一种网络安全评估方法、装置、设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全评估方法、装置、设备及存储介质。


背景技术：

2.随着数字化转型和数字电网的发展，变电站涌现出机器人巡检、智慧安监、移动办公为代表的新型智能业务，对智能电网的建设有重要意义，因此，变电站的终端设备是否安全接入网络变得至关重要。
3.然而，目前现有的有线通信方式和公网4g、wifi(wireless fidelity，wifi)等传统的无线通信技术存在信号覆盖弱、流量费用高等问题，已无法满足需求，此外，现有技术还存在安全缺陷，没有信息安全保护措施，容易受到攻击。


技术实现要素：

4.本发明提供了一种网络安全评估方法、装置、设备及存储介质，以提高网络安全评估的准确性。
5.根据本发明的一方面，提供了一种网络安全评估方法，所述方法包括：
6.获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；
7.根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型；
8.根据所述第一资源数据和所述第二资源数据，确定设备异常判断结果；
9.建立所述第一设备模型、所述第二设备模型和所述第三设备模型之间的数据传输链路；
10.基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果；
11.根据所述设备异常判断结果和所述交互认证结果，对所述待测网络进行网络安全评估，得到网络安全评估结果。
12.根据本发明的另一方面，提供了一种网络安全评估装置，包括：
13.资源数据获取模块，用于获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；
14.设备模型构建模块，用于根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型；
15.设备异常判断模块，用于根据所述第一资源数据和所述第二资源数据，确定设备异常判断结果；
16.传输链路建立模块，用于建立所述第一设备模型、所述第二设备模型和所述第三设备模型之间的数据传输链路；
17.交互认证结果模块，用于基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果；
18.网络安全评估模块，用于根据所述设备异常判断结果和所述交互认证结果，对所述待测网络进行网络安全评估，得到网络安全评估结果。
19.根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：
20.至少一个处理器；以及
21.与所述至少一个处理器通信连接的存储器；其中，
22.所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明实施例所述的任一网络安全评估方法。
23.根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明实施例所述的任一网络安全评估方法。
24.本实施例的技术方案，通过获取待测网络关联的终端设备、无线接入点设备和鉴别服务器三个设备的资源数据，并根据其资源数据构建对应的设备模型，根据第一资源数据和第二资源数据确定设备异常判断结果，之后通过数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输进行模拟，得到交互认证结果；最后通过确定设备异常判断结果和设备模型间的交互认证结果，对待测网络进行网络安全评估。上述技术方案，基于设备异常判断结果对待测网络进行初次判断；基于数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果，对待测网络进行二次判断，进而得到网络安全评估结果，提高了网络安全评估的准确性。
25.应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
26.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
27.图1是根据本发明实施例一提供的一种网络安全评估方法的流程图；
28.图2是根据本发明实施例二提供的一种网络安全评估方法的流程图；
29.图3是根据本发明实施例三提供的一种网络安全评估装置的结构示意图；
30.图4是实现本发明实施例的网络安全评估方法的电子设备的结构示意图。
具体实施方式
31.为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范
围。
32.需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
33.此外，还需要说明的是，本发明的技术方案中，所涉及的第一资源数据、第二资源数据和第三资源数据等数据的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。
34.实施例一
35.图1为本发明实施例一提供的一种网络安全评估方法的流程图，本实施例可适用于对电网网络进行完整性、互通性测试和评估网络安全性的情况，该方法可以由网络安全评估装置来执行，该网络安全评估装置可以采用硬件和/或软件的形式实现，该网络安全评估装置可配置于电子设备中，例如服务器中。
36.如图1所示，该方法包括：
37.s110、获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据。
38.其中，待测网络是指待进行安全评估的网络，示例性的，待测网络可以是无线局域网鉴别和保密基础结构(wireless lan authentication and privacy infrastructure，wapi)网络，wapi是一种无线传输协议，采用无线传输媒体的计算机网络。终端设备(station，sta)为一种具有输入输出功能的无线网络终端实体，例如可以是包含了wapi的笔记本电脑、智能手机或物联网终端设备。无线接入点设备(access point，ap)为接入无线网络的设备，例如可以是无线交换机。鉴别服务器(application server，as)是对终端设备和无线接入点设备的身份进行鉴别、标识与管理的第三方设备。
39.其中，第一资源数据为终端设备的资源数据，第一资源数据可以包括第一类型化资源数据和第一意图资源数据。其中，第一类型化资源数据可以包括终端设备的基础信息、证书、访问时长、系统时间以及浏览记录，第一意图资源可以是将终端设备的互联网搜索记录以及历史接入的无线接入点作为意图，并根据意图得到资源。第二资源数据可以包括第二类型化资源数据和第二意图资源数据，其中，第二类型化资源数据可以包括无线接入点设备的基础信息、证书、接入的终端设备数量以及标记信息，第二意图资源数据可以是将无线接入点设备的ip(internet protocol，ip)地址变动信息和历史允许接入的终端作为意图，根据意图得到第二意图资源数据。第三资源数据可以包括第三类型化资源数据，第三类型化资源数据可以包括管理的证书、历史鉴别记录和数字签名算法。
40.具体的，终端设备、无线接入点设备和鉴别服务器是与待测网络相关联的三个设备。终端设备和无线接入点设备之间可以进行双向身份鉴别和密钥管理，这一操作可以通过鉴别服务器完成。无线接入点设备向鉴别服务器发起鉴别请求，鉴别服务器将鉴别结果返回给无线接入点设备，从而完成终端设备与无线接入点设备之间的双向信任关系。并且，
获取设备的第一资源数据、无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据。
41.s120、根据第一资源数据构建第一设备模型、根据第二资源数据构建第二设备模型以及根据第三资源数据构建第三设备模型。
42.其中，第一设备模型是根据第一资源数据构建的模型，第二设备模型和第三设备模型与第一设备模型类似。示例性的，第一设备模型、第二设备模型和第三设备模型可以分别为第一dikwp(date information knowledge wisdom purpose，dikwp)模型、第二dikwp模型和dikw(date information knowledge wisdom，dikw)模型。第一dikwp模型、第二dikwp模型和dikw模型可以是知识图谱模型，例如在dikwp模型中，包含数据图谱、信息图谱、知识图谱、智慧图谱和意图图谱，通过意图的驱动实现数据、信息、知识和智慧的交互和转化；第一dikwp模型、第二dikwp模型和dikw模型也可以是数据库模型，用来存储类型化资源数据和意图资源数据，本实施例对此不作限制。
43.具体的，将第一资源数据、第二资源数据、第三资源数据作为构建第一设备模型、第二设备模型和第三设备模型的数据基础，具体构建方式为：根据第一类型化资源数据和第一意图资源数据，构建终端设备的第一设备模型；根据第二类型化资源数据和第二意图资源数据，构建无线接入点设备的第二设备模型；根据第三类型化资源数据，构建鉴别服务器的第三设备模型。
44.示例性的，获取终端设备的基础信息、证书、访问时长、系统时间以及浏览记录，其中，基础信息包括终端设备的类型、使用时长、具体地址等，将终端设备的基础信息以及证书、在互联网上的访问时长、当前系统时间以及浏览记录等组成类型化资源数据，并且，获取终端设备的互联网搜索记录以及历史接入的无线接入点设备作为意图，根据意图得到意图资源，对于终端设备的互联网搜索记录而言，通过关键字的识别以及判断可以获取终端设备的一些潜在意图，而通过其历史接入的无线接入点设备的合规性可以判断终端设备本身的明显意图，意图资源数据由潜在意图以及明显意图组成；根据类型化资源数据以及意图资源数据构建第一设备模型。
