基于欧氏距离的医疗网络安全检测

最新推荐文章于 2025-10-31 07:07:18 发布

原创最新推荐文章于 2025-10-31 07:07:18 发布 · 900 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#入侵检测 #医疗智能手机网络 #信任计算

通过基于欧氏距离的行为分析检测医疗智能手机网络中的恶意节点

摘要

随着医疗行业的数字化程度不断提高，大量医疗设备实现了互联网互联。移动设备（例如智能手机）是医疗行业中用于提高患者和医护人员服务质量与体验的常用工具之一。支持这些设备的底层网络架构也被称为医疗智能手机网络（MSNs）。与其他网络类似，MSNs同样面临各种攻击，例如内部攻击（如恶意内部人员泄露敏感患者信息）。在本研究中，我们聚焦于MSNs，设计了一种基于信任的入侵检测方法，通过基于欧几里得距离的行为分析来检测恶意设备（或称为节点）。在评估过程中，我们与医疗机构合作，在真实模拟的MSN环境中实现了我们的方法。实验结果表明，该方法在有效识别恶意MSN节点方面具有良好的前景。

关键词 ：协作网络 · 入侵检测 · 医疗智能手机网络 · 信任计算与管理 · 内部攻击 · 恶意节点

1 引言

随着信息技术（IT）的快速发展，医疗领域采用了与企业IT普遍使用的相同基础设施、应用程序、现成技术及流程。在医院中，联网的医疗设备能够提供更有效且成本更低的监测和治疗。有估计指出，这些网络化技术可能在接下来的十五年内节省高达630亿美元的医疗/健康成本，并使医院设备成本降低15%至30%[2]。

然而，医疗网络在两个方面比传统网络更为特殊[24]。首先，其所呈现和传输的信息具有高度敏感性。私密且敏感的健康数据对黑客而言极具价值，可借此牟利。其次，构成该基础设施的设备（尤其是联网设备）在复杂性、数量和多样性方面，使此类网络面临更广泛的安全与隐私风险，例如网络攻击[25]。根据最近的一项调查[6]，医疗服务提供者报告的信息安全漏洞数量从2013年到2014年激增了60%，几乎是其他行业增幅的两倍。

随着医疗行业快速发展，移动设备已成为承载信息和加速电子数据传输的常用平台。例如，智能手机已应用于各类医疗机构，在病房查房期间帮助记录患者的病情并实时访问患者记录。因此，一种新兴的医疗网络应运而生，称为医疗智能手机网络（MSN），可被视为一种特殊类型的无线传感器网络[21]。这些设备通常连接到机构的无线网络，每个设备均可视为一个节点。

McAfee报告[7]指出，联网医疗设备在运营技术、消费技术和联网信息技术的融合过程中会暴露安全漏洞。因此，有必要保护MSN免受各种攻击，尤其是内部威胁。

贡献

由于移动传感器网络的重要性与敏感性，快速识别此类网络中的恶意设备至关重要。在现有文献中，入侵检测技术（例如，基于信任的入侵检测系统）常被用于检测各种威胁。在本研究中，我们聚焦于移动传感器网络，并设计了一种基于信任的入侵检测机制以识别恶意MSN节点。节点的可信度可通过基于欧几里得距离的两个配置文件之间的差异来确定。我们工作的贡献可总结如下：

为了更好地理解移动传感器网络（MSN），我们首先介绍了基本的MSN特征，并指出在这种医疗网络环境中通常需要分层架构。然后，我们介绍了医疗管理人员在设计安全机制时的一些基本要求。
行为分析常用于建模系统或网络事件。行为特征档案是在预定义规则下描述对象基本特征所需信息的集合。在本研究中，根据医疗管理人员的建议，我们选择了四个移动和网络特征来构建行为特征档案，并基于欧几里得距离开发了一种基于信任的方法来评估节点的可信度。
通过与一家医疗中心合作，我们在真实模拟的MSN环境中评估了我们的方法以考察其性能。实验结果表明，我们的方法在有效识别恶意MSN节点方面是可行且具有前景的（即能够快速识别）。

示意图0

2 背景与相关工作

本节介绍了医疗智能手机网络的背景，并回顾了基于信任的入侵检测的相关研究工作。

2.1 移动传感器网络背景

如今的智能手机可以同时在多种无线网络架构上运行。随着这一趋势的发展，医疗智能手机网络（MSN）已逐渐被医院、诊所和医疗中心等各种医疗机构所采用。根据[21]，大多数医疗管理人员认为，MSN是一种新兴的无线网络架构，在医疗领域具有独特的功能。图1展示了MSN的一个典型架构。

该图显示，医疗智能手机能够相互连接，从而形成一个内部医疗网络，这有助于信息的传递交换和管理。总体而言，移动传感器网络中的节点可以相互连接，也可以连接到互联网。通过这种方式，联网手机将互联网融入患者的生活，改善医疗效果并降低医疗成本[21]。然而，由于在此环境中交换的敏感信息，黑客可能会以移动传感器网络为目标，尝试利用病毒、恶意软件或其他入侵方法破坏某个节点。例如，攻击者可以潜伏在医疗机构内部，通过物理方式访问手机，或通过无线网络、蓝牙等方式感染设备。一旦节点被攻破，攻击者便可对其他设备发起多种攻击，如扫描、欺骗、拒绝服务（DoS）攻击等。此类内部攻击可能导致敏感信息严重泄露，甚至造成整个网络瘫痪。因此，快速识别恶意节点是保障移动传感器网络安全、保护私人信息的一项关键任务。

2.2 相关工作

内部攻击是分布式网络系统面临的主要威胁之一，可能会严重降低整个网络安全。为了在无线传感器网络（WSN）等分布式网络中发现恶意节点，基于信任的入侵检测机制已被广泛研究；然而，一个关键挑战仍然存在：即如何以主动且恰当的方式评估节点的可信度。

分布式基于信任的入侵检测

协作式入侵检测网络（CIDNs）[26]已被提出并实现，使得入侵检测系统节点能够通过与其他入侵检测系统节点收集和交换信息来实现更准确的检测。

Li 等[8]指出，大多数分布式入侵检测系统（DIDS）可能依赖于集中式融合，或采用不可扩展通信机制的分布式融合。基于此，他们提出了一种基于新兴去中心化位置和路由基础设施的分布式入侵检测系统（DIDS）。该方法假设所有对等节点都是可信的，因此容易受到内部攻击（即某些节点突然变为恶意节点的背叛攻击）。为了检测内部攻击，Duma 等[1]提出了一种基于P2P的覆盖网络入侵检测系统（Overlay IDS），该系统通过使用信任感知引擎来关联警报，并采用自适应方案进行信任管理，从而缓解内部威胁。信任感知关联引擎能够过滤来自不可信或低质量对等节点的警告，而自适应信任管理方案则利用对等节点的历史经验来预测其可信度。

随后，Shaikh et al.[23]提出了一种基于组的信任管理方案（GTMS），该方案针对组内拓扑和组间拓扑两种拓扑结构评估一组传感器节点的信任度。Guo et al.[5]描述了一种基于灰色理论和模糊集生成信任值的信任管理框架。他们通过使用关系因子和邻居节点权重来计算信任值，而不仅仅是简单地取平均值。

基于挑战的入侵检测

基于挑战的机制是一种为入侵检测系统计算信任的特殊方法，其中节点的可信度取决于其对挑战所给出的回答。Fung等[3]提出了一种主机入侵检测系统协作框架，使每个主机入侵检测系统能够通过遗忘因子，基于自身经验来评估其他系统的可信度。该遗忘因子可更重视对等方最近的经验。随后，他们通过采用基于狄利克雷的模型，根据入侵检测系统节点之间的相互经验来衡量其可信度水平，从而改进了信任管理模型[4]。该模型具有较强的可扩展性，并且对常见的内部威胁具有较强的鲁棒性。实验结果表明，新模型能够提高系统的鲁棒性和效率。

为了提高性能，Li等[9]指出，不同的入侵检测系统可能因其自身的特征和设置而在检测特定类型入侵时具有不同级别的敏感度。因此，他们定义了入侵敏感度的概念，并探讨了利用该概念评估入侵检测系统节点信任度的可行性。他们进一步设计了一种基于入侵敏感度的信任管理模型，以增强协作式入侵检测网络[10]的鲁棒性，并提出了一种基于机器学习的方法，用于自动分配入侵敏感度的取值[13]。Meng等[20]指出，由于存在一些假设，挑战机制在现实中可能不切实际，并可能导致在实际场景中威胁模型较弱。随后，他们设计了一种高级共谋攻击，称为随机投毒攻击，使恶意节点能够发送虚假信息而不会大幅降低其信任值。可参考[11,12]多种攻击案例，以及其他关于改进入侵检测系统的研究，如警报缩减[15]、警报验证[18,19]和证据融合模型[17]。

Our work

由于移动传感器网络是由智能手机构建的一种新兴医疗网络，目前针对此类环境中恶意节点识别的研究较少。受此启发，我们的工作提出了一种基于行为分析的可信入侵检测方法。本研究属于早期探索，旨在补充医疗领域的现有安全机制，并推动该领域更多相关研究的开展。

