一种医疗网络的安全监控方法和系统技术方案

本发明专利技术公开了基于医疗网络的安全监控方法和系统，包括自动识别当前医疗网络上连接的所有设备和设备类型，并提供实时的运行状态；对医疗网络上的每台设备数据交换的跟踪，分析确定每个连接设备的正常行为模式；实时分析判断异常的控制指令，根据需要实时隔离威胁并发送告警信息到网络管理平台。实现方法需要的设备有安全监视设备处理网络流量提取有用信息；远程服务器分析来自安全监视设备的数据并利用机器学习算法发现识别医疗网络上的设备，根据采集的信息对设备进行分类、确定每一台设备正确的行为模式，检测异常行为以及完成对异常行为的后处理。

Safety monitoring method and system for medical network

The invention discloses a method and system for medical safety monitoring based on network, including the automatic recognition of the current medical network to connect all the equipment and equipment types, and provide real-time running state; for each device on the network of medical data exchange tracking, analysis model of normal behavior is determined for each connected device; real-time analysis to determine the control instruction the exception, according to the needs of Real-time Threat and isolation to send alarm information to the network management platform. The method requires equipment safety monitoring equipment to handle network traffic to extract useful information from the remote server; analysis of safety monitoring data and using machine learning algorithms to identify medical devices on the network, according to the information collected to determine each equipment correct behavior of equipment for the classification and detection of abnormal behavior and the completion of the the abnormal behavior of the postprocessing.

【技术实现步骤摘要】
一种医疗网络的安全监控方法和系统
本专利技术涉及医疗网络安全防护
，特别涉及一种医疗网络的安全监控方法和系统。
技术介绍
针对医疗系统的网络攻击正在变得越来越严峻，网络黑客正在不断关注医疗行业并且他们在比较了银行、工业和零售等行业后认为医疗行业是容易突破的目标。有越来越多的医院在过去的几年中成为网络犯罪的目标，其中有相当一部分是对联网的医疗设备的攻击，而这些联网的医疗设备存在者大量的安全隐患。大多数联网的医疗设备像输液泵、核磁共振设备、X光机、葡萄糖测定仪、心脏监视器、血气分析仪等等，安全研究人员发现医疗设备充斥各种可能被网络罪犯以不同方式利用的漏洞。一般的电脑和服务器通常运行这杀毒和其它安全软件，而医疗设备由于其特殊性和局限性不能采取与通用电脑或服务器那样的解决方案，当医疗设备被植入恶意软件中，就可以盗窃医疗信息，例如所谓的医疗设备劫持就是攻击方式之一。一旦医疗设备被入侵，病患的健康，安全和隐私都面临巨大的风险。传统的安全解决方案是建立在已知恶意软件的特性和行为基础之上的，保护的是性质相同的IT网络，对于今天不断增长的，由类型复杂缺乏标准化的特定用途医疗设施组成的网络，传统的网络被动防御的方法并不奏效。急需一种新的安全保护的替代方案。
技术实现思路
为此，本专利技术提供了一种医疗网络的安全监控方法和系统，用于解决医疗网络的安全隐患，通过对医疗网络上传输的数据进行分析，发现网上所有在线的医疗设备，并根据这些网络传输数据确定在线医疗设备的正常行为模式，一旦在网络传输指令中发现异常的控制指令或信息，立即存档并生成告警信息发送至医疗网络管理平台。为达到上述目的，本专利技术的技术方案是这样实现的：在现有医疗网络的每一个子网的交换机上设置镜像端口，将通过该交换机的所有网络数据映射到该镜像端口，将安全监控设备连接在镜像端口上，所有的安全监控设备均通过VPN通道与远程的服务器或云服务器相连。安全监控设备获得所在子网的网络数据后，依照所在子网的网络通信协议对网络数据进行深度包解析，并将解析后的元数据通过VPN信道发送给远程服务器。远程服务器对接收到的数据进行聚类分析，确定对应特定IP地址的设备类型和配置，通过这样的方式发现全部安全监视设备所在子网的在线医疗设备的数量和类型。安全监视设备持续将实时的元数据发送给远程服务器，远程服务器根据元数据的分类和配置、源IP地址、目的IP地址、数据包类型、数据类型跟踪医疗设备的行为，对设备的行为进行模式识别，进而分析确定对应医疗设备的正常行为模式。并将所有设备行为归档。当远程服务器发现在线医疗设备的当前记录不符合对应的医疗设备正常行为模式，确定医疗设备发生异常行为，远程服务器对异常行为进行风险评估后生成报警记录，报告给现有的网络管理平台，以便根据风险程度对异常医疗设备实施隔离。本专利技术的优点和有益效果：该方法和系统无需对现有的医疗设备作任何修改，不需要在医疗设备上加装代理软件，是一种积极的安全措施，能够对医疗网络上在线医疗设备数量和类型一目了然，对在线医疗设备的运行进行实时跟踪，自动识别医疗设备的正常行为模式，并感知异常状况的发生，提升医疗网络的安全防护能力。附图说明图1是本专利技术具体实施例方法的网络拓扑示意图；图2是本专利技术具体实施例安全监视设备的结构示意图；图3是本专利技术具体实施例中远程服务器的结构示意图；图4是本专利技术具体实施例中信息流程图。附图标记：100-安全监视设备，110-处理器120-存储器130-网络通信接口140-数据捕获模块150-数据分析模块160-数据加密通信模块200-远程服务器210-处理器220-存储器230-网络通信接口240-网络数据解密模块250-设备发现模块260-行为模式识别模块270-异常处理模块300-交换机具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。医疗网络的安全保障方案的基本原理是：在一个医疗网络中包含若干子网络，每个子网络包括一台网络交换机完成所在子网的网络数据交换，通过对网络交换机的设置将包括有线连接和无线连接的所有的网络通信映射到一个端口，将安全监视设备连接到该镜像端口。安全监视设备根据网络通信协议对医疗子网的所有网络通信数据进行深度包解析，得到包括数据源地址和目的地址、数据包类型、数据类型等信息，例如，当医疗网络使用DICOM通信协议时，安全监视设备在获得了网络交易数据的源IP地址、目的IP地址后，根据TCP/UD端口确定上层是DICOM服务，根据不同服务的不同参数，对DICOM消息或DICOM协议数据单元(PDU)进行解析，并将这些解析后的信息通过加密通道发送至远程服务器进行进一步的分析和处理。具体来说，DICOM中，标签由组标记和元标记组成，可以理解为组标记为影像信息做了大的分类，元标记在大类中分小类，总之标签的功能是区分每个信息并分类，这种包括标签、长度和数据的信息被成为元素，有时元素中可以包括类型定义，用来标记该元素的数据类型，实际上，DICOM文件就是由不同元素组成的，这些元素的组合叫做数据集，DICOM协议中，传输和存储的内容都是数据集，要执行不同的服务，需要使用不同的数据集，例如定义CT影像，我们可以把它先分为病人信息、诊断信息、序列信息和影像信息，其中病人信息可以包括姓名、编号、性别、年龄等，同样诊断信息、序列信息、影像信息也可以再细化，在DICOM中，这种可以细化分类的对象叫做信息对象，每个信息对象有多个数据元素组成，DICOM标准已经定义了不同的信息对象，因此要定义数据集，只需要找到该数据集包括的信息对象，然后把各个信息对象包括的元素找出来，最后对元素按标签顺序排序，就可以得到需要的数据集，就好象链表一样，但是，有的数据元素可以包括一个或多个数据集，因此我们可以把DICOM的数据集看作二叉树结构。远程服务器从各个安全监视设备接收到已经分解的元数据进行进一步的分析，每一个数据交换都生成一个记录，针对相同IP地址的记录就形成了该IP地址对应医疗设备的历史纪录，通过对同一IP地址的数据作进一步的数据包和数据类型的分析，远程服务器得到该IP地址对应的医疗设备的配置信息，最终确定该IP地址对应的医疗设备类型和具体配置。通过这个方法，远程服务器可以确定所有在线的医疗设备的类型和配置。在了解了在线医疗设备类型和配置的前提下，远程服务器根据累积的历史记录，医疗设备的配置资料和现有医疗网络所使用的网络通信协议(例如DICOM)通过机器学习的算法建立和更新医疗设备的正常行为模式，所述正常行为模式可以是规定的医疗设备进行数据的采集的时间、数据采集的顺序、控制指令的来源、控制指令的格式等等，这些信息都存储在数据库中；当远程服务器接收到安全监视设备获得的相关控制指令与现有的正常行为模式不符时，所述的与正常行为不符包括但不限于控制信息来源于未知主机、控制指令数据为非法数据、在规定的时间以外的指令等等，则远程服务器记录该异常信息，自动生成告警数据并通过网络向现有医疗网络管理平台报告。医疗网络的安全监控系统结构如下：医疗网络的组成实例在图1中显示，在一个医疗网络中，由病房医疗子网、图像存档及通信系统(PACS)、和其它医疗子网组成(例如检验信息系统(LIS)、放射信息系统(RIS)、临本文档来自技高网...

【技术保护点】
一种医疗网络的安全监控的方法，其特征在于，安全监视设备通过交换机采集在医疗网络上传输的数据；根据医疗网络使用的通信协议对采集来的数据进行处理分析，生成与在线医疗设备相关的事件记录；将所述事件记录用于生成与之相关的医疗设备的历史数据，并存储在远程服务器中；根据历史数据确定相关医疗设备的类型；根据当前操作的事件记录实时更新显示相关医疗设备的历史资料；形成医疗设备的正常行为模式档案数据；当新的事件记录与正常行为模式不相符，确定所述医疗设备异常；更新设备的档案数据并报告异常信息。

【技术特征摘要】
1.一种医疗网络的安全监控的方法，其特征在于，安全监视设备通过交换机采集在医疗网络上传输的数据；根据医疗网络使用的通信协议对采集来的数据进行处理分析，生成与在线医疗设备相关的事件记录；将所述事件记录用于生成与之相关的医疗设备的历史数据，并存储在远程服务器中；根据历史数据确定相关医疗设备的类型；根据当前操作的事件记录实时更新显示相关医疗设备的历史资料；形成医疗设备的正常行为模式档案数据；当新的事件记录与正常行为模式不相符，确定所述医疗设备异常；更新设备的档案数据并报告异常信息。2.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述安全监视设备采集所述医疗网络上传输数据的方法是：通过交换机镜像端口采集所在医疗网络上所有的传输数据。3.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，根据医疗网络中使用的通信协议，所述安全监视设备对在镜像端口采集到的数据进行深度包解析获得相关医疗设备的元数据，即对TCP数据中传输的文件信息进行分析获得相关的网络交易数据。4.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述安全监视设备将采集并分析后的元数据发送给远程服务器。5.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述安全监视设备通过加密通道向所述远程服务器发送元数据。6.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据各个医疗设备的历史数据，将所述医疗设备进行分类，基于分类信息得到所述医疗设备的配置信息。7.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述数据包的来源，对其进行深度包解析来确定有效载荷中的交易数据。8.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述数据包的目的地，对其进行深度包解析来确定有效载荷中的交易数据。9.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述数据包的类型，对其进行深度包解析来确定有效载荷中的交易数据。10.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述数据包的数据类型，对其进行深度包解析来确定有效载荷中的交易数据。11.根据权利要求1要求所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述医疗设备交易数据生成事件记录，事件记录的部分或全部用于生成所述医疗设备的历史数据。12.根据权利要求1要求所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述医疗设备交易数据生成访问记录，访问记录的部分或全部用于生成所述医疗设备的历史数据。13.根据权利要求1要求所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述医疗设备交易数据生成系统记录，系统记录的部分或全部用于生成所述医疗设备的历史数据。14.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述的医疗设备的历史数据记录确定所述医疗设备的正常行为模式。15.根据权利要求1所述的医疗网络的安全监控的方法，其特征在于，所述远程服务器根据所述的医疗设备的正常行为模式和事件记录、访问记录和系统记录确定所述医疗设备的异常行为。16.一种医疗网络的安全监控系统，其特征在于，所述医疗网络的安全监控系统包括分布在不同子网中的安全监视设备和远程服务器；所述安全监视设备与所述远程服务器通过互联网连接；所述安全监视设备捕获所在医疗子网的网络数据；所述安全监视设备对捕获到的数据进行深度解析；将分析得到的元数据发送至所述的远程服务器；所述远程服务器利用接收到所述的元数据生成事件记录；并使用事件记录生成相关医疗设备历史...

【专利技术属性】
技术研发人员：胡浩，何小梅，金宪珊，陈钢，王明华，傅刚，刘青，李志，李远，侯海波，
申请(专利权)人：北京立思辰新技术有限公司，杭州谷逸网络科技有限公司，
类型：发明
国别省市：北京,11