摘? 要：隨著互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)的快速發(fā)展和改進，醫(yī)院已經(jīng)引入了許多的信息化系統(tǒng)，覆蓋了門診掛號、診斷治療、住院用藥等領(lǐng)域，提高了醫(yī)院信息化和共享化水平。但是，大數(shù)據(jù)時代，醫(yī)院網(wǎng)絡(luò)也面臨著許多木馬、病毒和黑客攻擊等危險，因此文章構(gòu)建了一個全方位縱深防御架構(gòu)，該架構(gòu)可以集成蜜罐技術(shù)和深度學(xué)習(xí)技術(shù)，進一步提高網(wǎng)絡(luò)安全防御的主動性，大幅度提高網(wǎng)絡(luò)安全防御能力。

關(guān)鍵詞：蜜罐技術(shù);深度學(xué)習(xí);網(wǎng)絡(luò)安全;防御架構(gòu)

中圖分類號：TP309? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）06-0161-03

Abstract：With the rapid development and improvement of internet，cloud computing，big data and other technologies，the hospital has introduced many information systems，covering outpatient registration，diagnosis and treatment，inpatient medication and other fields，improving the level of hospital information and sharing. However，in the era of big data，the hospital network is also faced with many dangerous factors such as Trojans，viruses and hacker attacks. Therefore，this paper constructs a comprehensive defense in depth architecture，which can integrate honeypot technology and deep learning technology，further improve the initiative of network security defense，and greatly improve the network security defense ability.

Keywords：honeypot technology;deep learning;network security;defense architecture

0? 引? 言

醫(yī)院作為計算機網(wǎng)絡(luò)應(yīng)用的一個重要領(lǐng)域，已經(jīng)開發(fā)了門診掛號系統(tǒng)、醫(yī)學(xué)影像系統(tǒng)、住院管理系統(tǒng)、藥房管理系統(tǒng)等，利用星形網(wǎng)絡(luò)架構(gòu)實現(xiàn)多個軟件之間的數(shù)據(jù)傳輸和共享，極大地提高了醫(yī)院的自動化水平[1]。但是，互聯(lián)網(wǎng)在為人們提供良好服務(wù)的同時也面臨著海量的安全攻擊，比如木馬和病毒、DDOS攻擊等。木馬和病毒是一種程序，這種程序能夠隱藏在圖片、視頻、文本等多種信息中，利用醫(yī)院網(wǎng)絡(luò)傳播至服務(wù)器或終端，此時就會給醫(yī)院帶來不可估量的損失[2]。比如，2018年初爆發(fā)的勒索病毒，其感染了醫(yī)院的終端服務(wù)器及電腦，導(dǎo)致用戶無法進入到計算機系統(tǒng)，為許多醫(yī)院帶來了較為嚴重的經(jīng)濟損失。目前，較為嚴重的木馬和病毒為蠕蟲病毒、盜號木馬等，其隱藏性比較強，非常容易感染計算機網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)癱瘓，無法提供正常的通信和使用功能[3]。分布式拒絕服務(wù)攻擊（DDOS攻擊）可以在短時間內(nèi)制造數(shù)以億計的訪問請求，這樣就會占用醫(yī)院網(wǎng)絡(luò)帶寬資源，導(dǎo)致正常用戶無法訪問服務(wù)器，也就會導(dǎo)致醫(yī)院網(wǎng)絡(luò)無法正常訪問，影響用戶的正常使用，為用戶帶來了非常巨大的損失[4]。DDOS攻擊通常分為帶寬攻擊和連通性攻擊，帶寬攻擊可以在瞬時使用大量的非法數(shù)據(jù)包占用醫(yī)院網(wǎng)絡(luò)帶寬資源，合法用戶無法及時訪問服務(wù)器，大大降低了網(wǎng)絡(luò)效率。

木馬、病毒和DDOS攻擊為人們使用醫(yī)院網(wǎng)絡(luò)帶來了嚴重的風(fēng)險，不利于提高醫(yī)院網(wǎng)絡(luò)的普及率。因此，人們提出許多防御措施，比如防火墻、殺毒軟件，雖然醫(yī)院網(wǎng)絡(luò)采用了很多的安全防御措施，但是安全攻擊的技術(shù)正不斷發(fā)展，目前醫(yī)院網(wǎng)絡(luò)安全依然存在一些問題，比如作業(yè)人員無法實時掌握系統(tǒng)運行狀態(tài)，不能夠有效分析控制器數(shù)值，導(dǎo)致醫(yī)院網(wǎng)絡(luò)不能安全運行。因此，隨著互聯(lián)網(wǎng)技術(shù)的改進，醫(yī)院網(wǎng)絡(luò)安全防御也需要與時俱進，進一步提高網(wǎng)絡(luò)安全防御性能。

