姚 征

(河南省周口市中醫(yī)院微機(jī)中心,河南 周口 466000)

0 引 言

常規(guī)三甲醫(yī)院的管理系統(tǒng)為用戶劃分了具體的角色，每種角色有不同的定位和工作目標(biāo)。正常情況下，不同的用戶角色有不同的權(quán)限，以保證隱私隔離，但仍然存在非法用戶利用特殊渠道訪問自己工作目標(biāo)權(quán)限之外的數(shù)據(jù)而帶來了隱私數(shù)據(jù)的泄露問題[1-2]。本文使用2種機(jī)制來解決這一問題：1)使用醫(yī)院信息系統(tǒng)隱私控制模型(Hospital Information System Privacy Access Control Model, HISPAC)，采用目的管理思路，在現(xiàn)有訪問控制級(jí)別進(jìn)行細(xì)化權(quán)限劃分和監(jiān)控；2)使用自適應(yīng)混合神經(jīng)網(wǎng)絡(luò)算法來對(duì)潛在系統(tǒng)用戶的隱私風(fēng)險(xiǎn)性進(jìn)行推測(cè)，使用用戶訪問行為和用戶信任值這2個(gè)風(fēng)險(xiǎn)量化指標(biāo)作為評(píng)判依據(jù)，進(jìn)行模型構(gòu)建和實(shí)驗(yàn)，最終進(jìn)行算法層次的隱私違法用戶的鑒別和篩選。經(jīng)過實(shí)驗(yàn)和初期臨床時(shí)間發(fā)現(xiàn)，引入該機(jī)制的醫(yī)療管理系統(tǒng)在隱私保護(hù)效果上得到了進(jìn)一步提升。

1 常用的隱私保護(hù)模型與技術(shù)選型依據(jù)

1.1 常用的隱私訪問控制模型

在闡述訪問模型時(shí)需要明確幾個(gè)核心概念：1)主體(Subject)，指主動(dòng)對(duì)其它實(shí)體施加動(dòng)作的實(shí)體；2)客體(Object)，是被動(dòng)接受其他實(shí)體訪問的實(shí)體；3)控制策略(Policy)，為主體對(duì)客體的操作行為和約束條件。

1)自主訪問控制模型。

自主訪問控制模型以DAC為代表[3]，其技術(shù)核心是加強(qiáng)訪問控制的自主性，也就是說擁有資源的主體可以訪問資源本身，還可以訪問哪些資源以及可以進(jìn)行哪些操作，這些都是根據(jù)資源所有者前期規(guī)定的訪問策略來決定的。優(yōu)缺點(diǎn)很明顯：優(yōu)點(diǎn)是授權(quán)訪問可控，授權(quán)行為可管理、被授權(quán)訪問人員查詢和檢索操作方便快捷；缺點(diǎn)是無法分辨授權(quán)者做出的授權(quán)行為是來自何方用戶還是外界攻擊，一旦資源所有者啟動(dòng)了木馬病毒，系統(tǒng)將陷入混亂。

2)強(qiáng)制訪問控制模型。

強(qiáng)制訪問控制模型以BLP模型和Biba模型為代表。這類模型強(qiáng)調(diào)的是強(qiáng)制訪問不允許主體干涉，即授權(quán)機(jī)構(gòu)為主體和客體授予訪問安全級(jí)別，主體不能修改訪問者的安全級(jí)別，機(jī)密性相對(duì)較高，這是其優(yōu)點(diǎn)，缺點(diǎn)是強(qiáng)制訪問控制需要授權(quán)機(jī)構(gòu)提前對(duì)所有主客體進(jìn)行安全級(jí)別和訪問級(jí)別標(biāo)記，當(dāng)主客體數(shù)量較大時(shí)，會(huì)給模型管理員帶來較大的工作量。

3)基于角色的訪問控制模型。

基于角色的訪問控制又叫RBAC模型，本文設(shè)計(jì)的模型屬于RBAC的改進(jìn)型[4]。人們發(fā)現(xiàn)對(duì)用戶進(jìn)行授權(quán)工作非常繁瑣，于是出現(xiàn)了基于角色訪問的控制模型，標(biāo)準(zhǔn)的RBAC模型可以分為4個(gè)子模型，分別為RBAC0、RBAC1、RBAC2、RBAC3。其中RBAC0是核心模型，它定義了用戶、角色、對(duì)象、操作、權(quán)限等一系列基本元素，同時(shí)還包括會(huì)話的概念。具體如圖1所示。

圖1 RBAC0模型

如圖2所示，RBAC1模型是在 RBAC0 模型的基礎(chǔ)上加入了角色繼承的概念，即一個(gè)角色r1繼承了另一個(gè)角色r2，則角色r1就繼承了r2的所有權(quán)限。

圖2 RBAC1模型

如圖3所示，RBAC2模型是在RBAC1模型的基礎(chǔ)上增加一條約束，用以調(diào)節(jié)角色之間權(quán)限沖突的問題[5]。該約束根據(jù)生效時(shí)間的不同可以分為2類：一類是在管理員為用戶分配角色時(shí)，如果角色之間的權(quán)限存在沖突，則被定義為靜態(tài)約束；一類是在用戶激活角色時(shí)發(fā)現(xiàn)角色之間的權(quán)限存在沖突，則被定義為動(dòng)態(tài)約束。不管靜態(tài)還是動(dòng)態(tài)的約束，如果角色r1和r2之間存在沖突，那么r1和r2將不能同時(shí)分配給同一用戶，且r1和r2既不能存在繼承關(guān)系，也不能在同一會(huì)話中被激活[6]。

圖3 RBAC2模型

總之,RBAC模型已經(jīng)相對(duì)成熟，能夠根據(jù)角色類型的不同，個(gè)性化分配權(quán)限。由于它與強(qiáng)制訪問控制模型類似，需要管理員分配權(quán)限，當(dāng)角色數(shù)量多到一定程度時(shí)，管理員的角色劃分和權(quán)限分配將會(huì)極其困難。

