使用网络地址的变化情况是基于网络数据完成的，无需在局域网的终端设备中部署网络安全监测装置数据采集软件或者运行dhcp日志分析脚本，执行要求低，无需额外的人工操作，执行过程简单，工作量较低，可以有效提升网络分析的效率。并且，本技术所提及的网络协议是常见的网络协议，基于目标网络协议传输的流量数据包易抓取，本技术的网络分析方法可以适用于各类场景，兼容性强。
75.参见上述图3所示方法实施例的相关描述可知，图3所示的网络分析方法中提及可以对每个流量数据包包括的标识信息进行处理得到目标组合标识记录，再从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。下面具体阐述这一步骤。请参见图4，图4是本技术实施例提供的另一种网络分析方法的流程示意图。如图4所示，该网络分析方法可包括s401-s407：
76.s401：响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，所述网络数据包括基于目标网络协议传输的至少一个流量数据包；
77.s402：获取每个流量数据包包括的标识信息和网络地址，所述标识信息包括对象标识、域标识和设备标识中的一种或多种。
78.需要说明，s401-s402的具体实现方式可以参见图3中s301和s302的相关实施例，这里不做赘述。
79.s403：基于标识信息中各种标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录。
80.其中，组合标识记录为标识信息中各个标识的组合。组合标识记录中可以包括一个或多个组合位置，一个组合位置用于存储一个位置标识。例如，组合标识记录中包括第一组合位置和第二组合位置，第一组合位置位于第二组合位置之前，第一组合位置用于存储第一位置标识，第二组合位置用于存储第二位置标识。又例如，组合标识记录中包括第一组合位置、第二组合位置和第三组合位置，第一组合位置位于第二组合位置和第三组合位置之前且第二组合位置位于第三组合位置之前，第一组合位置用于存储第一位置标识，第二组合位置用于存储第二位置标识，第三组合位置用于存储第三位置标识。可选的，不同组合位置的位置标识可以用预设符号隔开。该预设符号可以指逗号、分号、冒号等中任意一种。后续实施例以逗号进行示例性说明，如组合标识记录可以为“第一位置标识，第二位置标识”、“第一位置标识，第二位置标识，第三位置标识”等等。
81.一个实施例中，可以直接将每个流量数据包包括的标识信息中各个标识进行组合处理，生成每个流量数据包对应的组合标识记录。例如，当针一个流量数据包的标识信息包括对象标识和域标识时，可以将对象标识作为第一组合位置的第一位置标识，域标识作为第二组合位置的第二位置标识，由第一位置标识“对象标识”和第二位置标识“域标识”组合处理得到的组合标识记录为“对象标识，域标识”；也可以将域标识作为第一组合位置的第一位置标识，对象标识作为第二组合位置的第二位置标识，由第一位置标识“域标识”和第二位置标识“对象标识”组合处理得到的组合标识记录为“域标识，对象标识”。
82.另一个实施例中，网络分析设备预先存储有各种标识的预设组合位置。网络分析设备可以从每个数据流量包包括的标识信息中获取各种标识，并基于各种标识的预设组合位置对各种标识进行组合处理，得到每个流量数据包对应的组合标识记录。例如，网络分析设备预先存储的各种标识的预设组合位置为：对象标识位于第一组合位置，域标识位于第二组合位置，设备标识位于第三组合位置。可选的，针对任一流量数据包的目标标识信息，当目标标识信息包括对象标识、域标识和设备标识时，网络分析设备可以对第一组合位置的第一位置标识“对象标识”，第二组合位置的第二位置标识“域标识”以及第三组合位置的第三位置标识“设备标识”进行组合处理，得到对应的组合标识记录为“对象标识，域标识，设备标识”。进一步的，当目标标识信息中只包括一种或两种标识时，可选的，可以将缺失标识的组合位置置空。如，当标识信息中包括对象标识和域标识时，组合标识记录可以为“对象标识，域标识，”。当标识信息中包括对象标识和设备标识时，组合标识记录可以为“对象标识，，设备标识”。当标识信息中包括对象标识时，组合标识记录可以为“对象标识，，”。等等。可选的，也可以利用预设内容位于缺失标识的组合位置。其中，该预设字符包括但不限于文字和字符中的一项或多项。如，该预设内容为文字“缺失”。当标识信息中包括对象标识和域标识时，组合标识记录可以为“对象标识，域标识，缺失”。当标识信息中包括对象标识时，组合标识记录可以为“对象标识，缺失，缺失”。等等。在本技术实施例中，网络分析设备可以基于预设组合位置对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录。各个标识的组合位置固定，可以快速的生成组合标识记录。并且，当各个标识的组合位置固定时，可以便于后续步骤处理，有效提升网络分析的效率。
83.另一个实施例中，针对任一流量数据包的目标标识信息，网络分析设备可以基于目标标识信息中各种标识的优先级确定目标标识信息中各个标识的组合位置，并基于各个标识的组合位置对目标标识信息中各个标识进行组合处理，得到任一流量数据包对应的组合标识记录。其中，标识信息包括对象标识、域标识和设备标识中的一种或多种。
84.可选的，当目标标识信息包括对象标识和域标识时，网络分析设备获取对象标识的优先级和域标识的优先级(如对象标识的优先级》域标识的优先级)，基于对象标识的优先级和域标识的优先级确定对象标识的组合位置和域标识的组合位置(如对象标识的组合位置为第一组合位置，域标识的组合位置为第二组合位置，第一组合位置位于第二组合位置之前)，将第一组合位置的第一位置标识“对象标识”与第二组合位置的第二位置标识“域标识”进行组合处理得到组合标识记录为“对象标识，域标识”。
85.可选的，当目标标识信息包括对象标识和设备标识时，网络分析设备获取对象标识的优先级和设备标识的优先级(如对象标识的优先级》设备标识的优先级)，基于对象标识的优先级和设备标识的优先级确定对象标识的组合位置和设备标识的组合位置(如对象
标识的组合位置为第一组合位置，设备标识的组合位置为第二组合位置，第一组合位置位于第二组合位置之前)，将第一组合位置的第一位置标识“对象标识”与第二组合位置的第二位置标识“设备标识”进行组合处理得到组合标识记录为“对象标识，设备标识”。
86.可选的，当目标标识信息包括域标识和设备标识时，网络分析设备获取域标识的优先级和设备标识的优先级(如域标识的优先级》设备标识的优先级)，基于域标识的优先级和设备标识的优先级确定域标识的组合位置和设备标识的组合位置(如域标识的组合位置为第一组合位置，设备标识的组合位置为第二组合位置，第一组合位置位于第二组合位置之前)，将第一组合位置的第一位置标识“域标识”与第二组合位置的第二位置标识“设备标识”进行组合处理得到组合标识记录为“域标识，设备标识”。
87.可选的，当目标标识信息包括对象标识、域标识和设备标识时，网络分析设备获取对象标识的优先级、域标识的优先级和设备标识的优先级(如对象标识的优先级》域标识的优先级》设备标识的优先级)，基于对象标识的优先级、域标识的优先级和设备标识的优先级确定域标识的组合位置和设备标识的组合位置(如对象标识的组合位置为第一组合位置，域标识的组合位置为第二组合位置，设备标识的组合位置为第三组合位置，第一组合位置位于第二组合位置和第三组合位置之前且第二组合位置位于第三组合位置之前)，将第一组合位置的第一位置标识“对象标识”、第二组合位置的第二位置标识“域标识”以及第三组合位置的第三位置标识“设备标识”进行组合处理得到组合标识记录为“对象标识，域标识，设备标识”。
88.例如，针对kerberos协议，标识信息中包括对象标识以及域标识，那么相应的，对该标识信息进行组合处理得到的组合标识记录可以为“对象标识，域名称”，即组合标识记录包括两种标识，以逗号隔开，第一位置标识为对象标识，第二位置标识为域标识。又例如，针对ntlm协议，标识信息中包括对象标识、域标识和设备标识，那么相应的，对该标识信息组合处理得到的组合标识记录可以为“对象标识，域名称，设备标识”，即组合标识记录包括三种标识，以逗号隔开，第一位置标识为对象标识，第二位置标识为域标识，第三位置标识为设备标识。再例如，针对ldap协议，标识信息中包括对象标识和域标识，那么相应的，对该标识信息进行组合处理得到的组合标识记录可以为“对象标识，域名称”，即组合标识记录包括两种标识，以逗号隔开，第一位置标识为对象标识，第二位置标识为域标识。还例如，针对http协议，当标识信息包括对象标识时，对该标识信息进行组合处理得到的组合标识记录中可以为“对象标识”，即组合标识记录包括一种标识，第一位置标识为对象标识。当标识信息包括对象标识和系统标识时。网络分析设备基于对该标识信息进行组合处理得到的初始标识记录可以为“对象标识，系统标识”，即初始标识记录包括两种标识，以逗号隔开，第一位置标识为对象标识，第二位置标识为系统标识。网络分析设备获取预先配置的系统标识与域标识的对应关系(即配置信息中包括系统标识与域标识的对应关系)，并基于目标系统的系统标识将初始标识记录转换为组合标识记录，即将初始标识记录中的系统标识转换为对应的域标识，该组合标识记录可以为“对象标识，域标识”，该组合标识记录中包括两种标识，以逗号隔开，第一位置标识为对象标识，第二位置标识为域标识。
89.在本技术实施例中，网络分析设备基于各种标识的优先级对每个流量数据包包括的标识信息中各个标识进行组合处理得到每个流量数据包对应的组合标识记录，组合标识记录是基于优先级排序组合得到的，使得操作人员可以从组合标识记录中优先查阅优先级
较高的标识，避免优先级较高的标识被忽略，增加可读性，有效提升用户体验。
90.s404：对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表。
91.具体的，网络分析设备可以基于每个流量数据包对应的组合标识记录中位置标识对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表。可选的，当位置标识为字符串时，可以直接基于基础字母排序列表和位置标识对每个流量数据包对应的组合标识记录进行排序处理得到目标组合列表。
92.可选的，当位置标识为汉字时，一个实施例中，可以基于基础字母排序列表，和组合标识记录中位置标识对应的字符串对每个流量数据包对应的组合标识记录进行排序处理得到目标组合列表。其中，位置标识对应的字符串可以包括：位置标识中首字的首字母(如位置标识为张三，该位置标识对应的字符串为“z”)、位置标识中首字的拼音(如位置标识为张三，该位置标识对应的字符串为“zhang”)、位置标识中各个文字的首字母(如位置标识为张三，该位置标识对应的字符串为“zs”)、位置标识的拼音(如位置标识为张三，该位置标识对应的字符串为“zhangshan”)中的一项或多项。另一个实施例中，网络分析设备可以基于笔画数量大小和组合标识记录中位置标识对应的笔画数量对每个流量数据包对应的组合标识记录进行排序处理得到目标组合列表。其中，位置标识对应的笔画数量可以为位置标识的首字的笔画数量(如位置标识为张三，该位置标识对应的笔画数量为“张”的笔画数量“7”)、位置标识各个文字的总笔画数量(如位置标识为张三，该位置标识对应的笔画数量为“张三”的笔画数量“10”)中的一项或多项。
93.其中，组合标识记录中可以包括多个位置标识，例如该组合标识记录包括第一位置标识、第二位置标识和第三位置标识。可选的，网络分析设备可以基于每个流量数据包的组合标识记录的第一位置标识对每个流量数据包对应的组合标识记录进行排序处理，得到第一组合标识列表；若第一组合标识列表中不存在具有相同第一位置标识的多个第一组合标识记录，则将该第一组合标识列表作为目标组合标识列表。若第一组合标识列表中存在具有相同第一位置标识的多个第一组合标识记录，则基于每个第一组合标识记录的第二位置标识对第一组合标识列表中第一组合标识记录进行排序处理，得到第二组合标识列表，若第二组合标识列表中不存在具有相同第一位置标识和相同第二位置标识的多个第二组合标识记录，则将该第二组合标识列表作为目标组合标识列表。若第二组合标识列表中存在具有相同第一位置标识和相同第二位置标识的多个第二组合标识记录，则基于每个第二组合标识记录的第三位置标识对第二组合标识列表中第二组合标识记录进行排序处理，得到目标组合标识列表。
94.下面结合一个具体的示例进行阐述。请参见图5，图5示出了一种排序处理的流程示意图。设每个流量数据包的组合标识记录包括三个位置标识，且组合标识记录的三个位置标识如图5所示，即针对第一个组合标识记录，第一位置标识为“a”，第二位置标识为“a”，第三位置标识为“a”；针对第二个组合标识记录，第一位置标识为“c”，第二位置标识为“b”，第三位置标识为“a”；针对第三个组合标识记录，第一位置标识为“c”，第二位置标识为“b”，第三位置标识为“a”；针对第四个组合标识记录，第一位置标识为“a”，第二位置标识为“c”，第三位置标识为“d”；针对第五个组合标识记录，第一位置标识为“a”，第二位置标识为“b”，第三位置标识为“a”；针对第六个组合标识记录，第一位置标识为“a”，第二位置标识为“b”，
第三位置标识为“c”。基于每个流量数据包的组合标识记录的第一位置标识对每个流量数据包对应的组合标识记录进行排序处理，得到第一组合标识列表，即对第一位置标识进行排序处理，得到第一组合标识列表，如图5的510所示。第一组合标识列表510中存在具有相同第一位置标识的多个第一组合标识记录，如图5中的511所示。网络分析设备基于每个第一组合标识记录(即511中的每个组合标识记录)的第二位置标识对第一组合标识列表中第一组合标识记录进行排序处理，得到第二组合标识列表，如图5的520所示。第二组合标识列表520中存在具有相同第一位置标识和相同第二位置标识的多个第二组合标识记录，如图5中的521所示。网络分析设备基于每个第二组合标识记录(即521中每个组合标识记录)的第三位置标识对第二组合标识列表中第二组合标识记录进行排序处理，得到目标组合标识列表，如图5的530所示。
95.需要说明，具有相同位置标识的多个组合标识记录可以包括相同组合位置具有相同标识的多个组合标识记录(如组合标识记录“a，a，a”和组合标识记录“a，b，a”为具有第一位置标识相同的多个组合标识记录)或者相同组合位置不存在标识的多个组合标识记录(如组合标识记录“缺失，a，a”和组合标识记录“缺失，b，a”为具有第一位置标识相同的多个组合标识记录)。
96.基于此，网络分析设备通过对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表。该目标组合标识列表中的组合标识记录按照排序规则进行排序，可读性较强，便于操作人员阅读，有效提升用户体验。
97.s405：对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录。
98.一个实施例中，网络分析设备基于目标组合标识列表中组合标识记录的排序顺序查找候选组合标识记录，该候选组合标识记录为目标组合标识列表中未聚合且排序最前的组合标识记录，并从目标组合标识列表的组合标识记录中查找与候选组合标识记录对应的关联组合标识记录；若不存在候选组合标识记录对应的关联组合标识记录，则直接将候选组合标识记录作为目标组合标识记录。若存在候选组合标识记录对应的关联组合标识记录，则将候选组合标识记录与关联组合标识进行聚合处理，得到目标组合标识记录。
99.其中，与候选组合标识记录对应的关联组合标识记录是指与候选组合标识记录相同的组合标识记录，例如，组合标识记录“a，a，a”和组合标识记录“a，a，a”相同，又例如，组合标识记录“缺失，a，a”和组合标识记录“缺失，a，a”相同，等等。
100.可选的，网络分析设备从目标组合标识列表的组合标识记录中查找与候选组合标识记录对应的关联组合标识记录包括：网络分析设备基于目标组合标识列表中组合标识记录的排序顺序从目标组合标识列表的组合标识记录中查找与候选组合标识记录对应的关联组合标识记录。具体的，网络分析设备判断候选组合标识记录的下一个组合标识记录是否与候选组合标识记录相同，若是，则将下一个组合标识记录确定为与候选组合标识记录对应的关联组合标识记录，并基于组合标识记录的排序顺序继续判断再下一个。若不是，则退出查找。
101.如图5所示，网络分析设备基于目标组合标识列表中组合标识记录的排序顺序查找到候选组合标识记录，将组合标识记录531作为候选组合标识记录，组合标识记录532与组合标识记录531不同，则退出查找组合标识记录531对应的关联组合标识记录，将组合标
识记录531作为目标组合标识记录541，接下来，在目标组合标识列表中，组合标识记录532未被聚合，且排序最高，可以将组合标识记录532作为候选组合标识记录，组合标识记录533与组合标识记录532不同，则退出查找组合标识记录532对应的关联组合标识记录，将组合标识记录532作为目标组合标识记录542。重复上述步骤，可以将组合标识记录533作为目标组合标识记录543，将组合标识记录534作为目标组合标识记录544。当将组合标识记录535作为候选组合标识记录时，组合标识记录536与组合标识记录535相同，可以将组合标识记录536作为组合标识记录535对应的关联组合标识记录。由于目标组合标识列表已被遍历，所以组合标识记录535对应的关联组合标识记录包括组合标识记录536，可以将组合标识记录535与组合标识记录536进行聚合处理得到目标组合标识记录545。
102.基于此，网络分析设备通过对目标组合标识列表中相同的组合标识记录进行聚合处理，可读性较强，便于操作人员阅读，有效提升用户体验。并且，后续的步骤中，网络分析设备只需查找目标组合标识记录指示的对象相关的至少一个网络地址，避免重复查找相同组合标识记录指示的对象相关的至少一个网络地址，节省处理资源，提升网络分析效率。
103.s406：从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。
104.具体的，按照每个目标组合标识记录的排序顺序依次查找每个目标组合标识记录指示的对象相关的至少一个网络地址。
105.s407：基于每个目标组合标识记录指示的对象相关的至少一个网络地址的时间信息确定每种目标组合标识记录指示的对象的网络分析结果。
106.与s304类似，一个实施例中，针对任一个目标组合标识记录，获取任一个目标组合标识记录相关的至少一个网络地址的时间信息；该时间信息包括使用时间，基于至少一个网络地址的使用时间的先后顺序对任一种标识信息相关的至少一个网络地址进行排序处理，得到初始分析结果，并将初始分析结果中连续的网络地址的使用时间进行合并处理，得到网络分析结果。其中，时间信息包括使用时间，即时间信息用于指示对象使用网络地址的时间。
107.可选的，为了清晰指示对象使用网络地址的变化情况，分析结果中可以包括用于指示对象的目标组合标识记录、对象使用的网络地址，对象使用网络地址的时间中的一种或多种。
108.进一步的，网络分析设备在确定网络分析结果之后，还可以基于网络分析结果进行异常检测。一个实施例中，网络分析设备对网络分析结果包括的每个对象使用的网络地址进行异常检测；该异常检测包括检测网络地址、同一使用时间同一网络地址对应的对象的数量以及对象在第二时间内使用的网络地址的数量中的一种或多种，若存在异常，则生成异常检测结果。具体的，针对网络地址的异常检测，网络分析设备可以预先配置目标网段，网络分析设备可以将网络分析结果中每个对象使用的网络地址与目标网段进行比对，当存在不属于目标网段的网络地址时，确定存在异常。针对同一使用时间同一网络地址对应的对象的数量的异常检测，当同一使用时间同一网络地址对应的对象的数量大于1时，确定存在异常。针对对象在第二时间内使用的网络地址的数量的异常检测，网络分析设备可以预先配置数量阈值(该数量阈值可以基于所有对象在第二时间内使用网络地址的数量确定)，当对象在第二时间内使用的网络地址的数量大于数量阈值时，确定存在异常。进一步