3 基于行为分析的信任计算

3.1 为移动传感器网络设计安全机制

医疗网络由于其敏感性以及缺乏信息技术专家，与传统网络不同。因此，在设计安全机制[21]时具有一些独特的要求：

集中式架构有助于在移动传感器网络中检测恶意节点，因为医疗机构通常缺少受过IT培训的人员。由于这一原因，集中式安全机制可以帮助减少潜在攻击向量的数量。
为了使联网医疗设备能够有效且平稳地运行，医疗机构更希望所部署的机制能够以容错的方式动态识别恶意节点（即减少误报）。

总的来说，理想的机制应能够支持全天候管理，以检查网络流量并实施适当的安全策略来应对事故。因此，有必要为移动传感器网络设计适当的安全机制。

3.2 基于信任的入侵检测

如上所述，医疗领域倾向于采用分层架构来保护移动传感器网络免受内部攻击。因此，我们提出了一种分层的基于信任的入侵检测机制，以识别移动传感器网络中的恶意节点。该机制的高层架构及检测流程如图2所示。

示意图1 我们机制的高层架构；以及 (b) 典型的检测流程。)

图2(a) 展示了基于信任的分层入侵检测机制，其中中央服务器连接每个节点以进行行为数据收集。在实现上，每个节点可以安装一个轻量级的入侵检测系统代理，用于检查网络流量并定期上传统计信息至中央服务器。
图2(b) 描述了检测流程，包括行为数据收集、配置文件构建、统计信任计算以及检测与告警。行为数据收集是建立可靠的信任基入侵检测方案的关键步骤。这些数据用于构建行为特征档案（即正常行为）。然后，通过识别历史轮廓与当前轮廓之间的偏差来评估节点的可信度。最后，如果某个节点的信任值低于预定义阈值，则会触发告警。

3.3 行为分析与特征选择

行为特征档案是一组旨在根据预定义规则描述对象特征的必要信息。例如，它类似于包含姓名、部门和办公电话等基本信息的名片。为了创建稳定的轮廓，需要使用合理的规范来定义行为。

智能手机用户有许多基本特征，例如电话通话（包括呼出、呼入和视频）、位置、时间、短信、访问的网站、电子邮件地址、应用使用等。在移动传感器网络中，由于其特殊性和需求，需要权衡决定可以收集哪些类型的数据。

根据合作医疗机构的建议，我们选择在每一天中的以下特征来构建行为特征档案。

摄像头使用 ：由于医疗记录极为敏感，应更加关注摄像头的使用情况，即摄像头应用程序何时被使用。
访问的网站 ：如果一个节点感染了恶意软件或病毒，很可能会打开并访问某些网站以下载或上传数据，即在一段时间内访问了哪些网站。
短消息服务 ：如果一个节点遭到入侵，短信可能被用于敏感信息泄露。因此，在实际中应考虑短信的使用情况，即消息何时被发送。
电子邮件地址 ：同样，发送或接收电子邮件也是敏感事件，可能成为钓鱼网站和勒索软件的攻击目标。

为了将行为模式量化为具体指标，根据合作医疗机构的建议，我们为每个选定的特征设计了如下量化方案。

Camera usage ：该指标定义为一个24元向量，每个元素对应一天中的一个小时。每个元素的值表示设备使用摄像头应用的经验概率。
Visited websites ：该指标定义为一个2元向量，每个元素对应一种类型的网站：正常网站和未知网站。医疗机构通常会定义一份白名单网站列表；因此，我们可以据此将网站分为正常网站和未知网站。每个元素的值表示设备访问相应网站的经验概率。
短消息服务 ：该指标定义为一个24元向量，每个元素对应一天中的一个小时。每个元素的值表示设备使用短信的经验概率。
电子邮件地址 ：该指标定义为一个四元素向量，每个元素对应一种电子邮件地址类型：正常发件人、未知发件人、正常收件人和未知收件人。分类也可通过白名单完成。每个元素的值表示设备使用电子邮件服务的经验概率。

3.4 信任计算

为了评估MSN节点的可信度，我们必须识别两个配置文件之间的差异。给定任意两个配置文件，如 P1 和 P2，及其对应的向量 A=(a1, a2,…, an) 和 B=(b1, b2,…, bn)。这两个向量之间的欧几里得距离可按如下方式计算：

$$
E(A, B) = \sqrt{\sum_{i=1}^{n}(a_i - b_i)^2}
$$

对于四个扇区，两个行为特征档案之间的差异可计算如下（取欧几里得距离向量的欧几里得范数[22]）：

$$
D(P1, P2) = \sqrt{\sum_{j=1}^{4}(E_j)^2}
$$

所得值为两个行为特征档案之间的差异，其范围为[0, 2]。需要注意的是，数值越大，表示两个配置文件之间的差异越显著。为了调整 D(P1, P2) 以比较信任值，我们将节点的可信度定义如下。

$$
t_d = 1 - \frac{D(P1, P2)}{2}
$$

其中 $ t_d $ 表示节点 d 的信任值，$ \frac{D(P1, P2)}{2} $ 旨在将 D(P1, P2) 的范围归一化至 [0, 1]。随后，可利用上述公式计算节点的可信度，并通过设定信任阈值来判定恶意节点。设 τ 为信任阈值，则可考虑：