1.2 HISPAC技術(shù)選型

基于以上分析，可以總結(jié)得到常見的幾類控制模型的缺點(diǎn)都極其明顯，即授權(quán)工作由管理員人工操作，工作密度大且主觀性強(qiáng)；授權(quán)策略過于苛刻無法適應(yīng)復(fù)雜的大數(shù)據(jù)環(huán)境[7]。風(fēng)險(xiǎn)控制模型的優(yōu)缺點(diǎn)如表1所示。具體來看，在現(xiàn)今數(shù)據(jù)量和人口激增的現(xiàn)狀下，各大醫(yī)院病例數(shù)據(jù)無論是從種類還是數(shù)量上都在持續(xù)增長，大多數(shù)患者要求對(duì)自己的病情進(jìn)行保密。同時(shí)，隨著病情類型增加，主治醫(yī)生的類別也在增加，醫(yī)院職稱層級(jí)更加多樣，所以強(qiáng)制訪問控制模型和角色訪問控制模型必然會(huì)導(dǎo)致管理員工作量急劇增加，不適用于當(dāng)前環(huán)境。此外，醫(yī)院大多數(shù)數(shù)據(jù)都集中存儲(chǔ)在固定單個(gè)機(jī)器上，沒有使用大規(guī)模的集群和權(quán)限的隔離，如果使用自主訪問控制模型來說，主體權(quán)責(zé)更大，隱私保護(hù)的風(fēng)險(xiǎn)更大，不適用于當(dāng)前醫(yī)院場(chǎng)景。所以筆者本著在減少管理配置工作量和動(dòng)態(tài)打分配置權(quán)限，從而保證靈活性兼顧安全性原則的基礎(chǔ)上，提出HISPAC模型。該模型有2個(gè)核心點(diǎn)：

表1 風(fēng)險(xiǎn)控制模型選型

1)基于角色挖掘的訪問控制。原有角色劃分模式經(jīng)過人工處理，規(guī)則單一?；诮巧诰蚴菑臄?shù)據(jù)特征出發(fā)，量化用戶訪問行為和信任值，并對(duì)具體訪問用戶分別進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)等級(jí)劃分權(quán)限，劃分規(guī)則更加多樣，省去了人工管理的繁雜性，更適應(yīng)大數(shù)據(jù)環(huán)境。

2)基于風(fēng)險(xiǎn)自適應(yīng)的訪問控制。本文設(shè)計(jì)的模型使用了自適應(yīng)神經(jīng)網(wǎng)絡(luò)算法?；陲L(fēng)險(xiǎn)的訪問控制是典型的自適應(yīng)訪問控制技術(shù)，該模型與其它模型最大的區(qū)別是，它可以在用戶請(qǐng)求訪問時(shí)對(duì)用戶訪問行為可能帶來的風(fēng)險(xiǎn)和收益進(jìn)行動(dòng)態(tài)的評(píng)估，克服了傳統(tǒng)訪問控制技術(shù)中訪問策略過于苛刻的問題。該技術(shù)主要包括風(fēng)險(xiǎn)量化和訪問控制實(shí)施2個(gè)部分，而風(fēng)險(xiǎn)量化方法和訪問控制框架要根據(jù)實(shí)際問題進(jìn)行討論。

2 模型設(shè)計(jì)方案

2.1 風(fēng)險(xiǎn)指標(biāo)量化設(shè)計(jì)

正常情況下，醫(yī)療管理系統(tǒng)的常規(guī)用戶為各個(gè)層級(jí)和主治類別的醫(yī)生以及護(hù)士。而患者從進(jìn)入醫(yī)院錄入信息開始，相關(guān)病例就體系化地保留在醫(yī)療管理系統(tǒng)的數(shù)據(jù)庫表中，直至患者出院之后進(jìn)行檔案病例調(diào)出打印和封存[8]。封存病例初級(jí)醫(yī)生無法獲取，其現(xiàn)有權(quán)限僅僅能幫助其瀏覽到最近一個(gè)周期內(nèi)的患者診斷信息。但一些高級(jí)別以上的主治醫(yī)生和主任可以查詢各個(gè)組別的患者信息以及同一個(gè)患者在該醫(yī)院整個(gè)周期內(nèi)的所有歷史信息。然而，根據(jù)患者病情類別和嚴(yán)重程度的不同，相關(guān)病例的信息會(huì)設(shè)定為敏感數(shù)據(jù)，醫(yī)生為了保證診斷的準(zhǔn)確性需要瀏覽大量相關(guān)病例的診療方案，所以不能只靠訪問量的多少來對(duì)具體用戶進(jìn)行信任度質(zhì)疑[9]。所以，需要獲取用戶更細(xì)粒度的訪問行為，并結(jié)合專家咨詢和問卷等方案對(duì)合法和非法訪問特征進(jìn)行界定，將原有醫(yī)療管理系統(tǒng)中用戶數(shù)據(jù)進(jìn)行標(biāo)記為合法用戶和和非法用戶。其中，合法用戶，即好樣本訪問自己職責(zé)和工作目標(biāo)范圍內(nèi)的數(shù)據(jù)，數(shù)據(jù)包括患者信息和病癥診斷治療歷史。而一些偽造假數(shù)據(jù)和跨權(quán)限訪問的用戶設(shè)置為非法用戶，即壞樣本。但在實(shí)際使用過程中發(fā)現(xiàn)，存在一些特殊病例的診斷過程中，醫(yī)生為了保證治療的精準(zhǔn)性，需要查詢更多患者信息和歷史病例，以及一些相關(guān)疾病[10]，這樣一來，訪問行為更加容易被鑒定為非法行為。這里可以根據(jù)醫(yī)生治療疾病的特殊性引入信任值指標(biāo)，幫助模型進(jìn)行深層次推測(cè)，減少誤判的可能性。

2.1.1 用戶行為量化

不同用戶在訪問信息過程中訪問行為存在一定程度上的差異，而這種差異反映在信息熵上，隨著信息熵增加，訪問行為存在不穩(wěn)定狀態(tài)。具體熵計(jì)算公式為：

H(x)= -∑xip(xi) ×logP(xi)

(1)

其中，p(xi)與P(xi)屬于2個(gè)不同的概念，p(xi)為某個(gè)主治項(xiàng)目醫(yī)生xi訪問特定醫(yī)療數(shù)據(jù)的相關(guān)性指數(shù)，P(xi)為醫(yī)生xi訪問主治相關(guān)性較大的醫(yī)療數(shù)據(jù)次數(shù)。最終經(jīng)過對(duì)相關(guān)性指數(shù)求和再乘實(shí)際訪問的相關(guān)性數(shù)據(jù)次數(shù)得到訪問行為信息熵。

用戶行為在研究過程中進(jìn)一步細(xì)化為選擇工作目標(biāo)類型的行為，以及訪問醫(yī)療記錄量層面的行為，這2種行為直接反映了用戶訪問的意圖和核心想法，而對(duì)應(yīng)熵的計(jì)算方式也有所區(qū)別[11]。其中，用戶選擇對(duì)應(yīng)的訪問目標(biāo)工作類型過程，即醫(yī)生針對(duì)患者選擇某種病癥的過程。醫(yī)生確定患者為某種疾病類型的概率公式為：

(2)

