Гибридная блокчейн‑основанная модель глубокого обучения для обнаружения многовекторных атак в системах здравоохранения с поддержкой Интернета вещей

Почему важно защищать подключённые больницы

Современные больницы всё больше полагаются на устройства, подключённые к сети: кардиомониторы, передающие жизненные показатели в реальном времени, инфузионные насосы, автоматически корректирующие дозы препаратов, и носимые датчики, отслеживающие состояние пациента дома. Эта цифровая сеть может значительно улучшить уход — но одновременно она открывает новые возможности для хакеров. В статье предложен новый способ защиты таких медицинских сетей от сочетания кибератак с помощью искусственного интеллекта и блокчейна, цель которого — обнаруживать угрозы за миллисекунды, сохраняя при этом надёжность и конфиденциальность медицинских данных.

Множество входов — множество типов злоумышленников

Сети здравоохранения отличаются от обычных офисных систем. В них сосуществуют старое и новое оборудование, требуются ответы в реальном времени, и по ним передаётся особенно чувствительная информация. Злоумышленники могут перегружать сети, чтобы вывести сервисы из строя, тайно перехватывать сообщения, подбирать пароли через многократные попытки или постепенно перемещаться по уровням системы, начиная с одного уязвимого устройства. Авторы показывают, что такие «многовекторные» атаки могут поразить устройства, данные, инфраструктуру и даже жизненно важное оборудование, например вентиляторы, отчего обычных брандмауэров и списков правил уже недостаточно.

Обучение машин распознавать плохое поведение

Предложенный метод использует глубокое обучение для мониторинга сетевого трафика и определения, выглядит ли он нормальным или вредоносным. Сначала модель, называемая глубоким разреженным автоэнкодером, сжимает множество технических деталей каждого сетевого потока — кто с кем общается, как часто и какой объём данных — в короткий отпечаток, сохраняющий важные закономерности. Эти отпечатки подаются на двунаправленную рекуррентную сеть, которая изучает, как трафик меняется во времени, чтобы отличать единичные всплески активности от медленной нарастающей атаки. Параллельно работают три специализированных детектора: один настроен на DDoS‑потоки, второй — на вмешательство «человек‑посередине», и третий — на подбор паролей перебором.

Объединение экспертных мнений и оценка уверенности

Вместо того чтобы полагаться на одно решение, система объединяет выходы всех детекторов с помощью байесовского шага слияния «произведения экспертов». Такая математическая схема поощряет согласие между экспертами и понижает вес ненадёжных сигналов. Стадия калибровки затем подгоняет эти вероятности так, чтобы, например, тревога в 90% действительно вела себя как «9 из 10» на практике. Система также учитывает медицинский контекст: для устройства жизнеобеспечения она склоняется к большей осторожности, рассматривая подозрительное поведение серьёзнее, чем для менее критичного сенсора. При высокой уверенности система может блокировать или перенаправлять трафик; при высокой неопределённости она помечает трафик для проверки человеком вместо автоматического действия.

Ведение неизменяемого журнала безопасности

Чтобы отслеживать события в разных больницах и клиниках, авторы добавляют приватный уровень блокчейна. Каждое событие обнаружения — что зафиксировано, с какой степенью уверенности и какое было принято действие — записывается в общий реестр с использованием быстрой схемы консенсуса, чтобы ни одна сторона не могла тайно изменить запись. Смарт‑контракты в этом реестре управляют тем, кто и какие части журналов может видеть в зависимости от роли и цели, при этом задержки остаются достаточно низкими, чтобы не нарушать текущую заботу о пациентах. Испытания на моделируемой сети здравоохранения из 12 узлов показали, что блокчейн может обрабатывать сотни событий безопасности в секунду с высокой долей успешных подтверждений и временем подтверждения менее секунды.

Насколько хорошо это работает на практике

Команда проверила свою архитектуру на двух больших наборах реального и смоделированного трафика Интернета вещей: одном, ориентированном на устройства интенсивной терапии, и другом, охватывающем более сотни различных устройств. По этим наборам объединённая система обнаруживала атаки с точностью примерно 93–97%, превосходя традиционные методы — сигнатурные инструменты, машины опорных векторов и случайные леса — на 7–20 процентных пунктов. Важный момент: в контролируемых тестах задержки обнаружения были ниже 16 миллисекунд, и система эффективнее справлялась с одновременными типами атак, чем любая одиночная модель. При проверке моделей, обученных на одном наборе, на другом точность снижалась, но оставалась достойной, что указывает на умеренную способность обобщать за пределы исходной среды обучения.

Что это значит для пациентов и больниц

Проще говоря, исследование показывает, что больницы могут использовать сочетание продвинутого распознавания паттернов и защищённой от подделки записи, чтобы в реальном времени контролировать свои подключённые устройства. Компоненты глубокого обучения функционируют как команда аналитиков безопасности, специализирующихся на разных типах злоупотреблений, а блокчейн служит неприкосновенным журналом того, что было обнаружено и как персонал отреагировал. Авторы отмечают, что всё ещё требуются полевые испытания и улучшенная обработка редких, сложных атак, но результаты показывают, что такая гибридная архитектура может сделать цифровые больницы будущего одновременно умнее и безопаснее, снижая вероятность скрытого изменения данных или нарушения ухода в результате кибератаки.

Цитирование: Sengan, S., Shieh, CS. & Horng, MF. A hybrid blockchain based deep learning model for multivector attack detection in internet of things enabled healthcare systems. Sci Rep 16, 10060 (2026). https://doi.org/10.1038/s41598-026-40765-3

Ключевые слова: кибербезопасность здравоохранения, интернет вещей, безопасность блокчейна, обнаружение вторжений, глубокое обучение