基于SOINN結合ADNDD的網絡安全動態控制技術研究

溫浩杰，解韻坤，蘇 彬

(中國人民解放軍東部戰區總醫院，南京 210002)

0 引言

隨著信息技術的不斷發展，醫院網絡安全問題日益凸顯。醫院作為醫療服務提供方，其網絡系統也面臨著越來越多的安全威脅。為了確保醫院網絡的安全，需要采取有效的安全動態控制技術。醫院網絡安全動態控制技術是指通過對醫院網絡流量和協議數據包等信息進行實時監測和分析，及時發現并處理潛在的安全威脅。該技術能夠有效避免網絡攻擊，保障醫院網絡的安全性和穩定性。動態控制技術采用了多種手段，包括實時監控、異常行為檢測等。此外，該技術還可以根據檢測到的異常行為，動態調整醫院網絡配置和行為，以確保醫院網絡的安全性和穩定性[1-3]。探求一種更加安全的網絡架構，從而解決日益嚴峻的醫院網絡安全問題是醫院網絡安全防御的熱門領域。

近年來，國內外對于醫院網絡安全動態控制技術的研究日益受到重視。在國內，相關研究主要集中在如何建立有效的網絡安全模型，以及如何實現網絡安全動態控制。目前，國內已有一些高校和研究機構對醫院網絡安全動態控制技術進行了深入的研究和實踐，提出了一些實用的技術方案，如基于流量特征、基于行為模式等[4]。此外，國內也有一些研究開始關注醫院網絡安全動態控制技術的應用，如何在醫院網絡中實現實時的安全監控和預警等。國內學者李夢悅等人為了解決日益嚴峻的醫院網絡安全問題，構建了一種微分隔和細粒度的邊界策略。通過對風險信息的收集、分析和漏洞的修復，有效地解決了醫院現存的網絡風險問題，可有效提升醫院網絡安全防護水平[5]。目前，國外一些研究機構已經開發出了一些實用的技術方案，如基于機器學習的動態控制技術、基于模型的動態控制技術等。這些技術可以根據網絡安全模型，動態調整醫院網絡的配置和行為，從而保證醫院網絡的安全性[6]。而傳統醫院網絡安全動態控制技術存在監測和控制難度大、誤報和漏報較多等缺點[7-8]。與傳統醫院網絡安全動態控制計算相比，這些技術具有更高的準確性和魯棒性，可以更好地應對各種復雜情況。

同時，國外研究機構也對醫院網絡安全動態控制技術進行了相應的研究，研究發現有關醫院網絡安全的問題，如來自黑客的網絡攻擊、員工網絡安全防護意識較差等問題。如何應對醫院網絡安全是保證醫院正常運行的基礎。因此，研究基于網絡異常監測的醫院網絡安全動態控制技術，構建了醫院安全動態控制模型，旨在提高醫院網絡的安全性和穩定性。

1 基于網絡異常監測的醫院網絡安全動態控制模型構建

1.1 基于ADNDD的網絡動態防御系統構建

為了實現網絡動態的防御，研究基于數字信息處理的網絡技術(ADNDD，advanced digital network data design)進行網絡動態的防御優化，這是因為ADNDD能夠使用數字信息來模擬網絡流量，從而可以更加準確地監測網絡流量，了解網絡狀況。當監測到有網絡異常時會對異常情況進行分類，若是系統已知的攻擊類型，則可以采取相應的攻擊，從而避免攻擊面擴大產生的額外運行開銷；若監測到的網絡異常是未知的攻擊類型，則可以采取動態防御，以降低攻擊的入侵，從而達到防御的效果[9-11]。首先，需要建立ADNDD的基本思路，將異常驅動與策略響應相結合，以確保網絡能夠抵御攻擊。該狀態應包括攻擊者的攻擊路徑、攻擊時間間隔，以及ADNDD中的網絡資源消耗。然后，需要構建一個動態防御體系，以確保在受到攻擊時，可以迅速對攻擊進行識別和分類，并采取對應的措施。這個體系包括攻擊者追蹤、網絡流量監測、資源保護等功能。最后，需要根據實際情況進行防御策略的優化，在受到嚴重攻擊時，可以調整防御策略以提高網絡的生存性。