其中，用戶ui診斷患者在sj時(shí)段的目標(biāo)工作用O(ui|sj)指代；目標(biāo)工作即給患者診斷的疾病類型，用Ok來表征，而用戶選擇目標(biāo)工作的次數(shù)，即醫(yī)生推斷該患者為某疾病的次數(shù)，用‖f(Ok)‖來表征。由此可以推導(dǎo)得到用戶ui判斷患者在sj時(shí)段的疾病類型的行為信息熵公式為：

(3)

此外，用戶訪問患者診療記錄層面也需要行為信息熵計(jì)算。例如患者已確診為玫瑰糠疹，那么緊接著需要訪問治療該疾病的方法、注意事項(xiàng)、忌口食物、發(fā)病人群等數(shù)據(jù)，這就需要判斷用戶選擇訪問該位患者對(duì)應(yīng)疾病的那些診療記錄，選擇概率計(jì)算公式為：

(4)

其中，患者sj在確定具體疾病時(shí)，醫(yī)生為了確定具體的治療方案訪問對(duì)應(yīng)醫(yī)療數(shù)據(jù)集使用M(sj|Ok)，醫(yī)生訪問醫(yī)療數(shù)據(jù)的次數(shù)用‖f(mi)‖表示，mi為醫(yī)療記錄集編號(hào)。對(duì)此，用戶ui在明確工作目標(biāo)之后訪問對(duì)應(yīng)醫(yī)療數(shù)據(jù)的行為信息熵計(jì)算公式為：

(5)

2.1.2 用戶信任值量化

用戶信任可以量化為具體的數(shù)值。在此次研究中，將用戶信任進(jìn)行深層次的細(xì)分。參照常用的細(xì)分標(biāo)準(zhǔn)，比較典型的是圍繞用戶角色層級(jí)劃分為代碼信任、執(zhí)行信任以及第三方信任[12]。此次研究依照該劃分依據(jù)進(jìn)行信任值細(xì)分，并基于醫(yī)療表征進(jìn)行改進(jìn)為直接信任度、推薦信任度、綜合信任度，并對(duì)這3個(gè)層級(jí)的信任度進(jìn)行量化計(jì)算，得出信任值。首先計(jì)算直接信任度，在評(píng)估用戶ui信任度的過程中，如果具體結(jié)果或者工作目標(biāo)來源于用戶uj的經(jīng)驗(yàn)，那兩者之間的信任關(guān)系就是直接信任，如圖4所示。

圖4 直接信任關(guān)系

具體的直接信任2個(gè)用戶關(guān)系公式為：

(6)

式(6)表征的是ui、uj的直接信任關(guān)系。其中，m表示2個(gè)用戶之間交互成功的次數(shù)，而n為2個(gè)用戶之間交互失敗的次數(shù)。此外，δ系數(shù)取值范圍在(0，1)之間，δ系數(shù)的增長隨著成功次數(shù)的增加而增加，且交互數(shù)據(jù)要足夠，這樣在計(jì)算過程中才能保證準(zhǔn)確性。之后筆者引入交互閾值π，該閾值保證交互次數(shù)低于閾值情況下對(duì)公式進(jìn)行調(diào)整，經(jīng)過調(diào)整之后的計(jì)算方法為：

(7)

根據(jù)將式(6)與式(7)，得出用戶ui與用戶uj的信任度公式為：

(8)

推薦信任度屬于間接信任度，從關(guān)系鏈的角度來看，在獲取經(jīng)驗(yàn)方和被獲取經(jīng)驗(yàn)方之間沒有直接的聯(lián)系，需借助中間人建立聯(lián)系，因此，基于這種關(guān)系建立的信任度的不可靠性更大。具體結(jié)構(gòu)如圖5所示。

圖5 信任路徑結(jié)構(gòu)

圖5中存在2條信任路徑，每條路徑都有一個(gè)量化的信任值，路徑長度越長信任度越低。計(jì)算每條路徑的信任度公式為：

RTw(ui,uj)=

(9)

其中，w表示這條路徑經(jīng)過的結(jié)點(diǎn)數(shù)，γ表示每一條路徑結(jié)點(diǎn)數(shù)不同所對(duì)應(yīng)的信任系數(shù)。信任系數(shù)與結(jié)點(diǎn)數(shù)的關(guān)系是醫(yī)院長期實(shí)踐積累得到的，屬于隱私數(shù)據(jù)，不予展示。根據(jù)醫(yī)療體系下的信任度疊加規(guī)律，運(yùn)用可達(dá)性路徑計(jì)算方法得到綜合信任推薦度，公式為：

(10)

其中，ω表示最短信任長度所對(duì)應(yīng)的路徑編號(hào)，信任路徑的最短長度用mindph表征，而最大長度用maxdph來表示。此外，信任路徑長度為ω時(shí)的信任度權(quán)重用αω來表示。最后，計(jì)算綜合信任度，該信任度由直接和推薦信任度組成，本質(zhì)上就是按照權(quán)重來進(jìn)行不同比例的乘積再加和。具體計(jì)算方法為：

CT(ui，uj)=αDT(ui，uj)+(1-α)RT(ui，uj)

(11)

其中，α參數(shù)的取值范圍為(0,1)，該參數(shù)用來表示直接信任度在間接信任度中的比重。α值的確定由專家經(jīng)驗(yàn)得到[6]。

2.2 自適應(yīng)神經(jīng)網(wǎng)絡(luò)風(fēng)險(xiǎn)量化推測(cè)

2.2.1 模糊理論與神經(jīng)網(wǎng)絡(luò)原理

1)神經(jīng)網(wǎng)絡(luò)原理。

本文選用神經(jīng)網(wǎng)絡(luò)來構(gòu)建隱私保護(hù)模型，主要是該算法具有快速的學(xué)習(xí)能力，可以模仿人類大腦的思考模式學(xué)習(xí)新鮮事物，根據(jù)醫(yī)療環(huán)境的變化調(diào)整不同行為指標(biāo)的信任度和風(fēng)險(xiǎn)權(quán)重[13]。具體來說，研究選用循環(huán)神經(jīng)網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn)，重點(diǎn)是考慮該算法的時(shí)序性特點(diǎn)，每個(gè)階段不同的節(jié)點(diǎn)的學(xué)習(xí)帶有順序，數(shù)據(jù)迭代符合時(shí)間邏輯，更加貼合醫(yī)療行為和診斷指標(biāo)隨時(shí)間而變化的情況，這樣更加切合真實(shí)的思考場(chǎng)景。RNN結(jié)構(gòu)示意圖如圖6所示。

圖6 RNN結(jié)構(gòu)

在這個(gè)RNN網(wǎng)絡(luò)模型中，xt表示在t時(shí)間點(diǎn)輸入層對(duì)應(yīng)的輸入數(shù)據(jù)，在數(shù)據(jù)傳入隱藏層的權(quán)重矩陣之后，隱藏層的值為st。以此類推，對(duì)應(yīng)輸出層的值為ot。其中核心部分是st的值不光取決于xt，還取決于st-1。當(dāng)然，經(jīng)過推導(dǎo)可以轉(zhuǎn)化為式(12)和式(13)：

ot=g(V·st)

