CN107087008B - 一种医疗网络的安全监控方法和系统 - Google Patents
一种医疗网络的安全监控方法和系统 Download PDFInfo
- Publication number
- CN107087008B CN107087008B CN201710382924.6A CN201710382924A CN107087008B CN 107087008 B CN107087008 B CN 107087008B CN 201710382924 A CN201710382924 A CN 201710382924A CN 107087008 B CN107087008 B CN 107087008B
- Authority
- CN
- China
- Prior art keywords
- medical
- data
- network
- remote server
- security monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 44
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012806 monitoring device Methods 0.000 claims abstract description 22
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 14
- 230000002159 abnormal effect Effects 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000004891 communication Methods 0.000 claims description 26
- 238000004458 analytical method Methods 0.000 claims description 15
- 230000005540 biological transmission Effects 0.000 claims description 8
- 238000007405 data analysis Methods 0.000 claims description 2
- 238000013481 data capture Methods 0.000 claims description 2
- 230000006399 behavior Effects 0.000 abstract description 35
- 238000010801 machine learning Methods 0.000 abstract description 5
- 238000012805 post-processing Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 4
- 238000007621 cluster analysis Methods 0.000 description 2
- 238000003745 diagnosis Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 238000003909 pattern recognition Methods 0.000 description 2
- WQZGKKKJIJFFOK-GASJEMHNSA-N Glucose Natural products OC[C@H]1OC(O)[C@H](O)[C@@H](O)[C@@H]1O WQZGKKKJIJFFOK-GASJEMHNSA-N 0.000 description 1
- 238000005481 NMR spectroscopy Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000008103 glucose Substances 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000001802 infusion Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/20—Support for services
- H04L49/208—Port mirroring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了基于医疗网络的安全监控方法和系统,包括自动识别当前医疗网络上连接的所有设备和设备类型,并提供实时的运行状态;对医疗网络上的每台设备数据交换的跟踪,分析确定每个连接设备的正常行为模式;实时分析判断异常的控制指令,根据需要实时隔离威胁并发送告警信息到网络管理平台。实现方法需要的设备有安全监视设备处理网络流量提取有用信息;远程服务器分析来自安全监视设备的数据并利用机器学习算法发现识别医疗网络上的设备,根据采集的信息对设备进行分类、确定每一台设备正确的行为模式,检测异常行为以及完成对异常行为的后处理。
Description
技术领域
本发明涉及医疗网络安全防护技术领域,特别涉及一种医疗网络的安全监控方法和系统。
背景技术
针对医疗系统的网络攻击正在变得越来越严峻,网络黑客正在不断关注医疗行业并且他们在比较了银行、工业和零售等行业后认为医疗行业是容易突破的目标。有越来越多的医院在过去的几年中成为网络犯罪的目标,其中有相当一部分是对联网的医疗设备的攻击,而这些联网的医疗设备存在者大量的安全隐患。
大多数联网的医疗设备像输液泵、核磁共振设备、X光机、葡萄糖测定仪、心脏监视器、血气分析仪等等,安全研究人员发现医疗设备充斥各种可能被网络罪犯以不同方式利用的漏洞。一般的电脑和服务器通常运行这杀毒和其它安全软件,而医疗设备由于其特殊性和局限性不能采取与通用电脑或服务器那样的解决方案,当医疗设备被植入恶意软件中,就可以盗窃医疗信息,例如所谓的医疗设备劫持就是攻击方式之一。一旦医疗设备被入侵,病患的健康,安全和隐私都面临巨大的风险。
传统的安全解决方案是建立在已知恶意软件的特性和行为基础之上的,保护的是性质相同的IT网络,对于今天不断增长的,由类型复杂缺乏标准化的特定用途医疗设施组成的网络,传统的网络被动防御的方法并不奏效。急需一种新的安全保护的替代方案。
发明内容
为此,本发明提供了一种医疗网络的安全监控方法和系统,用于解决医疗网络的安全隐患,通过对医疗网络上传输的数据进行分析,发现网上所有在线的医疗设备,并根据这些网络传输数据确定在线医疗设备的正常行为模式,一旦在网络传输指令中发现异常的控制指令或信息,立即存档并生成告警信息发送至医疗网络管理平台。
为达到上述目的,本发明的技术方案是这样实现的:
在现有医疗网络的每一个子网的交换机上设置镜像端口,将通过该交换机的所有网络数据映射到该镜像端口,将安全监控设备连接在镜像端口上,所有的安全监控设备均通过VPN通道与远程的服务器或云服务器相连。
安全监控设备获得所在子网的网络数据后,依照所在子网的网络通信协议对网络数据进行深度包解析,并将解析后的元数据通过VPN信道发送给远程服务器。远程服务器对接收到的数据进行聚类分析,确定对应特定IP地址的设备类型和配置,通过这样的方式发现全部安全监视设备所在子网的在线医疗设备的数量和类型。安全监视设备持续将实时的元数据发送给远程服务器,远程服务器根据元数据的分类和配置、源IP地址、目的IP地址、数据包类型、数据类型跟踪医疗设备的行为,对设备的行为进行模式识别,进而分析确定对应医疗设备的正常行为模式。并将所有设备行为归档。当远程服务器发现在线医疗设备的当前记录不符合对应的医疗设备正常行为模式,确定医疗设备发生异常行为,远程服务器对异常行为进行风险评估后生成报警记录,报告给现有的网络管理平台,以便根据风险程度对异常医疗设备实施隔离。
本发明的优点和有益效果:该方法和系统无需对现有的医疗设备作任何修改,不需要在医疗设备上加装代理软件,是一种积极的安全措施,能够对医疗网络上在线医疗设备数量和类型一目了然,对在线医疗设备的运行进行实时跟踪,自动识别医疗设备的正常行为模式,并感知异常状况的发生,提升医疗网络的安全防护能力。
附图说明
图1是本发明具体实施例方法的网络拓扑示意图;
图2是本发明具体实施例安全监视设备的结构示意图;
图3是本发明具体实施例中远程服务器的结构示意图;
图4是本发明具体实施例中信息流程图。
附图标记:
100-安全监视设备,
110-处理器
120-存储器
130-网络通信接口
140-数据捕获模块
150-数据分析模块
160-数据加密通信模块
200-远程服务器
210-处理器
220-存储器
230-网络通信接口
240-网络数据解密模块
250-设备发现模块
260-行为模式识别模块
270-异常处理模块
300-交换机
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
医疗网络的安全保障方案的基本原理是:在一个医疗网络中包含若干子网络,每个子网络包括一台网络交换机完成所在子网的网络数据交换,通过对网络交换机的设置将包括有线连接和无线连接的所有的网络通信映射到一个端口,将安全监视设备连接到该镜像端口。
安全监视设备根据网络通信协议对医疗子网的所有网络通信数据进行深度包解析,得到包括数据源地址和目的地址、数据包类型、数据类型等信息,例如,当医疗网络使用DICOM通信协议时,安全监视设备在获得了网络交易数据的源IP地址、目的IP地址后,根据TCP/UD端口确定上层是DICOM服务,根据不同服务的不同参数,对DICOM消息或DICOM协议数据单元(PDU)进行解析,并将这些解析后的信息通过加密通道发送至远程服务器进行进一步的分析和处理。
具体来说,DICOM中,标签由组标记和元标记组成,可以理解为组标记为影像信息做了大的分类,元标记在大类中分小类,总之标签的功能是区分每个信息并分类,这种包括标签、长度和数据的信息被成为元素,有时元素中可以包括类型定义,用来标记该元素的数据类型,实际上,DICOM文件就是由不同元素组成的,这些元素的组合叫做数据集,DICOM协议中,传输和存储的内容都是数据集,要执行不同的服务,需要使用不同的数据集,例如定义CT影像,我们可以把它先分为病人信息、诊断信息、序列信息和影像信息,其中病人信息可以包括姓名、编号、性别、年龄等,同样诊断信息、序列信息、影像信息也可以再细化,在DICOM中,这种可以细化分类的对象叫做信息对象,每个信息对象有多个数据元素组成,DICOM标准已经定义了不同的信息对象,因此要定义数据集,只需要找到该数据集包括的信息对象,然后把各个信息对象包括的元素找出来,最后对元素按标签顺序排序,就可以得到需要的数据集,就好象链表一样,但是,有的数据元素可以包括一个或多个数据集,因此我们可以把DICOM的数据集看作二叉树结构。
远程服务器从各个安全监视设备接收到已经分解的元数据进行进一步的分析,每一个数据交换都生成一个记录,针对相同IP地址的记录就形成了该IP地址对应医疗设备的历史纪录,通过对同一IP地址的数据作进一步的数据包和数据类型的分析,远程服务器得到该IP地址对应的医疗设备的配置信息,最终确定该IP地址对应的医疗设备类型和具体配置。通过这个方法,远程服务器可以确定所有在线的医疗设备的类型和配置。
