DOI: https://doi.org/10.3389/fmed.2025.1524286
PMID: https://pubmed.ncbi.nlm.nih.gov/40309737
تاريخ النشر: 2025-04-08
المؤلف: Jamshed Ali Shaikh وآخرون
الموضوع الرئيسي: أمن الشبكات وكشف التسلل
نظرة عامة
إن إنترنت الأشياء الطبية (IoMT) يُحدث ثورة في الرعاية الصحية من خلال المراقبة المستمرة عن بُعد والعلاجات الشخصية؛ ومع ذلك، فإنه يقدم أيضًا ثغرات أمنية كبيرة. للتخفيف من هذه المخاطر، يقدم البحث HCLR-IDS، وهو نظام متقدم للكشف عن التسلل (IDS) مصمم خصيصًا لشبكات IoMT. يستخدم هذا النظام مزيجًا من الشبكات العصبية التلافيفية (CNN) وشبكات الذاكرة طويلة وقصيرة المدى (LSTM) وتقنيات التعلم المعزز (RL)، وتحديدًا شبكة Q العميقة (DQN) وتحسين السياسة القريب (PPO). تبدأ المنهجية باختيار ميزات المعلومات المتبادلة المعززة (MIFS) لمعالجة مجموعة بيانات CICIoMT2024، مما يحسن من صلة الميزات مع تقليل الضوضاء. تلتقط بنية CNN-LSTM الهجينة الأنماط المكانية والزمنية في حركة مرور الشبكة، مما يمكّن من الكشف الفعال عن الخصائص الثابتة والديناميكية.
يظهر HCLR-IDS أداءً ملحوظًا، حيث يحقق دقة تصنيف ثنائية تبلغ 99.58%، متجاوزًا بشكل كبير نماذج IDS التقليدية. كما يتفوق في التصنيف متعدد الفئات، حيث يحقق دقة تبلغ 77.73% عبر 18 فئة هجوم. تؤكد هذه النتائج قدرة النظام على تحديد مجموعة واسعة من التهديدات المتطورة، مما يضمن حماية قوية في الوقت الحقيقي في بيئات الرعاية الصحية الحساسة. ستهدف الأبحاث المستقبلية إلى تعزيز قدرة النموذج على الكشف عن هجمات اليوم الصفري واستكشاف منهجيات متقدمة، مثل آليات الانتباه وتقنيات التجميع، لتحسين دقة الكشف وقابلية التكيف مع استراتيجيات الهجوم الجديدة.
مقدمة
تسلط مقدمة هذه الورقة البحثية الضوء على التأثير التحويلي لإنترنت الأشياء (IoT) على الرعاية الصحية، وخاصة من خلال إنترنت الأشياء الطبية (IoMT). يربط IoMT الأجهزة الطبية والأجهزة القابلة للارتداء وأجهزة الاستشعار لتعزيز رعاية المرضى والتشخيصات والمراقبة في الوقت الحقيقي، مما يفيد بشكل خاص المرضى الذين يعانون من حالات مزمنة. ومع ذلك، فإن التكامل السريع لهذه التقنيات يثير مخاوف كبيرة بشأن الأمن والخصوصية، بما في ذلك الوصول غير المصرح به وتسريبات البيانات، مما يهدد سلامة المرضى وسلامة الخدمات الطبية. أنظمة الكشف عن التسلل التقليدية (IDS) غير كافية للخصائص الفريدة لشبكات IoMT، حيث تكافح لالتقاط الأنماط المكانية والزمنية في حركة مرور الشبكة بشكل فعال، مما يؤدي إلى معدلات إيجابية خاطئة مرتفعة وفوات الكشف.
لمعالجة هذه التحديات، يقترح المؤلفون HCLR-IDS، وهو IDS متقدم مصمم خصيصًا لبيئات IoMT. يستخدم HCLR-IDS نهجًا هجينًا يدمج الشبكات العصبية التلافيفية (CNNs) وشبكات الذاكرة طويلة وقصيرة المدى (LSTM)، إلى جانب تقنيات التعلم المعزز (RL)، لالتقاط الاعتماديات المكانية والزمنية في حركة مرور IoMT في وقت واحد. يستخدم النظام اختيار ميزات المعلومات المتبادلة المعززة (MIFS) لمعالجة البيانات، مما يعزز دقة الكشف من خلال التركيز على الميزات الأكثر صلة. بالإضافة إلى ذلك، يسمح دمج الشبكات العميقة Q (DQN) وتحسين السياسة القريب (PPO) لـ HCLR-IDS بالتكيف مع استراتيجيات الهجوم المتطورة، مما يحسن من قدرات الكشف في الوقت الحقيقي ويقلل من الإيجابيات الخاطئة. توضح الورقة مساهماتها، بما في ذلك تطوير إطار هجين جديد وتنفيذ آليات التعلم التكيفية، مما يمهد الطريق لاستكشاف شامل للنهج المقترح في الأقسام التالية.