(12)

st=f(U·xt+W·st-1)

(13)

其中，st的值不僅取決于xt，還與st-1存在關(guān)聯(lián)關(guān)系，f為層間關(guān)聯(lián)度系數(shù)，g為對(duì)輸出層數(shù)據(jù)進(jìn)行去重求和取平均。U表示t層結(jié)點(diǎn)特征系數(shù)，W表示上一層層結(jié)點(diǎn)與當(dāng)前結(jié)點(diǎn)的關(guān)聯(lián)性系數(shù)。

2)模糊理論。

本文選用模糊理論是借助模擬人的感知和常規(guī)推理思維來彌補(bǔ)風(fēng)險(xiǎn)預(yù)測(cè)系統(tǒng)中邊界不清晰和判斷不明確的現(xiàn)象。作為隱私風(fēng)險(xiǎn)來說，預(yù)測(cè)本身就是不確定的，該理論解決了具體場(chǎng)景下數(shù)據(jù)缺失所帶來的結(jié)果不可靠現(xiàn)象。在具體的醫(yī)療研究領(lǐng)域，基于模糊理論設(shè)計(jì)的模糊推測(cè)系統(tǒng)主要應(yīng)用于醫(yī)療診斷和隱私保護(hù)領(lǐng)域，核心側(cè)重于在不規(guī)律行為中尋找合理的思考方向，從而形成貼近實(shí)際的推斷結(jié)果。實(shí)驗(yàn)在處理行為和信任度時(shí)，需要對(duì)相關(guān)指標(biāo)進(jìn)行量化，收集到的量化數(shù)據(jù)是明確的，模糊理論就是將現(xiàn)有明確數(shù)據(jù)映射到[0,1]的區(qū)間內(nèi)。區(qū)間內(nèi)值的分布可以是離散的，也可以是聚集為幾個(gè)具體的子集合，映射過程稱之為模糊化，所以映射過程需要確定已給映射函數(shù)，即隸屬函數(shù)。模糊理論是在模糊集合中尋找隸屬規(guī)律，存在主觀性，主要依據(jù)專家經(jīng)驗(yàn)來建立。模糊推理過程如圖7所示。

圖7 模糊推理結(jié)構(gòu)

圖7中，模糊化階段上文有提及，而知識(shí)庫是指常規(guī)的隸屬度函數(shù)庫，模糊推理是模仿人的推理能力，將人推理思維和角度公式化，去模糊化是對(duì)上一階段形成的模糊集進(jìn)行尺度變化。

2.2.2 模糊自適應(yīng)神經(jīng)網(wǎng)絡(luò)模型建立

1)輸入層設(shè)計(jì)。

(14)

(15)

2)隱藏層設(shè)計(jì)。

圖8 自適應(yīng)神經(jīng)網(wǎng)絡(luò)模型結(jié)構(gòu)

(16)

式(16)由知識(shí)庫得到，隸屬度函數(shù)均值用cij表示，隸屬度函數(shù)標(biāo)準(zhǔn)差為σij。其中i指代輸入指標(biāo)序號(hào)，j指代具體某個(gè)輸入指標(biāo)對(duì)應(yīng)模糊集數(shù)目，所以該層的節(jié)點(diǎn)個(gè)數(shù)為每個(gè)輸入指標(biāo)對(duì)應(yīng)模糊集個(gè)數(shù)的累加。第3階段網(wǎng)絡(luò)迭代訓(xùn)練模糊規(guī)則，計(jì)算方式如公式(12)和公式(13)。根據(jù)規(guī)則進(jìn)行歸一化處理，計(jì)算公式為：

(17)

后件網(wǎng)絡(luò)結(jié)構(gòu)中包含3個(gè)階段。第1階段輸入變量。該階段作為數(shù)據(jù)傳輸?shù)闹虚g層，將數(shù)據(jù)傳輸?shù)较乱浑A段。第2階段，計(jì)算模糊規(guī)則，計(jì)算公式為：

yk=ωk0+ωk1×x1+ωk2×x2+…+ωkn×xn

(18)

第3階段進(jìn)行模型層的表示輸出，輸出公式為：

(19)

3)輸出層設(shè)計(jì)。

在輸出階段，首先設(shè)置神經(jīng)網(wǎng)絡(luò)損失函數(shù)為：

其中，Hl為理想輸出，Yl為實(shí)際輸出。

緊接著，計(jì)算各個(gè)參數(shù)學(xué)習(xí)結(jié)果。使用梯度下降算法計(jì)算minJ(ωki，cij，σij)，對(duì)ωki、cij、σij求導(dǎo)，計(jì)算公式為：

(20)

(21)

(22)

基于梯度下降算法獲取最終結(jié)果,計(jì)算公式為：

(23)

(24)

(25)

其中，l的取值范圍為[1,r],i取值范圍為[1,M],k取值范圍為[1,n]。此外，α指學(xué)習(xí)速率。

2.3 基于HISPAC的隱私層級(jí)訪問控制

在2.1節(jié)針對(duì)醫(yī)療行為風(fēng)險(xiǎn)進(jìn)行了量化預(yù)測(cè)，本節(jié)將針對(duì)不同的風(fēng)險(xiǎn)等級(jí)設(shè)置不同層級(jí)的訪問控制。HISPAC又叫醫(yī)療信息系統(tǒng)模型，本文引入該系統(tǒng)模型來解決訪問控制，能夠在個(gè)性化層面滿足隱私保護(hù)的需要。

2.3.1 模型結(jié)構(gòu)

正常情況下，過去醫(yī)療系統(tǒng)的訪問控制所應(yīng)用的是一種通用策略，重點(diǎn)針對(duì)具體用戶的具體訪問行為和訪問數(shù)據(jù)對(duì)象進(jìn)行嚴(yán)格的權(quán)限管理，不同醫(yī)生類型、職級(jí)以及決策類型有嚴(yán)格且固定的劃分[15]。而HISPAC由RBAC改進(jìn)得到，可以支持個(gè)性化醫(yī)療數(shù)據(jù)的訪問保護(hù)。具體來說，模型涉及身份主體、消費(fèi)主體、角色主體和資源主體，具體含義如表2所示。