異常驅動與策略響應相結合是一種將異常驅動技術和策略響應策略相結合的方法，這種方法可以提高網絡的安全性和穩定性。異常驅動技術是指通過分析網絡流量和協議數據包的模式來檢測和識別異常行為。它可以幫助網絡管理員快速識別和響應攻擊，從而減少損失。策略響應策略則是指根據異常驅動技術檢測到的異常行為，制定相應的響應策略[12-15]。例如，當網絡遭到攻擊時，策略響應策略可以包括恢復受損網絡功能、阻止攻擊行為等。此外，策略響應策略還可以對攻擊者的身份、目的、攻擊方式等進行分析和評估，并制定相應的響應措施。將異常驅動與策略響應相結合可以幫助管理員快速識別和應對潛在的安全問題，提高網絡的安全性和穩定性。同時，這也有助于簡化網絡管理，減少資源浪費。

ADNDD動態防御體系是一種將動態防御技術和網絡設計技術相結合的方法，它可以幫助網絡管理員在網絡規劃和建設過程中實現動態防御，ADNDD動態防御流程圖如圖1所示。

圖1 ADNDD動態防御流程

結合圖1分析可知，ADNDD動態防御體系在醫院網絡安全動態控制模型中的各個模塊具體作用如下。

1)數據采集模塊：該模塊負責從醫院網絡中收集實時的網絡流量數據、日志數據和安全事件數據等信息。它可以通過網絡監測設備、防火墻和入侵檢測系統等來獲取數據，并將這些數據傳遞給下一個模塊。

2)數據預處理模塊：該模塊對采集到的原始數據進行處理和清洗，以去除噪聲和異常值，并對數據進行標準化和規范化，以便后續模塊對其進行處理和分析。

3)特征提取模塊：該模塊負責從預處理后的數據中提取有用的特征，例如網絡流量的源IP地址、目的IP地址、協議類型、數據包大小等。這些特征可以用于后續模塊的分析和決策。

4)異常檢測模塊：該模塊使用機器學習和統計方法來檢測醫院網絡中的異常行為，例如入侵攻擊、惡意軟件傳播或未授權訪問等。它可以利用預先訓練的模型或實時學習的算法來識別異常模式，并生成相應的告警或警報。

5)決策生成模塊：該模塊基于異常檢測模塊的輸出結果，生成相應的決策規則和策略。例如，當異常行為被檢測到時，決策生成模塊可以生成相應的防御措施，如封鎖源IP地址、隔離受感染的設備或觸發警報通知相關人員。

6)控制執行模塊：該模塊負責執行由決策生成模塊生成的控制策略和防御措施。它可以通過網絡設備配置、訪問控制列表或防火墻規則等來實施這些措施，并確保網絡安全的實時性和有效性。

7)監測與評估模塊：該模塊對醫院網絡安全控制系統的效果進行監測和評估。它可以收集執行過程中的日志數據和事件信息，并進行實時分析和評估，以便及時調整和優化系統的配置和策略。這些模塊共同組成了醫院網絡安全動態控制模型中的ADNDD動態防御體系。通過這些模塊的協同工作，可以實現對醫院網絡中的異常行為的實時監測、快速響應和動態控制，從而提高醫院網絡的安全性和可靠性。

由此可知該體系基于網絡流量分析、動態防御策略、網絡資源保護和網絡安全評估等模塊。其中，網絡流量分析可以更加準確地監測網絡流量，了解網絡狀況。動態防御策略可以確保在受到攻擊時能夠迅速調整防御策略。該策略可以包括異常驅動技術、策略響應策略等多種方法[16-17]。網絡資源保護能夠避免因攻擊導致網絡不可用的情況發生。網絡安全評估可以確保網絡在未來的發展中不會受到潛在的安全威脅。ADNDD防御策略的優化是網絡動態防御體系的重要組成部分，它可以幫助管理員應對日益復雜的網絡威脅，提高網絡的安全性和穩定性，對ADNDD防御策略的優化主要是更新防御策略，更新后的策略可以根據實際情況進行防御策略的優化。例如，在受到攻擊時，可以調整防御策略以提高網絡的可用性和安全性[18-20]。通過對ADNDD技術和動態防御體系進行綜合優化，可以幫助管理員應對日益復雜的安全威脅，提高網絡的安全性和穩定性。