的，当存在上述至少一种异常时，可以生成异常检测结果。该异常检测结果包括异常对象，异常类型等等。例如，当网络地址异常时，异常对象包括使用异常网络地址的对象，异常类型包括“网络地址异常”；当同一使用时间同一网络地址对应的对象的数量异常时，异常对象包括在同一时间内使用同一网络地址的多个对象，异常类型包括“同一使用时间同一网络地址对应的对象的数量异常”；当对象在第二时间内使用的网络地址的数量异常时，该异常对象包括在第二时间内使用异常数量网络地址的对象，异常类型包括“对象在第二时间内使用的网络地址的数量异常”。网络分析设备对网络分析结果进行异常检测，可以快速的检测到局域网中对象的异常，便于操作对象进行网络管理。
109.在本技术实施例中，网络分析设备基于各种标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录，对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表；对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录；并从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。本技术实施例引入了组合标识记录，可以有效提升网络分析结果的可读性，有效提升用户体验。除此之外，由于本技术实施例考虑了排序处理和聚合处理，可以有效提升网络分析的效率。
110.基于上述网络分析方法实施例的描述，本技术实施例还公开了一种网络分析装置，网络分析装置可以是运行于上述所提及的网络分析设备中的一个计算机程序(包括程序代码)。该网络分析装置可以执行图3或图4所示的方法。请参见图6，网络分析装置可以运行如下单元：
111.获取单元601，用于响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
112.获取单元601还用于获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
113.查找单元602用于从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
114.确定单元603用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
115.在一种实施方式中，标识信息包括对象标识、域标识和设备标识，查找单元602用于从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，包括：
116.基于对象标识的优先级、域标识的优先级和设备标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录；
117.对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表；
118.对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录；
119.从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。
120.再一种实施方式中，查找单元602用于基于对象标识的优先级、域标识的优先级和设备标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包
对应的组合标识记录，包括：
121.针对任一流量数据包的目标标识信息，基于对象标识的优先级、域标识的优先级和设备标识的优先级确定目标标识信息中各个标识的组合位置；
122.基于各个标识的组合位置对目标标识信息中各个标识进行组合处理，得到任一流量数据包对应的组合标识记录。
123.再一种实施方式中，查找单元602用于对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表，包括：
124.基于每个流量数据包的组合标识记录的第一位置标识对每个流量数据包对应的组合标识记录进行排序处理，得到第一组合标识列表；
125.若第一组合标识列表中存在具有相同第一位置标识的多个第一组合标识记录，则基于每个第一组合标识记录的第二位置标识对第一组合标识列表中第一组合标识记录进行排序处理，得到第二组合标识列表；
