CN109890027B - 用于确定目标无线接入点的安全风险信息的方法与设备 - Google Patents

Abstract

本申请的目的是提供一种用于确定目标无线接入点的安全风险信息的方法与设备，第一用户设备向网络设备发送关于目标无线接入点的连接互动信息；所述网络设备基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；所述网络设备向第二用户设备发送所述安全风险信息。本申请能批量地判断多个热点是否有安全风险，处理效率较高。

Description

用于确定目标无线接入点的安全风险信息的方法与设备

技术领域

本申请涉及通信领域，尤其涉及一种用于确定目标无线接入点的安全风险信息的技术。

背景技术

无线接入点(Access Point,AP)是一个无线网络的接入点，有时也被称为“热点”(Hotspot)，用于供无线设备(例如手机、笔记本电脑等)接入有线网络以访问互联网。有时，某些无线接入点是有安全风险的，例如通过这些无线接入点接入网络的无线设备有可能遭受网络上其他用户的攻击(例如，DNS攻击、SSL攻击、ARP攻击等)。

为检测一个无线接入点是否有安全风险，一种做法是触发无线设备向特定链接发送请求，然后分析请求过程中是否发生DNS攻击、SSL攻击或ARP攻击。这种做法不能批量地判断多个热点是否有安全风险，处理效率较低。

发明内容

本申请的一个目的是提供一种用于确定目标无线接入点的安全风险信息的方法和设备。

根据本申请的一个方面，提供了一种在网络设备端用于确定目标无线接入点的安全风险信息的方法，该方法包括：

接收第一用户设备经目标无线接入点所发送的连接互动信息；

基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

向第二用户设备发送所述安全风险信息。

根据本申请的另一个方面，提供了一种在第一用户设备端用于确定目标无线接入点的安全风险信息的方法，该方法包括：

获取所述第一用户设备与所述目标无线接入点的连接互动信息；

向网络设备发送所述连接互动信息；

其中，所述网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险信息，并向第二用户设备发送所述安全风险信息。

根据本申请的又一个方面，提供了一种在第二用户设备端用于确定目标无线接入点的安全风险信息的方法，该方法包括：

向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；

接收所述网络设备发送的目标无线接入点的安全风险信息；

其中，所述安全风险信息是基于第一用户设备所发送的关于目标无线接入点的连接互动信息确定的。

根据本申请的一个方面，提供了一种在网络设备端用于确定目标无线接入点的安全风险信息的装置，该装置包括：

第一一模块，用于接收第一用户设备经目标无线接入点所发送的连接互动信息；

第一二模块，用于基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

第一三模块，用于向第二用户设备发送所述安全风险信息。

根据本申请的另一个方面，提供了一种在第一用户设备端用于确定目标无线接入点的安全风险信息的装置，该装置包括：

第二一模块，用于获取所述第一用户设备与所述目标无线接入点的连接互动信息；

第二二模块，用于向网络设备发送所述连接互动信息；

其中，所述网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险信息，并向第二用户设备发送所述安全风险信息。

根据本申请的再一个方面，提供了一种在第二用户设备端用于确定目标无线接入点的安全风险信息的装置，该装置包括：

第三一模块，用于向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；

第三二模块，用于接收所述网络设备发送的目标无线接入点的安全风险信息；

其中，所述安全风险信息是基于第一用户设备所发送的关于目标无线接入点的连接互动信息确定的。

根据本申请的一个方面，提供了一种用于确定目标无线接入点的安全风险信息的方法，该方法包括：

第一用户设备经目标无线接入点向网络设备发送连接互动信息；

所述网络设备接收所述连接互动信息，基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

所述网络设备向第二用户设备发送所述安全风险信息。

根据本申请的一个方面，提供了一种用于确定目标无线接入点的安全风险信息的设备，该设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行以上任一项所述方法的操作。

根据本申请的另一个方面，提供了一种存储指令的计算机可读介质，所述指令在被执行时使得***进行以上任一项所述方法的操作。

与现有技术相比，本申请获取用户设备与目标无线接入点的连接互动信息，并根据该连接互动信息和相应的数据模型判断目标无线接入点的风险程度；在后续该设备或其他用户设备连接该目标无线接入点时，或在该设备或其他用户设备通过该目标无线接入点接入网络时，网络设备向相应的用户设备发送目标无线接入点的安全风险信息，以供相关用户参考目标无线接入点的风险程度从而识别具有安全隐患的无线接入点。此外，本申请能批量地判断多个热点是否有安全风险，处理效率高。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1示出根据本申请一个实施例的一种***拓扑；

图2是根据本申请一个实施例的一种用于确定目标无线接入点的安全风险的方法的流程图；

图3是根据本申请一个实施例的一种在网络设备端用于确定目标无线接入点的安全风险信息的方法的流程图；

图4是根据本申请一个实施例的一种在第一用户设备端用于确定目标无线接入点的安全风险信息的方法的流程图；

图5是根据本申请一个实施例的一种在第二用户设备端用于确定目标无线接入点的安全风险信息的方法的流程图；

图6示出根据本申请一个实施例的一种用于确定目标无线接入点的安全风险信息的网络设备的功能模块；

图7示出根据本申请一个实施例的一种用于确定目标无线接入点的安全风险信息的第一用户设备的功能模块；

图8示出根据本申请一个实施例的一种用于确定目标无线接入点的安全风险信息的第二用户设备的功能模块；

图9示出根据本申请一个实施例的一种示例性***的功能模块。

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本申请作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(例如，中央处理器(Central Processing Unit,CPU))、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RandomAccess Memory,RAM)和/或非易失性内存等形式，如只读存储器(Read Only Memory,ROM)或闪存(Flash Memory)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(Phase-Change Memory,PCM)、可编程随机存取存储器(Programmable Random Access Memory,PRAM)、静态随机存取存储器(Static Random-Access Memory,SRAM)、动态随机存取存储器(Dynamic Random AccessMemory,DRAM)、其他类型的随机存取存储器(Random Access Memory,RAM)、只读存储器(Read-Only Memory,ROM)、电可擦除可编程只读存储器(Electrically-ErasableProgrammable Read-Only Memory,EEPROM)、快闪记忆体(Flash Memory)或其他内存技术、只读光盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、数字多功能光盘(Digital Versatile Disc,DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

本申请所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备包括但不限于任何一种可与用户进行人机交互(例如通过触摸板进行人机交互)的移动电子产品，例如智能手机、平板电脑等，所述移动电子产品可以采用任意操作***，如Android操作***、iOS操作***等。其中，所述网络设备包括一种能够按照事先设定或存储的指令，自动进行数值计算和信息处理的电子设备，其硬件包括但不限于微处理器、专用集成电路(Application Specific IntegratedCircuit,ASIC)、可编程逻辑器件(Programmable Logic Device,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、数字信号处理器(Digital Signal Processor,DSP)、嵌入式设备等。所述网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云；在此，云由基于云计算(Cloud Computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、VPN网络、无线自组织网络(Ad Hoc Network)等。优选地，所述设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。

当然，本领域技术人员应能理解上述设备仅为举例，其他现有的或今后可能出现的设备如可适用于本申请，也应包含在本申请保护范围以内，并在此以引用方式包含于此。

在本申请的描述中，“多个”的含义是两个或者更多，除非另有明确具体的限定。

根据本申请的一个方面，提供了一种用于确定目标无线接入点的安全风险信息的***。参考图1，该***包括网络设备100、第一用户设备200和第二用户设备300。基于该***，本申请还提供了一种用于确定目标无线接入点的安全风险信息的方法。参考图2，该方法包括以下步骤：

第一用户设备经目标无线接入点向网络设备发送连接互动信息；

所述网络设备接收所述连接互动信息，基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

所述网络设备向第二用户设备发送所述安全风险信息。

在一些实施例中，为了便于根据第二用户设备的所处位置确定相应无线接入点的安全风险信息、从而提高用户的操作效率和改善用户体验，在一些实施例中上述方法还包括以下步骤：

第二用户设备向所述网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；

其中，网络设备向第二用户设备发送所述安全风险信息的步骤，则包括：

根据所述候选接入点信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

其中，上述“第一”、“第二”仅用于区分获取关于目标无线接入点的连接互动信息的用户设备和接收目标无线接入点的安全风险信息的用户设备，并非用于表示任何特定的顺序或数量，亦非对本申请具体实施方式的限制；在某些实施例中，上述“第一用户设备”和“第二用户设备”亦可为同一用户设备，例如该用户设备在获取关于目标无线接入点的连接互动信息时作为“第一用户设备”，而在接收目标无线接入点的安全风险信息时则作为“第二用户设备”。

为了更清楚地说明本申请，以下分别从上述网络设备、第一用户设备和第二用户设备的角度进行详细描述。

就上述网络设备而言，本申请提供了一种在网络设备端用于确定目标无线接入点的安全风险信息的方法。参考图3，该方法包括步骤S11、步骤S12和步骤S13。

具体而言，在步骤S11中，网络设备接收第一用户设备经目标无线接入点所发送的连接互动信息。在一些实施例中，该连接互动信息在第一用户设备和目标无线接入点的通信过程中、或者在第一用户设备通过目标无线接入点访问网络的过程中产生，用于进一步提取目标无线接入点的行为特征，以判定目标无线接入点是否具有安全隐患。随后在步骤S12中，网络设备基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型(例如将上述互动特征信息加入训练数据集，训练基于决策树、深度神经网络等数据模型以得到该安全风险模型)，以确定所述目标无线接入点的安全风险信息。在步骤S13中，网络设备向第二用户设备发送所述安全风险信息，例如网络设备主动将目标无线接入点的安全风险信息(以及目标无线接入点的其他相关信息，例如其标识信息)推送至第二用户设备以供参考，或者响应于第二用户设备的风险信息请求而将目标无线接入点的安全风险信息发送至第二用户设备。

本申请所用的安全风险模型在一些实施例中是基于决策树创建的。相对于其他类型的数据模型(例如神经网络)而言，决策树模型的节点划分更清晰，且决策树模型具有更好的可解释性，例如基于决策树模型能够获取每个节点的数据状态和数据特征，从而便于提取各类中间数据以进一步研究、改善接入点的安全设置，而这些中间数据在其他类型的数据模型(例如神经网络)中往往是无法取得的。另一方面，决策树模型相对于其他类型的数据模型而言运行速度较快，可进一步提高对无线接入点的安全性的分析效率，从而提升用户使用体验。在一些实施例中，可基于梯度下降来迭代求解相关参数以获得安全风险模型以获得较佳的训练效率，例如基于Light GBM进行训练以获得该安全风险模型。

其中，在一些实施例中，上述连接互动信息包括以下的一项或者多项：

-关于所述第一用户设备所请求订阅内容的第一互动信息。例如(但非限制性地)，该第一互动信息基于用户通过第一用户设备浏览feed的行为确定，其中若第一用户设备所请求的feed记录数与第一用户设备所接收到的记录数之间存在差异，则该差异作为上述第一互动信息可用于检测目标无线接入点是否具有安全隐患。

-关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息。例如，网络设备通过上述目标无线接入点向第一用户设备推送过附近的一个或多个可用无线接入点，其中该可用无线接入点用于供第一用户设备访问网络；根据***推送的可用无线接入点(例如，网络设备向第一用户设备发送附近无线接入点提醒)和第一用户设备所接收到的可用无线接入点之间的差异(该差异作为上述第二互动信息)，可检测目标无线接入点是否具有安全隐患。在此，该第二互动信息需基于用户的历史行为提取。

-所述第一用户设备经所述目标无线接入点的历史网络访问信息。例如，第一用户设备经上述目标无线接入点向特定的网页发送请求，若第一用户设备基于该请求而接收到的内容与网页的真实大小有差异，则可判定该目标无线接入点具有安全隐患；在此，记录第一用户设备接收到的内容作为历史网络访问信息，该历史网络访问信息可用于检测目标无线接入点是否具有安全隐患。

-所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。在一些实施例中，第一用户设备的地理位置信息(经纬度信息)基于其内置的GPS定位模块获得。其中，第一用户设备的地理位置信息确定后，目标无线接入点的所处地理位置亦可随之而确定。该地理位置信息依赖于第一用户设备上报。

上述各项连接互动信息在上述第一用户设备和网络设备的互动过程中即可采集，可实现对无线接入点的安全隐患的批量检测，而无需单独检测每个无线接入点。其中，这些连接互动信息既可单独应用，也可组合应用；且本领域技术人员应能理解，以上所述的连接互动信息仅为举例而非对本申请的任何限定，其他现有的或今后可能出现的具体实施方式如能适用于本申请，也包含在本申请的保护范围内，并以应用的方式包含于此。

其中，在一些实施例中，上述方法还包括步骤S14(未示出)。在步骤S14中，网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险类型信息；随后在步骤S13中，网络设备向第二用户设备发送所述安全风险信息以及所述安全风险类型信息。该安全风险类型信息可供使用该第二用户设备的用户了解目标无线接入点所涉及的风险类型(包括但不限于连接该无线接入点的移动设备可能遭受DNS攻击、SSL攻击、ARP攻击等)，以便用户决定是否要继续连接该目标无线接入点，或供技术人员确定受攻击的无线接入点所遭受的攻击的类型，以研究和排除相应的安全风险(此时技术人员无需手动地反复排查各无线接入点的安全风险，大大提高了工作效率，也提高了网络的整体安全性)。

在以上所述的基于第一用户设备与目标无线接入点之间的互动过程的互动特征信息检测目标无线接入点的安全隐患之外，还可结合目标无线接入点自身的其他信息提高***的敏感性和检测结果的准确性。相应地，在一些实施例中，上述步骤S12包括子步骤S12a和子步骤S12c(均未示出)，并可选地包括子步骤S12b(未示出)。其中在子步骤S12a中，网络设备基于所述连接互动信息确定相应的互动特征信息；在子步骤S12b中，网络设备基于所述目标无线接入点的接入点活动信息确定相应的接入点特征信息；在子步骤S12c中，网络设备将所述互动特征信息、所述接入点特征信息、所述目标无线接入点的业务特征信息中的一项或若干项的组合应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。其中，所述业务特征信息是基于第一用户设备与所述无线接入点通信的业务数据信息确定的。在一些实施例中，上述接入点活动信息包括以下的一项或多项：

-接入点连接行为信息，例如目标无线接入点在某段时间内连接过的用户设备的标志信息、连接频率等；

-接入点日活行为信息，例如目标无线接入点的每日的数据传输历史信息；

-接入点扫描行为信息，例如目标无线接入点对周围用户设备的历史扫描记录；

-接入点类别信息。

在一些实施例中，为进一步优化对目标无线接入点的安全风险的分析结果的精度，用于分析目标无线接入点的特征还包括第一用户设备与无线接入点通信的业务数据信息。相应地，上述方法还包括步骤S15(未示出)。在该步骤S15中，网络设备基于第一用户设备与所述无线接入点通信的业务数据信息确定所述目标无线接入点的业务特征信息；随后在上述子步骤S12c中，网络设备将所述互动特征信息、所述接入点特征信息以及所述业务特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。其中在一些实施例中，上述业务特征信息包括以下一项或多项：

-所述无线接入点对应的网关MAC地址信息；

-所述无线接入点对应的网关IP地址信息；

-所述无线接入点对应的子网掩码信息；

-所述第一用户设备的内网IP地址信息；

-所述第一用户设备的出口IP地址信息；

-所述第一用户设备访问目标地址所对应的数据包大小；

-与所述第一用户设备通信的服务器的IP地址信息。

在一些实施例中，可将所述互动特征信息、所述接入点特征信息、所述目标无线接入点的业务特征信息中的一项或若干项的组合应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。

其中，基于上述业务特征信息，本申请可防范DNS、SSL、ARP等各类型的攻击。其中，在采集DNS、IP信息的情况下，若存在DNS劫持，(i)若确认有劫持的行为，但是未发现劫持的后果，即未发现有ip很明显不正确；(ii)确认有劫持的行为，并发现了有劫持的后果，即发现有ip很明显不正确。对于ARP攻击(伪造IP地址和MAC地址实现ARP欺骗)而言，其原理是网关的MAC地址被欺骗到攻击者的设备上，因此检测的重点在于如何检测到这个变化上，主要有两个方向：(i)若能保存下某台设备刚连上WiFi时的网关MAC地址，以这个地址作为基准，则当后续检测到网关MAC地址不是基准的网关MAC地址时，说明受到了ARP攻击；(ii)若刚开始未能保存网关MAC地址、后续检测的时候才去初始化该网关MAC地址，那(i)的方法将无法检测到攻击者，但是在攻击者的设备没有开启ARP防火墙的情况下，攻击者也暴露在网络中，此时在扫描周围网络后会发现攻击者的存在，并且攻击者的MAC地址和网关的MAC地址完全一致，但是二者的ip不同。对于SSL攻击而言，一种检测方式是，随机选取多个IP(例如9个)，向这9个IP发起TCP的握手，假如握手能够成功，说明不存在劫持，而握手不成功则存在劫持。判定握手不成功的一种方式是，在预设的一段时间(例如若干秒)内无响应则认定握手不成功。

在一些实施例中，网络设备向第二用户设备提供可供其连接以实现网络访问的一个或多个可用无线接入点，并同时提供者一个或多个可用无线接入点的安全风险信息，从而既可为操作第二用户设备的用户提供用于参考的安全风险信息以提高相应的网络连接的安全性，亦能在用户不需要了解该安全风险信息的时候避免对用户的正常操作造成干扰。相应地，在上述步骤S13中，网络设备根据第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息(例如，该候选接入点信息包括第二用户设备的***所扫描到的无线接入点的SSID/BSSID、MAC地址等信息)，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息(例如，包括但不限于接入点的名称、连接密码等)，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。例如，在获取上述候选接入点信息之后，网络设备再从候选接入点中选取第二可用无线接入点，并向第二用户设备推送该第二可用无线接入点，或者根据第二用户设备所发送的可用接入点请求向第二用户设备发送第二用户设备附近的第二可用无线接入点，例如这个/这些第二可用无线接入点是由其他用户分享的。在一些实施例中，上述候选接入点信息是由第二用户设备发送至网络设备的。

在一些实施例中，第二用户设备将候选接入点信息发送至网络设备，并向网络设备请求上述第二可用无线接入点，网络设备再基于该请求返回一个或多个第二可用无线接入点，从而第二用户设备无需持续上传候选接入点信息，以降低第二用户设备的功耗。相应地，上述方法还包括步骤S16(未示出)。在步骤S16中，网络设备接收第二用户设备所发送的接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。随后在步骤S13中，网络设备根据所述候选接入点信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

在一些实施例中，所述连接互动信息包括所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。上述方法还包括步骤S17(未示出)。在步骤S17中，网络设备基于所述第一用户设备的地理位置信息，确定所述目标无线接入点的地理位置信息，例如以第一用户设备的地理位置信息作为目标无线接入点的地理位置信息，或者基于第一用户设备和一个或多个其他用户设备对目标无线接入点进行更精准的定位(例如将包括第一用户设备在内的各设备所在位置所确定区域的中心作为目标无线接入点的所在位置，其中各设备均已与目标无线接入点建立通信连接)。

就以上提到的第一用户设备而言，与上述在网络设备端用于确定目标无线接入点的安全风险信息的方法相对应地，本申请提供了一种在第一用户设备端用于确定目标无线接入点的安全风险信息的方法。参考图4，该方法包括步骤S21和步骤S22。在步骤S21中，第一用户设备获取所述第一用户设备与所述目标无线接入点的连接互动信息；在步骤S22中，第一用户设备经所述目标无线接入点向网络设备发送所述连接互动信息。在一些实施例中，所述网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险信息，并向第二用户设备发送所述安全风险信息。

在此，在一些实施例中，该连接互动信息在第一用户设备和目标无线接入点的通信过程中、或者在第一用户设备通过目标无线接入点访问网络的过程中产生，用于进一步提取目标无线接入点的行为特征，以判定目标无线接入点是否具有安全隐患；其与以上所述的连接互动信息的来源、内容、用于判断目标无线接入点的连接安全信息的方式等相同或基本相同，在此不予赘述，并以引用的方式包含于此。例如，在一些实施例中，该连接互动信息包括以下一项或多项：

-关于所述第一用户设备所请求订阅内容的第一互动信息。

-关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息。

-所述第一用户设备经所述目标无线接入点的历史网络访问信息。

-所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。

在一些实施例中，网络设备除向第二用户设备发送目标无线接入点的安全风险信息之外，还发送相应的安全风险类型信息；具体实施方式与以上所述的在第二用户设备端确定目标无线接入点的安全风险信息的实施方式中的相应记载相同或基本相同，不予赘述，并以引用的方式包含于此。

另一方面，对于欲连接目标无线接入点或欲获取目标无线接入点的链接安全信息的第二用户设备而言，该第二用户设备可根据其所扫描到的至少一个候选无线接入点的候选接入点信息向网络设备请求目标无线接入点的安全风险信息，以供相应的用户确认是否要将该第二用户设备连接至目标无线接入点，或确认是否需要在第二用户设备连接至该目标无线接入点时是否能够处理涉密内容。基于此，与上述在网络设备端用于确定目标无线接入点的安全风险信息的方法相对应地，本申请提供了一种在第二用户设备端用于确定目标无线接入点的安全风险信息的方法。参考图5，该方法包括步骤S31和步骤S32。在步骤S31中，第二用户设备向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；在一些实施例中，所述候选接入点信息包含于第二用户设备所发送的关于其附近可用无线接入点的接入点请求中，或包含于第二用户设备所发送的关于目标无线接入点的连接安全信息的安全信息请求中。在步骤S32中，第二用户设备接收所述网络设备发送的目标无线接入点的安全风险信息。其中，所述安全风险信息是基于第一用户设备所发送的关于目标无线接入点的连接互动信息确定的。例如，在获取候选接入点信息之后，网络设备再向第二用户设备推送其附近可用的第二可用无线接入点，或者根据第二用户设备所发送的可用接入点请求向第二用户设备发送第二用户设备所扫描到的候选接入点中的第二可用无线接入点，例如这个/这些第二可用无线接入点是由其他用户分享的。在一些实施例中，上述候选接入点信息是由第二用户设备发送至网络设备的。

在此，所述目标无线接入点的安全风险信息的内容、获取方式等与以上各相关实施例中所记载的部分相同或基本相同，不予赘述，并以引用的方式包含于此。

在一些实施例中，在上述步骤S32中，第二用户设备接收所述网络设备发送的目标无线接入点的安全风险信息以及所述目标无线接入点的安全风险类型信息。具体实施方式与以上所述的在第二用户设备端确定目标无线接入点的安全风险信息的实施方式中的相应记载相同或基本相同，不予赘述，并以引用的方式包含于此。

在一些实施例中，在上述步骤S32中，第二用户设备接收所述网络设备发送的至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。在接收网络设备所发送的多个第二可用无线接入点的情况下，用户可基于各第二可用无线接入点的安全风险信息决定是否要将第二用户设备连接至某个第二可用无线接入点，从而保证第二用户设备的通信安全。

在一些实施例中，在上述步骤S31中，第二用户设备向网络设备发送接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。在一些实施例中，第二用户设备将上述候选接入点信息发送至网络设备，并向网络设备请求上述第二可用无线接入点，网络设备再基于该请求返回一个或多个第二可用无线接入点，从而第二用户设备无需持续上传其地理位置信息，以降低第二用户设备的功耗。

就上述网络设备而言，本申请还提供了一种用于确定目标无线接入点的安全风险信息的网络设备。参考图6，该网络设备包括第一一模块11、第一二模块12和第一三模块13。

具体而言，第一一模块11接收第一用户设备经目标无线接入点所发送的连接互动信息。在一些实施例中，该连接互动信息在第一用户设备和目标无线接入点的通信过程中、或者在第一用户设备通过目标无线接入点访问网络的过程中产生，用于进一步提取目标无线接入点的行为特征，以判定目标无线接入点是否具有安全隐患。随后第一二模块12基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型(例如将上述互动特征信息加入训练数据集，训练基于决策树、深度神经网络等数据模型以得到该安全风险模型)，以确定所述目标无线接入点的安全风险信息。第一三模块13向第二用户设备发送所述安全风险信息，例如网络设备主动将目标无线接入点的安全风险信息(以及目标无线接入点的其他相关信息，例如其标识信息)推送至第二用户设备以供参考，或者响应于第二用户设备的风险信息请求而将目标无线接入点的安全风险信息发送至第二用户设备。

本申请所用的安全风险模型在一些实施例中是基于决策树创建的。相对于其他类型的数据模型(例如神经网络)而言，决策树模型的节点划分更清晰，且决策树模型具有更好的可解释性，例如基于决策树模型能够获取每个节点的数据状态和数据特征，从而便于提取各类中间数据以进一步研究、改善接入点的安全设置，而这些中间数据在其他类型的数据模型(例如神经网络)中往往是无法取得的。另一方面，决策树模型相对于其他类型的数据模型而言运行速度较快，可进一步提高对无线接入点的安全性的分析效率，从而提升用户使用体验。在一些实施例中，可基于梯度下降来迭代求解相关参数以获得安全风险模型以获得较佳的训练效率，例如基于Light GBM进行训练以获得该安全风险模型。

其中，在一些实施例中，上述连接互动信息包括以下的一项或者多项：

-关于所述第一用户设备所请求订阅内容的第一互动信息。例如(但非限制性地)，该第一互动信息基于用户通过第一用户设备浏览feed的行为确定，其中若第一用户设备所请求的feed记录数与第一用户设备所接收到的记录数之间存在差异，则该差异作为上述第一互动信息可用于检测目标无线接入点是否具有安全隐患。

-关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息。例如，网络设备通过上述目标无线接入点向第一用户设备推送过附近的一个或多个可用无线接入点，其中该可用无线接入点用于供第一用户设备访问网络；根据***推送的可用无线接入点(例如，网络设备向第一用户设备发送附近无线接入点提醒)和第一用户设备所接收到的可用无线接入点之间的差异(该差异作为上述第二互动信息)，可检测目标无线接入点是否具有安全隐患。在此，该第二互动信息需基于用户的历史行为提取。

-所述第一用户设备经所述目标无线接入点的历史网络访问信息。例如，第一用户设备经上述目标无线接入点向特定的网页发送请求，若第一用户设备基于该请求而接收到的内容与网页的真实大小有差异，则可判定该目标无线接入点具有安全隐患；在此，记录第一用户设备接收到的内容作为历史网络访问信息，该历史网络访问信息可用于检测目标无线接入点是否具有安全隐患。

-所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。在一些实施例中，第一用户设备的地理位置信息(经纬度信息)基于其内置的GPS定位模块获得。其中，第一用户设备的地理位置信息确定后，目标无线接入点的所处地理位置亦可随之而确定。该地理位置信息依赖于第一用户设备上报。

上述各项连接互动信息在上述第一用户设备和网络设备的互动过程中即可采集，可实现对无线接入点的安全隐患的批量检测，而无需单独检测每个无线接入点。其中，这些连接互动信息既可单独应用，也可组合应用；且本领域技术人员应能理解，以上所述的连接互动信息仅为举例而非对本申请的任何限定，其他现有的或今后可能出现的具体实施方式如能适用于本申请，也包含在本申请的保护范围内，并以应用的方式包含于此。

其中，在一些实施例中，上述网络设备还包括第一四模块14(未示出)。第一四模块14基于所述连接互动信息确定所述目标无线接入点的安全风险类型信息；随后第一三模块13向第二用户设备发送所述安全风险信息以及所述安全风险类型信息。该安全风险类型信息可供使用该第二用户设备的用户了解目标无线接入点所涉及的风险类型(包括但不限于连接该无线接入点的移动设备可能遭受DNS攻击、SSL攻击、ARP攻击等)，以便用户决定是否要继续连接该目标无线接入点，或供技术人员确定受攻击的无线接入点所遭受的攻击的类型，以研究和排除相应的安全风险(此时技术人员无需手动地反复排查各无线接入点的安全风险，大大提高了工作效率，也提高了网络的整体安全性)。

在以上所述的基于第一用户设备与目标无线接入点之间的互动过程的互动特征信息检测目标无线接入点的安全隐患之外，还可结合目标无线接入点自身的其他信息提高***的敏感性和检测结果的准确性。相应地，在一些实施例中，上述第一二模块12包括第一子模块12a和第三子模块12c(均未示出)，并可选地包括第二子模块12b(未示出)。其中第一子模块12a基于所述连接互动信息确定相应的互动特征信息；第二子模块12b基于所述目标无线接入点的接入点活动信息确定相应的接入点特征信息；第三子模块12c将所述互动特征信息、所述接入点特征信息、所述目标无线接入点的业务特征信息中的一项或若干项的组合应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。其中，所述业务特征信息是基于第一用户设备与所述无线接入点通信的业务数据信息确定的。在一些实施例中，上述接入点活动信息包括以下的一项或多项：

-接入点连接行为信息，例如目标无线接入点在某段时间内连接过的用户设备的标志信息、连接频率等；

-接入点日活行为信息，例如目标无线接入点的每日的数据传输历史信息；

-接入点扫描行为信息，例如目标无线接入点对周围用户设备的历史扫描记录；

-接入点类别信息。

在一些实施例中，为进一步优化对目标无线接入点的安全风险的分析结果的精度，用于分析目标无线接入点的特征还包括第一用户设备与无线接入点通信的业务数据信息。相应地，上述网络设备还包括第一五模块15(未示出)。第一五模块15基于第一用户设备与所述无线接入点通信的业务数据信息确定所述目标无线接入点的业务特征信息；随后上述子模块12c将所述互动特征信息、所述接入点特征信息以及所述业务特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。其中在一些实施例中，上述业务特征信息包括以下一项或多项：

-所述无线接入点对应的网关MAC地址信息；

-所述无线接入点对应的网关IP地址信息；

-所述无线接入点对应的子网掩码信息；

-所述第一用户设备的内网IP地址信息；

-所述第一用户设备的出口IP地址信息；

-所述第一用户设备访问目标地址所对应的数据包大小；

-与所述第一用户设备通信的服务器的IP地址信息。

在一些实施例中，可将所述互动特征信息、所述接入点特征信息、所述目标无线接入点的业务特征信息中的一项或若干项的组合应用于安全风险模型，以确定所述目标无线接入点的安全风险信息。

其中，基于上述业务特征信息，本申请可防范DNS、SSL、ARP等各类型的攻击。其中，在采集DNS、IP信息的情况下，若存在DNS劫持，(i)若确认有劫持的行为，但是未发现劫持的后果，即未发现有ip很明显不正确；(ii)确认有劫持的行为，并发现了有劫持的后果，即发现有ip很明显不正确。对于ARP攻击(伪造IP地址和MAC地址实现ARP欺骗)而言，其原理是网关的MAC地址被欺骗到攻击者的设备上，因此检测的重点在于如何检测到这个变化上，主要有两个方向：(i)若能保存下某台设备刚连上WiFi时的网关MAC地址，以这个地址作为基准，则当后续检测到网关MAC地址不是基准的网关MAC地址时，说明受到了ARP攻击；(ii)若刚开始未能保存网关MAC地址、后续检测的时候才去初始化该网关MAC地址，那(i)的方法将无法检测到攻击者，但是在攻击者的设备没有开启ARP防火墙的情况下，攻击者也暴露在网络中，此时在扫描周围网络后会发现攻击者的存在，并且攻击者的MAC地址和网关的MAC地址完全一致，但是二者的ip不同。对于SSL攻击而言，一种检测方式是，随机选取多个IP(例如9个)，向这9个IP发起TCP的握手，假如握手能够成功，说明不存在劫持，而握手不成功则存在劫持。判定握手不成功的一种方式是，在预设的一段时间(例如若干秒)内无响应则认定握手不成功。

在一些实施例中，网络设备向第二用户设备提供可供其连接以实现网络访问的一个或多个可用无线接入点，并同时提供者一个或多个可用无线接入点的安全风险信息，从而既可为操作第二用户设备的用户提供用于参考的安全风险信息以提高相应的网络连接的安全性，亦能在用户不需要了解该安全风险信息的时候避免对用户的正常操作造成干扰。相应地，上述第一三模块13根据第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息(例如，该候选接入点信息包括第二用户设备的***所扫描到的无线接入点的SSID/BSSID、MAC地址等信息)，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息(例如，包括但不限于接入点的名称、连接密码等)，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。例如，在获取上述候选接入点信息之后，网络设备再从候选接入点中选取第二可用无线接入点，并向第二用户设备推送该第二可用无线接入点，或者根据第二用户设备所发送的可用接入点请求向第二用户设备发送第二用户设备附近的第二可用无线接入点，例如这个/这些第二可用无线接入点是由其他用户分享的。在一些实施例中，上述候选接入点信息是由第二用户设备发送至网络设备的。

在一些实施例中，第二用户设备将候选接入点信息发送至网络设备，并向网络设备请求上述第二可用无线接入点，网络设备再基于该请求返回一个或多个第二可用无线接入点，从而第二用户设备无需持续上传候选接入点信息，以降低第二用户设备的功耗。相应地，上述网络设备还包括第一六模块16(未示出)。第一六模块16接收第二用户设备所发送的接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。随后第一三模块13根据所述第二用户设备的地理位置信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

在一些实施例中，所述连接互动信息包括所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。上述网络设备还包括第一七模块17(未示出)。第一七模块17基于所述第一用户设备的地理位置信息，确定所述目标无线接入点的地理位置信息，例如以第一用户设备的地理位置信息作为目标无线接入点的地理位置信息，或者基于第一用户设备和一个或多个其他用户设备对目标无线接入点进行更精准的定位(例如将包括第一用户设备在内的各设备所在位置所确定区域的中心作为目标无线接入点的所在位置，其中各设备均已与目标无线接入点建立通信连接)。

就以上提到的第一用户设备而言，与上述在网络设备端用于确定目标无线接入点的安全风险信息的方法相对应地，本申请还提供了一种用于确定目标无线接入点的安全风险信息的第一用户设备。参考图7，该第一用户设备包括第二一模块21和第二二模块22。第二一模块21获取所述第一用户设备与所述目标无线接入点的连接互动信息；第二二模块22经所述目标无线接入点向网络设备发送所述连接互动信息。在一些实施例中，所述网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险信息，并向第二用户设备发送所述安全风险信息。

在此，在一些实施例中，该连接互动信息在第一用户设备和目标无线接入点的通信过程中、或者在第一用户设备通过目标无线接入点访问网络的过程中产生，用于进一步提取目标无线接入点的行为特征，以判定目标无线接入点是否具有安全隐患；其与以上所述的连接互动信息的来源、内容、用于判断目标无线接入点的连接安全信息的方式等相同或基本相同，在此不予赘述，并以引用的方式包含于此。例如，在一些实施例中，该连接互动信息包括以下一项或多项：

-关于所述第一用户设备所请求订阅内容的第一互动信息。

-关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息。

-所述第一用户设备经所述目标无线接入点的历史网络访问信息。

-所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。

在一些实施例中，网络设备除向第二用户设备发送目标无线接入点的安全风险信息之外，还发送相应的安全风险类型信息；具体实施方式与以上所述的在第二用户设备端确定目标无线接入点的安全风险信息的实施方式中的相应记载相同或基本相同，不予赘述，并以引用的方式包含于此。

另一方面，对于欲连接目标无线接入点或欲获取目标无线接入点的链接安全信息的第二用户设备而言，该第二用户设备可根据其所扫描到的至少一个候选无线接入点的候选接入点信息向网络设备请求目标无线接入点的安全风险信息，以供相应的用户确认是否要将该第二用户设备连接至目标无线接入点，或确认是否需要在第二用户设备连接至该目标无线接入点时是否能够处理涉密内容。基于此，与上述用于确定目标无线接入点的安全风险信息的网络设备相对应地，本申请还提供了一种用于确定目标无线接入点的安全风险信息的第二用户设备。参考图8，该第二用户设备包括第三一模块31和第三二模块32。第三一模块31向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；在一些实施例中，所述候选接入点信息包含于第二用户设备所发送的关于其附近可用无线接入点的接入点请求中，或包含于第二用户设备所发送的关于目标无线接入点的连接安全信息的安全信息请求中。第三二模块32接收所述网络设备发送的目标无线接入点的安全风险信息。其中，所述安全风险信息是基于第一用户设备所发送的关于目标无线接入点的连接互动信息确定的。例如，在获取候选接入点信息之后，网络设备再向第二用户设备推送其附近可用的第二可用无线接入点，或者根据第二用户设备所发送的可用接入点请求向第二用户设备发送第二用户设备所扫描到的候选接入点中的第二可用无线接入点，例如这个/这些第二可用无线接入点是由其他用户分享的。在一些实施例中，上述候选接入点信息是由第二用户设备发送至网络设备的。

在此，所述目标无线接入点的安全风险信息的内容、获取方式等与以上各相关实施例中所记载的部分相同或基本相同，不予赘述，并以引用的方式包含于此。

在一些实施例中，上述第三二模块32接收所述网络设备发送的目标无线接入点的安全风险信息以及所述目标无线接入点的安全风险类型信息。具体实施方式与以上所述的在第二用户设备端确定目标无线接入点的安全风险信息的实施方式中的相应记载相同或基本相同，不予赘述，并以引用的方式包含于此。

在一些实施例中，上述第三二模块32接收所述网络设备发送的至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。在接收网络设备所发送的多个第二可用无线接入点的情况下，用户可基于各第二可用无线接入点的安全风险信息决定是否要将第二用户设备连接至某个第二可用无线接入点，从而保证第二用户设备的通信安全。

在一些实施例中，上述第三一模块31向网络设备发送接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。在一些实施例中，第二用户设备将上述候选接入点信息发送至网络设备，并向网络设备请求上述第二可用无线接入点，网络设备再基于该请求返回一个或多个第二可用无线接入点，从而第二用户设备无需持续上传其地理位置信息，以降低第二用户设备的功耗。

本申请还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机代码，当所述计算机代码被执行时，如前任一项所述的方法被执行。

本申请还提供了一种计算机程序产品，当所述计算机程序产品被计算机设备执行时，如前任一项所述的方法被执行。

本申请还提供了一种计算机设备，所述计算机设备包括：

一个或多个处理器；

存储器，用于存储一个或多个计算机程序；

当所述一个或多个计算机程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如前任一项所述的方法。

图9示出了可被用于实施本申请中所述的各个实施例的示例性***。

如图9所示，在一些实施例中，***100能够作为各所述实施例中的任意一个网络设备、第一用户设备或第二用户设备。在一些实施例中，***100可包括具有指令的一个或多个计算机可读介质(例如，***存储器或NVM/存储设备120)以及与该一个或多个计算机可读介质耦合并被配置为执行指令以实现模块从而执行本申请中所述的动作的一个或多个处理器(例如，(一个或多个)处理器105)。

对于一个实施例，***控制模块110可包括任意适当的接口控制器，以向(一个或多个)处理器105中的至少一个和/或与***控制模块110通信的任意适当的设备或组件提供任意适当的接口。

***控制模块110可包括存储器控制器模块130，以向***存储器115提供接口。存储器控制器模块130可以是硬件模块、软件模块和/或固件模块。

***存储器115可被用于例如为***100加载和存储数据和/或指令。对于一个实施例，***存储器115可包括任意适当的易失性存储器，例如，适当的DRAM。在一些实施例中，***存储器115可包括双倍数据速率类型四同步动态随机存取存储器(DDR4SDRAM)。

对于一个实施例，***控制模块110可包括一个或多个输入/输出(I/O)控制器，以向NVM/存储设备120及(一个或多个)通信接口125提供接口。

例如，NVM/存储设备120可被用于存储数据和/或指令。NVM/存储设备120可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(Hard Disk,HDD)、一个或多个光盘(CD)驱动器和/或一个或多个数字通用光盘(DVD)驱动器)。

NVM/存储设备120可包括在物理上作为***100被安装在其上的设备的一部分的存储资源，或者其可被该设备访问而不必作为该设备的一部分。例如，NVM/存储设备120可通过网络经由(一个或多个)通信接口125进行访问。

(一个或多个)通信接口125可为***100提供接口以通过一个或多个网络和/或与任意其他适当的设备通信。***100可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信。

对于一个实施例，(一个或多个)处理器105中的至少一个可与***控制模块110的一个或多个控制器(例如，存储器控制器模块130)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器105中的至少一个可与***控制模块110的一个或多个控制器的逻辑封装在一起以形成***级封装(SiP)。对于一个实施例，(一个或多个)处理器105中的至少一个可与***控制模块110的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器105中的至少一个可与***控制模块110的一个或多个控制器的逻辑集成在同一模具上以形成片上***(SoC)。

在各个实施例中，***100可以但不限于是：服务器、工作站、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中，***100可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，***100包括一个或多个摄像机、键盘、液晶显示器(LCD)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(ASIC)和扬声器。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

另外，本申请的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本申请的方法和/或技术方案。本领域技术人员应能理解，计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等，相应地，计算机程序指令被计算机执行的方式包括但不限于：该计算机直接执行该指令，或者该计算机编译该指令后再执行对应的编译后程序，或者该计算机读取并执行该指令，或者该计算机读取并安装该指令后再执行对应的安装后程序。在此，计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。

通信介质包括藉此包含例如计算机可读指令、数据结构、程序模块或其他数据的通信信号被从一个***传送到另一***的介质。通信介质可包括有导的传输介质(诸如电缆和线(例如，光纤、同轴等))和能传播能量波的无线(未有导的传输)介质，诸如声音、电磁、RF、微波和红外。计算机可读指令、数据结构、程序模块或其他数据可被体现为例如无线介质(诸如载波或诸如被体现为扩展频谱技术的一部分的类似机制)中的已调制数据信号。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。调制可以是模拟的、数字的或混合调制技术。

作为示例而非限制，计算机可读存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动的介质。例如，计算机可读存储介质包括，但不限于，易失性存储器，诸如随机存储器(RAM,DRAM,SRAM)；以及非易失性存储器，诸如闪存、各种只读存储器(ROM,PROM,EPROM,EEPROM)、磁性和铁磁/铁电存储器(MRAM,FeRAM)；以及磁性和光学存储设备(硬盘、磁带、CD、DVD)；或其它现在已知的介质或今后开发的能够存储供计算机***使用的计算机可读信息/数据。

在此，根据本申请的一个实施例包括一个装置，该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本申请的多个实施例的方法和/或技术方案。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

Claims (17)

1.一种在网络设备端用于确定目标无线接入点的安全风险信息的方法，其中，该方法包括：

接收第一用户设备经目标无线接入点所发送的连接互动信息；

基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

向第二用户设备发送所述安全风险信息；

其中，所述基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息，包括：

基于所述连接互动信息确定相应的互动特征信息；

将所述互动特征信息，和/或接入点特征信息，和/或所述目标无线接入点的业务特征信息，应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；其中，所述接入点特征信息是基于所述目标无线接入点的接入点活动信息确定的，所述业务特征信息是基于第一用户设备与所述目标无线接入点通信的业务数据信息确定的。

2.根据权利要求1所述的方法，其中，所述连接互动信息包括以下至少任一项：

关于所述第一用户设备所请求订阅内容的第一互动信息；

关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息；

所述第一用户设备经所述目标无线接入点的历史网络访问信息；

所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。

3.根据权利要求2所述的方法，其中，所述方法还包括：

基于所述连接互动信息确定所述目标无线接入点的安全风险类型信息；

所述向第二用户设备发送所述安全风险信息，包括：

向第二用户设备发送所述安全风险信息以及所述安全风险类型信息。

4.根据权利要求1所述的方法，其中，所述向第二用户设备发送所述安全风险信息，包括：

根据第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

5.根据权利要求4所述的方法，其中，所述方法在根据第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点之前还包括：

接收第二用户设备所发送的接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。

6.根据权利要求4或5所述的方法，其中，所述连接互动信息包括所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接；

所述方法还包括：

基于所述第一用户设备的地理位置信息，确定所述目标无线接入点的地理位置信息。

7.根据权利要求1所述的方法，其中，所述安全风险模型是基于决策树创建的。

8.一种在第一用户设备端用于确定目标无线接入点的安全风险信息的方法，其中，该方法包括：

获取所述第一用户设备与所述目标无线接入点的连接互动信息；

经所述目标无线接入点向网络设备发送所述连接互动信息；

其中，所述网络设备基于所述连接互动信息确定所述目标无线接入点的安全风险信息，并向第二用户设备发送所述安全风险信息，所述安全风险信息由所述网络设备将互动特征信息，和/或接入点特征信息，和/或所述目标无线接入点的业务特征信息应用于安全风险模型来确定，所述互动特征信息是基于所述连接互动信息确定的，所述接入点特征信息是基于所述目标无线接入点的接入点活动信息确定的，所述业务特征信息是基于第一用户设备与所述目标无线接入点通信的业务数据信息确定的。

9.根据权利要求8所述的方法，其中，所述连接互动信息包括以下至少任一项：

关于所述第一用户设备所请求订阅内容的第一互动信息；

关于所述第一用户设备所接收的第一可用无线接入点的第二互动信息；

所述第一用户设备经所述目标无线接入点的历史网络访问信息；

所述第一用户设备的地理位置信息，其中所述第一用户设备已与所述目标无线接入点建立通信连接。

10.一种在第二用户设备端用于确定目标无线接入点的安全风险信息的方法，其中，该方法包括：

向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；

接收所述网络设备发送的目标无线接入点的安全风险信息；

其中，所述安全风险信息是基于第一用户设备所发送的关于目标无线接入点的连接互动信息确定的，所述安全风险信息由所述网络设备将互动特征信息，和/或接入点特征信息，和/或所述目标无线接入点的业务特征信息应用于安全风险模型来确定，所述互动特征信息是基于所述连接互动信息确定的，所述接入点特征信息是基于所述目标无线接入点的接入点活动信息确定的，所述业务特征信息是基于第一用户设备与所述目标无线接入点通信的业务数据信息确定的。

11.根据权利要求10所述的方法，其中，所述接收所述网络设备发送的目标无线接入点的安全风险信息，包括：

接收所述网络设备发送的目标无线接入点的安全风险信息以及所述目标无线接入点的安全风险类型信息。

12.根据权利要求10所述的方法，其中，所述接收所述网络设备发送的目标无线接入点的安全风险信息，包括：

接收所述网络设备发送的至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

13.根据权利要求10所述的方法，其中，所述向网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息，包括：

向网络设备发送接入点信息请求，其中所述接入点信息请求包括所述第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息。

14.一种用于确定目标无线接入点的安全风险信息的方法，其中，该方法包括：

第一用户设备经目标无线接入点向网络设备发送连接互动信息；

所述网络设备接收所述连接互动信息，基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；

所述网络设备向第二用户设备发送所述安全风险信息；

其中，所述基于所述连接互动信息确定相应的互动特征信息，并将所述互动特征信息应用于安全风险模型，以确定所述目标无线接入点的安全风险信息，包括：

基于所述连接互动信息确定相应的互动特征信息；

将所述互动特征信息，和/或接入点特征信息，和/或所述目标无线接入点的业务特征信息，应用于安全风险模型，以确定所述目标无线接入点的安全风险信息；其中，所述接入点特征信息是基于所述目标无线接入点的接入点活动信息确定的，所述业务特征信息是基于第一用户设备与所述目标无线接入点通信的业务数据信息确定的。

15.根据权利要求14所述的方法，其中，所述方法还包括：

第二用户设备向所述网络设备发送第二用户设备所扫描到的至少一个候选无线接入点的候选接入点信息；

所述网络设备向第二用户设备发送所述安全风险信息，包括：

根据所述候选接入点信息，向所述第二用户设备发送至少一个第二可用无线接入点的接入点信息，以及每个第二可用无线接入点的安全风险信息，其中所述至少一个第二可用无线接入点包括所述目标无线接入点。

16.一种用于确定目标无线接入点的安全风险信息的设备，其中，该设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器执行根据权利要求1至13中任一项所述方法的操作。

17.一种存储指令的计算机可读介质，所述指令在被执行时使得***进行根据权利要求1至13中任一项所述方法的操作。

Images