1.2 基于SOINN結合ADNDD的醫院安全動態控制模型構建

隨著計算機網絡和信息技術的發展，醫院的網絡安全問題日益突出[21-22]。為了保障醫院的信息安全和正常運行，研究構建了一種動態控制模型，該模型基于自組織增量式神經網絡算法(SOINN，self-organizing incremental neural network)和ADNDD兩種技術，實現網絡的動態防御和異常監測。SOINN是一種用于解決神經網絡訓練過程中出現過擬合或欠擬合問題的算法。它通過不斷調整網絡參數來適應當前訓練情況，從而避免了神經網絡在訓練過程中出現過擬合或欠擬合問題。自組織增量式神經網絡算法的核心是將最近訓練的神經網絡參數與之前訓練好的參數進行自組織合并，從而形成一個新的神經網絡模型。自組織增量式神經網絡算法可以應用于各種神經網絡模型，如前饋神經網絡、卷積神經網絡、循環神經網絡等。它可以解決各種神經網絡訓練中出現的問題，如過擬合、欠擬合、降維等，從而提高神經網絡的訓練精度和泛化能力。因此研究將SOINN結合ADNDD用于網絡異常點檢測，并在融合的基礎上構建醫院安全動態控制模型。

SOINN能夠對神經網絡進行動態更新，并能在遞增學習時自動保留已有的數據，避免重復學習，減少了訓練所需的內存和運算量。在此基礎上，將SOINN和有監督的分類方法有機地融合在一起，可以在保證模型運行的同時，有效地提高模型的性能。但若要將SIONN應用于異常檢測，需要解決SOINN對采樣順序的敏感和SOINN通過距離計算樣本之間的相似性等問題。如果對相同的采樣順序進行訓練，得到的結果可能是完全不同的，從而影響到異常檢測的精度。SOINN通過距離來計算樣本之間的相似性，實現了對高維、高量級數據的有效處理，并且存在著對高維、高量級數據的偏好，忽視了低維度對樣本的判別力，進而降低了特征學習的精度。因此需要保證數據具有良好的特性，以保證能夠滿足遞增學習的運輸開銷。首先需要初始化學習周期內的神經元集合，在神經元集合中加入新的輸入樣本。

SOINN的輸入是一組樣本數據，輸出是神經網絡的權重和偏置。該算法的目標是通過學習樣本數據，使神經網絡能夠對未知數據進行準確預測。網絡參數的優化選取步驟如下。

1)通過初始化網絡參數：初始權重和偏置可以通過隨機初始化的方式進行。

2)計算神經網絡的輸出：使用當前的網絡參數計算神經網絡的輸出。

3)計算損失函數：將計算得到的神經網絡輸出與樣本數據的真實標簽進行比較，計算損失函數的值。

4)更新網絡參數：使用梯度下降法或其他優化算法來更新網絡參數，使得損失函數的值減小。

5)重復步驟2)～4)，直到達到指定的停止條件(如達到最大迭代次數或損失函數收斂到一定閾值)。在網絡參數的優化選取過程中，可以使用一些技術來提高算法的性能，如學習率衰減、正則化等。此外，還可以使用交叉驗證等方法來選擇合適的參數(如學習率、正則化參數等)，以進一步提高算法的性能。再找到新的神經元和獲勝神經元。神經元的計算公式可用公式(1)表示：

(1)

公式(1)中，ζ表示新的輸入樣本；Wτ表示神經元的權重；N表示神經元集合；τ表示神經元集合中的任意神經元。獲勝神經元可用公式(2)計算：

(2)

