◆卢熙

医院网络安全入侵防御系统研究与设计

◆卢熙

（湖南省人民医院 湖南 410000）

医院网络接入的软硬件资源非常多，承载的患者、医师、药品等信息也非常重要，因此吸引了众多黑客等非法分子攻击医院网络，窃取或破坏医院网络承载的数据资源。因此，许多网络安全防御学者提出了深度包过滤、免疫网络、态势感知等技术，同时积极的构建一个智能化程度技术较高的新型入侵防御系统，从而提高和改进医院网络安全防御水平，维护医院网络能够正常运行。

网络安全；深度包过滤；入侵检测；人工智能

大数据、云计算和数据库等技术的快速发展，有力促进了医院信息化的发展和普及，在医院门诊挂号、诊断治疗、医学影像、药品病房等各个领域部署了信息化系统，基于互联网进行数据共享和业务集成，取得了显著的应用成效。但是，互联网虽然为医院提供了极大的便利，但是也面临着海量的安全攻击，一些部分分子使用病毒、木马等侵袭医院网络，导致服务器无法存储，网络带宽被阻塞，用户无法正常使用医院网络[1]。

目前，许多政企单位、科研机构和学者提出了一些网络安全防御措施，比如防火墙、深度包过滤、免疫网络等，但是由于这些技术多属于被动式防御，一旦病毒或木马爆发，即使防御得再完备也可能产生一些不必要的损失，因此本文提出引入数据挖掘技术，构建一个基于卷积神经网络的入侵防御系统，该系统能够提高医院网络安全防御的智能化、主动化，具有重要的作用和意义。

1 医院网络安全威胁及防御现状研究

目前，医院网络面临的安全威胁非常多，比如勒索病毒、DDoS攻击等。勒索病毒是一种基于文件传播的病毒，医院网络一旦被感染，服务器以及计算机终端就无法登录访问，因此导致网络中断使用，此时就要向黑客缴纳赎金才可以解锁。DDoS攻击则是模拟数以亿计的用户同时访问医院网络，由于医院网络的带宽资源有限，就会导致网络阻塞，正常合法用户无法访问医院网络[2]。因此，为了提高网络防御水平，计算机安全专家提出了很多的防御措施，比如防火墙、访问控制规则，同时近年来又提出了深度包过滤、免疫网络、态势感知技术，一定程度上提高了网络安全防御能力。

（1）深度包过滤技术。医院网络安全防御采取深度包过滤技术，可以有效地利用软件、硬件结合的技术，快速地、准确地检查数据包，不仅可以检查包头字段信息，还可以检查数据包的内容信息，这样就可以实现全面防控的目标。深度包过滤采用软硬件结合的技术，可以提高医院网络的数据包检测速度，从而满足大数据流的医院网络安全防御需求。深度包过滤可以根据医院网络需求设置一个先进的、启发式的过滤规则，比如可以根据历史木马或病毒来源，设置一个白名单和黑名单，重点分析黑名单的数据包，从而可以提高数据通过的速度，还可以保证医院网络数据安全性[3]。

（2）免疫网络技术。医院网络为了提高自身的安全防御能力引入了免疫网络，免疫网络可以为医院构建一个多通道的完备型拓扑结构，从而可以调用网络安全防御资源，隔离暴发的病毒或木马，提高医院网络的自我防御和免疫机制。免疫网络能够加强医院自身的防御水平，还可以从源头抑制病毒，实现全医院网络联动，因此可以有效地将病毒或木马带来的危害控制在一个有限的边界内，从而可以提高医院网络安全防御能力[4]。

（3）网络安全态势感知技术。态势感知是比较新的网络安全防御技术，许多医院信息化发展时间较长，目前接入网络的软硬件资源设备非常多，因此网络拓扑结构也更加复杂，态势感知可以实时的采集网络数据包，动态的分析医院网络面临的风险，从全局出发、分析和处置医院网络面临的威胁，保障医院网络安全运行。网络安全态势感知包括四个关键功能，分别是网络数据包抓取、网络数据包检测和分析、网络安全威胁比对和安全威胁处置。网络安全态势感知实时的获取医院网络中的数据包，这样就可以检测和分析安全威胁影响的范围、造成的损失、攻击的路径和目标，及时地向网络安全管理员通报运行状态，建立一个风险通报和预警机制，从而提高了医院网络安全防御的实时性。

2 医院网络安全入侵防御系统设计

医院网络采用深度包过滤、免疫网络和安全态势感知等被动防御技术，一旦勒索病毒或DDoS攻击爆发，此时将会给医院网络带来不可挽回的损失。同时，由于医院网络接入的设备数量和种类越来越复杂，访问用户和应用数据也越来越多，因此传统的网络入侵防御系统已经无法满足需求，继续引入更加高效的、实时的、快速的防御技术，以便能够提高医院网络防御性能。卷积神经网络是一种非常先进的大数据技术，其可以从海量的数据中挖掘潜在的、有价值的知识，为人们提供决策支撑。卷积神经网络应用于医院网络安全入侵防御系统，其可以部署于医院网络防御服务器，能够针对网络数据流进行分析和挖掘，以便能够分析网络中潜在的木马或病毒等异常数据，及时将其清除医院网络。

基于卷积神经网络的医院网络入侵防御系统包括多个层次，分别是输入层、卷积层、池化层、全连接层，这样就可以增加卷积神经网络的训练和学习深度，从而提高医院网络病毒或木马的识别精确度，获取一个良好的输出模型，并且帮助医院网络管理员灵活调整卷积神经网络。具体的，医院网络入侵防御系统模型如图1所示。

图1 基于卷积神经网络的医院网络安全入侵防御系统

关键业务处理流程

卷积神经网络在医院网络安全防御过程中，每一层的功能及作用描述如下。

（1）输入层。输入层的功能是实现医院网络数据包的预处理，可以删除一些噪声数据、非常安全的数据等，这些都不会潜藏病毒或木马，同时还可以将医院网络数据进行矩阵化操作，以便能够显示每一个医院网络数据包的类别，对其进行归一化处理，便于卷积神经网络进行处理。

（2）卷积层。卷积层通常包括两个关键操作，可以实现卷积网络的局部关联操作和窗口滑动操作。局部操作可以针对数据特征进行过滤，滑动窗口可以完成卷积神经网络特征的提取，实现卷积神经网络的特征分析，进一步改进卷积神经网络的准确度。卷积层可以采用的核函数非常多，比如Sigmoid函数，适用于网络数据包中的病毒和木马的挖掘分析工作。在挖掘医院网络病毒或木马的过程中，由于Sigmoid函数拥有很强的收敛性，因此可以在很短的时间内获取数据挖掘结果，避免过度拟合现象发生，可以大幅度提高网络数据包分析准确度。

（3）池化层。池化层可以压缩卷积神经网络处理的数据量，同时还可以减少网络设置的参数数量，避免卷积神经网络计算和处理时过度拟合。具体的，在卷积层处理的结果上，神经网络可以获取数据包的病毒基因特征，这些特征数据采取池化操作之后就可以计算某一个局部卷积特征平均值，也可以计算最大值或最小值，利用这些值可以针对卷积层获取的特征数量进行过滤，从而可以降低分类器的计算复杂度，充分的减少过度拟合发生的概率。

（4）全连接层。全连接层是一个分类器，其可以将神经网络经过学习和训练的结果输出到全连接层，这样就可以直接为医院网络安全防御提供决策支撑。比如，如果某一个数据包包含病毒或木马的特征，此时经过卷积神经网络匹配成功之后，就可以将这些病毒或木马存在的信息通知给医院网络管理员，及时启动杀毒软件，将病毒或木马清除。

3 结语

医院网络接入的设备、用户、软件非常多，不仅包括传统的交换机、路由器等设备，还包括智能手机、平板电脑、医学诊断等设备，这些设备采用不同的技术开发和实现，因此多技术融合在一起难免会产生漏洞，被黑客等不法分子利用，传播病毒或木马，因此医院网络安全防御是一个非常复杂的工作。本文详细地描述当前医院网络安全防御常用技术及缺点，同时引入卷积神经网络技术，利用卷积神经网络识别病毒或木马的特征，检测医院网络是否存在异常数据，从而可以精准识别医院网络病毒或木马，及时的启动杀毒软件将其消灭，既可以保障医院网络安全，还可以防患于未然，提高医院网络安全防御的主动性和智能性，具有重要的作用和意义。

[1]马崇瑞，张辉. 基于云计算的网络入侵安全防御系统设计[J]. 电子元器件与信息技术，2019，003（010）：24-25.

[2]滕翠，梁川. 联动式网络安全系统的防御体系设计分析[J]. 现代信息科技，2018，2（012）：174-175，181.

[3]翁子盛，黄德宫. 基于入侵防御的计算机网络安全系统构建分析[J]. 中国新通信，2019，021（021）：136.

[4]管廷昭. 持续攻击下智能网络入侵主动防御系统设计[J]. 电子设计工程，2018，026（018）：44-48.