CN111767571B - 一种医疗数据泄露的检测方法 - Google Patents

一种医疗数据泄露的检测方法 Download PDF

Info

Publication number
CN111767571B
CN111767571B CN202010592676.XA CN202010592676A CN111767571B CN 111767571 B CN111767571 B CN 111767571B CN 202010592676 A CN202010592676 A CN 202010592676A CN 111767571 B CN111767571 B CN 111767571B
Authority
CN
China
Prior art keywords
medical data
data transmission
network
medical
leakage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010592676.XA
Other languages
English (en)
Other versions
CN111767571A (zh
Inventor
杜雄杰
姜栋
杨清百
夏天
董昌奇
龙子轩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuding Safety Technology Wuhan Co ltd
Original Assignee
Wuding Safety Technology Wuhan Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuding Safety Technology Wuhan Co ltd filed Critical Wuding Safety Technology Wuhan Co ltd
Priority to CN202010592676.XA priority Critical patent/CN111767571B/zh
Publication of CN111767571A publication Critical patent/CN111767571A/zh
Application granted granted Critical
Publication of CN111767571B publication Critical patent/CN111767571B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H40/00ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices
    • G16H40/20ICT specially adapted for the management or administration of healthcare resources or facilities; ICT specially adapted for the management or operation of medical equipment or devices for the management or administration of healthcare resources or facilities, e.g. managing hospital staff or surgery rooms

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Biomedical Technology (AREA)
  • Epidemiology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:构建医疗数据传输关系网络;从医疗数据网络流量数据出发,在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为;对医疗数据传输关系网络进行社区发现;疑似目标识别,执行社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;可视化显示与证据留存。

Description

一种医疗数据泄露的检测方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种医疗数据泄露的检测方法。
背景技术
大数据中的医疗数据与人类的健康生活息息相关,随着大数据的发展、信息化的加快,医疗卫生信息平台、数字化的医疗设备与仪器迅速普及,导致医疗领域内的数据呈爆炸式增长,医疗数据几乎涉及病患的所有隐私数据,包括:身份信息、健康信息、消费信息等多种涉及病患隐私的数据信息,医疗数据涉及的数据类型繁多、数据之间的关系复杂,敏感的医疗数据安全问题备受关注。
现有技术中,并未对医疗系统中的数据泄露进行关注,黑客窃取或医疗系统内部人员泄露病患的隐私数据,并从中牟利的情形时有发生,而往往在数据泄露事件发生后,病患向医疗机构投诉或在媒体平台上曝光,造成不可扭转的舆论影响后,医疗机构才能得知数据泄露事件的发生。医疗系统的安全性急需提高,特别需要一种能够主动检测医疗数据泄露发生的方法。
发明内容
本发明的主要目的在于提出一种医疗数据泄露的检测方法,旨在解决如何提高医疗系统的数据安全性,主动发现医疗系统内的数据泄露情况的问题。
为实现上述目的,本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在连个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
Figure RE-RE-DEST_PATH_IMAGE002
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的设备之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点ij之间的连接关系,如果ij间不存在连接边,则A ij =0,如果ij间存在连接边,则A ij 表示ij之间的权重;k i k j 表示节点ij的度;C i C j 表示节点ij所在的社区,如果ij在同一社区,则
Figure RE-DEST_PATH_IMAGE004
=1,否则
Figure RE-DEST_PATH_IMAGE004A
=0;
其中步骤2具体包括:
步骤2.1,获取初始处理的医疗数据传输关系网络节点数量为m,首先使用独立的社区编号对医疗数据传输关系网络中的节点编号,每个节点都有个一个唯一的编号,接着,对节点排序,按照顺序进行遍历所有节点,计算加入节点后的模块度Q,直到Q不再发生变化后停止;
步骤2.2,针对第一阶段的划分结果,将第一阶段得到的每个社区进行合并,作为一个节点,构建一个新的子图,在新的子图中,每个节点的权值就是第一阶段发现的每个社区内部边的权值和,然后继续按照第一阶段的方式,重复执行迭代,直到模块度不在发生变化为止,这样就得到近似收敛的最大模块度值,最后的划分结果就是近似社区发现的最优解;
步骤3,根据社区发现的结果疑似目标识别,通过在医疗数据传输关系网络执行上述社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社团划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径等信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
本发明的有益效果包括:(1)采用louvain算法对通过网关节点的医疗数据传输关系网络进行社区发现,能够有效识别出数据泄露事件。(2)将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,可以方便管理者直观地查看系统安全情况,并且将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存,为后续处理提供了有力的证据支持。
附图说明
图1为本发明的方法流程图。
具体实施方式
本发明提供的本申请提出一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在连个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
由于医疗系统一般采用C/S或B/S架构,对医疗系统的入侵行为一般会经过医疗系统网关节点,例如通过入侵医疗系统服务器或根据窃取的医疗系统账户信息进行登录,正常的医疗系统中的主机节点一般会有复杂的网络访问行为,节点间存在数据协作行为,而入侵节点往往存在较为单一的行为特征,因此,在医疗系统的网关节点可以捕获绝大多数医疗系统节点行为数据。
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
Figure RE-DEST_PATH_IMAGE002A
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的设备之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点ij之间的连接关系,如果ij间不存在连接边,则A ij =0,如果ij间存在连接边,则A ij 表示ij之间的权重;k i k j 表示节点ij的度;C i C j 表示节点ij所在的社区,如果ij在同一社区,则
Figure RE-DEST_PATH_IMAGE004AA
=1,否则
Figure RE-DEST_PATH_IMAGE004AAA
=0;
其中步骤2具体包括:
步骤2.1,获取初始处理的医疗数据传输关系网络节点数量为m,首先使用独立的社区编号对医疗数据传输关系网络中的节点编号,每个节点都有个一个唯一的编号,接着,对节点排序,按照顺序进行遍历所有节点,计算加入节点后的模块度Q,直到Q不再发生变化后停止;
步骤2.2,针对第一阶段的划分结果,将第一阶段得到的每个社区进行合并,作为一个节点,构建一个新的子图,在新的子图中,每个节点的权值就是第一阶段发现的每个社区内部边的权值和,然后继续按照第一阶段的方式,重复执行迭代,直到模块度不在发生变化为止,这样就得到近似收敛的最大模块度值,最后的划分结果就是近似社区发现的最优解;
步骤3,根据社区发现的结果疑似目标识别,通过在医疗数据传输关系网络执行上述社团划分后,得到独立的社团信息,接下来分析那些内部节点数量较少的社团,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
具体的,可以预设数据分析规则,如按照预定周期内的数据传输数量、数据传输频率、数据传输时间等设定阈值,识别出存在异常行为的数据传输节点,作为发现医疗数据泄露的判断标准。
实践中,由于数据分析规则的局限性,还可以按周期将发现的独立的社团信息写入系统安全报告,以邮件的形式定期发送给系统管理员,由系统管理员经过专家系统对系统安全报告中的内部节点数量较少的社团进行安全性确认。
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社团划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径等信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
具体地,在对识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上时,可以使用HTML5技术,将构建出的医疗数据传输关系网络整体显示在界面上,并对识别出的疑似发生数据泄露的医疗数据传输目标节点进行高亮显示,用户可以对关系网络进行缩放显示,当缩放至当前目标节点后,基于当前缩放比例和系统界面尺寸,可以对疑似发生数据泄露的医疗数据传输目标的信息,如IP地址、系统信息、最近数据传输事件的发生时间等信息进行显示。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。

Claims (1)

1.一种医疗数据泄露的检测方法,包括以下步骤:
步骤1,构建医疗数据传输关系网络;
医疗数据传输关系网络构建从医疗数据网络流量数据出发,通过在医疗系统网关节点上部署流量监控程序,获取医疗数据网络流量,分析医疗数据传输事件的源目的地址关系,源目的主机或系统作为关系网络节点,判断网络流量中是否存在医疗数据传输行为,如存在医疗数据传输行为,则在两个节点间加边,将两个节点间医疗数据传输的次数,作为边的权值,构建出医疗数据传输关系网络;
步骤2,基于louvain算法对医疗数据传输关系网络进行社区发现;定义医疗数据传输关系网络中的模块度如下:
Figure DEST_PATH_IMAGE002
其中m表示的是医疗数据传输关系网络中边的数量,即存在医疗数据传输行为的节点之间的关系数量;邻接矩阵A ij 表示医疗数据传输关系网络中节点ij之间的连接关系,如果ij间不存在连接边,则A ij =0,如果ij间存在连接边,则A ij 表示ij之间的权重;k i k j 表示节点ij的度;C i C j 表示节点ij所在的社区,如果ij在同一社区,则δ(Ci,Cj)=1,否则δ(Ci,Cj)=0;
步骤3,根据社区发现的结果疑似进行目标识别,通过在医疗数据传输关系网络执行上述社区划分后,得到独立的社区信息,接下来分析那些内部节点数量少于预定值的社区,结合传输对象的信息,识别疑似发生数据泄露的医疗数据传输目标,进而发现医疗数据泄露的情况;
步骤4,可视化显示与证据留存,将识别出的疑似发生数据泄露的医疗数据传输目标的信息显示在系统界面上,按照社区划分的结果对疑似发生数据泄露的医疗数据传输目标的信息进行归类,显示的内容还包括传输对象的信息、发生数据泄露的时间、数据泄露的网络路径信息,将识别出的疑似发生数据泄露的网络流量以pcap文件格式进行存储,文件名以传输对象标识、发生数据泄露时间进行命名,作为证据留存。
CN202010592676.XA 2020-06-25 2020-06-25 一种医疗数据泄露的检测方法 Active CN111767571B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010592676.XA CN111767571B (zh) 2020-06-25 2020-06-25 一种医疗数据泄露的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010592676.XA CN111767571B (zh) 2020-06-25 2020-06-25 一种医疗数据泄露的检测方法

Publications (2)

Publication Number Publication Date
CN111767571A CN111767571A (zh) 2020-10-13
CN111767571B true CN111767571B (zh) 2022-03-11

Family

ID=72722056

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010592676.XA Active CN111767571B (zh) 2020-06-25 2020-06-25 一种医疗数据泄露的检测方法

Country Status (1)

Country Link
CN (1) CN111767571B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112653669B (zh) * 2020-12-04 2022-08-12 智网安云(武汉)信息技术有限公司 网络终端安全威胁预警方法、系统及网络终端管理装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013976A (zh) * 2007-02-05 2007-08-08 南京邮电大学 无线传感器网络的混合入侵检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170250796A1 (en) * 2016-02-18 2017-08-31 Gideon Samid Trans Vernam Cryptography: Round One

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101013976A (zh) * 2007-02-05 2007-08-08 南京邮电大学 无线传感器网络的混合入侵检测方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于社交网络的犯罪团伙发现算法研究;潘潇 等;《软件导刊》;20181215;第17卷(第12期);第2-3节 *

Also Published As

Publication number Publication date
CN111767571A (zh) 2020-10-13

Similar Documents

Publication Publication Date Title
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
CN107517216B (zh) 一种网络安全事件关联方法
CN112367307B (zh) 一种基于容器级蜜罐群的入侵检测方法及系统
JP7101272B2 (ja) データ来歴を介した自動脅威アラートトリアージ
US20220239630A1 (en) Graphical representation of security threats in a network
CN111586046B (zh) 一种结合威胁情报和机器学习的网络流量分析方法及系统
CN111355697A (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
WO2016123522A1 (en) Anomaly detection using adaptive behavioral profiles
EP3068095A2 (en) Monitoring apparatus and method
Bryant et al. Improving SIEM alert metadata aggregation with a novel kill-chain based classification model
CN114978568A (zh) 使用机器学习进行数据中心管理
JP2019101672A (ja) サイバー攻撃情報処理プログラム、サイバー攻撃情報処理方法および情報処理装置
CN106470188A (zh) 安全威胁的检测方法、装置以及安全网关
CN113315760A (zh) 一种基于知识图谱的态势感知方法、系统、设备及介质
WO2018071356A1 (en) Graph-based attack chain discovery in enterprise security systems
CN115174251B (zh) 一种安全告警的误报识别方法、装置以及存储介质
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
CN111767571B (zh) 一种医疗数据泄露的检测方法
US20120284381A1 (en) Systems, methods and devices for extracting and visualizing user-centric communities from emails
CN111221722A (zh) 行为检测方法、装置、电子设备及存储介质
CN110912933B (zh) 一种基于被动测量的设备识别方法
CN114039837B (zh) 告警数据处理方法、装置、系统、设备和存储介质
CN115913652A (zh) 异常访问行为检测方法及装置、电子设备及可读存储介质
CN110489568B (zh) 生成事件图的方法、装置、存储介质和电子设备
CN114125848A (zh) 一种电力移动互联业务安全防护方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant