[发明专利]一种物联网设备评估方法、装置及系统

权利要求书

1.一种物联网设备评估方法，其特征在于，包括：

获取待评估设备的对应于评估项目的检测漏洞；所述检测漏洞对应有检测漏洞功能；所述检测漏洞功能基于所述评估项目影响所述待评估设备的安全；所述检测漏洞功能包括获取待评估设备控制权的第一功能、窃取待评估设备的敏感数据的第二功能、影响待评估设备工作的第三功能和提取公开信息的第四功能；

根据所述检测漏洞功能确定对应于所述检测漏洞的漏洞影响等级；所述漏洞影响等级用于衡量所述检测漏洞对于待评估设备安全性的影响程度；

基于所述漏洞影响等级计算不同评估项目的项目权重值；

利用所述项目权重值和检测漏洞的漏洞影响等级求取所述待评估设备的评估结果；所述评估结果用于表示所述待评估设备的安全性。

2.如权利要求1所述的方法，其特征在于，所述评估项目包括以下至少一种：设备硬件、设备固件、设备通信协议、设备接口。

3.如权利要求2所述的方法，其特征在于，所述获取所述待评估设备的对应于评估项目的检测漏洞，包括：

通过所述硬件接口发送检测指令；所述检测指令用于实现以下至少一种功能：提取所述待评估设备的固件数据、获取所述待评估设备的感知数据、安装恶意补丁；

根据所述待评估设备反馈的数据确定检测漏洞。

4.如权利要求2所述的方法，其特征在于，获取所述待评估设备的对应于评估项目的检测漏洞，包括：

判断能否获取所述待评估设备的设备固件数据；

若能获取，根据所获取的设备固件数据的数据类型确定检测漏洞。

5.如权利要求2所述的方法，其特征在于，获取所述待评估设备的对应于评估项目的检测漏洞，包括：

结合所述设备通信协议的协议类型和协议性质确定检测漏洞；所述协议类型包括通用协议类型和私有协议类型；所述协议性质包括协议加密性质和协议完整性。

6.如权利要求2所述的方法，其特征在于，获取所述待评估设备的对应于评估项目的检测漏洞，包括：

通过所述设备接口抓取对应于所述待评估设备的传输数据；

根据所述传输数据检测所述待评估设备的检测漏洞。

7.如权利要求1所述的方法，其特征在于，所述漏洞影响等级包括严重漏洞等级、高危漏洞等级、中危漏洞等级和低危漏洞等级；

所述根据所述检测漏洞功能确定对应于所述检测漏洞的漏洞影响等级，包括：

若所述检测漏洞对应于第一功能，确定所述检测漏洞为严重漏洞等级；

若所述检测漏洞对应于第二功能，确定所述检测漏洞为高危漏洞等级；

若所述检测漏洞对应于第三功能，确定所述检测漏洞为中危漏洞等级；

若所述检测漏洞对应于第四功能，确定所述检测漏洞为低危漏洞等级。

8.如权利要求1所述的方法，其特征在于，所述基于所述漏洞影响等级计算不同评估项目的项目权重值，包括：

获取所述漏洞影响等级对应的漏洞评估值分布范围；

基于所述漏洞评估值分布范围获取对应于所述检测漏洞的漏洞评估值；

利用所述漏洞评估值计算不同评估项目的项目权重值。

9.如权利要求8所述的方法，其特征在于，所述利用所述漏洞评估值计算不同评估项目的项目权重值，包括：

利用公式计算对应于评估项目的项目熵值，式中， 为项目熵值，为待评估设备的数量，，其中，为漏洞评估值；

根据公式计算对应于所述评估项目的项目权重值，式中，为所述评估项目的项目权重值，为项目熵值，为评估项目个数。