طرق
في المنهجية المقترحة، نفذ المؤلفون إعدادًا تجريبيًا قويًا للتخفيف من مخاوف الإفراط في التكيف وتسرب البيانات. استخدموا التحقق المتقاطع بخمس طيات، حيث تم تقسيم مجموعة البيانات إلى خمسة مجموعات فرعية متساوية، مما يسمح لكل طية بأن تعمل كمجموعة تدريب واختبار. ضمنت هذه الطريقة أن تقييمات أداء النموذج لم تتأثر بأي تقسيم فردي، مما أدى إلى دقة عالية باستمرار عبر جميع الطيات. أشارت النتائج إلى أن النموذج قابل للتعميم، حيث لم يتكيف بشكل مفرط مع مجموعات بيانات معينة.
لمنع تسرب البيانات بشكل أكبر، حافظ المؤلفون على فصل صارم لخطوات المعالجة المسبقة لمجموعات بيانات التدريب والاختبار. تم إجراء اختيار الميزات والتطبيع بشكل مستقل لكل مجموعة، مما يتجنب أي تداخل قد يضخم مقاييس الأداء بشكل مصطنع. تم تقسيم مجموعة بيانات CICIoMT2024 إلى ثلاث مجموعات فرعية: 70% للتدريب، 10% للتحقق، و20% للاختبار. تم استخدام مجموعة التدريب لتعلم أنماط البيانات، بينما تم تخصيص مجموعة التحقق لضبط المعلمات الفائقة ومراقبة الأداء. تم استخدام مجموعة الاختبار غير المرئية للتقييم النهائي، مما يضمن تقييمًا دقيقًا لأداء النموذج في العالم الحقيقي. عزز استخدام التحقق المتقاطع بخمس طيات من قوة النموذج وقابليته للتعميم من خلال متوسط مقاييس الأداء عبر جميع تركيبات تقسيم البيانات، مما يقلل من التباين والانحياز في النتائج.
نتائج
تُفصّل نتائج الدراسة في الجدول 3 وتُوضح في الشكل 6، حيث تعرض أداء نموذج HCLR-IDS المقترح في الكشف عن التسلل باستخدام مقاييس مختلفة: الدقة، الدقة، الاسترجاع، درجة F1، والمساحة تحت المنحنى (AUC). استخدمت الدراسة مجموعة بيانات CICIoMT2024، التي تم تصميمها خصيصًا لتطبيقات إنترنت الأشياء الطبية (IoMT). تضمنت خطوات المعالجة المسبقة الرئيسية التعامل مع القيم المفقودة، وتقييس الميزات عبر تطبيع الحد الأدنى والحد الأقصى، وترميز الميزات الفئوية. تم استخدام تقنية اختيار ميزات المعلومات المتبادلة (MIFS) لتقليل مساحة الميزات من 42 إلى 34 ميزة ذات صلة، مما يعزز بشكل كبير من أداء النموذج.
قبل اختيار الميزات، حقق نموذج HCLR-IDS دقة تبلغ 69.73%، مع دقة واسترجاع ودرجات F1 تبلغ 56.80% و76.66% و65.25% على التوالي. بعد اختيار الميزات، أظهر النموذج تحسنًا ملحوظًا، حيث حقق دقة تبلغ 99.58% ودقة واسترجاع ودرجات F1 تبلغ 99.53% و99.83% و99.57% على التوالي. يبرز هذا التحسن أهمية MIFS في معالجة التحديات التي تطرحها البيانات عالية الأبعاد في طرق الكشف عن التسلل التقليدية، التي غالبًا ما تكافح لتحديد الميزات ذات الصلة. تشير النتائج إلى أن MIFS لم يحسن فقط دقة الكشف ولكن أيضًا قلل من التعقيد الحسابي، مما يعزز من كفاءة النظام. تُعرض مقاييس الأداء الإضافية لمهام التصنيف الثنائي ومتعدد الفئات في الجدولين 4 و5، على التوالي، مما يُظهر قدرات الكشف القوية للنموذج عبر أنواع الهجمات المختلفة.
مناقشة
تسلط قسم المناقشة في الورقة البحثية الضوء على الحاجة الملحة لأنظمة الكشف عن التسلل المتقدمة (IDS) في شبكات الرعاية الصحية لإنترنت الأشياء الطبية (IoMT)، نظرًا للتهديدات المتزايدة للأمن السيبراني المرتبطة بالأجهزة الطبية المتصلة. تُفضل أنظمة IDS المعتمدة على الشذوذ لقدرتها على اكتشاف الهجمات الجديدة التي قد تتجاهلها الطرق التقليدية المعتمدة على التوقيع. ومع ذلك، تكافح هذه الأنظمة مع معدلات إيجابية خاطئة مرتفعة وتعقيدات حركة مرور IoMT، التي تتميز بأنماط محددة للجهاز ومتغيرة. لمعالجة هذه التحديات، تؤكد الورقة على أهمية تقنيات اختيار الميزات، مثل اختيار ميزات المعلومات المتبادلة المحسنة (MIFS)، والنهج الهجينة التي تجمع بين طرق مثل تحليل المكونات الرئيسية (PCA) مع خوارزميات التحسين لتعزيز دقة الكشف.
يُدمج نموذج HCLR-IDS المقترح الشبكات العصبية التلافيفية (CNNs) وشبكات الذاكرة طويلة وقصيرة المدى (LSTM) مع تقنيات التعلم المعزز (RL)، وتحديدًا شبكة Q العميقة (DQN) وتحسين السياسة القريب (PPO)، لإدارة تعقيدات حركة مرور IoMT بشكل فعال. يسمح هذا الهيكل الهجين باستخراج ميزات قوية، تلتقط الأنماط المكانية والزمنية الأساسية لتحديد متجهات الهجوم المتطورة. يتم تدريب النموذج على مجموعة بيانات CICIoMT2024، التي تشمل سيناريوهات هجمات سيبرانية متنوعة، مما يضمن تمثيلًا شاملاً لكل من الحركة الضارة وغير الضارة. يُلاحظ أيضًا أن استخدام التعلم الفيدرالي هو نهج واعد للحفاظ على خصوصية البيانات مع تعزيز قابلية التوسع لأنظمة IDS في شبكات الرعاية الصحية. بشكل عام، تقدم الورقة استراتيجية متعددة الجوانب لتحسين أداء IDS في بيئات IoMT الديناميكية والمحدودة الموارد، مما يضمن التكيف مع التهديدات الناشئة.
DOI: https://doi.org/10.3389/fmed.2025.1524286
PMID: https://pubmed.ncbi.nlm.nih.gov/40309737
Publication Date: 2025-04-08
Author(s): Jamshed Ali Shaikh et al.
Primary Topic: Network Security and Intrusion Detection
Overview
The Internet of Medical Things (IoMT) is revolutionizing healthcare through continuous remote monitoring and personalized therapies; however, it also introduces significant security vulnerabilities. To mitigate these risks, the research presents HCLR-IDS, an advanced Intrusion Detection System (IDS) tailored for IoMT networks. This system employs a combination of Convolutional Neural Networks (CNN), Long Short-Term Memory (LSTM) networks, and Reinforcement Learning (RL) techniques, specifically Deep Q-Network (DQN) and Proximal Policy Optimization (PPO). The methodology begins with Enhanced Mutual Information Feature Selection (MIFS) to preprocess the CICIoMT2024 dataset, optimizing feature relevance while minimizing noise. The hybrid CNN-LSTM architecture captures both spatial and temporal patterns in network traffic, enabling effective detection of static and dynamic characteristics.
HCLR-IDS demonstrates remarkable performance, achieving a binary classification accuracy of 99.58%, significantly surpassing traditional IDS models. It also excels in multi-class classification, attaining an accuracy of 77.73% across 18 attack classes. These results underscore the system’s capability to identify a wide array of evolving threats, ensuring robust real-time protection in sensitive healthcare environments. Future research will aim to enhance the model’s detection of zero-day attacks and explore advanced methodologies, such as attention mechanisms and ensemble techniques, to further improve detection accuracy and adaptability to new attack strategies.
Introduction
The introduction of this research paper highlights the transformative impact of the Internet of Things (IoT) on healthcare, specifically through the Internet of Medical Things (IoMT). IoMT connects medical devices, wearables, and sensors to enhance patient care, diagnostics, and real-time monitoring, particularly benefiting patients with chronic conditions. However, the rapid integration of these technologies raises significant security and privacy concerns, including unauthorized access and data breaches, which threaten patient safety and the integrity of medical services. Traditional Intrusion Detection Systems (IDS) are inadequate for the unique characteristics of IoMT networks, as they struggle to effectively capture both spatial and temporal patterns in network traffic, leading to high false positive rates and missed detections.
To address these challenges, the authors propose HCLR-IDS, an advanced IDS designed specifically for IoMT environments. HCLR-IDS employs a hybrid approach that integrates Convolutional Neural Networks (CNNs) and Long Short-Term Memory (LSTM) networks, alongside Reinforcement Learning (RL) techniques, to simultaneously capture spatial and temporal dependencies in IoMT traffic. The system utilizes Enhanced Mutual Information Feature Selection (MIFS) to preprocess data, enhancing detection accuracy by focusing on the most relevant features. Additionally, the integration of Deep Q-Networks (DQN) and Proximal Policy Optimization (PPO) allows HCLR-IDS to adapt to evolving attack strategies, improving real-time detection capabilities and reducing false positives. The paper outlines its contributions, including the development of a novel hybrid framework and the implementation of adaptive learning mechanisms, setting the stage for a comprehensive exploration of the proposed approach in subsequent sections.
Methods
In the proposed methodology, the authors implemented a robust experimental setup to mitigate concerns of overfitting and data leakage. They employed 5-fold cross-validation, where the dataset was divided into five equal subsets, allowing each fold to serve as both a training and testing set. This approach ensured that model performance evaluations were not influenced by any single partition, leading to consistently high accuracy across all folds. The results indicated that the model is generalizable, as it did not overfit to specific data subsets.
To further prevent data leakage, the authors maintained a strict separation of preprocessing steps for training and testing datasets. Feature selection and normalization were conducted independently for each set, thereby avoiding any overlap that could artificially inflate performance metrics. The CICIoMT2024 dataset was divided into three subsets: 70% for training, 10% for validation, and 20% for testing. The training set was utilized for learning data patterns, while the validation set was reserved for hyperparameter tuning and performance monitoring. The unseen test set was used for the final evaluation, ensuring an accurate assessment of the model’s real-world performance. The use of 5-fold cross-validation further enhanced the model’s robustness and generalization by averaging performance metrics across all combinations of data splits, thereby reducing variance and bias in the results.
Results
The results of the study are detailed in Table 3 and illustrated in Figure 6, showcasing the performance of the proposed HCLR-IDS model in intrusion detection using various metrics: accuracy, precision, recall, F1 score, and Area Under the Curve (AUC). The study utilized the CICIoMT2024 dataset, which is specifically designed for Internet of Medical Things (IoMT) applications. Key preprocessing steps included handling missing values, feature scaling via min-max normalization, and encoding categorical features. The Mutual Information Feature Selection (MIFS) technique was employed to reduce the feature space from 42 to 34 relevant features, significantly enhancing model performance.
Before feature selection, the HCLR-IDS model achieved an accuracy of 69.73%, with precision, recall, and F1 scores of 56.80%, 76.66%, and 65.25%, respectively. Post-feature selection, the model exhibited a remarkable improvement, attaining an accuracy of 99.58% and precision, recall, and F1 scores of 99.53%, 99.83%, and 99.57%, respectively. This enhancement underscores the importance of MIFS in addressing the challenges posed by high-dimensional data in traditional intrusion detection methods, which often struggle to identify relevant features. The results indicate that MIFS not only improved detection accuracy but also reduced computational complexity, thereby enhancing the efficiency of the system. Further performance metrics for binary and multiclass classification tasks are presented in Tables 4 and 5, respectively, demonstrating the model’s strong detection capabilities across various attack types.
Discussion
The discussion section of the research paper highlights the critical need for advanced Intrusion Detection Systems (IDS) in Internet of Medical Things (IoMT) healthcare networks, given the increasing cybersecurity threats associated with connected medical devices. Anomaly-based IDS are favored for their capability to detect novel attacks that traditional signature-based methods may overlook. However, these systems struggle with high false positive rates and the complexities of IoMT traffic, which is characterized by device-specific and variable patterns. To address these challenges, the paper emphasizes the importance of feature selection techniques, such as Improved Mutual Information Feature Selection (MIFS), and hybrid approaches that combine methods like Principal Component Analysis (PCA) with optimization algorithms to enhance detection accuracy.
The proposed HCLR-IDS model integrates Convolutional Neural Networks (CNNs) and Long Short-Term Memory (LSTM) networks with Reinforcement Learning (RL) techniques, specifically Deep Q-Network (DQN) and Proximal Policy Optimization (PPO), to effectively manage the complexities of IoMT traffic. This hybrid architecture allows for robust feature extraction, capturing both spatial and temporal patterns essential for identifying evolving attack vectors. The model is trained on the CICIoMT2024 dataset, which includes diverse cyberattack scenarios, ensuring a comprehensive representation of both malicious and benign traffic. The use of federated learning is also noted as a promising approach for maintaining data privacy while enhancing the scalability of IDS in healthcare networks. Overall, the paper presents a multifaceted strategy to improve IDS performance in dynamic and resource-constrained IoMT environments, ensuring adaptability to emerging threats.