表2 HISPAC組成構(gòu)成

具體的模型結(jié)構(gòu)特征細(xì)化為以下3點(diǎn)：

1)正常情況下，訪問機(jī)制的判決狀態(tài)有2種，即允許狀態(tài)和拒絕狀態(tài)。此次構(gòu)建HISPAC的過程中，首次引入目的機(jī)制，目的機(jī)制決定了最終的判決結(jié)果，而目的機(jī)制結(jié)合風(fēng)險(xiǎn)評(píng)估決定了最終訪問級(jí)別。目的機(jī)制主要以樹形結(jié)構(gòu)為主來進(jìn)行分層管理訪問級(jí)別。目的機(jī)制結(jié)構(gòu)如圖9所示，根節(jié)點(diǎn)為PT。

圖9 醫(yī)療場(chǎng)景化的目的機(jī)制結(jié)構(gòu)

2)在目的機(jī)制的層級(jí)結(jié)構(gòu)中存在多個(gè)從根節(jié)點(diǎn)到葉節(jié)點(diǎn)的鏈路結(jié)構(gòu)，由此形成了一條訪問鏈路。這種鏈路反映了醫(yī)療系統(tǒng)的目標(biāo)使用群體通用的訪問意圖和目的，不同類別之間節(jié)點(diǎn)由于意圖不明并結(jié)合模型推算的隱私風(fēng)險(xiǎn)，可以得出不能跨鏈路訪問的情形[16]。

3)正常情況下基于目的機(jī)制的HIS醫(yī)療系統(tǒng)制定了2種類型的訪問控制策略，分別是通用策略和個(gè)人策略。通用策略由經(jīng)驗(yàn)得到用戶群體訪問數(shù)據(jù)層次結(jié)構(gòu)，個(gè)人策略是根據(jù)經(jīng)驗(yàn)策略得到的結(jié)構(gòu)結(jié)合實(shí)際行為形成繪制下一層級(jí)的依據(jù)。正常的意圖根據(jù)組織結(jié)構(gòu)、醫(yī)療部門職責(zé)、醫(yī)生職稱來決定。通常在通用策略中通過操作者身份認(rèn)證即可得到相應(yīng)的系統(tǒng)權(quán)限并分配對(duì)應(yīng)的數(shù)據(jù)資源，而個(gè)人策略隨醫(yī)療組織架構(gòu)變化而變化，根據(jù)模型獲得用戶行為偏好，并制定對(duì)應(yīng)的信用層級(jí)，基于該策略下的系統(tǒng)可以根據(jù)實(shí)際訪問行為來綁定一個(gè)或者多個(gè)目的和意圖，目的是動(dòng)態(tài)變化的。同時(shí)，HISPAC模型還可以借助個(gè)人策略進(jìn)行反向授權(quán)，也就是說模型根據(jù)健康記錄/病例擁有者的偏好來決定系統(tǒng)中哪些角色被授予什么樣的權(quán)限。

2.3.2 分配策略

在2.3.1節(jié)中提到，訪問存在“允許”和“拒絕”2種控制狀態(tài)。但基于常規(guī)情況下的訪問控制機(jī)制無法適應(yīng)突發(fā)醫(yī)療場(chǎng)景下的需要，所以需要在這2種狀態(tài)中設(shè)計(jì)一個(gè)彈性區(qū)間，根據(jù)自適應(yīng)神經(jīng)網(wǎng)絡(luò)模糊推測(cè)模型最終得到的風(fēng)險(xiǎn)值大小來適當(dāng)?shù)卣{(diào)整訪問權(quán)限。即設(shè)置不同的風(fēng)險(xiǎn)帶，已經(jīng)超過系統(tǒng)硬性邊界的用戶嚴(yán)格拒絕訪問，而在2種狀態(tài)范圍內(nèi)的可以適當(dāng)獲取權(quán)限，比如可以讀寫拷貝數(shù)據(jù)、只能讀寫數(shù)據(jù)、只能讀數(shù)據(jù)、只能讀部分?jǐn)?shù)據(jù)等。具體結(jié)構(gòu)如圖10所示。

圖10 邊界劃定的彈性標(biāo)準(zhǔn)示意圖

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境與數(shù)據(jù)準(zhǔn)備

3.1.1 實(shí)驗(yàn)環(huán)境

本文實(shí)驗(yàn)主要研究基于自適應(yīng)神經(jīng)網(wǎng)絡(luò)的隱私保護(hù)算法模型的真實(shí)效果。實(shí)驗(yàn)所使用軟件為Matlab。實(shí)驗(yàn)過程重點(diǎn)關(guān)注3塊內(nèi)容：1)模型網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)效果；2)數(shù)據(jù)處理過程和最終輸出效果；3)模型整體性能呈現(xiàn)效果。基礎(chǔ)的實(shí)驗(yàn)環(huán)境配置如表3所示。

表3 基礎(chǔ)實(shí)驗(yàn)環(huán)境配置

3.1.2 數(shù)據(jù)選型與前期準(zhǔn)備

1)數(shù)據(jù)集選型依據(jù)和有效性評(píng)估。

①數(shù)據(jù)集選型依據(jù)。

實(shí)驗(yàn)過程中選取的數(shù)據(jù)集來源于某醫(yī)院近10年的患者醫(yī)療和病例數(shù)據(jù)，屬于非公開數(shù)據(jù)。選取依據(jù)有以下2個(gè)方面：

a)符合國內(nèi)醫(yī)療數(shù)據(jù)集特征。國內(nèi)外醫(yī)療數(shù)據(jù)和病例診斷參考習(xí)慣有所不同，而HISPAC模型設(shè)計(jì)出發(fā)點(diǎn)主要服務(wù)于國內(nèi)醫(yī)院隱私保護(hù)[17]。對(duì)此，該醫(yī)院數(shù)據(jù)建設(shè)初期與國內(nèi)某三甲醫(yī)院合作，從其中心數(shù)據(jù)庫中選取了近5年該醫(yī)院的數(shù)據(jù)作為模板進(jìn)行建設(shè)，從各類數(shù)據(jù)特征和字段種類上滿足國內(nèi)醫(yī)生醫(yī)療診斷參考習(xí)慣，防控效果更加符合本國國情。

b)建設(shè)模板的準(zhǔn)確性。建設(shè)初期所使用的某三甲醫(yī)院數(shù)據(jù)屬于公開數(shù)據(jù)集，數(shù)據(jù)地址為http://www.osirix-viewer.com/resources/dicom-image-library/，在數(shù)據(jù)特征質(zhì)量上經(jīng)過了考驗(yàn)，基于該數(shù)據(jù)模板衍生得到的數(shù)據(jù)集具備可信度，出于該醫(yī)院隱私安全政策的限制無法將數(shù)據(jù)集公開。

②有效性和可信度評(píng)估。

為了驗(yàn)證該數(shù)據(jù)集的可信度，將該醫(yī)院聯(lián)合某三甲醫(yī)院針對(duì)之前公開的數(shù)據(jù)集模板和當(dāng)前數(shù)據(jù)集進(jìn)行了聯(lián)合實(shí)驗(yàn)，發(fā)現(xiàn)該數(shù)據(jù)集具備可信度和實(shí)用性，且最終算法訓(xùn)練效果良好。

a)數(shù)據(jù)對(duì)比和質(zhì)量檢測(cè)。

如表4所示，本文實(shí)驗(yàn)所使用的某醫(yī)院非公開數(shù)據(jù)集在缺失值、異常值和集中異常值上都比公開數(shù)據(jù)集低，且數(shù)據(jù)特征更多，同時(shí)所涉及字段已經(jīng)將某三甲醫(yī)院公開數(shù)據(jù)集字段基本包含了，且更具時(shí)效性。

表4 數(shù)據(jù)對(duì)比

b)使用相同算法訓(xùn)練效果。

從數(shù)據(jù)本身來說，本文實(shí)驗(yàn)所使用的某醫(yī)院非公開數(shù)據(jù)集數(shù)據(jù)都來源于該醫(yī)院真實(shí)診斷樣本，真實(shí)性較高，且特征更加多樣。以下基于本文所使用的自適應(yīng)神經(jīng)網(wǎng)絡(luò)算法進(jìn)行實(shí)驗(yàn)，在選取特征一致，數(shù)據(jù)集訓(xùn)練集和測(cè)試集樣本大致相同的情況下進(jìn)行實(shí)驗(yàn)，數(shù)據(jù)集樣本分配情況如表5所示，實(shí)驗(yàn)結(jié)果如表6所示。

表5 實(shí)驗(yàn)數(shù)據(jù)集樣本分配情況

表6 實(shí)驗(yàn)效果

從表6和圖11可以看到，本文實(shí)驗(yàn)所使用的數(shù)據(jù)在測(cè)試準(zhǔn)確度和精確度上都具備良好的可用性和可信度。

圖11 不同數(shù)據(jù)集實(shí)驗(yàn)效果

2)前期準(zhǔn)備。

在實(shí)驗(yàn)的數(shù)據(jù)獲取階段，采集某醫(yī)院HIS系統(tǒng)中部分?jǐn)?shù)據(jù)資源。其中，80%數(shù)據(jù)存儲(chǔ)在單位購買的Oracle數(shù)據(jù)庫中，數(shù)據(jù)庫中含蓋了1360張表。根據(jù)本文實(shí)驗(yàn)需要，提取了其中8張表導(dǎo)入Excel中，具體包括登錄日志、病情基礎(chǔ)數(shù)據(jù)、患者基礎(chǔ)信息數(shù)據(jù)、用戶信息表、傳輸日志、藥庫處方日志、醫(yī)囑數(shù)據(jù)、運(yùn)行日志。其中，患者信息表涉及字段包括患者id、主治醫(yī)師、科室、職稱、病房號(hào)、病例信息等。醫(yī)囑信息涉及字段包括：就診記錄、醫(yī)療方案、使用的醫(yī)療器械等。

3.1.3 數(shù)據(jù)處理

1)量化指標(biāo)獲取。

根據(jù)第2章模型研究工作，需要基于現(xiàn)有數(shù)據(jù)進(jìn)行參數(shù)的標(biāo)定。首先，需要計(jì)算風(fēng)險(xiǎn)量化關(guān)系中的O(ui|sj)和‖f(Ok)‖，這2個(gè)參數(shù)從用戶信息表、醫(yī)囑信息表和登錄日志3張表中數(shù)據(jù)計(jì)算得出，即獲取具體用戶ui針對(duì)患者sj診斷時(shí)訪問工作目標(biāo)集并選擇具體目標(biāo)的次數(shù)。參數(shù)M(sj|ok)的計(jì)算數(shù)據(jù)從用戶信息、病況基礎(chǔ)數(shù)據(jù)、醫(yī)囑信息以及日志信息等4張表關(guān)聯(lián)得到，即獲取患者sj在工作目標(biāo)確定時(shí)訪問醫(yī)療記錄集的次數(shù)。

緊接著，計(jì)算輸出數(shù)據(jù)的風(fēng)險(xiǎn)量級(jí)Risk參數(shù)，參照了相關(guān)文獻(xiàn)[5,11]中使用的風(fēng)險(xiǎn)量化方法。具體來說，借助聚類的思路，計(jì)算過程主要衡量單個(gè)用戶發(fā)生訪問行為的熵與其他所有用戶訪問行為熵的偏離，這里可以成為異常偏離點(diǎn)，偏離程度越大風(fēng)險(xiǎn)越高。系統(tǒng)中單個(gè)用戶存在一個(gè)信任值，這里用UT表示，選擇目標(biāo)工作造成的風(fēng)險(xiǎn)用risk1表示，而訪問醫(yī)療記錄帶來的風(fēng)險(xiǎn)用risk2表示。數(shù)據(jù)的風(fēng)險(xiǎn)評(píng)級(jí)公式為：

Risk=min{1,(W1×risk1+W2×risk2+W3×(1-UT))}

(26)

其中，W1、W2、W3分別表示實(shí)驗(yàn)中取樣的3類用戶發(fā)生訪問行為次數(shù)，1為職位高度相似性行為，2為職位高度普通相關(guān)性行為，3位不相關(guān)性行為。

2)參數(shù)設(shè)定。

接下來，對(duì)模型構(gòu)建過程中涉及的參差σ、表征交互的閾值π以及信任權(quán)重α進(jìn)行數(shù)值標(biāo)定。

首先，標(biāo)定參差σ。該參數(shù)作為用戶交互成功次數(shù)和交互失敗次數(shù)的平衡因子存在，進(jìn)行了20組對(duì)照試驗(yàn)。實(shí)驗(yàn)發(fā)現(xiàn)，σ按照特定步長增長時(shí)，步長大小的設(shè)置會(huì)直接影響最終信任值的變化幅度，步長小于0.1，信任值不會(huì)產(chǎn)生顯著變化。對(duì)此，使用步長為0.1來增加σ，交互成功的次數(shù)也會(huì)增加；增加步長為10，當(dāng)σ從0增長到0.5時(shí)信任值到達(dá)峰值，所以取σ為0.5。實(shí)驗(yàn)結(jié)果如表7所示，其中m為試驗(yàn)次數(shù)，n為步長。

表7 增長與直接信任度DT的變化關(guān)系

接著標(biāo)定交互的閾值π，設(shè)置初值為10，并隨實(shí)驗(yàn)計(jì)算過程依次增加。其中，維持σ為0.5，m為60，n為11，同時(shí)保證交互次數(shù)不變。實(shí)驗(yàn)結(jié)果如表8所示。實(shí)驗(yàn)顯示，當(dāng)閾值設(shè)置增長到70時(shí)，信任值相對(duì)穩(wěn)定，大于70發(fā)生了波動(dòng)，呈現(xiàn)降低趨勢(shì)，因此標(biāo)定交互的閾值設(shè)置為70為最佳。