在了解了在线医疗设备类型和配置的前提下,远程服务器根据累积的历史记录,医疗设备的配置资料和现有医疗网络所使用的网络通信协议(例如DICOM)通过机器学习的算法建立和更新医疗设备的正常行为模式,所述正常行为模式可以是规定的医疗设备进行数据的采集的时间、数据采集的顺序、控制指令的来源、控制指令的格式等等,这些信息都存储在数据库中;当远程服务器接收到安全监视设备获得的相关控制指令与现有的正常行为模式不符时,所述的与正常行为不符包括但不限于控制信息来源于未知主机、控制指令数据为非法数据、在规定的时间以外的指令等等,则远程服务器记录该异常信息,自动生成告警数据并通过网络向现有医疗网络管理平台报告。
医疗网络的安全监控系统结构如下:
医疗网络的组成实例在图1中显示,在一个医疗网络中,由病房医疗子网、图像存档及通信系统(PACS)、和其它医疗子网组成(例如检验信息系统(LIS)、放射信息系统(RIS)、临床信息系统(CIS)等)。每个医疗子网中可能包括了若干以有线方式连接的医疗设备和若干以无线方式连接的医疗设备,工作站和服务器,所有设备通过以太网上的TCP/IP传输方式进行消息和数据的交换。所有医疗子网内的网络数据都被映射到该子网的交换机300的镜像端口上,每个医疗子网交换机300的镜像端口与安全监视设备100-1~100-K相连。各个医疗子网的安全监视设备通过VPN等加密通道和互联网与远程服务器200相连。
安全监视100(100-1~100-K)设备的组成示例在图2中显示,其中处理器110负责所有设备的计算和管理,存储器120存储所有需要保留的数据和信息,安全监视设备100通过网络通信接口130与医疗子网交换机300(300-1~300-K)的镜像端口相连接收医疗子网的网络数据,通过深度包解析从网络通讯数据获得与特定医疗设备相关的元数据,经加密通信模块160加密后通过网络接口130发送给远程服务器200。
远程服务器200的系统组成示例在图3中显示,其中处理器210负责所有设备的计算和管理;存储器220存储所有需要保留的数据和信息;网络通信接口230负责接收来自各个医疗子网加密的元数据,同时也发送告警信息到现有的医疗网络管理平台;网络数据解密模块将来自医疗子网的数据解密获得元数据,发送至设备发现模块250并存储至存储模块220;设备发现模块250从元数据中获得与医疗设备相关的源IP地址、目的IP地址、数据包类型、数据类型、和其它的信息,并根据这些信息分析后生成或更新事件记录、访问记录、和系统记录,并为涉及的医疗设备生成或更新历史纪录,进一步地,设备发现模块250利用机器学习根据已有的历史记录和当前信息进行聚类分析,当信息足够确定相关医疗设备的类型和配置时,为该医疗设备建立包括具体配置的资料档案,并存储在存储器220上,举例来说,当收集到的医疗设备的源IP地址、目的IP地址、设备型号和参数数据、访问记录、系统记录等等,采集到了比较全面的完善的医疗设备信息后,建立包括该医疗设备的具体配置资料档案;医疗设备行为模式识别模块260是根据特定的医疗设备的具体资料结合历史数据,通过机器学习的方法创建该医疗设备的正常行为模式,所述正常行为模式可以是规定的医疗设备进行数据的采集的时间、数据采集的顺序、控制指令的来源、控制指令的格式等等。并存储下来用于异常行为处理模块270对后续网络流量的判断;异常行为处理模块270根据医疗设备的正常行为模式和配置资料通过机器学习的算法判定当前的网络数据流量是否符合正常行为模式,例如是否来源于可信主机、控制指令是否符合正常使用的规律、控制指令数据是否合法等等,如果发现任何一项异常,异常行为处理模块在生成事件记录之后,自动产生告警信息,并将告警信息封装为可以传输的数据包发送到网络通信接口230,进一步由网络通信接口230发送至现有的医疗网络管理平台。
图4是远程服务器在处理医疗子网的网络数据时的流程举例,首先如步骤S1,将一条来自安全监视设备经过加密的网络交易数据进行解密;如步骤S2,获得解密后的网络交易元数据;如步骤3,根据源IP地址和目的IP地址确定该交易数据所属的医疗设备;如步骤S4,生成该医疗设备的事件记录,若已经存在针对相同IP地址的事件记录,则更新该医疗设备的历史纪录,否则生成该IP地址的历史纪录;如步骤S5,检查该交易数据关联的医疗设备是否存在配置档案资料;如步骤S6,若步骤5中判断没有该交易数据关联的医疗设备配置档案存档,则创建该医疗设备的配置文件,并存档;如步骤S7,若5中判断有该交易数据关联的医疗设备配置档案存档,则调取相关配置资料,结合历史数据对当前网络数据为下一步进行行为分析做准备;如步骤S8,检查当前数据涉及的医疗设备是否已经由正常行为模式存档,若没有,执行步骤10,若已有正常行为模式存档,执行步骤S9;如步骤S9,读取网络交易数据相关的医疗设备的正常行为模式;如步骤S10,判断当前网络交易数据和历史记录是否足以生成该医疗设备的正常行为模式,若可以,执行步骤S12,否则执行S4;如步骤S11,根据相关的医疗设备正常行为模式判断当前网络数据表达的行为是否符合正常的行为模式,符合则返回步骤S2接收下一条解密后的网络交易元数据,否则,执行步骤S13;如步骤S12,根据当前数据和历史纪录生成相关医疗设备的正常行为模式,存档并执行步骤S14;如步骤S13,发现医疗设备异常行为,更新历史数据,保留异常行为数据,并生成告警信息并发送至现有医疗网络管理平台,然后返回步骤S2,接收下一条网络交易数据。
医疗网络的安全监控方法如下:
安全监视设备通过交换机采集所有在医疗网络上传输数据,通过交换机镜像端口采集所在医疗网络上所有的传输数据;根据医疗网络使用的通信协议对采集来的数据进行处理分析,安全监视设备对在镜像端口采集到的数据进行深度包解析获得相关医疗设备的元数据,即对TCP数据中传输的文件信息进行分析获得相关的网络交易数据,生成与在线医疗设备相关的事件记录;其中,元数据发送给远程服务器,为了元数据传输的安全,可以通过加密通道向远程服务器发送元数据。
将事件记录用于生成与之相关的医疗设备的历史数据,并存储在远程服务器中;所述远程服务器根据各个医疗设备的历史数据,根据历史数据确定相关医疗设备的类型,将所述医疗设备进行分类,基于分类信息得到所述医疗设备的配置信息;根据当前操作的事件记录实时更新显示相关医疗设备的历史资料;形成医疗设备的正常行为模式档案数据;当新的事件记录与正常行为模式不相符,确定所述医疗设备异常;更新设备档案数据并报告异常信息。
需要说明的是,确定有效载荷中的交易数据的方法多种多样,比如:所述远程服务器根据所述数据包的来源,对其进行深度包解析来确定有效载荷中的交易数据;或者,所述远程服务器根据所述数据包的目的地,对其进行深度包解析来确定有效载荷中的交易数据;或者,所述远程服务器根据所述数据包的类型,对其进行深度包解析来确定有效载荷中的交易数据;或者,所述远程服务器根据所述数据包的数据类型,对其进行深度包解析来确定有效载荷中的交易数据。
所述远程服务器根据所述医疗设备交易数据生成事件记录,和/或根据医疗设备交易数据生成访问记录,和/或根据医疗设备交易数据生成系统记录和/或事件记录的部分或全部用于生成所述医疗设备的历史数据。
所述远程服务器根据所述的医疗设备的历史数据记录确定所述医疗设备的正常行为模式;所述远程服务器根据所述的医疗设备的正常行为模式和事件记录、访问记录和系统记录确定所述医疗设备的异常行为,从而实现对医疗网络的安全监控,确保医疗网络和数据的安全。
应该注意的是,上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包括”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (23)
1.一种医疗网络的安全监控的方法,其特征在于,
安全监视设备通过交换机采集在医疗网络上传输的数据;
根据医疗网络使用的通信协议对采集来的数据进行处理分析,生成与在线医疗设备相关的事件记录;
将所述事件记录用于生成与之相关的医疗设备的历史数据,并存储在远程服务器中;
远程服务器,根据历史数据确定相关医疗设备的类型,根据各个医疗设备的历史数据,将所述医疗设备进行分类,基于分类信息得到所述医疗设备的配置信息;
所述远程服务器根据所述的医疗设备的历史数据记录确定所述医疗设备的正常行为模式;
根据当前操作的事件记录实时更新显示相关医疗设备的历史资料,形成医疗设备的正常行为模式档案数据;
当新的事件记录与正常行为模式不相符,确定所述医疗设备异常,更新设备的档案数据并报告异常信息;
所述正常行为模式包括所述医疗设备进行数据的采集的时间、数据采集的顺序、控制指令的来源、控制指令。
2.根据权利要求1所述的医疗网络的安全监控的方法,其特征在于,所述安全监视设备采集所述医疗网络上传输数据的方法是:通过交换机镜像端口采集所在医疗网络上所有的传输数据。
3.根据权利要求1所述的医疗网络的安全监控的方法,其特征在于,根据医疗网络中使用的通信协议,所述安全监视设备对在镜像端口采集到的数据进行深度包解析获得相关医疗设备的元数据,即对TCP数据中传输的文件信息进行分析获得相关的网络交易数据,所述安全监视设备将采集并分析后的元数据发送给远程服务器。
4.根据权利要求1所述的医疗网络的安全监控的方法,其特征在于,所述安全监视设备通过加密通道向所述远程服务器发送元数据。
5.根据权利要求1所述的医疗网络的安全监控的方法,其特征在于,所述远程服务器根据所述数据包的来源、目的地、类型、数据类型中的任一个,对其进行深度包解析来确定有效载荷中的交易数据。
6.根据权利要求1要求所述的医疗网络的安全监控的方法,其特征在于,所述远程服务器根据所述医疗设备交易数据生成事件记录,事件记录的部分或全部用于生成所述医疗设备的历史数据。
7.根据权利要求1要求所述的医疗网络的安全监控的方法,其特征在于,所述远程服务器根据所述医疗设备交易数据生成访问记录,访问记录的部分或全部用于生成所述医疗设备的历史数据。
8.根据权利要求1要求所述的医疗网络的安全监控的方法,其特征在于,所述远程服务器根据所述医疗设备交易数据生成系统记录,系统记录的部分或全部用于生成所述医疗设备的历史数据。
9.根据权利要求1所述的医疗网络的安全监控的方法,其特征在于,所述远程服务器根据所述的医疗设备的正常行为模式和事件记录、访问记录和系统记录确定所述医疗设备的异常行为。
10.一种医疗网络的安全监控系统,其特征在于,所述医疗网络的安全监控系统包括分布在不同子网中的安全监视设备和远程服务器;所述安全监视设备与所述远程服务器通过互联网连接;
所述安全监视设备捕获所在医疗子网的网络数据;
所述安全监视设备对捕获到的数据进行深度解析;
将分析得到的元数据发送至所述的远程服务器;
所述远程服务器利用接收到所述的元数据生成事件记录;并使用事件记录生成相关医疗设备历史数据;根据医疗设备的历史数据,所述远程服务器确定所述医疗设备的分类和类型;
所述远程服务器根据最新的事件记录实时更新所述医疗设备当前的运行状态,并存储事件记录;
所述远程服务器根据所述医疗设备的类型和实际运行的历史记录获得所述医疗设备的正常运行行为模式;
所述远程服务器利用事件记录和医疗设备类型配置判断所述医疗设备不符合正常行为模式的异常行为;所述远程服务器更新出现异常行为的医疗设备的事件记录;
所述远程服务器将符合预先设定异常等级的告警信息发送至现有网络管理平台,
所述正常行为模式包括所述医疗设备进行数据的采集的时间、数据采集的顺序、控制指令的来源、控制指令。
11.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述安全监视设备中的数据捕获模块通过所在网络中的交换机的镜像端口获得所有所在网络的通信数据。
12.根据权利要求11所述的医疗网络的安全监控系统,其特征在于,所述安全监视设备中的数据分析模块根据正在使用的网络通信协议解析有效载荷中的信息,获得元数据。
13.根据权利要求11所述的医疗网络的安全监控系统,其特征在于,所述安全监视设备通过网络通信接口将解析出与医疗设备相关的元数据和与之相关的IP地址发送到所述远程服务器进行进一步的分析。
14.根据权利要求11所述的医疗网络的安全监控系统,其特征在于,所述安全监视设备的网络通信接口和远程服务器网络通信接口之间的通信通过虚拟私有网络进行数据传输。
15.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器通过网络通信接口接收来自所述安全监视设备的元数据。
16.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器根据相关医疗设备的历史数据,将所述的医疗设备进行分类,基于分类信息得到所述医疗设备的配置信息。
17.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器中的数据解析模块根据所述医疗设备的标识,对其进行深度包解析来鉴别有效载荷中的交易数据。
18.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器中的数据解析模块根据所述数据包的源地址、目的地址、类型、数据类型中的任一个,对其进行深度包解析来鉴别有效载荷中的交易数据。
19.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器根据所述的医疗设备交易数据生成访问记录,访问记录的部分或全部用于生成所述医疗设备的历史数据。
20.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器根据所述的医疗设备交易数据生成系统记录,系统记录的部分或全部用于生成所述医疗设备的历史数据。
21.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器根据所述的医疗设备交易数据生成事件记录,事件记录的部分或全部用于生成所述医疗设备的历史数据。
22.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器医疗设备行为分析模块根据所述医疗设备的历史记录,确定所述医疗设备的正常行为模式。
23.根据权利要求10所述的医疗网络的安全监控系统,其特征在于,所述远程服务器医疗设备行为分析模块根据所述医疗设备档案资料中的正常行为模式和事件记录确定异常设备行为的发生。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710382924.6A CN107087008B (zh) | 2017-05-26 | 2017-05-26 | 一种医疗网络的安全监控方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710382924.6A CN107087008B (zh) | 2017-05-26 | 2017-05-26 | 一种医疗网络的安全监控方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107087008A CN107087008A (zh) | 2017-08-22 |
| CN107087008B true CN107087008B (zh) | 2021-09-07 |
Family
ID=59607627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710382924.6A Expired - Fee Related CN107087008B (zh) | 2017-05-26 | 2017-05-26 | 一种医疗网络的安全监控方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107087008B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107610743A (zh) * | 2017-11-09 | 2018-01-19 | 同心医联科技(北京)有限公司 | 基于互联网云技术的医学影像检查与诊断综合解决系统 |
| CN108172288A (zh) * | 2018-01-05 | 2018-06-15 | 深圳倍佳医疗科技服务有限公司 | 医疗设备智能监控方法、装置及计算机可读存储介质 |
| CN111049762A (zh) * | 2019-12-23 | 2020-04-21 | 上海金仕达软件科技有限公司 | 数据采集方法、装置、存储介质及交换机 |
| CN111256757A (zh) * | 2020-02-25 | 2020-06-09 | 深圳哈维生物医疗科技有限公司 | 基于云计算的医疗设备监控系统及方法 |
| DE102020117984A1 (de) * | 2020-07-08 | 2022-01-13 | Drägerwerk AG & Co. KGaA | Netzwerkgerät und Medizinsystem zur Detektion mindestens eines Netzwerkproblems |
| CN111885166B (zh) * | 2020-07-24 | 2023-09-05 | 西门子(中国)有限公司 | 一种获取dicom文件的方法、装置和系统 |
| CN111740883B (zh) * | 2020-08-11 | 2021-01-26 | 杭州海康威视数字技术股份有限公司 | 连接控制方法、系统、装置及电子设备 |
| CN113452755B (zh) * | 2021-05-25 | 2023-04-18 | 白杨智慧医疗信息科技(北京)有限公司 | 医疗设备数据处理方法、装置和电子设备 |
| CN114023428A (zh) * | 2021-11-08 | 2022-02-08 | 上海交通大学医学院附属第九人民医院 | 医院信息系统的网络接口管理装置、方法及存储介质 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020077801A1 (en) * | 2001-06-29 | 2002-06-20 | Superwings, Inc. | Facilited remote console and terminal emulator |
| CN102082836B (zh) * | 2009-11-30 | 2013-08-14 | 中国移动通信集团四川有限公司 | 一种dns安全监控系统及方法 |
| CN102487525A (zh) * | 2010-12-02 | 2012-06-06 | 中国移动通信集团上海有限公司 | 告警信息传输方法、无线传感器节点设备、网关节点设备 |
| CN203720609U (zh) * | 2013-11-20 | 2014-07-16 | 侯军 | 一种基于物联网的医疗设备电气安全监控系统 |
| CN104363253B (zh) * | 2014-12-12 | 2016-10-26 | 北京奇虎科技有限公司 | 网站安全检测方法与装置 |
| CN105991319A (zh) * | 2015-02-06 | 2016-10-05 | 杭州与盟医疗技术有限公司 | 一种基于网络的医疗设备智能监控系统 |
| CN204989330U (zh) * | 2015-06-29 | 2016-01-20 | 上海仪器仪表研究所 | 一种医疗电气设备安全性测试装置 |
| CN106324376A (zh) * | 2015-06-29 | 2017-01-11 | 上海仪器仪表研究所 | 一种集成化的医疗现场安全性测试系统及方法 |
| CN105262730B (zh) * | 2015-09-14 | 2018-07-17 | 北京华青融天技术有限责任公司 | 基于企业域名安全的监控方法及装置 |
-
2017
- 2017-05-26 CN CN201710382924.6A patent/CN107087008B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN107087008A (zh) | 2017-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107087008B (zh) | 一种医疗网络的安全监控方法和系统 | |
| US10949534B2 (en) | Method for predicting and characterizing cyber attacks | |
| Atlam et al. | Security, cybercrime and digital forensics for IoT | |
| CN111010409B (zh) | 加密攻击网络流量检测方法 | |
| EP3593508A1 (en) | Identifying malicious network devices | |
| US20080196102A1 (en) | Device, system and method for use of micro-policies in intrusion detection/prevention | |
| US11606377B1 (en) | Device classification for identifying anomolous activity | |
| US20230231860A1 (en) | Iot device identification by machine learning with time series behavioral and statistical features | |
| KR20150091775A (ko) | 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템 | |
| US20150358292A1 (en) | Network security management | |
| US20240146753A1 (en) | Automated identification of false positives in dns tunneling detectors | |