1? 大數(shù)據(jù)時代醫(yī)院網(wǎng)絡(luò)安全防御現(xiàn)狀分析

大數(shù)據(jù)時代醫(yī)院網(wǎng)絡(luò)安全防御采用的技術(shù)很多，比如防火墻、殺毒軟件等。

1.1? 防火墻

防火墻是一個啟發(fā)式的醫(yī)院網(wǎng)絡(luò)安全防御軟件，其可以根據(jù)安全防御需求，基于IP地址、MAC地址等設(shè)置網(wǎng)絡(luò)過濾規(guī)則，如果IP地址及MAC地址安全，此時可以通過醫(yī)院網(wǎng)絡(luò)關(guān)口訪問服務(wù)器;如果不安全則無法通過。防火墻經(jīng)過多年的應(yīng)用，可以根據(jù)部署位置和保護對象設(shè)置不同的防火墻，包括數(shù)據(jù)庫防火墻、Web服務(wù)器防火墻等，較好地保護醫(yī)院網(wǎng)絡(luò)不受到損壞，同時部署代價也非常低，可以進一步提高醫(yī)院網(wǎng)絡(luò)防御性能。

1.2? 殺毒軟件

殺毒軟件是一套應(yīng)用程序，其可以采集醫(yī)院網(wǎng)絡(luò)日志信息、設(shè)備運行狀態(tài)信息以及各類型應(yīng)用信息，針對這些信息進行挖掘和分析，從而獲取網(wǎng)絡(luò)中潛藏的病毒或木馬，然后將其清除出網(wǎng)絡(luò)。殺毒軟件經(jīng)過多年的發(fā)展，已經(jīng)誕生了很多，比如卡巴斯基、瑞星殺毒、360安全衛(wèi)士等，這些殺毒軟件市場份額大，實時更新病毒庫和殺毒規(guī)則，可以更好地保護計算機網(wǎng)絡(luò)不受到任何損害。但是，殺毒軟件也是一個被動式殺毒工具，無法采取積極的主動模式為用戶提供查殺方法，很容易給用戶帶來損失。

2? 大數(shù)據(jù)時代醫(yī)院網(wǎng)絡(luò)安全防御架構(gòu)設(shè)計

2.1? 全方位縱深防御架構(gòu)設(shè)計

本文結(jié)合大數(shù)據(jù)時代我院網(wǎng)絡(luò)應(yīng)用需求，構(gòu)建了一個全方位縱深防御架構(gòu)，該架構(gòu)包括四個關(guān)鍵功能模塊，分別是偽裝模塊、信息采集模塊、風(fēng)險控制模塊和數(shù)據(jù)分析和識別模塊。

2.1.1? 偽裝模塊

偽裝模塊可以構(gòu)建一個模擬網(wǎng)絡(luò)運行環(huán)境，偽裝成真的信息系統(tǒng)，這樣就可以引誘黑客攻擊。偽裝模塊為了能夠仿真，通常拷貝一些真實的機密數(shù)據(jù)到蜜罐服務(wù)器，同時針對這些信息進行加密，這些數(shù)據(jù)已經(jīng)采用了多種防御措施，因此黑客無法獲取真正的機密數(shù)據(jù)。

2.1.2? 信息采集模塊

蜜罐最為關(guān)鍵的應(yīng)用就是記錄和分析攻擊信息，盡可能地采集詳細的攻擊數(shù)據(jù)，記錄黑客、病毒或木馬完整的攻擊過程，尤其是當攻擊源主機與蜜罐服務(wù)器進行信息交互時，可以使用先進的Sniffer抓包軟件，記錄每一個進出蜜罐的數(shù)據(jù)包。

2.1.3? 風(fēng)險控制模塊

蜜罐可以針對黑客攻擊的風(fēng)險進行過濾和控制，以避免黑客發(fā)覺采用了蜜罐技術(shù)而轉(zhuǎn)移攻擊目標。

2.1.4? 數(shù)據(jù)分析和識別模塊

蜜罐采集到所有數(shù)據(jù)之后，可以及時對這些數(shù)據(jù)進行分析和識別，此時就可以采用深度學(xué)習(xí)技術(shù)，發(fā)現(xiàn)黑客攻擊行為特征，識別潛在的風(fēng)險和危害，及時啟動殺毒軟件清除攻擊數(shù)據(jù)。

全方位縱深防御架構(gòu)如圖1所示。

2.2? 全方位縱深防御架構(gòu)部署及應(yīng)用

醫(yī)院網(wǎng)絡(luò)安全防御也可以采用主動模式，蜜罐技術(shù)就是這樣，其可以為攻擊者提供一個誘餌或陷阱，引誘攻擊者來攻擊，同時記錄攻擊行為，以便在分析后獲取信息系統(tǒng)的漏洞，掌握攻擊者的所有意圖，及時地對真實服務(wù)器進行防御部署。蜜罐就是醫(yī)院網(wǎng)絡(luò)安全管理人員精心設(shè)計的黑匣子，看似漏洞百出卻盡在掌握之中，目的就是采集攻擊者的入侵數(shù)據(jù)，在分析和獲取有價值的數(shù)據(jù)后進行解讀，獲取下一步的攻擊防御意圖。蜜罐技術(shù)應(yīng)用配置截圖如圖2所示。

全方位防御網(wǎng)絡(luò)部署應(yīng)用流程包括以下幾個方面，首先導(dǎo)入虛擬光盤，選擇蜜罐部署HoneyWall的鏡像文件，啟動鏡像安裝界面及流程，系統(tǒng)會自動拷貝文件進行安全，輸入默認賬戶roo，密碼honey，進入配置界面運行系統(tǒng)，選擇“Interview”進行交互式的配置，例如配置蜜罐IP地址，配置網(wǎng)關(guān)的IP地址為192.168.1.3，如圖3所示。

蜜罐的Sebek服務(wù)器端地址與端口選擇默認選項，配置完畢的登錄運行截圖如圖4所示。

另外，醫(yī)院網(wǎng)絡(luò)安全防御還引入了深度學(xué)習(xí)和深度包過濾技術(shù)。深度學(xué)習(xí)是一種多層次的卷積神經(jīng)網(wǎng)絡(luò)，與傳統(tǒng)的神經(jīng)網(wǎng)絡(luò)不同，其擁有兩個以上層次，比如卷積層、池化層和全連接層，增加了神經(jīng)網(wǎng)絡(luò)的訓(xùn)練和學(xué)習(xí)深度，這樣就可以更好地調(diào)整輸入輸出參數(shù)。深度學(xué)習(xí)是一種人工智能算法，因此可以將其應(yīng)用于醫(yī)院網(wǎng)絡(luò)安全防御過程中，從而提高網(wǎng)絡(luò)安全防御性能，旨在解決當前網(wǎng)絡(luò)安全防御被動的問題，也可以積極、持續(xù)地改進網(wǎng)絡(luò)安全防御性能。目前，醫(yī)院網(wǎng)絡(luò)承載的應(yīng)用軟件和用戶越來越多，傳統(tǒng)的防火墻和殺毒軟件已經(jīng)無法滿足安全防御需求，因此網(wǎng)絡(luò)安全專家提出構(gòu)建一個深度包過濾工具，其可以結(jié)合硬件數(shù)據(jù)包采集技術(shù)，利用軟件進行分析和挖掘，以便能夠分析每一個數(shù)據(jù)包中是否存在病毒或木馬基因。深度包過濾可以檢查包頭、包內(nèi)容等每一個部分數(shù)據(jù)，分析每一個協(xié)議字段的內(nèi)容，提高醫(yī)院網(wǎng)絡(luò)安全防御性能。

3? 結(jié)? 論

醫(yī)院網(wǎng)絡(luò)安全防御需要結(jié)合實際情況，構(gòu)建一個可擴展的、動態(tài)化的防御體系，不斷鞏固和引入先進防御技術(shù)，本文從全方位縱深防御架構(gòu)設(shè)計和部署進行了研究分析，以便參考，從而實現(xiàn)與時俱進，進一步改進醫(yī)院網(wǎng)絡(luò)安全防御能力。

參考文獻：

[1] 朱斐，吳文，伏玉琛，等.基于雙深度網(wǎng)絡(luò)的安全深度強化學(xué)習(xí)方法 [J].計算機學(xué)報，2019，42（8）：1812-1826.

[2] 趙勝勇.云計算技術(shù)下的網(wǎng)絡(luò)安全防御技術(shù) [J].電子技術(shù)與軟件工程，2018（2）：203-203.

[3] 劉雷，董超.大數(shù)據(jù)時代背景下計算機網(wǎng)絡(luò)安全防范應(yīng)用與運行 [J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（6）：51-53.

[4] 羅冬梅.基于大數(shù)據(jù)時代的網(wǎng)絡(luò)安全防范對策探析 [J].數(shù)字技術(shù)與應(yīng)用，2019（4）：202-202.

作者簡介：曾運強（1982.06-），男，漢族，廣東興寧人，高級網(wǎng)絡(luò)規(guī)劃設(shè)計師，本科，研究方向：網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)安全設(shè)計。