公式(2)中，s1表示新的神經元值。計算得到的神經元和獲勝神經元閾值，其中神經元對應的閾值可用公式(3)計算：

(3)

公式(3)中，j表示神經元集合中的權重。獲勝神經元閾值可用公式(4)計算：

(4)

公式(4)中，τ表示神經元集合中的權重。為了提高算法的精度，還需要對神經元權重進行更新，更新的神經元權重可用公式(5)表示：

Ws1=Ws1+ε(t)(ζ-Ws1)

(5)

公式(5)中，ε(t)表示新神經元的學習效率，t表示神經元從開始訓練到結束取得勝利的數量。獲勝神經元的新權重值可用公式(6)表示：

Ws2=Ws2+ε′(t)(ζ-Ws2)

(6)

公式(6)中，ε′(t)表示獲勝神經元的學習效率。結合上述分析，基于SOINN結合ADNDD的醫院安全動態控制流程如圖2所示。

圖2 基于SOINN結合ADNDD的醫院安全動態控制流程

結合圖2分析，將SOINN與ADNDD結合并應用到醫院安全動態控制模型構建中，可以采用以下步驟：第一步：數據收集收集醫院安全方面的數據，包括諸如醫生和護士的職稱、患者的病情嚴重程度、醫療設備的使用情況、病房的擁擠程度等。第二步：特征提取從收集到的數據中提取特征，例如醫生和護士的工作經驗、患者的疾病類型、醫療設備的品牌和型號等，這些特征將用于構建SOINN和ADNDD模型。第三步：構建SOINN模型基于特征提取的數據，構建SOINN模型，可用于將數據聚類和分類。在醫院安全動態控制模型中，可以使用SOINN模型對醫生、護士、患者和醫療設備等進行聚類，以便更好地理解它們之間的關系。第四步：構建ADNDD模型基于特征提取的數據，構建ADNDD模型，可用于生成決策規則。在醫院安全動態控制模型中，可以使用ADNDD模型根據實時數據生成決策規則，例如當病房擁擠程度超過某個閾值時，需要增派護士或調整患者的病房分配。第五步：模型融合與訓練將SOINN和ADNDD模型進行融合，并使用歷史數據對模型進行訓練。通過模型融合，可以充分利用SOINN的聚類和分類能力以及ADNDD的決策能力，提高模型的綜合性能。第六步：模型應用將訓練好的SOINN與ADNDD模型應用于醫院安全動態控制中。根據實時收集到的數據，使用SOINN模型對數據進行聚類和分類，然后使用ADNDD模型生成相應的決策規則。比如當SOINN模型將某個病房標記為高風險病房時，ADNDD模型可以根據這個標記生成相應的決策規則，如調配更多的護士或提醒醫生加強監護。根據收集到的數據和特征，可以構建包含若干節點和邊的SOINN網絡，并訓練ADNDD模型生成相應的決策規則。

2 模型在網絡異常監測的醫院網絡動態控制性能分析

為了驗證模型在發生網絡異常的醫院網絡動態控制中的性能，研究將醫院的防火墻按照安全設定規則，分別設置了辦公區域的電腦和隔離區域的電腦。同時為了保證數據的穩定性，在辦公區域還配置了一臺數據庫，在隔離區域設置了網絡服務器和郵件服務器，將攻擊源設置為外部網絡攻擊。研究構建了MVTEC數據集；MVTEC數據集是針對醫院網絡動態控制任務而創建的一個開放數據集。該數據集用于訓練和測試網絡異常監測算法，以檢測醫院網絡中的異常行為。MVTEC數據集包含了多種常見的醫院網絡異常行為，例如惡意軟件入侵、網絡攻擊、數據泄露等。每個異常行為都有相應的高質量圖像樣本。這些圖像樣本被采集自真實醫院網絡環境中的網絡流量數據，以保證數據的真實性和多樣性。數據集的具體參數值包括：數據集規模：MVTEC數據集包含了多個子數據集，每個子數據集由不同類型的異常行為組成。每個子數據集包含了數百到數千個圖像樣本。圖像分辨率：MVTEC數據集中的圖像樣本分辨率為256×256像素。標注信息：每個圖像樣本都有對應的異常標簽，用于指示該樣本是否屬于正常行為還是異常行為。數據集劃分：MVTEC數據集通常采用訓練集和測試集的劃分方式。訓練集用于訓練網絡異常監測算法，而測試集用于評估算法的性能。數據集來源：MVTEC數據集的圖像樣本來自真實醫院網絡環境的網絡流量數據，保證了數據的真實性和多樣性。然后將MVTEC作為實驗的數據集，該數據集中含有15 000個主機進程的動態行為特征，且每個樣本有100個特征維度。最后隨機取1 000個異常數據樣本，1 000個正常數據樣本。通過數據集的仿真實驗結果可知，在這個數據集中，模型算法的平均運行時間為43.27秒，而SOINN的平均運行時間為48.92秒，二者的平均運行時間相差了5.65秒。雖然差距不是很大，但這也說明模型算法在時間開銷方面比SOINN更具有優勢。此外，隨著數據集的增加，兩者的趨勢也基本一致，這表明神經元操作是可行的。根據實驗結果，可以得出結論，模型算法在處理數據集時的效率更高，因為它相對于SOINN，平均運行時間更短。雖然差距只有5.65秒，但對于大規模數據集，這個差距可能會進一步擴大。此外，隨著數據集的增加，模型算法和SOINN的運行時間都有所增加，且趨勢基本一致。這表明無論是模型算法還是SOINN，在處理更多數據時，都能夠保持較為穩定的運行效率。為了驗證模型方法在進行增量學習的空間開銷情況，研究在同一數據集中進行實驗，且以隨機森林算法(RF，relevant feedback)、SOINN和模型方法進行對比，對比結果如圖3所示。

圖3 不同算法在增量學習中的結果對比

由圖3(a)可知，該圖表示增量學習需要的儲存樣本數，在增量學習的過程中儲存樣本數的需求量越小說明其占用的儲存空間越少，這樣能夠增加現有存儲只有的利用率。圖中模型方法的需要儲存樣本數平均值為196.53；SOINN算法需要的儲存樣本平均值為213.56；而RF算法需要的儲存樣本平均值最大，為385.71。模型算法需要的儲存樣本數平均值比SOINN算法和RF算法需要的儲存樣本平均值低17.03和189.18，這說明模式算法能夠在占用更小空間的情況下完成監測。由圖3(b)可知，該圖表示增量學習節點數，節點數的大小與模型檢測異常所需的空間大小有關，在模型的增量學習過程中，節點數越小，說明模型檢測時需要的儲存空間越小。圖中模型方法的節點數平均值為180.89；SOINN算法的節點數平均值為226.51；同樣RF算法的節點數平均值最大，為509.35。模型算法的節點數平均值比SOINN算法和RF算法的節點數平均值低45.62和328.46，這說明模式算法在檢測時占用的空間更少，有利于資源的利用。由圖3(c)可知，該圖表示不同算法在同一數據集中的空間開銷對比情況，在同一數據集中最大深度值越小，模型方法檢測時所占用的CPU空間越小，更有利于檢測的進行。圖中模型方法的最大深度平均值為200.06；SOINN算法的最大深度平均值為246.13；RF算法的最大深度平均值為509.43。模型算法的最大深度平均值比SOINN算法和RF算法的最大深度平均值低46.07和309.37，這說明模式算法在檢測時具有更好的可行性。為了驗證模型在網絡入侵成功后的防御性能，研究在同一數據集中，利用動態變換周期和變換空間來探究模型網絡動態防御的性能。圖5表示基于單脆弱性變換的入侵成功率，圖4中變換周期1、2、3和變換空間1、2、3分別表示單脆弱性的取值分別為10、100和1000。

圖4 脆弱性變換下的入侵成功率

圖5 多脆弱性情況下的入侵成功率對比

由圖4(a)可知，隨著間隔的增加入侵成功率也在增加，其中脆弱性的取值越小，入侵成功率越低，變換周期1的成功入侵率達到100%時，間隙為449.17。變換周期2的成功入侵率達到100%時，間隙為631.06；變換周期3的成功率入侵達到100%時，間隙為713.56。這驗證了變換周期越小越有利于模型網絡動態的防御。由圖4(b)可知，隨著間隙的增加，變換空間發生變化后入侵成功率明顯下降，變換空間3的入侵成功率最低，其次是變換空間2和變換空間1，這說明變換空間能夠增加模型的動態防御性能。為了進一步驗證模型的動態防御性能，研究也在同一數據集中，利用最小周期和空間大小來探究模型網絡動態防御的性能。圖5表示基于多脆弱性情況下的入侵成功率對比圖。

由圖5(a)可知，隨著最小變換周期的變化，入侵成功率也在增加，最小變化周期1的入侵最快，其次是周期2和周期3，這說明最小變化周期值影響動態防御的性能。由圖5(b)可知，隨著總變換空間的減小，入侵成功率也明顯的下降，這同樣能夠說明總變換空間值越大，模型對異常入侵的動態防御性能越強。為了驗證研究提出的模型算法在醫院網絡異常檢測和動態防御控制的實際應用效果。研究將網絡入侵劃分為浪涌攻擊、偏差攻擊和幾何攻擊3種。且研究選取3種類型網絡入侵的數據進行實驗，每種攻擊均選取1 000個經過預處理且帶有離群點標記的樣本進行實驗。其中浪涌攻擊的有63個離群點，偏差攻擊的有49個離群點，幾何攻擊的有41個離群點。隨后研究將RF、SOINN和模型方法應用于樣本數據集中進行對比實驗，并以識別率、誤判率以及算法耗時作為對比指標。通過實驗結果可知，模型算法在3種不同類型網絡入侵數據集中的離群點識別率均顯著高于SOINN算法和RF算法。且其在浪涌攻擊、偏差攻擊和幾何攻擊數據集中的離群點識別率分別為92.13%、90.04%和89.07%。這說明模式算法在模型算法在醫院網絡異常檢測和動態防御控制的實際應用效果也優于對比算法。

3 結束語

隨著計算機網絡的發展，醫院網絡環境也遭受到更多的異常入侵，為了確保醫院工作的正常開始和維護患者的隱私安全等，需要采取有效的網絡安全動態控制技術。研究首先對醫院網絡安全動態控制構建模型，然后將SOINN算法與ADNDD進行融合，最后利用數據集進行仿真實驗，以驗證模型算法的具體性能。為了驗證模型算法的可行性，將模型算法與SOINN進行了對比，模型算法的運行時間明顯低于SOINN，這說明其具有更高的可行性。將模型算法與RF和SOINN用于數據集仿真訓練，結果表明模型算法需要的儲存樣本數平均值比SOINN算法和RF算法需要的儲存樣本平均值低17.03和189.18；模型算法的節點數平均值比SOINN算法和RF算法的節點數平均值低45.62和328.46；模型算法的最大深度平均值比SOINN算法和RF算法的最大深度平均值低46.07和309.37。為了驗證模型的實際防御效果，通過采用3種已知的異常入侵對模型進行測試，在浪涌攻擊、偏差攻擊和幾何攻擊數據集中的離群點識別率分別為92.13%、90.04%和89.07%。這說明模式算法在模型算法在醫院網絡異常檢測和動態防御控制的實際應用具有很高的價值。同時這也表明模型算法在網絡異常檢測和動態防御過程中能夠減少醫院現有計算機的資源浪費，并幫助醫院及時發現并處理潛在威脅，提高醫院的網絡安全。但研究中還存在不足之處，由于實驗中采用的數據集均為同一數據集，數據中的數據來源較為單一，這使得結果存在一定的局限性，下一步可以增加數據集種類，以提高模式算法的適應性。