CN117439824A

CN117439824A - 基于ai的智慧城市评价方法、系统、设备及存储介质

Info

Publication number: CN117439824A
Application number: CN202311764065.9A
Authority: CN
Inventors: 刘冰; 陈丽; 陈畅
Original assignee: Shandong University of Science and Technology
Current assignee: Shandong University of Science and Technology
Priority date: 2023-12-21
Filing date: 2023-12-21
Publication date: 2024-01-23
Anticipated expiration: 2043-12-21
Also published as: CN117439824B

Abstract

本申请涉及计算机技术领域，提供基于AI的智慧城市评价方法、系统、设备及存储介质，该方法包括：获取待评价智慧城市的目标网络服务；针对目标网络服务依赖的各目标依赖对象，确定目标依赖对象的至少一个依赖路由链路；针对存在至少一个当前风险路由节点的各依赖路由链路，确定依赖路由链路各当前风险路由节点的评估参数值；基于各目标依赖对象的各依赖路由链路的评估参数值，确定目标网络服务的第一脆弱性评分；基于所述第一脆弱性评分确定所述待评价智慧城市的安全等级。本申请可以准确地确定网络服务脆弱性，提高了智慧城市评价的准确性。

Description

基于AI的智慧城市评价方法、系统、设备及存储介质

技术领域

本申请涉及计算机技术领域，尤其涉及基于AI的智慧城市评价方法、系统、设备及存储介质。

背景技术

在智慧城市中，网络服务为评估智慧城市等级的重要因素之一。网络服务为通过计算机网络提供的各种功能和资源，包括各种形式的通信、数据存储、资源共享、应用程序访问等，网络服务本身存在一些固有的弱点，非授权用户利用这些弱点可对网络服务进行非法访问，从而导致网络服务的安全无法保证，因此需要对网络服务的脆弱性进行评估。相关技术中，通常是收集网络服务对应链路的历史数据，通过机器学习等技术对历史数据进行分析来评估网络服务的脆弱性。但上述相关技术中，需要依赖于网络服务对应链路的历史数据，而历史数据并不能完全代表网络服务对应链路的当前数据，导致不能准确地确定网络服务脆弱性，降低了智慧城市评价的准确性。

发明内容

针对现有技术存在的问题，本申请实施例提供基于AI的智慧城市评价方法、系统、设备及存储介质，旨在准确地确定网络服务脆弱性，提高智慧城市评价的准确性。

第一方面，本申请提供基于AI的智慧城市评价方法，包括：

获取待评价智慧城市的目标网络服务；

针对所述目标网络服务依赖的各目标依赖对象，确定所述目标依赖对象的至少一个依赖路由链路；所述目标依赖对象包括至少一个提供相同服务的依赖节点；

针对存在至少一个当前风险路由节点的各所述依赖路由链路，确定所述依赖路由链路各所述当前风险路由节点的评估参数值；所述当前风险路由节点为存在漏洞的路由节点；

基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分；

基于所述第一脆弱性评分确定所述待评价智慧城市的安全等级。

第二方面，本申请提供基于AI的智慧城市评价系统，包括：

获取单元，用于获取待评价智慧城市的目标网络服务；

第一确定单元，用于针对所述目标网络服务依赖的各目标依赖对象，确定所述目标依赖对象的至少一个依赖路由链路；所述目标依赖对象包括至少一个提供相同服务的依赖节点；

第二确定单元，用于针对存在至少一个当前风险路由节点的各所述依赖路由链路，确定所述依赖路由链路各所述当前风险路由节点的评估参数值；所述当前风险路由节点为存在漏洞的路由节点；

第三确定单元，用于基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分；

智慧城市评价模块，用于基于所述第一脆弱性评分确定所述待评价智慧城市的安全等级。

第三方面，本申请还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述基于AI的智慧城市评价方法。

第四方面，本申请还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述基于AI的智慧城市评价方法。

第五方面，本申请还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述基于AI的智慧城市评价方法。

本申请提供的基于AI的智慧城市评价方法、系统、设备及存储介质，针对目标网络服务依赖的各目标依赖对象，确定目标依赖对象的至少一个依赖路由链路，确定各依赖路由链路中至少一个当前风险节点的评估参数值，基于各目标依赖对象的各依赖路由链路的评估参数值确定目标网络服务的第一脆弱性评分。可知，本申请是基于各依赖路由链路中当前风险节点的评估参数值对目标网络服务的脆弱性进行确定的，由于各当前风险节点的评估参数值能够真实反映网络服务的脆弱性，因此可以准确地确定网络服务脆弱性，从而提高了智慧城市评价的准确性。

附图说明

为了更清楚地说明本申请或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例中提供的基于AI的智慧城市评价方法的流程示意图；

图2是本申请实施例中提供的域名过滤方法的流程示意图；

图3是本申请实施例中提供的域名过滤架构示意图之一；

图4是本申请实施例中提供的域名过滤架构示意图之二；

图5是本申请实施例提供的数据包处理模块初始化流程示意图；

图6是本申请实施例提供的DNS服务器返回数据包解析流程图；

图7是本申请实施例提供的基于AI的智慧城市评价系统的结构示意图；

图8是本申请提供的电子设备的实体结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请中的附图，对本申请中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

下面结合图1-图4描述本申请的基于AI的智慧城市评价方法。该基于AI的智慧城市评价方法的执行主体可以为终端、计算机、服务器等电子设备，也可以是设置在该电子设备中的基于AI的智慧城市评价系统，该基于AI的智慧城市评价系统可以通过软件、硬件或两者的结合来实现。

可选的，图1是本申请实施例中提供的基于AI的智慧城市评价方法的流程示意图，如图1所示，该基于AI的智慧城市评价方法包括以下步骤101至步骤105：

步骤101，获取待评价智慧城市的目标网络服务；

步骤102，针对所述目标网络服务依赖的各目标依赖对象，确定所述目标依赖对象的至少一个依赖路由链路。

其中，获取待评价智慧城市的目标网络服务，目标网络服务可以为所有网络服务中的任一网络服务，网络服务为通过计算机网络提供的各种功能和资源，包括各种形式的通信、数据存储、资源共享、应用程序访问等，例如，网络服务可以为任一网站等。依赖对象指网络服务所依赖的其他组件、资源或服务，以实现网络服务正常运行和提供所需功能的实体，如内容分发网络（Content Delivery Network，CDN）、域名解析服务（Domain NamesSystem，DNS）、邮件服务、服务器、数据库或者云服务等。

例如，网络服务为网站，则DNS域名解析服务为网站依赖的其中一个依赖对象。依赖路由链路是指在计算机网络中，用于转发数据包从源节点到目标节点的物理或逻辑连接，通常依赖于网络基础措施，如依赖路由链路由至少一个路由器和/或交换机组成，依赖路由链路中的各节点提供了网络连接和传输数据的基础。

示例地，收集目标网络服务运行时依赖的所有依赖对象，将所有依赖对象均确定为目标依赖对象，针对各目标依赖对象，统计目标依赖对象工作时经过的所有路由节点，所有路由节点组成依赖路由链路，目标依赖对象的依赖路由链路包括至少一条，具体需要基于实际部署进行统计，目标依赖对象的所有依赖路由链路组成目标依赖对象的依赖路由链路集。

在实际应用时，标依赖对象包括至少一个提供相同服务的依赖节点，需要将部署在不同位置的提供相同服务的依赖节点看作一个整体对象，即将部署在不同位置的提供相同服务的所有依赖节点作为一个整体目标依赖对象，在统计目标依赖对象的依赖路由链路时，是将各依赖节点的依赖路由链路均确定为目标依赖对象的依赖路由链路。

因此理解为，本申请实施例对整体的目标依赖对象的所有依赖路由链路进行脆弱性分析，而不是单独对一个依赖节点的依赖路由链路进行脆弱性分析，使得考虑的依赖路由链路更加全面，从而能够进一步提高脆弱性分析的准确性。

例如：网站依赖DNS解析服务，而DNS解析服务存在多个解析节点，所以在选择DNS解析服务作为目标依赖对象时，是选择所有提供DNS解析服务的解析节点作为一个整体的目标依赖对象，而不是仅选择其中一个解析节点作为目标依赖对象。因此，在本实施例中，对整体的目标依赖对象的所有依赖路由链路进行脆弱性分析，而不是单独对一个依赖节点的依赖路由链路进行脆弱性分析，使得考虑的依赖路由链路更加全面，从而能够进一步提高脆弱性分析的准确性。

步骤103，针对存在至少一个当前风险路由节点的各所述依赖路由链路，确定所述依赖路由链路各所述当前风险路由节点的评估参数值；所述当前风险路由节点为存在漏洞的路由节点。

其中，风险路由节点是指对应路由链路中存在各类脆弱性的节点设备，风险路由节点可以为路由器或者交换机等。存在的漏洞的风险路由节点例如可以为能够通过漏洞进行远程控制的路由节点，或者能够通过漏洞拒绝服务的路由节点等。

示例地，在确定目标依赖对象的所有依赖路由链路时，确定各依赖路由链路中是否包括当前风险路由节点，统计出存在至少一个当前风险路由节点的各依赖路由链路，存在至少一个当前风险路由节点的所有依赖路由链路组成目标依赖对象的依赖路由链路集，从目标依赖对象的依赖路由链路集中选择一个依赖路由链路进行链路脆弱性分析，即获取依赖路由链路当前包括的所有路由节点，确定所有路由节点中存在漏洞的路由节点，将存在漏洞的路由节点均确定为依赖路由链路的当前风险路由节点，并确定各当前风险路由节点的评估参数值，评估参数值可以包括当前风险节点的漏洞威胁程度和当前风险节点在依赖路由链路上距离目标网络服务的跳数距离等。

需要说明的是，在目标网络服务依赖的所有目标依赖对象的依赖路由链路中均不存在当前风险路由节点时，说明目标网络服务的脆弱性满足要求，说明目标网络服务为安全的网络服务。

步骤104、基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分。

步骤105，基于所述第一脆弱性评分确定所述待评价智慧城市的安全等级。

示例地，在确定依赖路由链路中各当前风险路由节点的评估参数值后，确定目标依赖对象的依赖路由链路集中是否还有其他依赖路由链路，若目标依赖对象的依赖路由链路集中还有其他依赖路由链路，则继续确定其他依赖路由链路中各当前风险路由节点的评估参数值；直至目标依赖对象的依赖路由链路集中的所有依赖路由链路均遍历完，则得到目标依赖对象的所有依赖路由链路中当前风险路由节点的评估参数值；再确定目标网络服务依赖的目标依赖对象是否遍历完成，若还有目标网络服务依赖的其他目标依赖对象，则继续确定其他目标依赖对象的所有依赖路由链路中当前风险路由节点的评估参数值，最终得到目标网络服务的各目标依赖对象的各依赖路由链路的评估参数值，进而分析各目标依赖对象的各依赖路由链路的评估参数值，以确定目标网络服务的第一脆弱性评分。

示例地，根据第一脆弱性评分确定待评价智慧城市的安全等级。

在一实施例中，将第一脆弱性评分与预设分数阈值进行大小比较，若第一脆弱性评分小于或者等于第一预设分数阈值，则待评价智慧城市的安全等级为高等级，第一脆弱性评分大于第一预设分数阈值且小于等于第二预设分数阈值，则待评价智慧城市的安全等级为中等级，第一脆弱性评分大于第二预设分数阈值，则待评价智慧城市的安全等级为低等级。

本申请提供针对目标网络服务依赖的各目标依赖对象，确定目标依赖对象的至少一个依赖路由链路，确定各依赖路由链路中至少一个当前风险节点的评估参数值，基于各目标依赖对象的各依赖路由链路的评估参数值确定目标网络服务的第一脆弱性评分。可知，本申请是基于各依赖路由链路中当前风险节点的评估参数值对目标网络服务的脆弱性进行确定的，由于各当前风险节点的评估参数值能够真实反映网络服务的脆弱性，因此可以准确地确定网络服务脆弱性，从而提高了智慧城市评价的准确性；另外，由于本申请是基于对网络服务的依赖对象的依赖路由链路的分析来确定网络服务的脆弱性，所以只要网络服务的依赖对象具有依赖路由链路，就可以基于本申请确定网络服务的脆弱性，从而使得本申请提供的基于AI的智慧城市评价方法能够适用于各种网络服务，适用范围广。

在一实施例中，上述步骤104基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分，具体可通过以下步骤实现：

步骤1041、基于所述目标依赖对象的各所述依赖路由链路的评估参数值，确定目标依赖对象的所有依赖路由链路的第二脆弱性评分。

其中，依赖路由链路的脆弱性是指依赖路由链路内部各个路由节点在面对外部压力、内部故障或漏洞攻击时容易出现问题或破坏的特性，外部压力是指人为对路由节点的破坏。

示例地，针对同一目标依赖对象，对目标依赖对象的各依赖路由链路的评估参数值进行分析，基于对评估参数值的分析确定对应依赖路由链路对目标网络服务的影响程度，进而基于各影响程度确定出目标依赖对象的所有依赖路由链路的第二脆弱性。

步骤1042、基于各所述目标依赖对象的所述第二脆弱性评分，确定所述目标网络服务的第一脆弱性评分。

示例地，按照与上述步骤1041同样的方法可以确定目标网络服务的各目标依赖对象的第二脆弱性评分，则可以将各第二脆弱性评分的平均值确定为目标网络服务的第一脆弱性评分。

在本实施例中，先确定同一目标依赖对象的所有依赖路由链路的第二脆弱性评分，再基于各目标依赖对象的第二脆弱性评分确定目标网络服务的第一脆弱性评分，考虑了各个单一依赖路由链路对目标网络服务的影响程度，从而提高了确定的第一脆弱性评分的准确性。

在一实施例中，上述步骤103中确定所述依赖路由链路各所述当前风险路由节点的评估参数值，具体可通过以下步骤实现：

步骤1031、确定所述当前风险路由节点的漏洞威胁程度，并确定所述当前风险路由节点在所述依赖路由链路上与所述目标网络服务的跳数距离。

示例地，在对路由节点进行漏洞风险检测时可以确定路由节点的漏洞威胁程度，所以可以确定每个当前风险路由节点的漏洞威胁程度，具体漏洞威胁程度可以基于表1所示的漏洞威胁评估标准来确定，例如，当前风险路由节点无需登录，就可以获取到系统操作权限，则该当前风险路由节点的漏洞威胁程度为严重。若进一步再确定当前风险路由节点在依赖路由链路上与目标网络服务的跳数距离；例如，目标网络服务与目标依赖对象之间依次经过路由节点1、路由节点2、路由节点3和路由节点4，路由节点1、路由节点2、路由节点3和路由节点4组成依赖路由链路，若路由节点2、路由节点3和路由节点4均为当前风险路由节点，则路由节点2与目标网络服务的跳数距离为2，路由节点3与目标网络服务的跳数距离为3，路由节点4与目标网络服务的跳数距离为4。

表1

漏洞威胁程度	漏洞描述
		严重	不需要登录，直接可以拿到系统操作权限或可通过权限提升拿到管理员权限，获取重要敏感文件和数据库数据，存在严重的逻辑漏洞等。
高危	需要登录，可获取重要敏感文件和数据库数据，能够垂直越权，影响应用服务正常运转的拒绝服务攻击（denial-of-service attack，DOS）或分布式拒绝服务攻击（Distributed Denial of Service，DDOS）等。
		中危	需要交互，可以获取一般的文件内容或数据库非重要数据等。
低危	轻微信息泄露，仅造成较低危害的各类漏洞，利用成本很高的漏洞等。

步骤1032、将所述当前风险路由节点的漏洞威胁程度和所述当前风险路由节点的跳数距离，确定为所述当前风险路由节点的评估参数值。

示例地，在得到当前风险节点的漏洞威胁程度和当前风险节点在依赖路由链路上与目标网络服务的跳数距离后，将漏洞威胁程度和跳数距离均确定为当前风险路由节点的评估参数值；由此可以得到各当前风险路由节点的评估参数值。

在本实施例中，将当前风险节点的漏洞威胁程度和跳数距离均确定为评估参数值，考虑到了漏洞威胁程度和跳数距离对脆弱性评估的重要性，使得基于评估参数值确定的脆弱性评分更加准确。

在一实施例中，上述步骤1041基于所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标依赖对象的所有依赖路由链路的第二脆弱性评分，具体可通过以下步骤实现：

基于所述目标依赖对象的所述依赖路由链路的数量、各所述依赖路由链路的漏洞威胁程度和跳数距离，确定所述目标依赖对象的所有依赖路由链路的所述第二脆弱性评分。

具体地，基于以下公式（1）确定所述目标依赖对象的所有依赖路由链路的所述第二脆弱性评分。

（1）；

其中，表示所述第二脆弱性评分，/>表示所述目标依赖对象的第/>条依赖路由链路，/>表示所述第/>条依赖路由链路的漏洞威胁程度，/>表示所述第/>条依赖路由链路的第个当前风险路由节点，/>表示当前风险路由节点/>在所述第/>条依赖路由链路上距离所述目标网络服务的跳数距离，/>表示所述目标依赖对象的所述依赖路由链路的数量。

示例地，在公式（1）中除以N用于表征单一依赖路由链路对目标网络服务的影响程度，例如，目标网络服务依赖的依赖路由链路有五条，则每条依赖路由链路对目标网络服务的影响程度为1/5；跳数距离用于表征目标网络服务对存在风险路由节点的依赖路由链路的依赖程度。

在本实施例中，通过目标依赖对象的依赖路由链路的数量表征单一依赖路由链路对目标网络服务的影响程度，并通过跳数距离表征目标网络服务对存在风险路由节点的依赖路由链路的依赖程度，进而提高了基于目标依赖对象的依赖路由链路的数量、各依赖路由链路的漏洞威胁程度和跳数距离确定的第二脆弱性评分的准确性。

在一实施例中，上述步骤1042基于各所述目标依赖对象的所述第二脆弱性评分，确定所述目标网络服务的第一脆弱性评分，具体可通过以下步骤实现：

从权重表中获取各所述目标依赖对象对于所述目标网络服务的目标重要性权重，所述权重表中存储有各依赖对象对于各网络服务的重要性权重；

基于各所述目标重要性权重、各所述第二脆弱性评分和所述目标依赖对象的数量，确定所述目标网络服务的所述第一脆弱性评分。

示例地，预先评估各个依赖对象对于各网络服务的重要性程度，并将各个依赖对象对于各网络服务的重要性程度存储在权重表中，即权重表中存储有依赖对象、网络服务和重要性权重三者之间的对应关系。进而可以在权重表中查找到与目标网络服务和目标依赖对象的目标重要性权重，即获取到各目标依赖对象对于目标网络服务的目标重要性权重，再基于公式（2）确定目标网络服务的第一脆弱性评分。

（2）；

其中，表示所述第一脆弱性评分，表示第个目标依赖对象的目标重要性权重，目标重要性权重用于表征的目标依赖对象对于目标网络服务的依赖程度，表示第个目标依赖对象的第二脆弱性评分，表示所述目标依赖对象的数量。

在本实施例中，基于各目标依赖对象对于目标网络服务的目标重要性权重、各目标依赖对象的第二脆弱性评分和目标依赖对象的数量，确定目标网络服务的第一脆弱性评分，由于在确定第一脆弱性评分时考虑的因素较为全面，从而提高了第一脆弱性评分确定的准确性。

在一实施例中，确定所述目标依赖对象的步骤包括：

步骤a、获取所述目标网络服务依赖的所有依赖对象。

示例地，收集目标网络服务运行时依赖的所有依赖对象。

步骤b、从所有所述依赖对象中确定与所述目标网络服务属于不同设备的至少一个候选依赖对象。

步骤c、将各所述候选依赖对象均确定为所述目标依赖对象。

示例地，在收集到目标网络服务运行时依赖的所有依赖对象时，从收集的所有依赖对象中筛选出非本地的候选依赖对象，将各非本地的候选依赖对象均确定为目标依赖对象。具体地，目标依赖对象所在的设备需要与目标网络服务所在的设备不同。

例如，需要对一个网站所依赖的对象集进行收集，其中，网站本身就是网络服务，这个网站所依赖的所有组件、资源或服务等，都属于网络服务所依赖的对象集；非本地的候选依赖对象是指这个网站所有的组件、远程资源或远程服务等。例如，这个网站用数据库去储存数据，那么这个数据库就是网站的依赖对象，若这个数据库位于网站本身的服务器中，则数据库不属于非本地的候选依赖对象。但若这个数据库是放在其他设备中，如云端，则这个数据库就是非本地的候选依赖对象，也就是需要收集的目标。

在本实施例中，从所有依赖对象中确定与目标网络服务属于不同设备的至少一个候选依赖对象，将将各候选依赖对象均确定为目标依赖对象，实现了对所有依赖对象的筛选，避免对与目标网络服务属于相同设备的依赖对象进行分析，从而降低了设备的分析工作量，提高了分析效率。

随着智慧城市数字化转型的加速与云原生技术的大规模应用，智慧城市数据中心内部的应用服务数量快速上升。通常，应用服务以域名的方式对外提供访问入口，域名作为逻辑地址对访问者屏蔽了应用服务的物理IP，使得应用服务IP的变化对访问者透明。

当位于数据中心内部DMZ（Demilitarized Zone，隔离区）的应用访问位于内网的应用，或访问公网业务时，需要通过防火墙。目前在数据中心大规模应用的防火墙主要分为以下两种：

一是网络防火墙，工作在OSI模型的网络层和传输层，针对TCP/IP协议数据包的IP地址和端口号进行过滤和转发。

二是应用防火墙，工作在OSI模型的应用层，能够识别和过滤多种应用协议的数据包，如HTTP、FTP、SMTP等。在云原生环境下，被访问业务（目的端）的IP地址会随频繁的弹性扩缩与资源调度发生变化，与此同时，域名解析也会随之变化。原有基于网络层和传输层的防火墙策略因目的端IP变化不再适用，需要根据变化后的目的端IP重新配置防火墙策略。基于应用层的应用防火墙可以通过解析数据包获取业务域名信息，根据设置的策略信息进行过滤。

当前对基于域名的防火墙过滤方案存在如下问题：

基于网络层和传输层的网络防火墙只能对数据包的 IP 地址和端口号进行过滤，不能直接过滤域名，当目的端IP发生变化时无法实时更新防火墙策略，难以适应云原生技术条件下应用实时调度导致业务IP频繁变化的特点；

基于应用层的应用防火墙可以根据域名信息对数据包进行过滤，但需要根据OSI协议模型对每个业务数据的应用层信息进行解析和分析，性能开销大，过滤效率低，硬件成本高，配置规则复杂，无法适应当前数据中心业务多、网络流量大的特点。

针对上述问题，本申请实施例需要进行域名过滤，参照图2，图2是本申请实施例中提供的域名过滤方法的流程示意图，具体包括：

步骤201、对DNS服务器返回数据包进行解析，得到DNS服务器IP以及至少一个目的端域名与IP地址的映射关系后，计算各所述映射关系的哈希值。

此处，DNS服务器是用于解析域名，返回的IP地址的服务器，使用请求/应答模型，客户端发送请求数据包，DNS服务器解析后返回应答的数据包，DNS服务器返回数据包即为DNS服务器进行域名解析后返回应答的数据包。

此处，目的端域名即需要进行域名解析的域名，一个域名通常对应关联多个IP地址，DNS服务器返回数据包中相应记载有多个记录，每个记录包含一个目的端域名与IP地址的映射关系。

此处，一个目的端域名与IP地址的映射关系的哈希（Hash）值，其中，表示目的端域名，表示IP地址。采用的哈希函数不限。

步骤202、当所述DNS服务器IP是受信任的地址时，将各所述哈希值分别与预存哈希值进行比对，所述预存哈希值包括一个或多个与所述目的端域名相关联的映射关系的哈希值。

此处，当所述DNS服务器IP不是受信任的地址时，丢弃该DNS服务器IP的数据，以确保数据来自合法的DNS服务器。

步骤203、若所述哈希值与所述预存哈希值不匹配，则存储所述哈希值的映射关系，使用与所述目的端域名相关联的IP地址替换防火墙过滤规则中的所述目的端域名后，基于所述相关联的IP地址进行域名过滤。

此处，使用IP地址替换配置的防火墙过滤规则中的域名，将基于域名的过滤规则转换为可被网络防火墙识别的基于IP的过滤规则。

本申请实施例基于网络防火墙实现对业务域名的动态过滤，根据对DNS服务器返回数据包的解析结果，利用目的端域名与IP地址的映射关系，实现对网络防火墙过滤规则进行实时动态调整。

可选的，参照图3，图3是本申请实施例中提供的域名过滤架构示意图之一。在可选的实施例中，本申请涉及的域名过滤整体架构由数据处理平面和策略管理平面构成。

数据处理平面包括数据包处理模块，基于DPDK技术多线程并行处理模式，绕开操作系统内核直接在用户态完成对数据中心交换机镜像流量的高速处理，包括获取并筛选DNS服务器返回数据包、解析数据包DNS返回信息，转发解析结果。图4是本申请实施例中提供的域名过滤架构示意图之二，数据包处理模块使用如图4所示的架构，完成对所在服务器CPU、网卡等硬件的初始化以及流量数据包的接收、处理与发送。

可选的，参照图3，策略管理平面包括数据校验模块、策略管理模块、缓存数据库与策略下发模块：

数据校验模块基于数据处理平面对DNS服务器返回数据包的解析结果，校验返回数据包的合法性，并判断目的端域名与IP地址的映射关系是否发生变化；

策略管理模块根据实时获取的目的端域名与IP地址的映射关系，动态生成并更新防火墙策略，同时提供交互入口，满足数据中心安全管理人员对策略的配置需求；

策略下发模块对接具体的防火墙API或命令行工具，实现策略的下发；

缓存数据库用于存储防火墙策略信息、域名与IP地址的映射关系信息等关键数据，提供对这些数据的快速访问能力。

为便于理解，下述各实施例基于该架构进行说明。

在可选的实施例中，所述存储所述哈希值的映射关系包括存储所述目的端域名与所述哈希值的IP地址的映射关系、存储所述哈希值，以及将所述哈希值的映射关系的生存时间更新为当前时间；

在将各所述哈希值分别与预存哈希值进行比对之后，还包括：

若所述哈希值与所述预存哈希值相匹配，则将所述哈希值的映射关系的生存时间更新为所述当前时间。

本申请实施例在解析到目的端域名与IP地址的映射关系后，无论映射关系是否有更新，都会更新映射关系的生存时间，为后续映射关系的更改提供依据。

进一步地，当映射关系的生存时间超过预设期限阈值时，删除所述映射关系，使用与所述目的端域名相关联的IP地址替换所述防火墙过滤规则中的所述目的端域名后，基于所述相关联的IP地址进行域名过滤。

此处，当映射关系的生存时间超过设置的规定期限时，删除该条映射关系记录，使用IP地址替换配置的防火墙过滤规则中的目的端域名，将基于域名的过滤规则转换为可被网络防火墙识别的基于IP的过滤规则。

此处，可以通过设定映射关系最长未更新时间，例如，设置最长未更新时间为30天，若当前日期为2023年11月15日，则的规定期限为2023年10月15日，若某一映射关系的生存时间为2023年10月14日，则删除该映射关系后，查询对应目的端域名的其他映射关系后，使用查询到的IP地址替换防火墙过滤规则中的域名，基于这些IP地址进行域名过滤。

本申请实施例删除超过规定期限的映射关系，将基于域名的过滤规则转换为基于IP的过滤规则，从而在目的端IP变化时对网络防火墙策略的实时动态更新。

基于上述任一实施例，在所述解析DNS服务器返回数据包，得到DNS服务器IP以及一个或多个目的端域名与IP地址的映射关系之前，还包括：

获取CPU信息队列和网卡信息队列，所述CPU信息队列包括多个CPU的CPU唯一标识，所述网卡信息队列包括多张网卡的网卡唯一标识；

将多个解析线程分别绑定至所述CPU信息队列；

对所述多个CPU进行分组，得到多个CPU组，一个CPU组关联一张网卡；

基于数据包记载的协议和目标接收端口，筛选出DNS服务器返回数据包后，将所述DNS服务器返回数据包转发至的解析线程。

图5是本申请实施例提供的数据包处理模块初始化流程示意图，如图5所示，数据包处理模块硬件初始化流程如下：

将高速数据包处理模块所在服务器的多张网卡通过链路聚合的方式连接至交换机，配置交换机端口镜像，将进入防火墙的数据包均衡转发至服务器的多张网卡；

通过DPDK（Data Plane Development Kit，数据平面开发套件）基础环境抽象层函数获取所在服务器的物理设备，包括：服务器的CPU物理核心数量与CPU_ID信息队列（CPU信息队列），网卡数量与网卡ID信息队列（网卡信息队列）；

初始化数据处理模块的主线程，并将主线程与解析线程（用于解析DNS服务器返回数据包）依次绑定至CPU队列；

启用并配置为CPU预留的操作系统内存大页。通过DPDK获取与大页相关的信息，初始化内存管理系统，并建立内存环形缓冲区管理入口；

将服务器的个CPU分为组，每组的CPU数量为

，1个CPU组关联1张网卡；

通过建立的环形缓冲区，初始化每张网卡的数据包接收队列Rx与数据包发送队列 Tx，第张网卡设置个Rx队列和Tx队列用于接收和发送数据包，每个Rx队列和Tx队列分别绑定1个CPU组内的1个CPU；

初始化网卡的RSS（Receive Side Scaling，接收端缩放）负载均衡机制，为每张网卡配置RETA（Redirection Table，重定向表）索引队列，网卡可根据 RETA索引将数据包负载均衡至Rx接收队列；

通过DPDK网卡配置API，设置数据过滤线程，筛选DNS服务器返回数据包，DNS服务器返回数据包使用UDP协议和固定端口，将接收数据包的协议和端口DEST_Port（目标接收端口）作为输入二元组，进行Hash计算和比对，保留结果相同的数据包即可筛选出DNS服务器返回数据包；

启动网卡，通过PDM（Poll Mode Driver，轮询模式驱动）提供的轮询驱动API循环读取Rx队列数据转发至对应CPU的解析线程，初始化完成。

本申请实施例基于DPDK技术，充分利用当前服务器多核多网卡的特点，将CPU与网卡合理分组绑定，并设置解析线程对应CPU的亲和性，优化了线程执行时的资源配置，提升线程执行效率，从而有效应对数据中心应用服务多、网络流量大的场景。

在可选的实施例中，所述DNS服务器返回数据包是基于如下步骤进行筛选的：

将接收数据包的协议和目标接收端口作为输入二元组，进行哈希计算，得到散列值；

若所述散列值与预存散列值一致，则确定所述接收数据包是DNS服务器返回数据包。

本申请实施例基于数据包的协议和端口，筛选出DNS服务器返回数据包，以便后续对无举报进行解析，更新映射关系信息。

基于上述实施例，所述解析DNS服务器返回数据包，得到DNS服务器IP以及一个或多个目的端域名与IP地址的映射关系，包括：

读取所述DNS服务器返回数据包的三层数据包；

将所述三层数据包中的源IP信息作为所述DNS服务器IP；

对所述三层数据包中的数据部分进行解析，得到一个或多个所述目的端域名与IP地址的映射关系。

根据网络协议的分层模型，数据包通常分为首部和数据部分。根据TCP/IP模型对DNS服务器返回数据包进行分层解析，在应用层包含DNS服务器对目的端域名的解析信息，通过该信息即可获取目的端域名与IP地址的实时映射关系。

图6是本申请实施例提供的DNS服务器返回数据包解析流程图，如图6所示，根据DNS服务器返回数据包，设置缓冲区函数指针，并初始化指针偏移量为二层数据包（MAC帧）首部固定字段长度。根据偏移量移动指针至数据部分，读取MAC帧数据部分即三层数据包（IP数据包）；

根据获取的IP数据包，获取首部的源IP信息SRC_IP作为DNS服务器IP，并读取IP数据包的数据部分信息，可以通过DPDK函数获取首部的源IP信息；

根据获取的IP数据包的数据部分DNS数据，对DNS报文进行解析，确定响应头部中的Answer回答区域的起始位置并读取Answer区域中的记录，每个记录包含一个目的端域名与IP地址的映射关系；

根据解析到的数据，对DNS服务器IP、目的端域名与IP地址映射关系进行标准化处理，如按照Json格式进行标准化处理；

将格式化后的数据发送至Tx队列，通过网卡转发至策略管理平面的数据校验模块。

本申请实施例数据包解析程序运行于操作系统用户态，绕过了内核协议栈，提升了处理效率，从而有效应对数据中心应用服务多、网络流量大的场景。

数据校验模块用于进行数据校验，主要包括如三个子过程：

（1）解析收到的Json数据，并计算每个目的端域名与IP地址映射关系的Hash值；

（2）读取缓存数据库中由受信任的DNS服务器IP列表，并与（1）解析得到的DNS服务器IP进行对比，比对成功则进入下一过程，否则丢弃，以确保数据来自合法的DNS服务器；

（3）读取缓存数据库目的端域名和IP地址映射数据信息中的Hash值，并与（1）中的进行比对，判断Hash值是否发生变化，若未发生变化，则刷新对应映射关系的生存时间为当前时间，否则新增（1）中的目的端域名与IP地址映射关系并刷新对应映射关系的生存时间为当前时间。

缓存数据库主要包括三种数据结构，用于存储：受信任的DNS服务器列表、防火墙策略信息，以及目的端域名与IP地址实时的映射关系：

受信任的DNS服务器列表是由管理员定义的合法DNS服务器列表；防火墙策略信息是由数据中心管理员定义的基于域名的防火墙过滤策略，包括但不限于策略ID、源IP、源端口、目的域名、目的端口、策略行为等；目的端域名与IP地址的映射关系包括目的端域名与对应应用服务IP地址的映射关系、映射关系的生存时间，以及映射关系的Hash值。

策略管理模块用于进行策略配置管理，策略配置管理流程包括：

（1）策略配置：配置受信任的DNS服务器列表与基于域名的防火墙过滤规则；

（2）策略转换：查询目的端域名与IP地址映射关系，使用IP地址替换（1）中配置的防火墙过滤规则中的域名，将基于域名的过滤规则转换为可被网络防火墙识别的基于IP的过滤规则；

（3）策略更新：监听缓存数据库中防火墙策略信息的变化以及域名和IP地址映射信息的变化，当防火墙策略信息发生变化或有新增的域名与IP地址映射记录时，则调用策略转换过程，生成并下发基于IP的过滤规则。判断域名与IP地址映射关系信息中的生存时间，如果超过设置的规定期限，删除该条映射关系记录，并调用策略转换过程，生成并下发基于IP的过滤规则。策略下发模块将更新的基于IP的防火墙策略下发至具体的网络防火墙。

综上，通过抓取客户端的DNS解析信息，动态生成并下发网络防火墙策略，解决了数据中心大流量场景下网络防火墙无法直接对域名进行过滤、应用防火墙过滤效率低的问题；通过合理的硬件初始化方法，充分利用服务器多核多网卡的硬件条件，实现对经过防火墙的所有DNS服务器返回数据包的快速获取、过滤与解析；通过将基于域名的防火墙策略转换为基于IP的防火墙策略，实现了在目的端IP变化时对网络防火墙策略的实时动态更新。此外，本申请基于网络防火墙实现了对域名的动态安全过滤。相较于应用层防火墙对全量数据包的应用层信息的解封装与分析，效率更高，成本更低，系统复杂度更小，同时，采用端口镜像的旁路模式，在涉及实现方法执行异常时，不影响原有具体业务的运行，保证了数据中心网络的独立性和可用性。

下面对本申请提供的基于AI的智慧城市评价系统进行描述，下文描述的基于AI的智慧城市评价系统与上文描述的基于AI的智慧城市评价方法可相互对应参照。

图7是本申请实施例提供的基于AI的智慧城市评价系统的结构示意图，如图7所示，该基于AI的智慧城市评价系统包括：

获取单元701，用于获取待评价智慧城市的目标网络服务；

第一确定单元702，用于针对所述目标网络服务依赖的各目标依赖对象，确定所述目标依赖对象的至少一个依赖路由链路；所述目标依赖对象包括至少一个提供相同服务的依赖节点；

第二确定单元703，用于针对各所述依赖路由链路，确定所述依赖路由链路中至少一个当前风险路由节点的评估参数值；所述当前风险路由节点为存在漏洞的路由节点；

第三确定单元704，用于基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分；

智慧城市评价模块705，用于基于所述第一脆弱性评分确定所述待评价智慧城市的安全等级。

本申请实施例针对目标网络服务依赖的各目标依赖对象，确定目标依赖对象的至少一个依赖路由链路，确定各依赖路由链路中至少一个当前风险节点的评估参数值，基于各目标依赖对象的各依赖路由链路的评估参数值确定目标网络服务的第一脆弱性评分。可知，本申请是基于各依赖路由链路中当前风险节点的评估参数值对目标网络服务的脆弱性进行确定的，由于各当前风险节点的评估参数值能够真实反映网络服务的脆弱性，因此可以准确地确定网络服务脆弱性，从而提高了智慧城市评价的准确性。

图8是本申请实施例提供的电子设备的实体结构示意图，如图8所示，该电子设备可以包括：处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行基于AI的智慧城市评价方法，该方法包括：

获取待评价智慧城市的目标网络服务；

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

另一方面，本申请还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的基于AI的智慧城市评价方法，该方法包括：

获取待评价智慧城市的目标网络服务；

又一方面，本申请还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的基于AI的智慧城市评价方法，该方法包括：

获取待评价智慧城市的目标网络服务；

以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims

1.基于AI的智慧城市评价方法，其特征在于，包括：

获取待评价智慧城市的目标网络服务；

2.根据权利要求1所述的基于AI的智慧城市评价方法，其特征在于，所述基于各所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标网络服务的第一脆弱性评分，包括：

基于所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标依赖对象的所有依赖路由链路的第二脆弱性评分；

基于各所述目标依赖对象的所述第二脆弱性评分，确定所述目标网络服务的第一脆弱性评分；

相应地，所述基于所述目标依赖对象的各所述依赖路由链路的评估参数值，确定所述目标依赖对象的所有依赖路由链路的第二脆弱性评分，包括：

基于所述目标依赖对象的所述依赖路由链路的数量、各所述依赖路由链路的漏洞威胁程度和跳数距离，确定所述目标依赖对象的所有依赖路由链路的所述第二脆弱性评分；

所述基于各所述目标依赖对象的所述第二脆弱性评分，确定所述目标网络服务的第一脆弱性评分，包括：

3.根据权利要求1所述的基于AI的智慧城市评价方法，其特征在于，确定所述目标依赖对象的步骤包括：

获取所述目标网络服务依赖的所有依赖对象；

从所有所述依赖对象中确定与所述目标网络服务属于不同设备的至少一个候选依赖对象；

将各所述候选依赖对象均确定为所述目标依赖对象。

4.根据权利要求1所述的基于AI的智慧城市评价方法，其特征在于，所述确定所述依赖路由链路各所述当前风险路由节点的评估参数值，包括：

针对各所述当前风险路由节点，确定所述当前风险路由节点的漏洞威胁程度，并确定所述当前风险路由节点在所述依赖路由链路上与所述目标网络服务的跳数距离；

将所述当前风险路由节点的漏洞威胁程度和跳数距离，确定为所述当前风险路由节点的评估参数值。

5.根据权利要求1至4任一项所述的基于AI的智慧城市评价方法，其特征在于，所述基于AI的智慧城市评价方法还包括：

对DNS服务器返回数据包进行解析，得到DNS服务器IP以及至少一个目的端域名与IP地址的映射关系后，计算各所述映射关系的哈希值；

当所述DNS服务器IP是受信任的地址时，将各所述哈希值分别与预存哈希值进行比对；所述预存哈希值包括一个或多个与所述目的端域名相关联的映射关系的哈希值；

若所述哈希值与所述预存哈希值不匹配，则存储所述哈希值的映射关系，使用与所述目的端域名相关联的IP地址替换防火墙过滤规则中的所述目的端域名后，基于所述相关联的IP地址进行域名过滤。

6.根据权利要求5所述的基于AI的智慧城市评价方法，其特征在于，所述存储所述哈希值的映射关系，包括：

存储所述目的端域名与所述哈希值的IP地址的映射关系、所述哈希值，以及将所述哈希值的映射关系的生存时间更新为当前时间；

若所述哈希值与所述预存哈希值相匹配，则将所述哈希值的映射关系的生存时间更新为所述当前时间；

若所述映射关系的生存时间超过预设期限阈值，删除所述映射关系，使用与所述目的端域名相关联的IP地址替换所述防火墙过滤规则中的所述目的端域名后，基于所述相关联的IP地址进行域名过滤。

7.根据权利要求5所述的基于AI的智慧城市评价方法，其特征在于，在对DNS服务器返回数据包进行解析，得到DNS服务器IP以及至少一个目的端域名与IP地址的映射关系之前，还包括：

获取CPU信息队列和网卡信息队列；CPU信息队列包括多个CPU的CPU唯一标识，网卡信息队列包括多张网卡的网卡唯一标识；

将多个解析线程分别绑定至所述CPU信息队列；

基于数据包记载的协议和目标接收端口，筛选出DNS服务器返回数据包后，将所述DNS服务器返回数据包转发至的解析线程；

相应地，DNS服务器返回数据包是基于如下步骤进行筛选的：

8.基于AI的智慧城市评价系统，其特征在于，包括：

获取单元，用于获取待评价智慧城市的目标网络服务；

第二确定单元，用于针对各所述依赖路由链路，确定所述依赖路由链路中至少一个当前风险路由节点的评估参数值；所述当前风险路由节点为存在漏洞的路由节点；

9.一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述基于AI的智慧城市评价方法。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述基于AI的智慧城市评价方法。