表8 標(biāo)定交互閾值增長對(duì)DT變化影響

最后，獲取信任權(quán)重。信任權(quán)重是直接信任程度在綜合信任程度中的占比，是參考大量文獻(xiàn)并進(jìn)行相關(guān)醫(yī)學(xué)和計(jì)算機(jī)專家的文獻(xiàn)歸納整理得到的。正常實(shí)驗(yàn)情況下，直接信任度的真實(shí)值略大于推薦信任度，所以，設(shè)置信任度權(quán)重α為0.6符合客觀規(guī)律。

3.2 實(shí)驗(yàn)過程

首先，對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)參數(shù)進(jìn)行設(shè)定，構(gòu)建一個(gè)基礎(chǔ)的模糊網(wǎng)絡(luò)，并基于現(xiàn)有數(shù)據(jù)進(jìn)行學(xué)習(xí)，經(jīng)過反向傳遞來調(diào)整參數(shù)，利用損失函數(shù)來標(biāo)定結(jié)果誤差，保證誤差在可以接收的范圍內(nèi)。具體過程劃分為4個(gè)階段：1)將處理好的數(shù)據(jù)加載到Matlab中；2)基于聚類算法對(duì)輸入數(shù)據(jù)進(jìn)行處理形成初級(jí)矩陣；3)將數(shù)據(jù)矩陣輸入到神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)中，并經(jīng)過損失函數(shù)來進(jìn)行反復(fù)迭代，直至收斂；4)根據(jù)訓(xùn)練結(jié)構(gòu)記錄參數(shù)，并獲取用戶訪問行為和信任標(biāo)準(zhǔn)。網(wǎng)絡(luò)處理結(jié)構(gòu)如圖12所示。

圖12 自適應(yīng)神經(jīng)網(wǎng)絡(luò)隱私保護(hù)匹配過程

3.2.1 數(shù)據(jù)處理

1)數(shù)據(jù)加載。

加載訓(xùn)練集數(shù)據(jù)/測(cè)試集數(shù)據(jù)到工作空間，加載過程進(jìn)行二維數(shù)據(jù)的矩陣表示。其中，矩陣的最后一列為默認(rèn)數(shù)據(jù)。加載過程如圖13和圖14所示。這里數(shù)據(jù)類型設(shè)置為Training，加載方式設(shè)置為workshop，即工作空間的數(shù)據(jù)矩陣。

圖13 數(shù)據(jù)加載選項(xiàng)

圖14 訓(xùn)練/測(cè)試數(shù)據(jù)加載后的分布情況

2)模型初步構(gòu)建。

實(shí)驗(yàn)過程中，首先使用模糊C均值聚類來提取特征并生成初始模型。使用聚類思路就是區(qū)分訪問行為異常的客戶，這里客戶抽象為數(shù)據(jù)點(diǎn)。聚類結(jié)構(gòu)中包括聚類中心點(diǎn)以及各個(gè)隸屬點(diǎn)，保證每個(gè)數(shù)據(jù)點(diǎn)到聚類中心的加權(quán)和最小是反復(fù)修正實(shí)驗(yàn)的關(guān)鍵。使用該模型輸出就是每個(gè)數(shù)據(jù)點(diǎn)到聚類中心的距離，即隸屬度，當(dāng)然在訓(xùn)練過程中，需要不斷修正中心點(diǎn)，保證距離和最優(yōu)。輸入過程是將輸入指標(biāo)UT、EFCWO以及EATMR對(duì)應(yīng)的用戶子集劃分為：VL(特別低)、L(低)、M(中等)以及H(高)。根據(jù)用戶的風(fēng)險(xiǎn)指標(biāo)分布所呈現(xiàn)的特征，大部分用戶的表征指標(biāo)UT、EFCWO以及EATMR為L或M，而只有少部分用戶為VL或H，整體符合高斯分布。本文認(rèn)為，輸入指標(biāo)對(duì)應(yīng)的隸屬度函數(shù)類型為高斯型，而輸出指標(biāo)的隸屬度函數(shù)類型為線性型。神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和訓(xùn)練初期各個(gè)指標(biāo)隸屬度函數(shù)如圖15和圖16所示。

圖15 自適應(yīng)神經(jīng)網(wǎng)絡(luò)隱私保護(hù)模型結(jié)構(gòu)

圖16 變量UT、EFCWO以及EATMR初始隸屬度函數(shù)分布

3.2.2 模型訓(xùn)練

模型訓(xùn)練過程中，使用以聚類和深度神經(jīng)網(wǎng)絡(luò)算法為主的混合算法[18]，誤差精度為1e-5，而訓(xùn)練計(jì)劃次數(shù)為200～300次。訓(xùn)練過程中網(wǎng)絡(luò)結(jié)構(gòu)沒有發(fā)生變化，僅對(duì)一些參數(shù)進(jìn)行了適量調(diào)節(jié)。此外，用于表征用戶的3個(gè)輸入指標(biāo)UT、EFCWO以及EATMR，其模糊子集根據(jù)分布情況做了優(yōu)化，保證每個(gè)等級(jí)的數(shù)量符合高斯分布，且各個(gè)指標(biāo)對(duì)應(yīng)的隸屬度函數(shù)的整體走勢(shì)符合高斯分布，局部分布形狀發(fā)生變化。根據(jù)圖17的誤差精度變化顯示，整體訓(xùn)練效果達(dá)到了預(yù)期，沒有發(fā)生過擬合，而訓(xùn)練次數(shù)達(dá)到188次時(shí)，訓(xùn)練精度達(dá)到了最優(yōu)狀態(tài)。圖17中最上方曲線為測(cè)試狀態(tài)，中間曲線為訓(xùn)練狀態(tài)，最下方的曲線為校驗(yàn)狀態(tài)，與x軸平行的直線為最佳狀態(tài)。

圖17 誤差精度分布

3.2.3 基于訓(xùn)練結(jié)果進(jìn)行函數(shù)參數(shù)標(biāo)定

1)輸入變量的隸屬度函數(shù)。

基于隱私保護(hù)階段的實(shí)驗(yàn)主要基于模糊理論，利用混合神經(jīng)網(wǎng)絡(luò)算法對(duì)醫(yī)療隱私風(fēng)險(xiǎn)發(fā)生的可能性進(jìn)行推理，重點(diǎn)訓(xùn)練表征醫(yī)療用戶信用的隸屬度函數(shù)和規(guī)則庫，借助模糊理論將學(xué)習(xí)后的數(shù)據(jù)與學(xué)習(xí)前的數(shù)據(jù)進(jìn)行關(guān)聯(lián)性分析，推斷風(fēng)險(xiǎn)發(fā)生概率。

根據(jù)3.2.1節(jié)中3個(gè)輸入指標(biāo)訓(xùn)練前的隸屬度函數(shù)和訓(xùn)練之后的隸屬度函數(shù)的變化規(guī)律來標(biāo)定函數(shù)的具體參數(shù)值，具體如表9所示。

表9 3個(gè)指標(biāo)對(duì)應(yīng)的隸屬度函數(shù)參數(shù)

2)輸出變量的隸屬度函數(shù)。

已知，本文實(shí)驗(yàn)?zāi)Ｐ椭休斎胫笜?biāo)(輸入變量)存在3個(gè)。根據(jù)策略輸入數(shù)據(jù)圍繞每個(gè)指標(biāo)劃分為4個(gè)級(jí)別的模糊子集，因此所有的輸入組合能夠劃分64條記錄，輸出指標(biāo)u對(duì)應(yīng)64個(gè)隸屬度函數(shù)，根據(jù)隸屬度函數(shù)參數(shù)，代入公式ui=p1×EFCWO+p2×EATMR+p3×UT+a中,得到輸出函數(shù)ui對(duì)應(yīng)的函數(shù)表達(dá)式，其中，p1、p2、p3分別乘以EFCWO、EATMR、UT并添加誤差常數(shù)a獲得加權(quán)分?jǐn)?shù)，這次實(shí)驗(yàn)中64條記錄如圖16所示，而64個(gè)輸出函數(shù)所對(duì)應(yīng)的參數(shù)如圖18和表10所示。

圖18 訓(xùn)練輸出函數(shù)

表10 標(biāo)定交互閾值增長與DT具體數(shù)值

3.3 實(shí)驗(yàn)性能測(cè)試

3.3.1 評(píng)價(jià)指標(biāo)

1)精確率。

該指標(biāo)用于表征風(fēng)險(xiǎn)預(yù)測(cè)較高的用戶中醫(yī)療隱私違法用戶所占用的比例[19]。計(jì)算公式為：

(27)

其中，風(fēng)險(xiǎn)最高的用戶有N個(gè)，而在該用戶群中實(shí)際隱私違法的用戶有n個(gè)。

2)召回率。

該指標(biāo)用于表征預(yù)測(cè)風(fēng)險(xiǎn)最高的N個(gè)用戶中實(shí)際隱私違法用戶占總體樣本S個(gè)用戶中實(shí)際隱私違法用戶的占比[20]。計(jì)算公式為：

(28)

其中，預(yù)測(cè)風(fēng)險(xiǎn)最高的N個(gè)用戶中的實(shí)際隱私違法用戶為n，總體樣本S個(gè)用戶中實(shí)際隱私違法用戶為M。

3)F1值。

F1用于表征上述精確度和召回率之間存在的聯(lián)系[21]，而F1綜合考慮了精確度和召回率得變化邏輯，保證上述2個(gè)指標(biāo)取值達(dá)到動(dòng)態(tài)平衡。F1計(jì)算公式為:

(29)

3.3.2 測(cè)試結(jié)果

驗(yàn)證模型性能需要分析模型實(shí)際輸出與預(yù)期輸出的偏差，本文使用誤差平方和進(jìn)行衡量。將訓(xùn)練好的自適應(yīng)神經(jīng)網(wǎng)絡(luò)隱私保護(hù)推斷模型處理為測(cè)試集數(shù)據(jù)。這其中存在3種輸入變量variableInput和1個(gè)輸出變量variableOutput。具體代碼實(shí)現(xiàn)如下：

x=(1:1:300);

y=evalfis(variableInput,ANFIS);

y1=plot(x, variableOutput,′or′)

hold on;

y2=plot(x,y,′+k′)

legend([y1,y2],′實(shí)際輸出′,′模型輸出′)

經(jīng)過測(cè)試集驗(yàn)證，模型輸出結(jié)果與實(shí)際輸出結(jié)果如圖19所示。

圖19 模型測(cè)試效果

如圖19所示，在訓(xùn)練之后的模型中進(jìn)行實(shí)驗(yàn)發(fā)現(xiàn)，原始輸入樣本和實(shí)際輸出樣本整體吻合，同時(shí)誤差平方和能夠基本保持在6.0e-06～7.9e-06，均值在7.1e-6左右。為了驗(yàn)證實(shí)驗(yàn)的有效性，增加了10組測(cè)試對(duì)照組，如表11所示。實(shí)驗(yàn)結(jié)果表明與預(yù)期結(jié)果高度一致。

表11 模型測(cè)試效果分析

如表11所示，最終誤差在7.1e-6左右，符合預(yù)期。因此，本文的自適應(yīng)神經(jīng)網(wǎng)絡(luò)模型隱私保護(hù)模型可以應(yīng)用于醫(yī)療隱私泄露推測(cè)和診斷中，從而達(dá)到醫(yī)療隱私保護(hù)的要求[22]。

3.3.3 同類模型效果對(duì)比

如表12和圖20所示，HISPAC在安全性方面與BLP、Biba模型基本持平，并且在訪問者安全性評(píng)估上準(zhǔn)確性和精確度較高。這里需要說明，本次安全性評(píng)估主要選擇了來自計(jì)算機(jī)行業(yè)的10位資深人員進(jìn)行數(shù)據(jù)入侵，采取各類病毒竊取、數(shù)據(jù)覆蓋以及數(shù)據(jù)訪問入侵等方式對(duì)模型打分。而準(zhǔn)確度和精確度主要根據(jù)測(cè)試樣本打分，以此衡量與預(yù)期結(jié)果的偏差[23]。

表12 不同訪問控制模型性能比較

圖20 不同訪問控制模型性能比較

4 結(jié)束語

本文選取了醫(yī)療隱私保護(hù)這一課題進(jìn)行研究，構(gòu)建了一個(gè)醫(yī)療保護(hù)模型，其中包括2個(gè)部分：1)借助循環(huán)神經(jīng)網(wǎng)絡(luò)和模糊推理理論構(gòu)建一個(gè)自適應(yīng)神經(jīng)網(wǎng)絡(luò)隱私風(fēng)險(xiǎn)評(píng)估模型；2)圍繞模型得到的用戶行為風(fēng)險(xiǎn)建立一個(gè)個(gè)性化的隱私數(shù)據(jù)訪問權(quán)限控制機(jī)制，即HISPAC。實(shí)驗(yàn)結(jié)果表明，該模型可以有效解決醫(yī)療數(shù)據(jù)隱私泄露的問題，并具有較好的應(yīng)用前景。希望此次研究能為醫(yī)療大數(shù)據(jù)背景下的隱私數(shù)據(jù)保護(hù)提供思路。