126.若第二组合标识列表中存在具有相同第一位置标识和相同第二位置标识的多个第二组合标识记录，则基于每个第二组合标识记录的第三位置标识对第二组合标识列表中第二组合标识记录进行排序处理，得到目标组合标识列表。
127.再一种实施方式中，查找单元602用于对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录，包括：
128.基于目标组合标识列表中组合标识记录的排序顺序查找候选组合标识记录，候选组合标识记录为目标组合标识列表中未聚合且排序最前的组合标识记录；
129.从目标组合标识列表的组合标识记录中查找与候选组合标识记录对应的关联组合标识记录；
130.若存在候选组合标识记录对应的关联组合标识记录，则将候选组合标识记录与关联组合标识进行聚合处理，得到目标组合标识记录。
131.再一种实施方式中，确定单元603用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果，包括：
132.针对任一种标识信息，获取任一种标识信息相关的至少一个网络地址的时间信息；时间信息包括使用时间；
133.基于至少一个网络地址的使用时间的先后顺序对任一种标识信息相关的至少一个网络地址进行排序处理，得到初始分析结果；
134.将初始分析结果中连续的网络地址的使用时间进行合并处理，得到网络分析结果。
135.再一种实施方式中，目标网络协议包括网络授权协议；获取单元601用于获取每个流量数据包包括的标识信息和网络地址，包括：
136.针对基于网络授权协议传输的流量数据包，基于网络授权协议的格式从流量数据包中获取客户端到身份认证服务端的第一认证数据；
137.从第一认证数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。
138.再一种实施方式中，目标网络协议包括问询应答身份认证协议；获取单元601用于获取每个流量数据包包括的标识信息和网络地址，包括：
139.针对基于问询应答身份认证协议传输的流量数据包，基于问询应答身份认证协议的格式从流量数据包中获取客户端和服务端对应的第二认证数据；
140.从第二认证数据中获取标识信息和网络地址，该标识信息包括对象标识、域标识和设备标识。
141.再一种实施方式中，目标协议包括轻型目录访问协议；获取单元601用于获取每个流量数据包包括的标识信息和网络地址，包括：
142.针对基于轻型目录访问协议传输的流量数据包，基于轻型目录访问协议的格式从流量数据包中获取认证过程的第一请求数据；
143.从第一请求数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。
144.再一种实施方式中，目标网络协议包括超文本传输协议，且对应的流量数据包的目的网络地址为配置的目标系统的访问地址；获取单元601用于获取每个流量数据包包括的标识信息和网络地址，包括：
145.根据登录接口或者访问地址从对应的流量数据包中提取出访问目标系统的第二请求数据；
146.基于配置的目标字段名从第二请求数据中获取标识信息和网络地址，该标识信息包括对象标识。
147.再一种实施方式中，确定单元603用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果之后，确定单元603还用于：
148.对网络分析结果包括的每个对象使用的网络地址进行异常检测；该异常检测包括检测网络地址、同一使用时间同一网络地址对应的对象的数量以及对象在第二时间内使用的网络地址的数量中的一种或多种；
149.若存在异常，则生成异常检测结果。
150.根据本技术的一个实施例，图3或图4所示的方法所涉及的各个步骤均可以是由图6所示的网络分析装置中的各个单元执行的。根据本技术的另一个实施例，图6所示的网络分析装置中的各个单元可以分别或者全部合并为一个或若干个另外的单元来构成，或者其中的某个(些)单元还可以再拆分为功能上更小的多个单元来构成，这可以实现同样的操作，而不影响本技术实施例的技术效果的实现。上述单元是基于逻辑功能划分的，在实际应用中，一个单元的功能也可以是由多个单元来实现，或者多个单元的功能由一个单元实现。在本技术的其他实施例中，基于网络分析装置也可以包括其他单元，在实际应用中，这些功能也可以由其他单元协助实现，并且可以由多个单元协作实现。
151.根据本技术的另一个实施例，可以通过包括中央处理单元(central processing unit，cpu)，随机存取存储介质(ram)、只读存储介质(rom)等处理元件和存储元件。例如计算机的通用计算设备上运行能够执行如图3或图4中所示的相应方法所涉及的各步骤的计算机程序(包括程序代码)，来构造如图6所示的网络分析装置，以及来实现本技术实施例的网络分析方法。的计算机程序可以记载于例如计算机可读记录介质上，并通过计算机可读记录介质装载于上述网络分析设备中，并在其中运行。
152.在本技术实施例中，网络分析装置可以获取目标局域网在第一时间内基于目标网络协议传输的至少一个流量数据包，以及获取每个流量数据包包括的标识信息和网络地
址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。由于本技术确定对象使用网络地址的变化情况是基于网络数据完成的，无需在局域网的终端设备中部署网络安全监测装置数据采集软件或者运行dhcp日志分析脚本，执行要求低，无需额外的人工操作，执行过程简单，工作量较低，可以有效提升网络分析的效率。并且，本技术所提及的网络协议是常见的网络协议，基于目标网络协议传输的流量数据包易抓取，本技术的网络分析方法可以适用于各类场景，兼容性强。
153.基于上述网络分析方法实施例的描述，本技术实施例还公开了一种网络分析设备。请参见图7，该网络分析设备至少包括处理器701、输入接口702、输出接口703以及计算机存储介质704可通过总线或其他方式连接。
154.所述计算机存储介质704是网络分析设备中的记忆设备，用于存放程序和数据。可以理解的是，此处的计算机存储介质704既可以包括网络分析设备的内置存储介质，当然也可以包括网络分析设备支持的扩展存储介质。计算机存储介质704提供存储空间，该存储空间存储了网络分析设备的操作系统。并且，在该存储空间中还存放了适于被处理器701加载并执行的一条或多条指令，这些指令可以是一个或一个以上的计算机程序(包括程序代码)。需要说明的是，此处的计算机存储介质可以是高速ram存储器；可选的，还可以是至少一个远离前述处理器的计算机存储介质、所述处理器可以称为中央处理单元(central processing unit，cpu)，是网络分析设备的核心以及控制中心，适于被实现一条或多条指令，具体加载并执行一条或多条指令从而实现相应的方法流程或功能。
155.在一个实施例中，可由处理器701加载并执行计算机存储介质704中存放的一条或多条指令，以实现执行如图3或图4中所示的相应方法所涉及的各步骤，具体实现中，计算机存储介质704中的一条或多条指令由处理器701加载并执行以下步骤：
156.响应于网络分析的触发操作，获取目标局域网在第一时间内产生的网络数据，网络数据包括基于目标网络协议传输的至少一个流量数据包；
157.获取每个流量数据包包括的标识信息和网络地址；该标识信息包括对象标识、域标识和设备标识中的一种或多种；
158.从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址；
159.基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。
160.在一种实施方式中，标识信息包括对象标识、域标识和设备标识，处理器701用于从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，包括：
161.基于对象标识的优先级、域标识的优先级和设备标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录；
162.对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表；
163.对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录；
164.从每个流量数据包包括的网络地址中查找每个目标组合标识记录指示的对象相关的至少一个网络地址。
165.再一种实施方式中，处理器701用于基于对象标识的优先级、域标识的优先级和设备标识的优先级对每个流量数据包包括的标识信息进行组合处理，生成每个流量数据包对应的组合标识记录，包括：
166.针对任一流量数据包的目标标识信息，基于对象标识的优先级、域标识的优先级和设备标识的优先级确定目标标识信息中各个标识的组合位置；
167.基于各个标识的组合位置对目标标识信息中各个标识进行组合处理，得到任一流量数据包对应的组合标识记录。
168.再一种实施方式中，处理器701用于对每个流量数据包对应的组合标识记录进行排序处理，得到目标组合标识列表，包括：
169.基于每个流量数据包的组合标识记录的第一位置标识对每个流量数据包对应的组合标识记录进行排序处理，得到第一组合标识列表；
170.若第一组合标识列表中存在具有相同第一位置标识的多个第一组合标识记录，则基于每个第一组合标识记录的第二位置标识对第一组合标识列表中第一组合标识记录进行排序处理，得到第二组合标识列表；
171.若第二组合标识列表中存在具有相同第一位置标识和相同第二位置标识的多个第二组合标识记录，则基于每个第二组合标识记录的第三位置标识对第二组合标识列表中第二组合标识记录进行排序处理，得到目标组合标识列表。
172.再一种实施方式中，处理器701用于对目标组合标识列表中的组合标识记录进行聚合处理，得到至少一个目标组合标识记录，包括：
173.基于目标组合标识列表中组合标识记录的排序顺序查找候选组合标识记录，候选组合标识记录为目标组合标识列表中未聚合且排序最前的组合标识记录；
174.从目标组合标识列表的组合标识记录中查找与候选组合标识记录对应的关联组合标识记录；
175.若存在候选组合标识记录对应的关联组合标识记录，则将候选组合标识记录与关联组合标识进行聚合处理，得到目标组合标识记录。
176.再一种实施方式中，处理器701用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果，包括：
177.针对任一种标识信息，获取任一种标识信息相关的至少一个网络地址的时间信息；时间信息包括使用时间；
178.基于至少一个网络地址的使用时间的先后顺序对任一种标识信息相关的至少一个网络地址进行排序处理，得到初始分析结果；
179.将初始分析结果中连续的网络地址的使用时间进行合并处理，得到网络分析结果。7再一种实施方式中，目标网络协议包括网络授权协议；处理器701用于获取每个流量数据包包括的标识信息和网络地址，包括：
180.针对基于网络授权协议传输的流量数据包，基于网络授权协议的格式从流量数据包中获取客户端到身份认证服务端的第一认证数据；
181.从第一认证数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。
182.再一种实施方式中，目标网络协议包括问询应答身份认证协议；处理器701用于获
取每个流量数据包包括的标识信息和网络地址，包括：
183.针对基于问询应答身份认证协议传输的流量数据包，基于问询应答身份认证协议的格式从流量数据包中获取客户端和服务端对应的第二认证数据；
184.从第二认证数据中获取标识信息和网络地址，该标识信息包括对象标识、域标识和设备标识。
185.再一种实施方式中，目标协议包括轻型目录访问协议；处理器701用于获取每个流量数据包包括的标识信息和网络地址，包括：
186.针对基于轻型目录访问协议传输的流量数据包，基于轻型目录访问协议的格式从流量数据包中获取认证过程的第一请求数据；
187.从第一请求数据中获取标识信息和网络地址，该标识信息包括对象标识和域标识。
188.再一种实施方式中，目标网络协议包括超文本传输协议，且对应的流量数据包的目的网络地址为配置的目标系统的访问地址；处理器701用于获取每个流量数据包包括的标识信息和网络地址，包括：
189.根据登录接口或者访问地址从对应的流量数据包中提取出访问目标系统的第二请求数据；
190.基于配置的目标字段名从第二请求数据中获取标识信息和网络地址，该标识信息包括对象标识。
191.再一种实施方式中，处理器701用于基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果之后，处理器701还用于：
192.对网络分析结果包括的每个对象使用的网络地址进行异常检测；该异常检测包括检测网络地址、同一使用时间同一网络地址对应的对象的数量以及对象在第二时间内使用的网络地址的数量中的一种或多种；
193.若存在异常，则生成异常检测结果。
194.在本技术实施例中，网络分析设备可以获取目标局域网在第一时间内基于目标网络协议传输的至少一个流量数据包，以及获取每个流量数据包包括的标识信息和网络地址，并从每个流量数据包包括的网络地址中查找每种标识信息相关的至少一个网络地址，基于每种标识信息相关的至少一个网络地址的时间信息确定每种标识信息指示的对象的网络分析结果。由于本技术确定对象使用网络地址的变化情况是基于网络数据完成的，无需在局域网的终端设备中部署网络安全监测装置数据采集软件或者运行dhcp日志分析脚本，执行要求低，无需额外的人工操作，执行过程简单，工作量较低，可以有效提升网络分析的效率。并且，本技术所提及的网络协议是常见的网络协议，基于目标网络协议传输的流量数据包易抓取，本技术的网络分析方法可以适用于各类场景，兼容性强。
195.本技术实施例还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述网络分析方法实施例图3或图4中所执行的步骤。
196.本技术实施例中还提供一种计算机可读存储介质。所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被处理器执行时，可执行上述
网络分析方法实施例图3或图4中所执行的步骤。
197.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-only memory，rom)或随机存储记忆体(random access memory，ram)等。
198.以上所揭露的仅为本技术一种较佳实施例而已，当然不能以此来限定本技术之权利范围，本领域普通技术人员可以理解实现上述实施例的全部或部分流程，并依本技术权利要求所作的等同变化，仍属于申请所涵盖的范围。