45.又如，获取无线接入点设备的基础信息、证书、接入的终端设备数量以及标记信息，并组成第二类型化资源数据，获取无线接入点设备的ip地址变动信息以及历史允许接入的终端设备作为意图，根据意图得到第二意图资源数据。对于无线接入点设备而言，正常使用状态下，其ip地址基本都是保持一致的，而一些非法或者不合法的无线接入点设备的ip地址会时常发生变动，以此可以判断出无线接入点设备可能存在的一些非法意图，另外的，通过无线接入点设备的历史允许接入的终端设备是否合规也可以判断出无线接入点设备的状态，通过上述的内容构成无线接入点设备的第二意图资源数据；根据第二类型化资源数据以及第二意图资源数据构建第二设备模型。
46.再如，由于鉴别服务器本身为可信赖的第三方，因此不存在所谓的潜在意图或明显意图，只需要对其基础信息进行获取后构建第三设备模型即可。
47.需要说明的是，通过利用类型化资源数据和意图资源数据，构建设备模型，添加了设备模型的数据丰富性，采用多元数据库的形式减少运算量，以提高评估效率。
48.s130、根据第一资源数据和第二资源数据，确定设备异常判断结果。
49.其中，设备异常判断结果是指判断终端设备和无线接入点设备是否具备合法性。
50.具体的，根据第一设备模型判断终端设备是否合法，从而判断终端设备是否为正常设备，若终端设备合法，则终端设备为正常设备，否则终端设备为异常设备；根据第二设备模型判断无线接入点设备是否合法，即判断无线接入点设备是否为正常设备，若无线接入点设备合法，则无线接入点设备为正常设备，否则无线接入点设备为异常设备。
51.可选的，根据第一资源数据和第二资源数据，确定设备异常判断结果，包括：根据第一类型化资源数据和第一意图资源数据，确定终端设备是否为异常设备，得到第一异常判断结果；第二类型化资源数据和第二意图资源数据，确定无线接入点设备是否为异常设备，得到第二异常判断结果；生成包括第一异常判断结果和第二异常判断结果的设备异常判断结果。
52.具体的，将终端设备是否为异常设备的判断结果作为第一异常判断结果，若终端设备为异常设备，则第一异常判断结果为终端设备为异常设备，同样的，若无线接入点设备为异常设备，则第二异常判断结果为无线接入点设备为异常设备；根据第一异常判断结果和第二异常判断结果确定设备异常判断结果，若第一异常判断结果或第二异常判断结果存在至少一个为异常设备，则设备异常判断结果为设备异常。
53.示例性的，例如终端设备是智能手机，可以接入无线网络，根据终端设备的第一类型化资源数据如终端设备的基础信息、证书、访问时长、系统时间以及浏览记录，以及，根据智能手机在互联网上的搜索记录，例如在互联网上搜索如何破解防火墙、如何翻墙等，作为第一意图资源数据，根据第一类型化资源数据和第一意图资源数据判断终端设备是否为异常设备。例如可以通过判断是否存在异常的基础信息、异常的证书、异常的访问时长、异常的系统时间和异常的浏览记录确定终端设备是否是异常设备，若其中一个存在异常，则认为终端设备是异常设备，或者，可以通过判断智能手机在互联网的搜索记录是否异常判断终端设备是否是异常设备，若智能手机的搜索记录存在异常，则认为终端设备为异常设备。同时终端设备曾经接入的无线接入点被列为不安全的接入点时，也可以判断终端为异常设备。又如，同样的，作为无线接入点设备，若其ip地址经常变动，且跨度较大时，可以判断为假冒的无线接入点，即无线接入点设备为异常设备，同时若其曾经允许接入的终端设备也被列为不安全的终端时，可以判断该无线接入点设备是异常设备。
54.上述技术方案，通过判断终端设备和无线接入点设备是否为异常设备，为后续网络安全评估奠定基础，使网络安全评估更为准确。
55.s140、建立第一设备模型、第二设备模型和第三设备模型之间的数据传输链路。
56.其中，数据传输链路为第一设备模型、第二设备模型和第三设备模型的数据交互通信链路。可选的，数据传输链路包括第一数据传输链路和第二数据传输链路，第一数据传输链路是第一设备模型和第二设备模型之间的数据传输链路，第二数据传输链路是第二设备模型和第三设备模型之间的数据传输链路。
57.具体的，通过有线通信或者无线通信的方式建立第一设备模型、第二设备模型和第三设备模型之间的数据传输链路，该数据传输链路包括请求链路和响应链路。第一设备模型和第二设备模型之间通过请求链路和响应链路进行数据传输，第二设备模型和第三设备模型之间通过请求链路和响应链路进行数据传输。
58.s150、基于数据传输链路，模拟终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果。
59.其中，交互认证结果为第一设备模型、第二设备模型和第三设备模型之间的模拟认证结果，具体指终端设备和无线接入点设备之间的双向身份识别通过时，无线接入点设备允许终端设备访问网络。
60.具体的，基于数据传输链路，模拟得到终端设备和无线接入点设备之间的交互认证结果，模拟得到无线接入点设备和鉴别服务器之间的交互认证结果。
61.s160、根据设备异常判断结果和交互认证结果，对待测网络进行网络安全评估，得到网络安全评估结果。
62.其中，网络安全评估结果是指待测网络是安全或不安全。
63.具体的，由设备异常判断结果和交互认证结果共同确定待测网络的安全评估结果，具体评估方式为：若设备异常判断结果中的第一异常判断结果和第二异常判断结果均为设备正常，且交互认证结果为认证通过，则网络安全评估结果为安全评估通过；若设备异常判断结果中的第一异常判断结果或第二异常判断结果均为设备异常，且交互认证结果为认证未通过，则网络安全评估结果为安全评估通过；若设备异常判断结果中的第一异常判断结果或第二异常判断结果均为设备异常，且交互认证结果为认证通过，则网络安全评估结果为安全评估未通过；若设备异常判断结果中的第一异常判断结果或第二异常判断结果均为设备异常，且交互认证结果为认证未通过，则网络安全评估结果为安全评估未通过。
64.本实施例的技术方案，通过获取待测网络关联的终端设备、无线接入点设备和鉴别服务器三个设备的资源数据，并根据其资源数据构建对应的设备模型，根据第一资源数据和第二资源数据确定设备异常判断结果，之后通过数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输进行模拟，得到交互认证结果；最后通过确定设备异常判断结果和设备模型间的交互认证结果，对待测网络进行网络安全评估。上述技术方案，基于设备异常判断结果对待测网络进行初次判断；基于数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果，对待测网络进行二次判断，进而得到网络安全评估结果，提高了网络安全评估的准确性。
65.实施例二
66.图2为本发明实施例二提供的一种网络安全评估方法的流程图，本实施例在上述各实施例的基础上进一步细化，具体操作为将“基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果”细化为“基于所述第一数据传输链路，模拟所述终端设备和所述无线接入点之间的数据交互传输，得到第一交互结果；基于所述第二数据传输链路，模拟所述无线接入点和所述鉴别服务器之间的数据交互传输，得到第二交互结果；根据所述第一交互结果和所述第二交互结果，确定交互认证结果”，以完善网络安全的评估机制。需要说明的是，在本发明实施例中未详述部分，可参考其他实施例的相关表述，此处不再赘述。
67.如图2所示，该方法包括：
68.s110、获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据。
69.s220、根据第一资源数据构建第一设备模型、根据第二资源数据构建第二设备模型以及根据第三资源数据构建第三设备模型。
70.s230、根据第一资源数据和第二资源数据，确定设备异常判断结果。
71.s240、建立第一设备模型、第二设备模型和第三设备模型之间的数据传输链路。
72.s250、基于第一数据传输链路，模拟终端设备和无线接入点设备之间的数据交互传输，得到第一交互结果。
73.s260、基于第二数据传输链路，模拟无线接入点设备和鉴别服务器之间的数据交互传输，得到第二交互结果。
74.s270、根据第一交互结果和第二交互结果，确定交互认证结果。
75.具体的，第一设备模型和第二设备模型之间通过请求链路与响应链路进行数据的交互，同时第二设备模型也会通过请求链路和响应链路与第三设备模型进行数据的交互，从而可以进行模拟认证访问，实现数据交互传输。具体来说，基于第一数据传输链路，第一设备模型通过请求链路向第二设备模型发起接入请求，第二设备模型通过响应链路向第一设备模型发出接入鉴别响应；第二设备模型通过请求链路向第一设备模型发出密钥协商请求，第一设备模型通过响应链路向第二设备模型发出密钥协商响应；第二设备模型通过请求链路向第一设备模型发出组播密钥通告，第一设备模型通过响应链路向第二设备模型发出组播密钥响应。若第一设备模型和第二设备模型之间的接入请求、接入鉴别响应、密钥协商请求、密钥协商响应、组播密钥通告和组播密钥响应均正常运行，则第一交互结果为通过。第二设备模型通过请求链路向第三设备模型发起证书鉴别请求；第三设备模型通过响应链路向第二设备模型发出证书鉴别响应，若证书鉴别请求和证书鉴别响应均正常运行，则第二交互结果为通过。其中，密钥协商请求是指两个或多个实体协商，共同建立会话密钥，任何一个参与者均对结果产生影响，不需要任何可信的第三方。组播密钥通告是指由一个或多个发送者传输数据到多个收听者的通信方式。当第一交互结果和第二交互结果同时通过时，则交互认证结果为通过；当第一交互结果和第二交互结果存在至少一个未通过时，则交互认证结果未通过。
76.本实施例的技术方案，通过模拟终端设备和无线接入点设备之间的数据交互传输，得到第一交互结果；模拟无线接入点设备和鉴别服务器之间的数据交互传输，得到第二交互结果；之后根据第一交互结果和第二交互结果，确定交互认证结果。采用上述技术方案，通过第三方鉴别服务器颁发证书，使得终端设备接入无线点设备时，必须通过鉴别服务器对双方进行身份鉴别，保证了终端设备与无线接入点设备的合法性，为网络提供了全方位的安全保障。
77.实施例三
78.图3为本发明实施例三提供的一种网络安全评估装置的结构示意图，本实施例可适用于对电网网络进行完整性、互通性测试和评估网络安全性的情况，该网络安全评估装置可以采用硬件和/或软件的形式实现，该网络安全评估装置可配置于电子设备中，例如服务器中。
79.如图3所示，该装置包括资源数据获取模块310、设备模型构建模块320、设备异常判断模块330、传输链路建立模块340、交互认证结果模块350和网络安全评估模块360。
80.资源数据获取模块310，用于获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；
81.设备模型构建模块320，用于根据第一资源数据构建第一设备模型、根据第二资源数据构建第二设备模型以及根据第三资源数据构建第三设备模型；
82.设备异常判断模块330，用于根据第一资源数据和第二资源数据，确定设备异常判断结果；
83.传输链路建立模块340，用于建立第一设备模型、第二设备模型和第三设备模型之间的数据传输链路；
84.交互认证结果模块350，用于基于数据传输链路，模拟终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果；
85.网络安全评估模块360，用于根据设备异常判断结果和交互认证结果，对待测网络进行网络安全评估，得到网络安全评估结果。
86.本实施例的技术方案，通过获取待测网络关联的终端设备、无线接入点设备和鉴别服务器三个设备的资源数据，并根据其资源数据构建对应的设备模型，根据第一资源数据和第二资源数据确定设备异常判断结果，之后通过数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输进行模拟，得到交互认证结果；最后通过确定设备异常判断结果和设备模型间的交互认证结果，对待测网络进行网络安全评估。上述技术方案，基于设备异常判断结果对待测网络进行初次判断；基于数据传输链路，对终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果，对待测网络进行二次判断，进而得到网络安全评估结果，提高了网络安全评估的准确性。
87.可选的，第一资源数据包括第一类型化资源数据和第一意图资源数据；第二资源数据包括第二类型化资源数据和第二意图资源数据；第三资源数据包括第三类型化资源数据；
88.相应的，根据第一资源数据构建第一设备模型、根据第二资源数据构建第二设备模型以及根据第三资源数据构建第三设备模型，设备模型构建模块320包括：
89.第一模型构建单元，用于根据第一类型化资源数据和第一意图资源数据，构建终端设备的第一设备模型；
90.第二模型构建单元，用于根据第二类型化资源数据和第二意图资源数据，构建无线接入点设备的第二设备模型；
91.第三模型构建单元，用于根据第三类型化资源数据，构建鉴别服务器的第三设备模型。
92.可选的，根据第一资源数据和第二资源数据，确定设备异常判断结果，设备异常判断模块330包括：
93.第一异常子单元，用于根据第一类型化资源数据和第一意图资源数据，确定终端设备是否为异常设备，得到第一异常判断结果；
94.第二异常子单元，用于根据第二类型化资源数据和第二意图资源数据，确定无线接入点设备是否为异常设备，得到第二异常判断结果；
95.设备异常子单元，用于生成包括第一异常判断结果和第二异常判断结果的设备异常判断结果。
96.可选的，数据传输链路包括第一设备模型和第二设备模型之间的第一数据传输链路和第二设备模型和第三设备模型之间的第二数据传输链路；基于数据传输链路，模拟终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果，交互认证结果模块350具体用于：
97.基于第一数据传输链路，模拟终端设备和无线接入点之间的数据交互传输，得到第一交互结果；
98.基于第二数据传输链路，模拟无线接入点和鉴别服务器之间的数据交互传输，得到第二交互结果；
99.交互认证结果单元，用于根据第一交互结果和第二交互结果，确定交互认证结果。
100.可选的，设备异常判断结果包括设备正常和设备异常，相应的，根据设备异常判断结果和交互认证结果，对待测网络进行网络安全评估，得到网络安全评估结果，网络安全评估模块360具体用于：
101.若设备异常判断结果中的第一异常判断结果和第二异常判断结果均为设备正常，且交互认证结果为认证通过，则网络安全评估结果为安全评估通过；
102.若设备异常判断结果中的第一异常判断结果或第二异常判断结果均为设备异常，且交互认证结果为认证未通过，则网络安全评估结果为安全评估通过；
103.若设备异常判断结果中的第一异常判断结果或第二异常判断结果均为设备异常，且交互认证结果为认证通过，则网络安全评估结果为安全评估未通过。
104.本发明实施例所提供的网络安全评估装置可执行本发明任意实施例所提供的网络安全评估方法，具备执行方法相应的功能模块和有益效果。
105.实施例四
106.图4是实现本发明实施例的网络安全评估方法的电子设备的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。
107.如图4所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(rom)12、随机访问存储器(ram)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(rom)12中的计算机程序或者从存储单元18加载到随机访问存储器(ram)13中的计算机程序，来执行各种适当的动作和处理。在ram13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、rom12以及ram13通过总线14彼此相连。输入/输出(i/o)接口15也连接至总线14。
108.电子设备10中的多个部件连接至i/o接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
109.处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如网络安全评估方法。
110.在一些实施例中，网络安全评估方法可被实现为计算机程序，其被有形地包含于
计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由rom12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到ram13并由处理器11执行时，可以执行上文描述的网络安全评估方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行网络安全评估方法。
111.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
112.用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
113.在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
114.为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
115.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)、区块链网络和互联网。
116.计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与vps服务中，存在的管理难度大，业务扩展性弱的缺陷。
117.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。
118.上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

技术特征：
1.一种网络安全评估方法，其特征在于，包括：获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型；根据所述第一资源数据和所述第二资源数据，确定设备异常判断结果；建立所述第一设备模型、所述第二设备模型和所述第三设备模型之间的数据传输链路；基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果；根据所述设备异常判断结果和所述交互认证结果，对所述待测网络进行网络安全评估，得到网络安全评估结果。2.根据权利要求1所述的方法，其特征在于，所述第一资源数据包括第一类型化资源数据和第一意图资源数据；所述第二资源数据包括第二类型化资源数据和第二意图资源数据；所述第三资源数据包括第三类型化资源数据；相应的，所述根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型，包括：根据所述第一类型化资源数据和所述第一意图资源数据，构建所述终端设备的第一设备模型；根据所述第二类型化资源数据和所述第二意图资源数据，构建所述无线接入点设备的第二设备模型；根据所述第三类型化资源数据，构建所述鉴别服务器的第三设备模型。3.根据权利要求2所述的方法，其特征在于，所述根据所述第一资源数据和所述第二资源数据，确定设备异常判断结果，包括：根据所述第一类型化资源数据和所述第一意图资源数据，确定所述终端设备是否为异常设备，得到第一异常判断结果；根据所述第二类型化资源数据和所述第二意图资源数据，确定所述无线接入点设备是否为异常设备，得到第二异常判断结果；生成包括所述第一异常判断结果和所述第二异常判断结果的设备异常判断结果。4.根据权利要求1所述的方法，其特征在于，所述数据传输链路包括所述第一设备模型和所述第二设备模型之间的第一数据传输链路和所述第二设备模型和所述第三设备模型之间的第二数据传输链路；基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果，包括：基于所述第一数据传输链路，模拟所述终端设备和所述无线接入点设备之间的数据交互传输，得到第一交互结果；基于所述第二数据传输链路，模拟所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到第二交互结果；根据所述第一交互结果和所述第二交互结果，确定交互认证结果。
5.根据权利要求3所述的方法，其特征在于，所述设备异常判断结果包括设备正常和设备异常，相应的，所述根据所述设备异常判断结果和所述交互认证结果，对所述待测网络进行网络安全评估，得到网络安全评估结果，包括：若所述设备异常判断结果中的所述第一异常判断结果和所述第二异常判断结果均为设备正常，且所述交互认证结果为认证通过，则所述网络安全评估结果为安全评估通过；若所述设备异常判断结果中的所述第一异常判断结果或所述第二异常判断结果均为设备异常，且所述交互认证结果为认证未通过，则所述网络安全评估结果为安全评估通过；若所述设备异常判断结果中的所述第一异常判断结果或所述第二异常判断结果均为设备异常，且所述交互认证结果为认证通过，则所述网络安全评估结果为安全评估未通过。6.一种网络安全评估装置，其特征在于，包括：资源数据获取模块，用于获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；设备模型构建模块，用于根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型；设备异常判断模块，用于根据所述第一资源数据和所述第二资源数据，确定设备异常判断结果；传输链路建立模块，用于建立所述第一设备模型、所述第二设备模型和所述第三设备模型之间的数据传输链路；交互认证结果模块，用于基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果；网络安全评估模块，用于根据所述设备异常判断结果和所述交互认证结果，对所述待测网络进行网络安全评估，得到网络安全评估结果。7.根据权利要求6所述的装置，其特征在于，所述第一资源数据包括第一类型化资源数据和第一意图资源数据；所述第二资源数据包括第二类型化资源数据和第二意图资源数据；所述第三资源数据包括第三类型化资源数据；相应的，所述根据所述第一资源数据构建第一设备模型、根据所述第二资源数据构建第二设备模型以及根据所述第三资源数据构建第三设备模型，包括：第一模型构建单元，用于根据所述第一类型化资源数据和所述第一意图资源数据，构建所述终端设备的第一设备模型；第二模型构建单元，用于根据所述第二类型化资源数据和所述第二意图资源数据，构建所述无线接入点设备的第二设备模型；第三模型构建单元，用于根据所述第三类型化资源数据，构建所述鉴别服务器的第三设备模型。8.根据权利要求6所述的装置，所述数据传输链路包括所述第一设备模型和所述第二设备模型之间的第一数据传输链路和所述第二设备模型和所述第三设备模型之间的第二数据传输链路；基于所述数据传输链路，模拟所述终端设备、所述无线接入点设备和所述鉴别服务器之间的数据交互传输，得到交互认证结果，包括：第一交互结果单元，用于基于所述第一数据传输链路，模拟所述终端设备和所述无线
接入点之间的数据交互传输，得到第一交互结果；第二交互结果单元，用于基于所述第二数据传输链路，模拟所述无线接入点和所述鉴别服务器之间的数据交互传输，得到第二交互结果；交互结果认证单元，用于根据所述第一交互结果和所述第二交互结果，确定交互认证结果。9.一种电子设备，其特征在于，所述电子设备包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-5中任一项所述的网络安全评估方法。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-5中任一项所述的网络安全评估方法。

技术总结
本发明公开了一种网络安全评估方法、装置、设备及存储介质，该方法包括：获取待测网络关联的终端设备的第一资源数据、关联的无线接入点设备的第二资源数据以及关联的鉴别服务器的第三资源数据；根据第一资源数据构建第一设备模型、根据第二资源数据构建第二设备模型以及根据第三资源数据构建第三设备模型；根据第一资源数据和第二资源数据，确定设备异常判断结果；建立第一设备模型、第二设备模型和第三设备模型之间的数据传输链路；模拟终端设备、无线接入点设备和鉴别服务器之间的数据交互传输，得到交互认证结果；对待测网络进行网络安全评估，得到网络安全评估结果。本发明的技术方案，提高了网络安全评估的准确性。提高了网络安全评估的准确性。提高了网络安全评估的准确性。


技术研发人员：严欣 全源 翟柱新 李为 聂滢 邹钟璐 袁咏诗 陈小群 黄贺平 黄志才
受保护的技术使用者：广东电网有限责任公司东莞供电局
技术研发日：2023.06.30
技术公布日：2023/8/14