CN111767571A - 一种医疗数据泄露的检测方法 - Google Patents
一种医疗数据泄露的检测方法 Download PDFInfo
- Publication number
- CN111767571A CN111767571A CN202010592676.XA CN202010592676A CN111767571A CN 111767571 A CN111767571 A CN 111767571A CN 202010592676 A CN202010592676 A CN 202010592676A CN 111767571 A CN111767571 A CN 111767571A
- Authority
- CN
- China
- Prior art keywords
- medical data
- data transmission
- network
- medical
- community
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title abstract description 6
- 230000005540 biological transmission Effects 0.000 claims abstract description 79
- 230000006399 behavior Effects 0.000 claims abstract description 7
- 238000000638 solvent extraction Methods 0.000 claims description 6
- 238000000034 method Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 claims description 4
- 101100379081 Emericella variicolor andC gene Proteins 0.000 claims description 3
- 238000010276 construction Methods 0.000 claims description 3
- 239000011159 matrix material Substances 0.000 claims description 3
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 2
- 230000014759 maintenance of location Effects 0.000 abstract 1
- 238000012800 visualization Methods 0.000 abstract 1
- 238000007405 data analysis Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000282414 Homo sapiens Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 201000010099 disease Diseases 0.000 description 1
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16H—HEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
- G16H40/00—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
- G16H40/20—ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management or administration of healthcare resources or facilities, e.g. managing hospital staff or surgery rooms
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- Medical Informatics (AREA)
- Epidemiology (AREA)
- Public Health (AREA)
- Primary Health Care (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Biomedical Technology (AREA)
- Medical Treatment And Welfare Office Work (AREA)
Abstract
本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:构建医疗数据传输关系网络;从医疗数据网络流量数据出发,在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为;对医疗数据传输关系网络进行社区发现;疑似目标识别,执行社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;可视化显示与证据留存。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种医疗数据泄露的检测方法。
背景技术
大数据中的医疗数据与人类的健康生活息息相关,随着大数据的发展、信息化的加快,医疗卫生信息平台、数字化的医疗设备与仪器迅速普及,导致医疗领域内的数据呈爆炸式增长,医疗数据几乎涉及病患的所有隐私数据,包括:身份信息、健康信息、消费信息等多种涉及病患隐私的数据信息,医疗数据涉及的数据类型繁多、数据之间的关系复杂,敏感的医疗数据安全问题备受关注。
现有技术中,并未对医疗系统中的数据泄露进行关注,黑客窃取或医疗系统内部人员泄露病患的隐私数据,并从中牟利的情形时有发生,而往往在数据泄露事件发生后,病患向医疗机构投诉或在媒体平台上曝光,造成不可扭转的舆论影响后,医疗机构才能得知数据泄露事件的发生。医疗系统的安全性急需提高,特别需要一种能够主动检测医疗数据泄露发生的方法。
发明内容
本发明的主要目的在于提出一种医疗数据泄露的检测方法,旨在解决如何提高医疗系统的数据安全性,主动发现医疗系统内的数据泄露情况的问题。
为实现上述目的,本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在连个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的设备之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点i与j之间的连接关系,如果i与j间不存在连接边,则A ij =0,如果i与j间存在连接边,则A ij 表示i与j之间的权重;k i 和k j 表示节点i与j的度;C i 和C j 表示节点i与j所在的社区,如果i与j在同一社区,则
=1,否则
=0;
其中步骤2具体包括:
步骤2.1,获取初始处理的医疗数据传输关系网络节点数量为m,首先使用独立的社区编号对医疗数据传输关系网络中的节点编号,每个节点都有个一个唯一的编号,接着,对节点排序,按照顺序进行遍历所有节点,计算加入节点后的模块度Q,直到Q不再发生变化后停止;
步骤2.2,针对第一阶段的划分结果,将第一阶段得到的每个社区进行合并,作为一个节点,构建一个新的子图,在新的子图中,每个节点的权值就是第一阶段发现的每个社区内部边的权值和,然后继续按照第一阶段的方式,重复执行迭代,直到模块度不在发生变化为止,这样就得到近似收敛的最大模块度值,最后的划分结果就是近似社区发现的最优解;
步骤3,根据社区发现的结果疑似目标识别,通过在医疗数据传输关系网络执行上述社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社团划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径等信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
本发明的有益效果包括:(1)采用louvain算法对通过网关节点的医疗数据传输关系网络进行社区发现,能够有效识别出数据泄露事件。(2)将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,可以方便管理者直观地查看系统安全情况,并且将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存,为后续处理提供了有力的证据支持。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在连个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
由于医疗系统一般采用C/S或B/S架构,对医疗系统的入侵行为一般会经过医疗系统网关节点,例如通过入侵医疗系统服务器或根据窃取的医疗系统账户信息进行登录,正常的医疗系统中的主机节点一般会有复杂的网络访问行为,节点间存在数据协作行为,而入侵节点往往存在较为单一的行为特征,因此,在医疗系统的网关节点可以捕获绝大多数医疗系统节点行为数据。
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的设备之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点i与j之间的连接关系,如果i与j间不存在连接边,则A ij =0,如果i与j间存在连接边,则A ij 表示i与j之间的权重;k i 和k j 表示节点i与j的度;C i 和C j 表示节点i与j所在的社区,如果i与j在同一社区,则
=1,否则
=0;
其中步骤2具体包括:
步骤2.1,获取初始处理的医疗数据传输关系网络节点数量为m,首先使用独立的社区编号对医疗数据传输关系网络中的节点编号,每个节点都有个一个唯一的编号,接着,对节点排序,按照顺序进行遍历所有节点,计算加入节点后的模块度Q,直到Q不再发生变化后停止;
步骤2.2,针对第一阶段的划分结果,将第一阶段得到的每个社区进行合并,作为一个节点,构建一个新的子图,在新的子图中,每个节点的权值就是第一阶段发现的每个社区内部边的权值和,然后继续按照第一阶段的方式,重复执行迭代,直到模块度不在发生变化为止,这样就得到近似收敛的最大模块度值,最后的划分结果就是近似社区发现的最优解;
步骤3,根据社区发现的结果疑似目标识别,通过在医疗数据传输关系网络执行上述社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
具体的,可以预设数据分析规则,如按照预定周期内的数据传输数量、数据传输频率、数据传输时间等设定阈值,识别出存在异常行为的数据传输节点,作为发现医疗数据泄露的判断标准。
实践中,由于数据分析规则的局限性,还可以按周期将发现的独立的社团信息写入系统安全报告,以邮件的形式定期发送给系统管理员,由系统管理员经过专家系统对系统安全报告中的内部节点数量较少的社团进行安全性确认。
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社团划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径等信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
具体地,在对识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上时,可以使用HTML5技术,将构建出的医疗数据传输关系网络整体显示在界面上,并对识别出的疑似发生数据泄露的医疗数据传输目标节点进行高亮显示,用户可以对关系网络进行缩放显示,当缩放至当前目标节点后,基于当前缩放比例和系统界面尺寸,可以对疑似发生数据泄露的医疗数据传输目标的信息,如IP地址、系统信息、最近数据传输事件的发生时间等信息进行显示。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (1)
1.一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在连个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的设备之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点i与j之间的连接关系,如果i与j间不存在连接边,则A ij =0,如果i与j间存在连接边,则A ij 表示i与j之间的权重;k i 和k j 表示节点i与j的度;C i 和C j 表示节点i与j所在的社区,如果i与j在同一社区,则§(C i , C j )=1,否则§(C i , C j )=0;
其中步骤2具体包括:
步骤2.1,获取初始处理的医疗数据传输关系网络节点数量为m,首先使用独立的社区编号对医疗数据传输关系网络中的节点编号,每个节点都有个一个唯一的编号,接着,对节点排序,按照顺序进行遍历所有节点,计算加入节点后的模块度Q,直到Q不再发生变化后停止;
步骤2.2,针对第一阶段的划分结果,将第一阶段得到的每个社区进行合并,作为一个节点,构建一个新的子图,在新的子图中,每个节点的权值就是第一阶段发现的每个社区内部边的权值和,然后继续按照第一阶段的方式,重复执行迭代,直到模块度不在发生变化为止,这样就得到近似收敛的最大模块度值,最后的划分结果就是近似社区发现的最优解;
步骤3,根据社区发现的结果疑似目标识别,通过在医疗数据传输关系网络执行上述社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社团划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径等信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010592676.XA CN111767571B (zh) | 2020-06-25 | 2020-06-25 | 一种医疗数据泄露的检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010592676.XA CN111767571B (zh) | 2020-06-25 | 2020-06-25 | 一种医疗数据泄露的检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111767571A true CN111767571A (zh) | 2020-10-13 |