| Boddy et al. | A study into detecting anomalous behaviours within healthcare infrastructures | |
| Berthier et al. | On the practicality of detecting anomalies with encrypted traffic in AMI | |
| US11863577B1 (en) | Data collection and analytics pipeline for cybersecurity | |
| JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| US11956212B2 (en) | IoT device application workload capture | |
| EP3718284B1 (en) | Extending encrypted traffic analytics with traffic flow data | |
| CN113923036B (zh) | 一种持续免疫安全系统的区块链信息管理方法及装置 | |
| CA3170191C (en) | Techniques for detecting exploitation of medical device vulnerabilities | |
| CN207083113U (zh) | 一种医疗网络的安全监视设备 | |
| CN207083112U (zh) | 一种医疗网络的监控系统 | |
| CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
| Arshi et al. | IoT Forensics | |
| US20240089270A1 (en) | Detecting malicious behavior from handshake protocols using machine learning | |
| CN116015961B (zh) | 下挂终端设备的控制处理方法、安全cpe、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Hu Hao Inventor after: Hou Haibo Inventor after: He Yueying Inventor after: Zhang Xiaoming Inventor after: Sun Zhonghao Inventor after: Zhang Jiawei Inventor after: Liu Zhongjin Inventor after: Fang Zhejun Inventor after: Shine Inventor after: Zhuo Zihan Inventor after: Li Jianqiang Inventor after: He Xiaomei Inventor after: Jin Xianshan Inventor after: Chen Gang Inventor after: Wang Minghua Inventor after: Fu Gang Inventor after: Liu Qing Inventor after: Li Zhi Inventor after: Li Yuan Inventor before: Hu Hao Inventor before: Hou Haibo Inventor before: He Xiaomei Inventor before: Jin Xianshan Inventor before: Chen Gang Inventor before: Wang Minghua Inventor before: Fu Gang Inventor before: Liu Qing Inventor before: Li Zhi Inventor before: Li Yuan |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180403 Address after: 100192, B, B407, fortune 8, science and technology center, No. Xue Qing Road, Beijing Applicant after: BEIJING LANXUM NEW TECHNOLOGY Co.,Ltd. Applicant after: HANGZHOU GUYI NETWORK TECHNOLOGY CO.,LTD. Applicant after: NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER Address before: 100192, B, B407, fortune 8, science and technology center, No. Xue Qing Road, Beijing Applicant before: BEIJING LANXUM NEW TECHNOLOGY Co.,Ltd. Applicant before: HANGZHOU GUYI NETWORK TECHNOLOGY CO.,LTD. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210907 |