如果 $ t_d \geq \tau $，则该节点被视为正常节点。
如果 $ t_d < \tau $，则该节点被视为恶意（或不可信）节点。

4 评估

在本节中，我们与位于中国南部的一个医疗中心（约有100名人员）合作，以评估我们方法的性能。由于隐私问题，我们的方法被部署在一个移动传感器网络的部分节点上，该网络由15个节点组成。中央服务器用于从每个节点收集所需信息，以计算它们的信任值（见图2(a)）。该服务器配备了一个英特尔酷睿(TM)2四核CPU 2.66 GHz。该医疗中心根据其历史记录和当前设置定义了76个正常网站、107个电子邮件发送者和101个收件人。我们主要进行了两个实验：

实验1 ：本实验在正常移动社交网络环境中评估我们的机制，旨在观察信任值趋势并确定适当阈值。
实验2 ：本实验旨在探讨在对抗场景下我们机制的可行性，其中若干节点可能表现出恶意行为（即违反正常行为配置文件）。

4.1 实验1

在本实验中，我们观察了正常移动传感器网络环境中信任值的趋势。$ t_d $ 的取值范围为[0,1]，其中较大的 $ t_d $ 表示节点更可信。理想情况下，$ t_d $ 应趋近于1；因此，本实验的目的是确定一个适当阈值，以检测移动传感器网络中的恶意节点。为了计算信任值，我们使用半个月的历史数据为每个设备构建正常行为配置文件。

图3中展示了一个月内的平均信任值和最低信任值的趋势。平均信任值这一指标是包含所有节点的平均值，能够描述网络的整体性能。图3显示，平均信任值的趋势总体高于0.83。最低信任值表示最差节点的性能，其范围在0.81至0.88之间。由于正常行为配置文件未进行更新，信任值趋势表明，在部署的医疗环境中，行为特征档案相对陈旧。

总体而言，图3表明在正常移动传感器网络环境中，信任值通常高于0.8。因此，在所部署的环境中，我们选择0.8作为方法中的信任阈值。

实验2

在本实验中，我们主要评估了我们的方法在恶意场景下的性能，其中一些节点表现出异常行为，即违反正常行为配置文件。具体而言，我们随机选择了三个节点（命名为M1、M2和M3）作为恶意节点以发起异常事件。例如，某个节点可能会随机访问不寻常的网站，或向未定义的收件人发送电子邮件。每个恶意节点的异常事件总结于表1中，其中每个节点可能引发不同的异常事件。在实验中，恶意节点从第31天开始发起恶意事件。恶意节点的信任值如图4所示。主要观察结果如下所述。

节点	摄像头	访问的网站	短信	Email address
M1	-	-	√	-
M2	√	√	-	-
M3	√	√	-	√

从第31天开始，观察到恶意节点的信任值会迅速下降，并在当天即低于0.8的阈值。M1、M2和M3的信任值分别在0.68至0.78、0.56至0.72以及0.46至0.68之间。
表1表明，M1仅违反了短信使用，M2违反了摄像头和网站访问的使用，而M3执行了除短信外的所有类型的异常事件。图4显示，M3在三个恶意节点中获得了最低信任值。

实验结果表明，我们的基于信任的方法在移动传感器网络环境中快速识别恶意节点是可行且具有前景的（即在当天识别出恶意节点）。此外，观察到异常事件越多，信任值越低。参与的医疗机构中的IT管理员也证实了我们的发现。

5 结论

随着越来越多的设备相互连接，医疗智能手机网络（MSN）已成为各种医疗机构中的一种新兴架构。迫切需要保护此类医疗环境免受内部攻击。在本研究中，我们聚焦于移动传感器网络，并提出了一种基于行为分析的分层基于信任的入侵检测机制。通过使用欧几里得距离识别两个配置文件之间的差异来推导信任值。我们与医疗机构合作，在真实模拟的MSN环境中评估了所提出的方法以研究其性能。实验结果表明，我们的方法在快速检测恶意MSN节点方面是可行且令人鼓舞的。

未来的工作有许多可能的主题。其中之一是研究如何在不同的网络环境中高效地确定信任阈值。另一个有趣的话题是在信任计算中考虑更多特征，并探究每个特征的影响。