| CN111767571B CN111767571B (zh) | 2022-03-11 |
Family
ID=72722056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010592676.XA Expired - Fee Related CN111767571B (zh) | 2020-06-25 | 2020-06-25 | 一种医疗数据泄露的检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111767571B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101013976A (zh) * | 2007-02-05 | 2007-08-08 | 南京邮电大学 | 无线传感器网络的混合入侵检测方法 |
| US20170250796A1 (en) * | 2016-02-18 | 2017-08-31 | Gideon Samid | Trans Vernam Cryptography: Round One |
-
2020
- 2020-06-25 CN CN202010592676.XA patent/CN111767571B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101013976A (zh) * | 2007-02-05 | 2007-08-08 | 南京邮电大学 | 无线传感器网络的混合入侵检测方法 |
| US20170250796A1 (en) * | 2016-02-18 | 2017-08-31 | Gideon Samid | Trans Vernam Cryptography: Round One |
Non-Patent Citations (1)
| Title |
|---|
| 潘潇 等: "基于社交网络的犯罪团伙发现算法研究", 《软件导刊》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112653669A (zh) * | 2020-12-04 | 2021-04-13 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
| CN112653669B (zh) * | 2020-12-04 | 2022-08-12 | 智网安云(武汉)信息技术有限公司 | 网络终端安全威胁预警方法、系统及网络终端管理装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111767571B (zh) | 2022-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108494810B (zh) | 面向攻击的网络安全态势预测方法、装置及系统 | |
| US8191149B2 (en) | System and method for predicting cyber threat | |
| CN112367307B (zh) | 一种基于容器级蜜罐群的入侵检测方法及系统 | |
| US7260844B1 (en) | Threat detection in a network security system | |
| US8224761B1 (en) | System and method for interactive correlation rule design in a network security system | |
| CN107517216B (zh) | 一种网络安全事件关联方法 | |
| JP7101272B2 (ja) | データ来歴を介した自動脅威アラートトリアージ | |
| US20220239630A1 (en) | Graphical representation of security threats in a network | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| CN111355697A (zh) | 僵尸网络域名家族的检测方法、装置、设备及存储介质 | |
| EP2498470A1 (en) | Multiple hypothesis tracking | |
| CN111835681B (zh) | 一种大规模流量异常主机检测方法和装置 | |
| CN114978568A (zh) | 使用机器学习进行数据中心管理 | |
| JP2019101672A (ja) | サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置 | |
| US20190356571A1 (en) | Determining attributes using captured network probe data in a wireless communications system | |
| CN111221722A (zh) | 行为检测方法、装置、电子设备及存储介质 | |
| CN113315760A (zh) | 一种基于知识图谱的态势感知方法、系统、设备及介质 | |
| Sen et al. | On using contextual correlation to detect multi-stage cyber attacks in smart grids | |
| CN114125848A (zh) | 一种电力移动互联业务安全防护方法及系统 | |
| CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
| US20120284381A1 (en) | Systems, methods and devices for extracting and visualizing user-centric communities from emails | |
| CN113312519A (zh) | 一种基于时间图算法的企业网数据异常检测方法、系统计算机设备及存储介质 | |
| CN110912933B (zh) | 一种基于被动测量的设备识别方法 | |
| CN115296888B (zh) | 数据雷达监测系统 | |
| CN114039837B (zh) | 告警数据处理方法、装置、系统、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220311 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |