CN104966255A - 药物智能服用专家系统及其工作方法 - Google Patents

Abstract

本发明公开了一种药物智能服用专家系统及其工作方法，本药物智能服用专家系统的工作方法包括如下步骤：步骤S100，通过远程监控患者是否服药；步骤S200，对患者服药的合理性进行判断；本发明实现了远程对患者是否服药，以及服药的合理性进行判断；并且建立疾病特征值集合，综合判断是否服药，提高判断的准确性，以及进一步对服药的疗效进行检测；本发明还能抵御网络恶意攻击，以保证服务器正常工作，用户端连接顺畅。

Description

药物智能服用专家系统及其工作方法

技术领域

本发明涉及医疗信息系统，具体涉及一种药物智能服用专家系统及其工作方法。

背景技术

当前社会的人口老龄化对于整个社会、家庭、个人来说不得不面对的一个问题，大多数老年人伴有心脏病、糖尿病、高血压等疾病，这些疾病往往需要患者在医生的协助下对其自身的疾病进行长时间的持续管理，在用药、起居、饮食、运动、康复理疗等多个方面遵循既定诊疗计划进行实践。疾病管理的全过程中，患者往往需要定时到医院(特别是基层医院)进行随访，以便医生跟踪患者的病情进展并及时调整医嘱。

由于这是一个较长的时间过程，往往会持续数月甚至数年；而这一过程又往往发生在临床环境之外，需要患者自主自发地对自己的疾病和健康进行管理。某些患者由于认识不足、自我约束性不强或者其它客观原因，难以做到严格执行医嘱、定时定量用药、按时随访，使得病情出现反复或加剧，影响治疗效果，增大医疗开销，因而迫切需要一些辅助工具来帮助其进行医疗监控管理。

传统的医疗业务流程需要患者定时到医生处进行随访，不仅耗时耗财，而且患者有在临床环境中被交叉感染的风险。而近年来远程医疗技术的兴起，使得医生可以通过互联网实时跟踪监测患者的病情，了解患者的服药后的健康状态和关键生理指标。由此一来，在医生和患者都足不出户的情况下就可以完成常规的随访业务流程。特别是对于慢性病患者，如果医嘱执行效果良好，患者情况稳定，相关生理指标无显著变化，则医生可就此决定延用当前医嘱，无需患者再到医院进行随访。

为解决上述问题，中国专利文献申请公布号CN 102855406A公开了一种基于远程医疗系统和医嘱遵从性监测的智能购药系统，该技术方案虽然描述其解决了患者服药远程监控的问题，但是其并未针对与某一疾病来进行自动监控，也未体现具体的检测手段。又如中国专利文献申请号CN 102292063A公开了一种用于发放药物的方法和设备，该技术方案针对了药物的及时、正确发放，但是未解决对服药后的效果进行监控的技术问题。

发明内容

本发明的目的是提供一种药物智能服用专家系统及其工作方法，该专家系统及其工作方法通过对患者服药后的数据进行检测，解决了对患者在规定时间是否服药、服药合理性以及服药安全性进行判断的技术问题。

为了解决上述技术问题，本发明提供了一种药物智能服用专家系统的工作方法，包括如下步骤：步骤S100，通过远程监控患者是否服药；步骤S200，对患者服药的合理性进行判断，和/或对药物服用安全性进行判断；以及步骤S300，根据上述判断发出相应提醒信号。

进一步，所述步骤S100中通过远程监控患者是否服药的方法包括如下步骤：步骤S110，建立疾病特征值集合；步骤S120，获得在采集周期内的任一采集时间点的测量值，再根据该测量值与前一周期相同采集时间点的测量值的差值和两次采集时间点的间隔时间计算斜率函数SL(t)；步骤S130，根据所述斜率函数SL(t)建立患者是否服药判断公式，即

$y_t=\left(\underset{t=1}{\overset{n1}{\mathrm{\Σ}}}(\mathrm{SL}\left(t\right)>\mathrm{\σ}1)\right),$ 若时，则判断患者未服药；

式中，σ1为预设的患者单次未服药时的疾病特征值集合中一特征值所对应的异常阈值，所述为预设的患者多次未服药时的特征值所对应的异常累计阈值，n1为采集总次数。

进一步，所述步骤S100中通过远程监控患者是否服药的方法还包括：根据所述疾病特征值集合中多特征值建立相应的服药判断公式的计算结果yt_m，建立多特征值的适于判断是否服药的判断公式；

即则判断患者未服药；

式中，所述ξ1为预设的患者在多次未服药时的多种特征值所对应的多特征异常阈值，n2为特征值的数量，m表示特征值的种类。

进一步，所述步骤S200中对患者服药的合理性进行判断的方法包括如下步骤：

步骤S210，预设疾病特征值集合所对应的各采集时间点对应的人体指标参数的标准值；步骤S220，计算任一采集时间点的测量值与相同采集时间点的标准值的差值函数D(t)；步骤S230，根据所述差值函数D(t)建立患者服药合理性判断公式，即

若则判断患者所服药物未达到疗效；

式中，σ2为预设的患者服药后未达到疗效时的特征值所对应的异常阈值，为预设的患者服药后未达到疗效时的特征值所对应的多时间点异常累计阈值。

进一步，所述步骤S200中对患者服药的合理性进行判断的方法还包括如下步骤：

根据所述疾病特征值集合中多特征值建立相应的服药合理性判断公式的计算结果yr_m，建立多特征值的适于判断患者服药合理性的公式；

即则判断患者服药未达到疗效；

式中，所述ξ2为预设患者多次服药后未达到疗效时的多种特征值所对应的多特征异常阈值。

进一步，为了避免患者在多种药物进行混服时，产生药理冲突，所述对药物服用安全性进行判断的方法还包括：一种有效避免药物混服冲突的方法，即建立药物混服安全性对应表，该表中的各单元项分别与各药品的药理信息相对应,通过该表对患者待服的各药品的药理信息依次进行查表比对，以判断各药品是混服的安全性。

进一步，针对特殊疾病人群，例如，心脏病、糖尿病、高血压等疾病，有些药物是有禁忌的，误服会产生不良反应，所以本发明还在所述药物混服安全性对应表的基础上，建立某一疾病的禁忌药物对照子表，即该表中的各单元项分别与所述疾病的各禁忌药物的药理信息相对应，在对所述药物混服安全性对应表进行查表后，再通过禁忌药物对照子表对患者待服的各药品的药理信息依次进行查表比对，以判断该药品对所述疾病安全性。

进一步，通过药物服用远程服务器监控患者是否服药，和/或对患者服药的合理性进行判断；为了防止网络恶意攻击，其中，所述药物服用远程服务器采用SDN网络架构；所述SDN网络架构包括：数据平面、应用平面和控制平面；数据平面，当位于数据平面中任一IDS设备检测到攻击威胁时，通知应用平面进入到攻击类型分析流程；应用平面，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；控制平面，为应用平面提供攻击威胁处理接口，并为数据平面提供攻击威胁识别接口。

又一方面，本发明还提供了一种药物智能服用专家系统，包括：智能药箱、体征测量终端和药物服用远程服务器；其中所述体征测量终端适于采集患者体征的测量值；所述智能药箱与体征测量终端相连，适于将测量值上传至药物服用远程服务器，所述药物服用远程服务器适于监控患者是否服药，和/或对患者服药的合理性进行判断；以及将判断信号发送至智能药箱；所述智能药箱通过内置的提醒模块发出相应提醒信息。

所述药物服用远程服务器内设有网络攻击防御模块；所述网络攻击防御模块，包括：控制器、IDS决策服务器、分布式的IDS设备和流量清洗中心；当任一IDS设备检测到具有DDoS攻击特征的报文时，即通过SSL通信信道上报至IDS决策服务器；所述IDS决策服务器根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，然后将该报文通过控制器屏蔽或者将该报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤。本药物服用远程服务器在实现服药监控的目的的同时，还具有抵御恶意攻击的功能，以保证网络通畅。

进一步，为了更好的对DDoS攻击特征的报文进行筛选、滤除；所述IDS设备内包括：欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入IDS决策服务器；所述IDS决策服务器适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；所述IDS决策服务器还适于当报文具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及当报文具有泛洪式攻击行为，则所述IDS决策服务器适于通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤。

本发明的有益效果：(1)本发明实现了远程对患者是否服药，以及服药的合理性进行判断；并且建立疾病特征值集合，综合判断是否服药，提高判断的准确性，以及进一步对服药的疗效进行检测，并对患者进行相应提醒；(2)本发明还能抵御网络恶意攻击，以保证服务器正常工作，用户端连接顺畅。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据的具体实施例并结合附图，对本发明作进一步详细的说明，其中

图1示出了本发明的药物智能服用专家系统的工作方法的流程图；

图2示出了步骤S100中通过远程监控患者是否服药的方法流程图；

图3示出了步骤S200中对患者服药的合理性进行判断的方法流程图；

图4示出了本药物服用远程服务器的原理框图；

图5示出了本发明的药物智能服用专家系统的原理框图；

图6示出了IDS设备的原理框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

实施例1

图1示出了本发明的药物智能服用专家系统的工作方法的流程图。

如图1所示，本发明的药物智能服用专家系统的工作方法，包括如下步骤：

步骤S100，通过远程监控患者是否服药；步骤S200，对患者服药的合理性进行判断，和/或对药物服用安全性进行判断；以及步骤S300，根据上述判断发出相应提醒信号。

图2示出了步骤S100中通过远程监控患者是否服药的方法流程图。

如图2所示，具体的，所述步骤S100中通过远程监控患者是否服药的方法包括如下步骤：

步骤S110，建立疾病特征值集合。

步骤S120，计算斜率函数。获得在采集周期内的任一采集时间点的测量值，再根据该测量值与前一周期相同采集时间点的测量值的差值和两次采集时间点的间隔时间计算斜率函数SL(t)。

步骤S130，构建服药判断公式。根据所述斜率函数SL(t)建立患者是否服药判断公式，即

$y_t=\left(\underset{t=1}{\overset{n1}{\mathrm{\Σ}}}(\mathrm{SL}\left(t\right)>\mathrm{\σ}1)\right),$ 若时，则判断患者未服药；

式中，σ1为预设的患者单次未服药时的疾病特征值集合中一特征值所对应的异常阈值，所述为预设的患者多次未服药时的特征值所对应的异常累计阈值，n1为采集总次数。

进一步，所述步骤S100中通过远程监控患者是否服药的方法还包括：

根据所述疾病特征值集合中多特征值建立相应的服药判断公式的计算结果yt_m，建立多特征值的适于判断是否服药的判断公式；

即则判断患者未服药；

式中，所述ξ1为预设的患者在多次未服药时的多种特征值所对应的多特征异常阈值，n2为特征值的数量，m表示特征值的种类。

图3示出了步骤S200中对患者服药的合理性进行判断的方法流程图。

具体的，所述步骤S200中对患者服药的合理性进行判断的方法包括如下步骤：

步骤S210，预设相关参数，即预设疾病特征值集合所对应的各采集时间点对应的人体指标参数的标准值。

步骤S220，计算差值，计算任一采集时间点的测量值与相同采集时间点的标准值的差值函数D(t)。

步骤S230，根据所述差值函数D(t)建立患者服药合理性判断公式，即

若则判断患者所服药物未达到疗效；

式中，σ2为预设的患者服药后未达到疗效时的特征值所对应的异常阈值，为预设的患者服药后未达到疗效时的特征值所对应的多时间点异常累计阈值，n1为采集总次数。

进一步，所述步骤S200中对患者服药的合理性进行判断的方法还包括如下步骤：

根据所述疾病特征值集合中多特征值建立相应的服药合理性判断公式的计算结果yr_m，建立多特征值的适于判断患者服药合理性的公式；

即则判断患者服药未达到疗效；

式中，所述ξ2为预设患者多次服药后未达到疗效时的多种特征值所对应的多特征异常阈值，n2为特征值的数量，m表示特征值的种类。

为了更好的理解本发明的技术方案，例举了高血压作为具体的实施方式如下。

一、确定高血压病人的监控特征值

高血压病人体征的特征值主要有：收缩压C₁、舒张压C₂、相关危险因素数量C₃，根据上述特征值建立疾病特征值集合，其中每个特征值可以用Cm来表示，m表示特征值的种类。实时测量的特征只有2个：收缩压C₁、舒张压C₂，对于相关危险因素数量C₃不需要测量，可由医生通过诊断录入的参数。

收缩压C₁和舒张压C₂的取值是定期的通过体征测量终端(血压仪)采集获得，并将特征值通过远程的智能药箱传输到系统中。

根据高血压的分级情况(正常、高血压前期、I级高血压、II级高血压、III级高血压、单纯收缩期高血压和高血压急症)和分层情况(低危、中危、高危和很高危)来确定特征值的标准值S₁和S₂。

高血压的疾病分级按表一来完成：

表一高血压分级对照表

高血压的疾病分层按表二来完成：

表二高血压分层对照表

常用的服药后正常诊断值

表三有效服药后高血压的正常值表

根据表3，确定特征值收缩压C₁、舒张压C₂对应的标准值S₁＝130或S₁＝140或S₁＝150，S₂＝90或S₁＝80。

与高血压相关的危险因素主要与如下病史相关：糖尿病、肥胖症、高同型半胱氨酸血症、高血脂、动脉粥样硬化、痛风、肾病、中风家族史、吸烟、饮酒、心脏病家族史等。C₃的取值等于当前病人在上面指定的疾病中所占的数量，当这个值发生了变化，则C₃也发生变化。根据高血压特点，取相关危险因素数量C₃对应的标准值S₃＝0。

二、确定特征值测量频度

按照人体的特点，人的血压高峰值出现在上午10点左右(t₁)和下午3点左右(t₂)，人的血压低峰值出现在凌晨1点左右(t₃)，因为凌晨1点是人的睡眠时间，因而用睡前(t₄)和早上起床后(t₅)的二次测量来替代。

判断一个人是否有高血压，一般建议在t₁和t₂时间点进行测量；而判断服药的有效性一般在每一天的固定时间测量(t₀)即可。

综上所述，高血压的特征可以在t₀、t₁、t₂、t₄、t₅进行测量即可。

三、特征值斜率函数生成

对于每个特征指标，生成斜率函数：

SL1(t)＝(T1(t)-T1(t0))/(t-t0)

SL2(t)＝(T2(t)-T2(t0))/(t-t0)

其中t0代表前一天同一个测量时间点，因为根据人体血压的一天中的波动值，在同一时间段的测量才具有比较意义。

这二个函数在二维坐标上也是一系列离散的点，相邻点用直线连接，则也构成了二个折线图。

四、特征值差值函数生成

每天在t₀、t₁、t₂、t₄、t₅共5点时间进行测量血压的收缩压与舒张压。

收缩压标记为函数T1(t)，每天5个时间点的测量点为离散点：T1₀、T1₁、T1₂、T1₄、T1₅

舒张压标记为函数T2(t)，每天5个时间点的测量点为离散点：T2₀、T2₁、T2₂、T2₄、T2₅

构造收缩压的差值函数：

D1(t)＝T1(t)-S1，其中t＝0、1、2、4、5

D2(t)＝T2(t)-S2，其中t＝0、1、2、4、5

这二个函数在二维坐标上构成多个以离散的点，相邻点用直线连接则构成二根折线。

五、异常参数阈值的生成

在后面的计算中，需要用到4个重要的阈值参数：σ1、σ2、

σ1为预设的患者单次未服药时的疾病特征值集合中一特征值所对应的异常阈值，所述为预设的患者多次未服药时的特征值所对应的异常累计阈值，经过对高血压疾病测试可以得出经验值，σ1＝0.3π→0.5π，准确性比较高。

σ2为预设的患者服药后未达到疗效时的特征值所对应的异常阈值(也可以简称为疾病合理性异常参数阈值)，为预设的患者服药后未达到疗效时的特征值所对应的多时间点异常累计阈值(也可以简称为疾病合理性异常阈值)，经过对高血压疾病测试可以得出经验值，σ2＝10→20，准确性比较高。

六、特征值的是否服药函数生成，即患者是否服药判断公式

七、特征值合理性函数的生成，即患者服药合理性判断公式

八、根据所述疾病特征值集合中多特征值建立相应的服药判断公式的计算结果，建立多特征值的适于判断是否服药的判断公式；

$\mathrm{if}\left(\underset{t=1}{\overset{n1}{\mathrm{\Σ}}}\underset{m=1}{\overset{2}{\mathrm{\Σ}}}{\mathrm{yt}}_m\left(t\right)\right)>\mathrm{\ξ}1\mathrm{then}$

未服药

else

正常服药

所述ξ1为预设的患者在多次未服药时的多种特征值所对应的多特征异常阈值，跟据对高血压的试验该值为5-8比较合理。2为特征值的数量。

九、根据所述疾病特征值集合中多特征值建立相应的服药合理性判断公式的计算结果yr_m，建立多特征值的适于判断患者服药合理性的公式；

$\mathrm{if}\left(\underset{t=0}{\overset{n1}{\mathrm{\Σ}}}\underset{m=1}{\overset{2}{\mathrm{\Σ}}}{\mathrm{yr}}_m\left(t\right)\right)>\mathrm{\ξ}2\mathrm{then}$

服药合理

else

服药不合理

其中所述ξ2为预设患者多次服药后未达到疗效时的多种特征值所对应的多特征异常阈值，跟据对高血压的试验该值为5-8比较合理。

十、建立药物混服安全性对应表。

所述对药物服用安全性进行判断的方法还包括：

建立药物混服安全性对应表，即，该表中的各单元项分别与各药品的药理信息相对应,通过该表对患者待服的各药品的药理信息依次进行查表比对，以判断各药品是混服的安全性。

具体的，在系统的中存有各种药物之间的混服安全性对应表，可以用B矩阵来表示：

$B=\left(\begin{array}{cccc}{b}_{11}& b_{12}& \·\·\·& b_{1n}\\ b_{21}& b_{22}& \·\·\·& b_{2n}\\ \·& \·& \·& \·\\ \·& \·& \·& \·\\ \·& \·& \·& \·\\ b_{n1}& b_{n2}& \·\·\·& b_{\mathrm{nn}}\end{array}\right)$

B矩阵表示有n种药物的冲突测试表，其中：b_ij(i,j＝1,2,,,n)表示第i种药物和第j中：种药物混服的冲突性，如果没有冲突，则为1，有冲突则为0。由于药物本身不相容的，则可以看出b_mm＝1，即对角线为1,即如下所示

$B=\left(\begin{array}{cccc}1& b_{12}& \·\·\·& b_{1n}\\ b_{21}& 1& \·\·\·& b_{2n}\\ \·& \·& & \·\\ \·& \·& 1& \·\\ \·& \·& & \·\\ b_{n1}& b_{n2}& \·\·\·& 1\end{array}\right)$

假设某病人服用m种药物，则：

判断药物混服安全性测试。

$\mathrm{if}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\underset{j=1}{\overset{m}{\mathrm{\Π}}}{b}_{\mathrm{ij}}=1\mathrm{then}$

混服药物安全

else

混服药物不安全

进一步，所述药物混服安全性对应表还包括：某一疾病的禁忌药物对照子表，即该表中的各单元项分别与所述疾病的各禁忌药物的药理信息相对应，在对所述药物混服安全性对应表进行查表后，再通过禁忌药物对照子表对患者待服的各药品的药理信息依次进行查表比对，以判断该药品对所述疾病安全性。

具体的，在系统中存有一个疾病禁忌药物对照表，可以用T系列向量来表示：

$\begin{array}{c}{T}_1=\left(\begin{array}{cccc}{t}_{11}& t_{12}& \·\·\·& t_{{1n}_1}\end{array}\right)\\ T_2=\left(\begin{array}{cccc}{t}_{21}& t_{22}& \·\·\·& t_{{2n}_2}\end{array}\right)\\ \·\·\·\\ T_n=\left(\begin{array}{cccc}{t}_{n1}& t_{n2}& \·\·\·& t_{{\mathrm{nn}}_n}\end{array}\right)\end{array}$

T系列向量表示高血压禁忌的药物表，向量T_m(m＝1,2,,,n)表示标号为m疾病所禁服药物表，其中t_mi。(i＝1,2…n_m)表示m疾病所禁服的某种药物。

假设某病人有x种并发症，当前服用了y种药物，则：

判断高血压及并发症药物禁忌安全性测试。

$\mathrm{if}\underset{i=1}{\overset{x}{\mathrm{\Π}}}\underset{j=1}{\overset{y}{\mathrm{\Π}}}{t}_j\∉T_i=1\mathrm{then}$

服药无禁忌

else

服药禁忌

作为本实施例的一种可选的实施方式，通过药物服用远程服务器监控患者是否服药，和/或对患者服药的合理性进行判断。

图4示出了本药物服用远程服务器的原理框图。

如图4所示，其中，所述药物服用远程服务器采用SDN网络架构；所述SDN网络架构包括：数据平面、应用平面和控制平面；数据平面，当位于数据平面中任一IDS设备检测到攻击威胁时，通知应用平面进入到攻击类型分析流程；应用平面，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；控制平面，为应用平面提供攻击威胁处理接口，并为数据平面提供攻击威胁识别接口。

所述攻击威胁包括但不限于：DDOS攻击威胁。

所述SDN为软件定义网络。

图4中应用平面的关于攻击类型分析、攻击威胁处理策略，数据平面的攻击行为监测、攻击威胁屏蔽和路由优化，以及控制平面的攻击威胁处理、攻击威胁识别将在下面的实施例中展开。

实施例2

图5示出了本发明的药物智能服用专家系统的原理框图。

如图5所示，在上述实施例基础上，本发明还提供了一种药物智能服用专家系统，包括：智能药箱、体征测量终端和药物服用远程服务器；其中所述体征测量终端适于采集患者体征的测量值；所述智能药箱与体征测量终端相连，适于将测量值上传至药物服用远程服务器，所述药物服用远程服务器适于监控患者是否服药，和/或对患者服药的合理性进行判断；以及将判断信号发送至智能药箱；所述智能药箱通过内置的提醒模块发出相应提醒信息。

其中，所述药物智能服用专家系统的具体工作方法参见实施例1的相关内容，这里不再赘述。

进一步，药物智能服用专家系统还可以与药店药物服用管理系统相连，也可以将药物的服用方法通过网络传输到智能药箱的存储器中，以提供服药建议。

同时还具有病人药物数量管理提醒病人的药品数量预警功能。

所述提醒信号包括但不限于采用：发光装置、麦克风、或者通过手机发送短信等手段。所述体征测量终端例如血压仪、血糖仪等。体征测量终端与智能药箱的连接方式，例如但不限于蓝牙、无线、有线等方式。所述智能药箱上传特征值，即与药物服用远程服务器的连接方式可以为无线(2G、3G或4G)，有线等方式。

进一步，所述药物服用远程服务器内设有网络攻击防御模块，且采用SDN网络架构构建网络攻击防御模块；所述网络攻击防御模块包括：控制器、IDS决策服务器、分布式的IDS设备和流量清洗中心；当任一IDS设备(即入侵检测设备)检测到具有DDoS攻击特征的报文时，即通过SSL通信信道上报至IDS决策服务器；所述IDS决策服务器根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，然后将该报文通过控制器屏蔽或者将该报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤。

图6示出了IDS设备的原理框图。

如图6所示，进一步，所述IDS设备内包括：

欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入IDS决策服务器；所述IDS决策服务器适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；所述IDS决策服务器还适于当报文具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及当报文具有泛洪式攻击行为，则所述IDS决策服务器适于通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤。

具体实施过程包括：

其中，DDoS攻击特征定义为：对链路层和网际层地址的欺骗行为、对网际层和传输层标志位设置的异常行为，以及对应用层和传输层泛洪式攻击行为。

本发明采用从欺骗报文检测模块到破坏报文检测模块，再到异常报文检测模块依次检测的顺序，其中，各模块获取数据包信息采用独立的接口设计，降低了模块间的耦合关联性；并且各模块使用优化的程序数据结构，细致分割各处理子流程，提升了模块的高内聚特性。这种检测顺序提高了对报文数据的检测效率，以及降低了漏检率。

通过所述欺骗报文检测模块调用网络设备信息绑定表，并在所述IDS决策服务器中构建单位时间内的适于对报文欺骗行为进行计数的第一哈希表，以及设定该第一哈希表中的第一阀值；所述欺骗报文检测模块，将封装在Packet-In消息中的报文的类型进行解析，以获得相应的源、目的IP地址、MAC地址以及上传Packet-In消息的交换机DPID号和端口号信息，并将各信息分别与网络设备信息绑定表中的相应信息进行比对；若报文中的上述信息匹配，则将报文转入破坏报文检测模块；若报文中的上述信息不匹配，则转入所述IDS决策服务器，对报文进行丢弃，并同时对欺骗行为进行计数，当该计数值超过第一阀值时，屏蔽发送该报文的程序和/或主机。

具体的，所述欺骗报文检测模块用于对报文进行第一次判断，即判断报文是否是IP欺骗攻击报文、端口欺骗攻击报文或MAC欺骗攻击报文。

具体步骤包括：首先在以太网帧中解析出源、目的MAC地址和交换机入口，然后根据不同的报文类型解析出不同的报文。当报文类型为IP、ARP、RARP时，则解析出相应的源、目的IP地址然后将这些信息对网络设备信息绑定表中的信息进行查表匹配，如果匹配到相应的信息，则交给破坏报文检测模块处理。若不匹配，则将该报文转入IDS决策服务器处理；并同时对欺骗行为进行累加计数，当该计数值超过第一阀值时，屏蔽发送该报文的程序和/或主机。

Floodl ight中有一个设备管理器模块DeviceManagerImpl，当一个设备在网络中移动设备的时候跟踪设备，并且根据新流定义设备。

设备管理器从PacketIn请求中得知设备，并从PacketIn报文中获取设备网络参数信息(源、目的IP、MAC、VLAN等信息)，通过实体分类器将设备进行区分为交换机或主机。默认情况下实体分类器使用MAC地址和/或VLAN表示一个设备，这两个属性可以唯一的标识一个设备。另外一个重要的信息是设备的安装点(交换机的DPID号和端口号)(，在一个openflow区域中，一个设备只能有一个安装点，在这里openflow区域指的是和同一个Floodl ight实例相连的多个交换机的集合。设备管理器也为IP地址、安装点、设备设置了过期时间，最后一次时间戳作为判断它们是否过期的依据。)

故网络设备信息绑定表模块里面只需调用DeviceManagerImpl模块提供的IDeviceService即可，同时向该服务添加IDeviceListener的监听接口即可。

其中IDeviceListener提供的监听接口有：

接口名	功能
		public void deviceAdded(IDevice device)	主机添加响应
public void deviceRemoved(IDevice device)	主机移除响应
		public void deviceMoved(IDevice device)	主机移动响应
public void deviceIPV4AddrChanged(IDevice device)	主机IP地址改变响应
		public void deviceVlanChanged(IDevice device)	主机VLAN改变响应

服务提供者：IFloodl ightProviderService,IDeviceService

依赖接口：IFloodl ightModule,IDeviceListener

表内的记录根据交换机的高低电平触发机制(网线拔出触发Port Down的低电平，网线拔入触发Port Up的高电平)可以实时刷新绑定表中的记录。

传统的DDoS攻击无法触及、修改Switch DPID和Switch Port的信息,利用此优势，可以更加灵活的检测欺骗攻击。

在所述IDS决策服务器中构建单位时间内的适于对报文的标志位设置异常行为进行计数的第二哈希表，以及设定该第二哈希表中的第二阀值；所述破坏报文检测模块对报文的各标志位进行检测，以判断各标志位是否符合TCP/IP协议规范；若报文的各标志位符合，则将报文转入异常报文检测模块；若报文的各标志位不符合，则转入所述IDS决策服务器，对报文进行丢弃，并同时对标志位设置异常行为进行计数，当该计数值超过第二阀值时，屏蔽发送该报文的程序和/或主机。

具体的，所述破坏报文检测模块，用于对报文进行第二次判断，即判断报文是否为具有恶意标志位特征的攻击报文。其中，具有恶意标志位特征的攻击报文包括但不限于IP攻击报文、TCP攻击报文。实施步骤包括：对IP攻击报文及其中的TCP/UDP攻击报文实现各个报文的标志位的检测，即识别各标志位是否符合TCP/IP协议规范。如果符合的话，就直接交由异常数报文检测模块处理。若不符合，则判断为攻击报文，转入IDS决策服务器处理。

以Tear Drop等典型攻击为列，在IP包头中有一个偏移字段和一个分片标志(MF)，若攻击者把偏移字段设置成不正确的值，IP分片报文就会出现重合或断开的情况，目标机系统就会崩溃。

在IP报文头中，有一协议字段，该字段指明了该IP报文承载了何种协议。该字段的值是小于100的，如果攻击者向目标机发送大量的带大于100的协议字段的IP报文，目标机系统中的协议栈就会受到破坏，形成攻击。

故在破坏报文检测模块中，首先提取出报文的各标志位，然后检查是否正常。

如果正常，则交给后续模块处理。

如果不正常，则丢弃该数据包，并对相应哈希表计数器计数。如果单位时间内计数器超过设定的所述第二阀值时，则调用IDS决策服务器对相应的程序进行屏蔽和/或直接屏蔽相应的主机。

通过欺骗报文检测模块的数据包滤除之后，后续的破坏报文检测模块所处理的数据包中的地址都是真实的。这样，有效的避免了目标机收到了破坏报文，可能直接导致目标机的协议栈崩溃，甚至目标机直接崩溃。

破坏报文检测模块的处理功能与欺骗报文检测处理流程大致相似，区别在于破坏报文检测模块解析出的是各个报文的标志位，然后检测各个标志位是否正常。

如果正常的话，就直接给后续的异常报文检测模块处理。

如果不正常，则丢弃该数据包，并且对主机应用征信机制相应的哈希表内计数器计数。如果超过设定的阀值，则屏蔽相应的攻击程序或者直接屏蔽攻击主机。

在所述异常报文检测模块构建用于识别泛洪式攻击报文的哈希表，在所述IDS决策服务器中构建单位时间内的适于对泛洪式攻击行为进行计数的第三哈希表，以及设定该第三哈希表中的第三阀值；所述异常报文检测模块，适于根据所述哈希表中设定的阀值判断所述报文是否具有攻击行为；若无攻击行为，则将数据下发；若具有攻击行为，则转入所述IDS决策服务器，对报文进行丢弃，并同时对攻击行为进行计数，当计数值超过第三阀值时，屏蔽发送该报文的程序和/或主机。

具体的，所述异常报文检测模块，用于对报文进行第三次判断，即判断报文是否是泛洪式攻击报文。

具体步骤包括：利用对构建的识别泛洪式攻击报文的对哈希表内的相应记录进行累加，并检测是否超过阈值，以判断是否是泛洪式攻击报文。

经过上述欺骗报文检测模块、破坏报文检测模块两个模块的滤除，后续模块处理的数据包基本属于正常情况下的数据包。然而，正常情况下，也会有DDoS攻击产生，在现有技术中，一般仅进行欺骗报文检测模块、破坏报文检测模块，而在本技术方案中，为了尽可能的避免DDoS攻击。

以下实施例对在进行欺骗报文检测模块、破坏报文检测模块过滤后，再通过异常报文检测模块屏蔽DDoS攻击的具体实施方式。该实施方式以UDPFlooding和ICMP Flooding为例。

关于UDP Floodl ing，利用UDP协议无需建立连接的机制，向目标机发送大量UDP报文。目标机会花费大量的时间处理UDP报文，这些UDP攻击报文不但会使存放UDP报文的缓存溢出，而且也会占用大量的网络带宽，目标机无法(或很少)接收到合法的UDP报文。

由于不同的主机向单一主机发送大量UDP数据包，所以肯定会有UDP端口占用的情况，所以本技术方案可以接收到一个ICMP的端口不可达包。

所以本技术方案可以对所有主机建立一个哈希表，专门用来存放单位时间内收到ICMP端口不可达包的次数。如果超过设定的阀值，则直接屏蔽相应的攻击程序。

关于ICMP Floodl ing，对于ICMP Flooding直接进行单位时间内计数。如果超过相应的阀值，则直接对相应主机进行相应屏蔽，该方法虽然简单，但是直接有效。

因此，异常报文检测模块，如果检测到的报文类型是异常报文检测类型，则进行相应的计数器检测是否超过阈值，如果没有超过阈值，也可对该数据包通过最优的路由策略下发。如果超过了阈值，则屏蔽相应的攻击程序，或直接对相应主机进行相应屏蔽。

所述欺骗报文检测模块、破坏报文检测模块和异常报文检测模块中任一模块判断所述报文为上述攻击报文时，则将该攻击报文转入IDS决策服务器，即，丢弃所述报文，并屏蔽发送该报文的程序和/或主机。

当“欺骗报文检测模块”、“破坏报文检测模块”和“异常报文检测模块”需要丢弃数据包或者需要屏蔽威胁主机的时候。直接调用IDS决策服务器进行相应的威胁处理操作。

所述IDS决策服务器的具体的实施步骤包括：

丢弃所述报文，即丢弃数据包的步骤包括如下：

OpenFlow交换机在未匹配到相应的流表情况下，会将该数据包封装在Packet In消息中，同时交换机会将此数据包存在本地的缓存中，数据包存放在缓存中，有一个缓存区ID号，这个ID号也会封装在Packet In消息的buffer_id中，通过Packet out的形式，同时Packet out消息内的buffer_id填写要丢弃的数据包的缓存区ID(对应的Packet In消息中的buffer_id)。

屏蔽主机的步骤包括如下：

OpenFlow协议流表结构如下：

包头域

计数器

动作

其中包头域的结构为：

IDS决策服务器中包括对应用程序进行屏蔽的步骤包括如下：

步骤1：在流表的包头域中填写相应匹配字段，并且通过设置Wildcards屏蔽字段，来获取屏蔽攻击程序或主机信息。其中，如需屏蔽攻击程序，则在流表包头域中填写下列匹配字段：IP、MAC、VLAN、SwtichDPID、Swtich Port、协议类型及其端口号等。如需屏蔽主机，则在流表包头域中填写：IP、MAC、VLAN、Swtich DPID、Swtich Port等匹配字段。

步骤2：将流表动作列表置空，实现攻击程序/主机的数据包丢弃。

步骤3：调用各哈希表中的记录值，计算出流表超时自动删除时间。

步骤4：下发流表屏蔽程序或主机。

因此，本技术方案的网络可有效识别并滤除攻击包，能够避免药物服用远程服务器受到恶意攻击。

上述实施例中在判断患者是否服药，和/或对患者服药的合理性的过程中，已经预知了患者所患疾病以及所需服用药物信息，该信息可以通过多种渠道获得，例如由患者通过智能药箱进行输入(输入方式可以采用按键输入和语音识别输入)，或者由远程服务器从医院诊断系统中获得。

应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (10)

1.一种药物智能服用专家系统的工作方法，其特征在于包括如下步骤：

步骤S100，通过远程监控患者是否服药；

步骤S200，对患者服药的合理性进行判断，和/或对药物服用安全性进行判断；以及

步骤S300，根据上述判断发出相应提醒信号。

2.根据权利要求1所述的药物智能服用专家系统的工作方法，其特征在于，所述步骤S100中通过远程监控患者是否服药的方法包括如下步骤：

步骤S110，建立疾病特征值集合；

步骤S120，获得在采集周期内的任一采集时间点的测量值，再根据该测量值与前一周期相同采集时间点的测量值的差值和两次采集时间点的间隔时间计算斜率函数SL（t）；

步骤S130，根据所述斜率函数SL（t）建立患者是否服药判断公式，即                                                ，若 时，则判断患者未服药；

式中，为预设的患者单次未服药时的疾病特征值集合中一特征值所对应的异常阈值，所述为预设的患者多次未服药时的特征值所对应的异常累计阈值，n1为采集总次数。

3.根据权利要求2所述的药物智能服用专家系统的工作方法，其特征在于，所述步骤S100中通过远程监控患者是否服药的方法还包括：

根据所述疾病特征值集合中多特征值建立相应的服药判断公式的计算结果，建立多特征值的适于判断是否服药的判断公式；

即 ，则判断患者未服药；

式中，所述为预设的患者在多次未服药时的多种特征值所对应的多特征异常阈值，n2为特征值的数量，m表示特征值的种类。

4.根据权利要求1所述的药物智能服用专家系统的工作方法，其特征在于，所述步骤S200中对患者服药的合理性进行判断的方法包括如下步骤：

步骤S210，预设疾病特征值集合所对应的各采集时间点对应的人体指标参数的标准值；

步骤S220，计算任一采集时间点的测量值与相同采集时间点的标准值的差值函数D（t）；

步骤S230，根据所述差值函数D（t）建立患者服药合理性判断公式，即

，若 ，则判断患者所服药物未达到疗效；

式中，为预设的患者服药后未达到疗效时的特征值所对应的异常阈值，为预设的患者服药后未达到疗效时的特征值所对应的多时间点异常累计阈值。

5.根据权利要求4所述的药物智能服用专家系统的工作方法，其特征在于，所述步骤S200中对患者服药的合理性进行判断的方法还包括如下步骤：

根据所述疾病特征值集合中多特征值建立相应的服药合理性判断公式的计算结果，建立多特征值的适于判断患者服药合理性的公式；

即 ，则判断患者服药未达到疗效；

式中，所述为预设患者多次服药后未达到疗效时的多种特征值所对应的多特征异常阈值。

6.根据权利要求1所述的药物智能服用专家系统的工作方法，其特征在于，所述对药物服用安全性进行判断的方法包括：

建立药物混服安全性对应表，即，该表中的各单元项分别与各药品的药理信息相对应, 通过该表对患者待服的各药品的药理信息依次进行查表比对，以判断各药品是混服的安全性；和/或

所述药物混服安全性对应表还包括：某一疾病的禁忌药物对照子表，即该表中的各单元项分别与所述疾病的各禁忌药物的药理信息相对应，在对所述药物混服安全性对应表进行查表后，再通过禁忌药物对照子表对患者待服的各药品的药理信息依次进行查表比对，以判断该药品对所述疾病安全性。

7.根据权利要求1至6任一所述的药物智能服用专家系统的工作方法，其特征在于，通过药物服用远程服务器监控患者是否服药，和/或对患者服药的合理性进行判断；

其中，所述药物服用远程服务器采用SDN网络架构；

所述SDN网络架构包括：数据平面、应用平面和控制平面；

数据平面，当位于数据平面中任一IDS设备检测到攻击威胁时，通知应用平面进入到攻击类型分析流程；

应用平面，用于对攻击类型进行分析，并根据攻击类型定制相应的攻击威胁处理策略；

控制平面，为应用平面提供攻击威胁处理接口，并为数据平面提供攻击威胁识别接口。

8.一种药物智能服用专家系统，其特征在于，包括：智能药箱、体征测量终端和药物服用远程服务器；其中

所述体征测量终端适于采集患者体征的测量值；

所述智能药箱与体征测量终端相连，适于将测量值上传至药物服用远程服务器，所述药物服用远程服务器适于监控患者是否服药，和/或对患者服药的合理性进行判断；以及将判断信号发送至智能药箱；

所述智能药箱通过内置的提醒模块发出相应提醒信号。

9.根据权利要求8所述的药物智能服用专家系统，其特征在于，所述药物服用远程服务器内设有网络攻击防御模块；

所述网络攻击防御模块，其包括：控制器、IDS决策服务器、分布式的IDS设备和流量清洗中心；

当任一IDS设备检测到具有DDoS攻击特征的报文时，即通过SSL通信信道上报至IDS决策服务器；

所述IDS决策服务器根据上报信息，制定出与具有DDoS攻击特征的报文对应的处理策略，然后将该报文通过控制器屏蔽或者将该报文所对应的交换机接入端口流量重定向到流量清洗中心进行过滤。

10.根据权利要求9所述的药物智能服用专家系统，其特征在于，所述IDS设备内包括：

欺骗报文检测模块，对链路层和网际层地址的欺骗行为进行检测；

破坏报文检测模块，对网际层和传输层标志位设置的异常行为进行检测；

异常报文检测模块，对应用层和传输层泛洪式攻击行为进行检测；

通过所述欺骗报文检测模块、破坏报文检测模块、异常报文检测模块依次对报文进行检测；且若任一检测模块检测出报文存在上述相应行为时，则将该报文转入IDS决策服务器；

所述IDS决策服务器适于当报文具有欺骗行为，且攻击威胁在OpenFlow域中，则通过控制器屏蔽主机；或当攻击威胁不在OpenFlow域中，则通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤；

所述IDS决策服务器还适于当报文具有异常行为，则通过控制器对攻击程序或攻击主机的流量进行屏蔽；以及

当报文具有泛洪式攻击行为，则所述IDS决策服务器适于通过控制器将该报文所对应的交换机接入端口流量重定向至流量清洗中心进行过滤。